ukulele-7
Goto Top

Alter DC out of sync

Ich muss gestehen ich habe noch nie einen DC demoted, jetzt wäre es eigentlich soweit. Unser alter DC war längere Zeit aus (> 28 Tage) und will jetzt nicht mehr mit der Domäne synchronisieren. Die FSMO-Rollen wurden bereits verschoben, der soll eigentlich komplett weg. Demoten klappt aber nicht mehr. Sollte ich den einfach löschen und nach Anleitung alle Attribute aus dem AD entfernen?

Content-ID: 667667

Url: https://administrator.de/contentid/667667

Ausgedruckt am: 18.12.2024 um 21:12 Uhr

Crusher79
Crusher79 27.08.2024 um 09:06:48 Uhr
Goto Top
Moin,

https://www.der-windows-papst.de/2021/02/10/ein-dsa-vorgang-fehler-8524/

Kurz Abriss der Befehle zum syncen und forcieren.

repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication

Inbesondere die 3 Commands.
Crusher79
Crusher79 27.08.2024 um 09:09:17 Uhr
Goto Top
https://www.escde.net/blog/defekten-domnencontroller-entfernen

Hier nochmal etwas zu entfernen.

Ob DC oder Exchange. Sind ja alle nur "irgendwie" registriert. Gbit auch Methoden - auch wenn zuletzt anzuwenden - die dann händisch "hart" zu löschen.
kreuzberger
kreuzberger 27.08.2024 um 09:12:49 Uhr
Goto Top
Moin @ukulele-7

mal ganz profan . . . du bist dir sicher, dass die Systemzeiten passen?

Kreuzberger
Hubert.N
Lösung Hubert.N 27.08.2024 um 09:16:04 Uhr
Goto Top
Moin

... wenn der schon läner nicht mehr online war und nur noch weg soll, dann macht doch das Forcieren der Synchronisation eigenlich keinen Sinn mehr ?!
Die "magische Zeit", wären aber auch 180 Tage, nach denen man einen alten DC auf keinen Fall mehr online nehmen darf.
In Deinem "der soll ohnehin weg"-Fall löscht Du den alten DC einfach aus dem AD und bereinigst im DNS manuell die alten verbleibenden Einträge. Die immer wieder zu lesende Methode per ntdsutil ist seit (ich glaube...) Windows Server 2008 nicht mehr notwendig, weil diese Bereinigung automatisch erfolgt.

Gruß
ukulele-7
ukulele-7 27.08.2024 um 09:50:06 Uhr
Goto Top
Zitat von @Crusher79:

repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication

Inbesondere die 3 Commands.

C:\Users\Administrator>repadmin /syncall
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server 31db8936-4a75-4
663-b883-85c1f20a76f1._msdcs.intern.domain.de (Netzwerkfehler): -2146893022 (0x80
090322):
Der Zielprinzipalname ist falsch.
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server fd360c8e-6d8a-4
e13-ab17-3ef5bc4162d1._msdcs.intern.domain.de (Netzwerkfehler): -2146893022 (0x80
090322):
Der Zielprinzipalname ist falsch.
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server d5d68631-45fa-4
171-8df4-f55594c679c3._msdcs.intern.domain.de (Netzwerkfehler): -2146893022 (0x80
090322):
Der Zielprinzipalname ist falsch.

Das zieht sich weiter durch...

Irgendwo schein DFS eine totale Macke zu haben. Ich kann alles pingen, die Firewall blockt nichts, ich kann im Explorer aber nur auf den localen Host oder auf eine Linux NAS zugreifen, aber auf keinen anderen DC und keinen Fileserver.

@kreuzberger
Die Systemzeit passt.

@Hubert.N
Ob es 180 Tage waren kann ich nicht genau sagen, ich denke zwischendurch war er mal online aber ich weiß es nicht. Wir haben in der Zeit Exchange migriert, das hat erst nach mehreren Anläufen geklappt und hat sehr lange gedauert.
Crusher79
Crusher79 27.08.2024 um 09:57:00 Uhr
Goto Top
ukulele-7
Lösung ukulele-7 27.08.2024 um 12:32:26 Uhr
Goto Top
Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.

Wir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
Hubert.N
Hubert.N 27.08.2024 aktualisiert um 15:31:59 Uhr
Goto Top
Zitat von @ukulele-7:
Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Dann ist das AD aber schon sehr alt face-smile Seit 2003SP1 wurde das AD mit 180 Tagen installiert

Wir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
Was - wie schon oben erwähnt - nicht mehr notwendig ist. Löschen vom Computerkonto hätte gereicht:
When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Before Windows Server 2008, you had to perform a separate metadata cleanup procedure.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/a ...
ukulele-7
ukulele-7 27.08.2024 um 14:31:29 Uhr
Goto Top
Zitat von @Hubert.N:

Zitat von @ukulele-7:
Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Dann ist das AD aber schon sehr alt face-smile Seit 2003SP1 wurde das AD mit 180 Tagen installiert
Eigentlich nicht, ist ein Windows 2012 R2 und ich habe damals die neue Domain bewusst komplett neu aufgesetzt, es gab nicht mal eine Vertrauensstellung mit dem alten DC. Funktionslevel ist 2012 R2 und sonst war alles Standard.

Vielleicht war das jetzt auch nur ein Erklärungstext in der CMD, da stand im Fließtext "Tombstone Lifetime (> 60 Tage)", eventuell ist der Text einfach nur alt und die Zeit war tatsächlich schon über die 180 Tage...

Wir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
Was - wie schon oben erwähnt - nicht mehr notwendig ist. Löschen vom Computerkonto hätte gereicht:
When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Before Windows Server 2008, you had to perform a separate metadata cleanup procedure.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/a ...
Ich glaube das hat mein Kollege auch so gemacht. Als DC ist er auch aus dem DNS raus geflogen, es gab aber wie gesagt noch Einträge in allen Forward-lookupzonen unter Nameserver und -ldap. Wir haben die manuell entfernt, ist jetzt nichts mehr zu finden.