Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory: Fehler beim Re-Promoten eines Servers

Mitglied: jordel

jordel (Level 1) - Jetzt verbinden

19.02.2020 um 14:38 Uhr, 716 Aufrufe, 38 Kommentare, 5 Danke

Hallo zusammen,

Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten wollte. Leider hat ein geschätzter Kollege das Ganze etwas unglücklich gelöst. Wir hatten einen kompletten Netzwerkausfall, und zusammen mit dem Bereitschaftdienst konnten sie das Netzwerk notgedrungen wieder funktionsfähig machen.

Das Problem bei uns ist, dass wir aufgrund von Platzmangel im Büro alle Server extern haben. Wir haben kein Netzwerk, sondern alles läuft über das Internet (dass das nicht optimal ist, ist mir durchaus bewusst, aber leider gibt es momentan aufgrund von verschiedenen Faktoren keine andere Möglichkeit - wir sind aber dran).

Momentan läuft bei uns gerade mal noch ein einziger DC. Der scheint soweit auch komplett funktionstüchtig zu sein.

Wenn ich jetzt aber probiere, den zweiten DC wieder zu promoten, erhalte ich folgende Fehlermeldung:
Das Komische ist auch, dass wenn ich auf diesem zweiten DC versuche, AD Users and Computers zu öffnen, ich folgende Fehlermeldung erhalte:
Ich kann den ersten DC vom zweiten aus ohne Probleme anpingen.

Habt ihr Ideen?

Vielen, vielen Dank im Voraus & liebe Grüsse
38 Antworten
Mitglied: emeriks
19.02.2020 um 14:44 Uhr
Hi,
Du wolltest de- und promoten, aber ein Kollege hat es unglücklich gelöst?

Wo stehen/laufen die DC's?
Wie kommt Ihr ohne Netzwerk ins Internet? Jeder PC über Mobilfunk, oder was?

E.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020, aktualisiert um 14:51 Uhr
Ähm. Der "zweite DC" war aber hoffentlich nicht der PDC, Infrasturkturmaster oder gar SchemaMaster?

Wenn du auf dem noch laufenden DC mal netdom query fsmo ausführst. Was sagt er dann?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 14:51 Uhr
Ich habe es angeordnet und ein Kollege hat es unglücklich gelöst, so ist es vielleicht besser gesagt.

Wir haben zwei DC: einen in Düsseldorf und einen in Irland.

Ich meinte damit eher, dass wir kein Netzwerk im klassischen Sinn haben, heisst, alle Clients sind in einem Netzwerk und die DCs jeweils in einem eigenen. ;)

Gruß
Bitte warten ..
Mitglied: emeriks
19.02.2020 um 14:53 Uhr
Zitat von jordel:
Wir haben zwei DC: einen in Düsseldorf und einen in Irland.
Prima. Und die Clients (Du) sind wo?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 14:54 Uhr
Richtig, der "zweite DC", also derjenige, der entfernt wurde, war der PDC.

Der noch laufende DC nennt sich selbst in allen Punkten.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 14:55 Uhr
Und wenn du sagst, der DC "scheint Funktionstüchtig zu sein" Was sagt DCDIAG?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 14:55 Uhr
Die sind in Zürich, Schweiz.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 14:58 Uhr
Die Rollen wurden vor dem Entfernen sauber auf den noch lebenden Server übertragen?
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 15:02 Uhr
Eine Frage noch. Ihr habt aber nicht über ntdsutil nach der "missglückten" Herabstufung noch die Metadaten oder so bereinigt oder?
Bitte warten ..
Mitglied: jordel
19.02.2020, aktualisiert um 15:04 Uhr
Folgender Fehler:
Die Rollen sollten übertragen worden sein, aber sicher bin ich mir seit gestern bei gar nichts mehr.

Es wurde probiert, als ein Fehler auftrat, wurde das DNS Verzeichnis anscheinend manuell bereinigt.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 15:05 Uhr
Mir gehts nicht um DNS. Sondern die Metadaten der Domäne.

Wie zum Beispiel hier beschrieben: https://www.windowspro.de/andreas-kroschel/defekten-domaenencontroller-e ...

Da steht nämlich auch, AUF KEINEN FALL EINEN SERVER DER SO ENTFERNT WURDE WIEDER ANS NETZ NEHMEN!
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 15:07 Uhr
Zitat von jordel:

Folgender Fehler:
Die Rollen sollten übertragen worden sein, aber sicher bin ich mir seit gestern bei gar nichts mehr.

Es wurde probiert, als ein Fehler auftrat, wurde das DNS Verzeichnis anscheinend manuell bereinigt.


