5
Eintrag in Zone msdcs zeigt auf alten DC
Hallo liebe Community,
wir haben hier einen Server 2012R2 DC installiert der auch DNS und DHCP ist. Dieser läuft in einer vm. Der Hypervisor ist ebenfalls ein Server 2012R2.
Weiterhin gibt es noch 3 weitere vm's mit Server 2012R2 auf denen verschiedene Rollen installiert sind. Es gibt nur einen DC und auch nur einen DNS-Server. Auf allen ist der aktuelle Patchlevel installiert. Der Domänencontroller wurde im Dezember 2013 von einem 2008R2 (Server2) migriert. Laut der uns vorliegenden Doku und Screenshots gab es dabei keine Probleme. Auch läuft die Umgebung bisher wie ein Uhrwerk.
Nun bekommen wir seit einigen Tagen immer wieder Mitteilungen darüber, dass bei einigen Mitarbeitern auf einmal die Netzlaufwerksfreigaben nicht mehr erreichbar sind. Nach paar Minuten sind diese dann wieder da. Auch ist ab und an das Internet grottig langsam und im nächsten Moment wieder sehr flott. Nun habe ich mir den DNS Server mal näher angeschaut und festgestellt, dass im Ordner _msdcs unterhalb der primären, AD integrierten, Zone ein Alias auf den alten Domänencontroller zeigt. Mehr steht dort nicht drin. Die _msdcs Zone im Ordner Forward-Lookupzone enthält alle richtigen Einträge. Siehe auch folgende Screenshots:
Bild1:
Bild2:
dcdiag bringt auch keine Fehler Meldungen (überall steht bestanden). Die Ausgabe von nslookup ist korrekt und die fsmo Rollen laufen alle auf dem serv01. Unter AD Standorte und Dienste sehe ich auch nur den aktuellen serv01. Unter den Eigenschaften seiner NTDS Settings sehe ich auch den DNS Alias welcher identisch mit dem im Bild 1 gezeigten Wert ist.
Bild 3:
Nun habe ich die komplette Umgebung erstmal gesichert und dann den Ordner _msdcs unter der primären Zone gelöscht um ihn wieder herstellen zu lassen. Dazu habe ich folgende Schritte gewählt:
- rechtsklick auf Zone und neuen Domänen Ordner mit den Namen _msdcs angelegt
- DNS Dienste neu gestartet
- ipconfig /flushdns
- ipconfig /registerdns
- net stop netlogon
- net start netlogon
- paar minuten gewartet
- Server neu gestartet
Ergebnis: der Eintrag welcher im Bild 2 zu sehen ist ist genauso wieder dort eingetragen worden und zeigt auf den alten DC (Server2) welcher nicht mehr existent ist. Nun habe ich nochmal dcdiag ausgeführt. Hier mal die Ausgabe:
Unter SystemLog bekomme ich nun paar Warnungen angezeigt aber der Test mit Bestanden ausgegeben. Haben die trotzdem etwas zu sagen? Bei allen anderen Tests steht ja wieder bestanden.
Nun zu meinen Fragen:
1. Woher kommt dieser Eintrag?
2. Kann dies die Ursache, an den im ersten Absatz genannten Problemen, sein?
3. Was ist der AD technische Unterschied zw. den beiden _msdcs Ordnern im Bild 1 und 2? Müssen beide da sein? Was ist deren Funktion?
LG, Frank
edit: Unter AD Benutzer und Computer ist mir noch folgendes aufgefallen:
wir haben hier einen Server 2012R2 DC installiert der auch DNS und DHCP ist. Dieser läuft in einer vm. Der Hypervisor ist ebenfalls ein Server 2012R2.
