letstryandfindout
Goto Top

Probleme nach Migration von 2008r2 auf 2016

Hallo zusammen,

ich habe hier einen alten 2008 R2 Server welchen ich heute migriert habe. Erst habe ich über den 2016 Server die DHCP Einstellungen exportiert und dann importiert. Danach habe ich dann die Rollen verschoben mit:

roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master

Dies ist auch sauber ohne Probleme durchgelaufen. Ebenfalls habe ich danach mit dcpromo den 2008 runtergestuft und aus der AD als Computer entfernt. Bis zu diesem Zeitpunkt ist in meinen Augen auch alles gut gewesen. Nun habe ich testweise einem PC hier neu gestartet. Hier erhalte ich nun aber "Anmelden fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort". Somit war mein erster Verdacht der DNS Server. Der Check hat folgendes ergeben:

Verzeichnisserverdiagnose


Anfangssetup wird ausgefhrt:

   * Die Verbindung mit dem Verzeichnisdienst auf Server srvdc wird hergestellt.

   * Identifizierte AD-Gesamtstruktur. 
   Collecting AD specific global data 
   * Standortinformationen werden gesammelt.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded 
   Iterating through the sites 
   Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local
   Getting ISTG and options for the site
   * Alle Server werden identifiziert.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers 
   Getting information for the server CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local 
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Alle Querverweise des Namenskontexts werden identifiziert.

   * 1 Dom„nencontroller gefunden. 1 davon werden getestet.

   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\SRVDC

      Starting test: Connectivity

         * Active Directory LDAP Services Check
         Determining IP4 connectivity 
         * Active Directory RPC Services Check
         ......................... SRVDC hat den Test Connectivity bestanden.



Prim„rtests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\SRVDC

      Test durch Benutzeranforderung ausgelassen: Advertising

      Test durch Benutzeranforderung ausgelassen: CheckSecurityError

      Test durch Benutzeranforderung ausgelassen: CutoffServers

      Test durch Benutzeranforderung ausgelassen: FrsEvent

      Test durch Benutzeranforderung ausgelassen: DFSREvent

      Test durch Benutzeranforderung ausgelassen: SysVolCheck

      Test durch Benutzeranforderung ausgelassen: KccEvent

      Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders

      Test durch Benutzeranforderung ausgelassen: MachineAccount

      Test durch Benutzeranforderung ausgelassen: NCSecDesc

      Test durch Benutzeranforderung ausgelassen: NetLogons

      Test durch Benutzeranforderung ausgelassen: ObjectsReplicated

      Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels

      Test durch Benutzeranforderung ausgelassen: Replications

      Test durch Benutzeranforderung ausgelassen: RidManager

      Test durch Benutzeranforderung ausgelassen: Services

      Test durch Benutzeranforderung ausgelassen: SystemLog

      Test durch Benutzeranforderung ausgelassen: Topology

      Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReferences

      Test durch Benutzeranforderung ausgelassen: VerifyReplicas

   
      Starting test: DNS

         

         DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige Minuten...

         See DNS test in enterprise tests section for results
         ......................... SRVDC hat den Test DNS bestanden.

   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: Schema

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: Configuration

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Partitionstests werden ausgefhrt auf: meinedomäne

      Test durch Benutzeranforderung ausgelassen: CheckSDRefDom

      Test durch Benutzeranforderung ausgelassen: CrossRefValidation

   
   Unternehmenstests werden ausgefhrt auf: meinedomäne.local

      Starting test: DNS

         Testergebnisse fr Dom„nencontroller:

            
            Dom„nencontroller: SRVDC.meinedomäne.local

            Dom„ne: meinedomäne.local

            

                  
               TEST: Authentication (Auth)
                  Authentifizierungstest: Erfolgreich abgeschlossen
                  
               TEST: Basic (Basc)
                  Das OS Microsoft Windows Server 2016 Standard (Service Pack level: 0.0) wird untersttzt.

                  NETLOGON-Dienst wird ausgefhrt.

                  kdc-Dienst wird ausgefhrt.

                  DNSCACHE-Dienst wird ausgefhrt.

                  DNS-Dienst wird ausgefhrt.

                  Dom„nencontroller ist ein DNS-Server.

