RSS

Hyper-V, ADS-Controller und angewendete Snapshots [Update]

Die letzten vier Tage waren stressig. Aktuell sind aufgrund von Recherchen in meinem geliebten Firefox 93 Tabs auf, der Prozess braucht aktuell 723,616 KB an Arbeitsspeicher. Ich habe viel telefoniert, gesucht, in Remotedesktop-Sitzungen gehangen, die verschiedensten Dinge probiert und einen Fall bei Microsoft aufgemacht. Wozu all der Aufwand?

Bei einem unter HyperV betriebenen Domänencontroller wurde ein gemachter Snapshot angewandt. Hört sich eigentlich nicht wild an, allerdings hat dieser Domänencontroller (ein Small Business Server 2008 Std) einen Replizierungspartner (ein Windows Server 2003 Standard). Durch das Anwenden des Snapshots kam es zu einem Problem, das als das “USN Rollback“-Problem beschrieben wird. Ich möchte hier nicht näher auf eine Erklärung von USN usw eingehen, dazu gibt es genug Informationen im Netz.

Hier nun der komplette Ablauf des Problems inkl. Beschreibung der Lösung:

hyper-v-dc-snapshot-angewendet-01 Irgendwann nachmittags fingen die Clients an, eine Anmeldemaske im Outlook zu zeigen, allerdings wurde keine Eingabe als “gültig” anerkannt. Nach einem Neustart des Servers bemerkte ich dann, das der Anmeldedienst (Netlogon) angehalten war. Ein Stop und Neustart des Dienstes brachte keine Besserung, erst nach einem Neustart des Clients war eine Anmeldung des Outlooks am Exchange-Server möglich. Das klappte allerdings auch nur ein paar Stunden, danach fingen die Probleme wieder an. Ein Blick in der Eventlog zeigte mir, das dort sehr viele Fehler geschmissen wurden. Kurz darauf wurde auch auf folgende Struktur im Hyper-V-Manager aufmerksam. hyper-v-dc-snapshot-angewendet-02 Anhand der Struktur lässt sich erkennen, das hier mehrere Snapshots gemacht wurden, und unter anderen ein Snapshot auch angewendet wurde (Mehr zu Snapshots) Durch dieses Anwenden kam es zu dem Fehler, der oben in dem Auszug aus der Ereignisanzeige zu sehen ist.

Nach einigem Suchen im Internet mit fast immer der gleichen Aussage (Neu aufsetzen, alles kaputt, “formatier doch” usw) habe ich dann einen Supportfall bei Microsoft aufgemacht. Der Supportfall hat sich im Laufe der Bearbeitung in zwei “Bereiche” aufgesplittet, einmal den Start des Netlogon-Dienstes wieder ohne Probleme hinzubekommen, und zweitens die Replizierung der Active Directory wieder zu starten, damit es nicht zu Authentifizierungsproblemen oder zur Ablehnung der Replizierung durch einen der beiden DCs kommt.

Den erfolgreichen Start des Netlogon-Dienstes wieder hinbekommen:

In der Registry unter “HKLM\System\CurrentControlSet\Services\NTDS\Parameters” gibt es einen REG_DWORD mit dem Namen “Dsa Not Writable”. Dieser steht, wenn man kein Problem hat, auf “0″. In meinem Fall stand er auf “4″ ( DSA_WRITABLE_USNROLLBCK). Ich habe den Wert manuell auf “0″ gesetzt.

Zusätzlich habe ich einen REG_DWORD angelegt mit dem Namen “Ignore USN Rollback”, ebenfalls mit dem Wert “0″.

Nach dem Setzen dieser Keys habe ich das System neugestartet, und nach dem Neustart startete der Netlogon-Dienst auch problemlos.

Die erfolgreiche Replizierung wieder hinbekommen:

In der Ereignisanzeige des DCs tauchte immer wieder der folgende Fehler auf:

Dies ist der Replikationsstatus für die folgende Verzeichnispartition des  Verzeichnisservers.

