[adde] Re: AW: AW: AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines DC
- From: "Florian Frommherz" <florian@xxxxxxxxxxxxxxx>
- To: <adde@xxxxxxxxxxxxx>
- Date: Tue, 28 Sep 2010 20:13:33 +0200
Patrick,
wenn du immernoch Interesse an der Lösung des Problems hast: mir hat in
solchen Fällen schon oft ein simples Trace auf Netzwerkebene geholfen. So
lässt sich nachvollziehen, welche DNS-Anfragen ein Client stellt und welche
Antworten er per DNS bekommt -- auch hinsichtlich der zeitlichen Abfolge.
Klar, so ein Trace zu lesen braucht Zeit - aber ist ungemein lehrreich ;-)
Cheers,
Florian
> -----Original Message-----
> From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of
> Patrick Frei
> Sent: Dienstag, 28. September 2010 17:41
> To: adde@xxxxxxxxxxxxx
> Subject: [adde] AW: AW: AW: AW: AW: AW: AW: GPO Problem nach Ausfall
> eines DC
>
> Hallo zusammen
>
> Update zum Problem:
> Die defekte Server-HW (Raid Controller) wurde inzwischen repariert und ich
> konnte den DC ohne Neuinstallation wieder in Betrieb nehmen. Die
> Synchronisation zwischen den beiden DC's klappt auch. Die 5 Computer
> welche Probleme hatten bzw. sporadisch den nicht existierenden DC
> kontaktierten scheinen auch wieder "zufrieden" zu sein.
>
> Ich werde nun vermutlich diese 5 Computer neu installieren, damit bei
einem
> späteren Ausfall eines DC's nicht das gleiche Problem wieder auftritt.
> Leider konnte ich die genau Ursache nicht feststellen.
>
> Ich möchte allen nochmals danken für die Hilfe.
>
>
> Mit freundlichen Grüssen
>
> Patrick Frei <frei@xxxxxxxxxxxx> support: +41 44 633 2668
> dipl. Informationstechniker HF voice: +41 44 633 6266
> IT Services Group, HPT D 19
> Department of Physics, ETH Zurich
> CH-8093 Zurich, Switzerland http://nic.phys.ethz.ch/
>
>
>
>
> -----Ursprüngliche Nachricht-----
> Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
> Andreas Michelfeit
> Gesendet: Montag, 27. September 2010 16:19
> An: adde@xxxxxxxxxxxxx
> Betreff: [adde] AW: AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines
> DC
>
> Hallo,
> wenn das eine Windows 2008 Umgebung ist, dann ist es ausreichend einfach
> in der MMC Users and Computers, das Computerkonto des DC's zu
> entfernen.
> Siehe Seite 38 des Forest Recovery Whitepapers:
> http://www.microsoft.com/downloads/en/details.aspx?FamilyID=AFE436FA
> -8E8A-44
> 3A-9027-C522DEE35D85
>
>
> Sonst bleibt nur wie von Andreas beschrieben ntdsutil.
>
> Andreas
>
> -----Ursprüngliche Nachricht-----
> Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
> Andreas.Koch@xxxxxx
> Gesendet: Montag, 27. September 2010 15:57
> An: adde@xxxxxxxxxxxxx
> Betreff: [adde] AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines DC
>
> Hallo Patrick,
>
> >Gibt es da ein spezielles Vorgehen? Soll ich einfach den Server neu
> installieren dann die Roles "Active Directory Domain Services" und "DNS"
> >hinzufügen und diesen als neuen zusätzlichen DC wieder in die Domain
> hinzufügen?
>
> >Oder muss ich vorher im DNS noch srv und andere Records rauslöschen? Er
> soll wieder den gleichen Hostnamen und IP Adresse bekommen.
>
> Hier findest du die entsprechenden Informationen, was du tun musst, um
> einen DC gewaltsam aus der Domäne zu entfernen.
>
> http://www.faq-o-matic.net/2003/01/19/wie-kann-ich-active-directory-von-
> eine
> m-dc-gewaltsam-entfernen/
>
> http://support.microsoft.com/default.aspx?scid=kb;en-us;216498
>
>
>
> Mit freundlichen Grüßen
>
> Andreas Koch
>
> Systemadministrator
> Netze, Client-Server, Telekommunikation
> Deutsche Amphibolin-Werke
> von Robert Murjahn Stiftung & Co KG
> Roßdörfer Str. 50
> D-64372 Ober-Ramstadt
> Tel.: +49-6154/71-1330
> Fax: +49-6154/71-991330
> eMail: andreas.koch@xxxxxx
> Internet: http://www.caparol.de
>
>
>
> __________________________________________________________
> __________________
> __________________________________________________
>
> Deutsche Amphibolin-Werke von Robert Murjahn Stiftung & Co KG
> Roßdörfer Straße 50, 64372 Ober-Ramstadt Amtsgericht Darmstadt HR A 5541
> Persönlich haftender Gesellschafter:
> CAPAROL Stiftung
> Roßdörfer Straße 50, 64372 Ober-Ramstadt Amtsgericht Darmstadt HR A 6927
> Vorstand: Dr. Klaus Murjahn, Deutsche Amphibolin-Werke von Robert
> Murjahn Verwaltungs-GmbH Deutsche Amphibolin-Werke von Robert
> Murjahn Verwaltungs-GmbH Roßdörfer Straße 50, 64372 Ober-Ramstadt
> Amtsgericht Darmstadt HR B 4000
> Geschäftsführer: Dr. Ralf Murjahn (Vors.), Arie van Dieren, Christoph H.
