Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Verfolgung starten Optionen

Domänencrash

Logan / 7 Antworten / Baumansicht Nickles

Der PDC-Server wurde heruntergefahren, ohne dass ihm der Status aberkannt wurde und natürlich hat sich kurze Zeit später ein BDC zum PDC ernannt. Das Dumme ist nur, dass nach dem Neustart des ursprünglichen PDC-Servers die Domäne nicht mehr existierte. Ein Fehler mit fatalen Folgen. Der Produktivzustand ist wieder hergestellt. Allerdings ist der vermeintliche PDC aus dem Netz genommen worden. Wer kann mir nun erklären welche Prozesse die Domänenkontendatenbank zerschossen haben und ob ich diesen "PDC"-Server platt machen muss bevor ich ihn wieder als BDC in die Domäne aufnehmen kann.

Anonym Logan „Domänencrash“
Optionen

schwieriges Problem, also das sich der bdc nach gewisser zeit zum odc ernennt ist klar, aber das der ander dann gleich nicht mehr funzt ist komisch. Versuche es mal mit neu einspielen des Servicepacks, das wirkt manchmal wunder. Ansonsten ist es das beste den Server neu aufzusetzten, was ja auch nicht weiter tragisch ist, da sich beide Server abgleichen.

oknittel Logan „Domänencrash“
Optionen

Da muß ich Dir leider sagen, daß du ein NT Server neu installieren mußt. Es kann nur einen PDC geben. Eine Herrabstufung vom PDC zum BDC ist nicht möglich - geht nur wenn 1 PDC und x BDC im Netz sind aber nicht bei 2 PDC. Als nütze die change einen "sauberen" Server zu bekommen.

MfG

Oliver Knittel

(Anonym) Logan „Domänencrash“
Optionen

Ehrm... ein BDC stuft sich doch nicht alleine zum PDC auf wenn dieser fehlt. Oder irre ich mich da? Ich weiß nur daß sich ein PDC zu einem BDC selbst(!) herabstuft wenn ein neuer PDC plötzlich da ist...

FHWI Logan „Domänencrash“
Optionen

High;-)

ich meine auch, daß sich ein BDC nicht von alleine zum PDC "ernennt".
Im Normalfall nimmt man den PDC vom Netz, stuft einen BDC zum PDC herauf ( der aktuelle PDC wird zum BDC ) und fährt das Netzwerk in dieser Konfiguration, so lange der eigentliche PDC offline ist.

Wird der ursprüngliche PDC ( als BDC )wieder online geschaltet, stuft man den BDC herauf zum PDC und aktiviert den alten PDC wieder im Netz. Der alte Zustand ist wiederhergestellt.

Es gibt zwei Möglichkeiten einen BDC zum PDC heraufzustufen:

1. Im Server-Manager den BDC auswählen und die Option "Heraufstufen zum Primären Domänen Controller" auswählen. Der aktuelle PDC wird automatisch zum BDC herabgestuft und kann zu Wartungszwecken aus dem Netz genommen werden (der oben beschriebene Fall).

2. Ist der alte PDC ( "wirklich nur 5 Minuten,Chef" ) beim Heraufstufen eines BDC offline, sieht es ein wenig anders aus:
Du stufst den ausgewählten BDC wie beschrieben auf und führst außerdem folgendes aus: Wird der alte PDC wieder im Netz aktiv, stufst du ihn zunächst zum BDC herab.

Standardmäßig erfolgt die Synchronisation der Kontendatenbank der Domäne alle fünf Minuten. Es gibt zwei Arten: Vollsynchronisation und Teilsynchronisation. Im Server-Manager kannst du über "Synchronisieren der ganzen Domäne" eine Synchronisation der Domäne erzwingen.

Dein Problem klingt nach etwas, das ich ebenfalls schon zu lösen hatte: PDC fällt aus, BDC hochgestuft und Kollege schießt den alten PDC einfach hoch.
Dabei hats sich bei uns ein Eintrag in der Reg verabschiedet (frag mich nicht wie ):

HKEY_LOCAL_MACHINE/system/CurentControlSet/Services/NetLogon/Parameters.
Hier gibt es zwei Werte, Pulse, die Zeitfrequenz der Aktualisierungen zwischen den Domänen-Controllern und PulseCurrency, die zahl der Impulse pro Zeiteinheit, die bei der Synchronisation versandt werden.
Aufgefallen ist es uns, als bei der manuell erzwungenen Synchronisation der SAM nichts passiert ist. Beide Datentypen sind REG_DWORD. Trag einen Wert um die 300 ein, das ist der Standard.

Eine andere mögliche Lösung für dein Problem: Stufe deinen alten PDC unter Computersuchdienst in der Netzwerkverwaltung zum Sicherungssuchdienst herab, vielleicht ist da irgendwas durcheinandergeraten und er kann sich daher nicht mal mehr als BDC in die Domäne integrieren.

MfG;
Frank


erol.c (Anonym) FHWI „High - ich meine auch, daß sich ein BDC nicht von alleine zum PDC ernennt .Im...“
Optionen

Genau der Normalfall ist nicht eingetreten!

