19
RODC kann nicht aus Domäne entfernt werden
HAllo,
ich arbeite in einem Universitätsnetzwerk mit 3 Standorten.
Die Standorte haben alle ein ESXi Cluster und auf diesen Laufen diverse Server.
Unter anderem läuft auf einem ein RODC in einem extra Segment - weis der Geier warum - .
Es handelt sich um einen 2008 R2 Enterprise RODC.
Lange rede kurzer Sinn.
Wir haben die Anmeldeprozedere und DNS sowie DHCP nun über unseren Haupt DC laufen lassen.
Jetzt wollte ich den RODC demoten.
Über dcpromo bekomme ich eine Fehlermeldung das das Computerkonto keine Rechte hätte.
Das sollte mit dem enthaken, des "versehentlichen Löschens" behoben sein.
Allerdings kommt der Fehler immernoch.
Somit dachte ich mir, probiere es mit dem Metadaten Cleanup mittels ntdsutil.
aber beim Ausführen des Remove selected Server Befehls bekomme ich nur die Meldung das die FSMO-Rollen verschoben werden sollen.
Dann folgt der Fehler 0x5. Zugriff verweigert.
Ich habe alle nötigen Berechtigungen, allerdings bin ich nach vielem Durchforsten des Internets so langsam ratlos.
Könnt ihr mir noch eine zündende Idee beisteuern, wie ich den RODC rausbekomme.
Der RODC ist derzeit im Status "ausgeschaltet" im Vcenter.
ich arbeite in einem Universitätsnetzwerk mit 3 Standorten.
Die Standorte haben alle ein ESXi Cluster und auf diesen Laufen diverse Server.
Unter anderem läuft auf einem ein RODC in einem extra Segment - weis der Geier warum - .
Es handelt sich um einen 2008 R2 Enterprise RODC.
Lange rede kurzer Sinn.
Wir haben die Anmeldeprozedere und DNS sowie DHCP nun über unseren Haupt DC laufen lassen.
Jetzt wollte ich den RODC demoten.
Über dcpromo bekomme ich eine Fehlermeldung das das Computerkonto keine Rechte hätte.
Das sollte mit dem enthaken, des "versehentlichen Löschens" behoben sein.
Allerdings kommt der Fehler immernoch.
Somit dachte ich mir, probiere es mit dem Metadaten Cleanup mittels ntdsutil.
aber beim Ausführen des Remove selected Server Befehls bekomme ich nur die Meldung das die FSMO-Rollen verschoben werden sollen.
Dann folgt der Fehler 0x5. Zugriff verweigert.
Ich habe alle nötigen Berechtigungen, allerdings bin ich nach vielem Durchforsten des Internets so langsam ratlos.
Könnt ihr mir noch eine zündende Idee beisteuern, wie ich den RODC rausbekomme.
Der RODC ist derzeit im Status "ausgeschaltet" im Vcenter.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 358106
Url: https://administrator.de/contentid/358106
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
19 Kommentare
Neuester Kommentar
Hi,
fangen wir mal damit an:
Hat der RODC Kontakt zu anderen schreibbaren DC der selben Domäne?
Hat er Kontakt zu einem GC?
Nutzt er einen DNS-Server, mit welchem er die Records seiner Domäne auflösen kann?
Was sagt DCDIAG auf diesem Server?
Hast Du schon versucht, die FSMO-Rollen vorher zu übertragen oder zu übernehmen?
Ist Dein Konto Mitglied in der Gruppe der BuiltIn-Administratoren dieser Domäne?
Da fällt mir ein:
Ein RODC kann doch gar keine FSMO-Rollen innehaben? Bist Du sicher, dass Du da nicht die Server durcheinander bringst?
E.
fangen wir mal damit an:
Hat der RODC Kontakt zu anderen schreibbaren DC der selben Domäne?
Hat er Kontakt zu einem GC?
Nutzt er einen DNS-Server, mit welchem er die Records seiner Domäne auflösen kann?
Was sagt DCDIAG auf diesem Server?
Hast Du schon versucht, die FSMO-Rollen vorher zu übertragen oder zu übernehmen?
Ist Dein Konto Mitglied in der Gruppe der BuiltIn-Administratoren dieser Domäne?
