44
Hochstufen eines 2008R2 zum DC
Hallo
Ich hab das Forum schon durchstöbert und bin von all den Infos grad ein wenig erschlagen, weil ich auch nicht exakt das gefunden habe, was ich suchte.
Bei einem Kunden läuft seit Jahren ein Windows Server 2003 32bit. Er ist der DC, verwaltet DNS und DHCP. Aufgrund eines Softwareupdates musste ein neuer Server her (2008R2 64bit). Diesen habe ich vor ca. einem Jahr als Memberserver in die Domäne aufgenommen. Mittlerweile wurde die letzte Software erneuert, die noch auf dem 2003er lief. D.h. eigentlich könnte der alte Server außer Betrieb genommen werden. Dazu soll der "neue" 2008er als DC hochgestuft werden, ebenso DNS und DHCP übernehmen. Es sind keine SBS, es läuft also kein Exchange.
Lässt sich dieser Umzug mit DCPromo machen?
Viele Grüße,
Klaus
Ich hab das Forum schon durchstöbert und bin von all den Infos grad ein wenig erschlagen, weil ich auch nicht exakt das gefunden habe, was ich suchte.
Bei einem Kunden läuft seit Jahren ein Windows Server 2003 32bit. Er ist der DC, verwaltet DNS und DHCP. Aufgrund eines Softwareupdates musste ein neuer Server her (2008R2 64bit). Diesen habe ich vor ca. einem Jahr als Memberserver in die Domäne aufgenommen. Mittlerweile wurde die letzte Software erneuert, die noch auf dem 2003er lief. D.h. eigentlich könnte der alte Server außer Betrieb genommen werden. Dazu soll der "neue" 2008er als DC hochgestuft werden, ebenso DNS und DHCP übernehmen. Es sind keine SBS, es läuft also kein Exchange.
Lässt sich dieser Umzug mit DCPromo machen?
Viele Grüße,
Klaus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207921
Url: https://administrator.de/forum/hochstufen-eines-2008r2-zum-dc-207921.html
Ausgedruckt am: 20.12.2024 um 16:12 Uhr
44 Kommentare
Neuester Kommentar
Hi,
zuerst musst du das Schema, Domain und Forrest auf dem 2003er auf 2008 hochstufen.
Dann musst du die FSMO-Rollen an den 2008er übergeben und natürlich auch den AD-integrierten DNS checken und ggf. anpassen/aufräumen.
Das sollte es eigentlich schon gewesen sein.
Nützliche Tipps hierzu hat AD-Guru Yusuf Dikmenoglu in seinem Blog: http://blog.dikmenoglu.de/
zuerst musst du das Schema, Domain und Forrest auf dem 2003er auf 2008 hochstufen.
Dann musst du die FSMO-Rollen an den 2008er übergeben und natürlich auch den AD-integrierten DNS checken und ggf. anpassen/aufräumen.
Das sollte es eigentlich schon gewesen sein.
Nützliche Tipps hierzu hat AD-Guru Yusuf Dikmenoglu in seinem Blog: http://blog.dikmenoglu.de/
Hallo,
liegt das Kennwort für den Administrator dass während der Installation des Active Directory hinterlegt wurde, vor FAlls ja, kannst Du dann mit dcpromo der neue DC hinzufügen.
LG, ticuta1
liegt das Kennwort für den Administrator dass während der Installation des Active Directory hinterlegt wurde, vor FAlls ja, kannst Du dann mit dcpromo der neue DC hinzufügen.
LG, ticuta1
@ticuta1
Dieses Kennwort wird nicht benötigt.
Dieses Kennwort wird nicht benötigt.
1
- Er ist Memberserver: OK
- Mache ihn zum DC: dcpromo
- Stell sicher, dass alles korrekt funktioniert.
- repadmin /showrepl - irgendwelche Fehler?
- repadmin /replsum - irgendwelche Fehler?
- Ist das SYSVOL Verzeichnis repliziert?
- Hast Du nicht AD-integrierte DNS Zonen? > Richte einen Slave ein, mache die Zone zum Master
- Hast Du nur AD-integrierte Zonen, musst Du nichts machen
- Nimm ein paar Clients und stelle deren DNS Server auf den neuen. Anmeldung, Internet, Zugriff auf Server - alles OK?
- Verschiebe die FSMO Rollen
- Ändere die DNS Eintellung der NIC auf die eigene IP
- Check die DNS Einstellungen, damit der neue DC komplett selbstständig auflösen kann (ohne den alten)
Bitte überprüfe bei jedem Schritt, ob alles läuft wie es soll.
Und dann erst installierst und konfigurierst Du den DHCP auf dem neuen. Gggf. erstellst Du einen DHCP Server Dump oder konfigurierst den neuen manuell, wenn es nicht soviele Einstellungen sind. Natürlich darauf achten, dass nicht beide gleichzeitig IP Adressen verteilen!
PS: das war jetzt nur ein grober Ablauf. Ich kenne Deine Umgebung nicht und kann Dir nicht gewährleisten, dass diese Vorgehensweise in Deiner Umgebung vollständig ist und funktioniert.
Informiere Dich bitte ob Du noch weitere Abhängikeiten vom DNS hast!
