krisk
Goto Top

Kein Zugriff mehr auf SQL nach Hochstufung zum DC

Guten Morgen,

ich habe einen Server2012 zum Domänencontroller hochgestuft und seitdem keinen Zugriff mehr auf meine 2 SQL Instanzen. Mir ist klar, dass bei einer Neuinstallation von SQL auf einem DC eine Fehlermeldung erscheint. Trotzdem funktioniert es, wenn man die Anmeldung des Dienstes bei der Installation ändert. Bei mir war SQL aber schon installiert und daher habe ich keine gute Idee wie ich das jetzt ändern kann. Habe schon Google befragt aber keine Lösung gefunden.

Hat jemand vielleicht eine Idee.

Danke Gruß KrisK

Content-ID: 318831

Url: https://administrator.de/forum/kein-zugriff-mehr-auf-sql-nach-hochstufung-zum-dc-318831.html

Ausgedruckt am: 26.12.2024 um 15:12 Uhr

wiesi200
wiesi200 22.10.2016 um 10:10:50 Uhr
Goto Top
Hallo,

wenn dir klar war das es bei ner Installation zu nem Fehler kommt warum hast du das dann so versucht zu umgehen?

Ich wür nen neuen Server mit SQL installieren der NICHT DOmain Controller ist und da dann die Datenbanken rein packen. Bein ner kleinen Umgebung.
KrisK
KrisK 22.10.2016 um 10:22:56 Uhr
Goto Top
Hallo,

na weil es ja auch irgendwie funktionieren muss. Eine Neuinstallation bekommt man ja auch lauffähig auf einem Server2012 DC.
Klar, zur Not ziehe ich den SQL Server um aber vielleicht gibt es ja auch so eine Lösung.

Gruß
wiesi200
wiesi200 22.10.2016 um 10:27:24 Uhr
Goto Top
In DomainConroller sollte nur das sein und sonst nicht's
131223
131223 22.10.2016 aktualisiert um 10:52:57 Uhr
Goto Top
Zitat von @wiesi200:
In DomainConroller sollte nur das sein und sonst nicht's
Eben, ein DC bleibt ein DC bleibt ein DC und sonst nichts. Ein SQL hat da drauf nichts zu suchen.
Viele unterschätzen einfach welch wichtige Funktion dieser im Netz hat.

An den Diensten muss man nicht herumspielen. Stelle sicher das der SQL-Port in der Firewall offen ist und die TCP-Dienste auf dem richtigen Port lauschen und aktiviert sind (SQL Dienste Manager). Dann läuft das auch auf einem DC (aber bitte nicht für Produktivbetrieb!!), ansonsten Instanz nochmal drüber bügeln.
KrisK
KrisK 22.10.2016 um 12:19:59 Uhr
Goto Top
Das habe ich alles schon getestet.

-Firewall ist deaktiviert und TCP ist mit dem Standard Port aktiviert.

Leider ohne den gewünschten Erfolg.
GuentherH
GuentherH 22.10.2016 um 14:00:55 Uhr
Goto Top
und seitdem keinen Zugriff mehr auf meine 2 SQL Instanzen

Ist eigentlich logisch. Ein SQL Server hat einige Dienstkonten unter denen er läuft. Beim Hochstufen des Server zum DC wird die lokale Benutzerdatenbank deaktiviert und ist jedes der bei der Installation des SQL Server angelegten Dienstkonto ist verschwunden.

LG Günther
Vision2015
Vision2015 22.10.2016 um 15:00:17 Uhr
Goto Top
Zitat von @KrisK:

Hallo,
tach..

na weil es ja auch irgendwie funktionieren muss. Eine Neuinstallation bekommt man ja auch lauffähig auf einem Server2012 DC.
wiso muss das funktionieren? wenn MS sagt das soll so nicht, kannst du nicht sagen das muss!
eine Neuinstallation muss auch nicht funktionieren- kann aber!
schau dir mal die rechte der SQL Dienste an- dann geht dir bestimmt ein licht auf face-smile

Klar, zur Not ziehe ich den SQL Server um aber vielleicht gibt es ja auch so eine Lösung.
wäre die bessere lösung....

Gruß
Frank
KrisK
KrisK 22.10.2016 um 15:55:09 Uhr
Goto Top
Hallo zusammen,

ja ich werde die Instanzen auch umziehen aber nicht an diesem Wochenende.
Das mit den Dienstkonten habe ich schon vermutet aber leider geht mir kein Licht auf face-smile
Das ist ja genau das was ich meinte mit dem SQL Dienst. Bei einer Neuinstallation muss er einfach auf Netzwerkdienst gestellt werden.
Leider geht das hier nicht.

