semasoft
Goto Top

Ersten Windows 2008 R2 64-Bit DC in Windows 2000 Domäne integrieren ... paar Fragen dazu

Hallo zusammen,

gleich vorweg:
Der weltklasse Blog von Yusuf und auch sein Beitrag zu dem eigentlichen Vorgang sind mir bekannt:
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cMi ...
Der Mann ist spitze!

Ich habe dazu trotzdem noch ein paar Fragen. Deswegen hier nochmals die gesamte Sache:

Vorhanden ist eine Windows 2000 Domäne mit zwei Windows 2000 Advanced Server Domänencontrollern (beide mit SP4).
Einer davon läuft jedoch nicht wirklich sauber. Der Server wurde anscheinend einmal unsauber über ein Image wiederhergestellt. Seither ist der Anmeldedienst des Servers deaktiviert.
Da die beiden Server so oder so baldmöglichst "sterben" sollen, will ich da eigentlich keinen Aufwand mit Verzeichnisdienstwiederherstellung oder ähnlichem betreiben.

1. Frage:
Besteht in irgendeiner Art und Weise die Gefahr, dass dieser unsauber laufende Server beim Hinzufügen des ersten Windows 2008 R2 DCs Probleme macht? Falls ja, was könnte im schlimmsten Fall passieren?

2. Frage:
Sollte der erste Windows 2008 R2 DC erfolgreich in die Domäne eingebunden sein (FSMO übertragen, etc), soll noch ein zweiter folgen. Beide sollen dann als alleinige DCs die Domäne verwalten. Die beiden bisherigen Windows 2000 DCs sollen verschwinden. Wird das dann auch wie bisher über "dcpromo" gemacht? Also DC zum Mitgliedsserver herunterstufen und dann einfach abschalten? Oder läuft das dann anders?

Besten Dank bereits im Voraus und viele Grüße
Joachim

Content-ID: 134012

Url: https://administrator.de/forum/ersten-windows-2008-r2-64-bit-dc-in-windows-2000-domaene-integrieren-paar-fragen-dazu-134012.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

2hard4you
2hard4you 21.01.2010 um 13:06:57 Uhr
Goto Top
Moin

zu 1. Du kannst es nur testen - schlimmstenfalls mußt Du eine Verzeichniswiederherstellung machen, wobei die Gefahren gering sind, da die neuen DC ja keine Rollen halten - noch nicht

zu 2. es wird immer noch über dcpromo gemacht face-wink

Gruß

24
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 21.01.2010 um 20:07:38 Uhr
Goto Top
Aloha,

Zitat von @Semasoft:
Der Mann ist spitze!

wo? Welcher? Wenn du einen triffst, gib mir bescheid. face-wink

Einer davon läuft jedoch nicht wirklich sauber. Der Server wurde anscheinend einmal unsauber über ein Image wiederhergestellt.

Wie sieht denn das Eventlog aus?
Denn um dein Vorhaben erfolgreich durchzuführen, kommt es auf die "Basis" an. Wenn ich "Image" lese,
könnte ein USN-Rollback existieren. War es der DC der die FSMO-Rollen, insbesondere die RID-Rolle innehat,
könnten doppelte RIDs vergeben worden sein. Also kontrolliere zuerst das Eventlog und führe ggf. DCDIAG,
aus den Windows Support Tools aus.

Da die beiden Server so oder so baldmöglichst "sterben" sollen, will ich da eigentlich keinen Aufwand mit
Verzeichnisdienstwiederherstellung oder ähnlichem betreiben.

Je nachdem wie die IST-Situation aussieht, solltest du es aber doch bereinigen.

Besteht in irgendeiner Art und Weise die Gefahr, dass dieser unsauber laufende Server beim Hinzufügen des ersten Windows 2008
R2 DCs Probleme macht? Falls ja, was könnte im schlimmsten Fall passieren?

Ja, es könnte ein Problem, sogar größeres Problem sein.
Im Idealfall ist lediglich der geimagte DC alleine der "verkorkste".

Also DC zum Mitgliedsserver herunterstufen und dann einfach abschalten? Oder läuft das dann anders?

Wenn du ihn abschaltest, dann lösche hinterher das Computerkonto noch im AD.
Nein, es läuft nicht anders. DCPROMO musst du ausführen, aber das wurde hier schon erwähnt.


Viele Grüße
/ > Yusuf Dikmenoglu
Semasoft
Semasoft 22.01.2010 um 09:49:34 Uhr
Goto Top
Oha ... er meldet sich persönlich! *verbeug*
Naja, getroffen hab ich ihn noch nicht ... aber dann gebe ich Dir natürlich sofort Bescheid.
face-wink

Danke, dass Du Dir das durchgelesen hast.


Zum Eventlog des verkorksten DC:

Directory Service
Fehler, NTDS General, Ereignis-ID 2103
Die Active Directory-Datenbank wurde mit Hilfe eines nicht unterstützen Wiederherstellungsvorgangs wiederhergestellt.
Solange dieser Zustand besteht, können keine Benutzer durch das Active Directory angemeldet werden. Aus diesem Grund wird der Anmeldedienst angehalten.

