R33NET BLOG Rotating Header Image

Server 2003

Ereigniskennung 55 (Event ID 55) CHKDSK – KB932578

KB932578-CHKDSK_Ereirg-ID55

Auf einen meiner DC’s (Windows 2003 SBS ) ist folgender Fehler im Ereignisprotokoll aufgetaucht:
Quelle: NTFS
Kategorie Datenträger
Ereigniskennung: 55
Beschreibung: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie chkdsk auf Volume “Daten” aus.

Dies wirkte sich auch auf die Datensicherung aus. (Symantec Backup Exec). Die Sicherung brach mit folgendem Fehler ab:
Fehlerkategorie   : Auftragsfehler
Fehler            : e00084af – Das Verzeichnis bzw. die Datei wurde nicht gefunden, oder der Zugriff ist nicht möglich. Zusätzliche Informationen zu diesem Fehler finden Sie unter der Verknüpfung V-79-57344-33967

Ich dachte zuerst an einen Fehler der Festplatte. Das HP Raid-Array Utility zeigte keine Probleme an und mein HDD Utility sagte mir das alles in Ordnung ist. Ich bin kein freund von CHKDSK, da es bei mir schön öfters Daten gelöscht hat. Deshalb habe ich im Internet recherchiert. Nach ein bisschen Recherche bin ich dann auf den KB932578 aufmerksam geworden. Das einspielen des Hotfix löste das Problem.

Weitere Infos findet Ihr auf der Microsoft Webseite. Den Download des Hotfixes könnt Ihr über den link anfordern. http://support.microsoft.com/kb/932578/en-us


update:
Sollte der Fehler nach dem einspielen des Hotfix immernoch auftreten, hilft meist ein formatieren der Festplatte. Wenn der Fehler auf einem Raid-Laufwerk auftritt, sollte man das Array neu anlegen und dann formatieren. Bevor Ihr das durchführt sollte die FW auf dem Raid-Controller aktualisiert werden. Sollte der Fehler erneut auftreten kann dies auf defekte Festplatten zurückgeführt werden.

FSMO – Betriebsmaster

FSMO ist die Abkürzung für Flexible Single Master Operations. (Betriebsmaster)

Während man beliebig viele DC´s verwenden kann, die auch weitgehend unabhängig voneinander redundant arbeiten können, so gibt es in jeder Gesamtstruktur 5 Betriebsmasterrollen, die zwar auf einzelne DC´s verteilt werden aber als Rolle nur ein einziges mal existent sind.

Diese Betriebsmasterollen wirken Gesamtstruktursweit:
– Schemamaster
– Domänennamensmaster

Diese Betriebsmasterrollen wirken Domänenweit:
– RID – Master
– PDC – Emulator
– Infrastrukturmaster

Schemamaster

Diese Funktion überwacht und konfiguriert das Schema des Active Directory. Diese Änderung kann notwendig werden wenn eine Software (z.B. Exchange Server) einige Attribute braucht die das Schema nicht bietet. Ein klassisches Beispiel ist das einfügen eines Windows 2003 Domänencontrollers in eine Windows 2000 Struktur. Um diese Änderungen durchführen zu können muß man in der Gruppe Schemaadmins oder Organisationsadmins sein. Alle Änderungen des Schemas können nicht mehr rückgängig gemacht werden.

Um herauszufinden welcher DC die Rolle des Schemamasters hat oder diese Betriebsmasterrolle zu übertragen startet man eine mmc und fügt das Snap in Active Directory Schema dazu. Unter Betriebsmaster findet man die Funktion. Das Snap in muß vorher allerdings installiert werden, das geht am einfachsten wenn man die Support Tools von der CD installiert.

Domänennamensmaster

Diese Betriebsmasterfunktion überwacht und regelt das hinzufügen von Domänen in die Gesamtstruktur. Im Gegensatz zu Windows 2000 ist ein globaler Katalog auf dem DC der als Domänennamensmaster fungiert nicht mehr notwendig. Um den Domännamensmaster zu ermitteln oder zu verschieben geht man über das Snap in Active Directory-Domänen und -Vertrauensstellungen und wählt im Kontextmenü die Option Betriebsmaster.

RID Master

Der RID-Master ordnet den AD Objekten eindeutige ID´s bzw. SID´s zu. Diese Sicherheitskennung setzt sich aus einer Domänen SID und einer relativen Objektbezogenen ID zusammen. Die RID´s werden den Domäncontrollern in Blöcken von gut 500 Stück zur Verfügung gestellt, sind weniger als 100 noch verfügbar, wird ein neuer Block von 500 RID´s geliefert. Darum können auch bei einem Ausfall der RID-Master Funktion noch Objekte in AD erstellt werden, bis alle ID´s verbraucht sind. Tip: Will man Objekte über Domänen hinaus verschieben, macht man dies vom DC aus der die RID-Master Funktion hat, mit dem Tool movetree.exe. Um den RID-Master zu identifizieren oder die Funktion zu verschieben geht man über das Snap in Active Directory Benutzer und -Computer. Im Kontextmenü der rechten Mouse Taste findet sich die Option Betriebsmaster.

