Server repliziert nach Abwesenheit nicht mit seinen Partnern
Hallo an das Forum,
ich habe folgendes Problem:
Umgebung: eine Windows SBS / 2008 - Domäne mit fünf Standorten, die über IP-Sec-Tunnel miteinander verbunden sind, in jedem Standort steht ein Domänen-Controller, diese Umgebung lief seit Jahren stabil.
Durch einen Umbau in einer Filiale war der Server ca. 4 Wochen vom Netz genommen, gestern wurde er wieder angeschlossen und hat sich seine Windows Updates vom SBS gezogen und installiert. Als ich versuchte, einen PC in's Netz zu nehmen, bekam dieser keine Verbindung, die gemapten Laufwerke konnten nicht verbunden werden.
Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl. Wenn ich versuche, auf dem SBS unter "AD-Standorte und Dienste" die Replikation der Server manuell anzustoßen, erhalte ich die Fehlermeldung:
Am Montag müssen in der Filiale 5 PC's laufen, was kann ich tun?
Vielen Dank
Atti
ich habe folgendes Problem:
Umgebung: eine Windows SBS / 2008 - Domäne mit fünf Standorten, die über IP-Sec-Tunnel miteinander verbunden sind, in jedem Standort steht ein Domänen-Controller, diese Umgebung lief seit Jahren stabil.
Durch einen Umbau in einer Filiale war der Server ca. 4 Wochen vom Netz genommen, gestern wurde er wieder angeschlossen und hat sich seine Windows Updates vom SBS gezogen und installiert. Als ich versuchte, einen PC in's Netz zu nehmen, bekam dieser keine Verbindung, die gemapten Laufwerke konnten nicht verbunden werden.
Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl. Wenn ich versuche, auf dem SBS unter "AD-Standorte und Dienste" die Replikation der Server manuell anzustoßen, erhalte ich die Fehlermeldung:
Am Montag müssen in der Filiale 5 PC's laufen, was kann ich tun?
Vielen Dank
Atti
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296016
Url: https://administrator.de/contentid/296016
Ausgedruckt am: 19.12.2024 um 12:12 Uhr
20 Kommentare
Neuester Kommentar
Hi,
Ich frage wegen Deiner Bemerkung:
Falls Du ihn nicht demoted hattest, warum dann das DCPROMO?
Wurde während der Offline-Phase etwas grundlegendes am AD geändert? Standorte und oder Subnetze im AD konfiguriert? Site Links geändert?
Sind die Uhren der DC's synchron?
der Server ca. 4 Wochen vom Netz genommen
Deinst Du, dass der Server einfach nicht eingeschaltet war oder keinen Kontakt zu den anderen DC's hatte oder hattest Du ihn etwa herabgestuft?Ich frage wegen Deiner Bemerkung:
Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl.
Das irritiert mich.Ein dcpromo des örtlichen DC's schlägt mit der gleichen Meldung fehl.
Falls Du ihn nicht demoted hattest, warum dann das DCPROMO?
Wurde während der Offline-Phase etwas grundlegendes am AD geändert? Standorte und oder Subnetze im AD konfiguriert? Site Links geändert?
Sind die Uhren der DC's synchron?
Bei einem dcpromo repliziert sich ein Server mit seinen Partner und das wollte ich durch ein Herab- und anschließendes Heraufstufen erzwingen.
Langsam! Du hast erfolgreich mit DCPROMO den DC zum Member demoted? Und jetzt bekommst Du ihn nicht mehr zum DC promoted.Habe ich das richtig verstanden?
Ich habe also versucht, den Rechner aus der Domäne zu nehmen und ihn wieder einzufügen. Dabei erhielt ich die Fehlermeldung "Der Zielkontoname ist ungültig"
Wobei? Beim Demoten oder beim Promoten?
Führe auf allen DCs repadmin /showrepl aus.
Stelle sicher, dass die anderen DCs nach wie vor sauber replizieren.
Es kann sein, dass der der solange weg war im Nur-Lesen-Modus ist und weder repliziert noch seine AD-DB verändert.
Du kannst auf unorthodoxem Weg so prüfen:
Mit obigem Befehl werden pro Server auch DSA-optionen in einer Zeile angezeigt. IS_GC ist ok. Es kann aber auch sein, dass dort steht
DISABLE_INBOUND_REPL oder DISABLE_OUTBOUND_REPL, was dann bedeutet, dass der Server nicht repliziert und nichts von sich replizieren lässt.
Schau im Ereignislog nach welche Event-IDs auflaufen. Das ist wichtig.
Stelle sicher, dass die anderen DCs nach wie vor sauber replizieren.
Es kann sein, dass der der solange weg war im Nur-Lesen-Modus ist und weder repliziert noch seine AD-DB verändert.
Du kannst auf unorthodoxem Weg so prüfen:
Mit obigem Befehl werden pro Server auch DSA-optionen in einer Zeile angezeigt. IS_GC ist ok. Es kann aber auch sein, dass dort steht
DISABLE_INBOUND_REPL oder DISABLE_OUTBOUND_REPL, was dann bedeutet, dass der Server nicht repliziert und nichts von sich replizieren lässt.
