DC Fehler nach Wechsel der FSMO Rollen (Windows Server 2019)
Guten Tag an alle,
Ich habe einen Windows Server 2012 r2 als DC den ich ablösen wollte und für einen Windows Server 2019 ersetzen.
Er war bisher der einzige DC in der Domäne. Also habe ich einen neuen DC hinzugefügt, alles syncen lassen und anschließend die FSMO Rollen auf den neuen Server übertragen.
Sobald ich den alten Server herunterfahre, crasht die Domäne, Anmeldungen etc. nicht möglich.
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe. Domain lief vorher immer auf Version 2012 r2, dementsprechend domain und forest level auf 2012 r2. Ich dachte das wäre dort noch nicht nötig gewesen.
Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Habe überlegt als nächstes die FSMO Rollen Übertragung zurück auf den alten zu erzwingen: wie hier: https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
und anschließend den DC nochmal raus zu nehmen und die DFSRMig zu prüfen.
Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt
Danke für eure Hilfe,
Grüße Goku
Ich habe einen Windows Server 2012 r2 als DC den ich ablösen wollte und für einen Windows Server 2019 ersetzen.
Er war bisher der einzige DC in der Domäne. Also habe ich einen neuen DC hinzugefügt, alles syncen lassen und anschließend die FSMO Rollen auf den neuen Server übertragen.
Sobald ich den alten Server herunterfahre, crasht die Domäne, Anmeldungen etc. nicht möglich.
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe. Domain lief vorher immer auf Version 2012 r2, dementsprechend domain und forest level auf 2012 r2. Ich dachte das wäre dort noch nicht nötig gewesen.
Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Habe überlegt als nächstes die FSMO Rollen Übertragung zurück auf den alten zu erzwingen: wie hier: https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
und anschließend den DC nochmal raus zu nehmen und die DFSRMig zu prüfen.
Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt
Danke für eure Hilfe,
Grüße Goku
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 13334917464
Url: https://administrator.de/forum/dc-fehler-nach-wechsel-der-fsmo-rollen-windows-server-2019-13334917464.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
17 Kommentare
Neuester Kommentar
Hi
Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ist die Windows Firewall aktiviert und welches Profil ?
Taucht der neue DC in den OUs DC auf ?
Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?
Was sagt DCdiag auf beiden DCs ?
Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Was ist bzgl IPv6 konfiguriert ?
Ist auf deinem zweiten DC die DNS Zone auch Autorisiert ?
Mit freundlichen Grüßen Nemesis
Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ist die Windows Firewall aktiviert und welches Profil ?
Taucht der neue DC in den OUs DC auf ?
Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?
Was sagt DCdiag auf beiden DCs ?
Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Was ist bzgl IPv6 konfiguriert ?
Ist auf deinem zweiten DC die DNS Zone auch Autorisiert ?
Mit freundlichen Grüßen Nemesis
Hallo,
Also dein einziger Server oder?
Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?
Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?
Gruß,
Peter
Also dein einziger Server oder?
Er war bisher der einzige DC in der Domäne.
Welche Installierten Rollen neben DNS und DHCP?crasht die Domäne,
Bitte genauer beschreiben was hier gemeint ist.Anmeldungen etc. nicht möglich.
An welchen DC (Du hast ja jetzt 2) wollen sich denn deine clients anmelden?Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe.
Warum? Wie du selbst sagst hattest du nur einen Server, oder? https://learn.microsoft.com/de-de/windows-server/storage/dfs-replication ...Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Was sagt ein DCDiag auf den neuen DC?Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?
Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
DCDiag ist dein Freund.Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Das mag ja sein, aber ein Funtionierendes AD besteht aus mehr als nur die FSMO Rollen.Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Sind die nicht genannten ein Gehjeimniss oder hast du angst wegen Datenschutz DSGVO?Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Wie schon hier gesagt wurde, DCDiag ist dein Freundund die DFSRMig zu prüfen
Wie viele Server hast du denn. Min. 2 sind minimum.Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt
Welche Rollen hat dein 2012/R2?Gruß,
Peter
Moin...
so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
und die Dienst-Abhängigkeiten kommen in die richtige reihenfolge
ach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...
Frank
so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDS
ach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...
Frank
Quote from @MUIGoku:
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.
/Thomas
Kannst du das mal in Code Tags setzen? Kann man ja so nicht lesen.
/Thomas
ja... mach mal.
frank
Zitat von @Vision2015:
ja... mach mal. und neu start natürlich.
frank
ja... mach mal. und neu start natürlich.
frank