                  Informationen zum Netzwerkadapter:

                  Adapter [00000000] Intel(R) 82574L Gigabit Network Connection:

                     MAC address is 00:0C:29:0B:B0:35
                     IP-Adresse ist statisch. 
                     IP address: 192.168.2.241, fe80::a416:64cd:61fe:b6d9
                     DNS-Server:

                        127.0.0.1 (SRVDC) [Valid]
                  The A host record(s) for this DC was found
                  The SOA record for the Active Directory zone was found
                  The Active Directory zone on this DC/DNS server was found primary
                  Root zone on this DC/DNS server was not found
         
         Zusammenfassung der Testergebnisse fr die von den oben aufgefhrten Dom„nencontrollern verwendeten

         DNS-Server:

         

            DNS-Server: 192.168.2.241 (SRVDC)

               Alle Tests auf diesem DNS-Server bestanden

               Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
               
         Zusammenfassung der DNS-Testergebnisse:

         
                                            Auth. Bas. Weiterl. Entf.  Dyn.  RReg. Erw.
            _________________________________________________________________
            Dom„ne: meinedomäne.local

               SRVDC                        PASS PASS n/a  n/a  n/a  n/a  n/a  
         
         ......................... meinedomäne.local hat den Test DNS bestanden.

      Test durch Benutzeranforderung ausgelassen: LocatorCheck

      Test durch Benutzeranforderung ausgelassen: Intersite

Das sieht ja soweit gut aus. Dann habe ich festgestellt das ich bei einem ipconfig /renew keine IP Adresse bekomme bei dem Client. Der DHCP Server jedoch läuft aber. Hat eventuell jemand einen Tipp oder eine Idee?

Danke für die Hilfe.

P.S.

Im Eventlog finde ich nur einen Eintrag:

Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne gnpratteln.local nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es folgende Gründe geben:

Der Computer gehört zu einer Organisation des Verzeichnisdiensts und ist in derselben nicht autorisiert (Weitere Informationen finden Sie in der Hilfe zur DHCP-Serververwaltung).
Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.
Ein unerwarteter Netzwerkfehler ist aufgetreten.

Content-ID: 467981

Url: https://administrator.de/forum/probleme-nach-migration-von-2008r2-auf-2016-467981.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

chgorges
chgorges 01.07.2019 aktualisiert um 13:50:35 Uhr
Goto Top
Zitat von @letstryandfindout:

Hallo zusammen,
Hi,
ich habe hier einen alten 2008 R2 Server welchen ich heute migriert habe. Erst habe ich über den 2016 Server die DHCP Einstellungen exportiert und dann importiert. Danach habe ich dann die Rollen verschoben mit:

roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master


Wow, war das wirklich deine Planung? Wundert mich nicht, dass nichts mehr läuft.

Normalerweise läuft das so ab:

1) Hinzufügen des 2016ers zur Domäne, bzw. Domänenintegration als Memberserver (mit Installation ADDS und DNS)
2) 24 Stunden warten bis alles synchronisiert ist
3) Alle Schemas und Rollen auf den 2016er verschieben
4) Wenn dann alles sauber läuft wird der DHCP-Server migriert
5) Neuen DHCP-Server authorisieren
6) 2008er herunterstufen und aus der Domäne entfernen

Bei dir wird auf dem 2016er vermutlich alles fehlen.
erikro
erikro 01.07.2019 um 13:49:51 Uhr
Goto Top
Moin,

der DHCP-Server ist authorisiert?

Liebe Grüße

Erik
letstryandfindout
letstryandfindout 01.07.2019 um 13:50:54 Uhr
Goto Top
Okay das hätte ich dazuschreiben sollen. Der 2016er Server hängt schon gute 2 Wochen hier mit im Netz. Wurde als zweiter DC mit eingebunden. Die Rollen habe ich dann wie oben genannt verschoben und mir noch mal anzeigen lassen. Dann DHCP Server installiert und migriert. Dann den 2008er heruntergestuft.
chgorges
chgorges 01.07.2019 um 13:51:43 Uhr
Goto Top
Zitat von @letstryandfindout:

Okay das hätte ich dazuschreiben sollen. Der 2016er Server hängt schon gute 2 Wochen hier mit im Netz. Wurde als zweiter DC mit eingebunden. Die Rollen habe ich dann wie oben genannt verschoben und mir noch mal anzeigen lassen. Dann DHCP Server installiert und migriert. Dann den 2008er heruntergestuft.

