21
DC ersetzen (Windows Server 2008 und R2)
Hallo zusammen,
ich möchte kurz um eure Hilfe/Bestätigung bitten, bevor ich mich an die Arbeit mache.
Ist-Zustand: Eine Server 2008 Installation (nicht R2) mit den (wichtigen) Rollen DC, DHCP, DNS
Die Installation läuft allerdings nicht mehr ganz rund, sodass ich den DC nun ersetzen möchte. Dazu habe ich schon eine frische 2008 R2-Installation aufgesetzt. (Läuft parallel, alle Server in VMs).
Ich wäre über eine kurze Reihenfolge der zu beachtenden Schritte sehr dankbar.
Erst auf dem neuen Server die DC-Rolle installieren, hochstufen zum PDC, Replizierung abwarten, und dann den alten herabstufen und letztendlich rausnehmen?
Wie läuft das mit DHCP und DNS?
Viele Grüße.
ich möchte kurz um eure Hilfe/Bestätigung bitten, bevor ich mich an die Arbeit mache.
Ist-Zustand: Eine Server 2008 Installation (nicht R2) mit den (wichtigen) Rollen DC, DHCP, DNS
Die Installation läuft allerdings nicht mehr ganz rund, sodass ich den DC nun ersetzen möchte. Dazu habe ich schon eine frische 2008 R2-Installation aufgesetzt. (Läuft parallel, alle Server in VMs).
Ich wäre über eine kurze Reihenfolge der zu beachtenden Schritte sehr dankbar.
Erst auf dem neuen Server die DC-Rolle installieren, hochstufen zum PDC, Replizierung abwarten, und dann den alten herabstufen und letztendlich rausnehmen?
Wie läuft das mit DHCP und DNS?
Viele Grüße.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 136468
Url: https://administrator.de/contentid/136468
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
21 Kommentare
Neuester Kommentar
Hallo.
Bitte doch endlich angewöhnen. Es gibt seit Windows 2000 keinen PDC oder BDC mehr. Sie heißen schlicht und einfach DC
Vorher ist aber noch eine Schemaerweiterung notwendig
Vorher musst du natürlich noch alle Serverrollen übertragen - siehe http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54c ...
Wenn der DNS Active Directory integriert ist, dann wird er automatisch repliziert. Den DCHP musst du manuell übertragen.
Schau dir einfach den Blog von Yusuf ein wenig genauer an, da findest du alle Infos für dein Vorhaben.
LG Günther
hochstufen zum PDC
Bitte doch endlich angewöhnen. Es gibt seit Windows 2000 keinen PDC oder BDC mehr. Sie heißen schlicht und einfach DC
Erst auf dem neuen Server die DC-Rolle installieren
Vorher ist aber noch eine Schemaerweiterung notwendig
und dann den alten herabstufen und letztendlich rausnehmen
Vorher musst du natürlich noch alle Serverrollen übertragen - siehe http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54c ...
Wie läuft das mit DHCP und DNS?
Wenn der DNS Active Directory integriert ist, dann wird er automatisch repliziert. Den DCHP musst du manuell übertragen.
Schau dir einfach den Blog von Yusuf ein wenig genauer an, da findest du alle Infos für dein Vorhaben.
LG Günther
Danke für den Link - da werd ich mich mal schlau machen!
Hallo Günther!
gebe Dir natürlich vollinhaltlich Recht. Eine Frage habe ich allerdings:
Bist Du dir da sicher? Ich glaube mich zu erinnern, dass ich (vor erst 2 Monaten, also kann ich mich an meine Erinnerung relativ gut verlassen)
den 1. DC (der die Rollen innehatte) einfach nur heruntergestuft habe.
Die Rollen hat er dann beim Herunterstufen selbständig an den nächsten DC geschoben.
Kann das jemand bestätigen, dass das Verschieben der Rollen nicht zwingend nötig ist, sondern von dcpromo eigenverantwortlich miterledigt wird?
gebe Dir natürlich vollinhaltlich Recht. Eine Frage habe ich allerdings:
Vorher musst du natürlich noch alle Serverrollen übertragen - siehe http://blog.dikmenoglu.de/PermaLink,guid, ...
Bist Du dir da sicher? Ich glaube mich zu erinnern, dass ich (vor erst 2 Monaten, also kann ich mich an meine Erinnerung relativ gut verlassen)
den 1. DC (der die Rollen innehatte) einfach nur heruntergestuft habe.
Die Rollen hat er dann beim Herunterstufen selbständig an den nächsten DC geschoben.
Kann das jemand bestätigen, dass das Verschieben der Rollen nicht zwingend nötig ist, sondern von dcpromo eigenverantwortlich miterledigt wird?
