Jump to content

Λάθος Logon Server σε Exchange 2010


tasos
 Share

Recommended Posts

Καλησπέρα σε όλο το forum.

Χρόνια πολλά και καλή Χρονιά σε όλους.

Μπαίνω απευθείας στο ψητό.

Ο Exchange Server 2010 έχει λάθος Logon Server με αποτέλεσμα να μην μπορεί να φτιαχτεί mailbox σε υπάρχων χρήστη, αλλά και σε χρήστη που φτιάχνουμε απο το Exchange Management Console το Outlook του χρήστη να μην μπορεί να συνδεθεί.

Ο Exchange Server έχει Logon Server έναν additional Domain Controller, ο οποίος για κάποιο περίεργο λόγο δεν μπορεί ξαφνικά να κάνει replicate με τον PDC Domain Controller, με αποτέλεσμα να έχουμε το παραπάνω πρόβλημα.

Παραθέτω παρακάτω την υλοποίηση που έχουμε:

Exchange Server

Windows Server 2008 R2

Exchange Server 1020

 

Primary Domain Controller

Windows Server 2008 R2

 

Additional Domain Controller

Windows Server 2008 R2

 

Ευχαριστώ εκ των προτέρων για τις απαντήσεις σας.

 

Link to comment
Share on other sites

Καλησπέρα και χρόνια πολλά,<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.      Ποιος είναι ο Global Catalog Server, o PDC ή o additional Domain Controller?

2.      Πραγματοποίησες κάποια αλλαγή στους  PDC και additional Domain Controller (πχ Updates)?

3.      Λογικά έχεις κάποια μηνύματα λάθους στο Event Viewer στο additional Domain Controller και στον Exchange Server 2010, μπορείς να μας αναφέρεις κάποιο μήνυμα λάθους?

4.      Τρέξε και ένα Best Practice Analyzer στον Exchange 2010 και πες μας σαν σου δίνει κάποιο μήνυμα λάθους.

Link to comment
Share on other sites

Καλησπέρα και χρόνια πολλά,<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.      Ποιος είναι ο Global Catalog Server, o PDC ή o additional Domain Controller?

2.      Πραγματοποίησες κάποια αλλαγή στους  PDC και additional Domain Controller (πχ Updates)?

3.      Λογικά έχεις κάποια μηνύματα λάθους στο Event Viewer στο additional Domain Controller και στον Exchange Server 2010, μπορείς να μας αναφέρεις κάποιο μήνυμα λάθους?

4.      Τρέξε και ένα Best Practice Analyzer στον Exchange 2010 και πες μας σαν σου δίνει κάποιο μήνυμα λάθους.

Καλησπέρα,

 

ευχαριστώ για την γρήγορη απάντηση.

1. Και οι δυο είναι Global Catalog Server

2. Απο όσο γνωρίζω δεν έχει γίνει κάποια αλλαγή στους PDC.

3. Ναι έχω στον Event Viewer του Exchange (βλεπε παρακάτω)

4. Το Best Practice Analyzer που έτρεξα στον Exchange 2010 δεν βγάζει κάποιο σφάλμα

 

"Event ID: 5719

This computer was not able to set up a secure session with a domain controller in domain MyDOMAIN due to the following:

There are currently no logon servers available to service the logon request.

This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator."

 

Όπως καταλαβαίνεις εαν μπορούσα να αλλάξω στον Exchange τον Logon Server θα έλυνα το πρόβλημά μου, μιας και το να ξαναεγκαταστήσω τον Additional Domain Controller δεν θα με πείραζε καθόλου.

Τώρα όμως είναι δεμένος ο Exchange μαζί του και δεν μπορώ να τον στείλω για βρούβες.

 

Ευχαριστώ

Link to comment
Share on other sites

"There are currently NO logon servers ..."

