hulawa
Goto Top

Probleme beim Migrieren von Server 2019 Standard zu 2022 Standard

Hallo Zusammen,

wir sind gerade dabei einen Server 2019 (SRVDC3) Standard zu einen Server 2022 Standard (SRVDC5) zu immigrieren. Folgendermaßen sind wir vorgegangen. Server 2022 in die Domäne aufgenommen. Active Directory Domänendienste installiert. Dann zum Domänencontroller hochgestuft. Mit ntdsutil die FSMO Rollen auf den neuen Server 2022 übertragen. NTDS Settings Replizierung abgewartet.

Jetzt kommt mein Problem, wenn ich den neuen Server 2022 alleine starte und mich anmelden möchte kommt die Meldung „Das Kennwort ist falsch“. Ich kann mich am neuen Server nicht anmelden solange der Server 2019 nicht läuft.

Folgende Dinge habe ich überprüft:

fsmo_rollen

showrepl

syncall

sysvoll_1

sysvoll_2

Und hier noch DCDIAG

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SRVDC5
        • Identifizierte AD-Gesamtstruktur.
        Sammeln der Ausgangsinformationen abgeschlossen.

        Erforderliche Anfangstests werden ausgeführt.

        Server wird getestet: Standardname-des-ersten-Standorts\SRVDC5
        Starting test: Connectivity
        ......................... SRVDC5 hat den Test Connectivity bestanden.

        Primärtests werden ausgeführt.

        Server wird getestet: Standardname-des-ersten-Standorts\SRVDC5
        Starting test: Advertising
        ......................... SRVDC5 hat den Test Advertising bestanden.
        Starting test: FrsEvent
        ......................... SRVDC5 hat den Test FrsEvent bestanden.
        Starting test: DFSREvent
        Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden.
        Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
        ......................... Der Test DFSREvent für SRVDC5 ist fehlgeschlagen.
        Starting test: SysVolCheck
        ......................... SRVDC5 hat den Test SysVolCheck bestanden.
        Starting test: KccEvent
        ......................... SRVDC5 hat den Test KccEvent bestanden.
        Starting test: KnowsOfRoleHolders
        ......................... SRVDC5 hat den Test KnowsOfRoleHolders bestanden.
        Starting test: MachineAccount
        ......................... SRVDC5 hat den Test MachineAccount bestanden.
        Starting test: NCSecDesc
        ......................... SRVDC5 hat den Test NCSecDesc bestanden.
        Starting test: NetLogons
        ......................... SRVDC5 hat den Test NetLogons bestanden.
        Starting test: ObjectsReplicated
        ......................... SRVDC5 hat den Test ObjectsReplicated bestanden.
        Starting test: Replications
        ......................... SRVDC5 hat den Test Replications bestanden.
        Starting test: RidManager
        ......................... SRVDC5 hat den Test RidManager bestanden.
        Starting test: Services
        ......................... SRVDC5 hat den Test Services bestanden.
        Starting test: SystemLog
        ......................... SRVDC5 hat den Test SystemLog bestanden.
        Starting test: VerifyReferences
        ......................... SRVDC5 hat den Test VerifyReferences bestanden.


        Partitionstests werden ausgeführt auf: ForestDnsZones
        Starting test: CheckSDRefDom
        ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: DomainDnsZones
        Starting test: CheckSDRefDom
        ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: Schema
        Starting test: CheckSDRefDom
        ......................... Schema hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... Schema hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: Configuration
        Starting test: CheckSDRefDom
        ......................... Configuration hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... Configuration hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: WK
        Starting test: CheckSDRefDom
        ......................... WK hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... WK hat den Test CrossRefValidation bestanden.

        Unternehmenstests werden ausgeführt auf: WK.local
        Starting test: LocatorCheck
        ......................... WK.local hat den Test LocatorCheck bestanden.
        Starting test: Intersite
        ......................... WK.local hat den Test Intersite bestanden.