Hallo.
Da hast du schon recht. Es ist aber einfach (meine) Best Practice die Rollen manuell zu übertragen, und anschließend zu überprüfen (netdom query fsmo) ob wirklich alles geklappt hat. Zudem ist das automatische Übertragen nur dann sinnvoll, wenn es nur 2 DCs gibt. Ansonsten weißt du nicht dezidiert auf welchen DC die Rollen übertragen werden.
Siehe auch hier einen interessanten Beitrag zu diesem Thema - http://www.mcseboard.de/windows-forum-lan-wan-32/domaincontroller-loesc ...
LG Günther
Die Rollen hat er dann beim Herunterstufen selbständig an den nächsten DC geschoben.
Da hast du schon recht. Es ist aber einfach (meine) Best Practice die Rollen manuell zu übertragen, und anschließend zu überprüfen (netdom query fsmo) ob wirklich alles geklappt hat. Zudem ist das automatische Übertragen nur dann sinnvoll, wenn es nur 2 DCs gibt. Ansonsten weißt du nicht dezidiert auf welchen DC die Rollen übertragen werden.
Siehe auch hier einen interessanten Beitrag zu diesem Thema - http://www.mcseboard.de/windows-forum-lan-wan-32/domaincontroller-loesc ...
LG Günther
Hmm... die Übertragung der Rollen hat prima geklappt. Seitdem bootet der (alte) Server allerdings nicht mehr, Bild bleibt einfach schwarz (dabei keine CPU Auslastung o.Ä.)... Auch eine Wiederherstellung auf die Sicherung von heute Nacht brachte keinen Erfolg (über die Windows interne Sicherung)...
Uiuiui!
Konntest du den DC zuerst vollständig replizieren?
Falls der alte DC noch als DC fungierte, musst Du ihn nun ohnehin mit ntdsutil entfernen (oder Du bekommst ihn wieder zum Laufen).
Mit der Sicherung würde ich vorsichtig sein. Falls die Sicherung nämlich auf einem Stand beruht, zu dem er noch die Rollen hatte hast Du nun ja 2 DC mit allen Rollen im Betrieb...
Das kann und wird Probleme bringen!
wie gesagt: ntdsutil (einfach mal googeln) ist ein Bringer!!!
gutes gelingen
lg
ps: @ günther: Da gebe ich Dir wieder vollinhaltich recht. Wenn mehr als 2 DCs im Umlauf sind, ist die manuelle Übertragung das einzig Wahre!
Konntest du den DC zuerst vollständig replizieren?
Falls der alte DC noch als DC fungierte, musst Du ihn nun ohnehin mit ntdsutil entfernen (oder Du bekommst ihn wieder zum Laufen).
Mit der Sicherung würde ich vorsichtig sein. Falls die Sicherung nämlich auf einem Stand beruht, zu dem er noch die Rollen hatte hast Du nun ja 2 DC mit allen Rollen im Betrieb...
Das kann und wird Probleme bringen!
wie gesagt: ntdsutil (einfach mal googeln) ist ein Bringer!!!
gutes gelingen
lg
ps: @ günther: Da gebe ich Dir wieder vollinhaltich recht. Wenn mehr als 2 DCs im Umlauf sind, ist die manuelle Übertragung das einzig Wahre!
Hallo.
- was sagt der abgesicherte Modus?
- wenn die Übertragung der Rollen erfolgreich verlaufen ist, dann solltest du auf keinen Fall eine alte Sicherung zurückspielen. Es gibt ja jetzt eine komplett anderen Status der Server (Rolleninhaber)
- wird der alte Server als Memberserver überhaupt noch benötigt?
LG Günther
- was sagt der abgesicherte Modus?
- wenn die Übertragung der Rollen erfolgreich verlaufen ist, dann solltest du auf keinen Fall eine alte Sicherung zurückspielen. Es gibt ja jetzt eine komplett anderen Status der Server (Rolleninhaber)
- wird der alte Server als Memberserver überhaupt noch benötigt?
LG Günther
Morgen zusammen,
also im abgesicherten Modus komme ich bis zum Login-Fenster, dann moniert er allerdings, dass der Netzwerkdienst nicht läuft und daher eine Anmeldung nicht möglich ist.
Aus einem mir nicht erklärlichen Grund, wird er scheinbar noch benötigt. Denn der neue DC beschwert sich bspw. beim Öffnen der Default Domain Policy oder AD User-Verwaltung, dass er den DC nicht findet. Ich konnte alle Schritte wie in dem Blog beschrieben fehlerfrei durchführen. Das einzige, was (wegen dem nicht mehr Hochfahren) nun noch nicht geschehen ist, ist die Deinstallation der AD-Dienste auf dem alten DC. Die Rollen wurden aber übertragen...