Der Fehler mit der Replikation an sich ist in dem Zusammenhang nicht "tragisch" der sagt ja nur, dass der Server in den letzten 24 Stunden hatte sein Sysvol zu replizieren. Sei ihm zugestanden, wenn man bedenkt dass ihr einen DC mal eben getötet habt.
Bitte warten ..
Mitglied: emeriks
19.02.2020 um 15:08 Uhr
Ich tippe mal auf einache Anfängerfehler.
Ich rate wärmstens, einfach die Backups beider DC's, welche Ihr unmittelbar vorher erstellt habt, wiederherszustellen.

Ansonsten:
Wer ist der DNS-Server, welcher die Zone für die AD-Domäne funktionstüchtig hostet?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 15:13 Uhr
Wenn ich die Server mittels
aufliste, bekomme ich lediglich den funktionsfähigen DC.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 15:15 Uhr
Und nochmal die Frage. Habt ihr mit ntdsutil ein Metadata-Cleanup durchgeführt? Wenn JA. Werft den alten kaputten DC weg und macht ihn neu!
Bitte warten ..
Mitglied: jordel
19.02.2020 um 15:16 Uhr
Das ist eindeutig ein Anfängerfehler. Nun, die Konsequenzen wird man wohl später daraus ziehen.

Hier kommt das Problem: der Kollege hat durchaus ein Backup erstellt, hat dieses aber nicht noch einmal auf Vollständigkeit überprüft. Es kam beim Backupprozess zu einem Fehler, weshalb es jetzt beschädigt ist. Ohne Worte.

Der funktionsfähige DC übernimmt momentan auch die Funktions des DNS-Servers.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 15:18 Uhr
Ohne Worte... wer solche Kollegen hat, braucht keine Feinde... Mein Beileid.
Bitte warten ..
Mitglied: emeriks
19.02.2020 um 15:21 Uhr
Dann ist klar:
  1. Backup vom aktuellen Stand DC1 erstellen
  2. Backup vom aktuellen Stand DC2 erstellen
  3. DC2 ausschalten und platt machen! Neu installieren!
  4. dem DC1 alle FSMO "hart" übernehmen lassen
  5. den DC1 zum GC machen
  6. mit NTDSUTIL den DC2 aus dem AD entfernen
  7. DNS aufräumen und alle A- und CNAME-Records zum DC2 löschen
  8. warten, bis der DC1sich als voll funktionstüchtig betrachtet
  9. erst jetzt einen weiteren DC dem AD hinzufügen
Bitte warten ..
Mitglied: jordel
19.02.2020 um 15:22 Uhr
ntdsutil schlug wohl fehl, daraufhin wurde versucht, den Prozess manuell durchzuführen - DNS-Einträge zu löschen, Metadaten, und so weiter.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 15:25 Uhr
Mach es wie emeriks gesagt hat. Einen besseren Rat kann man dir in Moment nicht geben glaube ich. Ausser vielleicht, such dir neue Kollegen
Bitte warten ..
Mitglied: emeriks
19.02.2020, aktualisiert um 15:28 Uhr
Zitat von jordel:
ntdsutil schlug wohl fehl, daraufhin wurde versucht, den Prozess manuell durchzuführen - DNS-Einträge zu löschen, Metadaten, und so weiter.
Wie entfernt man manuell die Metadaten, ohne NTDSUTIL?
Und wobei wurde NTDSUTIL verwendet? Ihr wolltet doch demoten?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 15:29 Uhr
Soweit ich das sehe, wurde bis auf das Plattmachen von DC2 eigentlich alles gemacht. Gibt es irgendeine Möglichkeit, die nicht darin endet, DC2 plattzumachen?

Das Problem besteht darin, dass auf dem DC2 auch noch Webdienste gehostet wurden (ja, es ist ohne Worte). Diese Dienste dürfen nicht ausfallen, schon gar nicht während der Produktionszeit.

Gibt es irgendeinen Weg? Ich überlege auch in die Richtung, DC2 einfach so als Webserver stehen zu lassen und einen neuen Server dann als DC zu nutzen. Ist das eine Option, oder haltet ihr DC2 für so beschädigt, dass schon eine blosse Anwesenheit als normale Maschine in AD Probleme auslöst?

Vielen Dank euch beiden übrigens.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020, aktualisiert um 15:34 Uhr
Also ohne es durch Erfahrung belegen zu können, würde ich schleunigst versuchen den Server aus der Umgebung zu bekommen. Es kann nicht gut gehen, wenn ich einen kaputten DC der nicht mal via NTDSUTIL sauber zu entfernen war, als Zombie im Netzwerk hängen habe.

