25.04.2018

6021

Alten DC entfernen

Hallo zusammen,

ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze Menge DCOM Fehler vorhanden sind, in der er versucht einen anderen DC zu erreichen.

*
Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719

Erstellungszeitpunkt: 04/24/2018 15:49:03

Ereigniszeichenfolge:

DCOM konnte mit dem Computer "alterDC" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719
*

Diesen DC gibt es jedoch nicht. Gab es wahrscheinlich mal aber man hat ihn wohl damals nicht sauber mit DCPROMO entfernt.

Die Frage ist nun, wie kann ich den nachträglich entfernen? Zugriff habe ich auf ihn nicht, in der AD finde ich ihn auch nicht. Ebenso wenig im DNS.

Viele Grüße
Thomas

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 372188

Url: https://administrator.de/contentid/372188

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

27 Kommentare

Neuester Kommentar

Hallo,

Zitat von @smartino:
Die Frage ist nun, wie kann ich den nachträglich entfernen?

https://support.microsoft.com/en-us/help/555846
https://support.microsoft.com/en-us/help/230306/how-to-remove-orphaned-d ...
https://community.spiceworks.com/how_to/9942-complete-force-removal-of-a ...

Gruß,
Peter

Vielen Dank für die Links, funktioniert aber leider nicht. AD zeigt den alten DC nicht an. Somit laufen die Lösungsvorschläge der Links ins Leere

Merkwürdig ist ist aber schon, denn dcdiag findet ja den alten DC also muß er ja irgendwo sein. ADSIEDIT habe ich auch schon bemüht.

Grüße, Thomas

Hallo,

Zitat von @smartino:
Somit laufen die Lösungsvorschläge der Links ins Leere

Du hast schon eure Daten in den Links eingetragen und keinen Fehler gemacht?

Merkwürdig ist ist aber schon, denn dcdiag findet ja den alten DC also muß er ja irgendwo sein.

Ja.

ADSIEDIT habe ich auch schon bemüht.

Soll uns jetzt was sagen?
Die links setzen gewisse Grundlagen vorraus. Die sind Erfüllt z.B. Server Version, AD Version usw? Du hast uns nicht gesagt was bei dir zu beachten ist. Wie viele DCs habt ihr denn?

Gruß,
Peter

Zitat von @Pjordorf:

Hallo,

Zitat von @smartino:
Somit laufen die Lösungsvorschläge der Links ins Leere

Du hast schon eure Daten in den Links eingetragen und keinen Fehler gemacht?

Nein, keine Fehler. Er zeigt als Ergebnis ja auch die DCs an aber eben diesen einen nicht.

Merkwürdig ist ist aber schon, denn dcdiag findet ja den alten DC also muß er ja irgendwo sein.

Ja.

ADSIEDIT habe ich auch schon bemüht.

Soll uns jetzt was sagen?

Hmm; ja, das ich ADSIEDIT ebenfalls bemüht habe um den DC zu finden.

Die links setzen gewisse Grundlagen vorraus. Die sind Erfüllt z.B. Server Version, AD Version usw? Du hast uns nicht gesagt was bei dir zu beachten ist.

Ah, sorry, 2008er Level (nicht R2)

Wie viele DCs habt ihr denn?

3 DCs.

Moin,

Hmm; ja, das ich ADSIEDIT ebenfalls bemüht habe um den DC zu finden.

Dann unterstelle ich mal, das es beim Bemühen geblieben ist. Wenn der alte DC mit keinerlei Einträgen in ADSIEdit auftaucht, taucht der erst recht nicht irgendwo anders auf...

Gruß

Hallo,

Zitat von @smartino:
Nein, keine Fehler. Er zeigt als Ergebnis ja auch die DCs an aber eben diesen einen nicht.

Das ist doch eine ganz andere Aussage

Hmm; ja, das ich ADSIEDIT ebenfalls bemüht habe um den DC zu finden.

Und du hast auf allen DCs mühsam das AD durchforstet oder hattest du eine Suchmaschine bemüht die dein AD auf allen DCs durchforsten kann?
https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer
https://msdn.microsoft.com/en-us/library/aa746468(v=vs.85).aspx
https://www.petri.com/quickly_search_active_directory_from_the_desktop
http://www.windows-active-directory.com/locating-active-directory-objec ...
https://mcpmag.com/articles/2006/09/18/searching-active-directory-object ...
https://msdn.microsoft.com/en-us/library/aa746427(v=vs.85).aspx

Ah, sorry, 2008er Level (nicht R2)

Dann such doch mal nach Tools für deine Server OSe.
https://serverfault.com/questions/392138/removing-an-orphaned-ad-domain- ...
https://blogs.msmvps.com/acefekay/2010/10/04/complete-step-by-step-to-re ...
https://www.petri.com/delete_failed_dcs_from_ad
https://www.petri.com/forums/forum/server-operating-systems/sbs-2000-200 ...
http://www.briandesmond.com/blog/remove-an-offline-domain-controller

DNS hast du auch an allen DNServer geprüft? Oder ist der in WINS eingetragen gewesen?