Wie gesagt: alle Infos ohne Gewähr. Wenn Du Dir nicht sicher bist, hole Dir jemanden vor Ort der Erfahrung hat.
- Mache ihn zum DC: dcpromo
- Stell sicher, dass alles korrekt funktioniert.
- repadmin /showrepl - irgendwelche Fehler?
- repadmin /replsum - irgendwelche Fehler?
- Ist das SYSVOL Verzeichnis repliziert?
- Hast Du nicht AD-integrierte DNS Zonen? > Richte einen Slave ein, mache die Zone zum Master
- Hast Du nur AD-integrierte Zonen, musst Du nichts machen
- Nimm ein paar Clients und stelle deren DNS Server auf den neuen. Anmeldung, Internet, Zugriff auf Server - alles OK?
- Verschiebe die FSMO Rollen
- Ändere die DNS Eintellung der NIC auf die eigene IP
- Check die DNS Einstellungen, damit der neue DC komplett selbstständig auflösen kann (ohne den alten)
Bitte überprüfe bei jedem Schritt, ob alles läuft wie es soll.
Und dann erst installierst und konfigurierst Du den DHCP auf dem neuen. Gggf. erstellst Du einen DHCP Server Dump oder konfigurierst den neuen manuell, wenn es nicht soviele Einstellungen sind. Natürlich darauf achten, dass nicht beide gleichzeitig IP Adressen verteilen!
PS: das war jetzt nur ein grober Ablauf. Ich kenne Deine Umgebung nicht und kann Dir nicht gewährleisten, dass diese Vorgehensweise in Deiner Umgebung vollständig ist und funktioniert.
Informiere Dich bitte ob Du noch weitere Abhängikeiten vom DNS hast!
Wie gesagt: alle Infos ohne Gewähr. Wenn Du Dir nicht sicher bist, hole Dir jemanden vor Ort der Erfahrung hat.
Hallo Benpunkt
Danke für die doch recht ausführliche Beschreibung. Das ist genau der Punkt. Bei all meinen Nachforschungen hab ich von "kein Problem, einfach nur....." bis "also: 1., 2., 3., 4......" alles gelesen. Und im Prinzip hast du mit der Aussage recht, jemanden da ran zu lassen der weiß was er tut.
Es ist im Grunde nur ein kleines Netz mit 6 Clients und festen IPs, aber dennoch möchte ich da nichts in den Sand setzen.
Evtl. wage ich es mit zuvor frisch erstellten Backups.
Dank an alle,
Klaus
Danke für die doch recht ausführliche Beschreibung. Das ist genau der Punkt. Bei all meinen Nachforschungen hab ich von "kein Problem, einfach nur....." bis "also: 1., 2., 3., 4......" alles gelesen. Und im Prinzip hast du mit der Aussage recht, jemanden da ran zu lassen der weiß was er tut.
Es ist im Grunde nur ein kleines Netz mit 6 Clients und festen IPs, aber dennoch möchte ich da nichts in den Sand setzen.
Evtl. wage ich es mit zuvor frisch erstellten Backups.
Dank an alle,
Klaus
Backups machen ist immer gut 
Hallo
So, heute war der Tag der Entscheidung. Ich hab noch eine andere, sehr ausführliche Anleitung zur Hilfe genommen, von beiden Maschinen kurz zuvor ein aktuelles Image gemacht und bis auf 2-3 Problemchen (die ich jedoch schnell googeln konnte) lief alles perfekt durch. Der "alte" ist abgeschaltet und der neue brummt munter vor sich hin.
Ich hab eigentlich nur eine Sache festgestellt, die ich heute nicht mehr lösen konnte. Nach dem Hochfahren des Servers dauert es eine ganze Weile (ich schätze mal 2-3 Minuten), bis ich eine Internetverbindung bekomme. Als würde der DNS hinterherhinken. Das muss ich noch unter die Lupe nehmen.
Vielen Dank nochmal an alle, besonders an Benpunkt!
Gruß,
Klaus
So, heute war der Tag der Entscheidung. Ich hab noch eine andere, sehr ausführliche Anleitung zur Hilfe genommen, von beiden Maschinen kurz zuvor ein aktuelles Image gemacht und bis auf 2-3 Problemchen (die ich jedoch schnell googeln konnte) lief alles perfekt durch. Der "alte" ist abgeschaltet und der neue brummt munter vor sich hin.
Ich hab eigentlich nur eine Sache festgestellt, die ich heute nicht mehr lösen konnte. Nach dem Hochfahren des Servers dauert es eine ganze Weile (ich schätze mal 2-3 Minuten), bis ich eine Internetverbindung bekomme. Als würde der DNS hinterherhinken. Das muss ich noch unter die Lupe nehmen.
Vielen Dank nochmal an alle, besonders an Benpunkt!
Gruß,
Klaus
Hi, super, na dann weiterhin viel Erfolg.
Vergiss nicht: Metadata Cleanup! Du musst das AD noch bereinigen, heißt, den alten DC richtig entfernen.
= dcpromo und die Deinstallation auf dem alten DC ausführen (Aber ACHTUNG: richtige Optionen für die Deinstallation auswählen)
Sonst bekommst Du Probleme, wenn der alte nicht ordentlich deinstallaiert/entfernt wird.
