5ain7 ga11 . CH || i7-l3ak5. CH || g07r007.CH

Ich hatte das Problem, dass ein DC nicht mehr replizierte. Der SysVol Share (Netlogon, etc) war vorhanden, aber die Files wurden nicht repliziert.

Im Log sah man folgende Meldung:

/SNIP

The File Replication Service has detected that the replica root path has changed from “c:\windows\sysvol\domain” to “c:\windows\sysvol\domain”. If this is an intentional move then a file with the name NTFRS_CMD_FILE_MOVE_ROOT needs to be created under the new root path.
This was detected for the following replica set:
“DOMAIN SYSTEM VOLUME (SYSVOL SHARE)”

Changing the replica root path is a two step process which is triggered by the creation of the NTFRS_CMD_FILE_MOVE_ROOT file.

[1] At the first poll which will occur in 60 minutes this computer will be deleted from the replica set.
[2] At the poll following the deletion this computer will be re-added to the replica set with the new root path. This re-addition will trigger a full tree sync for the replica set. At the end of the sync all the files will be at the new location. The files may or may not be deleted from the old location depending on whether they are needed or not.

For more information, see Help and Support Center at

\SNIP

Der Server wurde scheinbar mal virtualisiert (P2V)….

Folgendes schafft Abhilfe:

The solution to the problem is to create a file in the c:\windows\sysvol\domain” named NTFRS_CMD_FILE_MOVE_ROOT with out any file extension, then restart the
file replication service.

Ich musste noch den noch Replikationsintervall abwarten. Danach wurden folgende EventLogs publiziert:

Wenn man z.B. Fileserver unter einem Alias (CNAME) zur Verfügung stellen möchte

z.B. CNAME \\FILESERVICE\Share von \\FILTESERVER01\SHARE

dann streiken

– Windows XP

– Windows Server 2003 Server

mit dem Zugriff. Es erscheint folgende Meldung: <Duplicate Name Exists on the Network>

Hier muss auf dem Fileserver das StrictNameChecking deaktiviert und ein SPN (http://msdn.microsoft.com/de-de/library/cc281382.aspx) gesetzt werden.

Lösung für Server 2008 R2 (auf dem Fileserver):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

neuer DWORD Eintrag:

Value name: DisableStrictNameChecking
Data type: REG_DWORD
Radix: Decimal
Value: 1

danach noch einen SPN setzten:

setspn -A host/<your_ALIAS_name> <ServerrName>

Ich hatte nach einer sonst erfolgreichen Domänen Migration von 2003 nach 2012 R2 das Problem, dass sich diverse Clients, Server, ja sogar die Domänen Controller selbst, keine Anmeldung mehr erlaubten. Es kam die Meldung:

“Anmeldung verweigert”. Nach dem Reboot, war alles für eine unbestimmt Zeit wieder OK.

Folgende Meldung erschien auf dem betroffenden Domänen Controller

<Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server “CLIENTNAME$” empfangen. Der verwendete Zielname war CLIENTNAME$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DOMAINFQDN) von der Clientdomäne DOMAINFQDN) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.>

In den Foren fand man schnell heraus, dass das Problem scheinbar herumschwirrt, aber noch keine Lösung vorhanden ist. Der Microsoft Case wurde mir geschenkt, da jetzt ein offizieller Hotfix vorhanden ist.

http://support.microsoft.com/kb/2989971

Prerequs beachten:

<certutil -config – -ping>

und schon wird die CA angezeigt

Ich hatte folgende Meldung auf einem von zwei DCs. 

The File Replication Service has detected that the replica set “DOMAIN SYSTEM VOLUME (SYSVOL SHARE)” is in JRNL_WRAP_ERROR.

Replica set name is : “DOMAIN SYSTEM VOLUME (SYSVOL SHARE)”
Replica root path is : “c:\sysvol\domain”
Replica root volume is : “\\.\C:”
A Replica set hits JRNL_WRAP_ERROR when the record that it is trying to read from the NTFS USN journal is not found. This can occur because of one of the following reasons.

 Die Replikation vom AD aus ging grundsätzlich, die Filereplikation fuktioniert jedoch nicht.

 Journal Wrap kann mit folgenden Schritten recovered werden:

HKEY_LOCAL_MACHINE.
“System\CurrentControlSet\Services\NtFrs\Parameters”
“Enable Journal Wrap Automatic Restore”
Wert auf 1 setzen.

Wenn es den Wert nicht gibt, den DWORD erstellen. Anschliessen den NTFRS Dienst neu starten.

Im Eventlog unter sollte danach die ID 13560 erscheinen => alles wieder OK.

Wenn das Entfernen eines Domänencontrollers mit dcpromo.exe oder das demoten eines “werdenden” DCs fehlschlägt, dann wird das AD mit unbrauchbarem Müll gefüllt, welche teils Fehlermeldungen generieren. Server welche in Zukunft z.B. mit dem gleichem Namen ins AD integriert werden wollen können Fehler generieren. Wenn gewisse Einträge bereits in der Replikation eingetragen wurden, dann kann DCDIAG.exe ebenfalls einen Fehler melden.

