[W2K] Group Policy Domaincontroller unavailble

Sinds gisteren zijn de GPO ineens kwijt geraakt.
Waarschijnlijk gekomen door het overhevelen (transferen) van alle 5 de FSMO rollen van de EXCHANGE-01 naar de DC-01.
De Group Policy Objecten stonden eerst op de EXCHANGE-01.
De replicatie tussen de domains loopt allemaal goed. Alleen nu zijn de GPO's ineens verdwenen.

In de KB van Microsoft krijg ik geen oplossing, ja dat je NetBios en File and Printer Sharing moet aanzetten terwijl die al netjes aanstaan.

Nou is het verliezen van de GPO niet zo'n ramp. Echter hoe fix ik het ?

Als ik de AD Users and Computer open en die laat connecten met de EXCHANGE-01 kan ik wel bij de GPO komen, als ik hem laat connecten naar de DC-01 krijg ik de melding:

The domaincontroller for the Group Policy Object is not available...

Hoe krijg ik dit recht, desnoods door alle GPO's te wissen en opnieuw aan te maken maar dan wel vanaf de DC-01 die dat nu niet wil

Heb al 10 van de 50 mensen over de vloer gehad waarom ze een "Welkom bij Windows 2000 scherm krijgen" en "waarom de homepage ineens msn.nl is".

Question Mark schreef op 16 januari 2004 @ 13:03:
Wat is het nummer van de foutmelding in de eventlogs? Ga met dit nummer zoeken op www.eventid.net en je krijgt een aantal mogelijke oplossingen... Je kunt met de Windows 2000 support tools (staat op de W2K server cd) controleren of alle 4 fsmo-rollen beschikbaar zijn en op welke server deze gelokaliseerd zijn. Hiermee kun je evt. problemen met de FSMO rollen controleren.

Op de EXCHANGE-01: NETLOGON 5721
Op de DC-01: NETLOGON 5723

Ben naar nu alle KB nummers aan het afzoeken, maar krijg geen oplossing gevonden. Het lijkt met de PDC Emulator te maken te hebben maar deze kan ik weer niet terug naar de EXCHANGE-01 zetten, dan zegt ie dat ie de huidge FSMO rol houder niet kan bereiken

mutsje schreef op 16 januari 2004 @ 13:36:
Weet je zeker dat Active Directory goed synchroniseert? Het je dit al met monitoring tool gecheckt ect.?

Nope nog niet en nu ik dit doe zie ik dat dat niet goed gelopen is, Vreemd aangezien ik er verder geen melding van gezien heb en als je het via AD Sites en Services doet krijg je geen foutmeldingen.

Als ik kijk zie ik dat de DC-01 wel goed repliceerd naar EXCHANGE-01 maar andersom niet.

Replication access was denied is de foutmelding,
Heb KB 329860 gevolgd. Kan alleen op dit moment de server nog niet opnieuw opstarten helaas. Mail spitsuur

[ Voor 21% gewijzigd door FastBunny op 16-01-2004 14:12 ]

sanfranjake schreef op 16 januari 2004 @ 19:35:
Probeer de PDC rol anders vanaf de command-line te seizen d.mv. NTDSUTIL ? Als het secure overhevelen niet lukt, heb je waarschijnlijk iets in je replicatietoplogie verkeerd staan, of de server is niet online. Een van de oorzaken kan zijn dat je GC ook de FSMO Infrastructure Master bevat.Dit wil de analyse van replicatiebehoefte weleens vertragen/blokkeren.

Als ik ze ga seizen mag ik de orginele server niet meer in het domein laten zitten

Overigens loopt sinds vanmorgen na doorlopen van een KB de replicatie weer goed, alleen het probleem met de group policy domaincontroller blijft vreemd genoeg, ook na het handmatig repliceren van de servers.

mutsje schreef op 19 januari 2004 @ 09:13:
op het moment dat je een role van een server seized, wordt deze dus overgezet op een andere server. Waar jij op toespeelt is als jou DC echt gecrashed is je de roles seized en daarna de DC herstelt met alle roles weer terug zet in het forest. Dan krijg je inderdaad vette ellende. Maar op het moment dat je een role overzet van ene DC naar de andere is er niks aan de hand.