Verzeichnispartition:
DC=xxxxxxx,DC=loc

Dieser Verzeichnisserver hat in jüngster Zeit von einigen  Verzeichnisservern keine Replikationsinformationen mehr erhalten. Die Anzahl an Verzeichnisservern wird unterteilt in die folgenden Intervalle gezeigt.

Länger als 24 Stunden:
1
Länger als eine Woche:
1
Länger als einen Monat:
1
Länger als zwei Monate:
0
Länger als die Tombstone-Verfallzeit:
0
Tombstone-Verfallzeit (in Tagen):
60
Bei Verzeichnisservern, die nicht rechtzeitig repliziert werden, können Fehler auftreten. Ihnen können Kennwortänderungen entgehen, und sie können daher ggf. nicht in authentifiziert werden. Einem Domänencontroller, der innerhalb der Tombstone-Verfallzeit nicht repliziert wurde, kann das Löschen von Objekten entgehen, und er wird ggf. für die zukünftige Replikation gesperrt, bis er wieder abgestimmt wurde.

Führen Sie dcdiag.exe aus, um Verzeichnisserver anhand des Namens zu identifizieren.
Sie können auch das Supporttool repadmin.exe verwenden, um Replikations- latenzzeiten der Domänencontroller in der Struktur anzuzeigen. Der Befehl lautet “repadmin /showvector /latency <partition-dn>”.

Die Replizierung lässt sich wieder aktivieren, indem man die beiden folgenden Befehle in der Kommandozeile eingibt:

repadmin /options “Servername” -DISABLE_OUTBOUND_REPL

repadmin /options “Servername” -DISABLE_INBOUND_REPL

“Servername” muss ersetzt werden durch den Namen des Servers auf dem man gerade ist, in meinem Fall war das der SBS 2008, also der Server bei dem das USN-Rollback durchgeführt wurde. Nach der Eingabe dieser beiden Befehle erschien die folgende Meldung in der Ereignisanzeige:

Die ausgehende Replikation wurde vom Benutzer aktiviert.

Die eingehende Replikation wurde vom Benutzer aktiviert.

Weiterhin erschien kurze Zeit später die folgende Meldung:

Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet.

Ich habe dann die beiden Server noch ein wenig laufen lassen, und nach einiger Zeit einen neuen Benutzer auf dem Server 2003 angelegt, nach kurzer Zeit hatte der SBS 2008 durch die Replizierung auch die Infos.

Anmerkung: Das ganze hätte sehr kurz gedauert, allerdings ist das die Aufführung der Lösung die letztendlich zum Erfolg führte (mit Unterstützung des Microsoft Supports). Die komplette Prozedur hat sich über mehrere Tage gezogen, inkl. Kopieren der virtuellen Maschinen und Einspielen in einen unserer Hyper-V-Systeme als Testumgebung, da ich ungerne an lebenden DCs rumspiele :)

Update:

Ich wurde gestern morgen mit der Nachricht überrascht, das es wohl doch noch nicht so ganz läuft. Ich habe mir das ganze dann sowohl heute Nacht als auch von heute morgen bis grad angeguckt und das Eventlog durchforstet, mit Carsten über das Problem diskutiert, Google angestrengt und nach Hilfe ggesucht, fündig bin ich letztendlich (natürlich) bei Microsoft selbst, und zwar hat mir folgender Beitrag geholfen:
Domain controller is not functioning correctly

Durch den Befehl

netdom resetpwd /server:another domain controller /userd:domain\administrator /passwordd:administrator password

wird auf dem Haupt-Domänen-Controller das Passwort für das Computerkonto resetet (Methode 6: Reset the machine account password, and then obtain a new Kerberos ticket). Bitte darauf achten, das sowohl VOR dem Befehl wie auch NACH dem Befehl der DC neugestartet wird, da sonst eine Fehlermeldung erscheint und der Passwort-Reset nicht erfolgreich ist.