Wenn das nun nichts mehr werden sollte, muss ich die Domaine neuinstallieren. Der Zeitaufwand hält sich in Grenzen, geht nur um ne Handvoll User....
also im abgesicherten Modus komme ich bis zum Login-Fenster, dann moniert er allerdings, dass der Netzwerkdienst nicht läuft und daher eine Anmeldung nicht möglich ist.
Aus einem mir nicht erklärlichen Grund, wird er scheinbar noch benötigt. Denn der neue DC beschwert sich bspw. beim Öffnen der Default Domain Policy oder AD User-Verwaltung, dass er den DC nicht findet. Ich konnte alle Schritte wie in dem Blog beschrieben fehlerfrei durchführen. Das einzige, was (wegen dem nicht mehr Hochfahren) nun noch nicht geschehen ist, ist die Deinstallation der AD-Dienste auf dem alten DC. Die Rollen wurden aber übertragen...
Wenn das nun nichts mehr werden sollte, muss ich die Domaine neuinstallieren. Der Zeitaufwand hält sich in Grenzen, geht nur um ne Handvoll User....
Hallo!
Klingt danach, als würde etwas mit der Replikation nicht funktioniert haben und daher ist Dein neuer DC nun doch noch kein vollwertiger DC geworden...
UND: nachdem die Replikation fehlgeschlagen ist, kannst Du dich am DC1 auch nicht mehr anmelden... (schau mal in die Ereignisanzeige des 2. DC bzw. verbinde Dich von dort auf die Ereignsanzeige des 1. DC).
hatte ich genau in der selben Konstellation auch schon, sieher hier
Wenn Du Bock hast, viel dazuzulernen, dann emfpehle ich Dir, die Domain zu "reparieren" über das setzen der Replikationsflags (wie oben im Artikel beschrieben - schau dir vielleicht zu Beginn die Zusammenfassung in meinem letzten Beitrag zu diesem Thema an).
Ansonsten hilft da wohl wirklich nur Neuaufsetzen , wobei: dabei lernt man halt gar nichts dazu, sondern verbratet nur seine Zeit.
Abschlussanmerkung: falls Du den 1. DC wieder auf den Zustand gebracht hast, als er als einziger DC unterwegs war, könnte das setzen der Registryflags doch nicht den Erfolg bringen, da Du ja nun 2 Rolleninhaber hast. Einen Versuch ists aber Wert.
gutes gelingen
lg
Klingt danach, als würde etwas mit der Replikation nicht funktioniert haben und daher ist Dein neuer DC nun doch noch kein vollwertiger DC geworden...
UND: nachdem die Replikation fehlgeschlagen ist, kannst Du dich am DC1 auch nicht mehr anmelden... (schau mal in die Ereignisanzeige des 2. DC bzw. verbinde Dich von dort auf die Ereignsanzeige des 1. DC).
hatte ich genau in der selben Konstellation auch schon, sieher hier
Wenn Du Bock hast, viel dazuzulernen, dann emfpehle ich Dir, die Domain zu "reparieren" über das setzen der Replikationsflags (wie oben im Artikel beschrieben - schau dir vielleicht zu Beginn die Zusammenfassung in meinem letzten Beitrag zu diesem Thema an).
Ansonsten hilft da wohl wirklich nur Neuaufsetzen , wobei: dabei lernt man halt gar nichts dazu, sondern verbratet nur seine Zeit.
Abschlussanmerkung: falls Du den 1. DC wieder auf den Zustand gebracht hast, als er als einziger DC unterwegs war, könnte das setzen der Registryflags doch nicht den Erfolg bringen, da Du ja nun 2 Rolleninhaber hast. Einen Versuch ists aber Wert.
gutes gelingen
lg
Danke, die Idee mit der Ereignisanzeige war gut, darauf bin ich grad garnicht gekommen...
Scheint mir ursächlich für das nicht mehr hochfahren zu sein...
Ansonsten
Werde mich nun mal durch deinen Thread durchlesen und dann entscheiden, in welche Richtung die Arbeit gehen soll...
Protokollname: System
Quelle: Service Control Manager
Datum: 21.02.2010 19:34:51
Ereignis-ID: 7026
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Beschreibung:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SAVOnAccess
spldr
vmm
Wanarpv6
Quelle: Service Control Manager
Datum: 21.02.2010 19:34:51
Ereignis-ID: 7026
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Beschreibung:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SAVOnAccess
spldr
vmm
Wanarpv6
Scheint mir ursächlich für das nicht mehr hochfahren zu sein...
