Windows Server 2019 AD Migration
Hallo zusammen
Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten.
Was ist bis jetzt passiert?
Wir haben zwei Windows Sever 2012 im Einsatz. win12dc und DC2. Diese sollten durch einen neuen DC ersetzt werden.
Neuer virtueller Windows Server 2019 mit dem Namen DC2019. Auf diesem die Rollen hinzugefügt, DC2 heruntergestuft und entfernt. Alles schien ok zu sein.
Als ich versucht den win12dc auch zu depromoten, kam die Fehlermeldung er sei der letzte Domaincontroller. Da wurde ich stutzig. Wenn ich win12dc herunterfuhr ging nichts mehr. So als ob dc2019 gar nicht funktioniert. Ich habe mich dann an die BPA gemacht, Schemas übertragen usw. ohne Erfolg.
Langsam spiele ich mit dem Gedanken den Server zurücksetzen und mit einer neuen Domain neu anzufangen
Ich weiss echt nicht weiter. Habt ihr Tipps fürs weitere Vorgehen?
dcdiag auf dc2019:
Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten.
Was ist bis jetzt passiert?
Wir haben zwei Windows Sever 2012 im Einsatz. win12dc und DC2. Diese sollten durch einen neuen DC ersetzt werden.
Neuer virtueller Windows Server 2019 mit dem Namen DC2019. Auf diesem die Rollen hinzugefügt, DC2 heruntergestuft und entfernt. Alles schien ok zu sein.
Als ich versucht den win12dc auch zu depromoten, kam die Fehlermeldung er sei der letzte Domaincontroller. Da wurde ich stutzig. Wenn ich win12dc herunterfuhr ging nichts mehr. So als ob dc2019 gar nicht funktioniert. Ich habe mich dann an die BPA gemacht, Schemas übertragen usw. ohne Erfolg.
Langsam spiele ich mit dem Gedanken den Server zurücksetzen und mit einer neuen Domain neu anzufangen
Ich weiss echt nicht weiter. Habt ihr Tipps fürs weitere Vorgehen?
dcdiag auf dc2019:
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = DC2019
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\DC2019
Starting test: Connectivity
......................... DC2019 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\DC2019
Starting test: Advertising
Achtung: Bei dem Versuch, DC2019 zu erreichen, wurden von DsGetDcName Informationen für
\\Win12DC.domain.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
......................... Der Test Advertising für DC2019 ist fehlgeschlagen.
Starting test: FrsEvent
......................... DC2019 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... Der Test DFSREvent für DC2019 ist fehlgeschlagen.
Starting test: SysVolCheck
......................... DC2019 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... DC2019 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... DC2019 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... DC2019 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... DC2019 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\DC2019\netlogon)
[DC2019] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
Der Netzwerkname wurde nicht gefunden..
......................... Der Test NetLogons für DC2019 ist fehlgeschlagen.
Starting test: ObjectsReplicated
......................... DC2019 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
[WIN12DC] DsBindWithSpnEx()-Fehler 1722,
Der RPC-Server ist nicht verfügbar..
......................... Der Test Replications für DC2019 ist fehlgeschlagen.
Starting test: RidManager
......................... DC2019 hat den Test RidManager bestanden.
Starting test: Services
......................... DC2019 hat den Test Services bestanden.
Starting test: SystemLog
Fehler. Ereignis-ID: 0xC00038D6
Erstellungszeitpunkt: 11/26/2021 16:43:34
Ereigniszeichenfolge:
Der DFS-Namespace-Dienst konnte die gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem Domänencontroller nicht initialisieren. Der Vorgang wird jedoch in regelmäßigen Abständen wiederholt. Der Rückgabecode befindet sich in den Eintragsdaten.
......................... Der Test SystemLog für DC2019 ist fehlgeschlagen.
Starting test: VerifyReferences
......................... DC2019 hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf:
Starting test: CheckSDRefDom
......................... hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: .local
Starting test: LocatorCheck
Achtung: Fehler beim Aufrufen von DcGetDcName(GC_SERVER_REQUIRED): 1355
Es konnte kein Server für globale Kataloge gefunden werden; kein globaler Katalog verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
Achtung: Fehler beim Aufrufen von DcGetDcName(KDC_REQUIRED): 1355
Kein KDC gefunden; es ist kein KDC verfügbar.
......................... Der Test LocatorCheck für .local ist fehlgeschlagen.
Starting test: Intersite
......................... .local hat den Test Intersite bestanden.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1556925918
Url: https://administrator.de/forum/windows-server-2019-ad-migration-1556925918.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
17 Kommentare
Neuester Kommentar
Moin,
Um erst einmal wieder zwei DCs zu haben, kannst du "entspannt" einen 2012er neu aufsetzen, ins AD aufnehmen und zum zusätzlichen DC promoten.
