Alter DC out of sync
Ich muss gestehen ich habe noch nie einen DC demoted, jetzt wäre es eigentlich soweit. Unser alter DC war längere Zeit aus (> 28 Tage) und will jetzt nicht mehr mit der Domäne synchronisieren. Die FSMO-Rollen wurden bereits verschoben, der soll eigentlich komplett weg. Demoten klappt aber nicht mehr. Sollte ich den einfach löschen und nach Anleitung alle Attribute aus dem AD entfernen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667667
Url: https://administrator.de/contentid/667667
Ausgedruckt am: 18.12.2024 um 21:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
https://www.der-windows-papst.de/2021/02/10/ein-dsa-vorgang-fehler-8524/
Kurz Abriss der Befehle zum syncen und forcieren.
repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication
Inbesondere die 3 Commands.
https://www.der-windows-papst.de/2021/02/10/ein-dsa-vorgang-fehler-8524/
Kurz Abriss der Befehle zum syncen und forcieren.
repadmin /syncall
repadmin /syncall DC1 /AeD = Pull-Replication
repadmin /syncall DC1 /APeD = Push-Replication
Inbesondere die 3 Commands.
https://www.escde.net/blog/defekten-domnencontroller-entfernen
Hier nochmal etwas zu entfernen.
Ob DC oder Exchange. Sind ja alle nur "irgendwie" registriert. Gbit auch Methoden - auch wenn zuletzt anzuwenden - die dann händisch "hart" zu löschen.
Hier nochmal etwas zu entfernen.
Ob DC oder Exchange. Sind ja alle nur "irgendwie" registriert. Gbit auch Methoden - auch wenn zuletzt anzuwenden - die dann händisch "hart" zu löschen.
Moin
... wenn der schon läner nicht mehr online war und nur noch weg soll, dann macht doch das Forcieren der Synchronisation eigenlich keinen Sinn mehr ?!
Die "magische Zeit", wären aber auch 180 Tage, nach denen man einen alten DC auf keinen Fall mehr online nehmen darf.
In Deinem "der soll ohnehin weg"-Fall löscht Du den alten DC einfach aus dem AD und bereinigst im DNS manuell die alten verbleibenden Einträge. Die immer wieder zu lesende Methode per ntdsutil ist seit (ich glaube...) Windows Server 2008 nicht mehr notwendig, weil diese Bereinigung automatisch erfolgt.
Gruß
... wenn der schon läner nicht mehr online war und nur noch weg soll, dann macht doch das Forcieren der Synchronisation eigenlich keinen Sinn mehr ?!
Die "magische Zeit", wären aber auch 180 Tage, nach denen man einen alten DC auf keinen Fall mehr online nehmen darf.
In Deinem "der soll ohnehin weg"-Fall löscht Du den alten DC einfach aus dem AD und bereinigst im DNS manuell die alten verbleibenden Einträge. Die immer wieder zu lesende Methode per ntdsutil ist seit (ich glaube...) Windows Server 2008 nicht mehr notwendig, weil diese Bereinigung automatisch erfolgt.
Gruß
https://learn.microsoft.com/de-de/troubleshoot/windows-server/active-dir ...
Naja da steht ja was zu ist....
Naja da steht ja was zu ist....
Zitat von @ukulele-7:
Es gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Dann ist das AD aber schon sehr alt Seit 2003SP1 wurde das AD mit 180 Tagen installiertEs gibt auch eine Zeit "Tombstone Lifetime" von 60 Tagen (Default) , die wurde definitiv überschritten.
Wir haben das Ding jetzt stromlos gemacht und manuell aus der AD gekratzt. Es gibt noch ein paar Reste als Nameserver im DNS und in der LDAP Server Liste, ansonsten habe ich nichts mehr gefunden. Ich hätte es gerne demoted aber da reihten sich jetzt einfach zu viele Fehler aneinander.
Was - wie schon oben erwähnt - nicht mehr notwendig ist. Löschen vom Computerkonto hätte gereicht:When you use Remote Server Administration Tools (RSAT) or the Active Directory Users and Computers console (Dsa.msc) that is included with Windows Server to delete a domain controller computer account from the Domain Controllers organizational unit (OU), the cleanup of server metadata is performed automatically. Before Windows Server 2008, you had to perform a separate metadata cleanup procedure.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/a ...