Weiterhin gibt es noch 3 weitere vm's mit Server 2012R2 auf denen verschiedene Rollen installiert sind. Es gibt nur einen DC und auch nur einen DNS-Server. Auf allen ist der aktuelle Patchlevel installiert. Der Domänencontroller wurde im Dezember 2013 von einem 2008R2 (Server2) migriert. Laut der uns vorliegenden Doku und Screenshots gab es dabei keine Probleme. Auch läuft die Umgebung bisher wie ein Uhrwerk.
Nun bekommen wir seit einigen Tagen immer wieder Mitteilungen darüber, dass bei einigen Mitarbeitern auf einmal die Netzlaufwerksfreigaben nicht mehr erreichbar sind. Nach paar Minuten sind diese dann wieder da. Auch ist ab und an das Internet grottig langsam und im nächsten Moment wieder sehr flott. Nun habe ich mir den DNS Server mal näher angeschaut und festgestellt, dass im Ordner _msdcs unterhalb der primären, AD integrierten, Zone ein Alias auf den alten Domänencontroller zeigt. Mehr steht dort nicht drin. Die _msdcs Zone im Ordner Forward-Lookupzone enthält alle richtigen Einträge. Siehe auch folgende Screenshots:
Bild1:
Bild2:
dcdiag bringt auch keine Fehler Meldungen (überall steht bestanden). Die Ausgabe von nslookup ist korrekt und die fsmo Rollen laufen alle auf dem serv01. Unter AD Standorte und Dienste sehe ich auch nur den aktuellen serv01. Unter den Eigenschaften seiner NTDS Settings sehe ich auch den DNS Alias welcher identisch mit dem im Bild 1 gezeigten Wert ist.
Bild 3:
Nun habe ich die komplette Umgebung erstmal gesichert und dann den Ordner _msdcs unter der primären Zone gelöscht um ihn wieder herstellen zu lassen. Dazu habe ich folgende Schritte gewählt:
- rechtsklick auf Zone und neuen Domänen Ordner mit den Namen _msdcs angelegt
- DNS Dienste neu gestartet
- ipconfig /flushdns
- ipconfig /registerdns
- net stop netlogon
- net start netlogon
- paar minuten gewartet
- Server neu gestartet
Ergebnis: der Eintrag welcher im Bild 2 zu sehen ist ist genauso wieder dort eingetragen worden und zeigt auf den alten DC (Server2) welcher nicht mehr existent ist. Nun habe ich nochmal dcdiag ausgeführt. Hier mal die Ausgabe:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Der Homeserver wird gesucht...
* Vergewissern Sie sich, dass es sich bei dem lokalen Computer serv01 um
einen Verzeichnisserver handelt.
Homeserver = serv01
* Die Verbindung mit dem Verzeichnisdienst auf Server serv01 wird
hergestellt.
* Identifizierte AD-Gesamtstruktur.
Collecting AD specific global data
* Standortinformationen werden gesammaelt.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=abc,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
Getting ISTG and options for the site
* Alle Server werden identifiziert.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=abc,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Alle Querverweise des Namenskontexts werden identifiziert.
* 1 Dom„nencontroller gefunden. 1 davon werden getestet.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: Standardname-des-ersten-Standorts\SERV01
Starting test: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
Determining IP6 connectivity
* Active Directory RPC Services Check
......................... SERV01 hat den Test Connectivity bestanden.
Prim„rtests werden ausgefhrt.
Server wird getestet: Standardname-des-ersten-Standorts\SERV01
Starting test: Advertising
The DC SERV01 is advertising itself as a DC and having a DS.
The DC SERV01 is advertising as an LDAP server
The DC SERV01 is advertising as having a writeable directory
The DC SERV01 is advertising as a Key Distribution Center
The DC SERV01 is advertising as a time server
The DS SERV01 is advertising as a GC.
......................... SERV01 hat den Test Advertising bestanden.
Test durch Benutzeranforderung ausgelassen: CheckSecurityError
Test durch Benutzeranforderung ausgelassen: CutoffServers
Starting test: FrsEvent
* Der Ereignisprotokollierungstest fr den Dateireplikationsdienst
šberspringt den Test, da auf dem Server DFSR ausgefhrt wird.