Da fällt mir ein:
Ein RODC kann doch gar keine FSMO-Rollen innehaben? Bist Du sicher, dass Du da nicht die Server durcheinander bringst?
E.
Also .. wir haben 3 DCs an unserem Standort. 2 2012 R2 DCs, der erste und ein zweiter, und der RODC.
Alle Master Rollen stehen warum auch immer auf FEHLER. ausserdem ist der DNS-Server dauerhaft rot. Wie gesagt, ich habe das alles nur übernommen, und deshalb ist diese Architektur auch ein wenig überholt.
DCDIAG hatte ich noch nicht getestet.
Meiner User ist in allen Admin gruppen, auch der lokalen Admins auf dem RODC.
Alle Master Rollen stehen warum auch immer auf FEHLER. ausserdem ist der DNS-Server dauerhaft rot. Wie gesagt, ich habe das alles nur übernommen, und deshalb ist diese Architektur auch ein wenig überholt.
DCDIAG hatte ich noch nicht getestet.
Meiner User ist in allen Admin gruppen, auch der lokalen Admins auf dem RODC.
Moin,
Bevor du irgendwas löscht würde ich erstmal die Domain Controllers inkl. DNS in Ordnung bringen.
Gruß,
Dani
Ein RODC kann doch gar keine FSMO-Rollen innehaben?
richtig. Das ist auch mein Wissensstand.fangen wir mal damit an:
Wann war die letzte Replikation und war diese erfolgreich? Stichwort repadmin.Das sollte mit dem enthaken, des "versehentlichen Löschens" behoben sein.
Ich gehe davon aus, dass du die Option auf dem Computerkonto deaktiviert hast? Hast du die Berechtigungen bereits kontrolliert?Alle Master Rollen stehen warum auch immer auf FEHLER
Wo wird der Fehler für alle FSMO Rollen angezeigt? Am Besten Screenshot.usserdem ist der DNS-Server dauerhaft rot.
Auch hier wäre ein Screenshot hilfreich.Bevor du irgendwas löscht würde ich erstmal die Domain Controllers inkl. DNS in Ordnung bringen.
Gruß,
Dani
Das ist der Screen was das ntdsutil sagt, wenn ich es von einem DC ausführe, um den RODC zu entfernen.
Der Screen vom RODC-DNS.
ausserdem reagiert der dns server überhaupt nicht mehr.. er zeigt nix mehr an.
Repladmin geht vollkommen quer... eigentlich nur fehler drin.
Ich habe nochmal auf dem RODC ein DCDIAG laufen lassen.. viele Daten laufen auf Fehler:
Der Screen vom RODC-DNS.
ausserdem reagiert der dns server überhaupt nicht mehr.. er zeigt nix mehr an.
Repladmin geht vollkommen quer... eigentlich nur fehler drin.
Ich habe nochmal auf dem RODC ein DCDIAG laufen lassen.. viele Daten laufen auf Fehler:
Also spontan würde ich vermuten, dass der RODC mit dem falschen DNS-Server konfiguriert wurde. Vermutlich mit sich selbst und sein DNS-Dienst spinnt oder läuft gar nicht.
Welche DNS-Server nutzen die anderen beiden DC? Sind diese funktionstüchtig?
Falls letzteres ja - trage dem RODC dieselben DNS-Server ein. Danach lass ihn für 2-3 h in Ruhe. Anschließend booten.
Was sagen Dir NTDSUTIL oder die jeweiligen MMC's, wer die aktuellen Inhaber der FSMO-Rollen sind? Sind diese online?
Welche DNS-Server nutzen die anderen beiden DC? Sind diese funktionstüchtig?
Falls letzteres ja - trage dem RODC dieselben DNS-Server ein. Danach lass ihn für 2-3 h in Ruhe. Anschließend booten.
Was sagen Dir NTDSUTIL oder die jeweiligen MMC's, wer die aktuellen Inhaber der FSMO-Rollen sind? Sind diese online?
Moin, Moin,
welcher Server sollte den der PDC sein? Zur Not die Rolle einfach übernehmen.
FSMO
In dem Blog findest Du wirklich sehr viel Hintergrundwissen.
Du musst auf jeden Fall erst die FSMO Geschichte und Dein DNS auf Vordermann bringen, bevor irgendwas gelöscht wird.
Greez
welcher Server sollte den der PDC sein? Zur Not die Rolle einfach übernehmen.