> Hentzen, Dr. Helmut Plum, Rainer Reucker
> __________________________________________________________
> __________________
> ___________________________________________________
>
>
> -----Ursprüngliche Nachricht-----
> Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
> Patrick Frei
> Gesendet: Montag, 27. September 2010 15:17
> An: adde@xxxxxxxxxxxxx
> Betreff: [adde] AW: AW: AW: AW: GPO Problem nach Ausfall eines DC
>
> Hallo Björn
>
> >> Im DNS sind die srv Einträge korrekt drin?
> Ja soweit ich dies beurteilen kann. Es sind dort immer beide DC
eingetragen
> der ad1 und ad2 wobei wie gesagt der ad2 nicht mehr läuft.
>
> >> Sind die Computerkonten der Rechner irgendwie anders als die
> restlichen?
> Nein sieht nicht so aus. Alle Rechner sind auch in der selben OU.
>
> >> Sind diese Rechner evtl. in einer anderen Site?
> Nein, wir haben nur eine Site die "Default-First-Site-Name".
>
>
> Eine Zusatzfrage:
> Vermutlich muss ich den defekten DC nach der Reparatur neu installieren da
> das Filesystem vermutlich defekt ist (wegen einem HD Controller Fehler).
>
> Gibt es da ein spezielles Vorgehen? Soll ich einfach den Server neu
> installieren dann die Roles "Active Directory Domain Services" und "DNS"
> hinzufügen und diesen als neuen zusätzlichen DC wieder in die Domain
> hinzufügen?
>
> Oder muss ich vorher im DNS noch srv und andere Records rauslöschen? Er
> soll wieder den gleichen Hostnamen und IP Adresse bekommen.
>
> MfG
> Patrick Frei
>
>
> -----Ursprüngliche Nachricht-----
> Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
> Kolbe Björn
> Gesendet: Montag, 27. September 2010 13:49
> An: adde@xxxxxxxxxxxxx
> Betreff: [adde] AW: AW: AW: GPO Problem nach Ausfall eines DC
>
> Im DNS sind die srv Einträge korrekt drin? Sind die Computerkonten der
> Rechner irgendwie anders als die restlichen? Sind diese Rechner evtl. in
einer
> anderen Site?
>
> mit freundlichen Grüßen,
>
> Björn Kolbe
>
> --------------
> Björn Kolbe
> IT-Abteilung
>
>
> Max-Planck-Institut für Geistiges Eigentum,
> Wettbewerbs- und Steuerrecht
> Marstallplatz 1
>
> 80539 München
>
>
> Tel.: +49 89 24246 310
> Fax: +49 89 24246 502
> Mail: bjoern.kolbe@xxxxxxxxx
> Web: http://www.ip.mpg.de
>
>
>
> > -----Ursprüngliche Nachricht-----
> > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag
> > von Patrick Frei
> > Gesendet: Montag, 27. September 2010 10:05
> > An: adde@xxxxxxxxxxxxx
> > Betreff: [adde] AW: AW: GPO Problem nach Ausfall eines DC
> >
> > Hallo Björn
> >
> > Das Sysvol ist nur von diesen 5 Clients aus nicht erreichbar und daher
> können
> > auch keine anderen GPO gelesen werden.
> > Die restlichen 85 Clients können problemlos mit dem verbleibenden DC
> > kommunizieren.
> >
> > Einer der Problemcomputer habe ich mal aus der Domain und neu
> > gejoined, dann hat das GPO lesen wieder funktioniert nach etwa einem
> > halben Tag wieder nicht mehr.
> > Gpudate bringt dann die selben Fehler die ich unten schon aus dem
> > Eventlog gepostet habe.
> >
> >
> > Gruss
> > Patrick Frei
> >
> >
> > -----Ursprüngliche Nachricht-----
> > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag
> > von Kolbe Björn
> > Gesendet: Montag, 27. September 2010 09:31
> > An: adde@xxxxxxxxxxxxx
> > Betreff: [adde] AW: GPO Problem nach Ausfall eines DC
> >
> > Guten Morgen,
> >
> > was sagen denn die Logs auf dem verbliebenen DC? Ist sysvol
> > grundsätzlich verfügbar? Kann nur diese eine GPO nicht angewendet
> > werden oder auch andere?