        Ich hoffe das ist hier nicht zu viel Input auf einmal. Vielleicht hat ja jemand von euch schon mal so ein Problem gehabt. Oder kann sagen ob wir hier noch etwas vergessen haben.

        Danke schon mal
        Gruß
        Christian

Content-ID: 671573

Url: https://administrator.de/forum/probleme-beim-migrieren-von-server-2019-standard-zu-2022-standard-671573.html

Ausgedruckt am: 31.03.2025 um 06:03 Uhr

DivideByZero
DivideByZero 23.02.2025 aktualisiert um 13:07:33 Uhr
Goto Top
Moin,

was sagen denn die Ereignisprotokolle, gibt es da noch Fehlermeldungen? Hört sich erst mal so an, als sei da doch nicht alles sauber repliziert.

Ist die Reihenfolge der Nameserver geändert (siehe auch www.escde.net/blog/migration-eines-domain-controllers-von-windows-server-2012-r2-auf-windows-server-2022?

Gruß

DivideByZero

P.S.: Das, was Du machst, ist wohl kaum eine Immigration 😉.
wollekuj
wollekuj 23.02.2025 um 13:28:36 Uhr
Goto Top
Hallo,

ich würde auch auf dns tippen und folgende Liste durchgehen:

Ipconfig des neuen Servers prüfen ob der im dns den alten Server vor sich selbst drinstehen hat.
Was ist mit anderen Client, können die sich anmelden wenn nur der neue Server läuft?

ipv6 auf der nic deaktivieren, nslookup domain.local prüfen, azure arc feature entfernen

Ich schließe mal aus dass der neue Server auf DHCP statt statischer Adresse steht, das würde das Phänomen aber ggf. auch erklären wenn der alte Server die DHCP-Rolle hatte und sich selbst als DNS-Server verteilt.
hulawa
hulawa 23.02.2025 um 14:00:58 Uhr
Goto Top
Hallo, hier mal Ipconfig des neuen Server:

ipcongig
em-pie
em-pie 23.02.2025 um 14:04:53 Uhr
Goto Top
Moin,

Der Test DFSREvent für SRVDC5 ist fehlgeschlagen.
Da musst du mal auf die Suche gehen.

Z.B. https://learn.microsoft.com/en-us/answers/questions/1106238/dcs-failed-t ...

Ansonsten: welcher Parchstand Verrat auf dem 2022er?
wollekuj
wollekuj 23.02.2025 um 14:27:48 Uhr
Goto Top
Ist das vermutlich ein Dellserver bei dem idrac noch nicht konfiguriert ist oder zukünftig auch nicht genutzt werden soll?

Falls ja, würde ich zur Fehlerdiagnose temporär die zweite nic(remote ndis) deaktivieren um lokale DNS-Probleme damit auszuschließen. Neustarten und nochmal dcdiag laufen lassen.
radiogugu
radiogugu 23.02.2025 aktualisiert um 16:29:30 Uhr
Goto Top
Mahlzeit.

Das eingesetzte Subnetz 172.40.10.0/24 gehört T-Mobile in den USA.

Bitte für lokale Netze dem RFC Standard folgen.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Auch .local als Domänen-Suffix solltest du lieber schwärzen sonst hagelt es Kritik face-cool

Würde hier, wie @wollekuj schrieb, mal testweise die zweite NIC deaktivieren.

Nimm mal den alten DNS Server aus der IP Konfiguration deiner primären NIC.

Ist der DNS auch sauber vom alten DC "bereinigt" worden? Dieser hat aber die Domänen Dienste noch installiert, korrekt?

Können sich Clients an ihren PC anmelden und klappt die Namensauflösung über den neuen DC?

Welche Gesamtstrukturebene ist denn gegeben?

Gruß
Marc
CH3COOH
CH3COOH 23.02.2025 um 17:36:29 Uhr
Goto Top
Nabend,
wie sieht es in der DNS Verwaltung der Zone "wk.local" aus? Steht dort ggf. noch ein ältere DC mit drin? Wie die Kollegen schon geschrieben haben IPv6 aus und die Remote NDIS NIC der IDRAC weg/deaktivieren...