Δες τα logs στους domain controllers και ξεκίνα από εκεί. Το πρόβλημά σου κατά 99% δεν οφείλεται στον Exchange αλλά στο Active Directory. Αναφέρεις στο πρώτο σου post ότι οι DC's δεν κάνουν replicate. Μπορείς να μας παραθέσεις αντίστοιχα events από τους DC's? Για περισσότερες πληροφορίες, τρέξε στους DC's τα dcdiag & replmon από τα support tools.

Link to comment
Share on other sites

Ίσως να μην το έθεσα σωστά εξ αρχής τι θέλω να κάνω.

 

Tο γνωρίζω οτι το πρόβλημα είναι στο Active Directory, είναι ξεκάθαρο.

 

Αυτό που θέλω είναι, εαν γίνεται να αλλάξω τον Logon Server του Exchange, που αυτή τη στιγμή είναι ο additional domain controller.

 

Δεν με απασχολεί να φτιάξω το replication των δυο domaiin controllers σε αυτή τη φάση.

 

Ευχαριστώ

Link to comment
Share on other sites

Δοκίμασε να προσθέσεις το user ή το computer στο Allow group στον writable DC και στη συνέχεια, δοκίμασε να κάνεις replicate για το RODC.


<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

Δεν έχω αναφέρει κάπου οτι έχω RODC.

Αυτό που υπάρχει είναι δυο domain controllers εκ των οποίων ο πρώτος (PDC) είναι και αυτός που έχει όλους τους ρόλους.

 

Απλά ο additional δεν με ενδιαφέρει να υπάρχει. Θέλω να τον βγάλω αλλά με δεσμέυει το οτι ο exchange έχει αυτόν σαν Logon Server.

Link to comment
Share on other sites

Τάσο καλησπέρα και απο μένα και καλή χρονιά,

 

 

Εφ όσων έχεις θέμα με τους DC's είναι λογικό επακόλουθο να έχεις θέμα με τον Exchange γιατι όπως ξέρουμε το Exchange Organization είναι δεμένο με το active directory.

Ξεκίνα το troubleshooting ώς εξής..

 

A: Τρέξε απο τον PDC σε CMD με Run As Admin repadmin /showreps να δεις τι έχει γίνει απο πλέυράς Replication και στην συνέχεια repadmin /syncall.

    Να μην ρωτήσω εάν οι DC's όπως και ο Exchange έχουν Network Connectivity γιατί πολύ πιθανό να το έχεις κοιτάξει.[:^)]

    Στην συνέχεια δές στον Event Viewer τι είδους μυνήματα θα έχεις εάν παρουσιαστούν.

Β: Ένα Dcdiag στον PDC όντως είναι ένα reference για πιθανά προβλήματα που μπορεί να υπάρχουν.(και αυτό με Run As Admin).Μήπως έχεις κάποιο tombstone object?

Γ: Δοκίμασε να κάνεις Tranfer τα FSMO Roles απο τον PDC στον 2ο DC.

Δ: Μου έχει τύχει να μην μπορεί το object πχ.User, να κληρονομήσει τα δικαιώματα απο το AD όσο αφορά τον Exchange. Οπότε δοκίμασε μέσα απο το AD Users And Computers,   view--> Advanced Features -->και μετά στον User που θές Properties--> Security-->Advanced --> και στο πρώτο ΤΑΒ Permissions δές εάν το Check-box κάτω κάτω που λέει Include inheritable permission... είναι τσεκαρισμένο.

E: Επίσης τέτοιου είδους προβλήματα ξεκινάνε απο τον DNS οπότε ένα troubleshooting στον DNS σου ίσως να σου έλυνε το πρόβλημα.

 

Ρίξε μια ματιά και περιμένουμε,,,

V

 

Link to comment
Share on other sites

Καλημέρα,<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Θα ήθελα να κάνω μια διευκρίνιση σε τι αναφερόμουν λέγοντας (RODC)= Read-Only Domain Controller.
Επίσης, στον ακόλουθο σύνδεσμο αναφέρετε το
Step που σου έδωσα :

ü  Error message when you try to log on to a Windows Server 2008-based RODC: "There are currently no logon servers available to service the logon request"

Link to comment
Share on other sites

και πήγα να ρωτήσω που κατάλαβες ότι είναι RODC...