Ansonsten
Protokollname: System
Quelle: Service Control Manager
Datum: 21.02.2010 19:34:51
Ereignis-ID: 7001
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Beschreibung:
Der Dienst "Anmeldedienst" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
Quelle: Service Control Manager
Datum: 21.02.2010 19:34:51
Ereignis-ID: 7001
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Beschreibung:
Der Dienst "Anmeldedienst" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
Werde mich nun mal durch deinen Thread durchlesen und dann entscheiden, in welche Richtung die Arbeit gehen soll...
Hallo!
Schau doch mal in der Ereignisanzeige bei "Dateireplikationsdienst" nach...
wenn Du dort nicht den Eintrag 13516 hast, dann ist DAS dein Problem. alles, was in "System" eingetragen wird sind nur folgeerscheinungen...
wie gesagt: Du hast grossen Potential, wirklich viel dazuzulernen...
Wenn du die Zeit hast, ohne dass Deine User ruppig werden: Nütze sie
lg
Schau doch mal in der Ereignisanzeige bei "Dateireplikationsdienst" nach...
wenn Du dort nicht den Eintrag 13516 hast, dann ist DAS dein Problem. alles, was in "System" eingetragen wird sind nur folgeerscheinungen...
wie gesagt: Du hast grossen Potential, wirklich viel dazuzulernen...
Wenn du die Zeit hast, ohne dass Deine User ruppig werden: Nütze sie
lg
Dort habe ich nur zwei 4 Wochen alte Einträge: 13501 "Der Dateireplikationsdienst wird gestartet" und 10 Minuten später 13502 "wird angehalten".
DFS-Replikation ist voller aktueller Fehler...
Habe da gerade einen Verdacht - muss das mal kurz checken.
DFS-Replikation ist voller aktueller Fehler...
Habe da gerade einen Verdacht - muss das mal kurz checken.
Hallo!
bei meinem Problem habe die von Dir beschriebenen Ereignis_IDs nicht gefunden. Das hat aber nichts zu sagen, da ich - mangels geographischer Anwesenheit - niemals versucht habe, mich lokal anzumelden...
Wie gesagt:
durchsuch den Pfad Dateireplikationsdienst in der Ereignisanzeige, das gibt mehr her...
bei meinem Problem habe die von Dir beschriebenen Ereignis_IDs nicht gefunden. Das hat aber nichts zu sagen, da ich - mangels geographischer Anwesenheit - niemals versucht habe, mich lokal anzumelden...
Wie gesagt:
durchsuch den Pfad Dateireplikationsdienst in der Ereignisanzeige, das gibt mehr her...
Wie gesagt, die Dateireplikationsdienst-Ereignisanzeige (des alten Servers, der neue hat den Eintrag in der Ereignisanzeige nicht) ist bis auf die beiden 4 Wochen alten Einträge absolut leer. Stehen nur die beiden Ereignisse drin...
Konnte mittlerweile in einer anderen VM eine 4 Wochen alte Image-Sicherung (vom ausgeschalteten Server) zurückspielen, die läuft auch noch. Natürlich in einem getrennten Virtuellen Netzwerk ohne Zugang zur Außenwelt und nur zum Nachschauen evtl. Konfigurationen etc.
Eine Meldung in der DFS-Replikationsanzeige hat mich auf die Idee gebracht, dass evtl. der Festplattenplatz vollgelaufen sei. Nachgeschaut - noch gut 25GB frei... Dennoch, habe ihm mal 50GB als Zugabe gegeben und siehe da, die Kiste bootet wieder... Zumindest ein bisschen, der Ladebalken läuft in einer Endlosschleife, der Leistungsmonitor der VM zeigt aber keinerlei Aktivitäten.
Wird Zeit, dass dieses Mysterium schnell ersetzt wird
Konnte mittlerweile in einer anderen VM eine 4 Wochen alte Image-Sicherung (vom ausgeschalteten Server) zurückspielen, die läuft auch noch. Natürlich in einem getrennten Virtuellen Netzwerk ohne Zugang zur Außenwelt und nur zum Nachschauen evtl. Konfigurationen etc.
Eine Meldung in der DFS-Replikationsanzeige hat mich auf die Idee gebracht, dass evtl. der Festplattenplatz vollgelaufen sei. Nachgeschaut - noch gut 25GB frei... Dennoch, habe ihm mal 50GB als Zugabe gegeben und siehe da, die Kiste bootet wieder... Zumindest ein bisschen, der Ladebalken läuft in einer Endlosschleife, der Leistungsmonitor der VM zeigt aber keinerlei Aktivitäten.
Wird Zeit, dass dieses Mysterium schnell ersetzt wird
Hallo!
Du brauchst zwingend folgenden Eintrag 13516 in der Ereignisanzeige des Dateireplikationsdienstes des DC2.
Wenn der bei dir fehlt, dann is nix mit Domänencontroller...
dh, wenn der neue noch keinen Eintrag hat, ist er kein Domänencontroller, daher läuft auch kein AD Benutzer und computer bzw. keine Gruppenrichtlinienverwaltung, etc...
(da ja der 1. DC nicht läuft).
Der 4 Wochen alte Eintrag deutet nur darauf hin, dass er zum letzten mal vor 4 Wochen einen Reboot erledigt hat.
Zwischen den Reboots schreibt er normalerweise nichts in diese Ereignisanzeige (ausser eben, es funtkioniert etwas mit der Replikation nicht...)
Hast Du schon versucht, DC2 vom Netz zu nehmen und nur DC1 zu booten?
oder kann es wirklich sein, dass du alle Rollen auf den DC2 geschoben hast (obwohl der kein DC ist - da er ja möglicherweise noch nicht Repliziert hat und daher auch nicht 13516 eintragen konnte? Da würde dann der Beitrag mit dem Registryeintrag D4 helfen)
Mysteriös.
Ich hab jetzt, nach dem "lauten" Denken hier folgende Theorie:
Du hast DC2 nach Schemaerweiterung etc. zum DC2 hochgestuft
dann hast Du die Rollen übertragen
Zustand nun: DC1 hat keine Rollen mehr, DC2 wird erst durch vollständige Replikation von DC1 per Eintrag 13516 zum vollwertigen DC
Reboot von DC1: Der möchte nun einen DC, der alle Rollen hat (findet aber keinen, da DC2 noch keinen Eintrag 13516 hat).
überprüf mal folgendes:
gibts am DC2 schon ein sysvol-Verzeichnis? Wenn NEIN: würde meine Theorie etwas bestätigen.
Versuche nun doch den Artikel von Yussuf (im anderen Beitrag erwähnt), in dem du Remote auf die Registry von DC1 zugreifst. Nach einem Reboot von DC2 sollte er dann das SYSVOL replizieren und JIPPIIII - 13516 eintragen. Dann hast Du einen DC2 als vollwertigen DC!!! Jetzt sollte auch DC1 wieder booten, da es in Deiner domäne wieder einen Rolleninhaber gibt. Done!
Aber obs wirklich so einfach ist? hm....
let me know!
gutes gelingen weiterhin!
lg
Edi
Du brauchst zwingend folgenden Eintrag 13516 in der Ereignisanzeige des Dateireplikationsdienstes des DC2.
Ereignistyp: Informationen
Ereignisquelle: NtFrs
Ereigniskategorie: Keine
Ereigniskennung: 13516
Datum: 11.02.2010
Zeit: 03:35:41
Benutzer: Nicht zutreffend
Computer: Server1
Beschreibung:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "Server1" zum Domänencontroller. Der Systemdatenträger wurde erfolgreich i> nitialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
Geben Sie "net share" ein, um die SYSVOL-Freigabe zu überprüfen.
Ereignisquelle: NtFrs
Ereigniskategorie: Keine
Ereigniskennung: 13516
Datum: 11.02.2010
Zeit: 03:35:41
Benutzer: Nicht zutreffend
Computer: Server1
Beschreibung:
Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "Server1" zum Domänencontroller. Der Systemdatenträger wurde erfolgreich i> nitialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
Geben Sie "net share" ein, um die SYSVOL-Freigabe zu überprüfen.
Wenn der bei dir fehlt, dann is nix mit Domänencontroller...
dh, wenn der neue noch keinen Eintrag hat, ist er kein Domänencontroller, daher läuft auch kein AD Benutzer und computer bzw. keine Gruppenrichtlinienverwaltung, etc...
(da ja der 1. DC nicht läuft).
Der 4 Wochen alte Eintrag deutet nur darauf hin, dass er zum letzten mal vor 4 Wochen einen Reboot erledigt hat.
Zwischen den Reboots schreibt er normalerweise nichts in diese Ereignisanzeige (ausser eben, es funtkioniert etwas mit der Replikation nicht...)
Hast Du schon versucht, DC2 vom Netz zu nehmen und nur DC1 zu booten?
oder kann es wirklich sein, dass du alle Rollen auf den DC2 geschoben hast (obwohl der kein DC ist - da er ja möglicherweise noch nicht Repliziert hat und daher auch nicht 13516 eintragen konnte? Da würde dann der Beitrag mit dem Registryeintrag D4 helfen)
Mysteriös.
Ich hab jetzt, nach dem "lauten" Denken hier folgende Theorie:
Du hast DC2 nach Schemaerweiterung etc. zum DC2 hochgestuft
dann hast Du die Rollen übertragen
Zustand nun: DC1 hat keine Rollen mehr, DC2 wird erst durch vollständige Replikation von DC1 per Eintrag 13516 zum vollwertigen DC
Reboot von DC1: Der möchte nun einen DC, der alle Rollen hat (findet aber keinen, da DC2 noch keinen Eintrag 13516 hat).
überprüf mal folgendes:
gibts am DC2 schon ein sysvol-Verzeichnis? Wenn NEIN: würde meine Theorie etwas bestätigen.
Versuche nun doch den Artikel von Yussuf (im anderen Beitrag erwähnt), in dem du Remote auf die Registry von DC1 zugreifst. Nach einem Reboot von DC2 sollte er dann das SYSVOL replizieren und JIPPIIII - 13516 eintragen. Dann hast Du einen DC2 als vollwertigen DC!!! Jetzt sollte auch DC1 wieder booten, da es in Deiner domäne wieder einen Rolleninhaber gibt. Done!
Aber obs wirklich so einfach ist? hm....
let me know!
gutes gelingen weiterhin!
lg
Edi
erstmal vielen Dank für deine engagierte Unterstützung!!
Auf dem neuen DC gibts in der Ereignisanzeige den Bereich für Dateireplizierung erst garnicht, demnach auch kein o.g. Eintrag.
Ja, Erfolglos.
Wäre eine logische Erklärung, das stimmt wohl.
überprüf mal folgendes:
gibts am DC2 schon ein sysvol-Verzeichnis? Wenn NEIN: würde meine Theorie etwas bestätigen.
Ja, es gibt ein Sysvol-Verzeichnis, aber es ist alles andere als vollständig (Größe 0 Byte) und hat auch keine Ähnlichkeit mit dem Sysvol-Verzeichnis auf dem alten DC. Freigegeben ist es auch nicht.
Gerade probiert, leider bekomme ich keinen Registry.Zugriff auf den alten DC per Remote... "keine Verbindung möglich"
Der Remoteregistrierungsdienst läuft im abgesicherten Modus nicht... Ich vermute, es wird nachher genauso schwierig den Dateireplikationsdienst im abgesicherten Modus anzuwerfen...
Zitat von @Edi.Pfisterer:
Hallo!
Du brauchst zwingend folgenden Eintrag 13516 in der Ereignisanzeige des Dateireplikationsdienstes des DC2.
> Ereignistyp: Informationen
> Ereignisquelle: NtFrs
> Ereigniskategorie: Keine
> Ereigniskennung: 13516
> Datum: 11.02.2010
> Zeit: 03:35:41
> Benutzer: Nicht zutreffend
> Computer: Server1
> Beschreibung:
> Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "Server1" zum
Domänencontroller. Der Systemdatenträger wurde erfolgreich i> nitialisiert. Der Anmeldedienst wurde benachrichtigt,
dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
>
> Geben Sie "net share" ein, um die SYSVOL-Freigabe zu überprüfen.
Wenn der bei dir fehlt, dann is nix mit Domänencontroller...
Hallo!
Du brauchst zwingend folgenden Eintrag 13516 in der Ereignisanzeige des Dateireplikationsdienstes des DC2.
> Ereignistyp: Informationen
> Ereignisquelle: NtFrs
> Ereigniskategorie: Keine
> Ereigniskennung: 13516
> Datum: 11.02.2010
> Zeit: 03:35:41
> Benutzer: Nicht zutreffend
> Computer: Server1
> Beschreibung:
> Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "Server1" zum
Domänencontroller. Der Systemdatenträger wurde erfolgreich i> nitialisiert. Der Anmeldedienst wurde benachrichtigt,
dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.
>
> Geben Sie "net share" ein, um die SYSVOL-Freigabe zu überprüfen.
Wenn der bei dir fehlt, dann is nix mit Domänencontroller...
Auf dem neuen DC gibts in der Ereignisanzeige den Bereich für Dateireplizierung erst garnicht, demnach auch kein o.g. Eintrag.
Hast Du schon versucht, DC2 vom Netz zu nehmen und nur DC1 zu booten?
Ja, Erfolglos.
Du hast DC2 nach Schemaerweiterung etc. zum DC2 hochgestuft
dann hast Du die Rollen übertragen
Zustand nun: DC1 hat keine Rollen mehr, DC2 wird erst durch vollständige Replikation von DC1 per Eintrag 13516 zum
vollwertigen DC
Reboot von DC1: Der möchte nun einen DC, der alle Rollen hat (findet aber keinen, da DC2 noch keinen Eintrag 13516 hat).
dann hast Du die Rollen übertragen
Zustand nun: DC1 hat keine Rollen mehr, DC2 wird erst durch vollständige Replikation von DC1 per Eintrag 13516 zum
vollwertigen DC
Reboot von DC1: Der möchte nun einen DC, der alle Rollen hat (findet aber keinen, da DC2 noch keinen Eintrag 13516 hat).
Wäre eine logische Erklärung, das stimmt wohl.
überprüf mal folgendes:
gibts am DC2 schon ein sysvol-Verzeichnis? Wenn NEIN: würde meine Theorie etwas bestätigen.
Ja, es gibt ein Sysvol-Verzeichnis, aber es ist alles andere als vollständig (Größe 0 Byte) und hat auch keine Ähnlichkeit mit dem Sysvol-Verzeichnis auf dem alten DC. Freigegeben ist es auch nicht.
Versuche nun doch den Artikel von Yussuf (im anderen Beitrag erwähnt), in dem du Remote auf die Registry von DC1 zugreifst.
Nach einem Reboot von DC2 sollte er dann das SYSVOL replizieren und JIPPIIII - 13516 eintragen. Dann hast Du einen DC2 als
vollwertigen DC!!! Jetzt sollte auch DC1 wieder booten, da es in Deiner domäne wieder einen Rolleninhaber gibt. Done!
Aber obs wirklich so einfach ist? hm....
Nach einem Reboot von DC2 sollte er dann das SYSVOL replizieren und JIPPIIII - 13516 eintragen. Dann hast Du einen DC2 als
vollwertigen DC!!! Jetzt sollte auch DC1 wieder booten, da es in Deiner domäne wieder einen Rolleninhaber gibt. Done!
Aber obs wirklich so einfach ist? hm....
Gerade probiert, leider bekomme ich keinen Registry.Zugriff auf den alten DC per Remote... "keine Verbindung möglich"
Der Remoteregistrierungsdienst läuft im abgesicherten Modus nicht... Ich vermute, es wird nachher genauso schwierig den Dateireplikationsdienst im abgesicherten Modus anzuwerfen...
Hi!
Dh, du könntest nun noch versuceh, dem DC2 per Registry den Tipp zu geben, sich die replizierung vom DC1 zu grapschen.
ODER (so hab ich mein problem damals gelöst):
Das Sysvol von DC1 manuell auf DC2 kopieren, dann am DC2 in der Registry einzutragen, dass er der neue Chef fürs Replizieren ist (NTFSR-Dienst starten, eh klar). Danach DC1 reboot und dann könnte alles wieder laufen...
hm...
Versuch mal, mit Yussuf hier im Forum Kontakt aufzunehmen. Der Kerl ist ja ein echter Held des Alltags, vielleicht weiss er noch einen guten Rat für Dich...
ansosnten bleibt dir immer noch die VM von vor 4 Wochen. DC2 davor vom Netz, neu aufsetzen und dann den ganzen spass von vorne... (Schemaerweiterung nicht vergessen!)
gutes gelingen - ich geh jetzt heim!
lg
Gerade probiert, leider bekomme ich keinen Registry.Zugriff auf den alten DC per Remote... "keine Verbindung möglich"
war ein Irrtum meinerseits, das kann nicht funktionieren!Dh, du könntest nun noch versuceh, dem DC2 per Registry den Tipp zu geben, sich die replizierung vom DC1 zu grapschen.
ODER (so hab ich mein problem damals gelöst):
Das Sysvol von DC1 manuell auf DC2 kopieren, dann am DC2 in der Registry einzutragen, dass er der neue Chef fürs Replizieren ist (NTFSR-Dienst starten, eh klar). Danach DC1 reboot und dann könnte alles wieder laufen...
hm...
Versuch mal, mit Yussuf hier im Forum Kontakt aufzunehmen. Der Kerl ist ja ein echter Held des Alltags, vielleicht weiss er noch einen guten Rat für Dich...
ansosnten bleibt dir immer noch die VM von vor 4 Wochen. DC2 davor vom Netz, neu aufsetzen und dann den ganzen spass von vorne... (Schemaerweiterung nicht vergessen!)
gutes gelingen - ich geh jetzt heim!
lg
Nochmals vielen Dank für deine Unterstützung.
Habe nun mit der Neuinstallation begonnen und den momentanen Ist-Zustand der alten Installationen "eingefroren" und isoliert.
Bei 9 Usern ist die Kiste einfach schneller frisch installiert als nun ewig herumzubasteln... und wer weiß, was für Macken ich sonst noch "mitübernehme".
Aber dennoch bleibt es ein spannendes Szenario, welches ich bei Gelegenheit weiter verfolgen werde. Aber im Moment sitzt mir dafür zu sehr die Zeit im Nacken
Schönen Feierabend!
Habe nun mit der Neuinstallation begonnen und den momentanen Ist-Zustand der alten Installationen "eingefroren" und isoliert.
Bei 9 Usern ist die Kiste einfach schneller frisch installiert als nun ewig herumzubasteln... und wer weiß, was für Macken ich sonst noch "mitübernehme".
Aber dennoch bleibt es ein spannendes Szenario, welches ich bei Gelegenheit weiter verfolgen werde. Aber im Moment sitzt mir dafür zu sehr die Zeit im Nacken
Schönen Feierabend!
Hallo!
In Deinem Fall hätte ich vermutlich nach der nun verstrichenen Zeit auch auf die Sicherung zurückgegriffen....
Ich hab mir jetzt nochmal so meine Gedanken gemacht, und bin zu folgendem Ergebnis gekommen (was nicht heisst, dass das stimmt...):
Dein Hauptproblem wurde dadurch verursacht, dass Du die Rollen auf den DC2 verschoben hast, bevor dieser noch als vollwertiger DC fungieren konnte. (Im Nachhinein ist man immer klüger...).
Durch dieses Missgeschick findet nun DC1 keinen Rolleninhaber mehr, DC2 findet keinen vollwertigen DC, damit er sich mit diesem Replizieren könnte und wird somit nicht zum DC.
Wenn dem so ist, sehe ich persönlich keinen Lösungsweg, da eine Lösung ja nun darin bestehen müsste, sich am DC1 die Rollen wieder zurückzuholen bzw. den DC2 mit ntdsutil zu entfernen. Das geht aber alles nicht, da du dich ja nicht einloggen kannst, da der Rolleninhaber nicht erreichbar ist...
Vielleicht kennt sich aber besser mit dieser Materie aus und weiss Rat. ich persönlich würde aufgrund obiger Überlegungen den Fall in die "echt dumm gelaufen"-Kiste geben und fest zusperren
lg
tut mir leid, dass ich keine besseren news habe...
Edi
In Deinem Fall hätte ich vermutlich nach der nun verstrichenen Zeit auch auf die Sicherung zurückgegriffen....
Ich hab mir jetzt nochmal so meine Gedanken gemacht, und bin zu folgendem Ergebnis gekommen (was nicht heisst, dass das stimmt...):
Dein Hauptproblem wurde dadurch verursacht, dass Du die Rollen auf den DC2 verschoben hast, bevor dieser noch als vollwertiger DC fungieren konnte. (Im Nachhinein ist man immer klüger...).
Durch dieses Missgeschick findet nun DC1 keinen Rolleninhaber mehr, DC2 findet keinen vollwertigen DC, damit er sich mit diesem Replizieren könnte und wird somit nicht zum DC.
Wenn dem so ist, sehe ich persönlich keinen Lösungsweg, da eine Lösung ja nun darin bestehen müsste, sich am DC1 die Rollen wieder zurückzuholen bzw. den DC2 mit ntdsutil zu entfernen. Das geht aber alles nicht, da du dich ja nicht einloggen kannst, da der Rolleninhaber nicht erreichbar ist...
Vielleicht kennt sich aber besser mit dieser Materie aus und weiss Rat. ich persönlich würde aufgrund obiger Überlegungen den Fall in die "echt dumm gelaufen"-Kiste geben und fest zusperren
lg
tut mir leid, dass ich keine besseren news habe...
Edi
letze Anmerkung:
Anleitung zum Enffernen des DC2 gibts hier
Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
Anleitung zur Übernahme der Rollen mit ntdsutil gibts hier
Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein
daher stehen Deine Karten schlecht!
Wie dem auch sei: etwas dazugelernt hast du in jedem Fall...
Ich schau mal, obs nicht schon eine wirklich gute Anleitung für Dein Ursprüngliches Vorhaben gibt. Ansonsten - wenn ich dazukomme - werd ich mal eine schreiben...
lg
Anleitung zum Enffernen des DC2 gibts hier
Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
Anleitung zur Übernahme der Rollen mit ntdsutil gibts hier
Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein
daher stehen Deine Karten schlecht!
Wie dem auch sei: etwas dazugelernt hast du in jedem Fall...
Ich schau mal, obs nicht schon eine wirklich gute Anleitung für Dein Ursprüngliches Vorhaben gibt. Ansonsten - wenn ich dazukomme - werd ich mal eine schreiben...
lg
Danke für die Links. Im Grunde fand ich die Infos aus Yusuf's Blog schon prima! Hätte ja an für sich auch geklappt, hätte sich der DC nicht mittendrin verabschiedet und sich für einen unangekündigten Neustart entschieden.... Das System war irgendwie auch schon "angeschossen" und sollte aus diesem Grunde ja ersetzt werden.