3 DCs.

Und die Replizieren noch sauber oder nicht? Auf allen DCs gesucht?

Oder du holst dir jemand der das kann was die Aufgabe an den Job stellt.

Gruß,
Peter

Zitat von @Pjordorf:

Hallo,

Zitat von @smartino:
Nein, keine Fehler. Er zeigt als Ergebnis ja auch die DCs an aber eben diesen einen nicht.

Das ist doch eine ganz andere Aussage

Hmm, wie gesagt, dieser alte DC ist im AD nicht zu finden. Sorry, falls das im ersten Post nicht klar wurde.

Hmm; ja, das ich ADSIEDIT ebenfalls bemüht habe um den DC zu finden.

Und du hast auf allen DCs mühsam das AD durchforstet

ich habe auf dem ersten DC, auf dem ich DCDIAG durchgeführt habe im ADSIEDIT nachgeschaut. Was ist daran mühsam?

Ah, sorry, 2008er Level (nicht R2)

schau ich mir an, danke.

DNS hast du auch an allen DNServer geprüft?

ja, kein Eintrag vorhanden. Stand auch schon im ersten Post.

Oder ist der in WINS eingetragen gewesen?

WINS gibt es hier nicht.

3 DCs.

Und die Replizieren noch sauber oder nicht?

ja, die replizieren sauber.

Auf allen DCs gesucht?

ja.

Oder du holst dir jemand der das kann was die Aufgabe an den Job stellt.

Du weist schon, daß ich den Job nicht machen kann oder was willst Du damit genau sagen? Ich dachte, bevor ich das Problem weiter eskaliere, frage ich erstmal die hilfsbereiten Leute hier.

Hallo,

Zitat von @smartino:
Hmm, wie gesagt, dieser alte DC ist im AD nicht zu finden.

Das habe wir Verstanden.

Sorry, falls das im ersten Post nicht klar wurde.

Ne, nicht im ersten von dir, sondern dein

Somit laufen die Lösungsvorschläge der Links ins Leere

ich habe auf dem ersten DC, auf dem ich DCDIAG durchgeführt habe im ADSIEDIT nachgeschaut.

Und deine anderen DCs?

Was ist daran mühsam?

Naja, ADSIEdit ist nicht wirklich eine Suchmaschine

ja, kein Eintrag vorhanden.

In allen DNServer gesucht?

ja, die replizieren sauber.

Wenn dein DCDiag einen Server auflistet den es aber gar nicht gibt und dein AD sauber (ohne Fehler) zwiswchen den 3 DCs repliziert wird, woher sztammen dann die Daten aus dein DCDiag?

ich dachte, ich frage erstmal die hilfsbereiten Leute hier.

OK. Ich bin ab jetzt draussen.

Gruß,
Peter

Zitat von @Pjordorf:
https://community.spiceworks.com/how_to/9942-complete-force-removal-of-a ...

Dort steht alles unter:

Step 5: Clear the Metadata from AD

Zitat von @Pjordorf:

Hallo,

Zitat von @smartino:
Hmm, wie gesagt, dieser alte DC ist im AD nicht zu finden.

Das habe wir Verstanden.

Du bist wir oder Pluralis Majestatis?

Sorry, falls das im ersten Post nicht klar wurde.

Ne, nicht im ersten von dir, sondern dein

Somit laufen die Lösungsvorschläge der Links ins Leere

na wenns im ersten schon klar war, verstehe ich Dein Problem nicht. Schau - ich kann doch auch nichts dafür, dass die üblichen Lösungsvorschläge bei diesem Problem bislang nicht greifen. Also konzentrieren wir uns doch bitte am besten wieder auf das rein sachliche.

ich habe auf dem ersten DC, auf dem ich DCDIAG durchgeführt habe im ADSIEDIT nachgeschaut.

Und deine anderen DCs?

finden ihn mit den bisher geposteten Vorschlägen leider auch nicht.

btw. die Links aus dem Post vorher habe ich durch. Sind auch größtenteils die schon vorher geposteten Tools, die ich schon bemüht hatte. Daher leider nach wie vor, nur dcdiag findet ihn.

Was ist daran mühsam?