 

παρόλα αυτά ο φίλος Tasos και όλοι οι υπόλοιποι πρέπει να καταλάβουν ότι exchange + AD πάνε πακέτο...

 

οπότε θέματα replication μεταξύ των DCs σίγουρα θέλουν επίλυση...

 

σε θέματα λύσης, ενημέρωσε μας εφόσον ακολουθήσεις τα βήματα που σου παρέθεσαν τα παιδιά

Link to comment
Share on other sites

Μήπως έχει περάσει καιρός απο το τελευταίο sync των DC? Εάν ναι υπάρχει περίπτωση να μην είναι σωστά τα κλειδιά του κέρβερου,θα δεις και αντίστοιχα error στο Event Viewer.

Δοκίμασε να κάνεις replicate και απο το AD sites and services θα σου βγάλει το ακριβές λάθος.

Link to comment
Share on other sites

Καλησπέρα σε όλους και σας ευχαριστώ για τις απαντήσεις.

 

Πράγματι μετά απο δοκιμές με dcdiag, repadmin και δοκιμές replication απο το Sites & Services και απο ελέγχους στον Event Viewer των DC's διαπίστωθηκε οτι έχουμε θέμα με USN rollback.

Ο PDC έχει μικρότερο USN number απο τον additional Domain Controller, οπότε απο οτι φαίνεται η λύση είναι να γίνουν transfer οι ρόλοι στον additional, (που δεν το βλέπω, αρα μάλλον seize θα γίνουν) και να γίνει demote o πρώτος Domain Controller και στην συνέχεια να καθαριστούν τα metadata με NTDSUtil για να ξαναγίνει domain controller.

 

Πάντως για να είμαστε σίγουροι πριν κάνω οτιδήποτε έχω πάρει copy τον PDC και τον Exchange (που είναι Virtuals) αλλά και τον additional DC (που είναι physical, με Disk2Vhd) για να τα δοκιμάσω σε Lab περιβάλλον και στην συνέχεια στο τρέχον.

 

Θα επανέλθω έχοντας κάνει την δοκιμή στο Lab.

 

Link to comment
Share on other sites

Τάσο καλησπέρα,

επειδή μου έχει τύχει και εμένα αυτό κατα την δημιουργία labs ο πιο σύντομος τρόπος είναι να κάνεις demote και ξανά promote τον additional χωρίς κανένα πρόβλημα.

Για περιπτώσεις P2V σε DCs σωστό είναι να χρησιμοποιόυμε  το Offline P2V απο τον SCVMMR2. Εάν θές μπορείς στο Lab σου να δοκιμάσεις κάτι...

Βέβαια εάν έχεις ένα system state απο πριν το P2V απλά κάνε restore και όλα θα είναι μια χαρά..

 

ΠΡΟΣΟΧΗ ΣΤΟ LAB ΠΡΩΤΑ!!!!

Restoring a virtual domain controller when an appropriate system state data backup is not available

If you do not have a system state data backup that predates

the virtual machine failure, you can use a previous VHD file to restore

a domain controller that is running on a virtual machine. If you can,

make a copy of the VHD, so that if you encounter an issue during the

procedure or miss a step, you can try again with the copied VHD.









ImportantImportant

  • You should not consider using the following procedure as a replacement for regularly planned and scheduled backups.


  • Restores that are performed with the following procedure are
    not supported by Microsoft and should be used only when there is no
    other alternative.


  • Do not use this procedure if the copy of the VHD that you are
    about to restore has been started in normal mode by any virtual machine.