......................... SERV01 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
The DFS Replication Event Log.
......................... SERV01 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
* Der SYSVOL-Bereitschaftstest fr den Dateireplikationsdienst
Das SYSVOL des Dateireplikationsdiensts ist bereit.
......................... SERV01 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
* The KCC Event log test
Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
......................... SERV01 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
Role Domain Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
Role PDC Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
Role Rid Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
Role Infrastructure Update Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
......................... SERV01 hat den Test KnowsOfRoleHolders
bestanden.
Starting test: MachineAccount
Checking machine account for DC SERV01 on DC SERV01.
* SPN found :LDAP/serv01.abc.local/abc.local
* SPN found :LDAP/serv01.abc.local
* SPN found :LDAP/SERV01
* SPN found :LDAP/serv01.abc.local/abc
* SPN found :LDAP/92de19ca-fb66-4957-9ffa-ed12aa7c3e0b._msdcs.abc.local
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/92de19ca-fb66-4957-9ffa-ed12aa7c3e0b/abc.local
* SPN found :HOST/serv01.abc.local/abc.local
* SPN found :HOST/serv01.abc.local
* SPN found :HOST/SERV01
* SPN found :HOST/serv01.abc.local/abc
* SPN found :GC/serv01.abc.local/abc.local
......................... SERV01 hat den Test MachineAccount
bestanden.
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC SERV01.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* šberprfung der Sicherheitsberechtigungen fr
DC=ForestDnsZones,DC=abc,DC=local
(NDNC,Version 3)
* šberprfung der Sicherheitsberechtigungen fr
DC=DomainDnsZones,DC=abc,DC=local
(NDNC,Version 3)
* šberprfung der Sicherheitsberechtigungen fr
CN=Schema,CN=Configuration,DC=abc,DC=local
(Schema,Version 3)
* šberprfung der Sicherheitsberechtigungen fr
CN=Configuration,DC=abc,DC=local
(Configuration,Version 3)
* šberprfung der Sicherheitsberechtigungen fr
DC=abc,DC=local
(Domain,Version 3)
......................... SERV01 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \\SERV01\netlogon
Verified share \\SERV01\sysvol
......................... SERV01 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
SERV01 is in domain DC=abc,DC=local
Checking for CN=SERV01,OU=Domain Controllers,DC=abc,DC=local in domain DC=abc,DC=local on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local in domain CN=Configuration,DC=abc,DC=local on 1 servers
Object is up-to-date on all servers.
......................... SERV01 hat den Test ObjectsReplicated
bestanden.
Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
Starting test: Replications
* Replications Check
* Replication Latency Check
DC=ForestDnsZones,DC=abc,DC=local
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
DC=DomainDnsZones,DC=abc,DC=local
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DC=abc,DC=local
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
CN=Configuration,DC=abc,DC=local
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
DC=abc,DC=local
Latency information for 2 entries in the vector were ignored.
2 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
......................... SERV01 hat den Test Replications bestanden.
Starting test: RidManager
* Available RID Pool for the Domain is 2605 to 1073741823
* serv01.abc.local is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 2105 to 2604
* rIDPreviousAllocationPool is 2105 to 2604
* rIDNextRID: 2265
......................... SERV01 hat den Test RidManager bestanden.
Starting test: Services
* Checking Service: EventSystem
* Checking Service: RpcSs
* Checking Service: NTDS
* Checking Service: DnsCache
* Checking Service: DFSR
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: w32time
* Checking Service: NETLOGON
......................... SERV01 hat den Test Services bestanden.