> >
> >
> > mit freundlichen Grüßen,
> >
> > Björn Kolbe
> >
> > --------------
> > Björn Kolbe
> > IT-Abteilung
> >
> >
> > Max-Planck-Institut für Geistiges Eigentum,
> > Wettbewerbs- und Steuerrecht
> > Marstallplatz 1
> >
> > 80539 München
> >
> >
> > Tel.: +49 89 24246 310
> > Fax: +49 89 24246 502
> > Mail: bjoern.kolbe@xxxxxxxxx
> > Web: http://www.ip.mpg.de
> >
> >
> >
> > > -----Ursprüngliche Nachricht-----
> > > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag
> > > von Patrick Frei
> > > Gesendet: Montag, 27. September 2010 09:25
> > > An: adde@xxxxxxxxxxxxx
> > > Betreff: [adde] GPO Problem nach Ausfall eines DC
> > >
> > > Hallo zusammen
> > >
> > > Unser Setup sieht folgendermassen aus:
> > >
> > > - 2 DC (ad1 & ad2) welche am gleichen (einzigen Standort) vorhanden
> sind.
> > > Installiert mit Server 2008 32 bit.
> > > - Auf beiden läuft ein DNS Server welche bei den Clients als
> > > Primary und Secondary DNS Server eingetragen sind.
> > > - etwa 90 Stk. Windows 7 Clients
> > >
> > > Nun ist einer der DC (ad2) wegen einem HW Defekt ausgefallen. Von
> > > diesen
> > > 90 Clients haben seither etwa 5 Stk. Probleme bekommen.
> > > Sie können keine GPO mehr lesen und somit z.B. auch kein Logon
> > > Script mehr.
> > > Die Fehlermeldung im Event log der Clients sieht so aus:
> > > -----------------------------------
> > > Sys: E 'Mon Sep 27 08:58:25 2010': Microsoft-Windows-GroupPolicy
> > > 1058 -
> "
> > > Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die
> > > Datei
> > > "\\xy.meineDomain.ch\sysvol\xy.meineDomain.ch\Policies\{31B2F340-
> > 016D-
> > > 11D2-9
> > > 45F-00C04FB984F9}\gpt.ini"
> > > von einem Domänencontroller zu lesen, war nicht erfolgreich. Die
> > > Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis
> > > dieses Ereignis behoben ist. Dies ist möglicherweise ein
> > > vorübergehendes Problem, das mindestens eine der folgenden
> Ursachen
> > haben kann:
> > > a) Namensauflösung/Netzwerkverbindung
> > > mit dem aktuellen Domänencontroller.
> > > b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen
> > > Domänencontroller erstellte Datei hat nicht auf dem aktuellen
> > > Domänencontroller repliziert).
> > > c) Der
> > > DFS-Client (Distributed File System) wurde deaktiviert."
> > > -----------------------------------
> > >
> > > Es sieht so aus, dass die Clients versuchen den DC zu kontaktieren
> > > der
> > nicht
> > > mehr online ist. Aber warum ist dies so?
> > > Nach meinem Verständnis sollte doch automatisch derjenige DC
> > verwenden
> > > werden welche auch verfügbar ist, in meinem Fall den ad1.
> > > Namesauflösungsprobleme scheinen es nicht zu sein, da ich von den
> > > betroffen Clients aus den ad1 anpingen sowie nslookupen kann.
> > > Der Zugriff auf
> > > "\\xy.meineDomain.ch\sysvol\xy.meineDomain.ch\Policies\{31B2F340-
> > 016D-
> > > 11D2-9
> > > 45F-00C04FB984F9}\gpt.ini" ist jedoch nicht möglich.
> > >
> > > Kann mir jemand weiterhelfen was hier falsch läuft bzw. ich tun
> > > muss,
> > damit
> > > zukünftig diese 5 Clients den funktionsfähigen DC kontaktieren bis
> > > ich den defekten DC wieder Online habe?
> > >
> > > Vielen Dank im Voraus für die Hilfe.
> > >
> > >
> > > Mit freundlichen Grüssen
> > >
> > > Patrick Frei <frei@xxxxxxxxxxxx> support: +41 44 633 2668
> > > dipl. Informationstechniker HF voice: +41 44 633 6266
> > > IT Services Group, HPT D 19
> > > Department of Physics, ETH Zurich
> > > CH-8093 Zurich, Switzerland http://nic.phys.ethz.ch/
> > >
> > >
> >
> >
> >
>
>
>
>
>
>
>
>
Other related posts:
