16
Memberserver zum DC heraufstufen ohne den ursprünglichen DC
Guten Tag,
ich habe eine (anspruchsvolle) Baustelle übernommen: Ein Pflegedienst mit 6 Clients hat(te) einen 2008er DC. Nach Software- Umstellung wurde zusätzlich parallel ein 2012 R2 installiert und als Member hinzugefügt. Dieser diente fortan als u.a. auch SQL- Server für die Pflegesoftware. Der ursprüngliche 2008er DC lief zwar weiter mit über Jahre, wurde aber dann nach Festplattencrash abgebaut und entsorgt. Nun läuft nur noch der "neue" 2012R2 und die Clients. Jetzt sollte ein neuer PC mit in die Domäne...
Probleme:
1. Clients lassen sich nicht mehr hinzufügen
2. Replikation wird angemeckert- logisch weil urspr. DC fehlt
3. DNS- Probleme
4. kein Backup von 2008er vorhanden/ von 2012 nur SQL und Daten Backup vorhanden
3. und 4. werde ich wohl in Griff bekommen.
Meine Frage: wie kann ich den neuen heraufstufen zum alleinigen DC? Damit wären wahrscheinlich die meisten Probleme erledigt? DNS ergibt sich dann...
Plan B wäre den 2012er ganz neu aufsetzen gleich direkt mit einer neuen Domäne. Das ist aber die allerletzte Möglichkeit, weil dann die Software- Firma alles neu installieren muss. ->hohe Kosten
für Ideen und Anregungen wäre ich sehr dankbar
Gruß Ole
ich habe eine (anspruchsvolle) Baustelle übernommen: Ein Pflegedienst mit 6 Clients hat(te) einen 2008er DC. Nach Software- Umstellung wurde zusätzlich parallel ein 2012 R2 installiert und als Member hinzugefügt. Dieser diente fortan als u.a. auch SQL- Server für die Pflegesoftware. Der ursprüngliche 2008er DC lief zwar weiter mit über Jahre, wurde aber dann nach Festplattencrash abgebaut und entsorgt. Nun läuft nur noch der "neue" 2012R2 und die Clients. Jetzt sollte ein neuer PC mit in die Domäne...
Probleme:
1. Clients lassen sich nicht mehr hinzufügen
2. Replikation wird angemeckert- logisch weil urspr. DC fehlt
3. DNS- Probleme
4. kein Backup von 2008er vorhanden/ von 2012 nur SQL und Daten Backup vorhanden
3. und 4. werde ich wohl in Griff bekommen.
Meine Frage: wie kann ich den neuen heraufstufen zum alleinigen DC? Damit wären wahrscheinlich die meisten Probleme erledigt? DNS ergibt sich dann...
Plan B wäre den 2012er ganz neu aufsetzen gleich direkt mit einer neuen Domäne. Das ist aber die allerletzte Möglichkeit, weil dann die Software- Firma alles neu installieren muss. ->hohe Kosten
für Ideen und Anregungen wäre ich sehr dankbar
Gruß Ole
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331356
Url: https://administrator.de/contentid/331356
Ausgedruckt am: 20.11.2024 um 03:11 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
merkwürdig finde ich da ohne aktiven DC eigentlich überhaupt nichts mehr funktionieren sollte. Wehr den alten DC abgebaut hat und es nicht wieder sauber hergerichtet hat war einfach unfähig.
Du kannst in dem Fall, wenn nicht noch ein zweiter DC läuft nichts mehr machen und musst alles neu installieren.
merkwürdig finde ich da ohne aktiven DC eigentlich überhaupt nichts mehr funktionieren sollte. Wehr den alten DC abgebaut hat und es nicht wieder sauber hergerichtet hat war einfach unfähig.
Du kannst in dem Fall, wenn nicht noch ein zweiter DC läuft nichts mehr machen und musst alles neu installieren.
Darüber habe ich mich auch gewundert. Es läuft alles (Software, SQL- Server, Backup) soweit ohne Probleme. Der alte Server wurde schon vor Monaten abgebaut. Die User können sich ganz normal anmelden. Einzig das Eventlog ist dermaßen voll mit Fehlern- logisch.
Das ist ja mein Funke Hoffnung, dass da noch Teile vom AD vorhanden, nutzbar bzw. wiederherstellbar sind.