Abhilfe schafft das NTDSUTIL.
To clean up metadata

1. At the command line, type Ntdsutil and press ENTER.
C:\WINDOWS>ntdsutil
ntdsutil:

2. At the Ntdsutil: prompt, type metadata cleanup and press Enter.
ntdsutil: metadata cleanup
metadata cleanup:

3. At the metadata cleanup: prompt, type connections and press Enter.
metadata cleanup: connections
server connections:

4. At the server connections: prompt, type connect to server , where is the domain controller (any functional domain controller in the same domain) from which you plan to clean up the metadata of the failed domain controller. Press Enter.
server connections: connect to server PROPER-DC
Binding to PROPER-DC …
Connected to PROPER-DC using credentials of locally logged on user.
server connections:
Note: Windows Server 2003 Service Pack 1 eliminates the need for the above step.

5. Type quit and press Enter to return you to the metadata cleanup: prompt.
server connections: q
metadata cleanup:

6. Type select operation target and press Enter.
metadata cleanup: Select operation target
select operation target:

7. Type list domains and press Enter. This lists all domains in the forest with a number associated with each.
select operation target: list domains
Found 1 domain(s)
0 – DC=test,DC=local
select operation target:

8. Type select domain , where is the number corresponding to the domain in which the failed server was located. Press Enter.
select operation target: Select domain 0
No current site
Domain – DC=test,DC=local
No current server
No current Naming Context
select operation target:

9. Type list sites and press Enter.
select operation target: List sites
Found 1 site(s)
0 – CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
select operation target:

10. Type select site , where refers to the number of the site in which the domain controller was a member. Press Enter.
select operation target: Select site 0
Site – CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
Domain – DC=test,DC=net
No current server
No current Naming Context
select operation target:

11. Type list servers in site and press Enter. This will list all servers in that site with a corresponding number.
select operation target: List servers in site
Found 2 server(s)
0 – CN=OLDDC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
1 – CN=OLDDC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
select operation target:

12. Type select server and press Enter, where refers to the domain controller to be removed.
select operation target: Select server 0
Site – CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
Domain – DC=test,DC=local
Server – CN=OLDDC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
DSA object – CN=NTDS Settings,CN=OLDDC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
DNS host name – OLDDC02.test.local
Computer object – CN=OLDDC02,OU=Domain Controllers,DC=test,DC=local
No current Naming Context
select operation target:

13. Type quit and press Enter. The Metadata cleanup menu is displayed.
select operation target: q
metadata cleanup:

14. Type remove selected server and press Enter.
You will receive a warning message. Read it, and if you agree, press Yes.

metadata cleanup: Remove selected server
“CN=OLDDC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local” removed from server “OLDDC01”
metadata cleanup:
At this point, Active Directory confirms that the domain controller was removed successfully. If you receive an error that the object could not be found, Active Directory might have already removed from the domain controller.

15. Type quit, and press Enter until you return to the command prompt.
 To remove the failed server object from the sites

16. In Active Directory Sites and Services, expand the appropriate site.
17. Delete the server object associated with the failed domain controller.

To remove the failed server object from the domain controllers container
18. In Active Directory Users and Computers, expand the domain controllers container.
19. Delete the computer object associated with the failed domain controller.

20. Windows Server 2003 AD might display a new type of question window, asking you if you want to delete the server object without performing a DCPROMO operation (which, of course, you cannot perform, otherwise you wouldn’t be reading this article, would you…) Select “This DC is permanently offline…” and click on the Delete button.

21. AD will display another confirmation window. If you’re sure that you want to delete the failed object, click Yes.

To remove the failed server object from DNS
22. In the DNS snap-in, expand the zone that is related to the domain from where the server has been removed.
23. Remove the CNAME record in the _msdcs.root domain of forest zone in DNS. You should also delete the HOSTNAME and other DNS records.

24. If you have reverse lookup zones, also remove the server from these zones.
Other considerations
Also, consider the following:
• If the removed domain controller was a global catalog server, evaluate whether application servers that pointed to the offline global catalog server must be pointed to a live global catalog server.
• If the removed DC was a global catalog server, evaluate whether an additional global catalog must be promoted to the address site, the domain, or the forest global catalog load.
• If the removed DC was a Flexible Single Master Operation (FSMO) role holder, relocate those roles to a live DC.
• If the removed DC was a DNS server, update the DNS client configuration on all member workstations, member servers, and other DCs that might have used this DNS server for name resolution. If it is required, modify the DHCP scope to reflect the removal of the DNS server.
• If the removed DC was a DNS server, update the Forwarder settings and the Delegation settings on any other DNS servers that might have pointed to the removed DC for name resolution

Ein Dank an (petri.co.il)

Exchange routing groups werden benötigt, wenn man eine Exchange 2003 – Exchange 2003 mixed Infrastrukur hat.