Das hat die Fehlermeldung des Dateireplikationsdienstes zur Folge:

Dateireplikationsdienst
Fehler, NtFrs, Ereignis-ID 13568
Der Dateireplikationsdienst hat ermittelt, dass der Replikatssatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet.

Replikatssatzname : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Replikatstammpfad : "d:\sysvol\domain"
Replikatstammvolume : "\\.\D:"
Ein Replikatssatz stößt auf JRNL_WRAP_ERROR, wenn der Eintrag, von dem gelesen werden soll, nicht vom NTFS-USN-Journal gefunden wird. ......

Der zweite DC sieht hingegen recht gut aus.
Der meckert "nur" herum, dass er sich mit dem anderen DC nicht replizieren kann:

Dateireplikationsdienst
Warnung, NtFrs, Ereingis-ID 13508
Der Dateireplikationsdienst konnte die Replikation von DC1 nach DC2 für d:\sysvol\domain mit DNS-Namen dc1.zentrale.domain.de nicht aktivieren. Es wird ein neuer Versuch gestartet.

Die Fehlermeldungen und Warnungen stehen schon seit über 6 Monaten schön regelmässig in den Logs. Sehr wahrscheinlich besteht der Fehler sogar viel länger. Es sieht mir so aus als ob die Logs irgendwann gelöscht wurden.
Es liegt mit ziemlicher Sicherheit ein USN Rollback vor.

DCDIAG spuckt folgende Fehler aus (die bestandenen Tests lasse ich mal weg):
Testing server: Zentrale\DC1
Starting test: Advertising
Warning: DsGetDcName returned information for \\dc2.zentrale.domain.de, when we were trying to reach DC1.
Server is not responding or is not considered suitable.
Warning: DC1 is not advertising as a time server.
......................... DC1 failed test Advertising
Starting test: Services
w32time Service is stopped on [DC1]
NETLOGON Service is paused on [DC1]
......................... DC1 failed test Services
Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
......................... DC1 passed test frssysvol

Testing server: Zentrale\DC2
Starting test: Advertising
Warning: DC2 is not advertising as a time server.
......................... DC2 failed test Advertising
Starting test: Services
w32time Service is stopped on [DC2]
......................... DC2 failed test Services
Starting test: frssysvol
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... DC2 passed test frssysvol

Jetzt kommt eigentlich der Teil der mir Sorgen macht:

Running enterprise tests on : zentrale.domain.de
Starting test: Intersite
......................... zentrale.domain.de passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
......................... zentrale.domain.de failed test FsmoCheck

Bis dahin dachte ich, dass nur der geimagte DC spinnt ...

Ich bin mir jetzt immer unschlüssiger darüber was ich machen soll. Bis gestern hätte ich den Versuch gewagt und die neuen Win2k8 Server zu DCs hochgestuft.
Also doch eher erst den verkorksten Kram in Ordnung bringen?

Kopf ---> Tisch

Viele Grüße
Joachim
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 22.01.2010 um 11:18:14 Uhr
Goto Top
Zitat von @Semasoft:
Also doch eher erst den verkorksten Kram in Ordnung bringen?

Auf jedenfall zuerst in Ordnung bringen! Sonst werden die Probleme nur größer, als sie es ohnehin schon sind.
Ich weiß nicht wie Fit du in Sachen AD bist, denn sonst würde ich dir dringend zu einem Dienstleister empfehlen.

Die durchzuführenden Aufgaben wären:

1. den geimagten DC "mit Gewalt" herunterstufen. Das AD hat gemerkt, dass es auf eine nicht unterstützte Variante wiederhergestellt wurde und quittiert somit seinen Dienst. Diesen müsstest du nun mit DCPROMO /FORCEREMOVAL gewaltsam herunterstufen. Gewaltsam deshalb, da der DC sich mit seinem Replikationspartner nicht mehr repliziert. Also musst du im ersten Schritt die AD-Daten lokal vom DC entfernen und im zewiten, die Metadaten des AD bereinigen.

[LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...


2. Wenn der geimagte DC zum Zeitpunkt des Imagen der FSMO-Rolleninhaber war, insbesondere die Rolle des RID-Masters inne hatte, muss zwingend geprüft werden ob es zur doppelten Vergabe von SIDs gekommen ist. Siehe dazu den folgenden Artikel ganz unten:

[LDAP:
Yusufs.Directory.Blog/ - Der RID-Master und sein RID-Pool]
http://blog.dikmenoglu.de/Der+RIDMaster+Und+Sein+RIDPool.aspx


3. Überprüfe welcher DC alle FSMO-Rollen inne hat. Diese sollten auf dem NICHT geimagten DC liegen.
Falls sie nicht dort liegen, seize die Rollen nach dem gwwaltsamen herunterstufen des anderen DCs.

Schau dir dazu diesen Artikel, auch ganz unten:

[LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx


4. Wenn es dann nur noch einen DC gibt, kontrolliere das Eventlog und führe DCDIAG aus.
Erst wenn beides Fehlerfrei ist, füge den 2008 R2 als DC hinzu!


