12
Probleme nach DC Migration von 2003 nach 2012 (Verarbeitungsfehler beim Sammeln.)
Hallo zusammen,
gestern habe ich unseren 2003er Domänencontroller auf 2012 R2 migriert. Das hat auch alles ohne Probleme funktioniert.
Bei der Gelegenheit habe ich direkt einen zweiten Domänencontroller erzeugt.
Momentan laufen die drei noch parallel, der 2003er soll aber kurzfristig in Rente geschickt werden und die Domänenfunktionsebene dann auch auf 2012 R2 angehoben werden.
Bislang ist mir ein Problem aufgefallen. Wenn ich die Gruppenrichtlinien-Verwaltungskonsole starte, bekomme ich folgende Fehlermeldung:
Im Internet finde ich nicht so viele Informationen dazu, außer diesen Artikel von Microsoft:
https://support.microsoft.com/de-de/kb/2979923
Der Hostname enthält aber keine Kleinbuchstaben.
Ignoriere ich die Fehlermeldung und versuche beispielsweise die Default Domain Policy zu bearbeiten, bekomme ich folgenden Fehler:
Hat irgendjemand vielleicht einen Tipp für mich?
Danke und Gruß
Christian
gestern habe ich unseren 2003er Domänencontroller auf 2012 R2 migriert. Das hat auch alles ohne Probleme funktioniert.
Bei der Gelegenheit habe ich direkt einen zweiten Domänencontroller erzeugt.
Momentan laufen die drei noch parallel, der 2003er soll aber kurzfristig in Rente geschickt werden und die Domänenfunktionsebene dann auch auf 2012 R2 angehoben werden.
Bislang ist mir ein Problem aufgefallen. Wenn ich die Gruppenrichtlinien-Verwaltungskonsole starte, bekomme ich folgende Fehlermeldung:
Im Internet finde ich nicht so viele Informationen dazu, außer diesen Artikel von Microsoft:
https://support.microsoft.com/de-de/kb/2979923
Der Hostname enthält aber keine Kleinbuchstaben.
Ignoriere ich die Fehlermeldung und versuche beispielsweise die Default Domain Policy zu bearbeiten, bekomme ich folgenden Fehler:
Hat irgendjemand vielleicht einen Tipp für mich?
Danke und Gruß
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 278129
Url: https://administrator.de/contentid/278129
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
12 Kommentare
Neuester Kommentar
Sers,
vorab: Folgendes Versucht? Gruppenrichtlinienverwaltungskonsole gestartet, Rechtsklick auf die Domäne, Domänencontroller ändern, und einen anderen ausgewählt? Entweder hast du noch einen alten nicht mehr existenten drinnen gehabt, oder deine Domäne hat nen Schuss weg. Oder dein DNS.
Was sagen DCdiag und Eventlog?
Und wie hast du den 2003er DC "migriert" wenn es noch andere DC im Netz gibt?
Grüße,
Philip
vorab: Folgendes Versucht? Gruppenrichtlinienverwaltungskonsole gestartet, Rechtsklick auf die Domäne, Domänencontroller ändern, und einen anderen ausgewählt? Entweder hast du noch einen alten nicht mehr existenten drinnen gehabt, oder deine Domäne hat nen Schuss weg. Oder dein DNS.
Was sagen DCdiag und Eventlog?
Und wie hast du den 2003er DC "migriert" wenn es noch andere DC im Netz gibt?
Grüße,
Philip
Hi Philip,
sorry, da habe ich mich natürlich sehr unglücklich ausgedrückt, da ich gedanklich schon bei der Fehlerbeschreibung war.
Ich habe zu dem vorhandenen physikalischen Server auf Basis von Windows Server 2003 R2 (DC1), zwei virtuelle Windows Server 2012 R2 (DC2 & DC3) hinzugefügt.