Starting test: SystemLog
* The System Event log test
Warnung. Ereignis-ID: 0x000003F6
Erstellungszeitpunkt: 11/14/2015 11:52:04
Ereigniszeichenfolge:
Zeitberschreitung bei der Namensaufl”sung fr den Namen _ldap._tcp.dc._msdcs.abc.local., nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Warnung. Ereignis-ID: 0x00002724
Erstellungszeitpunkt: 11/14/2015 11:52:36
Ereigniszeichenfolge:
Dieser Computer verfgt ber mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach M”glichkeit nur statische IPv6-Adressen, um zuverl„ssige DHCPv6-Servervorg„nge zu gew„hrleisten.
Warnung. Ereignis-ID: 0x000003F6
Erstellungszeitpunkt: 11/14/2015 11:52:43
Ereigniszeichenfolge:
Zeitberschreitung bei der Namensaufl”sung fr den Namen abc.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Warnung. Ereignis-ID: 0x000003F6
Erstellungszeitpunkt: 11/14/2015 11:52:45
Ereigniszeichenfolge:
Zeitberschreitung bei der Namensaufl”sung fr den Namen wpad, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
Found no errors in "System" Event log in the last 60 minutes.
......................... SERV01 hat den Test SystemLog bestanden.
Test durch Benutzeranforderung ausgelassen: Topology
Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
Starting test: VerifyReferences
Der Systemobjektverweis (serverReference)
CN=SERV01,OU=Domain Controllers,DC=abc,DC=local sowie der Backlink auf
CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
sind korrekt.
Der Systemobjektverweis (serverReferenceBL)
CN=SERV01,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=abc,DC=local
sowie der Backlink auf
CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
sind korrekt.
Der Systemobjektverweis (msDFSR-ComputerReferenceBL)
CN=SERV01,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=abc,DC=local
sowie der Backlink auf CN=SERV01,OU=Domain Controllers,DC=abc,DC=local
sind korrekt.
......................... SERV01 hat den Test VerifyReferences
bestanden.
Test durch Benutzeranforderung ausgelassen: VerifyReplicas
Test durch Benutzeranforderung ausgelassen: DNS
Test durch Benutzeranforderung ausgelassen: DNS
Partitionstests werden ausgefhrt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation
bestanden.
Partitionstests werden ausgefhrt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: abc
Starting test: CheckSDRefDom
......................... abc hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... abc hat den Test CrossRefValidation
bestanden.
Unternehmenstests werden ausgefhrt auf: abc.local
Test durch Benutzeranforderung ausgelassen: DNS
Test durch Benutzeranforderung ausgelassen: DNS
Starting test: LocatorCheck
Name des globalen Katalogs: \\serv01.abc.local
Locator Flags: 0xe000f3fd
PDC Name: \\serv01.abc.local
Locator Flags: 0xe000f3fd
Time Server Name: \\serv01.abc.local
Locator Flags: 0xe000f3fd
Preferred Time Server Name: \\serv01.abc.local
Locator Flags: 0xe000f3fd
KDC Name: \\serv01.abc.local
Locator Flags: 0xe000f3fd
......................... abc.local hat den Test LocatorCheck
bestanden.
Starting test: Intersite
Der Standort Standardname-des-ersten-Standorts wird bersprungen. Der
Standort liegt auáerhalb des Bereichs, der mithilfe der
Befehlszeilenargumente angegeben wurde.
......................... abc.local hat den Test Intersite bestanden.Unter SystemLog bekomme ich nun paar Warnungen angezeigt aber der Test mit Bestanden ausgegeben. Haben die trotzdem etwas zu sagen? Bei allen anderen Tests steht ja wieder bestanden.
Nun zu meinen Fragen:
1. Woher kommt dieser Eintrag?
2. Kann dies die Ursache, an den im ersten Absatz genannten Problemen, sein?
3. Was ist der AD technische Unterschied zw. den beiden _msdcs Ordnern im Bild 1 und 2? Müssen beide da sein? Was ist deren Funktion?
LG, Frank
edit: Unter AD Benutzer und Computer ist mir noch folgendes aufgefallen:
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288410
Url: https://administrator.de/contentid/288410
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
5 Kommentare
Neuester Kommentar
Geh bitte mal folgende schritte durch:
Lösche als erstes die Zone _msdcs.dom.com anschließend den Ordner _msdcs in der Zone dom.com.