FSMO
In dem Blog findest Du wirklich sehr viel Hintergrundwissen.
Du musst auf jeden Fall erst die FSMO Geschichte und Dein DNS auf Vordermann bringen, bevor irgendwas gelöscht wird.
Greez
Hi Emeriks,
der RODC war lustigerweise per IP auf sich selbst DNS primary und DNS Secondary per localhost IP auf sich selbst gerichtet.
Ich habe jetzt erstmal den DNS Dienst entfernt. Ausserdem habe ich die DNS-Einträge auf die funktionierenden DCs, auf denen DNS einwandfrei läuft, hinterlegt.
Nach einem Neustart, taucht die Repadmin Fehlermeldung 58 nicht mehr auf. auch der RODC ist nicht hinterlegt.
der RODC war lustigerweise per IP auf sich selbst DNS primary und DNS Secondary per localhost IP auf sich selbst gerichtet.
Ich habe jetzt erstmal den DNS Dienst entfernt. Ausserdem habe ich die DNS-Einträge auf die funktionierenden DCs, auf denen DNS einwandfrei läuft, hinterlegt.
Nach einem Neustart, taucht die Repadmin Fehlermeldung 58 nicht mehr auf. auch der RODC ist nicht hinterlegt.
auch der RODC ist nicht hinterlegt.
Wo nicht hinterlegt?
wenn ich auf dem funktionierend DC1 ... ein repadmin /replsummary mache, dann taucht normalerweise der SRVDOM03 mit dem Fehler 58 auf. Jetzt nicht mehr ...
Ein weiterer test mit dcdiag auf dem RODC hat folgendes zu Tage gefördert:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgefhrt.
Server wird getestet: PcPoolIserlohn\SRVDOM03
Starting test: Connectivity
......................... SRVDOM03 hat den Test Connectivity
bestanden.
Prim„rtests werden ausgefhrt.
Server wird getestet: PcPoolIserlohn\SRVDOM03
Starting test: CheckSecurityError
Das Konto SRVDOM03 gilt fr die Delegierung nicht als
vertrauenswrdig. Keine Replikation m”glich.
Das Konto SRVDOM03 ist kein Dom„nencontrollerkonto. Keine Replikation
m”glich.
Das Computerkonto
(CN=SRVDOM03,OU=Iserlohn,OU=Domain Controllers,DC=bits-iserlohn,DC=prv)
fr SRVDOM03 konnte auf SRVDOM03 nicht verifiziert werden.
Auf dem Quelldom„nencontrollerSRVDOM06 liegt ein m”glicher
Sicherheitsfehler vor (1722). Diagnose wird durchgefhrt...
Fr die Dom„ne bits-iserlohn.prv des Standorts Berlin (1355,
NULL) wurde kein KDC gefunden.
[SRVDOM06] Der Dom„nencontroller ist nicht erreichbar. Die
Fehlerdiagnose fr diesen Dom„nencontroller kann nicht
fortgesetzt werden.
[SRVDOM04] DsBindWithSpnEx()-Fehler 1722,
Der RPC-Server ist nicht verfgbar..
Der Dom„nencontroller SRVDOM04 wird beim Konvergenztest des Objekts
CN=SRVDOM03,OU=Iserlohn,OU=Domain Controllers,DC=bits-iserlohn,DC=prv
ignoriert, da keine Verbindung hergestellt werden kann.
[SRVDOM01] DsBindWithSpnEx()-Fehler -2146893022,
Der Zielprinzipalname ist falsch..
Der Dom„nencontroller SRVDOM01 wird beim Konvergenztest des Objekts
CN=SRVDOM03,OU=Iserlohn,OU=Domain Controllers,DC=bits-iserlohn,DC=prv
ignoriert, da keine Verbindung hergestellt werden kann.
[SRVDOM02] DsBindWithSpnEx()-Fehler -2146893022,
Der Zielprinzipalname ist falsch..
Der Dom„nencontroller SRVDOM02 wird beim Konvergenztest des Objekts
CN=SRVDOM03,OU=Iserlohn,OU=Domain Controllers,DC=bits-iserlohn,DC=prv
ignoriert, da keine Verbindung hergestellt werden kann.
[SRVDOM07] DsBindWithSpnEx()-Fehler 1722,
Der RPC-Server ist nicht verfgbar..
