38
Active Directory: Fehler beim Re-Promoten eines Servers
Hallo zusammen,
Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten wollte. Leider hat ein geschätzter Kollege das Ganze etwas unglücklich gelöst. Wir hatten einen kompletten Netzwerkausfall, und zusammen mit dem Bereitschaftdienst konnten sie das Netzwerk notgedrungen wieder funktionsfähig machen.
Das Problem bei uns ist, dass wir aufgrund von Platzmangel im Büro alle Server extern haben. Wir haben kein Netzwerk, sondern alles läuft über das Internet (dass das nicht optimal ist, ist mir durchaus bewusst, aber leider gibt es momentan aufgrund von verschiedenen Faktoren keine andere Möglichkeit - wir sind aber dran).
Momentan läuft bei uns gerade mal noch ein einziger DC. Der scheint soweit auch komplett funktionstüchtig zu sein.
Wenn ich jetzt aber probiere, den zweiten DC wieder zu promoten, erhalte ich folgende Fehlermeldung:
Das Komische ist auch, dass wenn ich auf diesem zweiten DC versuche, AD Users and Computers zu öffnen, ich folgende Fehlermeldung erhalte:
Ich kann den ersten DC vom zweiten aus ohne Probleme anpingen.
Habt ihr Ideen?
Vielen, vielen Dank im Voraus & liebe Grüsse
Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten wollte. Leider hat ein geschätzter Kollege das Ganze etwas unglücklich gelöst. Wir hatten einen kompletten Netzwerkausfall, und zusammen mit dem Bereitschaftdienst konnten sie das Netzwerk notgedrungen wieder funktionsfähig machen.
Das Problem bei uns ist, dass wir aufgrund von Platzmangel im Büro alle Server extern haben. Wir haben kein Netzwerk, sondern alles läuft über das Internet (dass das nicht optimal ist, ist mir durchaus bewusst, aber leider gibt es momentan aufgrund von verschiedenen Faktoren keine andere Möglichkeit - wir sind aber dran).
Momentan läuft bei uns gerade mal noch ein einziger DC. Der scheint soweit auch komplett funktionstüchtig zu sein.
Wenn ich jetzt aber probiere, den zweiten DC wieder zu promoten, erhalte ich folgende Fehlermeldung:
The wizard cannot access the list of domains in the forest. The error is: access is denied.Das Komische ist auch, dass wenn ich auf diesem zweiten DC versuche, AD Users and Computers zu öffnen, ich folgende Fehlermeldung erhalte:
Naming information cannot be located for the following reason: The server is not operational.Ich kann den ersten DC vom zweiten aus ohne Probleme anpingen.
Habt ihr Ideen?
Vielen, vielen Dank im Voraus & liebe Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 549202
Url: https://administrator.de/contentid/549202
Printed on: April 24, 2024 at 00:04 o'clock
38 Comments
Latest comment
Hi,
Du wolltest de- und promoten, aber ein Kollege hat es unglücklich gelöst?
Wo stehen/laufen die DC's?
Wie kommt Ihr ohne Netzwerk ins Internet? Jeder PC über Mobilfunk, oder was?
E.
Du wolltest de- und promoten, aber ein Kollege hat es unglücklich gelöst?
Wo stehen/laufen die DC's?
Wie kommt Ihr ohne Netzwerk ins Internet? Jeder PC über Mobilfunk, oder was?
E.
Ähm. Der "zweite DC" war aber hoffentlich nicht der PDC, Infrasturkturmaster oder gar SchemaMaster?
Wenn du auf dem noch laufenden DC mal netdom query fsmo ausführst. Was sagt er dann?
Wenn du auf dem noch laufenden DC mal netdom query fsmo ausführst. Was sagt er dann?
Ich habe es angeordnet und ein Kollege hat es unglücklich gelöst, so ist es vielleicht besser gesagt.
Wir haben zwei DC: einen in Düsseldorf und einen in Irland.
Ich meinte damit eher, dass wir kein Netzwerk im klassischen Sinn haben, heisst, alle Clients sind in einem Netzwerk und die DCs jeweils in einem eigenen. ;)
Gruß
Wir haben zwei DC: einen in Düsseldorf und einen in Irland.