Ansonsten bin ich eigentlich für heute durch aber es wäre schön wenn die Anwendung am Montag laufen würde face-smile

Gruß KrisK
Pjordorf
Pjordorf 22.10.2016 um 16:36:25 Uhr
Goto Top
Hallo,

Zitat von @KrisK:
Das mit den Dienstkonten habe ich schon vermutet aber leider geht mir kein Licht auf face-smile
Lokale Konten gibt es auf einen DC nicht mehr. Da gibt es nur noch Domänen Konten. DC ungleich ein lokaler allein laufender Server.

Bei einer Neuinstallation muss er einfach auf Netzwerkdienst gestellt werden.
Da muss eher gar nichts umgestellt werden. Das Lokale Systemkonto reicht alle mal. Der SQL Server läuft ja nur auf dieser Maschine. Nix netzwerk Und diese Lokalen Konten existieren nun mal nicht auf einen DC Hättest du diesen Server als Memberserver (Mitgliedsserver der neu zu erstellenden Domäne = 2.ten Server als DC) gemacht, hättest du jetzt nicht dein Hausgemachtes Problem. Auch das entfernen (Demote) deines DC hilft dir nicht denn da gibt es dann zwar neue Lokale Konten, aber da sich die Computer SID auch wieder ändert, nutzen dir dir auch nicht.

Leider geht das hier nicht.
Das geht nirgendwo

Ansonsten bin ich eigentlich für heute durch aber es wäre schön wenn die Anwendung am Montag laufen würde face-smile
Nimm deine Datensicherung von vorher und schmeiss deine Domäne weg - dann läuft der SQL wieder aber halt was mit deiner neuen Domäne zu tun hat nicht mehr, oder du musst dich eben doch (auch wenn du heute nichts mehr tun wolltest) mit Dienst und Benutzerkonten sowie Firewall im Domänenumfeld rumschlagen oder du machst heute doch noch einen neuen Server (Domänen MemberServer oder Standalone) und bringst dort mit dem "Lokales Systemkonto" dein SQL Server wieder zum laufen.

Ein DC ist ein DC ist ein DC ist ein DC - auch wenn du meinst das alles Ignorieren zu können. Ein SQL gehört nicht auf ein DC - entweder Standalone Server oder ein Memberserver. Und auch deiner Vorgehensweise ist keine nachlässigkeit vom Hersteller, der weis nur das alles was auf ein Server schon Installiert ist oder läuft dir fast ausnahmslos verloren geht beim Hochstufen zu einem DC. Deshalt wird ein Server OS installiert und sofort hochgestuft - alles andere ist vertane Zeit und bring nur Probleme.

Gruß,
Peter
emeriks
emeriks 22.10.2016 aktualisiert um 17:23:40 Uhr
Goto Top
Hi,
Nimm deine Datensicherung von vorher und schmeiss deine Domäne weg
@Pjordorf Du meinst sicher, den Server wieder zu demoten. Die Domäne muss deswegen nicht gelöscht werden.

seitdem keinen Zugriff mehr auf meine 2 SQL Instanzen.
@KrisK
D.h. also der SQL-Serverdienst startet noch, aber Du kommst nicht mehr ran?
(Edit: Das Konto, unter welchem der SQL-Server-Dienst läuft, ändert daran gar nichts. Also irrelevant.)
Hast Du bei der Installation keinen SA-User eingerichtet? Mit diesen kommst Du immer wieder an die DB ran und kannst andere Konten/Gruppen (jetzt aus der Domäne) berechtigen.
Mal angesehen davon, dass auch ich der Meinung bin, dass der SQL-Server kein DC werden sollte, könntest Du jetzt wie folgt vorgehen:
  1. Server wieder zum Member demoten
  2. Systemstatus aus Backup wiederherstellen
  3. Server ggf. nochmal zur Domäne hinzufügen (Aus- und Wiedereintritt)
  4. mit SQL-Admin-Konto am SQL-Server anmelden
  5. SA User aktivieren
wenn es denn unbedingt sein muss/soll
  1. Server wieder zum DC promoten
  2. mit dem SA anmelden
  3. Berechtigungen neu vergeben

E.
KrisK
KrisK 22.10.2016 um 17:40:29 Uhr
Goto Top
Hallo,

ich habe eine Datensicherung der kompletten vm vor der Hochtufung erstellt, daher werde ich am Montag eine neue Maschine für die SQL Datenbanken erstellen und SQL vom dc entfernen.

Dann habe ich einen sauberen Betrieb.
Es kann am Montag zum Glück auch ohne diese DBs gearbeitet werden.


Danke für die Unterstützung

Gruß und ein schönes Wochenende.
Pjordorf
Pjordorf 22.10.2016 um 18:47:36 Uhr
Goto Top
Hallo,

Zitat von @emeriks:
Du meinst sicher, den Server wieder zu demoten. Die Domäne muss deswegen nicht gelöscht werden.
Nö, im Kontext das der TO für heute Ferig sein und am Montag alles wieder laufen muss, bezog sich meine Antwort. "Hat er (ja hat er) eine Datensicherung der Maschine von vor dem DC aufsetzen" dann bedeutet die Zurückspielen der Sicherung eben das sein DC weg ist und da ich nirgends was gelesen habe das dies nicht der einzige DC sei face-smile

D.h. also der SQL-Serverdienst startet noch, aber Du kommst nicht mehr ran?
Wir hier haben alle vermutet das er meint das der SQL Server selbst nicht mehr started. Lokale Konten sind ja nicht neicht mehr vorhanden nachdem das nun ein DC ist. Bei einem MemberServer wären die wenigstens noch vorhanden.....

(Edit: Das Konto, unter welchem der SQL-Server-Dienst läuft, ändert daran gar nichts. Also irrelevant.)
Ack

Gruß,
Peter
KrisK
KrisK 22.10.2016 um 19:08:06 Uhr
Goto Top
Der Dienst startet auch und ich sehe die Datenbanken im Management Studio. Änderung des Zugriffs mit sa lässt er aber nicht zu.

Es wäre halt schön gewesen, dass mit einfachen Mitteln wieder zum Laufen zu bekommen aber jetzt deinstalliere ich morgen beide Instanzen und packe diese am Montag auf eine neue Maschine.
emeriks
emeriks 22.10.2016 um 20:55:34 Uhr
Goto Top
Es wäre halt schön gewesen, dass mit einfachen Mitteln wieder zum Laufen zu bekommen aber jetzt deinstalliere ich morgen beide Instanzen und packe diese am Montag auf eine neue Maschine.
Wäre es nicht einfacher, den Server zu demoten (damit er as dem AD verschwindet, falls das nicht der einzige DC ist) und dann die VM 1:1 wiederherzustellen und dann eine weitere VM zum DC zu machen?
KrisK
KrisK 23.10.2016 um 13:10:00 Uhr
Goto Top
Ja das muss ich mir morgen mal überlegen. Habe auch schon drüber nachgedacht.
Würde dann einen einen neuen Server2012 aufsetzen (werde ich in Zukunft immer so machen face-smile)und den zum DC machen.


Gruß KrisK
Pjordorf
Pjordorf 23.10.2016 um 13:19:52 Uhr
Goto Top
Hallo,

Zitat von @KrisK:
und den zum DC machen.
Ist denn dein nun verbockter SQL welcher ja jetzt auch DC ist, dein *+einziger** DC oder gibt es noch weitere DCs in deiner Produktiven Umgebung? Dein vorgehen hängt davon ab ob es nur ein weiterer DC in ein bestehen des AD war oder ob es wirklich der Erste und einzige DC ist?

Gruß,
Peter
KrisK
KrisK 23.10.2016 um 13:44:59 Uhr
Goto Top
Hallo,

er ist jetzt der einzige DC. Die Frage ist, wie er sich verhält, wenn ich ihn wieder zum Memberserver mache. Wenn er dann wieder läuft würde ich wahrscheinlich so vorgehen.

GRuß KRisK
Pjordorf
Pjordorf 23.10.2016 um 14:20:56 Uhr
Goto Top
Hallo,

Zitat von @KrisK:
er ist jetzt der einzige DC.
Autsch

Die Frage ist, wie er sich verhält, wenn ich ihn wieder zum Memberserver mache.
Er macht das was er schon gemacht hat. Er schmeisst deine Domänen Eigenschaften alle weg und m acht wieder neue Lokale KOnten. Diese können, müssen aber nicht für dein SQL gut sein, denn Konten die vorher existierten sind eben schon allegelöscht worden. Nein, er hat keine Kopie davon noch hat er kentniss was für welche es mal waren. Ist wie ein neuer Rechner.

Wenn er dann wieder läuft würde ich wahrscheinlich so vorgehen.
Du hast keinen Plan von dem was du tust. Du machst alles nur noch schlimmer. Es sein denn deine eine VM stellt das ganze Produktive Netz da und dir ist die Domäne egal bzw. darf ruhiog gelöscht werden.

1: Zuerst einen weiteren Server 2012 / 2012R2 aufsetzen. Diesen dann direkt zum weiteren DC in deiner vorhandenen Domäne machen. FSMO Rollen inkl. GC etc. übertragen, DNS und besonders DHP schauen das dort alles läuft (DHCP nur auf einen laufen lassen.) Warten bis mit der Replikation alles richtig ist. Ereignisprotokolle sauber? Evtl vorhandenen Freigaben sichern und mittels Robocopy alles wegsichern oder direkt auf den neuen DC.
https://support.microsoft.com/de-de/kb/125996
Freigaben wegen Serveraustausch von alten Windows-Server auf neuen Server übernehmen
https://remoteshell.wordpress.com/2013/08/28/freigaben-eines-windows-ser ...
DNS und DHCP am ersten (dein verbockter DC) DC entfernen. 2 Tage warten bis du sicher bist das alles sauber läuft (DCDiag etc, nicht vergessen) danach den verbockten DC entfernen (Demoten und entfernen) Ob dein SQL jetzt wieder tut? Bleibt fraglich. Läuft dein SQL dann diesen nun Standalone Server zum Memv´berserver machen (Kein DC). Ferdisch. Läuft dein SQL nicht siehe Anregungen oben.

Ist die Domäne wurscht, vergiss Punkt 1: Vorgehen nach eigenen gutdünken

Wer einen Porsche gegen eine Wand fährt - auch wenn er es kann - muss wissen das es teils gravierende folgen hat.

Gruß,
Peter
KrisK
KrisK 23.10.2016 aktualisiert um 17:11:35 Uhr
Goto Top
Hallo, das ist doch genau die Vorgehensweise die ich oben beschrieben habe. OK ich gebe zu, etwas blöd und kurz geschrieben....


Die Domäne ist mir natürlich nicht egal. Daher würde ich einen neuen DC installieren und hoffen, dass der alte nachdem er wieder ein Memberserver ist läuft. Das kann ich ja auch vorher einfach mit einer Kopie der vm testen.

Wenn er dann wieder läuft würde ich wahrscheinlich so vorgehen.---Damit meinte ich genau dieses Szenario.

Ansonsten kann ich mir ja die Arbeit sparen und deinstalliere einfach den SQl von dem aktuellen DC und installiere es auf einer neuen Maschine.


Gruss Krisk
Schroedingers.Katze
Schroedingers.Katze 23.10.2016 aktualisiert um 20:25:42 Uhr
Goto Top
Ich habe jetzt nicht alles gelesen. Deswegen weiß ich nicht, ob die Antwort schon gekommen ist.

Hast du mal nach den "Datenbankdiensten" in den Diensten (services.msc) gekuckt?
Ich könnte mir vorstellen, dass die durch die Hochstufung des Servers zum DC nicht mehr laufen.

Eventuell war dort der lokale Admin eintragen, der jetzt halt nicht mehr da ist. Für den Dienst (der jeweiligen Instanz) sind Anmeldeinformationen hinterlegt. Dort halt erst mal was anderes (notfalls den Domänenadmin) eintragen, von dort aus weiter arbeiten und die Sache korrigieren. Sofern du mit gemischter Authentifizerung gearbeitet hast, könnte das klappen. Ansonsten sieht es vielleicht eher schlecht für dich aus und du musst mit einer Sicherung arbeiten, weil du ggf. keine Änderungen an den Berechtigungen mehr vornehmen kannst.

Am schnellsten wärst du wahrscheinlich dabei, wenn du eine evtl. vorhandene Sicherung auf eine andere Instanz zurückspielst.

Das was du da gemacht hast ist nicht wirklich sauber. Haben andere auch schon geschrieben. Eine SQL-DB sollte man, wenn möglich, nicht auf einem DC laufen lassen. Du machst dir damit nur selbst das Leben schwer, z.B. wenn es um das Patchen des DCs geht.

Grüße

schrödi
KrisK
KrisK 24.10.2016 um 10:04:59 Uhr
Goto Top
Hallo,

ja nach den Diensten habe ich natürlich geguckt. Sind beide gestartet und die Anmeldung habe ich auch mal umgestellt.
Ich muss jetzt nur testen, ob er wieder läuft, wenn ich einen neuen DC einrichte und den aktuellen mit SQl zum Memberserver herunterstufe.


Gruß KrisK