muigoku
Goto Top

DC Fehler nach Wechsel der FSMO Rollen (Windows Server 2019)

Guten Tag an alle,

Ich habe einen Windows Server 2012 r2 als DC den ich ablösen wollte und für einen Windows Server 2019 ersetzen.
Er war bisher der einzige DC in der Domäne. Also habe ich einen neuen DC hinzugefügt, alles syncen lassen und anschließend die FSMO Rollen auf den neuen Server übertragen.
Sobald ich den alten Server herunterfahre, crasht die Domäne, Anmeldungen etc. nicht möglich.
Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe. Domain lief vorher immer auf Version 2012 r2, dementsprechend domain und forest level auf 2012 r2. Ich dachte das wäre dort noch nicht nötig gewesen.
Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.

Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.

Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.

Habe überlegt als nächstes die FSMO Rollen Übertragung zurück auf den alten zu erzwingen: wie hier: https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...

und anschließend den DC nochmal raus zu nehmen und die DFSRMig zu prüfen.
Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt face-smile


Danke für eure Hilfe,
Grüße Goku

Content-ID: 13334917464

Url: https://administrator.de/forum/dc-fehler-nach-wechsel-der-fsmo-rollen-windows-server-2019-13334917464.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Avoton
Avoton 24.11.2023 um 21:32:00 Uhr
Goto Top
Moin,

Wie ist denn das DNS Setup der beiden Server?
Was ist das jeweils als primärer und sekundärer DNS Server eingetragen?

Gruß,
Avoton
MUIGoku
MUIGoku 24.11.2023 um 23:18:03 Uhr
Goto Top
Zitat von @Avoton:

Moin,

Wie ist denn das DNS Setup der beiden Server?
Was ist das jeweils als primärer und sekundärer DNS Server eingetragen?

Gruß,
Avoton

Moin,

bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer
nEmEsIs
nEmEsIs 24.11.2023 aktualisiert um 23:47:13 Uhr
Goto Top
Hi

Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?

Ist die Windows Firewall aktiviert und welches Profil ?

Taucht der neue DC in den OUs DC auf ?

Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?

Was sagt DCdiag auf beiden DCs ?

Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?

Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?

Was ist bzgl IPv6 konfiguriert ?

Ist auf deinem zweiten DC die DNS Zone auch Autorisiert ?

Mit freundlichen Grüßen Nemesis
Pjordorf
Pjordorf 25.11.2023 um 01:59:40 Uhr
Goto Top
Hallo,

Zitat von @MUIGoku:
Ich habe einen Windows Server 2012 r2 als DC
Also dein einziger Server oder?

Er war bisher der einzige DC in der Domäne.
Welche Installierten Rollen neben DNS und DHCP?

crasht die Domäne,
Bitte genauer beschreiben was hier gemeint ist.

Anmeldungen etc. nicht möglich.
An welchen DC (Du hast ja jetzt 2) wollen sich denn deine clients anmelden?
Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?

Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe.
Warum? Wie du selbst sagst hattest du nur einen Server, oder? https://learn.microsoft.com/de-de/windows-server/storage/dfs-replication ...

Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Was sagt ein DCDiag auf den neuen DC?
Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?

Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
DCDiag ist dein Freund.

Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Das mag ja sein, aber ein Funtionierendes AD besteht aus mehr als nur die FSMO Rollen.

Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Sind die nicht genannten ein Gehjeimniss oder hast du angst wegen Datenschutz DSGVO?

Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Wie schon hier gesagt wurde, DCDiag ist dein Freund

und die DFSRMig zu prüfen
Wie viele Server hast du denn. Min. 2 sind minimum.

Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt face-smile
Welche Rollen hat dein 2012/R2?

Gruß,
Peter
Vision2015
Vision2015 25.11.2023 um 06:53:05 Uhr
Goto Top
Moin...

so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDS
und die Dienst-Abhängigkeiten kommen in die richtige reihenfolge face-smile
ach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...

Frank
Th0mKa
Th0mKa 25.11.2023 um 09:50:23 Uhr
Goto Top
Quote from @MUIGoku:
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer

Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.

/Thomas
MUIGoku
MUIGoku 25.11.2023 um 11:33:35 Uhr
Goto Top
Erstmal ein großes Danke an alle Antworten hier!