Ich meinte damit eher, dass wir kein Netzwerk im klassischen Sinn haben, heisst, alle Clients sind in einem Netzwerk und die DCs jeweils in einem eigenen. ;)
Gruß
Prima. Und die Clients (Du) sind wo?
Richtig, der "zweite DC", also derjenige, der entfernt wurde, war der PDC.
Der noch laufende DC nennt sich selbst in allen Punkten.
Der noch laufende DC nennt sich selbst in allen Punkten.
Schema master RSC1A-S12.***.com
Domain naming master RSC1A-S12.***.com
PDC RSC1A-S12.***.com
RID pool manager RSC1A-S12.***.com
Infrastructure master RSC1A-S12.***.com
Und wenn du sagst, der DC "scheint Funktionstüchtig zu sein" Was sagt DCDIAG?
Die sind in Zürich, Schweiz.
Die Rollen wurden vor dem Entfernen sauber auf den noch lebenden Server übertragen?
Eine Frage noch. Ihr habt aber nicht über ntdsutil nach der "missglückten" Herabstufung noch die Metadaten oder so bereinigt oder?
Folgender Fehler:
Die Rollen sollten übertragen worden sein, aber sicher bin ich mir seit gestern bei gar nichts mehr.
Es wurde probiert, als ein Fehler auftrat, wurde das DNS Verzeichnis anscheinend manuell bereinigt.
Starting test: DFSREvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
......................... RSC1A-S12 failed test DFSREventDie Rollen sollten übertragen worden sein, aber sicher bin ich mir seit gestern bei gar nichts mehr.
Es wurde probiert, als ein Fehler auftrat, wurde das DNS Verzeichnis anscheinend manuell bereinigt.
Mir gehts nicht um DNS. Sondern die Metadaten der Domäne.
Wie zum Beispiel hier beschrieben: https://www.windowspro.de/andreas-kroschel/defekten-domaenencontroller-e ...
Da steht nämlich auch, AUF KEINEN FALL EINEN SERVER DER SO ENTFERNT WURDE WIEDER ANS NETZ NEHMEN!
Wie zum Beispiel hier beschrieben: https://www.windowspro.de/andreas-kroschel/defekten-domaenencontroller-e ...
Da steht nämlich auch, AUF KEINEN FALL EINEN SERVER DER SO ENTFERNT WURDE WIEDER ANS NETZ NEHMEN!
Zitat von @jordel:
Folgender Fehler:
Die Rollen sollten übertragen worden sein, aber sicher bin ich mir seit gestern bei gar nichts mehr.
Es wurde probiert, als ein Fehler auftrat, wurde das DNS Verzeichnis anscheinend manuell bereinigt.
Folgender Fehler:
Starting test: DFSREvent
> There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
> ......................... RSC1A-S12 failed test DFSREventDie Rollen sollten übertragen worden sein, aber sicher bin ich mir seit gestern bei gar nichts mehr.
Es wurde probiert, als ein Fehler auftrat, wurde das DNS Verzeichnis anscheinend manuell bereinigt.
Der Fehler mit der Replikation an sich ist in dem Zusammenhang nicht "tragisch" der sagt ja nur, dass der Server in den letzten 24 Stunden hatte sein Sysvol zu replizieren. Sei ihm zugestanden, wenn man bedenkt dass ihr einen DC mal eben getötet habt.
Ich tippe mal auf einache Anfängerfehler.
Ich rate wärmstens, einfach die Backups beider DC's, welche Ihr unmittelbar vorher erstellt habt, wiederherszustellen.
Ansonsten:
Wer ist der DNS-Server, welcher die Zone für die AD-Domäne funktionstüchtig hostet?
Ich rate wärmstens, einfach die Backups beider DC's, welche Ihr unmittelbar vorher erstellt habt, wiederherszustellen.
Ansonsten:
Wer ist der DNS-Server, welcher die Zone für die AD-Domäne funktionstüchtig hostet?
1
Wenn ich die Server mittels
aufliste, bekomme ich lediglich den funktionsfähigen DC.
select operation target: list servers in site
Und nochmal die Frage. Habt ihr mit ntdsutil ein Metadata-Cleanup durchgeführt? Wenn JA. Werft den alten kaputten DC weg und macht ihn neu!
Das ist eindeutig ein Anfängerfehler. Nun, die Konsequenzen wird man wohl später daraus ziehen.
