12
Replikation von "DC2" auf "DC1" erzwingen
Hallo,
Ich habe hier ein kleines Windows Netzwerk mit folgenden Servern:
1 * Exchange
1 * Anwendungsserver (Remotedesktop)
2 * DC
- alles VM.
Haupt-DC ist (war) DC1, dann kam es irgendwann zu Problemen mit DC2, ich habe ihn dann vom Netz genommen und es lief alles gut bis Mitte letzter Woche.
Dann maulte der Exchange rum und wollte nicht mehr starten. Ich habe ihn erst wieder zum Laufen gebracht, nachdem ich DC1 vom Netz genommen habe und DC2 wieder angeworfen habe. Jetzt sind wieder alle PC´s in der Domäne und alle bis auf einen Benutzer können wieder arbeiten.
Der Benutzer wurde angelegt, während DC2 nicht lief, jetzt kann ich ihn nicht anlegen, Fehlermeldung: "der verzeichnisdienst kann keinen relativen bezeichner zuweisen"
Gibt es einen Weg, DC2 als "Haupt-DC festzulegen und eine Replikation von DC2 auf DC1 zu erzeingen, so dass der aktuell laufende Stand als gegeben akzeptiert wird?
DANKE Josef
Ich habe hier ein kleines Windows Netzwerk mit folgenden Servern:
1 * Exchange
1 * Anwendungsserver (Remotedesktop)
2 * DC
- alles VM.
Haupt-DC ist (war) DC1, dann kam es irgendwann zu Problemen mit DC2, ich habe ihn dann vom Netz genommen und es lief alles gut bis Mitte letzter Woche.
Dann maulte der Exchange rum und wollte nicht mehr starten. Ich habe ihn erst wieder zum Laufen gebracht, nachdem ich DC1 vom Netz genommen habe und DC2 wieder angeworfen habe. Jetzt sind wieder alle PC´s in der Domäne und alle bis auf einen Benutzer können wieder arbeiten.
Der Benutzer wurde angelegt, während DC2 nicht lief, jetzt kann ich ihn nicht anlegen, Fehlermeldung: "der verzeichnisdienst kann keinen relativen bezeichner zuweisen"
Gibt es einen Weg, DC2 als "Haupt-DC festzulegen und eine Replikation von DC2 auf DC1 zu erzeingen, so dass der aktuell laufende Stand als gegeben akzeptiert wird?
DANKE Josef
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668017
Url: https://administrator.de/contentid/668017
Ausgedruckt am: 19.10.2024 um 15:10 Uhr
12 Kommentare
Neuester Kommentar
Hi,
was sagt DC Diag und Konsorten?
Denke, da stimmt irgendetwas nicht ... Haste DFS ? Replikation?
gr
was sagt DC Diag und Konsorten?
Denke, da stimmt irgendetwas nicht ... Haste DFS ? Replikation?
gr
Wo liegen denn die FSMO rollen?
Wie ist DNS eingerichtet? (vom DC1, DC2 und vom Exchange)
Wie ist DNS eingerichtet? (vom DC1, DC2 und vom Exchange)
Moin,
Es gibt keinen Haupt-DC, Primary DC oder sonst irgend etwas in der Richtung.
Erster Fehler. Wenn es zu solchen Problemen kommt, dann sollte man den Fehler suchen und nicht einfach auf die Redundanz verzichten. <edit>Was war denn das Problem, dass der vom Netz genommen wurde? Wurde das Problem behoben?</edit>
Warum nicht? Fehlermeldung? Verlorene Vertrauensstellung?
Zweiter Fehler. Der DC2 lief also eine ganze Weile nicht und hat damit ein veraltetes AD. So einen DC wieder ans Netz zu bringen, ohne dass ein aktueller vorhanden ist, von dem aus repliziert werden kann, muss zu erheblichen Problemen führen. Wie lange war der denn offline?
Was am veralteten AD liegt.
Was vermuten lässt, dass der RID-Master auf dem DC1 liegt und der DC2 so veraltete Informationen hat, dass sein RID-Pool veraltet ist. Im Übrigen wäre es auch fatal, wenn Du in diesem Zustand denselben User noch einmal anlegst.
Nein. Du hast zwei Möglichkeiten:
1. Fehler auf dem DC1 beheben und dann einfach auf die reguläre Replikation warten. Du kannst sie natürlich auch mit repadmin erzwingen.