Der Exchange 2003 Server versteht keine Sites. Mit foldenen Befehlen kann man die Routings Groups genauer analysieren:

<get-routinggroupconnector>

=> listet eine grobe Übersicht über die vorhandenen RGCs

<get-routinggroupconnector | fl>

=> listet alle vorhandenen Infos über alle Gruppen auf (unübersichtlich)

<get-routinggroupconnector |fl targetroutinggroup,targettransportservers,sourcetransportservers>

=> listet überisichtlich die Target und Source Server der entsprechenden Gruppe auf

<get-routinggroupconnector |fl targetroutinggroup,targettransportservers,sourcetransportservers,cost>

=> listet zusätzlich noch die Kosten der Verbindung auf

Wie erstellt man jetzt eine neue Routing Group, z.B. für eine Exchange 2003-2010 Transition? Grundsätzlich wird die RGC automatisch erstellt, sollten jedoch der Mailflow nicht möglich sein, dann kann die RGC mit folgendem Befehl entfernt werden:

<remove-routinggroupconnector -identity “Exchange RGC”>

Eine neue RGC wird mit:

<New-RoutingGroupConnector -Name “Exchange RGC” -SourceTransportServers “Ex2010Hub1.contoso.com” -TargetTransportServers “Ex2003BH1.contoso.com” -Cost 10 -Bidirectional $true -PublicFolderReferralsEnabled $true>

erstellt.

Hier was für alle Ratten-Hasser und Keyboard Fetischisten. Folgende Windows-Command-Auflistung habe
ich im Netz gefunden und können nützlich sein und einem die Klickarbeit enorm erleichtern:

• Abmelden – logoff
  AC3 Filter (wenn installiert) – ac3filter.cpl
  Anzeigeeigenschaften – desk.cpl
  Automatische Updates – wuaucpl.cpl
  Benutzer – nusrmgr.cpl
  Benutzer und Gruppen lokal – lusrmgr.msc
  Bildschirmtastatur – osk
  Computerverwaltung – compmgmt.msc
  Datenträgerverwaltung – diskmgmt.msc
  Datum- undZeiteinstellungen – timedate.cpl
  Dienste – services.msc
  Direct X Control Panel (wenn installiert) – directx.cpl
  Direct X Troubleshooter – dxdiag
  Display Einstellungen – control desktop
  Drucker – printers
  Drucker und Faxgeräte – control printers
  Energieeinstellungen – powercfg.cpl
  Ereignissanzeige – eventvwr.msc
  Festplatten Partitionsmanager – diskpart
  Festplattenaufräumer – cleanmgr
  Festplattendefragmentierung – dfrg.msc
  Festplattenprüfung – chkdsk
  Findfast – findfast.cpl
  Freigaben verwalten – fsmgmt.msc
  geplante Aufgaben – control schedtasks
  Gruppenpolicyeditor (XP Prof) – gpedit.msc
  Hardware Assistent – hdwwiz.cpl
  Hardwaremanager – devmgmt.msc
  Hearts Kartenspiel – mshearts
  herunterfahren – shutdown
  Index Service – ciadv.msc
  Internet Explorer Eigenschaften – inetcpl.cpl
  Java Control Panel (wenn installiert) – javaws
  Java Control Panel (wenn installiert) – jpicpl32.cpl
  Kommandozeile – cmd
  Komponentendienste – dcomcnfg
  Ländereinstellungen – intl.cpl
  Mauseigenschaften – control mouse
  Mauseigenschaften – main.cpl
  Minesweeper Spiel (ganz wichtig) – winmine
  Nettwerk Verbindungen – ncpa.cpl
  Netzwerk Setup Wizard – netsetup.cpl
  Netzwerkverbindungen einstellen – control netconnections
  Notepad – notepad
  ODBC Datenquellen Administrator – odbccp32.cpl
  Ordnereigenschaften – control folders
  Password Properties – password.cpl
  Performance Monitor – perfmon
  Performance Monitor – perfmon.msc
  Programme entfernen/zufügen – appwiz.cpl
  Quicktime (wenn installiert) – QuickTime.cpl
  Registry Editor – regedit
  Registry Editor – regedt32
  Remote Desktop – mstsc
  Scanner und Kameraassistent – sticpl.cpl
  Schriften – control fonts
  SIcherheitscenter – wscui.cpl
  Sicherheitsrichtlinie lokal – secpol.msc
  Sound und Audio – mmsys.cpl
  Spider Solitare Kartenspiel- spider
  SQL Client Configuration – cliconfg
  System Eigenschaften – sysdm.cpl
  Systemkonfiguration Editor – sysedit
  Systemkonfiguration Tool – msconfig
  Taschenrechner – calc
  Task Manager – taskmgr
  Tastatureigenschaften – control keyboard
  Telefon und Modemoptionen – telephon.cpl
  Telnet Klient – telnet (muss bei Windows Vista erst nachinstalliert werden!)
  Verwaltung – control admintools
  Windows Firewall – firewall.cpl
  Windows Magnifier – magnify
  Windows Management Infrastructure – wmimgmt.msc
  Windows System Sicherheitstool – syskey
  Windows Update Manager – wupdmgr
  Windows XP Tour – tourstart
  Wordpad – write
  Zeichentabelle – charmap
  Zertifikat Manager – certmgr.msc
  Zwischenablage – clipbrd