Naja, ADSIEdit ist nicht wirklich eine Suchmaschine

naja, bei 3 DCs noch im Rahmen. So viele mögliche Orte gibt es in ADSIEDIT nicht, wo er stecken könnte.

ja, kein Eintrag vorhanden.

In allen DNServer gesucht?

ja, die replizieren sauber.

Wenn dein DCDiag einen Server auflistet den es aber gar nicht gibt und dein AD sauber (ohne Fehler) zwiswchen den 3 DCs repliziert wird, woher sztammen dann die Daten aus dein DCDiag?

das ist die Frage der Fragen. Alle anderen Tests mit dcdiag besteht die AD auch mit /v. Ebenso werden Testeinträge in der korrekten Zeit sauber repliziert.

ich dachte, ich frage erstmal die hilfsbereiten Leute hier.

OK. Ich bin ab jetzt draussen.

Wenn Du fachlich/sachlich keine weiteren Ideen hast, dann ja. Danke Dir aber dennoch bis dahin für den sachlich/fachlichen Versuch.

Zitat von @emeriks:

Zitat von @Pjordorf:
https://community.spiceworks.com/how_to/9942-complete-force-removal-of-a ...

Dort steht alles unter:

Step 5: Clear the Metadata from AD

"xii) Type "select server [n]", [n] representing the DC to be removed, and then press ENTERR "

Schon probiert, Da listet er ihn leider nicht.

Moin...

ich versuche das jetzt mal mit dir!

was genau geht mit ADASI Edit nicht?

Frank

ich finde (auch) im ADSIEDIT den DC nicht, den dcdiag (siehe erster Post) moniert.

Versuche mal folgendes:
Mit LDIFDE die gesamte Konfigurationspartition in eine Datei exportieren. In dieser Datei dann mal nach dem Namen des Servers suchen. Wenn Du den dort findest, dann schreib mal hier, wo genau. Dann sehen wir weiter.

LDIFDE -f export.ldif -c “#configurationNamingContext” “cn=configuration,dc=x”

Genau so, wie es da steht! Nichts ersetzen! Das "dc=x" wird von LDIFDE selbstständig ersetzt.

cool, ja, da finde ich ihn (alterDC). Gleich an mehreren Stellen. Das erste Mal hier:

dn: CN=IUSR_alterDC,CN=Users,DC=domain,DC=LKZ

?????

dn: CN=IUSR_alterDC,CN=Users,DC=domain,DC=LKZ

Das ist ein Objekt aud der Domänen-Partition. Und es ist nur ein Benutzerobjekt, welches mal für einen IIS auf diesem DC angelegt wurde.

Ich schrieb was von Konfigurations-Partition!
Poste hier bitte mal den ganzen Block, in welchem die von Dir genannte Zeile auftaucht.

OK, das mit dem Replace klappt hier wohl nicht, habe das mal bei mir getestet.
Nimm statt dessen:

LDIFDE -f export.ldif -d “cn=configuration,dc=domain,dc=tld”

dc=domain,dc=tld entsprechend ersetzen.

dn: CN=IUSR_alterDC,CN=Users,DC=Domain,DC=LKZ
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: IUSR_KIEDC2
description:: 
 Vm9yZGVmaW5pZXJ0ZXMgS29udG8gZsO8ciBhbm9ueW1lbiBadWdyaWZmIHp1IGRlbiBJbnRlcm5ldG
 luZm9ybWF0aW9uc2RpZW5zdGVu
distinguishedName: CN=IUSR_alterDC,CN=Users,DC=Domain,DC=LKZ
instanceType: 4
whenCreated: 20060714085415.0Z
whenChanged: 20110413112604.0Z
displayName: Internetgastkonto
uSNCreated: 19731
memberOf:: Q049R8Okc3RlLENOPUJ1aWx0aW4sREM9S2llc2VsLERDPWRl
uSNChanged: 19731
name: IUSR_alterDC
objectGUID:: TkdKbwTTs0aag7LaTVq9ZA==
userAccountControl: 66048
codePage: 0
countryCode: 0
logonHours:: ////////////////////////////
pwdLastSet: 128211979021888941
primaryGroupID: 513
userParameters:: 
 bTogICAgICAgICAgICAgICAgICAgIGQBICAgICAgICAgICAgICAgICAgICAgICAgUAQaCAFDdHhDZm
 dQcmVzZW5045S15pSx5oiw44GiGAgBQ3R4Q2ZnRmxhZ3Mx44Cw44Gm44Sy44C5EggBQ3R4U2hhZG93
 44Sw44Cw44Cw44CwKgIBQ3R4TWluRW5jcnlwdGlvbkxldmVs44Sw
objectSid:: AQUAAAAAAAUVAAAACHP1Z2U1aQMtYAZuTBMAAA==
comment:: 
 Vm9yZGVmaW5pZXJ0ZXMgS29udG8gZsO8ciBhbm9ueW1lbiBadWdyaWZmIHp1IGRlbiBJbnRlcm5ldG
 luZm9ybWF0aW9uc2RpZW5zdGVu
accountExpires: 0
sAMAccountName: IUSR_alterDC
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Domain,DC=LKZ
msNPAllowDialin: FALSE
dSCorePropagationData: 20171107100830.0Z
dSCorePropagationData: 20170726092324.0Z
dSCorePropagationData: 20170602114743.0Z
dSCorePropagationData: 20170322102224.0Z
dSCorePropagationData: 16010714223649.0Z
lastLogonTimestamp: 128726857269819999