Ist es dafür schon zu spät, z.B. weil Du den alten Server schon gelöscht hat, dann musst Du das händisch erledigen:
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Am Schluss noch den DC aus Standorte und Dienste entfernen und aus DNS entfernen.
Und wie immer: alles mit äußerster Vorsicht und nur dann, wenn Du sicher bist zu wissen, was Du tust.
Grüße
Vergiss nicht: Metadata Cleanup! Du musst das AD noch bereinigen, heißt, den alten DC richtig entfernen.
= dcpromo und die Deinstallation auf dem alten DC ausführen (Aber ACHTUNG: richtige Optionen für die Deinstallation auswählen)
Sonst bekommst Du Probleme, wenn der alte nicht ordentlich deinstallaiert/entfernt wird.
Ist es dafür schon zu spät, z.B. weil Du den alten Server schon gelöscht hat, dann musst Du das händisch erledigen:
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Am Schluss noch den DC aus Standorte und Dienste entfernen und aus DNS entfernen.
Und wie immer: alles mit äußerster Vorsicht und nur dann, wenn Du sicher bist zu wissen, was Du tust.
Grüße
Hallo Benpunkt
Der alte Server steht unangetastet in der Ecke. Ich kann ihn jederzeit nochmal im Netz hochfahren und die Deinstallation durchführen. Ich schaue mir aber zuerst den Link an den du oben gepostet hast, den Details zur Deinstallation habe ich in meiner Anleitung nicht.
Sonntägliche Grüße,
Klaus
Der alte Server steht unangetastet in der Ecke. Ich kann ihn jederzeit nochmal im Netz hochfahren und die Deinstallation durchführen. Ich schaue mir aber zuerst den Link an den du oben gepostet hast, den Details zur Deinstallation habe ich in meiner Anleitung nicht.
Sonntägliche Grüße,
Klaus
Hallo
So, jetzt hab ich ein Problem. Ich wollte den alten Server herabstufen und DCPROMO hat behauptet, es wäre kein weiterer Domänencontroller im Netz. Als ich die Console des AD öffnen wollte, kam schon die erste Fehlermeldung es sei kein DC vorhanden. DCDIAG spuckt ebenfalls eine Reihe Fehler aus. Beim Übertragen der FSMO-Rollen wurden mir am Samstag beide Server angezeigt und alles schien problemlos zu funktionieren. Gemerkt hab ichs auch daran, dass die Clients untereinander nicht mehr aufeinander zugreifen können.
Was könnte passiert sein? Der "Alte" steht immer noch zur Verfügung.
Danke im voraus.
So, jetzt hab ich ein Problem. Ich wollte den alten Server herabstufen und DCPROMO hat behauptet, es wäre kein weiterer Domänencontroller im Netz. Als ich die Console des AD öffnen wollte, kam schon die erste Fehlermeldung es sei kein DC vorhanden. DCDIAG spuckt ebenfalls eine Reihe Fehler aus. Beim Übertragen der FSMO-Rollen wurden mir am Samstag beide Server angezeigt und alles schien problemlos zu funktionieren. Gemerkt hab ichs auch daran, dass die Clients untereinander nicht mehr aufeinander zugreifen können.
Was könnte passiert sein? Der "Alte" steht immer noch zur Verfügung.
Danke im voraus.
Weitere Infos:
Wenn der alte Server wieder im Netz hängt, bekomme ich auf dem neuen beim Aufruf von DCDIAG z.B. die folgende Meldung:
Starting test: Advertising
Achtung: bei dem Versuch SERVER2 (der neue) zu erreichen, wurden von DsGetDcName Informationen für \\server(der alte).kundendomain.local zurückgegeben. DER SERVER REAGIERT NICHT ODER GILT ALS UNGEEIGNET..........
SERVER2 hat den Test nicht bestanden.
Wenn der alte Server wieder im Netz hängt, bekomme ich auf dem neuen beim Aufruf von DCDIAG z.B. die folgende Meldung:
Starting test: Advertising
Achtung: bei dem Versuch SERVER2 (der neue) zu erreichen, wurden von DsGetDcName Informationen für \\server(der alte).kundendomain.local zurückgegeben. DER SERVER REAGIERT NICHT ODER GILT ALS UNGEEIGNET..........
SERVER2 hat den Test nicht bestanden.
Du hast nicht zufällig irgendwelche Image-Sicherungen benutzt?
Was sagt: netdom query fsmo
Was sagt: netdom query dc
?
Grüße
Was sagt: netdom query fsmo
Was sagt: netdom query dc
?
Grüße
Hier der komplette DCDIAG-log:
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SERVER2
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SERVER2
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Default-First-Site\SERVER2
Starting test: Connectivity
......................... SERVER2 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Default-First-Site\SERVER2
Starting test: Advertising
Achtung: Bei dem Versuch, SERVER2 zu erreichen, wurden von DsGetDcName
Informationen für \\server.kundendomain.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
......................... SERVER2 hat den Test Advertising nicht
bestanden.
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge
haben.