AD Rolle installiert, den Konfigurationsprozess durchlaufen und anschließend die 5 FSMO Rollen vom 2003er auf den 2012er verschoben und anschließend wie gesagt noch einen zweiten 2012er erstellt.
netdom sagt folgendes:
PS C:\Users\Administrator.XYZ> netdom query fsmo
Schemamaster XYZ-DC02.XYZ.local
Domänennamen-Master XYZ-DC02.XYZ.local
PDC XYZ-DC02.XYZ.local
RID-Pool-Manager XYZ-DC02.XYZ.local
Infrastrukturmaster XYZ-DC02.XYZ.local
Der Befehl wurde ausgeführt.
dcdiag spuckt folgendes aus:
PS C:\Users\Administrator.XYZ> dcdiag
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XYZ-DC02
sorry, da habe ich mich natürlich sehr unglücklich ausgedrückt, da ich gedanklich schon bei der Fehlerbeschreibung war.
Ich habe zu dem vorhandenen physikalischen Server auf Basis von Windows Server 2003 R2 (DC1), zwei virtuelle Windows Server 2012 R2 (DC2 & DC3) hinzugefügt.
AD Rolle installiert, den Konfigurationsprozess durchlaufen und anschließend die 5 FSMO Rollen vom 2003er auf den 2012er verschoben und anschließend wie gesagt noch einen zweiten 2012er erstellt.
netdom sagt folgendes:
PS C:\Users\Administrator.XYZ> netdom query fsmo
Schemamaster XYZ-DC02.XYZ.local
Domänennamen-Master XYZ-DC02.XYZ.local
PDC XYZ-DC02.XYZ.local
RID-Pool-Manager XYZ-DC02.XYZ.local
Infrastrukturmaster XYZ-DC02.XYZ.local
Der Befehl wurde ausgeführt.
dcdiag spuckt folgendes aus:
PS C:\Users\Administrator.XYZ> dcdiag
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XYZ-DC02
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Connectivity
......................... XYZ-DC02 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Advertising
Achtung: Bei dem Versuch, XYZ-DC02 zu erreichen, wurden von DsGetDcName Informationen für
\\blablub.XYZ.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
......................... Der Test Advertising für XYZ-DC02 ist fehlgeschlagen.
Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... XYZ-DC02 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... XYZ-DC02 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... XYZ-DC02 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... XYZ-DC02 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... XYZ-DC02 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... XYZ-DC02 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... XYZ-DC02 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\XYZ-DC02\netlogon)
[XYZ-DC02] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
Der Netzwerkname wurde nicht gefunden..
......................... Der Test NetLogons für XYZ-DC02 ist fehlgeschlagen.
Starting test: ObjectsReplicated
......................... XYZ-DC02 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... XYZ-DC02 hat den Test Replications bestanden.
Starting test: RidManager
......................... XYZ-DC02 hat den Test RidManager bestanden.
Starting test: Services
......................... XYZ-DC02 hat den Test Services bestanden.
Starting test: SystemLog
......................... XYZ-DC02 hat den Test SystemLog bestanden.
Starting test: VerifyReferences
......................... XYZ-DC02 hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: XYZ
Starting test: CheckSDRefDom
......................... XYZ hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... XYZ hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: XYZ.local
Starting test: LocatorCheck
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
......................... Der Test LocatorCheck für XYZ.local ist fehlgeschlagen.
Starting test: Intersite
......................... XYZ.local hat den Test Intersite bestanden.
PS C:\Users\Administrator.XYZ>
In der Ereignisanzeige konnte ich leider nichts auffälliges finden.
Wie kommt der denn auf das schmale Brett hier?
Achtung: Bei dem Versuch, XYZ-DC02 zu erreichen, wurden von DsGetDcName Informationen für
\\blablub.XYZ.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
blablub.XYZ.local ist der alte DC, woher holt er sich denn die Informationen?
Auf den beiden neuen DC ist ein Zeitserver eingetragen, habe ich gerade auch nochmal mit w32tm /query /source geprüft.
Gruß
Christian
Hast du den alten DC "blablub" demoted? Oder nur heruntergefahren?
War blablub ein DNS Server? Wenn ja, wurden er aus den statischen und DHCP Konfigurationen entfernt?
Wenn blablub demoted wurde, sind offensichtlich noch seine Einträge in den Sites (dssite.msc, dnsmgmt.msc) vorhanden. Prüfe das bitte.
War blablub ein DNS Server? Wenn ja, wurden er aus den statischen und DHCP Konfigurationen entfernt?