Hier kommt das Problem: der Kollege hat durchaus ein Backup erstellt, hat dieses aber nicht noch einmal auf Vollständigkeit überprüft. Es kam beim Backupprozess zu einem Fehler, weshalb es jetzt beschädigt ist. Ohne Worte.
Der funktionsfähige DC übernimmt momentan auch die Funktions des DNS-Servers.
Hier kommt das Problem: der Kollege hat durchaus ein Backup erstellt, hat dieses aber nicht noch einmal auf Vollständigkeit überprüft. Es kam beim Backupprozess zu einem Fehler, weshalb es jetzt beschädigt ist. Ohne Worte.
Der funktionsfähige DC übernimmt momentan auch die Funktions des DNS-Servers.
Ohne Worte... wer solche Kollegen hat, braucht keine Feinde... Mein Beileid.
1
Dann ist klar:
- Backup vom aktuellen Stand DC1 erstellen
- Backup vom aktuellen Stand DC2 erstellen
- DC2 ausschalten und platt machen! Neu installieren!
- dem DC1 alle FSMO "hart" übernehmen lassen
- den DC1 zum GC machen
- mit NTDSUTIL den DC2 aus dem AD entfernen
- DNS aufräumen und alle A- und CNAME-Records zum DC2 löschen
- warten, bis der DC1sich als voll funktionstüchtig betrachtet
- erst jetzt einen weiteren DC dem AD hinzufügen
1
ntdsutil schlug wohl fehl, daraufhin wurde versucht, den Prozess manuell durchzuführen - DNS-Einträge zu löschen, Metadaten, und so weiter.
Mach es wie emeriks gesagt hat. Einen besseren Rat kann man dir in Moment nicht geben glaube ich. Ausser vielleicht, such dir neue Kollegen
Zitat von @jordel:
ntdsutil schlug wohl fehl, daraufhin wurde versucht, den Prozess manuell durchzuführen - DNS-Einträge zu löschen, Metadaten, und so weiter.
Wie entfernt man manuell die Metadaten, ohne NTDSUTIL?ntdsutil schlug wohl fehl, daraufhin wurde versucht, den Prozess manuell durchzuführen - DNS-Einträge zu löschen, Metadaten, und so weiter.
Und wobei wurde NTDSUTIL verwendet? Ihr wolltet doch demoten?
Soweit ich das sehe, wurde bis auf das Plattmachen von DC2 eigentlich alles gemacht. Gibt es irgendeine Möglichkeit, die nicht darin endet, DC2 plattzumachen?
Das Problem besteht darin, dass auf dem DC2 auch noch Webdienste gehostet wurden (ja, es ist ohne Worte). Diese Dienste dürfen nicht ausfallen, schon gar nicht während der Produktionszeit.
Gibt es irgendeinen Weg? Ich überlege auch in die Richtung, DC2 einfach so als Webserver stehen zu lassen und einen neuen Server dann als DC zu nutzen. Ist das eine Option, oder haltet ihr DC2 für so beschädigt, dass schon eine blosse Anwesenheit als normale Maschine in AD Probleme auslöst?
Vielen Dank euch beiden übrigens.
Das Problem besteht darin, dass auf dem DC2 auch noch Webdienste gehostet wurden (ja, es ist ohne Worte). Diese Dienste dürfen nicht ausfallen, schon gar nicht während der Produktionszeit.
Gibt es irgendeinen Weg? Ich überlege auch in die Richtung, DC2 einfach so als Webserver stehen zu lassen und einen neuen Server dann als DC zu nutzen. Ist das eine Option, oder haltet ihr DC2 für so beschädigt, dass schon eine blosse Anwesenheit als normale Maschine in AD Probleme auslöst?
Vielen Dank euch beiden übrigens.
Also ohne es durch Erfahrung belegen zu können, würde ich schleunigst versuchen den Server aus der Umgebung zu bekommen. Es kann nicht gut gehen, wenn ich einen kaputten DC der nicht mal via NTDSUTIL sauber zu entfernen war, als Zombie im Netzwerk hängen habe.
Webdienste umziehen und gut ist. Wenn es temporär sein soll würde ich zumindest den "Webserver" vom Netzwerk abschotten und dass er garantiert nicht mehr mit dem noch guten DC kommuniziert und die Clients auf die Webservices per NAT oder ähnliches umleiten.