Nun sofort die Zone _msdcs.dom.com als Primäre ActiveDirectory Integrated Zone wieder anlegen.
Rechtsklick auf die Zone dom.com und den Punkt Eigenschaften.
Anschließend auf den Reiter Namenserver wechseln und überprüfen ob er dort noch eingetragen ist.
Sollte dies so sein Löschen.
Anschließend öffnest du die Zone dom.com und überprüfst die "(identisch mit übergeordnetem Ordner)" Einträge.
Fehlerhafte ebenfalls löschen.
Nun den Server neustarten und die Zone _msdcs.dom.com sollte wieder befüllt sein.
Der Ordner _msdcs.dom.com sollte nun grau sein (Verweis auf die Zone).
Ist dein Eintrag jetzt wieder Vorhanden?
Wenn ja, überprüfe Forest-, PDC-, RID- und Infrastrukturmaster sind die Korrekt?
P.S. Wenn du die Domäne schon zensierst, dann musst du sie auch beim Eintrag "hostmaster.dom.com" (Bild 1) zensieren
P.P.S. Der Eintrag in Benutzer und Computer ist ganz Normal. Wie lange betreust du schon DNS und ADDS?
Lösche als erstes die Zone _msdcs.dom.com anschließend den Ordner _msdcs in der Zone dom.com.
Nun sofort die Zone _msdcs.dom.com als Primäre ActiveDirectory Integrated Zone wieder anlegen.
Rechtsklick auf die Zone dom.com und den Punkt Eigenschaften.
Anschließend auf den Reiter Namenserver wechseln und überprüfen ob er dort noch eingetragen ist.
Sollte dies so sein Löschen.
Anschließend öffnest du die Zone dom.com und überprüfst die "(identisch mit übergeordnetem Ordner)" Einträge.
Fehlerhafte ebenfalls löschen.
Nun den Server neustarten und die Zone _msdcs.dom.com sollte wieder befüllt sein.
Der Ordner _msdcs.dom.com sollte nun grau sein (Verweis auf die Zone).
Ist dein Eintrag jetzt wieder Vorhanden?
Wenn ja, überprüfe Forest-, PDC-, RID- und Infrastrukturmaster sind die Korrekt?
P.S. Wenn du die Domäne schon zensierst, dann musst du sie auch beim Eintrag "hostmaster.dom.com" (Bild 1) zensieren
P.P.S. Der Eintrag in Benutzer und Computer ist ganz Normal. Wie lange betreust du schon DNS und ADDS?
Moin,
lies dir dazu folgenden [http://blog.dikmenoglu.de/2008/08/die-metadaten-des-active-directory-unter-windows-server-2008-bereinigen/ Blogeintrag, den Abschnitt "Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen" und "Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten beschreibbaren Windows Server 2008 DCs" durch.
Gruß,
Dani
lies dir dazu folgenden [http://blog.dikmenoglu.de/2008/08/die-metadaten-des-active-directory-unter-windows-server-2008-bereinigen/ Blogeintrag, den Abschnitt "Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen" und "Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten beschreibbaren Windows Server 2008 DCs" durch.
Gruß,
Dani
Zitat von @Dani:
Moin,
lies dir dazu folgenden [http://blog.dikmenoglu.de/2008/08/die-metadaten-des-active-directory-unter-windows-server-2008-bereinigen/ Blogeintrag, den Abschnitt "Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen" und "Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten beschreibbaren Windows Server 2008 DCs" durch.
Moin,
lies dir dazu folgenden [http://blog.dikmenoglu.de/2008/08/die-metadaten-des-active-directory-unter-windows-server-2008-bereinigen/ Blogeintrag, den Abschnitt "Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen" und "Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten beschreibbaren Windows Server 2008 DCs" durch.