Zum 2019er
Sieht für mich auf den ersten Blick danach aus, dass er nicht Repliziert.
Auf DFS-R ist der 2012er konfiguriert?
Welche FUnktionslevel udn Domain-Schema hat dein AD?
Um erst einmal wieder zwei DCs zu haben, kannst du "entspannt" einen 2012er neu aufsetzen, ins AD aufnehmen und zum zusätzlichen DC promoten.
Zum 2019er
Sieht für mich auf den ersten Blick danach aus, dass er nicht Repliziert.
Auf DFS-R ist der 2012er konfiguriert?
Welche FUnktionslevel udn Domain-Schema hat dein AD?
Moin,
schreibe uns doch mal bitte was du genau getan hast? Wie bist du vorgegangen?
Neuen Server installiert, Name vergeben und in die Domain aufgenommen mit statischer IP natürlich?
Dann die AD Dienste und DNS installiert und den neuen Server als DC eingerichtet?
War er unter DC im AD zu sehen?
Was war mit der Synchronisation? Sysvol?Netlogon? Scripte? DNS übertragen? usw?
Wie hast du dann die Rollen übertragen?
Bissel mehr Input. Ich hab eine Vermutung. Hatten wir kürzlich auch.
Grüße
schreibe uns doch mal bitte was du genau getan hast? Wie bist du vorgegangen?
Neuen Server installiert, Name vergeben und in die Domain aufgenommen mit statischer IP natürlich?
Dann die AD Dienste und DNS installiert und den neuen Server als DC eingerichtet?
War er unter DC im AD zu sehen?
Was war mit der Synchronisation? Sysvol?Netlogon? Scripte? DNS übertragen? usw?
Wie hast du dann die Rollen übertragen?
Bissel mehr Input. Ich hab eine Vermutung. Hatten wir kürzlich auch.
Grüße
Zitat von @Mosurama:
Oder lief auf den 2012er DCs noch die FRS und du hättest auf DFSR migrieren sollen?
Oder lief auf den 2012er DCs noch die FRS und du hättest auf DFSR migrieren sollen?
Dann kannst du den 2019er nicht als DC aufnehmen ohne das behoben zu haben. Kürzlich erst mit einem 2022er hinter mir gehabt.
Zitat von @Xaero1982:
Dann kannst du den 2019er nicht als DC aufnehmen ohne das behoben zu haben. Kürzlich erst mit einem 2022er hinter mir gehabt.
Dann kannst du den 2019er nicht als DC aufnehmen ohne das behoben zu haben. Kürzlich erst mit einem 2022er hinter mir gehabt.
Bei einer Migration 2008 auf 2016 hatte ich das mal, deswegen die Vermutung...
Wenn der 2019er das jetzt prüft ist das ja nur begrüßenswert
Zitat von @Mosurama:
Bei einer Migration 2008 auf 2016 hatte ich das mal, deswegen die Vermutung...
Wenn der 2019er das jetzt prüft ist das ja nur begrüßenswert
Zitat von @Xaero1982:
Dann kannst du den 2019er nicht als DC aufnehmen ohne das behoben zu haben. Kürzlich erst mit einem 2022er hinter mir gehabt.
Dann kannst du den 2019er nicht als DC aufnehmen ohne das behoben zu haben. Kürzlich erst mit einem 2022er hinter mir gehabt.
Bei einer Migration 2008 auf 2016 hatte ich das mal, deswegen die Vermutung...
Wenn der 2019er das jetzt prüft ist das ja nur begrüßenswert
Das kann sein. Hatte auch mal von 2008r2 auf 2016 aktualisiert, aber da hats ihn offenbar nicht tangiert. Lief dennoch alles, aber jetzt bei 2022 ging es nicht mehr. Bei 2019 glaube ich auch schon nicht mehr.
Kontrolliere die Replizierung und wenn sie nicht läuft kannst du das hiermit in die Gänge bringen.
https://docs.microsoft.com/de-DE/troubleshoot/windows-server/group-polic ...
Nach der Durchführung musst du 10-15 Minuten warten und dann nochmal den Sysvol-Ordner checken.
https://docs.microsoft.com/de-DE/troubleshoot/windows-server/group-polic ...
Nach der Durchführung musst du 10-15 Minuten warten und dann nochmal den Sysvol-Ordner checken.
Moin...+
klar, warum nicht!
mach das mal...
Am meisten habe ich mich an dem BPA bezüglich fehlendem _msdcs im DNS aufgehangen.
Der _msdcs war unter der einzigen Forward lookup Zone domain.local.
Ich habe versucht diesen von Hand von win12dc nach dc2019 zu replizieren, backups per CMD gemacht usw.
Jetzt merke ich, dass ich das Problem falsch verstanden habe. Der BPA wollte eigentlich, dass _msdcs keine untergeordnete Zone mehr ist, sonder eine eigene _msdcs.domain.local.