Wenn blablub demoted wurde, sind offensichtlich noch seine Einträge in den Sites (dssite.msc, dnsmgmt.msc) vorhanden. Prüfe das bitte.
Hi,
der alte DC läuft noch und wurde auch noch nicht demoted, weshalb die Domänenfunktionsebene auch noch auf 2003 läuft und nicht wie geplant auf 2012 R2.
Ich war der Meinung das ich die "Umstellung" so erstmal testen kann und gegebenenfalls nochmal zurückrudern kann.
Wieso taucht der alte DC bei der dcdiag Abfrage überhaupt auf? Ich habe doch alle Rollen auf den neuen Server übertragen.
Gruß
Christian
der alte DC läuft noch und wurde auch noch nicht demoted, weshalb die Domänenfunktionsebene auch noch auf 2003 läuft und nicht wie geplant auf 2012 R2.
Ich war der Meinung das ich die "Umstellung" so erstmal testen kann und gegebenenfalls nochmal zurückrudern kann.
Wieso taucht der alte DC bei der dcdiag Abfrage überhaupt auf? Ich habe doch alle Rollen auf den neuen Server übertragen.
Gruß
Christian
Ok, da läuft was an der Replikation schief. Geh doch mal bitte diese Punkte durch.
Hi,
Die Gruppe Administratoren scheint dort schon eingetragen zu sein, jedenfalls bekomme ich diese Meldung wenn ich die Gruppe hinzufügen will.
Erledigt ohne Fehlermeldung o.ä.!
Erledigt ohne Fehlermeldung o.ä.!
Weder SYSVOL noch NETLOGON sind freigegeben.
1. Determine which security group policy is applying this setting to the DCs by running on the PDCE:
GPRESULT.EXE /H secpol.htm
2. Open secpol.htm in a web browser then click "Show All". Search for the entry "Manage Auditing and Security Log." It will list the group policy that is applying this setting.
3. Using GPMC.MSC, edit that group policy to include the group "Administrators".
GPRESULT.EXE /H secpol.htm
2. Open secpol.htm in a web browser then click "Show All". Search for the entry "Manage Auditing and Security Log." It will list the group policy that is applying this setting.
3. Using GPMC.MSC, edit that group policy to include the group "Administrators".
Die Gruppe Administratoren scheint dort schon eingetragen zu sein, jedenfalls bekomme ich diese Meldung wenn ich die Gruppe hinzufügen will.
4. Allow AD and SYSVOL replication to converge on all DCs. On the affected DC, run:
GPUPDATE /FORCE
GPUPDATE /FORCE
Erledigt ohne Fehlermeldung o.ä.!
5. Restart the DFSR service on that DC.
Erledigt ohne Fehlermeldung o.ä.!
6. Validate that the DC now shares SYSVOL and NETLOGON, and replicates SYSVOL inbound.
Weder SYSVOL noch NETLOGON sind freigegeben.
Auch interessant:
PS C:\Users\Administrator.XYZ> dcdiag /test:replications
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XYZ-DC02
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Connectivity
XYZ-DC02 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Replications
XYZ-DC02 hat den Test Replications bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Partitionstests werden ausgeführt auf: DomainDnsZones
Partitionstests werden ausgeführt auf: Schema
Partitionstests werden ausgeführt auf: Configuration
Partitionstests werden ausgeführt auf: XYZ
Unternehmenstests werden ausgeführt auf: XYZ.local
PS C:\Users\Administrator.XYZ>
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XYZ-DC02
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Connectivity
XYZ-DC02 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Replications
XYZ-DC02 hat den Test Replications bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Partitionstests werden ausgeführt auf: DomainDnsZones
Partitionstests werden ausgeführt auf: Schema
Partitionstests werden ausgeführt auf: Configuration
Partitionstests werden ausgeführt auf: XYZ
Unternehmenstests werden ausgeführt auf: XYZ.local
PS C:\Users\Administrator.XYZ>
PS C:\Users\Administrator.XYZ> dcdiag /test:netlogons
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XYZ-DC02
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Connectivity
XYZ-DC02 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: NetLogons
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\XYZ-DC02\netlogon)
[XYZ-DC02] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
Der Netzwerkname wurde nicht gefunden..