PDC-Emulator

Wie der Name bereits verrät emuliert diese Betriebsmasterrolle einen NT-PDC bzw. einen BDC um die Downlevelfähigkeit zu garantieren.Außerdem verarbeitet der DC mit dieser Funktion Kennwortänderungen. Sollte sich ein User aufgrund einer Kennwortänderung mit dem auf 5 Minuten beschränkten Kerberos Ticket mangels Replikation nicht anmelden können wird der PDC Emulator zur Authentifizierung herangezogen. Eine weitere Funktion ist die sofortige Replikation von Attributen die schneller als der normale Replikationszyklus bereitgestellt werden müssen. Der PDC Emulator ist auch für die Zeitsynchronisation der DC´s untereinander verantwortlich, mit dem Befehl
net time \\ servername /setsntp: Zeitquelle kann eine Synchronisation mit einem anderen Server angestartet werden. Als Authentifizierungsmethoden kann der PDC-Emulator Kerberos V5 und NTLM verwenden. Über das Snap in Active Directory Benutzer und -Computer (Betriebsmaster) kann diese Rolle identifiziert und verschoben werden.

Infrastrukturmaster

Der Infrastrukturmaster verwaltet die Objektreferenzen seiner Domäne und gleicht diese mit anderen Domänen ab. Er aktualisiert die Global Catalogs der anderen DC . Wenn auf dem DC der als Infrastruktur Betriebsmaster ausgelegt ist ein Globaler Katalog installiert ist, dann funktioniert diese Betriebsmasterrolle nicht. Der Infrastrukturmaster verwaltet und überwacht die Zuordnung von Benutzern zu Gruppen, und verteilt Änderungen mittels Multimasterreplikation auf die anderen DC´s. Das identifizieren und verschieben dieser Betriebsmasterrolle geht über das Snap in Active Directory Benutzer und -Computer (Betriebsmaster).

Global Catalog

Dieses Feature steht in unmittelbaren Zusammenhang mit den FSMO Rollen, ein GC kann im Prinzip auf jedem DC vorhanden sein (ausgenommen Infrastrukturmaster). Im Gegensatz zu Windows 2000 sind die Anmeldeinformationen auch ohne aktiviertem Global catalog auf den DC´s verfügbar (caching) , was die Notwendigkeit zur Benutzeranmeldung überflüssig macht .Microsoft empfiehlt pro Forrest den Einsatz von 2 Global Catalog Servern, und begründet dies mit einer erhöhten Ausfallsicherheit. Der GC speichert ab Server 2003 auch die universellen Gruppenmitgliedschaften. Im GC ist eine Kopie aller AD Objekte der eigenen und Teile der AD Informationen der anderen Domänen gespeichert. (siehe Abbildung)

Das aktivieren eines Global Catalogs geht über das Snap in Active Directory Standorte und Dienste über die NTDS Settings.

Falls als Funktionsebene nicht Windows Server 2003 festgelegt ist, wird beim Hinzufügen eines neuen Attributs eine vollständige Synchronisierung des globalen Katalogs angestoßen, was erheblichen Traffic verursachen kann.

Globale Gruppen oder universelle Gruppen sollten Vorrang vor lokalen Domänengruppen haben.

Der Vorteil eines Global Catalogs ist durch das cachen der Anmeldeinformationen nach meiner Meinung kaum mehr gegeben, lediglich eine geringe Bandbreite der WAN Toppologie mehrerer Standorte ist ein Argument. Der Nachteil liegt bei einer erhöhten zum größten Teil unnötigen Netzwerktraffic. Das zwischenspeichern von universellen Gruppenmitgliedschaften ist ein neues Feature ab Server 2003, und stellt eine echte Alternative dar.

RID Master und PDC Emulator sollten auf einem DC zusammen sein. Global Catalog und Infrastrukturmaster sollten getrennt sein.

Auf der Gesamtstrukturebene sollten die Schemamaster- und Domänennamen-Master auf dem gleichen Domänencontroller betrieben werden. Außerdem sollte der Domänennamenmaster-FSMO auch ein globaler Katalogserver sein. Bestimmte Vorgänge, die den Domänennamensmaster verwenden, z. B. die Erstellung von untergeordneten Domänen, schlagen fehl, wenn das nicht der Fall ist.

