[2000] Ad users &amp; computers - GPO kapot

maandag 14 juni 2004 15:45

Ellenface

Topicstarter

mutsje schreef op 14 juni 2004 @ 11:15:
Kunnen de servers elkaar op FQDN pingen? Staat je DNS goed want dat is meestal de reden dat het eruit klapt.

Ja, dit werkt prima. In beide richtingen zijn de servers te pingen.

Verder heb je met dat nr al op technet gezocht?

Jep, ik krijg enkel een vage melding van ISA server, maar dit is ene guide om de LAT te verstaan (http://www.microsoft.com/.../isa/maintain/isalat.mspx)
dur daar ben ik niet echt veel mee in mijn situatie.

Die code komt voor in dat bericht en zou idd wijzen op een verbindngsprobleem. Ik weet echter niet hoe ik dit 100% zeker kan controleren. Vanop de server die niet werkt, kan ik perfect de server die wel werkt benaderen.

Nu ben ik gaan stoeien met dcdiag en ik heb volgende info verkregen :

code:

      Starting test: KnowsOfRoleHolders
         [SERVER2000] LDAP bind failed with error 58,
         Win32 Error 58.
         Warning: SERVER2000 is the Schema Owner, but is not responding to LDAP
Bind.
         Warning: SERVER2000 is the Domain Owner, but is not responding to LDAP
Bind.
         Warning: SERVER2000 is the PDC Owner, but is not responding to LDAP Bin
d.
         Warning: SERVER2000 is the Rid Owner, but is not responding to LDAP Bin
d.
         Warning: SERVER2000 is the Infrastructure Update Owner, but is not resp
onding to LDAP Bind.

Ik veronderstel dat hier een LDAP foutje ergens tussen zit. Zal ik maar weer in die richting gaan zoeken. Nu heb ik met ldp gezien dat ik enkel ene connectionless verbinding kan opzetten naar de andere DC als ik een normale connection opzet dan lukt het verbinden niet. Misschien dat iemand mij kan vertellen waarom dit niet lukt ?

[ Voor 7% gewijzigd door Profidiam op 14-06-2004 15:33 ]

Da RuBBaH DuCK SKWaT - Ellen what did ye do ?- een test

Acties:

als je de FSMO roles bekijkt geven beide DC's dan dezelfde waardes weer?

Geeft je event viewer nog meer foutmeldingen mbt de AD ?

ping beide DC's eens een keer op FQDN maar dan met het -l 5000 erachter? (ivm de grootte van de pakketjes)

dus "ping dc1 -l 5000"

wat is hier het antwoord op?

maandag 14 juni 2004 16:17

Acties:

maandag 14 juni 2004 16:38

Ellenface

Topicstarter

Grolsch schreef op 14 juni 2004 @ 15:45:
als je de FSMO roles bekijkt geven beide DC's dan dezelfde waardes weer?

Jep, netdom query fsmo geeft op beide servers zelfde resultaat

Geeft je event viewer nog meer foutmeldingen mbt de AD ?

Neen, ik krijg geen foutmeldingen mbt. de Actieve Directory, wat op zich wel vreemd is als je ziet dat de LDAP verbinding blijkbaar niet tot stand kan gebracht worden (terwijl de firewall niks blokkeert ....) ?

ping beide DC's eens een keer op FQDN maar dan met het -l 5000 erachter? (ivm de grootte van de pakketjes)

dus "ping dc1 -l 5000"

wat is hier het antwoord op?

Dit lukt prima....

Wanneer ik via ADcheck de server wil monitoren die zogezegd geen verbinding wil toelaten, dan krijg ik wederom een melding dat ik niet genoeg permissies heb ...

[ Voor 12% gewijzigd door Profidiam op 14-06-2004 16:23 ]

Da RuBBaH DuCK SKWaT - Ellen what did ye do ?- een test

Acties:

geeft je DNS ook de juiste waarde's weer voor PDC emulators etc.?

dinsdag 15 juni 2004 08:39

Acties:

dinsdag 15 juni 2004 08:54

Ellenface

Topicstarter

Ja, DNS werkt correct.

netdiag geeft :

code:

1
2
3

DNS test . . . . . . . . . . . . . : Passed
    PASS - All the DNS entries for DC are registered on DNS server '172.16.11.1'
 and other DCs also have some of the names registered.

Wat me wel opgevallen is dat dcdiag dit geeft:

code:

      Starting test: KnowsOfRoleHolders
         [SERVER2000] LDAP bind failed with error 58,
         Win32 Error 58.
         Warning: SERVER2000 is the Schema Owner, but is not responding to LDAP
Bind.
         Warning: SERVER2000 is the Domain Owner, but is not responding to LDAP
Bind.
         Warning: SERVER2000 is the PDC Owner, but is not responding to LDAP Bin
d.
         Warning: SERVER2000 is the Rid Owner, but is not responding to LDAP Bin
d.
         Warning: SERVER2000 is the Infrastructure Update Owner, but is not resp
onding to LDAP Bind.