......................... SERVER2 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... SERVER2 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... SERVER2 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
Warnung. Ereignis-ID: 0x80000B46
Erstellungszeitpunkt: 07/02/2013 14:10:00
Ereigniszeichenfolge:
Sie können die Sicherheit dieses Verzeichnisservers deutlich verbess
ern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, K
erberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Inte
gritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (o
hne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients
derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese K
onfiguration beträchtlich.
......................... SERVER2 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... SERVER2 hat den Test KnowsOfRoleHolders
bestanden.
Starting test: MachineAccount
......................... SERVER2 hat den Test MachineAccount
bestanden.
Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=ForestDnsZones,DC=autohaus,DC=schruefer,DC=local
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine
Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=DomainDnsZones,DC=autohaus,DC=schruefer,DC=local
......................... SERVER2 hat den Test NCSecDesc nicht
bestanden.
Starting test: NetLogons
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt
werden. (\\SERVER2\netlogon)
[SERVER2] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der
Fehler 67 aufgetreten, Der Netzwerkname wurde nicht gefunden..
......................... SERVER2 hat den Test NetLogons nicht
bestanden.
Starting test: ObjectsReplicated
......................... SERVER2 hat den Test ObjectsReplicated
bestanden.
Starting test: Replications
......................... SERVER2 hat den Test Replications bestanden.
Starting test: RidManager
......................... SERVER2 hat den Test RidManager bestanden.
Starting test: Services
......................... SERVER2 hat den Test Services bestanden.
Starting test: SystemLog
Warnung. Ereignis-ID: 0x8000001D
Erstellungszeitpunkt: 07/02/2013 14:10:00
Ereigniszeichenfolge:
Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann k
ein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC
-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktion
iert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben w
urde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Z
ertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues
KDC-Zertifikat.
Warnung. Ereignis-ID: 0x00001695
Erstellungszeitpunkt: 07/02/2013 14:10:31
Ereigniszeichenfolge:
Die dynamische Registrierung oder das Löschen einer oder mehrerer DN
S-Einträge, die mit der DNS-Domäne "kundendomain.local." verknüpft sind, i
st gescheitert. Diese Einträge werden von anderen Computern verwendet, damit die
se Server entweder als Domänencontroller (wenn die angegebene Domäne eine Active
Directory-Domäne ist) oder als LDAP-Server (wenn die angegebene Domäne eine Anw
endungspartition ist) ermittelt werden können
Warnung. Ereignis-ID: 0x00001695
Erstellungszeitpunkt: 07/02/2013 14:10:32
Ereigniszeichenfolge:
Die dynamische Registrierung oder das Löschen einer oder mehrerer DN
S-Einträge, die mit der DNS-Domäne "DomainDnsZones.kundendomain.local." ve
rknüpft sind, ist gescheitert. Diese Einträge werden von anderen Computern verwe
ndet, damit diese Server entweder als Domänencontroller (wenn die angegebene Dom
äne eine Active Directory-Domäne ist) oder als LDAP-Server (wenn die angegebene
Domäne eine Anwendungspartition ist) ermittelt werden können
......................... SERVER2 hat den Test SystemLog bestanden.
Starting test: VerifyReferences
......................... SERVER2 hat den Test VerifyReferences
bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation
bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: autohaus
Starting test: CheckSDRefDom
......................... autohaus hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... autohaus hat den Test CrossRefValidation
bestanden.
Unternehmenstests werden ausgeführt auf: kundendomain.local
Starting test: LocatorCheck
......................... kundendomain.local hat den Test
LocatorCheck bestanden.
Starting test: Intersite
......................... kundendomain.local hat den Test
Intersite bestanden.
Hast Du am DNS schon was verändert?
Check mal die DNS Einstellungen. Die DCs müssen sich schon per DNS finden können.
Check mal die DNS Einstellungen. Die DCs müssen sich schon per DNS finden können.
DCDIAG /test:dns meldet:
C:\Users\Administrator.AUTOHAUS>dcdiag /test:dns
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SERVER2
C:\Users\Administrator.AUTOHAUS>dcdiag /test:dns
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SERVER2
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Default-First-Site\SERVER2
Starting test: Connectivity
......................... SERVER2 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Default-First-Site\SERVER2
Starting test: DNS
DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige
Minuten...
......................... SERVER2 hat den Test DNS bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Partitionstests werden ausgeführt auf: DomainDnsZones
Partitionstests werden ausgeführt auf: Schema
Partitionstests werden ausgeführt auf: Configuration
Partitionstests werden ausgeführt auf: autohaus
Unternehmenstests werden ausgeführt auf: kundendomain.local
Starting test: DNS
Testergebnisse für Domänencontroller:
Domänencontroller: SERVER2.kundendomain.local
Domäne: kundendomain.local
TEST: Basic (Basc)
Warning: The AAAA record for this DC was not found
TEST: Records registration (RReg)
Netzwerkadapter
[00000014] Intel(R) 82576 Gigabit Dual Port Network Connection
:
Warnung:
Fehlender AAAA-Eintrag beim DNS-Server 192.168.100.110:
SERVER2.kundendomain.local
Warnung:
Fehlender AAAA-Eintrag beim DNS-Server 192.168.100.110:
gc._msdcs.kundendomain.local
Warnung:
Fehlender AAAA-Eintrag beim DNS-Server ::1:
SERVER2.kundendomain.local
Warnung:
Fehlender AAAA-Eintrag beim DNS-Server ::1:
gc._msdcs.kundendomain.local
Achtung: Die Eintragsregistrierungen wurden auf einigen
Netzwerkadaptern nicht gefunden.