und

dn: CN=IWAM_KIEDC2,CN=Users,DC=Domain,DC=LKZ
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: IWAM_alterDC
description:: 
 Vm9yZGVmaW5pZXJ0ZXMgS29udG8gZsO8ciBJbnRlcm5ldGluZm9ybWF0aW9uc2RpZW5zdGUsIHVtIC
 JPdXQgb2YgUHJvY2VzcyItQW53ZW5kdW5nZW4genUgc3RhcnRlbg==
distinguishedName: CN=IWAM_alterDC,CN=Users,DC=Domain,DC=LKZ
instanceType: 4
whenCreated: 20070416115142.0Z
whenChanged: 20110413112601.0Z
displayName: IIS-Prozesskonto starten
uSNCreated: 19269
memberOf: CN=IIS_WPG,CN=Users,DC=Domain,DC=LKZ
memberOf: CN=Debuggerbenutzer,CN=Users,DC=Domain,DC=LKZ
uSNChanged: 19269
name: IWAM_alterDC
objectGUID:: AoOlPd+C5kKsAr7rd9YKIw==
userAccountControl: 66048
codePage: 0
countryCode: 0
logonHours:: ////////////////////////////
pwdLastSet: 128211979025482576
primaryGroupID: 513
userParameters:: 
 bTogICAgICAgICAgICAgICAgICAgIGQBICAgICAgICAgICAgICAgICAgICAgICAgUAQaCAFDdHhDZm
 dQcmVzZW5045S15pSx5oiw44GiGAgBQ3R4Q2ZnRmxhZ3Mx44Cw44Gm44Sy44C5EggBQ3R4U2hhZG93
 44Sw44Cw44Cw44CwKgIBQ3R4TWluRW5jcnlwdGlvbkxldmVs44Sw
objectSid:: AQUAAAAAAAUVAAAACHP1Z2U1aQMtYAZuvxMAAA==
comment:: 
 Vm9yZGVmaW5pZXJ0ZXMgS29udG8gZsO8ciBJbnRlcm5ldGluZm9ybWF0aW9uc2RpZW5zdGUsIHVtIC
 JPdXQgb2YgUHJvY2VzcyItQW53ZW5kdW5nZW4genUgc3RhcnRlbg==
accountExpires: 0
sAMAccountName: IWAM_alterDC
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=Domain,DC=LKZ
msNPAllowDialin: FALSE
dSCorePropagationData: 20171107100830.0Z
dSCorePropagationData: 20170726092324.0Z
dSCorePropagationData: 20170602114743.0Z
dSCorePropagationData: 20170322102224.0Z
dSCorePropagationData: 16010714223649.0Z

folgend auch nur weitere Benutzerobjekte. Als letzter Eintrag, der ihn enthält:

member: CN=IWAM_alterDC,CN=Users,DC=Domain,DC=LKZ

2ten Post von Dir zu spät gesehen. LDIFDE funktioniert, löst richtigen LDAP-Pfad auch auf aber: <Keine Einträge gefunden>

Diese Benutzerobjekte sind für DCdiag irrelevant. Diese können es also nicht sein.

LDIFDE funktioniert,

natürlich

löst richtigen LDAP-Pfad auch auf

Welchen Pfad?

aber: <Keine Einträge gefunden>

Wie, keine Einträge? Da musst Du Dich verschrieben haben. Hast Du den zweiten Befehl versucht? Mit "-d" und "CN=" ?

Zitat von @emeriks:

LDIFDE funktioniert,

natürlich

ich wollte damit ausdrücken, daß ich mich nicht verschrieben habe

löst richtigen LDAP-Pfad auch auf

Welchen Pfad?

