Probleme nach Migration von 2008r2 auf 2016
Hallo zusammen,
ich habe hier einen alten 2008 R2 Server welchen ich heute migriert habe. Erst habe ich über den 2016 Server die DHCP Einstellungen exportiert und dann importiert. Danach habe ich dann die Rollen verschoben mit:
roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master
Dies ist auch sauber ohne Probleme durchgelaufen. Ebenfalls habe ich danach mit dcpromo den 2008 runtergestuft und aus der AD als Computer entfernt. Bis zu diesem Zeitpunkt ist in meinen Augen auch alles gut gewesen. Nun habe ich testweise einem PC hier neu gestartet. Hier erhalte ich nun aber "Anmelden fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort". Somit war mein erster Verdacht der DNS Server. Der Check hat folgendes ergeben:
Das sieht ja soweit gut aus. Dann habe ich festgestellt das ich bei einem ipconfig /renew keine IP Adresse bekomme bei dem Client. Der DHCP Server jedoch läuft aber. Hat eventuell jemand einen Tipp oder eine Idee?
Danke für die Hilfe.
P.S.
Im Eventlog finde ich nur einen Eintrag:
Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne gnpratteln.local nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es folgende Gründe geben:
Der Computer gehört zu einer Organisation des Verzeichnisdiensts und ist in derselben nicht autorisiert (Weitere Informationen finden Sie in der Hilfe zur DHCP-Serververwaltung).
Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.
Ein unerwarteter Netzwerkfehler ist aufgetreten.
ich habe hier einen alten 2008 R2 Server welchen ich heute migriert habe. Erst habe ich über den 2016 Server die DHCP Einstellungen exportiert und dann importiert. Danach habe ich dann die Rollen verschoben mit:
roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master
Dies ist auch sauber ohne Probleme durchgelaufen. Ebenfalls habe ich danach mit dcpromo den 2008 runtergestuft und aus der AD als Computer entfernt. Bis zu diesem Zeitpunkt ist in meinen Augen auch alles gut gewesen. Nun habe ich testweise einem PC hier neu gestartet. Hier erhalte ich nun aber "Anmelden fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort". Somit war mein erster Verdacht der DNS Server. Der Check hat folgendes ergeben:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
* Die Verbindung mit dem Verzeichnisdienst auf Server srvdc wird hergestellt.
* Identifizierte AD-Gesamtstruktur.
Collecting AD specific global data
* Standortinformationen werden gesammelt.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local
Getting ISTG and options for the site
* Alle Server werden identifiziert.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meinedomäne,DC=local
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Alle Querverweise des Namenskontexts werden identifiziert.
* 1 Dom„nencontroller gefunden. 1 davon werden getestet.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\SRVDC
Starting test: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
......................... SRVDC hat den Test Connectivity bestanden.
Prim„rtests werden ausgefhrt.
Server wird getestet: Default-First-Site-Name\SRVDC
Test durch Benutzeranforderung ausgelassen: Advertising
Test durch Benutzeranforderung ausgelassen: CheckSecurityError
Test durch Benutzeranforderung ausgelassen: CutoffServers
Test durch Benutzeranforderung ausgelassen: FrsEvent
Test durch Benutzeranforderung ausgelassen: DFSREvent
Test durch Benutzeranforderung ausgelassen: SysVolCheck
Test durch Benutzeranforderung ausgelassen: KccEvent
Test durch Benutzeranforderung ausgelassen: KnowsOfRoleHolders
Test durch Benutzeranforderung ausgelassen: MachineAccount
Test durch Benutzeranforderung ausgelassen: NCSecDesc
Test durch Benutzeranforderung ausgelassen: NetLogons
Test durch Benutzeranforderung ausgelassen: ObjectsReplicated
Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
Test durch Benutzeranforderung ausgelassen: Replications
Test durch Benutzeranforderung ausgelassen: RidManager
Test durch Benutzeranforderung ausgelassen: Services
Test durch Benutzeranforderung ausgelassen: SystemLog
Test durch Benutzeranforderung ausgelassen: Topology
Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
Test durch Benutzeranforderung ausgelassen: VerifyReferences
Test durch Benutzeranforderung ausgelassen: VerifyReplicas
Starting test: DNS
DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige Minuten...
See DNS test in enterprise tests section for results
......................... SRVDC hat den Test DNS bestanden.