Das ist ja mein Funke Hoffnung, dass da noch Teile vom AD vorhanden, nutzbar bzw. wiederherstellbar sind.
kaputt ist kaputt... ältere ADs waren sehr anfällig gegen Beschädigungen der dahinterliegenden Datenbank und wenn die dann noch repliziert wurde...
Am besten die 6 PCs aus der Domäne rausnehmen (das geht auch ohne funktionierenden DC), aufm 2012 R2 die DC Rolle entfernen und wieder hinzufügen, diesmal aber auch ohne Kompatibilitätsmodus mehr.
Stolpersteine sind dann ggf. noch Berechtigungen, die am SQL Server oder sonstwo auf Windows-Grupenenbene oder Benutzerebene gemacht wurden - und ggf. noch Softwarelizenzen für die Pflegesoftware die da noch läuft, falls es für die sowas wie nen Lizenzserver gibt,
Am besten die 6 PCs aus der Domäne rausnehmen (das geht auch ohne funktionierenden DC), aufm 2012 R2 die DC Rolle entfernen und wieder hinzufügen, diesmal aber auch ohne Kompatibilitätsmodus mehr.
Stolpersteine sind dann ggf. noch Berechtigungen, die am SQL Server oder sonstwo auf Windows-Grupenenbene oder Benutzerebene gemacht wurden - und ggf. noch Softwarelizenzen für die Pflegesoftware die da noch läuft, falls es für die sowas wie nen Lizenzserver gibt,
Replikation wird angemeckert- logisch weil urspr. DC fehlt
Das kann aber nur dann protokolliert werden, wenn der jetzige Server DC ist. Auf einem reinen Memberserver gibt es diese Art der Protokolle gar nicht.
Hier ist mir ziemlicher Sicherheit der alte DC einfach abgeschalten worden ohne ihn sauber aus der Domänen zu entfernen.
Bevor du etwas anrührst, prüfe einmal die tatsächliche IST Situation (z.B. DCDIAG) und berichte dann.
für Ideen und Anregungen wäre ich sehr dankbar
Denk darüber nach, ob du dir nicht doch externe Hilfe holst
LG Günther
Ja. externe Hilfe ist gut. Ich bin die externe Hilfe ;-(
dcdiag spuckt nichts Gutes aus:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Der Homeserver wird gesucht...
Homeserver = server
dcdiag spuckt nichts Gutes aus:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Der Homeserver wird gesucht...
Homeserver = server
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\SERVER
Starting test: Connectivity
Der Host
4b864d3b-4c63-4d68-95eb-5157239ee881._msdcs.Pflegedienst.local konnte
nicht zu einer IP-Adresse aufgel”st werden. šberprfen Sie DNS-Server,
DHCP, Servername, usw.
Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie
die Firewalleinstellungen.
......................... Der Test Connectivity fr SERVER ist
fehlgeschlagen.
Prim„rtests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\SERVER
Alle Tests werden bersprungen, da der Server SERVER nicht auf
Anforderungen des Verzeichnisdiensts reagiert.
Partitionstests werden ausgefhrt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation
bestanden.
Partitionstests werden ausgefhrt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgefhrt auf: Pflegedienst
Starting test: CheckSDRefDom
......................... Pflegedienst hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Pflegedienst hat den Test CrossRefValidation
bestanden.
Unternehmenstests werden ausgefhrt auf: Pflegedienst.local
Starting test: LocatorCheck
Achtung: Fehler beim Aufrufen von DcGetDcName(GC_SERVER_REQUIRED):
1355
Es konnte kein Server fr globale Kataloge gefunden werden; kein
globaler Katalog verfgbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1355
Es wurde kein prim„rer Dom„nencontroller gefunden.
Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
verfgbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht
verfgbar.
Achtung: Fehler beim Aufrufen von
DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
Achtung: Fehler beim Aufrufen von DcGetDcName(KDC_REQUIRED): 1355
Kein KDC gefunden; es ist kein KDC verfgbar.
......................... Der Test LocatorCheck fr Pflegedienst.local
ist fehlgeschlagen.
Starting test: Intersite
......................... Pflegedienst.local hat den Test Intersite
bestanden.
-die Rolle Aktiv Directory Domänendienste war und ist aktiviert
- die Rolle DNS hatte ich vor dem dcdiag testweise entfernt, kann ich vor oder nach dem Wiederherstellen oder Heraufstufen wieder hinzufügen
Es muss noch Teile der ADS geben, wie kann ich das prüfen/ sichtbar machen? Die MMCs dafür sind nicht aufrufbar
- die Rolle DNS hatte ich vor dem dcdiag testweise entfernt, kann ich vor oder nach dem Wiederherstellen oder Heraufstufen wieder hinzufügen
Es muss noch Teile der ADS geben, wie kann ich das prüfen/ sichtbar machen? Die MMCs dafür sind nicht aufrufbar
zur Erklärung (und zur Entschuldigung) vllt noch:
Aufgefallen ist das Ganze dadurch, dass ich einen neuen PC nicht zur Domäne hinzufügen konnte. Dabei kam eine Fehlermeldung, die auf DNS- Probleme schliessen liessen. Ich habe dadurch allerhand Zeit und Nerven verschenkt, und immer in dieser Richtung alles Mögliche ausprobiert. Die Zonen 1:1 mit anderen Servern verglichen und entfernt und ganz neu aufgebaut. Leider habe ich erst jetzt mitbekommen. dass das Problem noch viel tiefer liegt...
Ich würde mich freuen, wenn Ihr mir etwas Unterstützung gebt. Der Pflegedienst ist nicht groß und kann sich keinen AD Spezialisten leisten. Ausserdem gibt es hier "auf dem Dorf" keine große Auswahl. Ich wurde gefragt und habe meine Hilfe angeboten.
Gruß Ole
Aufgefallen ist das Ganze dadurch, dass ich einen neuen PC nicht zur Domäne hinzufügen konnte. Dabei kam eine Fehlermeldung, die auf DNS- Probleme schliessen liessen. Ich habe dadurch allerhand Zeit und Nerven verschenkt, und immer in dieser Richtung alles Mögliche ausprobiert. Die Zonen 1:1 mit anderen Servern verglichen und entfernt und ganz neu aufgebaut. Leider habe ich erst jetzt mitbekommen. dass das Problem noch viel tiefer liegt...
Ich würde mich freuen, wenn Ihr mir etwas Unterstützung gebt. Der Pflegedienst ist nicht groß und kann sich keinen AD Spezialisten leisten. Ausserdem gibt es hier "auf dem Dorf" keine große Auswahl. Ich wurde gefragt und habe meine Hilfe angeboten.
Gruß Ole
Klar gibt es das AD noch, ansonsten würde es den Befehl DCDIAG nicht geben.
wie soll dann das AD funktionieren?
- also zuerst DNS wieder installieren und konfigurieren. Ohne funktionierenden DNS kein funktionierende AD
- dann die Rollen manuell übertragen -> hier einer der vielen Beiträge zu diesem Thema - https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
- ob die Rollen sauber auf dem richtigen DC laufen kannst du mit Netdom query fsmo, netdom query dc und netdom query pdc überprüfen
- ab diesem Zeitpunkt muss es wieder möglich sein, neue Rechner in die Domäen aufzunehmen
- anschließend die Metadaten bereinigen
@GrueneSosseMitSpeck
Sorry, aber unqualifizierte und unötige Anmerkung
LG Günther
die Rolle DNS hatte ich vor dem dcdiag testweise entfernt
wie soll dann das AD funktionieren?
- also zuerst DNS wieder installieren und konfigurieren. Ohne funktionierenden DNS kein funktionierende AD
- dann die Rollen manuell übertragen -> hier einer der vielen Beiträge zu diesem Thema - https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
- ob die Rollen sauber auf dem richtigen DC laufen kannst du mit Netdom query fsmo, netdom query dc und netdom query pdc überprüfen
- ab diesem Zeitpunkt muss es wieder möglich sein, neue Rechner in die Domäen aufzunehmen
- anschließend die Metadaten bereinigen
@GrueneSosseMitSpeck
ältere ADs waren sehr anfällig gegen Beschädigungen der dahinterliegenden Datenbank und wenn die dann noch repliziert wurde...
Sorry, aber unqualifizierte und unötige Anmerkung
LG Günther
Moin,
wie jetzt - gibt es da noch mehr Server?
Gruß Krämer
wie jetzt - gibt es da noch mehr Server?
und entfernt und ganz neu aufgebaut.
Manuell? Ich habe noch keinen gesehen, der das hinbekommen hat.Gruß Krämer
Moin,
wie jetzt - gibt es da noch mehr Server?
Nein, an dem Standort nicht, aber ich habe noch mehr Kunden mit DCs
Manuell? Ich habe noch keinen gesehen, der das hinbekommen hat.
Ja. Tatsächlich. Dazu gibt es auch Anleitungen in Foren. Zonen händisch entfernen. Man kann die Struktur im DNS Manager nachbauen (wenn man einen Vergleichsserver hat), DNS leeren und neu regisitrieren und Dienst einmal neu starten. Er hat danach tatsächlich wieder wie vorher gearbeitet. War mühsam und ohne neue Ergebnisse. Der DNS Manager zeigt ja eigentlich nur die flache Struktur an/ bzw. gibt sie vor.
@GuentherH:
Ich hatte gestern noch vor Deinem Beitrag den DNS wieder hinzugefügt. Ich gehe davon aus, dass die Struktur noch irgendwo gespeichert war. Ein Verzeichnis unter C:\Windows\... oder wird das in der AD gespeichert? Es sieht alles haargenau so aus wie vorher.
Danke für Eure Geduld
wie jetzt - gibt es da noch mehr Server?
Nein, an dem Standort nicht, aber ich habe noch mehr Kunden mit DCs
Manuell? Ich habe noch keinen gesehen, der das hinbekommen hat.
Ja. Tatsächlich. Dazu gibt es auch Anleitungen in Foren. Zonen händisch entfernen. Man kann die Struktur im DNS Manager nachbauen (wenn man einen Vergleichsserver hat), DNS leeren und neu regisitrieren und Dienst einmal neu starten. Er hat danach tatsächlich wieder wie vorher gearbeitet. War mühsam und ohne neue Ergebnisse. Der DNS Manager zeigt ja eigentlich nur die flache Struktur an/ bzw. gibt sie vor.
@GuentherH:
Ich hatte gestern noch vor Deinem Beitrag den DNS wieder hinzugefügt. Ich gehe davon aus, dass die Struktur noch irgendwo gespeichert war. Ein Verzeichnis unter C:\Windows\... oder wird das in der AD gespeichert? Es sieht alles haargenau so aus wie vorher.
Danke für Eure Geduld
Moin,
also ganz ehrlich mit dem Zustand der Domäne und deinen Wissenstand keine Chance. Setz einen neuen (vmA virtuellen) DC mit neuer Domäne auf, und nimm die 6 Clients und den 2012er Serve auf und gut is.
lg,
Slainte
also ganz ehrlich mit dem Zustand der Domäne und deinen Wissenstand keine Chance. Setz einen neuen (vmA virtuellen) DC mit neuer Domäne auf, und nimm die 6 Clients und den 2012er Serve auf und gut is.
lg,
Slainte
Zitat von @SlainteMhath:
Moin,
also ganz ehrlich mit dem Zustand der Domäne und deinen Wissenstand keine Chance. Setz einen neuen (vmA virtuellen) DC mit neuer Domäne auf, und nimm die 6 Clients und den 2012er Serve auf und gut is.
lg,
Slainte
Moin,
also ganz ehrlich mit dem Zustand der Domäne und deinen Wissenstand keine Chance. Setz einen neuen (vmA virtuellen) DC mit neuer Domäne auf, und nimm die 6 Clients und den 2012er Serve auf und gut is.
lg,
Slainte
Seh ich auch so . Neuen DC aufsetzten und die Clients migrieren . Mit dem Tool Profwitz die Konten umziehen und gut ist .
https://www.forensit.com/de/downloads.html
Mach vorher ein Backup des Wawi und der Daten . Im Zweifel müssen die dann in den sauren Apfel beißen .
Alles andere ist doch Murks...
Gruss Michael
@günther:
Ich würde mir gerne Hilfe dazu holen. Ist denn jemand bereit, mit mir gemeinsam per Fernwartung die NTDSUTIL Befehle abzusetzen? Natürlich gegen Bezahlung.
Ich habe damit keinerlei Erfahrungen und möchte nicht mehr Schaden anrichten, als schon vorher da war.
Gruß Ole
Ich würde mir gerne Hilfe dazu holen. Ist denn jemand bereit, mit mir gemeinsam per Fernwartung die NTDSUTIL Befehle abzusetzen? Natürlich gegen Bezahlung.
Ich habe damit keinerlei Erfahrungen und möchte nicht mehr Schaden anrichten, als schon vorher da war.
Gruß Ole
Hallo Günther,
Du bist der Held der Stunde. Ich habe mich auch nach den demotivierenden Aussagen der anderen Nutzer hier trotzdem getraut, mit NTDSUTIL die 5 Roles zu übertragen (erzwungen). Die jeweils ausgegebene Fehlermeldung war erst irreführend, aber wenn man länger liest, sieht man, das er es trotzdem gemacht hat.
netdom query pdc konnte ich absetzen, wurde auch mit dem richtigen Server beantwortet. Bei den anderen beiden Befehlen scheint die Syntax falsch.
Die Rechner zur Domäne hinzufügen testen kann ich erst morgen.
Kann/ soll ich vorher schon die Meta- Daten aufräumen?
Vielen Dank für Deinen Tipp, brauche noch IBAN zum überweisen
P.S. Werde mich heute Abend noch an die Fehler im DCDIAG machen und den DNS noch einmal ganz genau unter die Lupe nehmen...
Du bist der Held der Stunde. Ich habe mich auch nach den demotivierenden Aussagen der anderen Nutzer hier trotzdem getraut, mit NTDSUTIL die 5 Roles zu übertragen (erzwungen). Die jeweils ausgegebene Fehlermeldung war erst irreführend, aber wenn man länger liest, sieht man, das er es trotzdem gemacht hat.
netdom query pdc konnte ich absetzen, wurde auch mit dem richtigen Server beantwortet. Bei den anderen beiden Befehlen scheint die Syntax falsch.
Die Rechner zur Domäne hinzufügen testen kann ich erst morgen.
Kann/ soll ich vorher schon die Meta- Daten aufräumen?
Vielen Dank für Deinen Tipp, brauche noch IBAN zum überweisen
P.S. Werde mich heute Abend noch an die Fehler im DCDIAG machen und den DNS noch einmal ganz genau unter die Lupe nehmen...
ich habe noch:
-DNS- Rolle entfernt
-Metadaten vom alten Server entfernt
-DNS- Rolle hinzugefügt (im DNS sind nun alle Clients offensichtlich sauber registriert)
-diverse Fehlermeldungen sind aus dem Ereignislog verschwunden
Es sieht schon erstaunlich gut aus alles. Ich freue mich sehr.
Im DCDIAG erscheinen nur noch ein paar Fehler, die ich mir im Anschluß anschaue. Ich vermute, dass er noch etwas replizieren will??? Ich werde wohl einen (virtuellen) DC mit einhängen...
Server wird getestet: Default-First-Site-Name\SERVER
Starting test: Advertising
Schwerwiegender Fehler: Fehler beim Aufrufen von DsGetDcName (SERVER): 1355
Der Server wurde vom Locator nicht gefunden.
......................... Der Test Advertising für SERVER ist fehlgeschlagen.
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
-DNS- Rolle entfernt
-Metadaten vom alten Server entfernt
-DNS- Rolle hinzugefügt (im DNS sind nun alle Clients offensichtlich sauber registriert)
-diverse Fehlermeldungen sind aus dem Ereignislog verschwunden
Es sieht schon erstaunlich gut aus alles. Ich freue mich sehr.
Im DCDIAG erscheinen nur noch ein paar Fehler, die ich mir im Anschluß anschaue. Ich vermute, dass er noch etwas replizieren will??? Ich werde wohl einen (virtuellen) DC mit einhängen...
Server wird getestet: Default-First-Site-Name\SERVER
Starting test: Advertising
Schwerwiegender Fehler: Fehler beim Aufrufen von DsGetDcName (SERVER): 1355
Der Server wurde vom Locator nicht gefunden.
......................... Der Test Advertising für SERVER ist fehlgeschlagen.
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
nabend...
ist dein Server (DC) in der Zone unter _msdcs vorhanden?
pconfig /flushdns + ipconfig /registerdns ausgeführt?
Frank
ist dein Server (DC) in der Zone unter _msdcs vorhanden?
pconfig /flushdns + ipconfig /registerdns ausgeführt?
Frank