Scheint eine Altlast von 2003 zu sein.
Nochmals vielen Dank für eure extrem schnelle Hilfe! Ich melde mich heute Nachmittag.
ok
Frank
Zitat von @jamesbrown:
Guten Morgen zusammen
Vielen Dank für eure zahlreichen Antworten. Da ich sehr viel probiert habe, ist es schwierig alles jetzt noch nachvollziehen zu können. Ich versuche es mal.
da musst du mit BurFlags beheben...Guten Morgen zusammen
Vielen Dank für eure zahlreichen Antworten. Da ich sehr viel probiert habe, ist es schwierig alles jetzt noch nachvollziehen zu können. Ich versuche es mal.
Backup vorhanden?
Jaich lese in deiner Vorgehensweise nichts von einem FSMO-Rollen-Übertrag oder ähnliches
Ist der denn erfolgt?
Wurden per CMD übertragen und waren laut ntdsutil auf dc2019Ist der denn erfolgt?
Funktioniert die Replikation des Sysvol-Verzeichnisses überhaupt am 2019er Server?
Muss ich heute Nachmittag nochmals nachschauen. Ich denke aber nicht. Neben vielen BPA Vorschlägen und vielen Error Meldungen, kann ich mich auch noch an das Sysvol Error erinnern.Diesen Fehler habe ich versucht zu beheben, indem ich DC2019 die Rollen nochmals entfernt, depromoted und wieder prometed habe.
das bringt nix...Um erst einmal wieder zwei DCs zu haben, kannst du "entspannt" einen 2012er neu aufsetzen, ins AD aufnehmen > und zum zusätzlichen DC promoten.
Das ist eine gute Idee. Oder wäre ein 2019 geeigneter?Auf DFS-R ist der 2012er konfiguriert?
Schaue ich nach.schreibe uns doch mal bitte was du genau getan hast? Wie bist du vorgegangen?
Schwierig mich noch an alles zu erinnern.schreibe uns doch mal bitte was du genau getan hast? Wie bist du vorgegangen?
Neuen Server installiert, Name vergeben und in die Domain aufgenommen mit statischer IP natürlich?
GenauDann die AD Dienste und DNS installiert und den neuen Server als DC eingerichtet?
Genau. DNS ist AD synchronisiert und DHCP Failover eingerichtet 50% 50%. DHCP Bereichsoptionen den neuen DNS Server aufgenommen.War er unter DC im AD zu sehen?
JaWas war mit der Synchronisation? Sysvol?Netlogon? Scripte? DNS übertragen? usw?
Habe naiv angenommen, Windows mache dies von selbst. DNS war wegen AD übertragen.Wie hast du dann die Rollen übertragen?
Habe mich daran gehalten https://docs.microsoft.com/de-de/troubleshoot/windows-server/identity/vi ...Oder lief auf den 2012er DCs noch die FRS und du hättest auf DFSR migrieren sollen?
Das muss ich nachschauen.Am meisten habe ich mich an dem BPA bezüglich fehlendem _msdcs im DNS aufgehangen.
Der _msdcs war unter der einzigen Forward lookup Zone domain.local.
Ich habe versucht diesen von Hand von win12dc nach dc2019 zu replizieren, backups per CMD gemacht usw.
Jetzt merke ich, dass ich das Problem falsch verstanden habe. Der BPA wollte eigentlich, dass _msdcs keine untergeordnete Zone mehr ist, sonder eine eigene _msdcs.domain.local.
Scheint eine Altlast von 2003 zu sein.
Nochmals vielen Dank für eure extrem schnelle Hilfe! Ich melde mich heute Nachmittag.
Frank
Zitat von @jamesbrown:
Dachte es ist ein Versuch wert, wegen der DNS Einstellung aus dem anderen Post.
Die Replikation funktioniert soweit ich es beurteilen kann nicht.
Der SYSVOL Unterordner domain ist leer.
Der SYSVOL Unterordner Staging und staging areas haben beide einen Ordner mit identischem ContentSet{viele Buchstaben}.
Der SYSVOL Unterordner sysvol hat den leeren Ordner domain.local
Dachte es ist ein Versuch wert, wegen der DNS Einstellung aus dem anderen Post.
Die Replikation funktioniert soweit ich es beurteilen kann nicht.
Der SYSVOL Unterordner domain ist leer.
Der SYSVOL Unterordner Staging und staging areas haben beide einen Ordner mit identischem ContentSet{viele Buchstaben}.
Der SYSVOL Unterordner sysvol hat den leeren Ordner domain.local
Dazu habe ich dir doch oben schon einen Link gepostet.
Nimm es mir nicht übel, aber wenn du schon nicht weiter kommst, warum arbeitest du unsere Sachen dann nicht ab?