Partitionstests werden ausgefhrt auf: ForestDnsZones
Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
Test durch Benutzeranforderung ausgelassen: CrossRefValidation
Partitionstests werden ausgefhrt auf: DomainDnsZones
Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
Test durch Benutzeranforderung ausgelassen: CrossRefValidation
Partitionstests werden ausgefhrt auf: Schema
Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
Test durch Benutzeranforderung ausgelassen: CrossRefValidation
Partitionstests werden ausgefhrt auf: Configuration
Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
Test durch Benutzeranforderung ausgelassen: CrossRefValidation
Partitionstests werden ausgefhrt auf: meinedomäne
Test durch Benutzeranforderung ausgelassen: CheckSDRefDom
Test durch Benutzeranforderung ausgelassen: CrossRefValidation
Unternehmenstests werden ausgefhrt auf: meinedomäne.local
Starting test: DNS
Testergebnisse fr Dom„nencontroller:
Dom„nencontroller: SRVDC.meinedomäne.local
Dom„ne: meinedomäne.local
TEST: Authentication (Auth)
Authentifizierungstest: Erfolgreich abgeschlossen
TEST: Basic (Basc)
Das OS Microsoft Windows Server 2016 Standard (Service Pack level: 0.0) wird untersttzt.
NETLOGON-Dienst wird ausgefhrt.
kdc-Dienst wird ausgefhrt.
DNSCACHE-Dienst wird ausgefhrt.
DNS-Dienst wird ausgefhrt.
Dom„nencontroller ist ein DNS-Server.
Informationen zum Netzwerkadapter:
Adapter [00000000] Intel(R) 82574L Gigabit Network Connection:
MAC address is 00:0C:29:0B:B0:35
IP-Adresse ist statisch.
IP address: 192.168.2.241, fe80::a416:64cd:61fe:b6d9
DNS-Server:
127.0.0.1 (SRVDC) [Valid]
The A host record(s) for this DC was found
The SOA record for the Active Directory zone was found
The Active Directory zone on this DC/DNS server was found primary
Root zone on this DC/DNS server was not found
Zusammenfassung der Testergebnisse fr die von den oben aufgefhrten Dom„nencontrollern verwendeten
DNS-Server:
DNS-Server: 192.168.2.241 (SRVDC)
Alle Tests auf diesem DNS-Server bestanden
Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered
Zusammenfassung der DNS-Testergebnisse:
Auth. Bas. Weiterl. Entf. Dyn. RReg. Erw.
_________________________________________________________________
Dom„ne: meinedomäne.local
SRVDC PASS PASS n/a n/a n/a n/a n/a
......................... meinedomäne.local hat den Test DNS bestanden.
Test durch Benutzeranforderung ausgelassen: LocatorCheck
Test durch Benutzeranforderung ausgelassen: Intersite
Das sieht ja soweit gut aus. Dann habe ich festgestellt das ich bei einem ipconfig /renew keine IP Adresse bekomme bei dem Client. Der DHCP Server jedoch läuft aber. Hat eventuell jemand einen Tipp oder eine Idee?
Danke für die Hilfe.
P.S.
Im Eventlog finde ich nur einen Eintrag:
Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne gnpratteln.local nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es folgende Gründe geben:
Der Computer gehört zu einer Organisation des Verzeichnisdiensts und ist in derselben nicht autorisiert (Weitere Informationen finden Sie in der Hilfe zur DHCP-Serververwaltung).
Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.
Ein unerwarteter Netzwerkfehler ist aufgetreten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 467981
Url: https://administrator.de/forum/probleme-nach-migration-von-2008r2-auf-2016-467981.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
23 Kommentare
Neuester Kommentar
Hi,
Wow, war das wirklich deine Planung? Wundert mich nicht, dass nichts mehr läuft.
Normalerweise läuft das so ab:
1) Hinzufügen des 2016ers zur Domäne, bzw. Domänenintegration als Memberserver (mit Installation ADDS und DNS)
2) 24 Stunden warten bis alles synchronisiert ist
3) Alle Schemas und Rollen auf den 2016er verschieben
4) Wenn dann alles sauber läuft wird der DHCP-Server migriert
5) Neuen DHCP-Server authorisieren
6) 2008er herunterstufen und aus der Domäne entfernen
Bei dir wird auf dem 2016er vermutlich alles fehlen.
ich habe hier einen alten 2008 R2 Server welchen ich heute migriert habe. Erst habe ich über den 2016 Server die DHCP Einstellungen exportiert und dann importiert. Danach habe ich dann die Rollen verschoben mit:
roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master
roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master
Wow, war das wirklich deine Planung? Wundert mich nicht, dass nichts mehr läuft.
