[adde] AW: NtFrs 13508 + 13568

• From: Andreas Michelfeit <Andreas.Michelfeit@xxxxxxxxxxxxx>
• To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
• Date: Wed, 8 Sep 2010 15:10:45 +0000

Hallo Frank,

see inline in grün



-----Ursprüngliche Nachricht-----
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Frank 
Fischer
Gesendet: Mittwoch, 08. September 2010 16:41
An: adde@xxxxxxxxxxxxx
Betreff: [adde] NtFrs 13508 + 13568



Hallo zusammen,

in einer Domäne mit 2 DCs finde ich im Eventlog von Server1 die Meldung NtFrs 
13568 und im Eventlog von Server2 die Meldung NtFrs 13508.

Verursacht vermutlich/evtl. durch eine volle Systempartition von Server1, wurde 
zu spät bemerkt.

Server1:

Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN 
SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet.

Name des Replikatsatzes    : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Replikatstammpfad           : "c:\windows\sysvol\domain"

Replikatstammvolume         : "\\.\C:<file:///\\.\C:>" n%

Ein Replikatsatz stößt auf JRNL_WRAP_ERROR, wenn der Eintrag, von dem gelesen 
werden soll, nicht vom NTFS-USN-Journal gefunden wird. Mögliche Ursachen 
hierfür sind: n%

Server2:

Der Dateireplikationsdienst konnte die Replikation von SERVER1 nach SERVER2 für 
c:\windows\sysvol\domain mit DNS-Namen SERVER1.domainname.local nicht 
aktivieren. Es wird ein neuer Versuch gestartet.

Ich versuche anhand der Anleitung 
http://blog.dikmenoglu.de/Dateireplikationsfehler+Mit+Der+ID+13568.aspx die 
Fehler zu beheben, habe aber noch ein paar Fragen dazu.

"Enable Journal Wrap Automatic Restore“ werde ich demnach nicht verwenden, da 
nicht empfohlen.

Die einzelnen Schritte/ Überprüfungen laut Anleitung:

1. SYSVOL-Verzeichnisse existieren auf beiden Servern und sind freigegeben. 
Ordner + Dateianzahl sind identisch, unterscheiden sich aber anhand der 
Gesamtgröße.

2. Bei den NTFS-Junction Points fallen Ungereimtheiten auf:

Server1:

Source  C:\WINDOWS\SYSVOL\sysvol\domainname.local is linked to 
C:\WINDOWS\SYSVOL\domain

Server2:

Source  C:\WINDOWS\SYSVOL\sysvol\domainname.local is linked to 
C:\WINDOWS\SYSVOL\domain? (das Fragezeichen ist kein Schreibfehler von mir 
sondern wird so aufgelistet)

--> Frage 1: Muss ich diesen „falschen“ Junction Point auf Server2

--> löschen oder kann ich den einfach neu setzen mit „Linkd

--> %Systemroot%\SYSVOL\SYSVOL\<DNS-Domänenname>

--> %Systemroot%\sysvol\domain“

Falls nötig, wie lösche ich den Junction Point? Linkd source /d löscht wohl den 
ganzen Source Ordner?



Zuerst würde ich alles aus  DC2\%systemroot%\sysvol\domain  in einen anderen 
Ordner kopieren um die Daten sicher zu behalten.



Linkd source /d löscht den Link, und ja ich würde den neu setzen.

--> Frage 2: “Linkd %Systemroot%\SYSVOL\staging areas\<DNS-Domänenname> 
%Systemroot%\SYSVOL\staging\domain” muss ich dann wohl auf beiden Servern 
ausführen, da dieser Junction Point auf beiden fehlt?



Fehlt der wirklich? Wenn ja, dann ja.

3. ADSIEdit: „NTFRS Subscriptions“ Objekte existieren für beide Server.

4. Nach Anleitung folgt jetzt Dienst Stop auf beiden Servern.

5. Anschließend sind nach Anleitung „Burflags“ zu setzen mit „D2“ und „D4“.

--> Frage 3: Welchen Flag setze ich denn jetzt auf welchem Server? Hilft evtl. 
dass EventID 13508 nur auf Server2 und EventID 13568 nur auf Server1 auftaucht? 
Woher erkenne ich, welches Sysvol vollständig ist?



So wie ich das sehe ist ja nur der DC1 der den 13568 Event hat beleidigt. Der 
andere loggt ja nur den 13508 weil er von DC1 nicht replizeren kann weil da ja 
der Journal Wrap ist.



Also:

Auf DC2 den Dienst weiterlaufen lassen.

Auf DC1:

Net stop ntfrs

Dann den regkey setzen

Und dann wieder service starten.



Alternativ kannst Du auch diese CMD Datei ausführen:



echo off

REM set DCNAME=

set /p DCNAME="                          DCNAME:"



psexec \\%DCNAME% net stop ntfrs

reg add 
"\\%DCNAME%\HKLM\system\currentcontrolset\services\ntfrs\parameters\backup/restore\process
 at startup" /v BurFlags /t REG_DWORD  /d 210 /f

psexec  \\%DCNAME% net start ntfrs



psexec sollte dabei im gleiche Ordner wie das cmd sein.





6. Dienst auf Server mit D4 starten, warten auf EventID 13566, warten auf 
EventID 13516 7. Dienst auf Server mit D2 starten, warten auf EventID 16565, 
warten auf EventID 13516 8. Abschließendes Überprüfen mit diversen Tools.



13616 sollte auf DC1 auftauchen



--> Frage 4: Habe ich sonst noch was vergessen oder muss ich irgendwas beachten?



Ja- wenn Dc1 der PDC ist, dann ist es sehr wahrscheinlich, daß Du auf diesem 
Aatuellere Versionen der GPO’s oder Logon Scripts hast, die dann nicht auf DC2 
repliziert wurden, da Dc1 schon im Journal Wrap war. Da würde ich mal nachsehen 
welche Änderungen seit dem ersten 13568 auf DC1 im sysvol gemacht wurden.

Nach dem D2 schau bitte auf DC1 im Verzeichnis 
%systemroot%\sysvol\Preexistinfiles_seeeventlog (oder so ähnlich heißt das) 
nach ob da noch Daten sind die Du brauchen kannst.

Schöne Grüße und herzlichen Dank schon im Voraus.



Frank

___________________________________________________________

WEB.DE DSL SOMMER-SPECIAL: Surf & Phone Flat 16.000 für nur 19,99 &euro;/mtl.!* 
http://produkte.web.de/go/DSL-Doppel-Flatrate/2

• References:
  • [adde] NtFrs 13508 + 13568
    • From: Frank Fischer

Other related posts:

• » [adde] AW: NtFrs 13508 + 13568 - Andreas Michelfeit

1. Home
2. adde
3. Archive
4. 09-2010

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---