Nach dem Reset und dem Neustart des DCs tauchen diese wunderbaren Ereignisse in der Ereignisanzeige auf:

Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers “SERVER2″ zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.

Geben Sie “net share” ein, um die SYSVOL-Freigabe zu überprüfen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Alle Probleme, die Aktualisierungen der Active Directory-Datenbank verhinderten, wurden behoben. Neu Aktualisierungen der Active Directory-Datenbank waren erfolgreich. Der Anmeldedienst wurde neu gestartet.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Das Starten von Microsoft Active Directory wurde ordnungsgemäß abgeschlossen. Version 5.2.3790.4501

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


P.S. Das mit meinem Firefox stimmt wirklich:
101-offene-Tabs

Eingabe Informationen

Unter: Hypervisor

Tags:

Über den Autor: Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure.

6 Responses to “Hyper-V, ADS-Controller und angewendete Snapshots [Update]”

  1. dd sagt:

    Hut ab,hast bestimmt Blut und Wasser geschwitzt :)
    Mal angenommen ich würde von beiden Servern einen Snapshot in dem selben Replikationsinterwall anlegen und später einspielen wollen,
    konnte ich die beiden wieder gleichzeitig einspielen ohne das Problem zu Produzieren?
    Gruß Mike

  2. Jan Kappen sagt:

    Hallo Mike,
    ich weiß nicht ob es funktioniert. Was allerdings funktioniert (was aber nicht unterstützt ist!!) ist, wenn du beide (oder alle, wenn mehr als zwei) DCs herunterfährst und dann entweder Snapshots machst oder (noch besser) Exports der Maschinen machst. So hast du die Möglichkeit, alle DCs wieder herzustellen im Falle eines “Unglücks”.
    Weitere Möglichkeit wäre, den DC direkt nach dem “nicht unterstützten Wiederherstellen” im Wiederherstellungsmodus neu zu starten. Das alles ist aber nicht wirklich klasse, unterstützte Lösung von Microsoft ist die Sicherung und Wiederherstellung des System State, bei Server 2008 per wbadmin, bei 2003 per ntbackup.
    Die ganze Sache ist ein ziemlich heißes interessantes Thema. Beste Übung ist denke ich ein Test in einer virtuellen Testumgebung. Microsoft empfiehlt als Best Practise sowieso mindestens den PDC auf einer physikalischen Maschine laufen zu lassen. Wir werden in naher Zukunft auch unser Forum “live” stellen, dort ist dann Platz für interessante Diskussionen und Erfahrungsberichten :)
    Gruß Jan

  3. dd sagt:

    Moin Jan,
    das Thema finde ich auch heiß .
    Ich bin gerade noch mit dem Esxi am testen aber am We ist der Hyper-V Server an der Reihe.
    Aktuell würde ich gerne einen bestehenden 10 User SBS2003 virtualisieren.
    Eigentlich habe ich keine Lust mehr direkt auf der Hardware zu installieren,
    virtuell sind da einfach zu viele Vorteile die ich nutzen möchte.
    Das mit dem Forum ist gut ,ich brauche mehr infos zu den kleinen Fallen mit großer Wirkung.
    Gruß Mike

  4. [...] an dieser Stelle gilt unser Gruß und Dank Jan Kappen, der unter Einsatz von Blut Schweiß und reichlich Kaffee dieses Problem bereits mit dem Microsoft [...]

  5. [...] Zu finden ist der Artikel hier: Hyper-V, ADS-Controller und angewendete Snapshots [...]

  6. Artur sagt:

    Wir hatten das Problem mit dem Netlogon-Dienst, der beim Systemstart angehalten war. Die Registry wies die gleichen Werte auf. Habe die Werte in der Registry wie beschrieben geändert. Jetzt funktioniert es wieder wunderbar. Vielen Dank für die Hilfe.

    Gruß
    Artur

Antworten