Hyper-V, ADS-Controller und angewendete Snapshots [Update]

Die letzten vier Tage waren stressig. Aktuell sind aufgrund von Recherchen in meinem geliebten Firefox 93 Tabs auf, der Prozess braucht aktuell 723,616 KB an Arbeitsspeicher. Ich habe viel telefoniert, gesucht, in Remotedesktop-Sitzungen gehangen, die verschiedensten Dinge probiert und einen Fall bei Microsoft aufgemacht. Wozu all der Aufwand?

Bei einem unter HyperV betriebenen Domänencontroller wurde ein gemachter Snapshot angewandt. Hört sich eigentlich nicht wild an, allerdings hat dieser Domänencontroller (ein Small Business Server 2008 Std) einen Replizierungspartner (ein Windows Server 2003 Standard). Durch das Anwenden des Snapshots kam es zu einem Problem, das als das „USN Rollback„-Problem beschrieben wird. Ich möchte hier nicht näher auf eine Erklärung von USN usw eingehen, dazu gibt es genug Informationen im Netz.

Hier nun der komplette Ablauf des Problems inkl. Beschreibung der Lösung:

[singlepic id=1 w=320 h=240 float=right]Irgendwann nachmittags fingen die Clients an, eine Anmeldemaske im Outlook zu zeigen, allerdings wurde keine Eingabe als „gültig“ anerkannt. Nach einem Neustart des Servers bemerkte ich dann, das der Anmeldedienst (Netlogon) angehalten war. Ein Stop und Neustart des Dienstes brachte keine Besserung, erst nach einem Neustart des Clients war eine Anmeldung des Outlooks am Exchange-Server möglich. Das klappte allerdings auch nur ein paar Stunden, danach fingen die Probleme wieder an. Ein Blick in der Eventlog zeigte mir, das dort sehr viele Fehler geschmissen wurden. Kurz darauf wurde auch auf folgende Struktur im Hyper-V-Manager aufmerksam.[singlepic id=2 w=320 h=240 float=right] Anhand der Struktur lässt sich erkennen, das hier mehrere Snapshots gemacht wurden, und unter anderen ein Snapshot auch angewendet wurde (Mehr zu Snapshots) Durch dieses Anwenden kam es zu dem Fehler, der oben in dem Auszug aus der Ereignisanzeige zu sehen ist.

Nach einigem Suchen im Internet mit fast immer der gleichen Aussage (Neu aufsetzen, alles kaputt, „formatier doch“ usw) habe ich dann einen Supportfall bei Microsoft aufgemacht. Der Supportfall hat sich im Laufe der Bearbeitung in zwei „Bereiche“ aufgesplittet, einmal den Start des Netlogon-Dienstes wieder ohne Probleme hinzubekommen, und zweitens die Replizierung der Active Directory wieder zu starten, damit es nicht zu Authentifizierungsproblemen oder zur Ablehnung der Replizierung durch einen der beiden DCs kommt.

Den erfolgreichen Start des Netlogon-Dienstes wieder hinbekommen:

In der Registry unter „HKLM\System\CurrentControlSet\Services\NTDS\Parameters“ gibt es einen REG_DWORD mit dem Namen „Dsa Not Writable“. Dieser steht, wenn man kein Problem hat, auf „0“. In meinem Fall stand er auf „4“ ( DSA_WRITABLE_USNROLLBCK). Ich habe den Wert manuell auf „0“ gesetzt.

Zusätzlich habe ich einen REG_DWORD angelegt mit dem Namen „Ignore USN Rollback“, ebenfalls mit dem Wert „0“.

Nach dem Setzen dieser Keys habe ich das System neugestartet, und nach dem Neustart startete der Netlogon-Dienst auch problemlos.

Die erfolgreiche Replizierung wieder hinbekommen:

In der Ereignisanzeige des DCs tauchte immer wieder der folgende Fehler auf:

Dies ist der Replikationsstatus für die folgende Verzeichnispartition des  Verzeichnisservers.

Verzeichnispartition:
DC=xxxxxxx,DC=loc

Dieser Verzeichnisserver hat in jüngster Zeit von einigen  Verzeichnisservern keine Replikationsinformationen mehr erhalten. Die Anzahl an Verzeichnisservern wird unterteilt in die folgenden Intervalle gezeigt.