Normalerweise läuft das so ab:
1) Hinzufügen des 2016ers zur Domäne, bzw. Domänenintegration als Memberserver (mit Installation ADDS und DNS)
2) 24 Stunden warten bis alles synchronisiert ist
3) Alle Schemas und Rollen auf den 2016er verschieben
4) Wenn dann alles sauber läuft wird der DHCP-Server migriert
5) Neuen DHCP-Server authorisieren
6) 2008er herunterstufen und aus der Domäne entfernen
Bei dir wird auf dem 2016er vermutlich alles fehlen.
Zitat von @letstryandfindout:
Okay das hätte ich dazuschreiben sollen. Der 2016er Server hängt schon gute 2 Wochen hier mit im Netz. Wurde als zweiter DC mit eingebunden. Die Rollen habe ich dann wie oben genannt verschoben und mir noch mal anzeigen lassen. Dann DHCP Server installiert und migriert. Dann den 2008er heruntergestuft.
Okay das hätte ich dazuschreiben sollen. Der 2016er Server hängt schon gute 2 Wochen hier mit im Netz. Wurde als zweiter DC mit eingebunden. Die Rollen habe ich dann wie oben genannt verschoben und mir noch mal anzeigen lassen. Dann DHCP Server installiert und migriert. Dann den 2008er heruntergestuft.
Ok und du hast den DHCP-Server auf dem 2016er dann authorisiert?
Moin,
Und es wurde auch geprüft, ob die Replikation läuft? Es wurde geprüft, ob die Replikation per DFS und nicht mehr per FRS läuft? Es wurde mal versuchsweise der alte DC abgeschaltet, bevor er vollkommen aus der Domain entfernt wurde?
Ist der User, der sich nicht anmelden kann, im AD vorhanden? Können sich alle User nicht mehr anmelden? Oder nur einzelne? Können sich die Clients mit dem AD verbinden? Was passiert, wenn Du einem Client eine feste IP verpasst?
Liebe Grüße
Erik
Zitat von @chgorges:
Zitat von @letstryandfindout:
Okay das hätte ich dazuschreiben sollen. Der 2016er Server hängt schon gute 2 Wochen hier mit im Netz. Wurde als zweiter DC mit eingebunden.
Okay das hätte ich dazuschreiben sollen. Der 2016er Server hängt schon gute 2 Wochen hier mit im Netz. Wurde als zweiter DC mit eingebunden.
Und es wurde auch geprüft, ob die Replikation läuft? Es wurde geprüft, ob die Replikation per DFS und nicht mehr per FRS läuft? Es wurde mal versuchsweise der alte DC abgeschaltet, bevor er vollkommen aus der Domain entfernt wurde?
Ist der User, der sich nicht anmelden kann, im AD vorhanden? Können sich alle User nicht mehr anmelden? Oder nur einzelne? Können sich die Clients mit dem AD verbinden? Was passiert, wenn Du einem Client eine feste IP verpasst?
Liebe Grüße
Erik
Hi,
Wenn der DHCP-Server-Dienst im Eventlog des DHCP-Servers meldet, er sei nicht authorisiert, dann ist das so. Also kann nicht "alles grün" sein.
Wenn man einen DHCP-Server neu oder deinstalliert, ohne vorher seine Authorisation aufzuehen, dann bleibt diese im AD erhalten. AD merkt sich das anhand der IP-Adresse. Das bedeutet, wenn man den Server oder nur die Rolle unter Beibehaltungn des Namens und der IP-Adresse des Servers (Bindung des DHCP-Servers) neu aufsetzt, dass dieser anschließend sofort wieder im AD authorisiert ist.
Du könntest versuchen "bei Null" anzufangen, indem Du mit ADSIEDIT in der Configuration Partition im Container
CN=NetServices,CN=Services,CN=Configuration,DC=domain,DC=tld
alle Objekte von Klasse "dHCPClass" löschst.