Versuche mal allen zu antworten. Bin aber erst heute Abend wieder auf dem System drauf.

Zitat von @nEmEsIs:

Hi

Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?

Ist die Windows Firewall aktiviert und welches Profil ?

Taucht der neue DC in den OUs DC auf ?

Wurde der Name des neuen DCs schonmal für was anderes im DNS verwendet oder kommt eine falsche IP zurück ? Was sagt NSlookup?

Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?

Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?

Was ist bzgl IPv6 konfiguriert ?

Mit freundlichen Grüßen Nemesis

-Im selbem IP Netz Bereich sind die DCs? Bzw. wurden auch entsprechend in den AD Sites angelegt?
Ja

-Ist die Windows Firewall aktiviert und welches Profil ?
habe sie nicht abgeschaltet, daher denke ich mal ja, schau ich aber heute abend nochmal nach

-Taucht der neue DC in den OUs DC auf ?
ja kann ich auf dem alten server sehen, auf dem neuen öffnen sich die tools wie gesagt nicht.

-Wie Lange ist es her das du den neuen DC hinzugefügt hast ? Kleiner 48h ?
Hab den dc installiert und hinzugefügt und dann 1 woche gewartet. Dann FSMO und Rollen übertragen

-Läuft auf den DCs was anderes an Rollen oder Programmen als das AD ?
Fileserver dienst. ansonsten nichts. Außer DNS logisch.

-Was ist bzgl IPv6 konfiguriert ?
Ist tatsächlich noch auf der Netzwerkkarte vom alten Server an, schalte ich aber mal ab. Beim neuen deaktiviert.


Zitat von @Pjordorf:

Hallo,

Zitat von @MUIGoku:
Ich habe einen Windows Server 2012 r2 als DC
Also dein einziger Server oder?

Er war bisher der einzige DC in der Domäne.
Welche Installierten Rollen neben DNS und DHCP?

crasht die Domäne,
Bitte genauer beschreiben was hier gemeint ist.

Anmeldungen etc. nicht möglich.
An welchen DC (Du hast ja jetzt 2) wollen sich denn deine clients anmelden?
Wie lange gewartet damit deine Clients nur noch den neuen DC finden?
Welche GPOs sind gesetzt?
DNS richrig Konfiguriert?
DHCP richtig Konfiguriert? Lease Time?

Habe überlegt das ich vorher die DFSR-Migration nicht gemacht habe.
Warum? Wie du selbst sagst hattest du nur einen Server, oder? https://learn.microsoft.com/de-de/windows-server/storage/dfs-replication ...

Gebe ich jetzt: dfsrmig /getglobalstate auf dem alten Server ein erhalte ich folgende Meldung: "Es kann keine Verbindung mit dem PDC-Emulator hergestellt werden. Stellen Sie sicher, dass der PDC erreichbar ist." Der neue Server kann den alten Pingen und auflösen per NSlookup. der alte Server kann ihn nur per Hostname/IP pingen aber nicht mit nslookup auflösen.
Was sagt ein DCDiag auf den neuen DC?
Was sagt das Ereignissprotokoll auf den neunen DC?
Ordner SYSVOL auf den neuen DC wurde korrekt angelegt?

Führe ich den Befehl: netdom query fsmo auf dem neuen Server aus erhalte ich: "Ein Verzeichnisdienstfehler ist aufgetreten"
DCDiag ist dein Freund.

Auf dem alten Server gibt er mir an, dass der neue Alle FSMO Rollen besitzt.
Das mag ja sein, aber ein Funtionierendes AD besteht aus mehr als nur die FSMO Rollen.

Die Rollen kann ich auch nicht zurück ohne Fehlermeldung übertragen.
Sind die nicht genannten ein Gehjeimniss oder hast du angst wegen Datenschutz DSGVO?

Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Wie schon hier gesagt wurde, DCDiag ist dein Freund

und die DFSRMig zu prüfen
Wie viele Server hast du denn. Min. 2 sind minimum.

Würde mich aber gerne hier nochmal vergewissern / wie nach dem mehr Augen prinzip und schauen, was ihr davon haltet und ihr vielleicht einen besseren Vorschlag habt face-smile
Welche Rollen hat dein 2012/R2?

