DNS-Aufruffehler
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
The DSA operation is unable to proceed because a DNS lookup failure.
repadmin /replsummary
Hier scheint es ein Problem mit der DNS Auflösung oder im Authentifizierungsprozess zu geben.
Was kann geprüft werden um den Fehler bzw. die Ursache zu lokalisieren?
Zuerst prüfe ich, ob sich die Domain Controller gegenseitig pingen lassen.
ping DC1
Dann prüfe ich, ob die Domain Controller die DNS-Server richtig konfiguriert haben.
ipconfig /all
Dann prüfe ich auf allen DCs ob die Domain Controller per nslookup auflösbar sind.
nslookup DC1
Dann starte ich eine DNS Überprüfung mit DCDIAG.
dcdiag /test:DNS
Gefolgt von der Überprüfung der Replikationsergbnisse auf den betroffenen DCs.
repadmin /showrepl DC1.dwp.local
repadmin /showrepl /errorsonly
Dann prüfe ich ob die SOA Zone, CNAMES und Host A auflösbar sind.
nslookup -type=soa _msdcs.dwp.local 172.18.32.32
nslookup -type=cname
nslookup -type=A+AAAA
Ein DSA-Vorgang Fehler 8524
Problemlösung
Zur weiteren Vorgehensweise schlage ich vor, die Synchronisation manuell auszulösen und die Queue zu prüfen.
repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication
Jetzt würde ich den/die betroffenen DC einmal im DNS registrieren.
ipconfig /registerdns
Und jetzt fällt mir nur noch ein den Netlogon Dienst auf den betroffenen DCs durchzustarten.
net stop netlogon & net start netlogon
Zum Abschluss prüfen wir noch einmal die Replikation. Voila, das Problem ist gelöst.
repdmin /replsummary
Natürlich sollten vorher auch noch die Windows-Logs geprüft werden. Eventuell lag ja ein LSA-Fehler in Verbindung mit der NTLM-Authentifizierung vor, oder ein Problem welches verhindert einen stärkeren Authentifizieurungsmechanismus wie Kerberos einzusetzen, und es zu einem Fallback kam. Durch den Neustart des Netlogon-Dienstes konnte ich den Fehler beheben.
https://www.der-windows-papst.de/2021/01/29/secure-rpc-bei-verwendung-des-sicheren-netlogon-kanals/