 

 

 

To restore a previous version of a virtual domain controller VHD without system state data backup

  1. Using the previous VHD, start the virtual domain

    controller in DSRM, as described in the previous section. Do not allow

    the domain controller to start in normal mode. If you miss the Windows

    Boot Manager screen and the domain controller begins to start in normal

    mode, turn off the virtual machine to prevent it from completing

    startup. See the previous section for detailed instructions for entering

    DSRM.

  2. Open Registry Editor. To open Registry Editor, click Start, click Run, type regedit, and then click OK. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes. In Registry Editor, expand the following path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Look for a value named DSA Previous Restore Count.

    If the value is there, make a note of the setting. If the value is not

    there, the setting is equal to the default, which is zero. Do not add a

    value if you do not see one there.

  3. Right-click the Parameters key, click New, and then click DWORD (32-bit) Value.

  4. Type the new name Database restored from backup, and then press ENTER.

  5. Double-click the value that you just created to open the Edit DWORD (32-bit) Value dialog box, and then type 1 in the Value data box. The Database restored from backup entry

    option is available on domain controllers that are running

    Windows 2000 Server with Service Pack 4 (SP4), Windows Server 2003 with

    the updates that are included in article 875495 in the Microsoft

    Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=137182) installed, and Windows Server 2008.

     

  6. Restart the domain controller in normal mode.

  7. When the domain controller restarts, open Event Viewer. To open Event Viewer, click Start, click Control Panel, double-click Administrative Tools, and then double-click Event Viewer.

     

  8. Expand Application and Services Logs, and then click the Directory Services log. Ensure that events appear in the details pane.

  9. Right-click the Directory Services log, and then click Find. In Find what, type 1109, and then click Find Next.

  10. You should see at least an Event ID 1109 entry. If

    you do not see this entry, proceed to the next step. Otherwise,

    double-click the entry, and then review the text confirming that the

    update was made to the InvocationID:

     

     

     

    Active Directory has been restored from backup media, or has been configured to host an application partition. 

    The invocationID attribute for this directory server has been changed.

    The highest update sequence number at the time the backup was created is time>

     

    InvocationID attribute (old value):Previous InvocationID value>

    InvocationID attribute (new value):New InvocationID value>

    Update sequence number:USN>

     

    The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

     

  11. Close Event Viewer.

  12. Use Registry Editor to verify that the value in DSA Previous Restore Count

    is equal to the previous value plus one. If this is not the correct

    value and you cannot find an entry for Event ID 1109 in Event Viewer,

    verify that the domain controller’s service packs are current. You

    cannot try this procedure again on the same VHD. You can try again on a

    copy of the VHD or a different VHD that has not been started in normal

    mode by starting over at step 1.

  13. Close Registry Editor.

Source :http://technet.microsoft.com/en-us/library/dd363545%28WS.10%29.aspx

 

V

 

ΥΓ. Πές μας τα αποτελέσματα...

 

Link to comment
Share on other sites

μήπως παρεμβάλετε κάποιο firewall ή router ανάμεσα στους domain controllers και δεν επιτρέπει την επικοινωνία μεταξύ τους?

 

Ζήτα από τον υπεύθυνο του δικτύου σου (αν παρεμβάλετε firewall ή router ανάμεσα στους DC) να σου επιβεβαιώσει ότι κανένας δικτυακός εξοπλισμός δεν μπλοκάρει την επικοινωνία μεταξύ των DC.

 

Αν σου μπλοκάρει πόρτες ή πρωτόκολλα τότε ενδεχομένως να έχεις πρόβλημα μετά το cleanup να ξανα κάνεις DCpromo.

 

Link to comment
Share on other sites

μήπως παρεμβάλετε κάποιο firewall ή router ανάμεσα στους domain controllers και δεν επιτρέπει την επικοινωνία μεταξύ τους?

 

Ζήτα από τον υπεύθυνο του δικτύου σου (αν παρεμβάλετε firewall ή router ανάμεσα στους DC) να σου επιβεβαιώσει ότι κανένας δικτυακός εξοπλισμός δεν μπλοκάρει την επικοινωνία μεταξύ των DC.