Gruß,
Peter

- Also dein einziger Server oder?
ja wars zuvor, jetzt sinds ja kurzzeitig zwei. der alte soll dann ja abgeschaltet werden.

-Welche Installierten Rollen neben DNS und DHCP?
DHCP macht der Router, aber da schau ich mir auch nochmal alle Einträge an. Ansonsten läuft Fileserver und DNS drauf.

- Wie schon hier gesagt wurde, DCDiag ist dein Freund
Mach ich heute abend. Danke face-smile

-und die DFSRMig zu prüfen. Wie viele Server hast du denn. Min. 2 sind minimum.
jetzt sinds ja zwei. Wobei es halt später wieder nur einer ist, wenn alles final ist.


Zitat von @Vision2015:

Moin...

so, dein neurer DC hat alle FMSO Rollen bekommen... Prima.
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
ist das Netzwerk Profil in deiner Domain?
...den NLA Dienst mal neu gestaret?
Hintergund ist, das der NLA Dienst = Network Location Awareness meist zu früh gestartet wird, nämlich bevor dein Active Directory oder DNS gestartet ist, und dann ist es Essig mit deinem AD!
öffne eine Administrative CMD:
sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDS
und die Dienst-Abhängigkeiten kommen in die richtige reihenfolge face-smile
ach ja... im DHCP Server wird gerne vergessen die IP des DNS einzutragen, da steht dann meist noch die alte drin...

Frank

Danke schau ich mir später an face-smile

-IP Adressen auch im DNS richtig sind, und in der Netzerk Karte?
soweit ichs gesehen habe ja. aber ich gucke mal auch auf dem dhcp ob alles richtig ist.


Zitat von @Th0mKa:

Quote from @MUIGoku:
bei beiden Servern ist zuerst der neue als primärer DNS
dann beim alten er selbst als sekundärer und beim neuen der alte als sekundärer

Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.

/Thomas

- Welchen DNS haben denn die Clients konfiguriert? Wenn da nur der alte drin steht wäre es folgerichtig das die sich nicht anmelden können wenn der weg ist.
Bei den Clients ist alles automatisch konfiguriert, also nichts festes. Ich prüfe mal welchen DNS die verwenden.

Mich wunderts nur, dass selbst beim neuen DC nicht die AD Tools gestartet werden können, dadruch muss der ja schon Probleme haben. Ich mein das AD läuft ja auf ihm selbst... Oder versteh ich da was falsch.


Ich hoffe ich habe jetzt auf alles geantwortet, was ich jetzt so aus dem Kopf schon mal beantworten konnte. Danke nochmal an alle, das ist echt mega!
MUIGoku
MUIGoku 25.11.2023 aktualisiert um 16:07:47 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Ich kann auch keine AD Tools öffnen, da die Domain auf dem neuen nicht erreichbar ist.
Wie schon hier gesagt wurde, DCDiag ist dein Freund


Gruß,
Peter


Nicht wundern die Server heißen Server und Serverneu.
So habe DCDiag mal auf dem neuen Server ausgeführt:
Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\SERVERNEU
      Starting test: Advertising
         Achtung: Bei dem Versuch, SERVERNEU zu erreichen, wurden von DsGetDcName Informationen für \\SERVER.***Domain***.local zurückgegeben.
         DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
         ......................... Der Test Advertising für SERVERNEU ist fehlgeschlagen.
      Starting test: FrsEvent
         ......................... SERVERNEU hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
         SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
         ......................... Der Test DFSREvent für SERVERNEU ist fehlgeschlagen.
      Starting test: SysVolCheck
         ......................... SERVERNEU hat den Test SysVolCheck bestanden.