Okey, ondertussen werkt het overzetten van de rollen wel weer. (transferen dus). En als ik de nltest (zit wel in de support tools van w2k overigens) gebruik op de DC-01 krijg ik netjes dat ie gevonden is
Doe ik test op de EXCHANGE-01 dmv NLTEST /SC_QUERY:domain.nl dan krijg ik de melding domain does not exist... yeah sure, hij is er zelf domaincontroller van

Zolang ik de PDC Emulator rol op de Exchange-01 laat kunnen beide servers de group policy lezen. Laat ik hem repliceren., Zet ik de PDC rol over naar de DC-01 en je raad het al hij kan de domaincontroller van de group policy's niet lezen... erg vreemd... alle rollen moeten toch op 1 server kunnen?

[ Voor 2% gewijzigd door FastBunny op 19-01-2004 11:05 . Reden: onduidelijk ]

Question Mark schreef op 19 januari 2004 @ 10:44:
Het begint erop te lijken dat DC-01 problemen met DNS heeft... Hij kan het domein niet vinden (is een DNS-query). Als je de pdc-rol overzet werkt het domein niet goed meer (is dns-registratie).
Zijn alle dns-instelling juist op de dc-01? Mag de DC-01 dynamisch DNS-records registreren in DNS?

Ben al begonnen met het checken van de DNS op beide machines. Heb beide machines DNS server gemaakt. Gegevens staan in Active Directory. Staan netjes bij elkaar in de nameservers. En ze staan beide op allow updates

[edit]
DNS records zijn niet compleet, wel Forward records, maar geen reverse records.
Ben dus ff stoeien met de DNS servers zodra ik meer nieuws heb post ik het hieronder.

[ Voor 13% gewijzigd door FastBunny op 19-01-2004 11:19 ]

mutsje schreef op 19 januari 2004 @ 19:18:
gewoon ff records updaten en heb je wel reverse lookup zone aangemaakt?

Jups done that, maar het probleem blijft. Lijkt toch echt iets grondigs mis te zijn met de NtFrs. Heb ook geen SYSVOL share, die ik met geen mogelijkheid krijg.

Maar in de reverse lookup stonden geen verwijzingen naar de domaincontrollers.... Heb ik maar even handmatig aangemaakt. Domein draaide voor mijn komst hier al geheel zonder reverse lookup zone

Zelfs na een verse installatie en deze domaincontroller te maken krijg ik al NtFrs fouten op de server

Geen goede replicatie = geen domaincontroller voor group policy objects dus

[ Voor 16% gewijzigd door FastBunny op 20-01-2004 08:37 ]

* FastBunny heeft het opgelost
_{vraag echter niet hoe}

Ik was druk aan het experimenteren (lees: hobbien) met de NtFrs. Omdat ik geen SYSVOL en NETLOGON shares had op de DC-01. Nadat ik (lekker eigenwijs) rd /s /q c:\winnt\ntfrs\jet had gedaan op alle 2 de servers (mag maar op 1 tegelijk , maar dat hielp ook niet dus ik dacht dan maar eens op 2 proberen). Werkte het niet, dus ik weer verder zoeken. Totdat 2 minuten laten mijn collega riep.. ehh ik kan niet meer aanloggen...
Vervolgens iemand binnenkomt.. ehh klopt het dat de mail het niet meer doet...

Wat blijkt... Mailserver + domaincontroller om zeep. Na het terugzetten van de Systemstate van de dag ervoor de server weer opnieuw gestart, en alles werkt weer. Al met al heeft het bedrijf ff 2 uur niet kunnen mailen en niet kunnen aanloggen, ingelogde mensen konden gewoon doorwerken dus echt een ramp was het niet.

Okay, misschien niet zo slim wat ik gedaan had... maar het mooiste komt nog...
De replicatie problemen zijn ineens als sneeuw voor de zon verdwenen

De replicatie loopt goed, de group policy werkt ook nadat ik de DC-01 alle FSMO rechten heb gegeven

De backup is van maandag toen het probleem er nog was, maar na het terugzetten ervan is het ineens weg Iemand hier een verklaring voor? Iig het probleem is opgelost alleen op een wat vreemde manier