Das hatten wir schon gemacht. In meinem ersten Beitrag habe ich da aber nicht drauf hingewiesen. Nichts desto trotz bin ich das nun nochmal durchgegangen. Es werden keinerlei Reste des alten DC's angezeigt. Alles sieht korrrekt aus und verweist immer nur auf den neuen serv01.
Zitat von @agowa338:
Geh bitte mal folgende schritte durch:
Lösche als erstes die Zone _msdcs.dom.com anschließend den Ordner _msdcs in der Zone dom.com.
Nun sofort die Zone _msdcs.dom.com als Primäre ActiveDirectory Integrated Zone wieder anlegen.
Rechtsklick auf die Zone dom.com und den Punkt Eigenschaften.
Anschließend auf den Reiter Namenserver wechseln und überprüfen ob er dort noch eingetragen ist.
Sollte dies so sein Löschen.
Anschließend öffnest du die Zone dom.com und überprüfst die "(identisch mit übergeordnetem Ordner)" Einträge.
Fehlerhafte ebenfalls löschen.
Nun den Server neustarten und die Zone _msdcs.dom.com sollte wieder befüllt sein.
Der Ordner _msdcs.dom.com sollte nun grau sein (Verweis auf die Zone).
Geh bitte mal folgende schritte durch:
Lösche als erstes die Zone _msdcs.dom.com anschließend den Ordner _msdcs in der Zone dom.com.
Nun sofort die Zone _msdcs.dom.com als Primäre ActiveDirectory Integrated Zone wieder anlegen.
Rechtsklick auf die Zone dom.com und den Punkt Eigenschaften.
Anschließend auf den Reiter Namenserver wechseln und überprüfen ob er dort noch eingetragen ist.
Sollte dies so sein Löschen.
Anschließend öffnest du die Zone dom.com und überprüfst die "(identisch mit übergeordnetem Ordner)" Einträge.
Fehlerhafte ebenfalls löschen.
Nun den Server neustarten und die Zone _msdcs.dom.com sollte wieder befüllt sein.
Der Ordner _msdcs.dom.com sollte nun grau sein (Verweis auf die Zone).
Danke für deine Anleitung! Aber bevor ich dies nun ausführe habe ich noch eine Frage dazu. Die Zone _msdcs.dom.local ist ja korrekt. Warum soll ich diese löschen und dann AD intergriert neu erstellen? Wird bei der Neuerzeugung auch der Ordener _msdcs in der Zone dom.local neu erstellt und dann grau angezeigt?
Ja wird alles nach einem Server neustart automatisch neu angelegt werden.
Warum ich dir das überhaupt geschrieben habe ist folgendes, du hast _msdcs als Subzone von "dom.com" (also der Ordner) und ebenfalls als eigene Primäre Zone "_msdcs.dom.com" (legt automatisch grauen "Ordner" als hinweis auf eine Primäre Zone als Subdomain).
Das ist sehr ungewöhnlich, normalerweise hat man nur eins von beiden.
Ersteres falls du die Domäne von ca. Win 2000 hochgestuft hast und letzere wenn du eine neue Domäne erstellt hast.
Ich bin mir zwar nicht sicher, ob das dein Problem behebt, aber es ist definitiv sehr seltsam.
Warum ich dir das überhaupt geschrieben habe ist folgendes, du hast _msdcs als Subzone von "dom.com" (also der Ordner) und ebenfalls als eigene Primäre Zone "_msdcs.dom.com" (legt automatisch grauen "Ordner" als hinweis auf eine Primäre Zone als Subdomain).
Das ist sehr ungewöhnlich, normalerweise hat man nur eins von beiden.
Ersteres falls du die Domäne von ca. Win 2000 hochgestuft hast und letzere wenn du eine neue Domäne erstellt hast.
Ich bin mir zwar nicht sicher, ob das dein Problem behebt, aber es ist definitiv sehr seltsam.