      Starting test: NetLogons
         Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\SERVERNEU\netlogon)
         [SERVERNEU] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,  
         Der Netzwerkname wurde nicht gefunden..
         ......................... Der Test NetLogons für SERVERNEU ist fehlgeschlagen.
      Starting test: ObjectsReplicated
         ......................... SERVERNEU hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         [Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von SERVER nach SERVERNEU
            Namenskontext: DC=ForestDnsZones,DC=***Domain***,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (1398):
            Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
            Auftreten des Fehlers: 2023-11-25 14:15:35.
            Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
            Seit dem letzten erfolgreichen Vorgang sind 46 Fehler aufgetreten.
            Kerberos-Fehler.
            Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
            auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
         [SERVER] DsBindWithSpnEx()-Fehler 1398,
         Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client..
         [Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von SERVER nach SERVERNEU
            Namenskontext: DC=DomainDnsZones,DC=***Domain***,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (1398):
            Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
            Auftreten des Fehlers: 2023-11-25 14:15:32.
            Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
            Seit dem letzten erfolgreichen Vorgang sind 60 Fehler aufgetreten.
            Kerberos-Fehler.
            Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
            auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
         [Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von SERVER nach SERVERNEU
            Namenskontext: CN=Schema,CN=Configuration,DC=***Domain***,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (1398):
            Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
            Auftreten des Fehlers: 2023-11-25 13:54:02.
            Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
            Seit dem letzten erfolgreichen Vorgang sind 45 Fehler aufgetreten.
            Kerberos-Fehler.
            Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
            auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
         [Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von SERVER nach SERVERNEU
            Namenskontext: CN=Configuration,DC=***Domain***,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (1398):
            Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
            Auftreten des Fehlers: 2023-11-25 13:54:02.
            Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
            Seit dem letzten erfolgreichen Vorgang sind 46 Fehler aufgetreten.
            Kerberos-Fehler.
            Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
            auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
         [Replications Check,SERVERNEU] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von SERVER nach SERVERNEU
            Namenskontext: DC=***Domain***,DC=local
            Beim Replizieren ist ein Fehler aufgetreten (1398):
            Es besteht ein Zeit- und/oder Datumsunterschied zwischen dem Server und dem Client.
            Auftreten des Fehlers: 2023-11-25 14:14:48.
            Letzter erfolgreicher Vorgang: 2023-11-23 16:54:02.
            Seit dem letzten erfolgreichen Vorgang sind 560 Fehler aufgetreten.
            Kerberos-Fehler.
            Vergewissern Sie sich, dass die Systemzeit auf beiden Servern nicht zu weit
            auseinander liegt, und vergewissern Sie sich zudem, dass der Zeitdienst ordnungsgemäß funktioniert.
         ......................... Der Test Replications für SERVERNEU ist fehlgeschlagen.
      Starting test: RidManager
         ......................... SERVERNEU hat den Test RidManager bestanden.
      Starting test: Services
            Der Dienst IsmServ auf [SERVERNEU] wurde beendet.
         ......................... Der Test Services für SERVERNEU ist fehlgeschlagen.
      Starting test: SystemLog
         Fehler. Ereignis-ID: 0x000003EE
            Erstellungszeitpunkt: 11/25/2023   13:21:55
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".  
         Fehler. Ereignis-ID: 0x000003EE
            Erstellungszeitpunkt: 11/25/2023   13:26:55
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details".  
         Fehler. Ereignis-ID: 0x000003EE
            Erstellungszeitpunkt: 11/25/2023   13:30:49
            Ereigniszeichenfolge:
            Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim 
         

......................... SERVERNEU hat den Test VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.


  Partitionstests werden ausgeführt auf: ***Domain***
      Starting test: CheckSDRefDom
         ......................... ***Domain*** hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ***Domain*** hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: ***Domain***.local
      Starting test: LocatorCheck
         [SERVER] LDAP-Bindungsfehler 8341,
         Ein Verzeichnisdienstfehler ist aufgetreten..
         Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
         Es wurde kein Zeitserver gefunden.
         Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
         Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
         Es wurde kein geeigneter Zeitserver gefunden.
         ......................... Der Test LocatorCheck für ***Domain***.local ist fehlgeschlagen.
      Starting test: Intersite
         ......................... ***Domain***.local hat den Test Intersite bestanden.

Scheint Wohl Zeitprobleme zu haben, auf dem alten Server lief aber kein explizierter NTP Server.
Oder bin ich jetzt total doof und hab irgendwas selbstverständliches vergessen ?
Weiß jemand wie ich das Problem behebe?


