23.02.2025

2251

Probleme beim Migrieren von Server 2019 Standard zu 2022 Standard

Hallo Zusammen,

wir sind gerade dabei einen Server 2019 (SRVDC3) Standard zu einen Server 2022 Standard (SRVDC5) zu immigrieren. Folgendermaßen sind wir vorgegangen. Server 2022 in die Domäne aufgenommen. Active Directory Domänendienste installiert. Dann zum Domänencontroller hochgestuft. Mit ntdsutil die FSMO Rollen auf den neuen Server 2022 übertragen. NTDS Settings Replizierung abgewartet.

Jetzt kommt mein Problem, wenn ich den neuen Server 2022 alleine starte und mich anmelden möchte kommt die Meldung „Das Kennwort ist falsch“. Ich kann mich am neuen Server nicht anmelden solange der Server 2019 nicht läuft.

Folgende Dinge habe ich überprüft:

Und hier noch DCDIAG

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SRVDC5

Identifizierte AD-Gesamtstruktur.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 671573

Url: https://administrator.de/forum/probleme-beim-migrieren-von-server-2019-standard-zu-2022-standard-671573.html

Ausgedruckt am: 16.03.2025 um 03:03 Uhr

33 Kommentare

Neuester Kommentar

Moin,

was sagen denn die Ereignisprotokolle, gibt es da noch Fehlermeldungen? Hört sich erst mal so an, als sei da doch nicht alles sauber repliziert.

Ist die Reihenfolge der Nameserver geändert (siehe auch www.escde.net/blog/migration-eines-domain-controllers-von-windows-server-2012-r2-auf-windows-server-2022?

Gruß

DivideByZero

P.S.: Das, was Du machst, ist wohl kaum eine Immigration 😉.

Hallo,

ich würde auch auf dns tippen und folgende Liste durchgehen:

Ipconfig des neuen Servers prüfen ob der im dns den alten Server vor sich selbst drinstehen hat.
Was ist mit anderen Client, können die sich anmelden wenn nur der neue Server läuft?

ipv6 auf der nic deaktivieren, nslookup domain.local prüfen, azure arc feature entfernen

Ich schließe mal aus dass der neue Server auf DHCP statt statischer Adresse steht, das würde das Phänomen aber ggf. auch erklären wenn der alte Server die DHCP-Rolle hatte und sich selbst als DNS-Server verteilt.

Hallo, hier mal Ipconfig des neuen Server:

Moin,

Der Test DFSREvent für SRVDC5 ist fehlgeschlagen.

Da musst du mal auf die Suche gehen.

Z.B. https://learn.microsoft.com/en-us/answers/questions/1106238/dcs-failed-t ...

Ansonsten: welcher Parchstand Verrat auf dem 2022er?

Ist das vermutlich ein Dellserver bei dem idrac noch nicht konfiguriert ist oder zukünftig auch nicht genutzt werden soll?

Falls ja, würde ich zur Fehlerdiagnose temporär die zweite nic(remote ndis) deaktivieren um lokale DNS-Probleme damit auszuschließen. Neustarten und nochmal dcdiag laufen lassen.

Mahlzeit.

Das eingesetzte Subnetz 172.40.10.0/24 gehört T-Mobile in den USA.

Bitte für lokale Netze dem RFC Standard folgen.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Auch .local als Domänen-Suffix solltest du lieber schwärzen sonst hagelt es Kritik

Würde hier, wie @wollekuj schrieb, mal testweise die zweite NIC deaktivieren.

Nimm mal den alten DNS Server aus der IP Konfiguration deiner primären NIC.

Ist der DNS auch sauber vom alten DC "bereinigt" worden? Dieser hat aber die Domänen Dienste noch installiert, korrekt?

Können sich Clients an ihren PC anmelden und klappt die Namensauflösung über den neuen DC?

Welche Gesamtstrukturebene ist denn gegeben?

Gruß
Marc

Nabend,
wie sieht es in der DNS Verwaltung der Zone "wk.local" aus? Steht dort ggf. noch ein ältere DC mit drin? Wie die Kollegen schon geschrieben haben IPv6 aus und die Remote NDIS NIC der IDRAC weg/deaktivieren...