SERVER2 PASS WARN PASS PASS PASS WARN n/a
......................... kundendomain.local hat den Test DNS
bestanden.
Okay, er kann keine IPv6 Einträge erstellen.
Aber nochmal: hast Du an den DNS Einstellungen schon was gemacht? Was?
Adaptereinstellungen? DNS Weiterleitungen?
Aber nochmal: hast Du an den DNS Einstellungen schon was gemacht? Was?
Adaptereinstellungen? DNS Weiterleitungen?
Der DNS-Manager meldet in regelmäßigen Abständen den Fehler 4013. Irgendwie klappt die Erstsynchronisation nicht. Es fehlen wichtige DNS-Daten.
Wie kann ich die replizieren? Auf dem alten Server kann ich wohl exportieren, auf dem neuen jedoch nicht importieren.
Wie kann ich die replizieren? Auf dem alten Server kann ich wohl exportieren, auf dem neuen jedoch nicht importieren.
Worauf ich hinaus will:
In meiner ersten groben Anleitung habe ich Dir geraten:
"- Ändere die DNS Eintellung der NIC auf die eigene IP
- Check die DNS Einstellungen, damit der neue DC komplett selbstständig auflösen kann (ohne den alten)"
Du musst das wieder rückgängig machen und dann nochmal die Replikation prüfen.
Die DNS Einstellungen ändern kommt wirklich erst ganz zum Schluss (also nachdem der alte weg/sauber entfernt worden ist)
In meiner ersten groben Anleitung habe ich Dir geraten:
"- Ändere die DNS Eintellung der NIC auf die eigene IP
- Check die DNS Einstellungen, damit der neue DC komplett selbstständig auflösen kann (ohne den alten)"
Du musst das wieder rückgängig machen und dann nochmal die Replikation prüfen.
Die DNS Einstellungen ändern kommt wirklich erst ganz zum Schluss (also nachdem der alte weg/sauber entfernt worden ist)
Und anschließend bitte mal netdom query fsmo und sicherstellen dass die FSMO Rollen auch wirklich umgezogen sind.
Führe den Befehl dann ruhig mal auf beiden aus.
Führe den Befehl dann ruhig mal auf beiden aus.
Also geb ich der NIC wieder die Adresse des alten Servers......
Muss die Erstsynchronisation dann manuell angestoßen werden?
Muss die Erstsynchronisation dann manuell angestoßen werden?
Nein, die Replikation sollte dann von alleine anlaufen. Warte dann ruhig mal mindestens 15 Minuten.
Hier nochmal die Befehle um die Replikation zu prüfen
repadmin /showrepl
repadmin /replsum
Dann nochmal die FSMO Rollen prüfen!
Hier nochmal die Befehle um die Replikation zu prüfen
repadmin /showrepl
repadmin /replsum
Dann nochmal die FSMO Rollen prüfen!
Der neue zeigt an, dass er bei allen Rollen eingetragen ist. netdom kennt der 2003er nicht?
kann sein, dass das nach installiert werden muss, aber ok. Eigentlich reichts auch wenn es der neue sagt.
So sieht es jetzt aus:
Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführ
t
Default-First-Site\SERVER2
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: eb6ba83b-8c18-4ad4-952b-7a84ebec2559
DSA-Aufrufkennung: 7fd0a742-3617-429c-af12-7aa0f40b6cd2
EINGEHENDE NACHBARN=====================================
DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 15:10:32 war erfolgreich.
CN=Configuration,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 15:15:30 war erfolgreich.
CN=Schema,CN=Configuration,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 14:55:01 war erfolgreich.
DC=DomainDnsZones,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 15:04:54 war erfolgreich.
DC=ForestDnsZones,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 14:55:02 war erfolgreich.
C:\Users\Administrator.AUTOHAUS>repadmin /replsum
Startzeit der Replikationszusammenfassung: 2013-07-02 15:18:55
Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
.....
Quell-DSA Größtes Delta Fehler/gesamt %% Fehler
SERVER 23m:54s 0 / 5 0
SERVER2 31m:08s 0 / 5 0
Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler
SERVER 31m:23s 0 / 5 0
SERVER2 23m:54s 0 / 5 0
Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführ
t
Default-First-Site\SERVER2
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: eb6ba83b-8c18-4ad4-952b-7a84ebec2559
DSA-Aufrufkennung: 7fd0a742-3617-429c-af12-7aa0f40b6cd2
EINGEHENDE NACHBARN=====================================
DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 15:10:32 war erfolgreich.
CN=Configuration,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 15:15:30 war erfolgreich.
CN=Schema,CN=Configuration,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 14:55:01 war erfolgreich.
DC=DomainDnsZones,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 15:04:54 war erfolgreich.