Dann ein paar Minuten wartest.
Dann den DHCP-Dienst durchstartest.
Dann die DHCP-MMC neu verbinden.
Dann neu authorisieren.
E.
Zitat von @letstryandfindout:
ich habe zum Zeitpunkt als der alte Server noch lief einen funktionierenden DHCP Server gehabt. Der Dienst lief auch nur auf dem neuen und war am alten Server deaktiviert. Da ich sehen wollte ob alle Einträge stimmen. DNS etc. Habe gerade zum Test mal den Server gelöscht, neu gestartet und noch mal installiert. Am Ende kommt beim 2 Punkt dann "...Die angegebenen Server sind bereits im Verzeichnisdienst vorhanden".
Sorry bitte, aber könnte es sein, dass Dein primäres Problem Dein Aktionismus ist? "Mal schnell rauf- und runterinstallieren."ich habe zum Zeitpunkt als der alte Server noch lief einen funktionierenden DHCP Server gehabt. Der Dienst lief auch nur auf dem neuen und war am alten Server deaktiviert. Da ich sehen wollte ob alle Einträge stimmen. DNS etc. Habe gerade zum Test mal den Server gelöscht, neu gestartet und noch mal installiert. Am Ende kommt beim 2 Punkt dann "...Die angegebenen Server sind bereits im Verzeichnisdienst vorhanden".
Wenn der DHCP-Server-Dienst im Eventlog des DHCP-Servers meldet, er sei nicht authorisiert, dann ist das so. Also kann nicht "alles grün" sein.
Wenn man einen DHCP-Server neu oder deinstalliert, ohne vorher seine Authorisation aufzuehen, dann bleibt diese im AD erhalten. AD merkt sich das anhand der IP-Adresse. Das bedeutet, wenn man den Server oder nur die Rolle unter Beibehaltungn des Namens und der IP-Adresse des Servers (Bindung des DHCP-Servers) neu aufsetzt, dass dieser anschließend sofort wieder im AD authorisiert ist.
Du könntest versuchen "bei Null" anzufangen, indem Du mit ADSIEDIT in der Configuration Partition im Container
CN=NetServices,CN=Services,CN=Configuration,DC=domain,DC=tld
alle Objekte von Klasse "dHCPClass" löschst.
Dann ein paar Minuten wartest.
Dann den DHCP-Dienst durchstartest.
Dann die DHCP-MMC neu verbinden.
Dann neu authorisieren.
E.
System-Eventlog des DHP-Servers?
Mit einem Zeitstempel nachdem Du den Server wieder authorisiert hattest?
Mit einem Zeitstempel nachdem Du den Server wieder authorisiert hattest?
Zitat von @letstryandfindout:
Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.
Hier würde ich ansetzen.Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.
Der DHCP-Server ist selbst auch DC?
Welchen DNS-Server hat der DHCP-Server selbst in seiner statischen TCP/IP-Konfiguration eingetragen?
Hat der DHCP-Server mehrere Netzwerkkarten? Mehrere IP-Adressen?
Danach hatte ich nicht gefragt.
Moin,
mal ganz blöde gefragt, weil ich es auch während der Migration feststellte:
Dem DHCP-Dienst habe ich einen eigenen Service-User spendieren müssen, damit er berechtigt ist, DNS-Einträge zu aktualisieren:
DHCP-Server -> IPv4 -> Rechtsklick+Eigenschaften -> Erweiter -> Anmeldeinformationen.
der USer muss dabei Mitglied der folgenden Gruppe(n) sein:
schaue dazu auch mal hier:
Keine DNS-Einträge vom DHCP-Server im Windows Server 2012 R2
Gruß
em-pie
mal ganz blöde gefragt, weil ich es auch während der Migration feststellte:
Dem DHCP-Dienst habe ich einen eigenen Service-User spendieren müssen, damit er berechtigt ist, DNS-Einträge zu aktualisieren:
DHCP-Server -> IPv4 -> Rechtsklick+Eigenschaften -> Erweiter -> Anmeldeinformationen.
der USer muss dabei Mitglied der folgenden Gruppe(n) sein:
- DHCP-Administratoren
schaue dazu auch mal hier:
Keine DNS-Einträge vom DHCP-Server im Windows Server 2012 R2
Gruß
em-pie
Jaja, schon klar ....