none
DCPROMO /FORCEREMOVAL hinterlässt Reste auf dem System RRS feed

  • Frage

  • Hallo,

    nachdem ich einen DC der die Tombstonezeit deutlich überschritten hat aus dem AD entfernen wollte, habe ich ganz brav nach MS mein AD bereinigt und den alten DC mittels DCPROMO /Forceremoval in die Knie gezwungen. Dumm nur, dass das Ganze teilweise in die Hose ging.

    Mein AD auf den anderen 3 DCs ist wieder OK und das Eventlog schön sauber. Der alte DC ist aber der Meinung, dass er immer noch AD Komponenten behalten muss.
    Im Dateil ist folgendes passiert.

    1. DCPROMO /Forceremoval ausgeführt
    2. System neu gestartet
    3. Fest gestellt, das das Gerät komplett aus der Domäne geflogen ist und in die Arbeitsgruppe Workgroup gesteckt wurde (Normal wird doch so ein Gerät dann ein ganz normaler Member Server)
    4. Im Eventlog sind alle Logs die sich auf das AD beziehen
    5. Ich kann das Gerät nicht mehr in die Domäne bringen. Er meldet immer, dass es den "Benutzer" ?!?! schon gibt.
    6. DC-Promo lässt sich auch nicht mehr ausführen.

    So nachdem auf dem Gerät unser Ferrari-Fax läuft, wäre es natürlich super, wenn ich das wieder sauber in die Domäne bekommen könnte.

    Gibt es eine Möglichkeit die lokalen AD-Reste manuell zu entfernen?

    Bin jetzt mit meinem Latein am Ende und über jeden Tipp dankbar,

    Gruß,
    Bernd
    Sonntag, 1. November 2009 17:38

Antworten

  • Hi Bernd,

    es ist normal, daß der DC bei einem FORCEREMOVAL in einer Arbeitsgruppe landet. Du stufst den DC ja ohne Kontakt zur Domäne herunter.

    Das Entfernen mittels DCPROMO /FORCEREMOVAL reicht nicht aus, Du mußt (wie schon von Dir "bemerkt" ;-) ...) ein sogenanntes Metadata Cleanup durchführen. Siehe dazu http://technet.microsoft.com/de-de/library/cc728068%28WS.10%29.aspx .

    Du solltest sicherstellen, daß Du den richtigen DC löschst, also den per FORCEREMOVAL entfernten Server. Ansonsten machst Du Dir größere Probleme. Wenn Du noch kein Metadata Cleanup durchführen mußtest, prüfe also jeden Schritt genau vor dem Ausführen.

    Wenn Du einen 2008er DC in der Domäne hast, geht es auch einfacher über die GUI.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Sonntag, 1. November 2009 17:55
    Beantworter

Alle Antworten

  • Hi Bernd,

    es ist normal, daß der DC bei einem FORCEREMOVAL in einer Arbeitsgruppe landet. Du stufst den DC ja ohne Kontakt zur Domäne herunter.

    Das Entfernen mittels DCPROMO /FORCEREMOVAL reicht nicht aus, Du mußt (wie schon von Dir "bemerkt" ;-) ...) ein sogenanntes Metadata Cleanup durchführen. Siehe dazu http://technet.microsoft.com/de-de/library/cc728068%28WS.10%29.aspx .

    Du solltest sicherstellen, daß Du den richtigen DC löschst, also den per FORCEREMOVAL entfernten Server. Ansonsten machst Du Dir größere Probleme. Wenn Du noch kein Metadata Cleanup durchführen mußtest, prüfe also jeden Schritt genau vor dem Ausführen.

    Wenn Du einen 2008er DC in der Domäne hast, geht es auch einfacher über die GUI.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Sonntag, 1. November 2009 17:55
    Beantworter
  • Hallo Fabian,

    ich hatte so dunkel in Erinnerung, dass ein DC beim Herabstufen in seinen letzten Status - also Memberserver - zurück fällt.
    Das Metadata Cleanup hab ich durchgeführt und die anderen DCs replizieren wieder sauber.