Und kleiner Nachtrag. Ein DC ist ein DC. Darauf dann noch Webdienste zu hosten... mach es künftig lieber anders.
Webdienste umziehen und gut ist. Wenn es temporär sein soll würde ich zumindest den "Webserver" vom Netzwerk abschotten und dass er garantiert nicht mehr mit dem noch guten DC kommuniziert und die Clients auf die Webservices per NAT oder ähnliches umleiten.
Und kleiner Nachtrag. Ein DC ist ein DC. Darauf dann noch Webdienste zu hosten... mach es künftig lieber anders.
1
Vielen Dank für deinen Input. Dann führt wohl kein Weg dran vorbei.
Das mit dem Abschotten wäre in der Tat eine Möglichkeit. Ich schaue mir das mal an.
Das brauchst du mir nicht erzählen - bei uns ist jeder Kollege für bestimmte Dienste und Server zuständig. Der gute Kollege war zu faul, einen 2. Server als Webserver aufzusetzen und hat stattdessen einfach den DC benutzt. Ohne Worte. Nach gestern Nacht hat auch unser CTO unser schwarzes Schaf bemerkt und eine umfassende Untersuchung mit der Möglichkeit von personellen Konsequenzen angekündigt. Immerhin.
Vielen Dank euch auf jeden Fall für die ganze Hilfe!
Das mit dem Abschotten wäre in der Tat eine Möglichkeit. Ich schaue mir das mal an.
Das brauchst du mir nicht erzählen - bei uns ist jeder Kollege für bestimmte Dienste und Server zuständig. Der gute Kollege war zu faul, einen 2. Server als Webserver aufzusetzen und hat stattdessen einfach den DC benutzt. Ohne Worte. Nach gestern Nacht hat auch unser CTO unser schwarzes Schaf bemerkt und eine umfassende Untersuchung mit der Möglichkeit von personellen Konsequenzen angekündigt. Immerhin.
Vielen Dank euch auf jeden Fall für die ganze Hilfe!
Webdienste auf einen neuen dedizierten Server umzuziehen sollte ja eigentlich nicht das Problem sein.
Zitat von @jordel:
Gibt es irgendeinen Weg? Ich überlege auch in die Richtung, DC2 einfach so als Webserver stehen zu lassen und einen neuen Server dann als DC zu nutzen. Ist das eine Option, oder haltet ihr DC2 für so beschädigt, dass schon eine blosse Anwesenheit als normale Maschine in AD Probleme auslöst?
Kann man so machen. Dann müsstest Du aber sicherstellen, dass dieser nie wieder die AD-Dienste startet.Gibt es irgendeinen Weg? Ich überlege auch in die Richtung, DC2 einfach so als Webserver stehen zu lassen und einen neuen Server dann als DC zu nutzen. Ist das eine Option, oder haltet ihr DC2 für so beschädigt, dass schon eine blosse Anwesenheit als normale Maschine in AD Probleme auslöst?
Besser dann so:
- DC2 in eigenes Netz-Segment verfrachten (kein Kontakt zu DC1 !!)
- DC2 sich selbst als DNS-Server mit der betreffenden Zone
- über DC2(!) denselben Weg gehen wie oben schon beschrieben zum Entfernen des DC2, bloß umgekehrt! Also DC1 rausschmeißen.
- Als letztes dann den DC2 demoten und dabei wählen "letzter DC" (sinngemäß). Dabei wird der Server dann zum Standalone-Server.
- jetzt könnte man den Server wieder ins richtige Segment hängen (Kontakt zum DC1) und wenn im DC1 schon alles zum DC2 entfernt wurde, dann könnte man den DC2 als Member der Domäne beitreten lassen.
Ob das die installierten Webdienste auf dem DC2 überleben, sei jetzt dahingestellt. Aber da hast Du ja nichts zu verlieren.
1
Was ich mich erstmal frage ist:
Was hat der Kollege auf welche Art unglücklich gelöst?
Welche Troubleshouting Maßnahmen wurden schon unternommen?
Wie ist letztlich der Status von DC2?
Was hat der Kollege auf welche Art unglücklich gelöst?
Welche Troubleshouting Maßnahmen wurden schon unternommen?