DC=ForestDnsZones,DC=autohaus,DC=xxxx,DC=local
Default-First-Site\SERVER über RPC
DSA-Objekt-GUID: 54f219ab-14c6-4c25-8284-eadf191fc2bb
Letzter Versuch am 2013-07-02 14:55:02 war erfolgreich.
C:\Users\Administrator.AUTOHAUS>repadmin /replsum
Startzeit der Replikationszusammenfassung: 2013-07-02 15:18:55
Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
.....
Quell-DSA Größtes Delta Fehler/gesamt %% Fehler
SERVER 23m:54s 0 / 5 0
SERVER2 31m:08s 0 / 5 0
Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler
SERVER 31m:23s 0 / 5 0
SERVER2 23m:54s 0 / 5 0
Schaut doch ganz gut aus, oder?
Hast Du sonst noch irgendwelche Merkwürdigkeiten? Wie läuft die Domäne aus Deiner Sicht? (Weil Du vorhin einige Probleme geschildert hast)
Hast Du sonst noch irgendwelche Merkwürdigkeiten? Wie läuft die Domäne aus Deiner Sicht? (Weil Du vorhin einige Probleme geschildert hast)
Okay, nur dass ich es richtig verstanden habe: ich stufe den alten per DCPROMO herab als Memberserver und ändere dann erst die Einstellungen für DNS an der NIC des neuen?
Jep,
aber vielleicht machst Du erst nochmal ein System State Backup!
- Dann den Alten DC herabstufen per dcpromo
- Rebooten
- Prüfen ob alles läuft
- Dann die Konsole "Active Directory Standorte und Dienste" aufrufen und unter dem entsprechenden Knoten den alten Server entfernen
-Dann in der Konsole "DNS" die Einträge entfernen, die auf den alten verweisen.
Dann mit repadmin, netdom und dcdiag die Domänbe prüfen. Es sollten keine Fehler mehr auftauchen bzgl. des alten Servers. Der sollte komplett verschwunden sein.
aber vielleicht machst Du erst nochmal ein System State Backup!
- Dann den Alten DC herabstufen per dcpromo
- Rebooten
- Prüfen ob alles läuft
- Dann die Konsole "Active Directory Standorte und Dienste" aufrufen und unter dem entsprechenden Knoten den alten Server entfernen
-Dann in der Konsole "DNS" die Einträge entfernen, die auf den alten verweisen.
Dann mit repadmin, netdom und dcdiag die Domänbe prüfen. Es sollten keine Fehler mehr auftauchen bzgl. des alten Servers. Der sollte komplett verschwunden sein.
Ich habe DCPROMO auf dem alten aufgerufen weil ich sehen wollte, ob er immer noch der Meinung ist dass er der einzige DC in der Gesamtstruktur sei. Und er ist immer noch der Meinung. Kann die Replikation so lange dauern (kleines Netz ... 6 Clients) oder habe ich nach wie vor ein anderes Problem? Wenn ich DCDIAG aufrufe, bekomme ich den Fehler beim Test NCSecDesc "NT-Authorität\Domänencontroller der Organisation besitzt keine Replication Directory Changes in Filtered Set.
Ein Microsoft Mitarbeiter hat mir mal gesagt, dass man bei DCDIAG wissen muss, welche Fehler man ignorieren kann, heißt, es gibt fast immer Fehler, aber diesen hier scheint man laut Yusuf in Deinem Fall igonoreren zu können:
http://blog.dikmenoglu.de/PermaLink,guid,5b7b4b38-dd36-44bb-8998-4656da ...
Wenn es mit DCPOMO nicht geht, kannst Du die Domäne auch händisch bereinigen.
http://blog.dikmenoglu.de/PermaLink,guid,5b7b4b38-dd36-44bb-8998-4656da ...
Wenn es mit DCPOMO nicht geht, kannst Du die Domäne auch händisch bereinigen.
Aber:
stell doch mal die NIC des alten um: DNS Server sollte auf den neuen verweisen.
stell doch mal die NIC des alten um: DNS Server sollte auf den neuen verweisen.
Generell sollten DCs sich bei DNS Anfragen immer gegenseitig nutzen
Jaja, Fehler ignorieren ... da muss man sich nur mal anschauen, was Sharepoint so alles an Meldungen produziert die ignoriert werden können ;)
So, die Clients können wieder aufeinander zugreifen. DCPROMO sieht den neuen immer noch nicht, aber dann mach ich das halt manuell.
So, die Clients können wieder aufeinander zugreifen. DCPROMO sieht den neuen immer noch nicht, aber dann mach ich das halt manuell.
Das ist relativ simpel, folge der Anleitung insbesondere ab dem Punkt:
"Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen"
"Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen"
Nur noch eins für heute: wenn ich den alten momentan vom Netz nehme, passt wieder einiges nicht mehr ... die Clients können nicht auf einander zugreifen, die Anmeldung an der Domäne dauert ewig...... das liegt nur noch daran dass einige Aktionen auf dem alten landen, richtig?
DCDIAG meldet noch einen Fehler bezüglich des netlogon.
Aber gut, ich mach noch sicherheitshalber das aktuelle Backup und dann führe ich die Bereinigung durch. Dann passt hoffentlich alles....