2. Alle Master auf dem DC2 erzwingen und den DC1 platt machen und neu einrichten. DC1 darf nach dem Erzwingen der Masterrollen nie wieder ans Netz gehen. Danach wäre auch das Einrichten des neuen Users kein Problem mehr.
Ich neige zur Lösung 2.
Liebe Grüße
Erik
Es gibt keinen Haupt-DC, Primary DC oder sonst irgend etwas in der Richtung.
dann kam es irgendwann zu Problemen mit DC2, ich habe ihn dann vom Netz genommen
Erster Fehler. Wenn es zu solchen Problemen kommt, dann sollte man den Fehler suchen und nicht einfach auf die Redundanz verzichten. <edit>Was war denn das Problem, dass der vom Netz genommen wurde? Wurde das Problem behoben?</edit>
Dann maulte der Exchange rum und wollte nicht mehr starten.
Warum nicht? Fehlermeldung? Verlorene Vertrauensstellung?
Ich habe ihn erst wieder zum Laufen gebracht, nachdem ich DC1 vom Netz genommen habe und DC2 wieder angeworfen habe.
Zweiter Fehler. Der DC2 lief also eine ganze Weile nicht und hat damit ein veraltetes AD. So einen DC wieder ans Netz zu bringen, ohne dass ein aktueller vorhanden ist, von dem aus repliziert werden kann, muss zu erheblichen Problemen führen. Wie lange war der denn offline?
Jetzt sind wieder alle PC´s in der Domäne und alle bis auf einen Benutzer können wieder arbeiten.
Der Benutzer wurde angelegt, während DC2 nicht lief,
Der Benutzer wurde angelegt, während DC2 nicht lief,
Was am veralteten AD liegt.
jetzt kann ich ihn nicht anlegen, Fehlermeldung: "der verzeichnisdienst kann keinen relativen bezeichner zuweisen"
Was vermuten lässt, dass der RID-Master auf dem DC1 liegt und der DC2 so veraltete Informationen hat, dass sein RID-Pool veraltet ist. Im Übrigen wäre es auch fatal, wenn Du in diesem Zustand denselben User noch einmal anlegst.
Gibt es einen Weg, DC2 als "Haupt-DC festzulegen und eine Replikation von DC2 auf DC1 zu erzeingen, so dass der aktuell laufende Stand als gegeben akzeptiert wird?
Nein. Du hast zwei Möglichkeiten:
1. Fehler auf dem DC1 beheben und dann einfach auf die reguläre Replikation warten. Du kannst sie natürlich auch mit repadmin erzwingen.
2. Alle Master auf dem DC2 erzwingen und den DC1 platt machen und neu einrichten. DC1 darf nach dem Erzwingen der Masterrollen nie wieder ans Netz gehen. Danach wäre auch das Einrichten des neuen Users kein Problem mehr.
Ich neige zur Lösung 2.
Liebe Grüße
Erik
Moin @Nummer-5
ggf. findest du ja hier hilfreiche Tips:
https://www.manageengine.com/de/active-directory-audit/kb/how-to/how-to- ...
Kreuzberger
ggf. findest du ja hier hilfreiche Tips:
https://www.manageengine.com/de/active-directory-audit/kb/how-to/how-to- ...
Kreuzberger
und:
AD Replikation erzwingen
by sar on Jan. 22, 2014, under Windows, Active Directory
erzwingt eine Pull-Replikation des Domain Controller dc2 von allen anderen DCs
repadmin /syncall /AeD (auf DC2 ausgeführt)
repadmin /syncall /AeD dc2 (zB WinRM Sitzung)
Für einen Push
repadmin /syncall /APeD
Argumente:
A = All Partitions
e = Enterprise (Cross Site)
D = Identify servers by distinguished name in messages.
P = Push
AD Replikation erzwingen
by sar on Jan. 22, 2014, under Windows, Active Directory
erzwingt eine Pull-Replikation des Domain Controller dc2 von allen anderen DCs
repadmin /syncall /AeD (auf DC2 ausgeführt)
repadmin /syncall /AeD dc2 (zB WinRM Sitzung)
Für einen Push
repadmin /syncall /APeD
Argumente:
A = All Partitions
e = Enterprise (Cross Site)
D = Identify servers by distinguished name in messages.