Webdienste umziehen und gut ist. Wenn es temporär sein soll würde ich zumindest den "Webserver" vom Netzwerk abschotten und dass er garantiert nicht mehr mit dem noch guten DC kommuniziert und die Clients auf die Webservices per NAT oder ähnliches umleiten.

Und kleiner Nachtrag. Ein DC ist ein DC. Darauf dann noch Webdienste zu hosten... mach es künftig lieber anders.
Bitte warten ..
Mitglied: jordel
19.02.2020 um 15:39 Uhr
Vielen Dank für deinen Input. Dann führt wohl kein Weg dran vorbei.

Das mit dem Abschotten wäre in der Tat eine Möglichkeit. Ich schaue mir das mal an.

Das brauchst du mir nicht erzählen - bei uns ist jeder Kollege für bestimmte Dienste und Server zuständig. Der gute Kollege war zu faul, einen 2. Server als Webserver aufzusetzen und hat stattdessen einfach den DC benutzt. Ohne Worte. Nach gestern Nacht hat auch unser CTO unser schwarzes Schaf bemerkt und eine umfassende Untersuchung mit der Möglichkeit von personellen Konsequenzen angekündigt. Immerhin.

Vielen Dank euch auf jeden Fall für die ganze Hilfe!
Bitte warten ..
Mitglied: bloodstix
19.02.2020 um 15:39 Uhr
Webdienste auf einen neuen dedizierten Server umzuziehen sollte ja eigentlich nicht das Problem sein.
Bitte warten ..
Mitglied: emeriks
19.02.2020 um 15:39 Uhr
Zitat von jordel:
Gibt es irgendeinen Weg? Ich überlege auch in die Richtung, DC2 einfach so als Webserver stehen zu lassen und einen neuen Server dann als DC zu nutzen. Ist das eine Option, oder haltet ihr DC2 für so beschädigt, dass schon eine blosse Anwesenheit als normale Maschine in AD Probleme auslöst?
Kann man so machen. Dann müsstest Du aber sicherstellen, dass dieser nie wieder die AD-Dienste startet.
Besser dann so:
  1. DC2 in eigenes Netz-Segment verfrachten (kein Kontakt zu DC1 !!)
  2. DC2 sich selbst als DNS-Server mit der betreffenden Zone
  3. über DC2(!) denselben Weg gehen wie oben schon beschrieben zum Entfernen des DC2, bloß umgekehrt! Also DC1 rausschmeißen.
  4. Als letztes dann den DC2 demoten und dabei wählen "letzter DC" (sinngemäß). Dabei wird der Server dann zum Standalone-Server.
  5. jetzt könnte man den Server wieder ins richtige Segment hängen (Kontakt zum DC1) und wenn im DC1 schon alles zum DC2 entfernt wurde, dann könnte man den DC2 als Member der Domäne beitreten lassen.

Ob das die installierten Webdienste auf dem DC2 überleben, sei jetzt dahingestellt. Aber da hast Du ja nichts zu verlieren.
Bitte warten ..
Mitglied: Bitboy
19.02.2020 um 16:30 Uhr
Was ich mich erstmal frage ist:
Was hat der Kollege auf welche Art unglücklich gelöst?
Welche Troubleshouting Maßnahmen wurden schon unternommen?
Wie ist letztlich der Status von DC2?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 18:14 Uhr
Ich habe ein neues Problem. Beim Promoten eines komplett neuen DCs erhalte ich jetzt die folgende Fehlermeldung:
Hat jemand da eine Idee?
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 18:16 Uhr
Hast du den funktionierenden DC wirklich sauber mit ntdsutil bereinigt?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 18:16 Uhr
Das kann ich dir auch nicht genau sagen. Soweit ich weiss, hat er versucht, den DC zu demoten, hat dann aber gemerkt, dass normales Demoten nicht funktioniert und dann das Ganze erzwungen.
In den nachfolgenden Stunden war das komplette Active Directory nicht mehr verfügbar. Zusammen mit dem Bereitschaftsdienst haben sie den eigentlich sekundären DC zum einzigen DC gemacht, damit wenigstens die Anmeldung wieder funktioniert.
Bitte warten ..
Mitglied: jordel
19.02.2020, aktualisiert um 18:19 Uhr
Ich habe folgendes gemacht:
Als Ergebnis wurde mir dann nur mein funktionierender DC angezeigt. Keine Spur vom DC2. Eigentlich müsste der damit ja weg sein, oder nicht?
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 18:20 Uhr
Das ist ja schon mal gut.