Achtung

Während das übertragen von Betriebsmasterfunktionen im laufenden Betrieb von einem auf den anderen DC ein kalkulierbares Risiko darstellt ist das übernehmen ein drastischer Schritt, der nur in Erwägung gezogen werden sollte wenn der Betriebsmaster ausfällt.
In so einem Fall darf der alte Betriebsmaster nie wieder online gehen.

DS-Befehle

Die meisten Administratoren arbeiten über die Management Konsole zum anlegen, bearbeiten oder löschen von Benutzern, Gruppen oder Objekten. Dies ist sehr komfortabel. Jedoch das anlegen (oder ändern von Benutzerdaten) von mehreren (vielen) Benutzer über die Management Konsole ist nicht zu empfehlen. Sicherlich gibt es diverse Programme wie ADModify oder LDIFDE zum bearbeiten mehrere Objekte. Doch dies geht auch über die CMD. Mit der Einführung des Windows 2003 Server stehen uns die DS-Befehle zur Verfügung.

DSAdd – Hinzufügen von Objekten ins AD
DSQuery – AD-Abfrage nach bestimmten Objekten
DSMod – Vorhandende Objekte ändern
DSGet – Bestimme Eigenschaften von Objekten anzeigen
DSMove – Bewegen von Objekten
DSrm – Löschen von Objekten

Beispiele:

User in eine OU hinzufügen. Angabe von Vorname, Nachename, Webseite und pricipal Name

>dsadd user „CN=user1,OU=testou,DC=r33net,DC=local“ -samid user1 -fn Vorname -ln Nachname -webpg www.r33net.de -pwd mypass -upn user1@r33net.local -pwdneverexpires yes

Geben Sie bei einigen Benutzerkonten folgendes an:
Das Passwort läuft niemals ab
>dsmod user „CN=user1,OU=testou,DC=r33net,DC=local“ -pwdneverexpires yes

Das Konto läuft in 9 Tagen ab
>dsmod user „CN=user1,OU=testou,DC=r33net,DC=local“ -acctexpires 9

Benutzer kann das Passwort nicht ändern
>dsmod user „CN=user1,OU=testou,DC=r33net,DC=local“ -canchpwd no

Benutzer muss Passwort bei nächster Anmeldung ändern
>dsmod user „CN=user1,OU=testou,DC=r33net,DC=local“ -mustchpwd yes

Deaktivieren von Benutzerkonten.
>dsmod user „CN=user1,OU=testou,DC=r33net,DC=local“ -disabled yes

Das schöne an der Sache ist, dass wir mit dsquery Objekte suchen können und die Ergebnisse dann an einen weiteren Befehl z.B. dsmod übergeben können. Das erfolgt mit der eingabe einer „Pipe=|“

Lassen wir uns mit einem Befehl die Benutzerkonten anzeigen:

die einen Buchstaben „a“ im Namen haben.
>dsquery user -name „a*“

bei denen das Passwort abläuft.
>dsquery user „OU=testou,DC=r33net,DC=local“ | dsget user -pwdneverexpires -samid

bei denen die Benutzer das Passwort „bei der nächsten Anmeldung ändern“ müssen
>dsquery user „OU=testou,DC=r33net,DC=local“ | dsget user -mustchpwd -samid

die deaktiviert sind
>dsquery user „OU=testou,DC=r33net,DC=local“ | dsget user -disabled -samid

bei denen das Konto abläuft
>dsquery user „OU=testou,DC=r33net,DC=local“ | dsget user -acctexpires -samid

bei denen das Passwort mindestens 1 Tag lang nicht geändert wurde.
>dsquery user -stalepwd 1

Lassen Sie sich von einem Benutzerkonto die Gruppen anzeigen, in denen es Mitglied ist.
>dsquery user -name user1 | dsget user -memberof

Hier noch ein paar nützliche Befhele

Alle Benutzerkonten, die deaktiviert sind aktivieren
>dsquery user -name * -disabled | dsmod user -disabled no

Wenn die user in einer bestimmten OU aktiviert werden sollen dann folgenden syntax:
>dsquery user „OU=testou,DC=r33net,DC=local“ -disabled | dsmod user -disabled no

Alle Benutzerprofile per dsmod ändern (Wobei jedes Benutzerprofil einen eigenen Ordner besitzt)
>dsquery user -name * | dsmod user -profile \\s1.r33net.local\profile\$username$

Profilpfad der user in einer bestimmten OU
>dsquery user „OU=testou,DC=r33net,DC=local“ | dsmod user -profile \\s1.r33net.local\profile\$username$

Natürlich gibt es noch mehrere Einsatzmöglichkeiten. Weiter Infos findet Ihr hier