Dein neuer DC wird IPv6 priorisieren und darüber DNS abfragen versuchen, das läuft dann ins Chaos

Gruß

Hallo,
danke erstmal für die vielen Antworten. Habe jetzt die remote NIC deaktiviert und IPV6. Es ist kein alter DC mehr zu finden. DHCP ist nicht installiert. Das hat bis jetzt noch nicht zum Erfolg geführt. Wenn nur der neue Server läuft, dauert die Anmeldung der Clients sehr lange. Kann ich nicht sagen ob sie dann am Server angemeldet sind. Der Fehler „der Test DFSREvent für SRVDC5 ist fehlgeschlagen“ kommt immer beim Neustart. Da wartet der Server anscheinend auf die Erstsynchronisierung DNS Fehler 4013. Obwohl ja repadmin keinen Fehler ausgibt.

Hier noch der nslookup:

Und was mir aufgefallen ist das hier im Bild bei beiden nur der alte Server als Namensserver eingetragen ist.

Die Gesamtstrukturebene ist Windows Server 2012

Hallo hulawa

Lass doch erstmal beide DCs an bis das Problem gelöst ist!

Dein Problem scheint im DNS zu liegen.

Wenn du in der DNS Verwaltung bist sollte für deine Domäne kein Eintrag mit IPv6 hinterlegt sein.

Prüfe ob Du dies bei beiden Domänencontrollern deaktiviert hast.

Zitat von @hulawa:

Die Gesamtstrukturebene ist Windows Server 2012

2012 R2?

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/active-d ...
Falls ja, das ist OK.

Ist der alte DC mal per Inplace Upgrade aktualisiert worden? Falls ja wurde auf DFS-R migiert von FSR?

Gruß

nein nur 2012.

Der alte DC wurde nicht über ein Inplace Upgrade aktualisiert.

Letzter Server Umzug war von 2012 auf 2019.

Zeig mal die Zone im DNS mit allen Records einschl. SOA (natürlich anonymisiert).
Das kann nur ein DNS Problem sein, was Du da hast, da wird immer erst der alte DC angefragt, und wenn der nicht da ist, dann wohl der neue oder gecachte Daten, daher die große Zeitverzögerung bei den Clients.

Was aber meinst Du damit?

Es ist kein alter DC mehr zu finden.

Aber nur, wenn der ausgeschaltet ist, oder?

Ich meine damit das nur zwei DC vorhanden sind Server 2019 und 2022. Und nicht noch ein älterer.

Hier noch die DNS:

Hmm, in Deiner Zone jedenfalls ist noch ein Verweis auf einen weiteren DC drin, da gibt es ja auch einen SRVDC4, auch wenn der auf die IP des DC3 verweist.
Leider ist die Qualität des Screenshots so schlecht, dass das nicht genau zu lesen ist. Worauf verweist der SOA-Record?

DHCP ist nicht installiert.

Das Netz scheint ja nun auch nicht winzig zu sein, habt Ihr ernsthaft alle Geräte im Netz mit statischer IP laufen?

Zitat von @radiogugu:
Nimm mal den alten DNS Server aus der IP Konfiguration deiner primären NIC.

Hast Du das mal probiert? Und wenn Du kein DHCP hast, hast Du dann am Client das auch mal so probiert, nur der neue als DNS Server hinterlegt? Wie sind dann die Zeiten?

Hallo,
ja DHCP ist nicht installiert. Sind alle mit statische IP. Der SOA-Record verweist auf dem neuen Server SRVDC5.

Beim alten Server steht beim SOA-Record der alte Server drin SRVDC3. Ist das normal?

Ich möchte im Moment den den alten Server nicht als alternative DNS aus den Einstellungen nehmen. Hab die Befürchtung das ich dann gar nicht mehr drauf komme.

Beim alten Server steht beim SOA-Record der alte Server drin SRVDC3. Ist das normal?

Ja.

Sind denn die Zonen ansonsten identisch, funktioniert da die Replikation? Oder wurde da irgendetwas händisch "übertragen"?

Ich möchte im Moment den den alten Server nicht als alternative DNS aus den Einstellungen nehmen. Hab die Befürchtung das ich dann gar nicht mehr drauf komme.

Dann nimm ihn bei einem Client raus, lass den alten ausgeschaltet und schau, was der Client macht.

Was sagen denn eigentlich die Eventlogs auf beiden Servern?
Auf dem alten die DFRS logs, auf dem neuen alles nach dem Systemstart. Tritt da 4013 auch auf, wenn der alte Server läuft (und vor dem Reboot des neuen erreichbar ist)?

Schau mal nach die Reverse DNS Einträge deiner DCs sauber sind und funktionieren. Die IPv6 sollte raus…

Wenn du Sie einem DC zuordnen kannst, dort auf der NIC entfernen. Ansonsten mal den Eintrag dazu im DNS löschen.