DCDiag auf dem alten Server sieht wie folgt aus:

Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\SERVER
      Starting test: Advertising
         Achtung: Von SERVER werden keine Ankündigungen als Zeitserver vorgenommen.
         ......................... Der Test Advertising für SERVER ist fehlgeschlagen.
      Starting test: FrsEvent
         ......................... SERVER hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         ......................... SERVER hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         ......................... SERVER hat den Test SysVolCheck bestanden.

Unternehmenstests werden ausgeführt auf: ***Domain***.local
   Starting test: LocatorCheck
      Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1355
      Es wurde kein primärer Domänencontroller gefunden.
      Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
      Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
      Es wurde kein Zeitserver gefunden.
      Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
      Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
      Es wurde kein geeigneter Zeitserver gefunden.
      ......................... Der Test LocatorCheck für ***Domain***.local ist fehlgeschlagen.
   Starting test: Intersite
      ......................... ***Domain***.local hat den Test Intersite bestanden.


      Starting test: SystemLog
         Fehler. Ereignis-ID: 0x00009017
            Erstellungszeitpunkt: 11/25/2023   14:05:25
            Ereigniszeichenfolge:
            Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden
für das TLS-Protokoll definierten Code: 40.
         Fehler. Ereignis-ID: 0x00009017
            Erstellungszeitpunkt: 11/25/2023   14:05:26
            Ereigniszeichenfolge:
            Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden
für das TLS-Protokoll definierten Code: 40.
         Fehler. Ereignis-ID: 0x00009017
Th0mKa
Th0mKa 25.11.2023 um 15:02:10 Uhr
Goto Top
Quote from @MUIGoku:
So habe DCDiag mal auf dem neuen Server ausgeführt:

Kannst du das mal in Code Tags setzen? Kann man ja so nicht lesen.

/Thomas
MUIGoku
MUIGoku 25.11.2023 um 16:08:18 Uhr
Goto Top
Zitat von @Th0mKa:
Kannst du das mal in Code Tags setzen? Kann man ja so nicht lesen.

/Thomas


Hab’s aktualisiert
Vision2015
Vision2015 25.11.2023 um 16:08:32 Uhr
Goto Top
Moin...

was sach ich.... du hast kein AD!

also NLA....

Frank
MUIGoku
MUIGoku 25.11.2023 um 17:29:22 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

was sach ich.... du hast kein AD!

also NLA....

Frank

Also deinen Befehl für die Reihenfolge ausführen und dann hat sich das?
Vision2015
Vision2015 25.11.2023 um 17:36:23 Uhr
Goto Top
Zitat von @MUIGoku:

Zitat von @Vision2015:

Moin...

was sach ich.... du hast kein AD!

also NLA....

Frank

Also deinen Befehl für die Reihenfolge ausführen und dann hat sich das?

ja... mach mal.

frank
Vision2015
Vision2015 25.11.2023 um 17:37:41 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @MUIGoku:

Zitat von @Vision2015:

Moin...

was sach ich.... du hast kein AD!

also NLA....

Frank

Also deinen Befehl für die Reihenfolge ausführen und dann hat sich das?

ja... mach mal. und neu start natürlich.

frank
nEmEsIs
nEmEsIs 25.11.2023 um 19:15:16 Uhr
Goto Top
Hi

Ggf noch das hier probieren

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters
Dword: AlwaysExpectDomainController
Wert: 1

Anschließend DC Neustarten.

Mit freundlichen Grüßen Nemesis
MUIGoku
MUIGoku 27.11.2023 um 13:56:18 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @Vision2015:

Zitat von @MUIGoku:

Zitat von @Vision2015:

Moin...

was sach ich.... du hast kein AD!

also NLA....

Frank

Also deinen Befehl für die Reihenfolge ausführen und dann hat sich das?

ja... mach mal. und neu start natürlich.

frank

Bisher siehts jetzt gut aus. Ich lass das ganze mal 2-3 Tage laufen, dann schalte ich den alten DC mal ab für paar Tage und wenn dann immernoch alles läuft, demote ich den und hole den alten aus der Domäne.
Vision2015
Vision2015 27.11.2023 um 19:29:50 Uhr
Goto Top
Moin..
hast du als erstes mal geschaut ob SYSVOL und NETLOGON als Freigabe da sind?
sind die nun da oder nicht?

Frank