......................... Der Test NetLogons für XYZ-DC02 ist fehlgeschlagen.
Partitionstests werden ausgeführt auf: ForestDnsZones
Partitionstests werden ausgeführt auf: DomainDnsZones
Partitionstests werden ausgeführt auf: Schema
Partitionstests werden ausgeführt auf: Configuration
Partitionstests werden ausgeführt auf: XYZ
Unternehmenstests werden ausgeführt auf: XYZ.local
PS C:\Users\Administrator.XYZ>
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = XYZ-DC02
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: Connectivity
XYZ-DC02 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\XYZ-DC02
Starting test: NetLogons
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\XYZ-DC02\netlogon)
[XYZ-DC02] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
Der Netzwerkname wurde nicht gefunden..
......................... Der Test NetLogons für XYZ-DC02 ist fehlgeschlagen.
Partitionstests werden ausgeführt auf: ForestDnsZones
Partitionstests werden ausgeführt auf: DomainDnsZones
Partitionstests werden ausgeführt auf: Schema
Partitionstests werden ausgeführt auf: Configuration
Partitionstests werden ausgeführt auf: XYZ
Unternehmenstests werden ausgeführt auf: XYZ.local
PS C:\Users\Administrator.XYZ>
Zitat von @Christian31:
> 6. Validate that the DC now shares SYSVOL and NETLOGON, and replicates SYSVOL inbound.
Weder SYSVOL noch NETLOGON sind freigegeben.
> 6. Validate that the DC now shares SYSVOL and NETLOGON, and replicates SYSVOL inbound.
Weder SYSVOL noch NETLOGON sind freigegeben.
\\deine.domain\SYSVOL und \\deine.domain\NETLOGON sind automatische Freigaben. Sonst funktioniert die Domäne nicht.
Ja, ich weiß, die beiden Verzeichnisse sind aber nur auf dem 2003er freigegeben, das wird das Problem sein.
Aber wieso er die Freigabe nicht erzeugt hat, ist mir ein Rätsel.
Aber wieso er die Freigabe nicht erzeugt hat, ist mir ein Rätsel.
Hast du auf DC2 folgenden Registry Eintrag?
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA Not Writable 4
Hi Philip,
vielen Dank für deine Hilfe! Die Lösung lautet BurFlags.
Nach erneutem initialisieren des Dateireplikationsdienst funktioniert nun alles.
Die Freigaben sind da, die Dateien wurden erfolgreich kopiert und jetzt kann ich auch die Gruppenrichtlinien bearbeiten.
Lösung:
Auf allen drei Servern den Dateireplikationsdienst beenden.
Auf dem Server wo alles läuft (Server 1) und die Dateien im SYSVOL Verzeichnis vorhanden sind, BurFlags auf D4 setzen.
Auf den anderen beiden Servern muss der Wert D2 gesetzt sein.
Auf Server 1 den Dateireplikationsdienst starten und kurz warten das Ereignis 13516 protokolliert wird.
Anschließend Server 2 starten, wenn alles repliziert wurde Server 3 starten. Hierzu werden auch entsprechende Einträge in der Ereignisanzeige protokolliert.
Das war's...
Gruß
Christian
vielen Dank für deine Hilfe! Die Lösung lautet BurFlags.
Nach erneutem initialisieren des Dateireplikationsdienst funktioniert nun alles.
Die Freigaben sind da, die Dateien wurden erfolgreich kopiert und jetzt kann ich auch die Gruppenrichtlinien bearbeiten.
Lösung:
Auf allen drei Servern den Dateireplikationsdienst beenden.
Auf dem Server wo alles läuft (Server 1) und die Dateien im SYSVOL Verzeichnis vorhanden sind, BurFlags auf D4 setzen.
Auf den anderen beiden Servern muss der Wert D2 gesetzt sein.
Auf Server 1 den Dateireplikationsdienst starten und kurz warten das Ereignis 13516 protokolliert wird.
Anschließend Server 2 starten, wenn alles repliziert wurde Server 3 starten. Hierzu werden auch entsprechende Einträge in der Ereignisanzeige protokolliert.
Das war's...
Gruß
Christian
Juddi, dann mal mit gutem Gefühl ins Wochenende 