Gruß

Ich wuerde in diesem Fall ein neues AD aufsetzen und den alten Kram sterben lassen. Es hat wohl einige Fallsticke in dem System. Die falsche IP Adressierung wird Dir mal um die Ohren fliegen und auch ein paar andere Dinge.

Hallo,
also in der DNS wurde nichts von Hand eingetragen. Diese replizieren sich auch, wenn ich vom alten oder neuen Server einen Eintrag lösche verschwindet der auch beim anderen. Genau so wie die Computers. IPv6 werd ich mal deaktivieren und die dazu gehörigen Einträge löschen. Neue Test kann ich aber leider erst am Wochende wieder machen. Und bis dahin kann ich mir die DFRS logs mal anschauen, bis jetzt kommen hier nur Fehler zu den Sicherungszeiten.

Hallo, Starmanager
neue AD bedeutet viel Arbeit alle Rechner wieder in die Domäne aufnehmen. Benutzerrechte, Benutzerprofile, Freigaben etc. Hätte ich gerne vermieden.

Ich möchte im Moment den den alten Server nicht als alternative DNS aus den Einstellungen nehmen. Hab die Befürchtung das ich dann gar nicht mehr drauf komme.

Dann nimm ihn bei einem Client raus, lass den alten ausgeschaltet und schau, was der Client macht.

Was ist dabei herausgekommen?

Und für Deine weiteren Tests: wie ist es, wenn Du einen weiteren DC aufbaust, der nicht die FSMO Rollen bekommt, macht der dann sauber die Auflösung, wenn die anderen nicht erreichbar sind?

Was ist dabei herausgekommen?

Hallo DivideByZero, konnte ich noch nicht tetsten. Am Wochende sieht es besser aus.

Und das mit einen weiteren DC könnte ich dann auch mal testen. Ist vielleicht mal einen Versuch wert.

Danke für die Unterstützung.

Hallo,
ich habe jetzt einen 3 DC zur Domäne hinzugefügt. Um ein wenig besser zu testen. Also das Problem oben das das Passwort falsch ist kommt jetzt nicht mehr beim neuen Server. Aber wenn ich einen der beiden neuen Server allein ohne Router starte dann läuft die AD nicht. Fehlermeldung:
Namensinformationen könne aufgrund folgendes Fehlers nicht ermittelt werden Der Server ist nicht funktionstüchtig.
Kennt jemand das Problem?

Hallo

Wie sieht den deine DNS Zone nun mit dem dritten DC aus?
Gruß

Wie davor nur mit den dritten DC. IPv6 Einträge habe ich gelöscht. Ich denke das die Server die Namensauflösung irgendwie im Router machen und wenn der fehlt beim Neustart ein Problem haben.

Nein, Namensauflösung ist ein eingebauter Job des Active Directory Domain Controllers in form von Domain Name System (DNS).. Die IPv6 Eintrage kam auch bisher nicht zurück, weil du IPv6 deaktiviert hast oder?

Lassen sich alle drei DC Server ansprechen von deinem Test-PC per:
-IP
-DNS

Funktioniert der Reverse DNS gegenüber allen drei Servern mit allen drei Servern?

nslookup 172.40.10.1  172.40.10.1 
nslookup 172.40.10.235 172.40.10.1 

nslookup 172.40.10.1  172.40.10.235
nslookup 172.40.10.235 172.40.10.235

Den dritten DC musst du selbst einbauen, die IP kennen wir ja noch nicht.

Gruß

Bei allen 3 gleich

Sobald ich das Netzwerkkabel von den Servern ausstecke und neu starte. Habe ich das Problem das die AD nicht läuft.

Dann stimmt etwas mit DNS oder Replikation nicht.

Der nslookup auf deinen Domänennamen löst aber sauber auf? (Der Name der Domäne steht übrigens im ersten Post)

Ferner stellt sich mir die Frage wie du die Replikationszeiten konfiguriert hast.. Der Default liegt bei 180 Minuten...

Gruß

Hallo, also ich bin jetzt noch ein wenig weitergekommen. Es wird wahrscheinlich ein DNS-Problem sein. Und dieses tritt nur auf, wenn kein Netzwerkkabel angeschlossen ist. Es genügt schon, wenn ich den Server einfach alleine an einen Switch hänge. Dann startet alles.

Danke noch mal für eure Unterstützung. Werde wenn ich nicht weiterkommen einen neuen Beitrag eröffnen.

Gruß