Ok und du hast den DHCP-Server auf dem 2016er dann authorisiert?
letstryandfindout
letstryandfindout 01.07.2019 aktualisiert um 13:52:53 Uhr
Goto Top
Ja. Ist auch grün. Ich habe auch mal versucht zu sagen Authorisierung aufheben und neu authorisieren und genau dann bekomme ich die Meldung wie oben im Eventlog.
erikro
erikro 01.07.2019 um 14:03:22 Uhr
Goto Top
Moin,

Zitat von @chgorges:

Zitat von @letstryandfindout:

Okay das hätte ich dazuschreiben sollen. Der 2016er Server hängt schon gute 2 Wochen hier mit im Netz. Wurde als zweiter DC mit eingebunden.

Und es wurde auch geprüft, ob die Replikation läuft? Es wurde geprüft, ob die Replikation per DFS und nicht mehr per FRS läuft? Es wurde mal versuchsweise der alte DC abgeschaltet, bevor er vollkommen aus der Domain entfernt wurde?

Ist der User, der sich nicht anmelden kann, im AD vorhanden? Können sich alle User nicht mehr anmelden? Oder nur einzelne? Können sich die Clients mit dem AD verbinden? Was passiert, wenn Du einem Client eine feste IP verpasst?

Liebe Grüße

Erik
letstryandfindout
letstryandfindout 01.07.2019 um 14:13:51 Uhr
Goto Top
Hallo Erik,

ich habe zum Zeitpunkt als der alte Server noch lief einen funktionierenden DHCP Server gehabt. Der Dienst lief auch nur auf dem neuen und war am alten Server deaktiviert. Da ich sehen wollte ob alle Einträge stimmen. DNS etc. Habe gerade zum Test mal den Server gelöscht, neu gestartet und noch mal installiert. Am Ende kommt beim 2 Punkt dann "...Die angegebenen Server sind bereits im Verzeichnisdienst vorhanden". Sorry bin kein Profi und der Wechsel von 2012 auf 2016 hat immer ohne Probleme geklappt.
Looser27
Looser27 01.07.2019 um 14:16:17 Uhr
Goto Top
Du hast im DHCP aber schon die DNS-Optionen auf den(die) neuen DCs korrogiert?
letstryandfindout
letstryandfindout 01.07.2019 um 14:20:51 Uhr
Goto Top
Ja die sind angepasst.
Looser27
Looser27 01.07.2019 um 14:26:07 Uhr
Goto Top
Ich hab das vor einem Jahr auch gemacht.

Rollen habe ich wie hier beschrieben verschoben.
emeriks
emeriks 01.07.2019 aktualisiert um 14:27:52 Uhr
Goto Top
Hi,
Zitat von @letstryandfindout:
ich habe zum Zeitpunkt als der alte Server noch lief einen funktionierenden DHCP Server gehabt. Der Dienst lief auch nur auf dem neuen und war am alten Server deaktiviert. Da ich sehen wollte ob alle Einträge stimmen. DNS etc. Habe gerade zum Test mal den Server gelöscht, neu gestartet und noch mal installiert. Am Ende kommt beim 2 Punkt dann "...Die angegebenen Server sind bereits im Verzeichnisdienst vorhanden".
Sorry bitte, aber könnte es sein, dass Dein primäres Problem Dein Aktionismus ist? "Mal schnell rauf- und runterinstallieren."

Wenn der DHCP-Server-Dienst im Eventlog des DHCP-Servers meldet, er sei nicht authorisiert, dann ist das so. Also kann nicht "alles grün" sein.
Wenn man einen DHCP-Server neu oder deinstalliert, ohne vorher seine Authorisation aufzuehen, dann bleibt diese im AD erhalten. AD merkt sich das anhand der IP-Adresse. Das bedeutet, wenn man den Server oder nur die Rolle unter Beibehaltungn des Namens und der IP-Adresse des Servers (Bindung des DHCP-Servers) neu aufsetzt, dass dieser anschließend sofort wieder im AD authorisiert ist.

Du könntest versuchen "bei Null" anzufangen, indem Du mit ADSIEDIT in der Configuration Partition im Container

CN=NetServices,CN=Services,CN=Configuration,DC=domain,DC=tld

alle Objekte von Klasse "dHCPClass" löschst.
Dann ein paar Minuten wartest.
Dann den DHCP-Dienst durchstartest.
Dann die DHCP-MMC neu verbinden.
Dann neu authorisieren.

