Problem mit Active Directory & 2 Servern

Hallo,

Wir haben hier zwei Windows 2000-Server die ein Active Directory verwalten. Das ging für einige Zeit gut, dann ist aber einer der Server wegen einem Hardwareproblem für längere Zeit ausgefallen. Der andere hat in dieser Zeit alle Aufgaben problemlos übernommen, also soweit so gut.

Nachdem der ausgefallene Server aber wieder in Betrieb genommen wurde bekommen wir jetzt bei den Clients beim Anmelden (mit Domänen-Account) die Meldung, dass ein Problem mit dem Computerkonto besteht. In der Ereignisanzeige von dem ehemals ausgefallenen Computer findet sich folgender Eintrag:

„Die Einrichtung einer Sitzung von Computer „“ ist an der Authentifizierung gescheitert. Der Kontoname in der Sicherheitsdatenbank ist $. Folgender Fehler ist aufgetreten:
Zugriff verweigert“

Den eigentlichen Rechnernamen habe ich in dem Fehler duch ersetzt.

Weiters finden sich noch folgende Fehler/Warnungen von denen ich nicht weiss ob sie mit dem Problem zusammenhängen:

Warnung: „Der Redirectordienst konnte den Sicherheitskontext oder die Abfragekontextattribute nicht initialisieren.“

Fehler: „Der Hauptsuchdienst erhielt eine Serverankndigung vom Computer „W2KSERVER“, der der Hauptsuchdienst der Domne fr den NetBT_Tcpip_{8C63B4DA-006D-43E0-Transport zu sein scheint. Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.“

Warnung: „Dieser Host kann kein ACS sein, da das Active Directory nicht ordnungsgem mit der QoS-ACS-Management Console konfiguriert wurde. Konfigurieren Sie die Subnetze mithilfe QoS-ACS-Management Console.“

Fehler: „Der Windows NT-Domnencontroller fr diese Domne konnte nicht gefunden werden.“

Nachdem wir eigentlich keine Konfigurationsänderung durchgeführt haben und vorher alles prächtig funktioniert hat bin ich ein bißchen ratlos woran das Anmeldeproblem liegen könnte. Hat da vielleicht jemand Ideen?

Danke und Grüße, Robert

Habe jetzt noch gesehen, dass wenn ich auf dem ehemals ausgefallenen Server unter Active Directory-Benutzer und -Computer auf die Domäne klicke und Betriebsmaster auswähle, dann wird dort zwar der andere Server angezeigt, es steht aber dabei „Der aktuelle Betriebsmaster ist offline.“.

Weiters habe ich noch folgenden Eintrag im Ereignisprotokoll gefunden:

"Der Dateireplikationsdienst konnte die Replikation von W2KSERVER nach SRV-W2K-2 für c:\winnt\sysvol\domain mit DNS-Namen w2kserver.network42.local nicht aktivieren. Es wird ein neuer Versuch gestartet.
Mögliche Ursachen für diese Warnung sind:

[1] Der DNS-Name w2kserver.network42.local von diesem Computer konnte nicht ausgewertet werden.
[2] Der Dateireplikationsdienst wird auf w2kserver.network42.local nicht ausgeführt.
[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert.

Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde."

1 und 2 habe ich überprüft und ist in Ordnung, 3 verstehe ich nicht ganz, weiss jemand wie man Topologieinformationen repliziert? Ich bin aber auch hier nicht sicher, ob dieser Eintrag mit dem eigentlichen Problem zusammenhängt.

Danke und Grüße, Robert

Da tippe ich mal auf Probleme mit den Betriebsmasterrollen. Da der 2. DC eine Zeitlang weg war und wahrscheinlich die Replikationsmasterrolle hatte, hast Du ein Problem. Eine Möglichkeit wäre alle 5 Betriebsmaster auf den funktionierenden DC zu ziehen. Ist aber nicht so ohne! Schau im Ereignissprotokoll nach den event Id´s und suche online in der knowledgebase von Mircosoft. Wie gesagt, ohne selber draufgeschaut zu haben, ist es unmöglich genaue Diagnosen zu stellen und Ratschläge zu geben. Hier hast Du ruck zuck die Domäne zerschossen!!! Das Problem der Clients, würde ich vorübergehend so lösen, auf dem defekten DC den Anmeldedienst deaktivieren, dann werden die Clients nur vom DC der ok ist authentifiziert. Dann den Fehler mit der KB von MS rausfinden, wenn Du zu unsicher bist, externen Dienstleister hinzuziehen.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Stefan,

Danke für deine Antwort.

Wir konnten das Problem jetzt lösen, und zwar haben wir mit den Windows 2000 Support Tools festgestellt, dass die Replikation nicht funktioniert und dann hat sich herausgestellt, dass der wiederhergestellte Server auch nicht über die Netzwerkumgebung auf den ersten Server zugreifen kann (während der Zugriff über die IP-Adresse funktioniert).

In der Microsoft KB hat sich dann ein Artikel gefunden der gerade dieses Problem beschreibt (http://support.microsoft.com/kb/826902/EN-US/) und die dort empfohlenen Maßnahmen haben es dann auch gelöst. Dazu muss man sagen, dass die dort beschriebenen Attributänderungen nicht notwendig waren (da die Werte alle korrekt waren) und eigentlich das reseten des „security channels“ zwischen den beiden Rechnern mit netdom.exe ausschlaggebend war.

Schöne Grüße, Robert