Der Dom„nencontroller SRVDOM07 wird beim Konvergenztest des Objekts
CN=SRVDOM03,OU=Iserlohn,OU=Domain Controllers,DC=bits-iserlohn,DC=prv
ignoriert, da keine Verbindung hergestellt werden kann.
[SRVDOM05] DsBindWithSpnEx()-Fehler 1722,
Der RPC-Server ist nicht verfgbar..
Der Dom„nencontroller SRVDOM05 wird beim Konvergenztest des Objekts
CN=SRVDOM03,OU=Iserlohn,OU=Domain Controllers,DC=bits-iserlohn,DC=prv
ignoriert, da keine Verbindung hergestellt werden kann.
[SRVDOM06] DsBindWithSpnEx()-Fehler 1722,
Der RPC-Server ist nicht verfgbar..
Der Dom„nencontroller SRVDOM06 wird beim Konvergenztest des Objekts
CN=SRVDOM03,OU=Iserlohn,OU=Domain Controllers,DC=bits-iserlohn,DC=prv
ignoriert, da keine Verbindung hergestellt werden kann.
......................... SRVDOM03 hat den Test CheckSecurityError
nicht bestanden.
Partitionstests werden ausgefhrt auf: ForestDnsZones
Partitionstests werden ausgefhrt auf: DomainDnsZones
Partitionstests werden ausgefhrt auf: Schema
Partitionstests werden ausgefhrt auf: Configuration
Partitionstests werden ausgefhrt auf: bits-iserlohn
Unternehmenstests werden ausgefhrt auf: bits-iserlohn.prv
Ich vermute, der RODC war schon länger mit dieser "unterbrochenen" DNS-Konfiguration unterwegs. Deshalb ist das Passwort seines Kontos jetzt abgelaufen. Versuche mal auf dem RODC in der Powershell ("als Administrator...")
Reset-ComputerMachinePassword
das funktioniert nicht
Ich habe aber mittlerweile rausgefunden, wer die Delegierten Admins für den RODC sind, und, wenn ich reinschaue, sind 90% der User darin, nicht mehr im Unternehmen tätig. ich hab noch einen der könnte vielleicht noch was machen...
das funktioniert nicht
Hast Du auch mit Parameter "-Server" einen der anderen DC angegeben?
kommt derselbe fehler
Da Du ihn eh raus###en wolltest - schalte ihn doch aus (nie wieder anschalten) und lösche ihn einfach. Wenn es mit NTDSUTIL nicht geht, dann aber mit den MMC "Benutzer und Computer" sowie "Standorte und Dienste".
sowas hatten wir, auch schon im Sinn, aber trotzdem sollte man vorher allen Mehraufwand minimieren.
Mehraufwand?
Im Moment ist es so, dass Du den RODC "regulär", "schön" nicht los wirst. Pragmatischer Ansatz wäre dann doch "Plan B", gerade um Mehraufwand zu vermeiden?
Im Moment ist es so, dass Du den RODC "regulär", "schön" nicht los wirst. Pragmatischer Ansatz wäre dann doch "Plan B", gerade um Mehraufwand zu vermeiden?
1
ich würds auch ganz einfach machen:
Server ausschalten.
Falls VM, den Netzwerkadapter entfernen. (nicht dass er wieder im Netzwerk ist, falls ihn jemand wieder ungewollt startet)
Vorerst nicht löschen und beobachten ob seit dem im AD irgendwelche Probleme auftreten.
Wenn alles wie vorher oder besser ;) läuft dann die VM löschen.
Dann das Computerkonto im AD löschen. Und auch in DNS, Computer & Standorte etc.
Evtl auch ist der Server auch noch in irgendwelchen Active Directory angebunden Systemen eingetragen.
Server ausschalten.
Falls VM, den Netzwerkadapter entfernen. (nicht dass er wieder im Netzwerk ist, falls ihn jemand wieder ungewollt startet)
Vorerst nicht löschen und beobachten ob seit dem im AD irgendwelche Probleme auftreten.
Wenn alles wie vorher oder besser ;) läuft dann die VM löschen.
Dann das Computerkonto im AD löschen. Und auch in DNS, Computer & Standorte etc.
Evtl auch ist der Server auch noch in irgendwelchen Active Directory angebunden Systemen eingetragen.