P = Push
Moin,
der zweite Fehler war schon der dritte Strike. Damit hat sichs.
Sowas macht man im AD auf keinen Fall. Damit fliegt im schlechtesten Fall alles um die Ohren.
Jetzt bleibt wirklich nur noch zwei saubere neue DCs hoch ziehen und replizieren lassen.
Gruß
Spirit
der zweite Fehler war schon der dritte Strike. Damit hat sichs.
Sowas macht man im AD auf keinen Fall. Damit fliegt im schlechtesten Fall alles um die Ohren.
Jetzt bleibt wirklich nur noch zwei saubere neue DCs hoch ziehen und replizieren lassen.
Gruß
Spirit
Jetzt bleibt wirklich nur noch zwei saubere neue DCs hoch ziehen und replizieren lassen.
Erst einmal nur einen DC hoch ziehen und alle FSMO Rollen übertragen,das DNS überprüfen und gerade biegen (ist bestimmt auch falsch, sonst passieren solche Sachen eigentlich nicht).
Dann replizieren lassen, dann ein paar Tage warten und beobachten,
dann die zwei alten DCs herabstufen und das DNS für den Single Betrieb einstellen und schauen ob alles mit dem neuen DC alleine läuft,
wieder ein paar Tage warten und beobachten, danach erst einen zweiten neuen DC dazu und das DNS wieder für den Dual Betrieb einstellen.
Dualbetrieb bedeutet: DNS vom DC1 muss auf den DC2 schauen und das DNS vom DC2 muss auf DC1 schauen.
3Zitat von @NordicMike:
das DNS überprüfen und gerade biegen (ist bestimmt auch falsch, sonst passieren solche Sachen eigentlich nicht).
Dann replizieren lassen, dann ein paar Tage warten und beobachten,
dann die zwei alten DCs herabstufen und das DNS für den Single Betrieb einstellen und schauen ob alles mit dem neuen DC alleine läuft,
wieder ein paar Tage warten und beobachten, danach erst einen zweiten neuen DC dazu und das DNS wieder für den Dual Betrieb einstellen.
Dualbetrieb bedeutet: DNS vom DC1 muss auf den DC2 schauen und das DNS vom DC2 muss auf DC1 schauen.
Jetzt bleibt wirklich nur noch zwei saubere neue DCs hoch ziehen und replizieren lassen.
Erst einmal nur einen DC hoch ziehen und alle FSMO Rollen übertragen,das DNS überprüfen und gerade biegen (ist bestimmt auch falsch, sonst passieren solche Sachen eigentlich nicht).
Dann replizieren lassen, dann ein paar Tage warten und beobachten,
dann die zwei alten DCs herabstufen und das DNS für den Single Betrieb einstellen und schauen ob alles mit dem neuen DC alleine läuft,
wieder ein paar Tage warten und beobachten, danach erst einen zweiten neuen DC dazu und das DNS wieder für den Dual Betrieb einstellen.
Dualbetrieb bedeutet: DNS vom DC1 muss auf den DC2 schauen und das DNS vom DC2 muss auf DC1 schauen.
Hi,
so würde ich das auch machen, vorsichtig und beobachten.
Eventuell hat er Glück und das AD ist nicht völlig durch ..
Dann werde ich das mal so angehen.
Wie wirst Du das angehen? Um es mal ganz klar zu sagen: Noch ein Fehler und Du kannst das komplette AD neu einrichten. Ich hoffe, Ihr habt ein Backup von vor dem Vorfall.
2
Ehrlich gesagt wäre mir das auch die liebste Lösung, wir haben hier nur 7 Benutzer und 7 Arbeitsstationen.
Nur mein Exchange-Server darf mir nicht flöten gehen.
Nur mein Exchange-Server darf mir nicht flöten gehen.
Moin,
Mein Tipp:: erstmal Backup machen und dann einen Fachmann/Systemhaus hinzuziehen
lg,
Slainte
Nur mein Exchange-Server darf mir nicht flöten gehen.
Blöderweise ist der recht eng mit dem AD verbandelt... wenn du jetzt "das AD neu machst", wird der Exchange nicht mehr funktionieren.Mein Tipp:: erstmal Backup machen und dann einen Fachmann/Systemhaus hinzuziehen
lg,
Slainte
5