Der PDC wurde vom Netz genommen, ohne das zuvor der BDC zum PDC heraufgestuft wurde.
Soweit die Auswertung der Systemprotokolle beider Controller. Das ein Registryeintrag abgeschossen wurde,
erscheint mir plausibel. Allerdings vermute ich, dass darüberhinaus der Repl.Govener
für das Desaster mitverantwortlich gewesen ist. Dieser Dienst ist schliesslich verantwortlich für die Anforderung
der Verzeichnisdatenbank vom PDC (alle fünf Minuten). Allerdings ist noch unklar, warum eine Inkonsistenz der Verzeichnisdatenbank
entstehen kann, wenn wir von zwei PDC ausgehen, die sich gegenseitig bekriegen. Mögliche Erklärung: der "Klügere"
gab schliesslich nach und der neu ernannte PDC verfügte über eine nicht aktuelle Verzeichnisdatenbank. Und darauffolgende
Teilsynchronisatioenen führten immerwieder zu einer inkonsistenen Verzeichnisdatenbank (SAM). Der Fehler wurde erst
zwei Wochen später von mir entdeckt, als neu definierte NTFS-Berechtigungen in Freigaben plötzlich nicht mehr griffen.
Nach einer darauffolgenden manuell eingeleiteten Vollsynchronisation der ganzen Domäne, sind gar neu angelegte Benutzerkonten
aus der Verzeichnisdatenbank verschwunden.

MfG
Erol

FHWI Logan „Domänencrash“
Optionen

High;-)


Änderungen an der SAM werden immer auf dem PDC durchgeführt, da der BDC eine Read-Only-Copy der SAM fährt. Du änderst die SAM per Eintrag eines neuen Users und die Änderung wird auf die BDC's repliziert. Ansonsten könnte es ja zu Inkonsistenzen führen, wenn zwei SAM's gleichzeitig geändert werden. Gehen bei der vom PDC ausgehenden Replikation Konten verloren, war die replizierte SAM meiner Meinung nach nicht aktuell.

Unter den oben geposteten Reg-Unterschlüssels kannst du auch einstellen, wie oft ein BDC auf die Synchronisationsanfrage des PDC reagiert und wie viele Daten übertragen werden ( Bandbreite ). Stell einen Wert zwischen 0 und 100 ein, je nach Anforderung. Datentyp ist wieder Reg_DWORD. Steht der Wert auf 0, wird die Aktualisierung erst gar nicht begonnen.

Ich glaube nicht, daß sich die beiden PDC's bekriegt haben. Ich denke, es ging eher um die Frage, wer Domain Master Browser wird.
Es kann nur einen solchen geben und das ist immer der PDC.
Gibt es in einer Domäne oder Subdomäne zwei gleichrangige Suchdienste gewinnt derjenige, der schon länger online ist. sind beide zur gleichen zeit hochgefahren, gehen beide kurz runter von der Rolle als Suchdienst im NW und nach einer zufälligen Zeit wieder online als Suchdienst. Dabei gewinnt dann der erste Computer, der online ist. Zumindest bei den Hauptsuchdiensten einer Teildomäne im Netz ( BDC ), die wiederum die Ressourcenliste auf die Sicherungssuchdienste verteilen. Ob das beim Domain Master Browser ebenso ist, kann ich dir nicht genau sagen, denke es aber.

Du findest den Eintrag der Suchdienste unter:
HKEY_LOCAL_MACHINE\CurentControlSet\Services\BROWSER\Parameters\MaintainServerList

Hier gibt es die Einstellungen Ja,Nein,Auto, die festlegen, ob ein Computer Suchdienst werden kann.

Crasht sich ein DomänenHauptsuchdienst mit einem anderen PDC, meldet er sich nicht oder nur inkorrekt im Netz an ( war damals Teil unserer verbogenen Reg ).

MfG;
Frank

erol.c (Anonym) FHWI „High - Änderungen an der SAM werden immer auf dem PDC durchgeführt, da der BDC...“
Optionen

Ja natürlich gibt es pro Domäne einen Master Browser, der den Hauptsuchdienst repräsentiert und im Normalfall ist es der PDC.

Die Resourcenverwaltung wurde von diesem Crash natürlich ebenfalls tangiert. Einträge in der Kontendatenbank der Domäne
und NTFS Berechtigungen innerhalb Freigaben waren plötzlich verfälscht oder nicht mehr vorhanden. Alle Freigaben sind jedoch erhalten geblieben.

Diverse Einstellungen in der Registry zu optimieren, kann von Vorteil sein, insbesondere wenn der BDC seinen Standort
irgendwo in Welt hat und die Kommunikation über einen ISDN Router ( WAN ) erfolgt - Danke für die Tips!

Zurück zum Problemfall:
Die Replikationsanforderung leitet eigentlich der BDC ein. Bei einer Einzeldomäne mit nur einem Domänencontroller
findet folglich auch keine Replikation statt ( anders Verzeichnisreplikation ). Ergo müssen da nicht doch zwei PDC's sich bekriegt haben?
Gehen wir also von der wahrscheinlichsten Konstellation aus: Wenn der eine den anderen als seinen BDC
in seiner Computerdatenbank eingetragen sieht und eine Änderung, die bei einem PDC durchgeführt wird, z.B. die Neuanlage eines Benutzerkontos
definitiv zur Replikation der SAM führt. Und zwar stets weg vom PDC zum BDC. So dass immer wieder Konflikte auftraten, während einer Teilsynchronisation sowie
Vollsynchronisation.
Kann ein anderer Prozess auch zur Inkonsistenz der Domänenkontendatenbank geführt haben?
Meiner Meinung nach nur dann, wenn während einer laufenden Syschronisation
ein PDC-Ausfall sich ereignen würde? Dann dürften aber auch nur aktuelle Einträge verloren gehen und nicht Computerkonten die bereits 1 Jahr oder gar älter waren?!?!?

Der Domänenhauptsuchdienst verschiedener Domänen kann über Vertrauensstellungen koordiniert werden. Vorsich mit Registryeinstellungen.
Nur sollte hierbei das Domänenmodell bedacht werden:

Einzeldomäne
Einzelhaupdomäne
Mehrfachdomäne
Vollständiges Vertrauensverhältnis.

MfG;
Erol