Ich muß das halt anonymisieren aber den hier:

<Die Einträge werden geschrieben.ldap:domain.lkz/cn=configuration,dc=domain,dc=lkz>

aber: <Keine Einträge gefunden>
Wie, keine Einträge? Da musst Du Dich verschrieben haben.

ich wünschte, ich hätte.

Hast Du den zweiten Befehl versucht? Mit "-d" und "CN=" ?

den hier?
LDIFDE -f export.ldif -d “cn=configuration,dc=domain,dc=tld”

Ja, habe ich.

Diese Benutzerobjekte sind für DCdiag irrelevant. Diese können es also nicht sein.

als wenn dcdiag noch woanders seine Infos holt. Kann doch aber auch nicht sein.

Viel bleibt dann nicht. Entweder ich habe im Export falsch gesucht aber dann hätte der zweite LDIFDE wenigstens was finden müssen. Und/oder ich habe mich auch beim zweiten LDIFDE verschrieben aber dann hätte es Fehlermeldungen gegeben und die Ausgabe <ldap:domain.lkz/cn=configuration,dc=domain,dc=lkz> hätte nicht gepasst und die Exportdatei ist wirklich leer.

Kann es sein, dass Ihr da mehrere Domänen im Forest habt? Und das Du die falsche Stammdomäne angegeben hast?
In

LDIFDE -f export.ldif -d “cn=configuration,dc=domain,dc=tld”

musst Du "dc=domain,dc=tld" mit den Namen der Stammdomäne des Forest ersetzen.
Und pass beim Kopieren der Zeile bitte auf. "" muss nicht "" sein und "-" nicht "-". Da gibt es mehrere ähnliche Zeichen im Zeichensatz und manchmal kommt da was komisches bei raus. Also besser die Zeile von Hand schreiben. Sowas ist mir auch schon passiert.

Wenn da nichts kommt, dann machst Du irgendwas falsch, sorry.

LDIFDE hat auch einen Server-Parameter (-s). Du kannst damit die Abfrage explizit über einen bestimmten DC laufen lassen. Probiere mal durch.

Zitat von @emeriks:

Kann es sein, dass Ihr da mehrere Domänen im Forest habt? Und das Du die falsche Stammdomäne angegeben hast?

gute Vermutung aber leider nein. Nur eine und ich bin auch auf dem richtigen DC.
Hmm aber vielleicht gab es früher mal mehrere Domänen. Wäre denkbar durch Zukäufe. Ich schau mal, ob ich noch einen auftreiben kann, der mir das beantworten kann.

LDIFDE -f export.ldif -d “cn=configuration,dc=domain,dc=tld”

Keine Entschuldigung nötig, ich bin ja dankbar, dass Du so hartnäckig und sachlich dabei bleibst und kann die Vermutung, ich hätte mich verschrieben sehr gut nachvollziehen.

LDIFDE hat auch einen Server-Parameter (-s). Du kannst damit die Abfrage explizit über einen bestimmten DC laufen lassen. Probiere mal durch.

OK, mach ich. Aber erst morgen. Bis dahin einen schönen Abend.

OK, die Ursache ist gefunden. Ich habe mich nicht vertippt und es ist auch kein verwaister alter DC, der noch im AD rumgeistert. Zeigt ja auch der ldifde Export der AD und die diversen Tools, die jeweils in der AD kein entsprechendes Computerkonto finden.

Woher dann also die dcdiag Meldungen?
Ich hatte ja in einem anderen Post vermutet, daß dcdiag, wenn ich mich beim LDIFDE nicht vertippt habe, seine Infos noch von woanders beziehen muß außer direkt aus der AD und genau so ist es auch. dcdiag wertet außer direkt das AD ebenso die Logs aus. Und dort hat sich ein Drittanbietertool mit Fehlermeldungen verewigt, weil dort der alte DC noch konfiguriert war und es den nicht kontaktieren kann.

Mein Dank an alle und insbesondere emeriks, die sich sachlich beteiligt haben - es war ein für mich interessantes Fehlertracing.

Grüße,
Thomas

Hallo,

Zitat von @smartino:
dcdiag wertet außer direkt das AD ebenso die Logs aus.

Welches Log ist es denn? So weit wie ich weis sucht es nur nach Einträge innerhalb der letzten 60 Minuten.
https://blogs.technet.microsoft.com/askds/2011/03/22/what-does-dcdiag-ac ...

Schön wenn es sich aufgelöst hat.

Gruß,
Peter

Systemlog. 60 Minuten passt - die Drittanbieteranwendung schrub alle paar Minuten in das Log.

Ja schön, dass es sich aufgelöst hat, so kann ich meinen Job behalten