 

Αν σου μπλοκάρει πόρτες ή πρωτόκολλα τότε ενδεχομένως να έχεις πρόβλημα μετά το cleanup να ξανα κάνεις DCpromo.

 

Καλησπέρα.

 

Όχι δεν παρεμβάλεται κάποιο firewall ανάμεσα στους δυο DC, είναι 100% σίγουρο.

 

Είναι πλέον ξεκάθαρο ποιο είναι το πρόβλημα.

Ο PDC έχει μικρότερο USN με αποτέλεσμα ο additional domain controller να μην αφήνει το replication.

 

H λύση είναι αυτή που προετίνει και ο Βαγγέλης παραπάνω, Seize (γιατί δεν γίνεται και αλλιώς) τους ρόλους στο additional και demote τον πρώτο DC.

Link to comment
Share on other sites

Τάσο καλησπέρα,

επειδή μου έχει τύχει και εμένα αυτό κατα την δημιουργία labs ο πιο σύντομος τρόπος είναι να κάνεις demote και ξανά promote τον additional χωρίς κανένα πρόβλημα.

Για περιπτώσεις P2V σε DCs σωστό είναι να χρησιμοποιόυμε  το Offline P2V απο τον SCVMMR2. Εάν θές μπορείς στο Lab σου να δοκιμάσεις κάτι...

Βέβαια εάν έχεις ένα system state απο πριν το P2V απλά κάνε restore και όλα θα είναι μια χαρά..

 

ΠΡΟΣΟΧΗ ΣΤΟ LAB ΠΡΩΤΑ!!!!

Restoring a virtual domain controller when an appropriate system state data backup is not available

If you do not have a system state data backup that predates

the virtual machine failure, you can use a previous VHD file to restore

a domain controller that is running on a virtual machine. If you can,

make a copy of the VHD, so that if you encounter an issue during the

procedure or miss a step, you can try again with the copied VHD.


ImportantImportant

  • You should not consider using the following procedure as a replacement for regularly planned and scheduled backups.


  • Restores that are performed with the following procedure are
    not supported by Microsoft and should be used only when there is no
    other alternative.


  • Do not use this procedure if the copy of the VHD that you are
    about to restore has been started in normal mode by any virtual machine.


 

 

 

To restore a previous version of a virtual domain controller VHD without system state data backup

  1. Using the previous VHD, start the virtual domain

    controller in DSRM, as described in the previous section. Do not allow

    the domain controller to start in normal mode. If you miss the Windows

    Boot Manager screen and the domain controller begins to start in normal

    mode, turn off the virtual machine to prevent it from completing

    startup. See the previous section for detailed instructions for entering

    DSRM.

  2. Open Registry Editor. To open Registry Editor, click Start, click Run, type regedit, and then click OK. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes. In Registry Editor, expand the following path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Look for a value named DSA Previous Restore Count.

    If the value is there, make a note of the setting. If the value is not

    there, the setting is equal to the default, which is zero. Do not add a

    value if you do not see one there.

  3. Right-click the Parameters key, click New, and then click DWORD (32-bit) Value.

  4. Type the new name Database restored from backup, and then press ENTER.

  5. Double-click the value that you just created to open the Edit DWORD (32-bit) Value dialog box, and then type 1 in the Value data box. The Database restored from backup entry

    option is available on domain controllers that are running

    Windows 2000 Server with Service Pack 4 (SP4), Windows Server 2003 with

    the updates that are included in article 875495 in the Microsoft

    Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=137182) installed, and Windows Server 2008.

     

  6. Restart the domain controller in normal mode.

  7. When the domain controller restarts, open Event Viewer. To open Event Viewer, click Start, click Control Panel, double-click Administrative Tools, and then double-click Event Viewer.

     

  8. Expand Application and Services Logs, and then click the Directory Services log. Ensure that events appear in the details pane.

