manuel1985
Goto Top

Problem nach DC-Installation unter Server 2012 R2

Hey Kollegen,

folgendes Problem ereilt mich so gerade.
Ich habe in einer unserer Filialen einen Server 2012 R2 aufgesetzt. Dieser soll künftig als Domain Controller arbeiten.
Nachdem ich die AD-Rolle installiert und konfiguriert habe, vermeldet der Server nach einem Neustart allerdings, dass er noch zum DC heraufgestuft werden möchte.
Führe ich den entsprechenden Assistenten aus, erhalte ich direkt folgende Meldung:

"Fehler bei der Bestimmung ob der Zielserver bereits ein Domänencontroller ist: der Zielserver ist bereits ein Domänencontroller"

Ein erneuter Neustart hilft leider nicht, auch lässt sich die AD-Rolle nicht deinstallieren - egal ob via Server-Manager oder PowerShell.
Alle Dienste sind gestartet, in der Netzwerk-Config ist der alte DC am Standort als primärer DNS und der lokale Router als sekundärer DNS eingetragen.
Im AD taucht der Server unter der OU "Domain Controllers" mit richtigem Standort und als globaler Katalog auf.

Frage: Meldung ignorieren oder gibt's eurerseits eine Lösung hierzu?

Gruß Manuel

Content-ID: 323105

Url: https://administrator.de/forum/problem-nach-dc-installation-unter-server-2012-r2-323105.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

117471
117471 07.12.2016 um 11:58:03 Uhr
Goto Top
Zitat von @manuel1985:

Alle Dienste sind gestartet, in der Netzwerk-Config ist der alte DC am Standort als primärer DNS und der lokale Router als sekundärer DNS eingetragen.

Dann nimm da doch mal - zumindest testweise - den Router heraus. Ich bezweifle nämlich, dass der Router als DC wirkt...

Wenn Du das DNS eines Routers nutzen möchtest, trägst Du dieses in den Eigenschaften der DNS-Server (auf den DCs) unter "Weiterleitungen" ein.

Bei der Gelegenheit kannst Du auch gleich überprüfen, ob der DHCP-Server den Router als DNS-Server verteilt. Das wäre aus meiner Sicht ebenfalls ein Fehler.

Gruß,
Jörg
Chonta
Chonta 07.12.2016 aktualisiert um 11:59:41 Uhr
Goto Top
Hallo,

in der Netzwerk-Config ist der alte DC am Standort als primärer DNS
Richtig
und der lokale Router als sekundärer DNS
Falsch!
In einer domäne ist der DC immer der DNS Server und wenn es zwei gibt, dann ist der andere der primäre und man selber der sekundäre.
Aber ein Router halt als DNS-Server für einen DC nix verloren!

Der neue Rechner hat hoffentlich auch die DNS Rolle installiert und die Zonen sind im AD integriert?
Genaue Fehlermeldung?
Was sagt das Log?
Was sagt repadmin?
Was sagt dcdiag? (sowohl am ersten DC als auch am neu aufgesetzten)

Alle Dienste sind gestartet
auch das AD?


Gruß

Chonta
manuel1985
manuel1985 07.12.2016 um 11:59:34 Uhr
Goto Top
Update:
Nach dem 3. Neustart und etwas warten erscheint die Meldung nicht mehr.

Die AD-Rolle lässt sich jedoch noch immer nicht deinstallieren.

Kann es sein, dass hier im Hintergrund evtl. ein AD-Sync stattfindet?
117471
117471 07.12.2016 um 12:01:37 Uhr
Goto Top
Zitat von @manuel1985:

Die AD-Rolle lässt sich jedoch noch immer nicht deinstallieren.

Warum möchtest Du die Rolle deinstallieren wenn der als DC laufen soll?