Schau im Ereignislog nach welche Event-IDs auflaufen. Das ist wichtig.
Auf Basis des Eventlogs ist u.U. feststellbar, warum keine Replikation mehr möglich ist.
Wenn der Server 4 Wochen lang down war, besteht zwar die Chance, dass die Tombstone-Zeit (wann AD-Objekte ungültig werden) noch nicht erreicht ist, aber da die Domäne ja weitergelebt hat, könnte ich mir auch vorstellen, dass der Computer das Passwort seines Computerkontos in der Domäne hätte ändern müssen und dies nicht mehr konnte. Das wäre händisch lösbar, aber nachdem was alles gemacht wurde bin ich nicht mal sicher, ob es besser wäre, die Büchse platt zu machen und aus der Domäne zu werfen.
Wenn der Server 4 Wochen lang down war, besteht zwar die Chance, dass die Tombstone-Zeit (wann AD-Objekte ungültig werden) noch nicht erreicht ist, aber da die Domäne ja weitergelebt hat, könnte ich mir auch vorstellen, dass der Computer das Passwort seines Computerkontos in der Domäne hätte ändern müssen und dies nicht mehr konnte. Das wäre händisch lösbar, aber nachdem was alles gemacht wurde bin ich nicht mal sicher, ob es besser wäre, die Büchse platt zu machen und aus der Domäne zu werfen.
Zitat von @Atti58:
... na, abgesehen davon, dass ich den Server updatetechnisch auf den Stand seiner Nachbarn gebracht habe, habe ich ja eigentlich gar nichts an ihm gemacht, dcpromo ging ja nicht ...
Nicht auf die Domäne vielleicht, aber auf ihn.... na, abgesehen davon, dass ich den Server updatetechnisch auf den Stand seiner Nachbarn gebracht habe, habe ich ja eigentlich gar nichts an ihm gemacht, dcpromo ging ja nicht ...
Führ auf dem kaputten bitte noch dcdiag aus.
Ich tippe auch auf abgelaufenes Computer-Password.
Versuche mal das: https://support.microsoft.com/de-de/kb/325850
Der Artikel bezieht sich zwar auf 2003, funktioniert meines Wissens aber auch für 2008.
Versuche mal das: https://support.microsoft.com/de-de/kb/325850
Der Artikel bezieht sich zwar auf 2003, funktioniert meines Wissens aber auch für 2008.
Das funktioniert zwar auch mit 2008 aber für einen DC reicht das nicht.
Er muss den KDC auf der kaputten Büchse runterfahren und deaktivieren, dann die Büchse hochbringen, dann kann er das Kennwort auf diesem Wege setzen, dazu muss er aber den Betriebsmaster kennen und hoffentlich ist das nicht der kaputte.
Er muss den KDC auf der kaputten Büchse runterfahren und deaktivieren, dann die Büchse hochbringen, dann kann er das Kennwort auf diesem Wege setzen, dazu muss er aber den Betriebsmaster kennen und hoffentlich ist das nicht der kaputte.
Sehr seltsam. Du schriebst:
Wenn der Server noch DC war (und Du hier nichts falsches geschrieben hast) und Du ihn mit NTDSUTIL hart aus der Domäne entfernt hast (auf den anderen DC's) - Wie konntest Du ihn dann wieder zum DC der Domäne machen, wo er doch noch DC war? Er selbst hielt sich zu diesem Zeitpunkt ja immer noch für einen DC.
Also entweder hast Du ihn zwischendurch neu installiert oder Du hast auch auf ihm mit NTDSUTIL aufgeräumt (aus seiner Sicht die anderen Server rausgeschmissen) oder Du kennst einen anderen Weg oder Du hast hier falsche Fakten geschrieben. So oder so. Schreib doch einfach Alles die Lösung betreffende hier rein, damit auch noch andere Leser, die vielleicht mal vor dem gleichen Problem stehen, was davon haben.
Der Server ist immer noch ein DC, beim Demoten kam es zu der Fehlermeldung:
Wenn Du nur die halbe Geschichte erzählst, dann kann man Dir hier auch nicht helfen.Wenn der Server noch DC war (und Du hier nichts falsches geschrieben hast) und Du ihn mit NTDSUTIL hart aus der Domäne entfernt hast (auf den anderen DC's) - Wie konntest Du ihn dann wieder zum DC der Domäne machen, wo er doch noch DC war? Er selbst hielt sich zu diesem Zeitpunkt ja immer noch für einen DC.
Also entweder hast Du ihn zwischendurch neu installiert oder Du hast auch auf ihm mit NTDSUTIL aufgeräumt (aus seiner Sicht die anderen Server rausgeschmissen) oder Du kennst einen anderen Weg oder Du hast hier falsche Fakten geschrieben. So oder so. Schreib doch einfach Alles die Lösung betreffende hier rein, damit auch noch andere Leser, die vielleicht mal vor dem gleichen Problem stehen, was davon haben.