DCDIAG meldet noch einen Fehler bezüglich des netlogon.
Aber gut, ich mach noch sicherheitshalber das aktuelle Backup und dann führe ich die Bereinigung durch. Dann passt hoffentlich alles....
Okay, ich geb auf. Es klappt nicht. Den alten kann ich mit DCPROMO nicht herunterstufen weil er den neuen nicht sieht. Den alten vom Netz genommen, DNS auf neuen in der NIC eingestellt und NTDSUTIL will den Servernamen des alten bei "Connect to Server" nicht akzeptieren. Muss ich den DC vom alten wirklich mit Gewalt entfernen? DCPROMO /FORCEREMOVAL ?
Hast Du noch den DHCP beim Altem am Laufen? Eventuell verteilt der noch ungültige Einstellungen bzgl DNS, und wenn dann der alte weg ist, ist der zugeteilte DNS weg...
DNS ist das A und O im AD Umfeld.
Die meisten AD Probleme hängen mit dem DNS zusammen. Wenn es ein Problem mit AD gibt, prüfe DNS, wenn das Problem immer noch besteht: schau genauer im DNS.
Mit NTSUTIL kannst Du die Metadaten bereinigen, auch wenn der alte wegen einem Hardware Defekt ausgefallen ist. Deshalb macht man das eigentlich.
Connect to Server = das meint den Server, auf dem Du bist, also der neue. Du kannst Dich logischerweise nicht mehr mit dem Alten verbinden. Damit verbindest Du das Tool explizit mit dem DC, auf dem die Änderungen ausgeführt werden sollen: also dem neuen.
DNS ist das A und O im AD Umfeld.
Die meisten AD Probleme hängen mit dem DNS zusammen. Wenn es ein Problem mit AD gibt, prüfe DNS, wenn das Problem immer noch besteht: schau genauer im DNS.
Mit NTSUTIL kannst Du die Metadaten bereinigen, auch wenn der alte wegen einem Hardware Defekt ausgefallen ist. Deshalb macht man das eigentlich.
Connect to Server = das meint den Server, auf dem Du bist, also der neue. Du kannst Dich logischerweise nicht mehr mit dem Alten verbinden. Damit verbindest Du das Tool explizit mit dem DC, auf dem die Änderungen ausgeführt werden sollen: also dem neuen.
Guten Morgen
Ja, der DHCP läuft noch am alten wenn der hochgefahren ist. Gut, dann deinstalliere ich das dort.
Die beiden Server und alle Clients haben IPs fest zugewiesen. Lediglich WLAN-Geräte bekommen IPs verteilt.
Bei "connect to Server" habe ich den neuen angegeben SERVER2. Es kommt immer die Meldung "Ungültige Syntax". Ich habe den DNS-Cache gelöscht und alles mögliche versucht, aber es ist wohl (wie du ja schreibst) ein grundlegendes Problem mit dem DNS. Deshalb kann der alte in DCPROMO auch den neuen DC nicht sehen. Ich kann deswegen nichts machen. Da läßt sich auch der alte nicht aus den Standorten löschen. Und der neue ist nicht voll funktionsfähig.
Nochmal zum DNS: da stehen überall beide Server in allen Einträgen drinnen. Das ist doch so auch okay?
Ich hab gestern im Prinzip nur noch planlos geklickt ... ich war zu lange dran gesessen... das brachte nichts mehr.
Ja, der DHCP läuft noch am alten wenn der hochgefahren ist. Gut, dann deinstalliere ich das dort.
Die beiden Server und alle Clients haben IPs fest zugewiesen. Lediglich WLAN-Geräte bekommen IPs verteilt.
Bei "connect to Server" habe ich den neuen angegeben SERVER2. Es kommt immer die Meldung "Ungültige Syntax". Ich habe den DNS-Cache gelöscht und alles mögliche versucht, aber es ist wohl (wie du ja schreibst) ein grundlegendes Problem mit dem DNS. Deshalb kann der alte in DCPROMO auch den neuen DC nicht sehen. Ich kann deswegen nichts machen. Da läßt sich auch der alte nicht aus den Standorten löschen. Und der neue ist nicht voll funktionsfähig.
Nochmal zum DNS: da stehen überall beide Server in allen Einträgen drinnen. Das ist doch so auch okay?
Ich hab gestern im Prinzip nur noch planlos geklickt ... ich war zu lange dran gesessen... das brachte nichts mehr.
Dann bist Du auf der falschen Ebene von NTSUTIL. Folge bitte genau der Anleitung.
Der alte sollte eben auch gar nicht mehr am Netz hängen, wenn Du die Bereinigung mit NTSUTIL ausführst.
Der alte sollte eben auch gar nicht mehr am Netz hängen, wenn Du die Bereinigung mit NTSUTIL ausführst.
Hm... eigentlich bin ich nach Anleitung vorgegangen. Ich versuch das nochmal sobald ich wieder vor-Ort bin (den alten hatte ich vom Netz).
Hallo nochmal
Gestern war ich beim Kunden und habe NTDSUTIL erfolgreich durchgeführt und auch anschließend den DNS manuell von allen Einträgen befreit, die auf den alten Server verwiesen haben. Aber der neue DC funktioniert nach wie vor nicht. DCDIAG spuckt eine ganze Reihe Fehler aus. Der DNS scheint nach wie vor Probleme mit dem neuen zu haben. Es wird kein aktiver Domänencontroller gefunden. Etliche Tests sagen im Prinzip immer aus, dass der Server nicht gefunden werden konnte. Lässt sich denn der DNS nicht "nachkonfigurieren"? Das ist ein kleines Netz mit 5 Clients. Im Prinzip können die wohl arbeiten, weil auf die installierte Software einfach per Freigabe zugegriffen wird. Es existiert kein Exchange. Nur können die Clients eben nicht aufeinander zugreifen.... was jedoch schon wichtig wäre.
Den Fehler 4013 habe ich auch noch im DNS. Aber beide Server liefen 4 Tage parallel. Die Synchronisierung hätte doch längst abgeschlossen sein müssen.
Gruß,
Klaus
Gestern war ich beim Kunden und habe NTDSUTIL erfolgreich durchgeführt und auch anschließend den DNS manuell von allen Einträgen befreit, die auf den alten Server verwiesen haben. Aber der neue DC funktioniert nach wie vor nicht. DCDIAG spuckt eine ganze Reihe Fehler aus. Der DNS scheint nach wie vor Probleme mit dem neuen zu haben. Es wird kein aktiver Domänencontroller gefunden. Etliche Tests sagen im Prinzip immer aus, dass der Server nicht gefunden werden konnte. Lässt sich denn der DNS nicht "nachkonfigurieren"? Das ist ein kleines Netz mit 5 Clients. Im Prinzip können die wohl arbeiten, weil auf die installierte Software einfach per Freigabe zugegriffen wird. Es existiert kein Exchange. Nur können die Clients eben nicht aufeinander zugreifen.... was jedoch schon wichtig wäre.
Den Fehler 4013 habe ich auch noch im DNS. Aber beide Server liefen 4 Tage parallel. Die Synchronisierung hätte doch längst abgeschlossen sein müssen.
Gruß,
Klaus
Update: die beiden Freigaben "sysvol" und "netlogon" waren weg bzw. noch gar nicht da. Ich habe sie generieren lassen und DCDIAG sieht nun etwas freundlicher aus. Auch der Domänencontroller hat seinen Dienst aufgenommen. Am Montag kann ich erst sehen was passiert wenn sich ein Client an der Domäne anmeldet.
Viele Grüße,
Klaus
Viele Grüße,
Klaus
Hi Klaus,
kann mir gar nicht vorstellen, wie das passieren kann, dass SYSVOL und NETLOGON nicht vorhanden waren, aber man lernt ja nie aus...
Die Benutzer melden sich an ihren Clients aber schon mit dem Domänenbenutzerkonto an? Weil das schon sehr komisch ist: Anmeldung geht, aber der Zugriff auf Netzwerkressourcen bereitet Probleme...
Grüße
kann mir gar nicht vorstellen, wie das passieren kann, dass SYSVOL und NETLOGON nicht vorhanden waren, aber man lernt ja nie aus...
Die Benutzer melden sich an ihren Clients aber schon mit dem Domänenbenutzerkonto an? Weil das schon sehr komisch ist: Anmeldung geht, aber der Zugriff auf Netzwerkressourcen bereitet Probleme...
Grüße
Hallo Benpunkt
Hat mich auch gewundert. Aber ich habe danach gegoogelt und es scheint keine Seltenheit.
Die Anmeldung hatte halt sehr lange gedauert (Win7 Clients - die meckern ja nicht unbedingt wenn die Anmeldung nicht klappt ... dann wird halt lokal angemeldet).
Das funktioniert jetzt alles wieder prima und sehr schnell.....
Das einzige was nun noch in DCDIAG auftaucht, ist der Fehler, auf ein Gruppenrichtlinienobjekt nicht zugreifen zu können. Auf dem alten Server waren zwei Objekte da, auf dem neuen wurde nie eins angelegt. Aber durch die Replikation stehen sie in der Gruppenrichtlinienverwaltung drinnen. Ich habe sie dort zunächst einmal deaktiviert.
Viele Grüße,
Klaus
Hat mich auch gewundert. Aber ich habe danach gegoogelt und es scheint keine Seltenheit.
Die Anmeldung hatte halt sehr lange gedauert (Win7 Clients - die meckern ja nicht unbedingt wenn die Anmeldung nicht klappt ... dann wird halt lokal angemeldet).
Das funktioniert jetzt alles wieder prima und sehr schnell.....
Das einzige was nun noch in DCDIAG auftaucht, ist der Fehler, auf ein Gruppenrichtlinienobjekt nicht zugreifen zu können. Auf dem alten Server waren zwei Objekte da, auf dem neuen wurde nie eins angelegt. Aber durch die Replikation stehen sie in der Gruppenrichtlinienverwaltung drinnen. Ich habe sie dort zunächst einmal deaktiviert.
Viele Grüße,
Klaus
Hi,
ggf. die GPOs löschen und neu anlegen. Vllt. hilft das schon
ggf. die GPOs löschen und neu anlegen. Vllt. hilft das schon