Länger als 24 Stunden:
1
Länger als eine Woche:
1
Länger als einen Monat:
1
Länger als zwei Monate:
0
Länger als die Tombstone-Verfallzeit:
0
Tombstone-Verfallzeit (in Tagen):
60
Bei Verzeichnisservern, die nicht rechtzeitig repliziert werden, können Fehler auftreten. Ihnen können Kennwortänderungen entgehen, und sie können daher ggf. nicht in authentifiziert werden. Einem Domänencontroller, der innerhalb der Tombstone-Verfallzeit nicht repliziert wurde, kann das Löschen von Objekten entgehen, und er wird ggf. für die zukünftige Replikation gesperrt, bis er wieder abgestimmt wurde.

Führen Sie dcdiag.exe aus, um Verzeichnisserver anhand des Namens zu identifizieren.
Sie können auch das Supporttool repadmin.exe verwenden, um Replikations- latenzzeiten der Domänencontroller in der Struktur anzuzeigen. Der Befehl lautet „repadmin /showvector /latency <partition-dn>“.

Die Replizierung lässt sich wieder aktivieren, indem man die beiden folgenden Befehle in der Kommandozeile eingibt:

repadmin /options „Servername“ -DISABLE_OUTBOUND_REPL

repadmin /options „Servername“ -DISABLE_INBOUND_REPL

„Servername“ muss ersetzt werden durch den Namen des Servers auf dem man gerade ist, in meinem Fall war das der SBS 2008, also der Server bei dem das USN-Rollback durchgeführt wurde. Nach der Eingabe dieser beiden Befehle erschien die folgende Meldung in der Ereignisanzeige:

Die ausgehende Replikation wurde vom Benutzer aktiviert.

Die eingehende Replikation wurde vom Benutzer aktiviert.

Weiterhin erschien kurze Zeit später die folgende Meldung:

Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet.

Ich habe dann die beiden Server noch ein wenig laufen lassen, und nach einiger Zeit einen neuen Benutzer auf dem Server 2003 angelegt, nach kurzer Zeit hatte der SBS 2008 durch die Replizierung auch die Infos.

Anmerkung: Das ganze hätte sehr kurz gedauert, allerdings ist das die Aufführung der Lösung die letztendlich zum Erfolg führte (mit Unterstützung des Microsoft Supports). Die komplette Prozedur hat sich über mehrere Tage gezogen, inkl. Kopieren der virtuellen Maschinen und Einspielen in einen unserer Hyper-V-Systeme als Testumgebung, da ich ungerne an lebenden DCs rumspiele :)

Update:

Ich wurde gestern morgen mit der Nachricht überrascht, das es wohl doch noch nicht so ganz läuft. Ich habe mir das ganze dann sowohl heute Nacht als auch von heute morgen bis grad angeguckt und das Eventlog durchforstet, mit Carsten über das Problem diskutiert, Google angestrengt und nach Hilfe ggesucht, fündig bin ich letztendlich (natürlich) bei Microsoft selbst, und zwar hat mir folgender Beitrag geholfen:
Domain controller is not functioning correctly

Durch den Befehl

netdom resetpwd /server:another domain controller /userd:domain\administrator /passwordd:administrator password

wird auf dem Haupt-Domänen-Controller das Passwort für das Computerkonto resetet (Methode 6: Reset the machine account password, and then obtain a new Kerberos ticket). Bitte darauf achten, das sowohl VOR dem Befehl wie auch NACH dem Befehl der DC neugestartet wird, da sonst eine Fehlermeldung erscheint und der Passwort-Reset nicht erfolgreich ist.

Nach dem Reset und dem Neustart des DCs tauchen diese wunderbaren Ereignisse in der Ereignisanzeige auf:

Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers „SERVER2“ zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.

Geben Sie „net share“ ein, um die SYSVOL-Freigabe zu überprüfen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Alle Probleme, die Aktualisierungen der Active Directory-Datenbank verhinderten, wurden behoben. Neu Aktualisierungen der Active Directory-Datenbank waren erfolgreich. Der Anmeldedienst wurde neu gestartet.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Das Starten von Microsoft Active Directory wurde ordnungsgemäß abgeschlossen. Version 5.2.3790.4501

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


P.S. Das mit meinem Firefox stimmt wirklich:
101-offene-Tabs

Jan Kappen
 

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitete bis August 2018 bei der Rachfahl IT-Solutions GmbH & Co. KG. Seit September 2018 arbeitet er als Senior Netzwerk- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Seit 2015 wird Jan Kappen im Bereich "File System Storage" bzw. "Cloud & Datacenter Management" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

Comments are closed