Über welches Betriebssystem sprechen wir denn genau? 2012? 2012r2? 2016? 2019?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 18:22 Uhr
2019er wäre das.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 18:24 Uhr
Schau mal hier, das hört sich ähnlich an wie bei dir

https://social.technet.microsoft.com/Forums/en-US/a2f0c410-a16f-47c3-b98 ...

Könnte ein Artefakt des alten DC sein.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 18:29 Uhr
Vergiss es. War ein anderes Problem. Wenn man am Smartphone googelt...

Dein Fehler deutet auf Arbeitsspeicherprobleme hin. Neugestartet hast du den neuen alten DC mal kürzlich?
Bitte warten ..
Mitglied: jordel
19.02.2020 um 18:33 Uhr
Ich hab das mal geprüft - Arbeitsspeicher ist in der Tat ziemlich ausgelastet. Ich habe die Grösse des Servers mal erhöht, mal schauen, ob das hilft.
Bitte warten ..
Mitglied: TRDSRLZ
19.02.2020 um 18:35 Uhr
Geh das mal Schritt für Schritt durch

https://www.windowspro.de/andreas-kroschel/defekten-domaenencontroller-e ...

So entferne ich immer "überbleibsel" wie 2003er DCs die nur ausgeschaltet und nie sauber entfernt wurden.
Bitte warten ..
Mitglied: emeriks
19.02.2020 um 23:17 Uhr
Zitat von jordel:
Als Ergebnis wurde mir dann nur mein funktionierender DC angezeigt. Keine Spur vom DC2. Eigentlich müsste der damit ja weg sein, oder nicht?
Nö. Ich schätze, Ihr habt im AD auch meherer Sites abgebildet?
Falls ja, dann musst Du natürlich die Site auswählen, wo der DC2 zugehört. Und dort sollte Dir der DC1 gar nicht aufgelistet werden.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows App (re)installieren
gelöst Frage von joehuabaWindows 104 Kommentare

Hallo Zusammen, ich lasse auf meinen Clients mit folgendem Befehl alle Windows Apps deinstallieren. Das funktioniert auch. Nun bräuchte ...

Exchange Server

Activ Sync Mapi Imap Mobilgeräte Exchange

gelöst Frage von opc123Exchange Server5 Kommentare

Hallo, wie finde ich raus welchen Dienst Mobilgeräte verwenden? Ich soll dies Verbieten für alle mobilen Geräte und neu ...

Exchange Server

Exchange 2016 OWA - AW: in RE: ändern

gelöst Frage von ipzipzapExchange Server3 Kommentare

Hallo, wo kann ich unter Exchange 2016 einstellen, das Antworten-Betreffs über OWA ein RE: und kein AW: vorangestellt bekommen? ...

Windows 10

Re-Deployment bereits Bitlocker verschlüsselter Tablets

Frage von cuilsterWindows 102 Kommentare

Hallo liebe Admins und Admininnen, folgender Sachverhalt treibt mich um. Ich habe mehrere MIIX700 von Lenovo im Einsatz, diese ...

Neue Wissensbeiträge
Microsoft

Support of DANE and DNSSEC in Office 365 Exchange Online

Information von Dani vor 4 StundenMicrosoft

Guten Abend zusammen, Microsoft is committed to providing world-class email security solutions and the support for the latest Internet ...

Off Topic

5G und Corona - schwachsinnige Verschwörungstheroretiker

Information von brammer vor 16 StundenOff Topic6 Kommentare

Hallo, das man Verschwörungstheoretikern nicht mit Logik und stichhaltigen Argumenten beikomme kann ist ja leider ein weit verbreitetes Phänomen. ...

Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 2 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 3 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Heiß diskutierte Inhalte
Schulung & Training
IT-Bedarf ermitteln
Frage von malikaSchulung & Training17 Kommentare

Hallo zusammen, ich würde gerne Eure Kritik oder Ratschläge zum Ermitteln des IT-Bedarfs für ein Steuerbüro (2 Steuerberater, 1 ...

Netzwerke
Frage zu VoIP-VLAN und
Frage von darkness08Netzwerke11 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route. Dazu ...

Windows Server
RDS CAL Device CAL vs User CAL
gelöst Frage von ImmenburgWindows Server10 Kommentare

Hallo zusammen, wir wollen einen neuen Windows Terminalserver aufsetzen (lassen) und stellen uns nun die Frage, welche RDS Cals ...

Windows Server
SBS2003 Migrieren auf MS W2K16 DC - ohne SBS nicht lauffähig!
Frage von kaineanungWindows Server9 Kommentare

Hallo Leute, ich habe da mal wieder ein Problem: Ich habe die Aufgabe bekommen von unserem kleinen Tochterunternehmen die ...