  9. Right-click the Directory Services log, and then click Find. In Find what, type 1109, and then click Find Next.

  10. You should see at least an Event ID 1109 entry. If

    you do not see this entry, proceed to the next step. Otherwise,

    double-click the entry, and then review the text confirming that the

    update was made to the InvocationID:

     

     

     

    Active Directory has been restored from backup media, or has been configured to host an application partition. 

    The invocationID attribute for this directory server has been changed.

    The highest update sequence number at the time the backup was created is <time>

     

    InvocationID attribute (old value):<Previous InvocationID value>

    InvocationID attribute (new value):<New InvocationID value>

    Update sequence number:<USN>

     

    The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

     

  11. Close Event Viewer.

  12. Use Registry Editor to verify that the value in DSA Previous Restore Count

    is equal to the previous value plus one. If this is not the correct

    value and you cannot find an entry for Event ID 1109 in Event Viewer,

    verify that the domain controller’s service packs are current. You

    cannot try this procedure again on the same VHD. You can try again on a

    copy of the VHD or a different VHD that has not been started in normal

    mode by starting over at step 1.

  13. Close Registry Editor.

Source :http://technet.microsoft.com/en-us/library/dd363545%28WS.10%29.aspx

 

V

 

ΥΓ. Πές μας τα αποτελέσματα...

 

Βαγγέλη καλησπέρα.

 

Απο οτι φαίνεται ο additional έχει μεγαλύτερο USN απο τον πρώτο DC, οπότε μάλλον ο πρώτος θα γίνει demote.

 

Στα Lab που έκανα δοκιμές έπεσα και σε άλλο θέμα επάνω. Εφόσον έκανα seize τους FSMO ρόλους στον additional και τον καθάρησα απο τα metadata, διαπιστώνω οτι ο πρώτος DC είναι και root CA. Οπότε μόνο βγάζοντας το ρόλο το Root CA μπόρεσα να τον κάνω demote.

Η περίπτωση να κάνω backup τον Root CA και μετά restore ξανά στον Server που θα ξανακάνω DC θα δουλέψει;

Έχεις να προτείνεις κάτι;

 

Πάντως στην δοκιμή που έκανα μόνο με τον additional Dc και αφού είχα κάνει τα παραπάνω (seize FSMO roles, clean metadata κλπ), ο Exchange επικοινώνησε κανονικά και μπόρεσα να φτιάξω και χρήστες που να έχουν και email. Σκέψου οτι ούτε OWA δεν έπαιζε πριν.

 

Link to comment
Share on other sites

  • 3 weeks later...

Καλησπέρα σε όλους.

 

Λίγο καθυστερημένα βέβαια, αλλά επανέρχομαι για να αναφέρω τον τρόπο επίλυσης του προβλήματος, εφόσον τελικά αυτό λύθηκε.

 

Η διαδικασία που ακολούθησα ήταν η εξής:

1. Αφού δεν μπορούσα να μεταφέρω τους ρόλους στον additional DC, ο πρώτος έγινε force removal απο domain controller και μετά shut down.

2. Με NtdsUtil έγιναν clean τα metada απο τον additional DC και συνάμα Seize τα FSMO roles.

3. Καθαρισμός απο το Forest &Domain DNS zones τα records του demoted domain controller.

4. Σβήσιμο του demoted domain controller απο το Active Directory Sites and Services.

5. Άνοιγμα του demoted DC και Promote πάλι σε domain controller. Global Catalogue. Έλεγχος replication των δυο DC επιτυχής.

 

Τώρα ένας χρήστης ο οποίος είχε φτιαχτεί όταν υπήρχε το πρόβλημα και τώρα δεν ήταν στο Active Directory, απλά ξαναφτιάχτηκε και όλα λειτούργησαν κανονικά.

 

Αμέσως μετά απο αυτό ο Exchange δούλεψε χωρίς το παραμικρό πρόβλημα.

 

Σας ευχαριστώ όλους για την βοήθεια.

Link to comment
Share on other sites

 Share

×
×
  • Create New...