Gruß,
Jörg
manuel1985
manuel1985 07.12.2016 um 12:15:01 Uhr
Goto Top
OK, DNS angepasst.
Primär: alter DC
Sekundär: 127.0.0.1

DNS ist AD-integriert mitinstalliert, ja.
Router ist nun als Weiterleitung im DNS eingerichtet.

DCDIAG meldet:
Starting test: Replications
ACHTUNG: REPLIKATIONSVERZÖGERUNG
FEHLER: Der erwartete Benachrichtigungslink fehlt.
Quelle: alter DC
Das Replizieren neuer Änderungen für diesen Pfad wird verzögert.
Dieses Problem wird im Zuge der nächsten regelmäßigen Synchronisierung automatisch behoben.

Starting test: SystemLog
Warnung. Ereignis-ID: 0x000727A5
Erstellungszeitpunkt: 12/07/2016 11:16:15
Ereigniszeichenfolge: Der WinRM-Dienst hört keine WS-Verwaltungsanforderungen ab.
Fehler. Ereignis-ID: 0x00001659
Erstellungszeitpunkt: 12/07/2016 11:17:28
Ereigniszeichenfolge:
Die Sitzung mit dem Windows NT- oder Windows 2000-Domänencontroller \\neuer DC.domäne de
r Domäne STAGDE konnte nicht eingerichtet werden, da der Domänencontroller kein Konto alter DC$ gebraucht hat, um
die Sitzung von diesem Computer neuer DC einzurichten.
Warnung. Ereignis-ID: 0x00002724
Erstellungszeitpunkt: 12/07/2016 11:16:55
Ereigniszeichenfolge:
Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichk
eit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.
Fehler. Ereignis-ID: 0x00000416
Erstellungszeitpunkt: 12/07/2016 11:16:55
Ereigniszeichenfolge:
Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne
schindler-technik.de nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es f
olgende Gründe geben:
Fehler. Ereignis-ID: 0x00001659
Erstellungszeitpunkt: 12/07/2016 11:17:07
Ereigniszeichenfolge:
Die Sitzung mit dem Windows NT- oder Windows 2000-Domänencontroller \\neuer DC.Domäne de
r Domäne STAGDE konnte nicht eingerichtet werden, da der Domänencontroller kein Konto neuer DC$ gebraucht hat, um
die Sitzung von diesem Computer neuer DC einzurichten.
Fehler. Ereignis-ID: 0x0000410B
Erstellungszeitpunkt: 12/07/2016 11:17:14
Ereigniszeichenfolge:
Fehler bei der Anforderung eines neuen Kontenidentifizierungspools. Der Vorgang wird solange wiederholt, bis
er erfolgreich ausgeführt wird. Fehler:
Warnung. Ereignis-ID: 0x0000008E
Erstellungszeitpunkt: 12/07/2016 11:18:50
Ereigniszeichenfolge:
Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.

Warnung. Ereignis-ID: 0x00009016
Erstellungszeitpunkt: 12/07/2016 11:21:53
Ereigniszeichenfolge:
Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen
verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver.
Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .
Warnung. Ereignis-ID: 0x000727A5
Erstellungszeitpunkt: 12/07/2016 11:28:09
Ereigniszeichenfolge: Der WinRM-Dienst hört keine WS-Verwaltungsanforderungen ab.
Fehler. Ereignis-ID: 0x0000106A
Erstellungszeitpunkt: 12/07/2016 11:29:13
Ereigniszeichenfolge:
Die IP-Adresse für die Isatap-Schnittstelle isatap.{735B45C7-E8D7-4E60-80BB-4C7923499E25} wurde nicht aktual
isiert. Updatetyp: 1. Fehlercode: 0x490.
Warnung. Ereignis-ID: 0x00002724
Erstellungszeitpunkt: 12/07/2016 11:28:38
Ereigniszeichenfolge:
Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichk
eit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.
Warnung. Ereignis-ID: 0x0000008E
Erstellungszeitpunkt: 12/07/2016 11:29:53
Ereigniszeichenfolge:
Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.

Warnung. Ereignis-ID: 0x000727A5
Erstellungszeitpunkt: 12/07/2016 11:53:56
Ereigniszeichenfolge: Der WinRM-Dienst hört keine WS-Verwaltungsanforderungen ab.
Fehler. Ereignis-ID: 0x0000106A
Erstellungszeitpunkt: 12/07/2016 11:54:52
Ereigniszeichenfolge:
Die IP-Adresse für die Isatap-Schnittstelle isatap.{735B45C7-E8D7-4E60-80BB-4C7923499E25} wurde nicht aktual
isiert. Updatetyp: 1. Fehlercode: 0x490.
Warnung. Ereignis-ID: 0x00002724
Erstellungszeitpunkt: 12/07/2016 11:54:17
Ereigniszeichenfolge:
Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichk
eit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.
Warnung. Ereignis-ID: 0x0000008E
Erstellungszeitpunkt: 12/07/2016 11:55:32
Ereigniszeichenfolge:
Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.

......................... Der Test SystemLog für neuer DC ist fehlgeschlagen.


Repadmin:

PS C:\Windows\system32> repadmin /replsummary
Startzeit der Replikationszusammenfassung: 2016-12-07 12:10:13

Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
.........


Quell-DSA Größtes Delta Fehler/gesamt %% Fehler
alter DC 15m:36s 0 / 10 0
Hauptstandort-DC1 17m:08s 0 / 10 0
Hauptstandort-DC2 16m:17s 0 / 15 0
anderer Standort-DC1 02m:08s 0 / 5 0
neuer DC 18m:18s 0 / 5 0
anderer Standort-DC1 01m:21s 0 / 5 0


Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler
alter DC 18m:19s 0 / 10 0
Hauptstandort-DC1 16m:18s 0 / 15 0
Hauptstandort-DC2 17m:14s 0 / 10 0
anderer Standort-DC1 :21s 0 / 5 0
neuer DC 15m:45s 0 / 5 0
anderer Standort-DC1 12m:19s 0 / 5 0


Im Eventlog finde ich keine direkten AD-Fehler, aber folgenden Eintrag vom DNS-Service, Error 4000:
Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für das Abrufen und Verwenden von Informationen aus dem Verzeichnis für diese Zone konfiguriert und kann die Zone ohne die Informationen nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.

Und eine 4013-Warning:
Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.


AD-Dienste sind gestartet.
manuel1985
manuel1985 07.12.2016 um 12:15:39 Uhr
Goto Top
Deinstallation - Neuinstallation, um das Problem zu lösen.
Chonta
Chonta 07.12.2016 aktualisiert um 12:26:16 Uhr
Goto Top
aber folgenden Eintrag vom DNS-Service
Solange die Replikation zwischen den DC nicht funktioiert, wird der auch noch meckern.

sind die DC relevanten DNS Einträge schon in der Zone vorhanden?
Wie sind denn die Standorte eingerichtet? Auch als richtiger AD Standort mit zugewiesenen IP-Netzen?

Haben die beiden DC eine Zeitdifferenz zueinander?

Gruß

Chonta
manuel1985
manuel1985 07.12.2016 aktualisiert um 12:35:48 Uhr
Goto Top
Ja, die sind vorhanden, habe alle Forward-/Reverse-Lookup-Zonen samt Inhalt vorliegen.
AD-Standorte sind sauber konfiguriert, keine Zeitdifferenz.

Ich warte jetzt mal etwa eine Stunde ab, wir haben dort nicht die performanteste Internetverbindung. Ggf. braucht die Synchronisation einfach eine Weile.
manuel1985
manuel1985 07.12.2016 um 13:43:13 Uhr
Goto Top
Problem scheint gelöst.
Etwaige Fehlermeldungen treten im Eventlog nicht mehr auf, dafür diverse Einträge im DNS-Log, dass Einträge erstellt werden.
DCDIAG vermeldet ebenfalls, dass alle Tests bestanden sind.