Dein neuer DC wird IPv6 priorisieren und darüber DNS abfragen versuchen, das läuft dann ins Chaos face-wink
Gruß
hulawa
hulawa 23.02.2025 um 19:33:06 Uhr
Goto Top
Hallo,
danke erstmal für die vielen Antworten. Habe jetzt die remote NIC deaktiviert und IPV6. Es ist kein alter DC mehr zu finden. DHCP ist nicht installiert. Das hat bis jetzt noch nicht zum Erfolg geführt. Wenn nur der neue Server läuft, dauert die Anmeldung der Clients sehr lange. Kann ich nicht sagen ob sie dann am Server angemeldet sind. Der Fehler „der Test DFSREvent für SRVDC5 ist fehlgeschlagen“ kommt immer beim Neustart. Da wartet der Server anscheinend auf die Erstsynchronisierung DNS Fehler 4013. Obwohl ja repadmin keinen Fehler ausgibt.

Hier noch der nslookup:
nslookup

Und was mir aufgefallen ist das hier im Bild bei beiden nur der alte Server als Namensserver eingetragen ist.
dns_1
hulawa
hulawa 23.02.2025 um 19:36:59 Uhr
Goto Top
Die Gesamtstrukturebene ist Windows Server 2012
CH3COOH
CH3COOH 23.02.2025 um 19:58:58 Uhr
Goto Top
Hallo hulawa

Lass doch erstmal beide DCs an bis das Problem gelöst ist!

Dein Problem scheint im DNS zu liegen.

Wenn du in der DNS Verwaltung bist sollte für deine Domäne kein Eintrag mit IPv6 hinterlegt sein.

Prüfe ob Du dies bei beiden Domänencontrollern deaktiviert hast.

Zitat von @hulawa:

Die Gesamtstrukturebene ist Windows Server 2012

2012 R2?

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/active-d ...
Falls ja, das ist OK.

Ist der alte DC mal per Inplace Upgrade aktualisiert worden? Falls ja wurde auf DFS-R migiert von FSR?

Gruß
hulawa
hulawa 23.02.2025 um 20:10:42 Uhr
Goto Top
nein nur 2012.

Der alte DC wurde nicht über ein Inplace Upgrade aktualisiert.

Letzter Server Umzug war von 2012 auf 2019.
DivideByZero
DivideByZero 23.02.2025 um 20:22:26 Uhr
Goto Top
Zeig mal die Zone im DNS mit allen Records einschl. SOA (natürlich anonymisiert).
Das kann nur ein DNS Problem sein, was Du da hast, da wird immer erst der alte DC angefragt, und wenn der nicht da ist, dann wohl der neue oder gecachte Daten, daher die große Zeitverzögerung bei den Clients.

Was aber meinst Du damit?
Es ist kein alter DC mehr zu finden.
Aber nur, wenn der ausgeschaltet ist, oder?
hulawa
hulawa 23.02.2025 um 20:51:00 Uhr
Goto Top
Ich meine damit das nur zwei DC vorhanden sind Server 2019 und 2022. Und nicht noch ein älterer.

Hier noch die DNS:
dns_2
DivideByZero
DivideByZero 23.02.2025 um 21:09:57 Uhr
Goto Top
Hmm, in Deiner Zone jedenfalls ist noch ein Verweis auf einen weiteren DC drin, da gibt es ja auch einen SRVDC4, auch wenn der auf die IP des DC3 verweist.
Leider ist die Qualität des Screenshots so schlecht, dass das nicht genau zu lesen ist. Worauf verweist der SOA-Record?

DHCP ist nicht installiert.
Das Netz scheint ja nun auch nicht winzig zu sein, habt Ihr ernsthaft alle Geräte im Netz mit statischer IP laufen?

