Donnerstag, 30. Juni 2011

DHCP Server lässt sich nicht autorisieren

Wieder einmal ein seltsames Problem.
Der DHCP Server läuft wunderbar.

Plötzlich behauptet der DHCP-Server er wäre nicht mehr autorisiert.

Gut, das sollte normalerweise kein Problem sein. Hier hinzufügen und gut is. Denkste.
Server steht bereits in der Liste.
Auch beim Rechtsklick im den DHCP-Server im Snap-In => Hier ist nur "Unauthorize" auswählbar.

Ok, ändert allerdings auch nichts am Verhalten.

Lösung:


adsiedit:

Vermeintlich registrierten Server löschen.

CN=Configuration, CN=Services, CN=NetServices.

DHCPServer Dienst neu starten => Nun lässt sich der Server wieder erfolgreich registrieren.


 

[AD / GPO] Replication Access Was Denied - oder Ungeduld wird bestraft!

Soweit zum Hintergrund:
Server 2003 SP2 DC, eine Domain keine Subdomains, Windows 2000 mixed mode,
Eventlogs sauber, dcdiag sauber, netdiag i.O.

Und nun zum eigentlichen Phänomen:
Auf den Clients werden keinerlei Group Policies abgearbeitet.
Es scheint so, als wäre keine Policy auf den User- bzw. Computeraccount verlinkt.
Die Default Domain Policy wird jedoch angewandt.
Keine Fehler im Eventlog, keine Fehler bei gpresult, jedoch keine Policies!

Wird der Domaincontroller heruntergefahren, werden die Policies auf einmal
auf den Clients übernommen (da diese einen anderen DC benutzen).

Abhilfe: dcpromo, herabstufen, hochstufen, das übliche Prozedere.
Da es natürlich schnell gehen soll, sofort nach dem Booten im Anschluss
an das Herabstufen, wieder dcpromo ausführen.
Dcpromo meckert es würde noch ein Objekt für diesen DC geben, allerdings wäre es kein Problem da dieses überschrieben wird => Ok

Nach dem nächsten Reboot dann das Problem:
"Replication Access Was Denied".
KCC beschwert sich ebenfalls, dass keine Connection Objects angelegt werden können.

Ein Blick auf das Computerkonto des DCs verrät einiges:
Als Rolle wird angegeben: "Workstation or Server"
Hier sollte eigentlich "Domaincontroller" stehen.

Abhilfe:
Das Attribut "userAccountControl" des Computeraccounts muss geändert werden. Dieses steht bei DCs auf "532480".
Bei Workstations bzw. Memberservern auf "4096".
Beschrieben hier:
http://support.microsoft.com/kb/329860/en-us

Attribut geändert, Rolle wird wieder korrekt angezeigt, Reboot, Replikation läuft!

Was lernen wir daraus?

Das man manchmal auch wirklich warten sollte!
Wartet man nach dem Herabstufen nicht lange genug,
kann es sein, dass während des Promotionvorgangs das Computerkonto nicht aktualisiert werden kann bzw. dessen Änderung durch ungünstige Replikationsvorgänge wieder überschrieben wird.



Blog eröffnet.