Hij kan dus niet 'binden' met de LDAP server, maar als ik een connectionless connection (queryà doe met LDP, dan kan ik wel verbinden. Als ik daarentegen met LDP een normale connectie of een bind doe, dan lukt het niet omdat ik zogezegd niet genoeg rechten zou hebben. Waarschijnlijk heeft het hele probleem hiermee te maken, maar ik weet niet goed hoe of waar ik rechten op de LDAP server zou moeten instellen en of dit wel kan ?

[ Voor 64% gewijzigd door Profidiam op 15-06-2004 08:44 . Reden: dcdiag bijgedaan ]

Da RuBBaH DuCK SKWaT - Ellen what did ye do ?- een test

Acties:

Profidiam schreef op 15 juni 2004 @ 08:39:
Ja, DNS werkt correct.

netdiag geeft :
code:
1
2
3
DNS test . . . . . . . . . . . . . : Passed
    PASS - All the DNS entries for DC are registered on DNS server '172.16.11.1'
 and other DCs also have some of the names registered.
Wat me wel opgevallen is dat dcdiag dit geeft:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
      Starting test: KnowsOfRoleHolders
         [SERVER2000] LDAP bind failed with error 58,
         Win32 Error 58.
         Warning: SERVER2000 is the Schema Owner, but is not responding to LDAP
Bind.
         Warning: SERVER2000 is the Domain Owner, but is not responding to LDAP
Bind.
         Warning: SERVER2000 is the PDC Owner, but is not responding to LDAP Bin
d.
         Warning: SERVER2000 is the Rid Owner, but is not responding to LDAP Bin
d.
         Warning: SERVER2000 is the Infrastructure Update Owner, but is not resp
onding to LDAP Bind.
Hij kan dus niet 'binden' met de LDAP server, maar als ik een connectionless connection (queryà doe met LDP, dan kan ik wel verbinden. Als ik daarentegen met LDP een normale connectie of een bind doe, dan lukt het niet omdat ik zogezegd niet genoeg rechten zou hebben. Waarschijnlijk heeft het hele probleem hiermee te maken, maar ik weet niet goed hoe of waar ik rechten op de LDAP server zou moeten instellen en of dit wel kan ?

volgens mij kun je geen rechten zetten op LDAP.

heb je de mogelijk om te testen zonder firewall?

dinsdag 15 juni 2004 09:11

Acties:

dinsdag 15 juni 2004 09:56

Ellenface

Topicstarter

hmmm, niet echt, we hebben 2 subnets met in elk subnet maar 1 dc, dus ik kan niet 'ff snel' testen. Wanneer ik tcpdump draai op de firewall, dan krijg ik ook geen dropped packets of zo. Er is ook niks gewijzigd aan die firewall waardoor het zou kunnen stoppen met werken.

Vreemd is gewoon dat er blijkbaar een communicatiestoornis is tussen de 2 dc's. Ik had wel vroeger 2 sites, nu maar 1. Misschien moet ik eens proberen om die sites terug aan te maken, want ik zag net dat er nog resten daarvan in de DNS staan, terwijl ze eigenlijk wel moeten weg zijn.

Da RuBBaH DuCK SKWaT - Ellen what did ye do ?- een test

Acties:

Profidiam schreef op 15 juni 2004 @ 09:11:
hmmm, niet echt, we hebben 2 subnets met in elk subnet maar 1 dc, dus ik kan niet 'ff snel' testen. Wanneer ik tcpdump draai op de firewall, dan krijg ik ook geen dropped packets of zo. Er is ook niks gewijzigd aan die firewall waardoor het zou kunnen stoppen met werken.

Vreemd is gewoon dat er blijkbaar een communicatiestoornis is tussen de 2 dc's. Ik had wel vroeger 2 sites, nu maar 1. Misschien moet ik eens proberen om die sites terug aan te maken, want ik zag net dat er nog resten daarvan in de DNS staan, terwijl ze eigenlijk wel moeten weg zijn.

dat zou idd zulke problemen kunnen geven, en waar het dus eigenlijk weer op neer komt is dat het dus in de DNS zit.

ALs je nu de complete DNS is leeg gooit en opnieuw begint? probeer dat eens zou ik zeggen.

Of maak anders de site's/subnets/site connectors weer aan.

woensdag 16 juni 2004 08:50

Acties: