17
DC Fehler nach Wechsel der FSMO Rollen (Windows Server 2019)
Guten Tag an alle,
Ich habe einen Windows Server 2012 r2 als DC den ich ablösen wollte und für einen Windows Server 2019 ersetzen.
Er war bisher der einzige DC in der Domäne. Also habe ich einen neuen DC hinzugefügt, alles syncen lassen und anschließend die FSMO Rollen auf den neuen Server übertragen.
Sobald ich den alten Server herunterfahre, crasht die Domäne, Anmeldungen etc. nicht möglich.
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe. Domain lief vorher immer auf Version 2012 r2, dementsprechend domain und forest level auf 2012 r2. Ich dachte das wäre dort noch nicht nötig gewesen.
Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Habe überlegt als nächstes die FSMO Rollen Übertragung zurück auf den alten zu erzwingen: wie hier: https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
und anschließend den DC nochmal raus zu nehmen und die DFSRMig zu prüfen.
Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt
Danke für eure Hilfe,
Grüße Goku
Ich habe einen Windows Server 2012 r2 als DC den ich ablösen wollte und für einen Windows Server 2019 ersetzen.
Er war bisher der einzige DC in der Domäne. Also habe ich einen neuen DC hinzugefügt, alles syncen lassen und anschließend die FSMO Rollen auf den neuen Server übertragen.
Sobald ich den alten Server herunterfahre, crasht die Domäne, Anmeldungen etc. nicht möglich.
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe. Domain lief vorher immer auf Version 2012 r2, dementsprechend domain und forest level auf 2012 r2. Ich dachte das wäre dort noch nicht nötig gewesen.
Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Habe überlegt als nächstes die FSMO Rollen Übertragung zurück auf den alten zu erzwingen: wie hier: https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
und anschließend den DC nochmal raus zu nehmen und die DFSRMig zu prüfen.
Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt
Danke für eure Hilfe,
Grüße Goku
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 13334917464
Url: https://administrator.de/contentid/13334917464
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
17 Kommentare
Neuester Kommentar
Moin,
Wie ist denn das DNS Setup der beiden Server?
Was ist das jeweils als primärer und sekundärer DNS Server eingetragen?
Gruß,
Avoton
Wie ist denn das DNS Setup der beiden Server?
Was ist das jeweils als primärer und sekundärer DNS Server eingetragen?
Gruß,
Avoton
Zitat von @Avoton:
Moin,
Wie ist denn das DNS Setup der beiden Server?
Was ist das jeweils als primärer und sekundärer DNS Server eingetragen?
Gruß,
Avoton
Moin,
Wie ist denn das DNS Setup der beiden Server?
Was ist das jeweils als primärer und sekundärer DNS Server eingetragen?
Gruß,
Avoton
Moin,
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
Hi
Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ist die Windows Firewall aktiviert und welches Profil ?
Taucht der neue DC in den OUs DC auf ?
Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?
Was sagt DCdiag auf beiden DCs ?
Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Was ist bzgl IPv6 konfiguriert ?
Ist auf deinem zweiten DC die DNS Zone auch Autorisiert ?
Mit freundlichen Grüßen Nemesis
Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ist die Windows Firewall aktiviert und welches Profil ?
Taucht der neue DC in den OUs DC auf ?
Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?
Was sagt DCdiag auf beiden DCs ?
Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Was ist bzgl IPv6 konfiguriert ?
Ist auf deinem zweiten DC die DNS Zone auch Autorisiert ?
Mit freundlichen Grüßen Nemesis
Hallo,
Also dein einziger Server oder?
Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?
Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?
Gruß,
Peter
Also dein einziger Server oder?
Er war bisher der einzige DC in der Domäne.
Welche Installierten Rollen neben DNS und DHCP?crasht die Domäne,
Bitte genauer beschreiben was hier gemeint ist.Anmeldungen etc. nicht möglich.
An welchen DC (Du hast ja jetzt 2) wollen sich denn deine clients anmelden?Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe.
Warum? Wie du selbst sagst hattest du nur einen Server, oder? https://learn.microsoft.com/de-de/windows-server/storage/dfs-replication ...Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Was sagt ein DCDiag auf den neuen DC?Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?
Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
DCDiag ist dein Freund.Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Das mag ja sein, aber ein Funtionierendes AD besteht aus mehr als nur die FSMO Rollen.Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Sind die nicht genannten ein Gehjeimniss oder hast du angst wegen Datenschutz DSGVO?Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Wie schon hier gesagt wurde, DCDiag ist dein Freundund die DFSRMig zu prüfen
Wie viele Server hast du denn. Min. 2 sind minimum.Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt
Welche Rollen hat dein 2012/R2?Gruß,
Peter
Moin...
so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
und die Dienst-Abhängigkeiten kommen in die richtige reihenfolge
ach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...
Frank
so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...
Frank
Quote from @MUIGoku:
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.
/Thomas
Erstmal ein großes Danke an alle Antworten hier!
Versuche mal allen zu antworten. Bin aber erst heute Abend wieder auf dem System drauf.
-Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ja
-Ist die Windows Firewall aktiviert und welches Profil ?
habe sie nicht abgeschaltet, daher denke ich mal ja, schau ich aber heute abend nochmal nach
-Taucht der neue DC in den OUs DC auf ?
ja kann ich auf dem alten server sehen, auf dem neuen öffnen sich die tools wie gesagt nicht.
-Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Hab den dc installiert und hinzugefügt und dann 1 woche gewartet. Dann FSMO und Rollen übertragen
-Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Fileserver dienst. ansonsten nichts. Außer DNS logisch.
-Was ist bzgl IPv6 konfiguriert ?
Ist tatsächlich noch auf der Netzwerkkarte vom alten Server an, schalte ich aber mal ab. Beim neuen deaktiviert.
- Also dein einziger Server oder?
ja wars zuvor, jetzt sinds ja kurzzeitig zwei. der alte soll dann ja abgeschaltet werden.
-Welche Installierten Rollen neben DNS und DHCP?
DHCP macht der Router, aber da schau ich mir auch nochmal alle Einträge an. Ansonsten läuft Fileserver und DNS drauf.
- Wie schon hier gesagt wurde, DCDiag ist dein Freund
Mach ich heute abend. Danke
-und die DFSRMig zu prüfen. Wie viele Server hast du denn. Min. 2 sind minimum.
jetzt sinds ja zwei. Wobei es halt später wieder nur einer ist, wenn alles final ist.
Danke schau ich mir später an
-IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
soweit ichs gesehen habe ja. aber ich gucke mal auch auf dem dhcp ob alles richtig ist.
- Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.
Bei den Clients ist alles automatisch konfiguriert, also nichts festes. Ich prüfe mal welchen DNS die verwenden.
Mich wunderts nur, dass selbst beim neuen DC nicht die AD Tools gestartet werden können, dadruch muss der ja schon Probleme haben. Ich mein das AD läuft ja auf ihm selbst... Oder versteh ich da was falsch.
Ich hoffe ich habe jetzt auf alles geantwortet, was ich jetzt so aus dem Kopf schon mal beantworten konnte. Danke nochmal an alle, das ist echt mega!
Versuche mal allen zu antworten. Bin aber erst heute Abend wieder auf dem System drauf.
Zitat von @nEmEsIs:
Hi
Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ist die Windows Firewall aktiviert und welches Profil ?
Taucht der neue DC in den OUs DC auf ?
Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?
Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Was ist bzgl IPv6 konfiguriert ?
Mit freundlichen Grüßen Nemesis
Hi
Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ist die Windows Firewall aktiviert und welches Profil ?
Taucht der neue DC in den OUs DC auf ?
Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?
Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Was ist bzgl IPv6 konfiguriert ?
Mit freundlichen Grüßen Nemesis
-Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ja
-Ist die Windows Firewall aktiviert und welches Profil ?
habe sie nicht abgeschaltet, daher denke ich mal ja, schau ich aber heute abend nochmal nach
-Taucht der neue DC in den OUs DC auf ?
ja kann ich auf dem alten server sehen, auf dem neuen öffnen sich die tools wie gesagt nicht.
-Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Hab den dc installiert und hinzugefügt und dann 1 woche gewartet. Dann FSMO und Rollen übertragen
-Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Fileserver dienst. ansonsten nichts. Außer DNS logisch.
-Was ist bzgl IPv6 konfiguriert ?
Ist tatsächlich noch auf der Netzwerkkarte vom alten Server an, schalte ich aber mal ab. Beim neuen deaktiviert.
Zitat von @Pjordorf:
Hallo,
Also dein einziger Server oder?
Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?
Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?
Gruß,
Peter
Hallo,
Also dein einziger Server oder?
Er war bisher der einzige DC in der Domäne.
Welche Installierten Rollen neben DNS und DHCP?crasht die Domäne,
Bitte genauer beschreiben was hier gemeint ist.Anmeldungen etc. nicht möglich.
An welchen DC (Du hast ja jetzt 2) wollen sich denn deine clients anmelden?Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe.
Warum? Wie du selbst sagst hattest du nur einen Server, oder? https://learn.microsoft.com/de-de/windows-server/storage/dfs-replication ...Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Was sagt ein DCDiag auf den neuen DC?Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?
Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
DCDiag ist dein Freund.Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Das mag ja sein, aber ein Funtionierendes AD besteht aus mehr als nur die FSMO Rollen.Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Sind die nicht genannten ein Gehjeimniss oder hast du angst wegen Datenschutz DSGVO?Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Wie schon hier gesagt wurde, DCDiag ist dein Freundund die DFSRMig zu prüfen
Wie viele Server hast du denn. Min. 2 sind minimum.Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt
Welche Rollen hat dein 2012/R2?Gruß,
Peter
- Also dein einziger Server oder?
ja wars zuvor, jetzt sinds ja kurzzeitig zwei. der alte soll dann ja abgeschaltet werden.
-Welche Installierten Rollen neben DNS und DHCP?
DHCP macht der Router, aber da schau ich mir auch nochmal alle Einträge an. Ansonsten läuft Fileserver und DNS drauf.
- Wie schon hier gesagt wurde, DCDiag ist dein Freund
Mach ich heute abend. Danke
-und die DFSRMig zu prüfen. Wie viele Server hast du denn. Min. 2 sind minimum.
jetzt sinds ja zwei. Wobei es halt später wieder nur einer ist, wenn alles final ist.
Zitat von @Vision2015:
Moin...
so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
und die Dienst-Abhängigkeiten kommen in die richtige reihenfolge
ach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...
Frank
Moin...
so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...
Frank
Danke schau ich mir später an
-IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
soweit ichs gesehen habe ja. aber ich gucke mal auch auf dem dhcp ob alles richtig ist.
Zitat von @Th0mKa:
Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.
/Thomas
Quote from @MUIGoku:
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.
/Thomas
- Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.
Bei den Clients ist alles automatisch konfiguriert, also nichts festes. Ich prüfe mal welchen DNS die verwenden.
Mich wunderts nur, dass selbst beim neuen DC nicht die AD Tools gestartet werden können, dadruch muss der ja schon Probleme haben. Ich mein das AD läuft ja auf ihm selbst... Oder versteh ich da was falsch.
Ich hoffe ich habe jetzt auf alles geantwortet, was ich jetzt so aus dem Kopf schon mal beantworten konnte. Danke nochmal an alle, das ist echt mega!
Zitat von @Pjordorf:
Hallo,
Gruß,
Peter
Hallo,
Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Wie schon hier gesagt wurde, DCDiag ist dein FreundGruß,
Peter
Nicht wundern die Server heißen Server und Serverneu.
So habe DCDiag mal auf dem neuen Server ausgeführt:
Primärtests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\SERVERNEU
Starting test: Advertising
Achtung: Bei dem Versuch, SERVERNEU zu erreichen, wurden von DsGetDcName Informationen für \\SERVER.***Domain***.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
......................... Der Test Advertising für SERVERNEU ist fehlgeschlagen.
Starting test: FrsEvent
......................... SERVERNEU hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für SERVERNEU ist fehlgeschlagen.
Starting test: SysVolCheck
......................... SERVERNEU hat den Test SysVolCheck bestanden.
Starting test: NetLogons
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\SERVERNEU\netlogon)
[SERVERNEU] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
Der Netzwerkname wurde nicht gefunden..
......................... Der Test NetLogons für SERVERNEU ist fehlgeschlagen.
Starting test: ObjectsReplicated
......................... SERVERNEU hat den Test ObjectsReplicated bestanden.
Starting test: Replications
[Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von SERVER nach SERVERNEU
Namenskontext: DC=ForestDnsZones,DC=***Domain***,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1398):
Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
Auftreten des Fehlers: 2023-11-25 14:15:35.
Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
Seit dem letzten erfolgreichen Vorgang sind 46 Fehler aufgetreten.
Kerberos-Fehler.
Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
[SERVER] DsBindWithSpnEx()-Fehler 1398,
Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client..
[Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von SERVER nach SERVERNEU
Namenskontext: DC=DomainDnsZones,DC=***Domain***,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1398):
Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
Auftreten des Fehlers: 2023-11-25 14:15:32.
Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
Seit dem letzten erfolgreichen Vorgang sind 60 Fehler aufgetreten.
Kerberos-Fehler.
Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
[Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von SERVER nach SERVERNEU
Namenskontext: CN=Schema,CN=Configuration,DC=***Domain***,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1398):
Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
Auftreten des Fehlers: 2023-11-25 13:54:02.
Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
Seit dem letzten erfolgreichen Vorgang sind 45 Fehler aufgetreten.
Kerberos-Fehler.
Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
[Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von SERVER nach SERVERNEU
Namenskontext: CN=Configuration,DC=***Domain***,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1398):
Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
Auftreten des Fehlers: 2023-11-25 13:54:02.
Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
Seit dem letzten erfolgreichen Vorgang sind 46 Fehler aufgetreten.
Kerberos-Fehler.
Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
[Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von SERVER nach SERVERNEU
Namenskontext: DC=***Domain***,DC=local
Beim Replizieren ist ein Fehler aufgetreten (1398):
Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
Auftreten des Fehlers: 2023-11-25 14:14:48.
Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
Seit dem letzten erfolgreichen Vorgang sind 560 Fehler aufgetreten.
Kerberos-Fehler.
Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
......................... Der Test Replications für SERVERNEU ist fehlgeschlagen.
Starting test: RidManager
......................... SERVERNEU hat den Test RidManager bestanden.
Starting test: Services
Der Dienst IsmServ auf [SERVERNEU] wurde beendet.
......................... Der Test Services für SERVERNEU ist fehlgeschlagen.
Starting test: SystemLog
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 11/25/2023 13:21:55
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 11/25/2023 13:26:55
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".
Fehler. Ereignis-ID: 0x000003EE
Erstellungszeitpunkt: 11/25/2023 13:30:49
Ereigniszeichenfolge:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim
......................... SERVERNEU hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Partitionstests werden ausgeführt auf: ***Domain***
Starting test: CheckSDRefDom
......................... ***Domain*** hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ***Domain*** hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: ***Domain***.local
Starting test: LocatorCheck
[SERVER] LDAP-Bindungsfehler 8341,
Ein Verzeichnisdienstfehler ist aufgetreten..
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
......................... Der Test LocatorCheck für ***Domain***.local ist fehlgeschlagen.
Starting test: Intersite
......................... ***Domain***.local hat den Test Intersite bestanden.Scheint Wohl Zeitprobleme zu haben, auf dem alten Server lief aber kein explizierter NTP Server.
Oder bin ich jetzt total doof und hab irgendwas selbstverständliches vergessen ?
Weiß jemand wie ich das Problem behebe?
DCDiag auf dem alten Server sieht wie folgt aus:
Primärtests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\SERVER
Starting test: Advertising
Achtung: Von SERVER werden keine Ankündigungen als Zeitserver vorgenommen.
......................... Der Test Advertising für SERVER ist fehlgeschlagen.
Starting test: FrsEvent
......................... SERVER hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... SERVER hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... SERVER hat den Test SysVolCheck bestanden.
Unternehmenstests werden ausgeführt auf: ***Domain***.local
Starting test: LocatorCheck
Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1355
Es wurde kein primärer Domänencontroller gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
......................... Der Test LocatorCheck für ***Domain***.local ist fehlgeschlagen.
Starting test: Intersite
......................... ***Domain***.local hat den Test Intersite bestanden.
Starting test: SystemLog
Fehler. Ereignis-ID: 0x00009017
Erstellungszeitpunkt: 11/25/2023 14:05:25
Ereigniszeichenfolge:
Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden
für das TLS-Protokoll definierten Code: 40.
Fehler. Ereignis-ID: 0x00009017
Erstellungszeitpunkt: 11/25/2023 14:05:26
Ereigniszeichenfolge:
Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden
für das TLS-Protokoll definierten Code: 40.
Fehler. Ereignis-ID: 0x00009017Kannst du das mal in Code Tags setzen? Kann man ja so nicht lesen.
/Thomas
Hab’s aktualisiert
Moin...
was sach ich.... du hast kein AD!
also NLA....
Frank
was sach ich.... du hast kein AD!
also NLA....
Frank
Also deinen Befehl für die Reihenfolge ausführen und dann hat sich das?
ja... mach mal.
frank
Zitat von @Vision2015:
ja... mach mal. und neu start natürlich.
frank
ja... mach mal. und neu start natürlich.
frank
Hi
Ggf noch das hier probieren
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters
Dword: AlwaysExpectDomainController
Wert: 1
Anschließend DC Neustarten.
Mit freundlichen Grüßen Nemesis
Ggf noch das hier probieren
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters
Dword: AlwaysExpectDomainController
Wert: 1
Anschließend DC Neustarten.
Mit freundlichen Grüßen Nemesis
Zitat von @Vision2015:
Zitat von @Vision2015:
ja... mach mal. und neu start natürlich.
frank
ja... mach mal. und neu start natürlich.
frank
Bisher siehts jetzt gut aus. Ich lass das ganze mal 2-3 Tage laufen, dann schalte ich den alten DC mal ab für paar Tage und wenn dann immernoch alles läuft, demote ich den und hole den alten aus der Domäne.
Moin..
Frank
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
sind die nun da oder nicht?Frank
