9
Alter DC out of sync
Ich muss gestehen ich habe noch nie einen DC demoted, jetzt wäre es eigentlich soweit. Unser alter DC war längere Zeit aus (> 28 Tage) und will jetzt nicht mehr mit der Domäne synchronisieren. Die FSMO-Rollen wurden bereits verschoben, der soll eigentlich komplett weg. Demoten klappt aber nicht mehr. Sollte ich den einfach löschen und nach Anleitung alle Attribute aus dem AD entfernen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667667
Url: https://administrator.de/contentid/667667
Ausgedruckt am: 17.11.2024 um 03:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
https://www.der-windows-papst.de/2021/02/10/ein-dsa-vorgang-fehler-8524/
Kurz Abriss der Befehle zum syncen und forcieren.
repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication
Inbesondere die 3 Commands.
https://www.der-windows-papst.de/2021/02/10/ein-dsa-vorgang-fehler-8524/
Kurz Abriss der Befehle zum syncen und forcieren.
repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication
Inbesondere die 3 Commands.
https://www.escde.net/blog/defekten-domnencontroller-entfernen
Hier nochmal etwas zu entfernen.
Ob DC oder Exchange. Sind ja alle nur "irgendwie" registriert. Gbit auch Methoden - auch wenn zuletzt anzuwenden - die dann händisch "hart" zu löschen.
Hier nochmal etwas zu entfernen.
Ob DC oder Exchange. Sind ja alle nur "irgendwie" registriert. Gbit auch Methoden - auch wenn zuletzt anzuwenden - die dann händisch "hart" zu löschen.
Moin
... wenn der schon läner nicht mehr online war und nur noch weg soll, dann macht doch das Forcieren der Synchronisation eigenlich keinen Sinn mehr ?!
Die "magische Zeit", wären aber auch 180 Tage, nach denen man einen alten DC auf keinen Fall mehr online nehmen darf.
In Deinem "der soll ohnehin weg"-Fall löscht Du den alten DC einfach aus dem AD und bereinigst im DNS manuell die alten verbleibenden Einträge. Die immer wieder zu lesende Methode per ntdsutil ist seit (ich glaube...) Windows Server 2008 nicht mehr notwendig, weil diese Bereinigung automatisch erfolgt.
Gruß
... wenn der schon läner nicht mehr online war und nur noch weg soll, dann macht doch das Forcieren der Synchronisation eigenlich keinen Sinn mehr ?!
Die "magische Zeit", wären aber auch 180 Tage, nach denen man einen alten DC auf keinen Fall mehr online nehmen darf.
In Deinem "der soll ohnehin weg"-Fall löscht Du den alten DC einfach aus dem AD und bereinigst im DNS manuell die alten verbleibenden Einträge. Die immer wieder zu lesende Methode per ntdsutil ist seit (ich glaube...) Windows Server 2008 nicht mehr notwendig, weil diese Bereinigung automatisch erfolgt.
Gruß
Zitat von @Crusher79:
repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication
Inbesondere die 3 Commands.
repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication
Inbesondere die 3 Commands.
C:\Users\Administrator>repadmin /syncall
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server 31db8936-4a75-4
663-b883-85c1f20a76f1._msdcs.intern.domain.de (Netzwerkfehler): -2146893022 (0x80
090322):
Der Zielprinzipalname ist falsch.
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server fd360c8e-6d8a-4
e13-ab17-3ef5bc4162d1._msdcs.intern.domain.de (Netzwerkfehler): -2146893022 (0x80
090322):
Der Zielprinzipalname ist falsch.
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server d5d68631-45fa-4
171-8df4-f55594c679c3._msdcs.intern.domain.de (Netzwerkfehler): -2146893022 (0x80
090322):
Der Zielprinzipalname ist falsch.
Das zieht sich weiter durch...
Irgendwo schein DFS eine totale Macke zu haben. Ich kann alles pingen, die Firewall blockt nichts, ich kann im Explorer aber nur auf den localen Host oder auf eine Linux NAS zugreifen, aber auf keinen anderen DC und keinen Fileserver.
@kreuzberger
Die Systemzeit passt.
@Hubert.N
Ob es 180 Tage waren kann ich nicht genau sagen, ich denke zwischendurch war er mal online aber ich weiß es nicht. Wir haben in der Zeit Exchange migriert, das hat erst nach mehreren Anläufen geklappt und hat sehr lange gedauert.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/active-dir ...
Naja da steht ja was zu ist....
Naja da steht ja was zu ist....
Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Wir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
Wir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
1Zitat von @ukulele-7:
Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Dann ist das AD aber schon sehr alt Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Seit 2003SP1 wurde das AD mit 180 Tagen installiertWir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
Was - wie schon oben erwähnt - nicht mehr notwendig ist. Löschen vom Computerkonto hätte gereicht:When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Before Windows Server 2008, you had to perform a separate metadata cleanup procedure.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/a ...
Zitat von @Hubert.N:
Seit 2003SP1 wurde das AD mit 180 Tagen installiert
Eigentlich nicht, ist ein Windows 2012 R2 und ich habe damals die neue Domain bewusst komplett neu aufgesetzt, es gab nicht mal eine Vertrauensstellung mit dem alten DC. Funktionslevel ist 2012 R2 und sonst war alles Standard.Zitat von @ukulele-7:
Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Dann ist das AD aber schon sehr alt Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Seit 2003SP1 wurde das AD mit 180 Tagen installiertVielleicht war das jetzt auch nur ein Erklärungstext in der CMD, da stand im Fließtext "Tombstone Lifetime (> 60 Tage)", eventuell ist der Text einfach nur alt und die Zeit war tatsächlich schon über die 180 Tage...
Wir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
Was - wie schon oben erwähnt - nicht mehr notwendig ist. Löschen vom Computerkonto hätte gereicht:When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Before Windows Server 2008, you had to perform a separate metadata cleanup procedure.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/a ...