Zitat von @radiogugu:
Nimm mal den alten DNS Server aus der IP Konfiguration deiner primären NIC.
Hast Du das mal probiert? Und wenn Du kein DHCP hast, hast Du dann am Client das auch mal so probiert, nur der neue als DNS Server hinterlegt? Wie sind dann die Zeiten?
hulawa
hulawa 23.02.2025 um 21:24:47 Uhr
Goto Top
Hallo,
ja DHCP ist nicht installiert. Sind alle mit statische IP. Der SOA-Record verweist auf dem neuen Server SRVDC5.

Beim alten Server steht beim SOA-Record der alte Server drin SRVDC3. Ist das normal?

Ich möchte im Moment den den alten Server nicht als alternative DNS aus den Einstellungen nehmen. Hab die Befürchtung das ich dann gar nicht mehr drauf komme.
DivideByZero
DivideByZero 23.02.2025 um 21:41:28 Uhr
Goto Top
Beim alten Server steht beim SOA-Record der alte Server drin SRVDC3. Ist das normal?
Ja.

Sind denn die Zonen ansonsten identisch, funktioniert da die Replikation? Oder wurde da irgendetwas händisch "übertragen"?

Ich möchte im Moment den den alten Server nicht als alternative DNS aus den Einstellungen nehmen. Hab die Befürchtung das ich dann gar nicht mehr drauf komme.
Dann nimm ihn bei einem Client raus, lass den alten ausgeschaltet und schau, was der Client macht.
DivideByZero
DivideByZero 23.02.2025 um 21:57:00 Uhr
Goto Top
Was sagen denn eigentlich die Eventlogs auf beiden Servern?
Auf dem alten die DFRS logs, auf dem neuen alles nach dem Systemstart. Tritt da 4013 auch auf, wenn der alte Server läuft (und vor dem Reboot des neuen erreichbar ist)?
CH3COOH
CH3COOH 23.02.2025 um 22:18:58 Uhr
Goto Top
Schau mal nach die Reverse DNS Einträge deiner DCs sauber sind und funktionieren. Die IPv6 sollte raus…

Wenn du Sie einem DC zuordnen kannst, dort auf der NIC entfernen. Ansonsten mal den Eintrag dazu im DNS löschen.

Gruß
Starmanager
Starmanager 24.02.2025 um 11:34:18 Uhr
Goto Top
Ich wuerde in diesem Fall ein neues AD aufsetzen und den alten Kram sterben lassen. Es hat wohl einige Fallsticke in dem System. Die falsche IP Adressierung wird Dir mal um die Ohren fliegen und auch ein paar andere Dinge.
hulawa
hulawa 25.02.2025 um 20:37:53 Uhr
Goto Top
Hallo,
also in der DNS wurde nichts von Hand eingetragen. Diese replizieren sich auch, wenn ich vom alten oder neuen Server einen Eintrag lösche verschwindet der auch beim anderen. Genau so wie die Computers. IPv6 werd ich mal deaktivieren und die dazu gehörigen Einträge löschen. Neue Test kann ich aber leider erst am Wochende wieder machen. Und bis dahin kann ich mir die DFRS logs mal anschauen, bis jetzt kommen hier nur Fehler zu den Sicherungszeiten.
hulawa
hulawa 25.02.2025 um 21:21:54 Uhr
Goto Top
Hallo, Starmanager
neue AD bedeutet viel Arbeit alle Rechner wieder in die Domäne aufnehmen. Benutzerrechte, Benutzerprofile, Freigaben etc. Hätte ich gerne vermieden.
DivideByZero
DivideByZero 25.02.2025 um 21:29:58 Uhr
Goto Top
Ich möchte im Moment den den alten Server nicht als alternative DNS aus den Einstellungen nehmen. Hab die Befürchtung das ich dann gar nicht mehr drauf komme.
Dann nimm ihn bei einem Client raus, lass den alten ausgeschaltet und schau, was der Client macht.
Was ist dabei herausgekommen?

Und für Deine weiteren Tests: wie ist es, wenn Du einen weiteren DC aufbaust, der nicht die FSMO Rollen bekommt, macht der dann sauber die Auflösung, wenn die anderen nicht erreichbar sind?
hulawa
hulawa 26.02.2025 um 21:03:27 Uhr
Goto Top
Was ist dabei herausgekommen?