    Ich konnte aber bis vor ca. 5 Minuten das Gerät nicht mehr in die Domäne aufnehmen. Mein letzter Versuch war
    vor ca. 12 Stunden. Entfernt habe ich das Teil vor ca. 24 Stunden.

    Er ist quasi seit eben wieder in der Domäne als Memberserver. Ist es richtig, dass das Gerät nach dieser Aktion
    die Eventlogs behält und dass dort dann auch noch Protokolleinträge generiert werden?

    Gruß,
    Bernd
    Sonntag, 1. November 2009 18:26
  • Guten Abend,

    ja, Deine "dunkle Erinnerung" ist auch korrekt. Aber dies gilt nur bei einem "sauberen" DCPROMO, wie oben angesprochen nicht bei einem FORCEREMOVAL.

    Du schreibst, daß Du den Server nicht mehr in die Domäne aufnehmen konntest. Weiter unten sagst Du, daß er seit "eben" wieder Memberserver ist. D.h. der Ursprungsfehler ist nicht mehr aktuell? Falls doch wäre eine genaue Fehlermeldung sinnvoll. ;-)
    Denkbar wäre beispielsweise, daß der Server noch sich selbst als 1. DNS Server in den TCP/IP Einstellungen eingetragen hatte - dann kann er die Domäne schlichtweg nicht auflösen.

    Mir ist nicht klar, was Du mit den Eventlogs meinst, aber wenn ich es richtig verstehe: Ja, die Eventlogs laufen "einfach weiter". Interessant / relevant sind also die Ereignisse, die aktuell generiert werden.

    Bei Problemen mit einem neuen DCPROMO des Servers solltest Du einen Blick in das "DCPROMO.LOG" werfen, dort finden sich Hinweise zur Ursache für den Fehler.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Sonntag, 1. November 2009 19:12
    Beantworter
  • Hallo Fabian,

    danke für Dein Feedback. Kurz noch mal die Beschreibung des Problems.

    Beim Anmelden des Servers an die Domäne bin ich maximal noch dazu gekommen die
    Anmeldedaten des Domain-Admins einzugeben. Nach kurzer Wartezeit hat er eine Fehlermeldung
    ausgegeben, dass der Benutzer nicht hinzugefügt werden konnte, da er bereits vorhanden ist.
    Ich war hier aber wohlgemerkt nocht nicht beim Punkt, an dem man Benutzer hinzufügen kann.

    Ich hab mich schon geärgert, dass ich keine Screenshots gemacht kabe. Aber so nachts um halb 2
    lässt halt mal die Konzentration nach. ;-)

    DNS hatte eigentlich gepasst.

    Das waren die letzten Einträge im Eventlog. Im Zeitraum zwischen den Events, war es nicht
    möglich das Gerät in die Domäne aufzunehmen. Bzw. hab ich es erst Abends probiert. Dann
    ging es ohne Probleme.

    Ereignistyp: Informationen
    Ereignisquelle: NTDS General
    Ereigniskategorie: Dienststeuerung
    Ereigniskennung: 1004
    Datum:  01.11.2009
    Zeit:  01:04:45
    Benutzer:  Nicht zutreffend
    Computer: COM-SERVER1
    Beschreibung:
    Active Directory wurde ordnungsgemäß heruntergefahren.

    Ereignistyp: Informationen
    Ereignisquelle: NtFrs
    Ereigniskategorie: Keine
    Ereigniskennung: 13501
    Datum:  01.11.2009
    Zeit:  18:36:28
    Benutzer:  Nicht zutreffend
    Computer: COM-SERVER1
    Beschreibung:
    Der Dateireplikationsdienst wird gestartet.

    Seit dem wurde nichts mehr protokolliert. Der Rest läuft jetzt auch wieder stabil.

    Gruß,
    Bernd

    Montag, 2. November 2009 12:43
  • Hi Bernd,

    unter Umständen war einfach die Replikation zwischen den beiden anderen DCs noch nicht durch.

    Aber wenn ich es richtig verstehe, dann läuft es ja jetzt wieder korrekt. Von daher müssen wir uns keine Gedanken zum Troubleshooting mehr machen. ;-)

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Montag, 2. November 2009 14:12
    Beantworter