Wie ist letztlich der Status von DC2?
Ich habe ein neues Problem. Beim Promoten eines komplett neuen DCs erhalte ich jetzt die folgende Fehlermeldung:
Hat jemand da eine Idee?
The operation failed because:
Active Directory Domain Services could not replicate the directory partition CN=Schema,CN=Configuration,DC=contonso,DC=com from the remote Active Directory Domain Controller RSC1A-S12.contonso.com.
"The replication operation failed to allocate memory." Hat jemand da eine Idee?
Hast du den funktionierenden DC wirklich sauber mit ntdsutil bereinigt?
Das kann ich dir auch nicht genau sagen. Soweit ich weiss, hat er versucht, den DC zu demoten, hat dann aber gemerkt, dass normales Demoten nicht funktioniert und dann das Ganze erzwungen.
In den nachfolgenden Stunden war das komplette Active Directory nicht mehr verfügbar. Zusammen mit dem Bereitschaftsdienst haben sie den eigentlich sekundären DC zum einzigen DC gemacht, damit wenigstens die Anmeldung wieder funktioniert.
In den nachfolgenden Stunden war das komplette Active Directory nicht mehr verfügbar. Zusammen mit dem Bereitschaftsdienst haben sie den eigentlich sekundären DC zum einzigen DC gemacht, damit wenigstens die Anmeldung wieder funktioniert.
Ich habe folgendes gemacht:
Als Ergebnis wurde mir dann nur mein funktionierender DC angezeigt. Keine Spur vom DC2. Eigentlich müsste der damit ja weg sein, oder nicht?
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server localhost
server connections: q
metadata cleanup: select operation target
select operation target: list domains
select operation target: select domain 0
select operation target: list sites
select operation target: select site 0
select operation target: list servers in siteAls Ergebnis wurde mir dann nur mein funktionierender DC angezeigt. Keine Spur vom DC2. Eigentlich müsste der damit ja weg sein, oder nicht?
Das ist ja schon mal gut.
Über welches Betriebssystem sprechen wir denn genau? 2012? 2012r2? 2016? 2019?
Über welches Betriebssystem sprechen wir denn genau? 2012? 2012r2? 2016? 2019?
2019er wäre das.
Schau mal hier, das hört sich ähnlich an wie bei dir
https://social.technet.microsoft.com/Forums/en-US/a2f0c410-a16f-47c3-b98 ...
Könnte ein Artefakt des alten DC sein.
https://social.technet.microsoft.com/Forums/en-US/a2f0c410-a16f-47c3-b98 ...
Könnte ein Artefakt des alten DC sein.
Vergiss es. War ein anderes Problem. Wenn man am Smartphone googelt...
Dein Fehler deutet auf Arbeitsspeicherprobleme hin. Neugestartet hast du den neuen alten DC mal kürzlich?
Dein Fehler deutet auf Arbeitsspeicherprobleme hin. Neugestartet hast du den neuen alten DC mal kürzlich?
Ich hab das mal geprüft - Arbeitsspeicher ist in der Tat ziemlich ausgelastet. Ich habe die Grösse des Servers mal erhöht, mal schauen, ob das hilft.
Geh das mal Schritt für Schritt durch
https://www.windowspro.de/andreas-kroschel/defekten-domaenencontroller-e ...
So entferne ich immer "überbleibsel" wie 2003er DCs die nur ausgeschaltet und nie sauber entfernt wurden.
https://www.windowspro.de/andreas-kroschel/defekten-domaenencontroller-e ...
So entferne ich immer "überbleibsel" wie 2003er DCs die nur ausgeschaltet und nie sauber entfernt wurden.
Zitat von @jordel:
Als Ergebnis wurde mir dann nur mein funktionierender DC angezeigt. Keine Spur vom DC2. Eigentlich müsste der damit ja weg sein, oder nicht?
Nö. Ich schätze, Ihr habt im AD auch meherer Sites abgebildet?Als Ergebnis wurde mir dann nur mein funktionierender DC angezeigt. Keine Spur vom DC2. Eigentlich müsste der damit ja weg sein, oder nicht?
Falls ja, dann musst Du natürlich die Site auswählen, wo der DC2 zugehört. Und dort sollte Dir der DC1 gar nicht aufgelistet werden.