Hallo DivideByZero, konnte ich noch nicht tetsten. Am Wochende sieht es besser aus.

Und das mit einen weiteren DC könnte ich dann auch mal testen. Ist vielleicht mal einen Versuch wert.

Danke für die Unterstützung.
hulawa
hulawa 28.02.2025 um 16:34:31 Uhr
Goto Top
Hallo,
ich habe jetzt einen 3 DC zur Domäne hinzugefügt. Um ein wenig besser zu testen. Also das Problem oben das das Passwort falsch ist kommt jetzt nicht mehr beim neuen Server. Aber wenn ich einen der beiden neuen Server allein ohne Router starte dann läuft die AD nicht. Fehlermeldung:
Namensinformationen könne aufgrund folgendes Fehlers nicht ermittelt werden Der Server ist nicht funktionstüchtig.
Kennt jemand das Problem?
CH3COOH
CH3COOH 28.02.2025 um 17:16:43 Uhr
Goto Top
Hallo face-smile
Wie sieht den deine DNS Zone nun mit dem dritten DC aus?
Gruß
hulawa
hulawa 28.02.2025 um 17:40:53 Uhr
Goto Top
Wie davor nur mit den dritten DC. IPv6 Einträge habe ich gelöscht. Ich denke das die Server die Namensauflösung irgendwie im Router machen und wenn der fehlt beim Neustart ein Problem haben.
CH3COOH
CH3COOH 28.02.2025 um 17:49:00 Uhr
Goto Top
Nein, Namensauflösung ist ein eingebauter Job des Active Directory Domain Controllers in form von Domain Name System (DNS).. Die IPv6 Eintrage kam auch bisher nicht zurück, weil du IPv6 deaktiviert hast oder?

Lassen sich alle drei DC Server ansprechen von deinem Test-PC per:
-IP
-DNS

Funktioniert der Reverse DNS gegenüber allen drei Servern mit allen drei Servern?

nslookup 172.40.10.1  172.40.10.1 
nslookup 172.40.10.235 172.40.10.1 

nslookup 172.40.10.1  172.40.10.235
nslookup 172.40.10.235 172.40.10.235
Den dritten DC musst du selbst einbauen, die IP kennen wir ja noch nicht.

Gruß
hulawa
hulawa 28.02.2025 um 21:09:21 Uhr
Goto Top
Bei allen 3 gleich
nslookup_4

nslookup_2
hulawa
hulawa 28.02.2025 um 21:29:05 Uhr
Goto Top
Sobald ich das Netzwerkkabel von den Servern ausstecke und neu starte. Habe ich das Problem das die AD nicht läuft.
DivideByZero
DivideByZero 28.02.2025 um 22:38:20 Uhr
Goto Top
Dann stimmt etwas mit DNS oder Replikation nicht.
CH3COOH
CH3COOH 02.03.2025 um 09:44:41 Uhr
Goto Top
Der nslookup auf deinen Domänennamen löst aber sauber auf? (Der Name der Domäne steht übrigens im ersten Post)

Ferner stellt sich mir die Frage wie du die Replikationszeiten konfiguriert hast.. Der Default liegt bei 180 Minuten...

Gruß
hulawa
hulawa 02.03.2025 um 19:13:36 Uhr
Goto Top
Hallo, also ich bin jetzt noch ein wenig weitergekommen. Es wird wahrscheinlich ein DNS-Problem sein. Und dieses tritt nur auf, wenn kein Netzwerkkabel angeschlossen ist. Es genügt schon, wenn ich den Server einfach alleine an einen Switch hänge. Dann startet alles.

Danke noch mal für eure Unterstützung. Werde wenn ich nicht weiterkommen einen neuen Beitrag eröffnen.

Gruß
DivideByZero
DivideByZero 02.03.2025 um 20:33:52 Uhr
Goto Top
Dann viel Erfolg und diesen Beitrag bitte zunächst schließen.