5. Ganz wichtig: Bevor du anfängst, führe eine Sicherung beider DCs durch. Nicht das am Ende garnichts mehr geht.


Du musst dir überlegen ob du das alleine durchführen möchtest, oder dir Hilfe zur Seite holst.
Ich würde empfehlen, gehe kein Risiko ein denn die IST-Situation ist "schlimm" genug und besorge dir einen Dienstleister.


Gruß, Yusuf
Semasoft
Semasoft 26.01.2010 um 08:50:54 Uhr
Goto Top
Hallo Yusuf,

vielen Dank für Deine ausführliche Antwort.
Wäre es nicht besser, den geimagten Server zu "reparieren" bevor ich den mit roher Gewalt herabstufe?
Wenn ich die beiden aktuellen DCs wieder sauber zum Laufen bekomme, dann mach ich mir auch keine Sorgen mehr wegen dem ersten Win2k8 DC.
face-wink

Oder meinst Du das ist mehr Aufwand?

Viele Grüße
Joachim
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 26.01.2010 um 11:04:19 Uhr
Goto Top
Zitat von @Semasoft:
Wäre es nicht besser, den geimagten Server zu "reparieren" bevor ich den mit roher Gewalt herabstufe?

Da das Imagen ohnehin keine gute Idee war, ist das gewaltsame herunterstufen die zielführendere Variante.
Ein Auto das einen Totalschaden hat könnte man auch versuchen wieder zu reparieren. Es ist aber nicht mehr 100%ig vertrauenswürdig. face-wink
Wenn du sicher gehen willst und bei einem DC solltest du natürlich auf Nummer sicher gehen, stufe den DC herunter.
Das dauert auch nicht lange. Nach max. 30 Minuten bist du durch. Den entsprechenden Link findest du in meiner vorheriger Antwort.

Wenn ich die beiden aktuellen DCs wieder sauber zum Laufen bekomme,
dann mach ich mir auch keine Sorgen mehr wegen dem ersten Win2k8 DC.

Stufe den geimagten DC herunter und bereinige anschließend das AD. ICH würde den Server sogar neu instalieren!
Danach überprüfe die Eventlogs der beiden anderen DCs. Wenn alles soweit in Ordnung ist, stufst du den Server erneut zum DC.

Oder meinst Du das ist mehr Aufwand?

Auf alle Fälle und du kannst dir noch nicht einmal sicher sein, ob dann wirklich alle Fehler behoben sind.
Es könnten auch in der Zukunft Folgefehler auftauchen wo eigentlich keine sein dürften und du weißt dann nicht, woher die Fehler kommen etc.
Mach es dir nicht unnötig schwerer und installiere den DC neu.

Achte dann in der Zukunft auf ein ordentliches Backup und sichere mindestens das SYSTEM STATE.


Gruß, Yusuf
Semasoft
Semasoft 28.01.2010 um 09:52:19 Uhr
Goto Top
Hallo Yusuf,

nochmals vielen Dank für Deine ausführlichen und hilfreichen Antworten.

Dann werde ich den "Totalschaden-DC" herunter stufen.
face-smile
Eine Neuinstallation lohnt nicht mehr. Sobald alle Anwendungen auf die neuen Win2k8 Server umgezogen sind, wird er für alle Zeiten abgeschaltet.
Ich hoffe ich komme so bald wie möglich dazu.


P.S.: Es gibt ein ordentliches Backup. Es wäre alles da gewesen um die Kiste so wie es sich gehört zu restoren. Trotzdem werden in regelmäsigen Abständen Images der Systemfestplatten gezogen. Eigentlich als allerletzter "Notanker".
Frag mich nicht warum diese HDU eingesetzt wurde anstatt eine vernünftige Desaster Recovery durchzuführen ...
Semasoft
Semasoft 25.05.2010 um 09:54:06 Uhr
Goto Top
Hallo nochmal!

Es hat jetzt doch recht lange gedauert aber endlich kam ich dazu den DC zum Mitgliedsserver zu degradieren.
Es ist jetzt nur noch ein Win2k-DC in der Domäne, dieser hat alle FSMO-Funktionen und dcdiag bringt (abgesehen vom Timeserver) keine Fehlermeldungen.
Das AD ist bereinigt, die dupsid.log ist sauber, die Ereignisanzeige ist fehlerfrei und alles sieht wunderbar aus.
Den herabgestuften DC werde ich nicht erneut zum DC befördern.

Ich werde Ende dieser Woche also den ersten Win2k8 R2 im Netz zum DC befördern. Wäre echt klasse, wenn das auch alles so reibungslos abläuft.
Vielen Dank nochmal an alle, besonders an Yusuf, für die tollen Hilfestellungen.

Viele Grüße
Joachim
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 25.05.2010 um 11:24:46 Uhr
Goto Top
Na das hört sich doch prima an.
Dann weiterhin viel Erfolg und ich bin sicher, dass wird schon gut gehen. face-wink

Gruß, Yusuf