E.
letstryandfindout
letstryandfindout 01.07.2019 um 14:39:16 Uhr
Goto Top
Also unter CN=NetService stand noch der alte Name drinnen. Diesen habe ich gelöscht. Das war auch der einzige Eintrag. Gewartet, Dienst neu gestartet und dann den Server neu authorisiert. Nun steht im ADSIEDIT auch der neue Server Name drinnen. Im Eventlog ist jedoch wieder die ID 1046 hinterlegt.
emeriks
emeriks 01.07.2019 um 14:45:07 Uhr
Goto Top
Zitat von @letstryandfindout:
Im Eventlog ist jedoch wieder die ID 1046 hinterlegt.
System-Eventlog des DHP-Servers?
Mit einem Zeitstempel nachdem Du den Server wieder authorisiert hattest?
letstryandfindout
letstryandfindout 01.07.2019 um 14:51:36 Uhr
Goto Top
Genau. Im Eventlog unter System taucht genau zu der Uhrzeit beim Neustart des Servers dann der Fehler mit der ID 1046 auf.

Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne gnpratteln.local nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es folgende Gründe geben:

Der Computer gehört zu einer Organisation des Verzeichnisdiensts und ist in derselben nicht autorisiert (Weitere Informationen finden Sie in der Hilfe zur DHCP-Serververwaltung).

Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.

Ein unerwarteter Netzwerkfehler ist aufgetreten.
emeriks
emeriks 01.07.2019 um 14:56:13 Uhr
Goto Top
Zitat von @letstryandfindout:
Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.
Hier würde ich ansetzen.

Der DHCP-Server ist selbst auch DC?
Welchen DNS-Server hat der DHCP-Server selbst in seiner statischen TCP/IP-Konfiguration eingetragen?
Hat der DHCP-Server mehrere Netzwerkkarten? Mehrere IP-Adressen?
letstryandfindout
letstryandfindout 01.07.2019 um 15:07:39 Uhr
Goto Top
Ja der Server ist auch gleich DC. Im DNS habe ich einen statischen Eintrag und es ist nur eine Netzwerkkarte aktiv.
emeriks
emeriks 01.07.2019 um 15:08:59 Uhr
Goto Top
Zitat von @letstryandfindout:
Im DNS habe ich einen statischen Eintrag
Danach hatte ich nicht gefragt.
letstryandfindout
letstryandfindout 01.07.2019 um 15:11:40 Uhr
Goto Top
Ups. Überlesen. Die IP vom Server
emeriks
emeriks 01.07.2019 um 15:15:02 Uhr
Goto Top
Er hat also sich selbst als DNS-Server eigetragen.

Ist er DNS-Server?
Falls ja, ist er als DNS-Server auch funktionstüchtig? Können DNS-Clients über diesen alle relevanten Records für AD-Forest und -Domain auflösen?
letstryandfindout
letstryandfindout 01.07.2019 um 15:22:17 Uhr
Goto Top
Ja er ist DC, DNS und DHCP Server. Der Test mit dcdiag (habe das Ergebnis ganz oben gepostet) ergabt ja keinen Befund nach einem Fehler. Clients können auch alles ohne Probleme auflösen.
em-pie
em-pie 01.07.2019 um 16:48:09 Uhr
Goto Top
Moin,

mal ganz blöde gefragt, weil ich es auch während der Migration feststellte:
Dem DHCP-Dienst habe ich einen eigenen Service-User spendieren müssen, damit er berechtigt ist, DNS-Einträge zu aktualisieren:
DHCP-Server -> IPv4 -> Rechtsklick+Eigenschaften -> Erweiter -> Anmeldeinformationen.
der USer muss dabei Mitglied der folgenden Gruppe(n) sein:
  • DHCP-Administratoren

schaue dazu auch mal hier:
Keine DNS-Einträge vom DHCP-Server im Windows Server 2012 R2

Gruß
em-pie
letstryandfindout
letstryandfindout 01.07.2019 um 21:49:14 Uhr
Goto Top
Wenn man den Wald vor lauter Bäumen nicht sieht. Ich hatte im DNS Server einmal SRVDC und dann SRVDC.meinedomäne.local. Kaum habe ich die zweite gelöscht, startet der DHCP sauber, es funktioniert alles. Ich weiss nicht wie blind ich sein konnte. Ich möchte mich aber bei euch allen wirklich bedanken für eure Hilfe. Ich bin sehr Dankbar über dieses Forum hier. Vielen Dank euch allen.
emeriks
emeriks 02.07.2019 um 07:19:55 Uhr
Goto Top
Zitat von @letstryandfindout:
Ich hatte im DNS Server einmal SRVDC und dann SRVDC.meinedomäne.local.
Jaja, schon klar ....