none
Zwangsweise Übernahme FSMO, DsListRolesW-Fehler RRS feed

  • Frage

  • Gegeben 3 DC: Windows 2016, Windows 2012, Windows 2008 R2

    Windows 2012 Server hatte die FSMO-Rollen

    Der Server 2012 ist jetzt ausgefallen und kommt auch nicht mehr zurück

    Wollte die Rollen mit ntdsutil zwangsweise auf den Windows 2016 übernehmen.

    Der RID master, PDC und infrastructure master ging auch ohne Probleme

    Beim naming master und schema master kommt folgende Meldung:
    FSMO wurde einwandfrei übertragen. Die Übernahme ist nicht erforderlich.
    DsListRolesW-Fehler 0x6(Das Handle ist ungültig)

    Das ganze wird mit dem Domänen-Administrator durchgeführt.
    Was bedeutet die Meldung?
    Wie bekomme ich die 2 Rollen rüber?

    Gruß
    Dieter

    Donnerstag, 9. Mai 2019 07:21

Alle Antworten

  • Hi

    Denke das Zauberwort dazu heisst: FSMO seize anstelle FSMO move.

    Beispiel: Move-ADDirectoryServerOperationMasterRole -Identity "Domain Controller Name" -OperationMasterRole SchemaMaster,RIDMaster,InfrastructureMaster,DomainNamingMaster,PDCEmulator -Force

    Die beiden FSMO Rollen solltest Du so "übernehmen" können

    Überprüfen mit:

    Get-ADForest DomainName | Format-Table SchemaMaster,DomainNamingMaster
    Get-ADDomain DomainName | Format-table PDCEmulator,RIDMaster,InfrastructureMaster

    Gruss


    Donnerstag, 9. Mai 2019 13:19
  • Du benutzt das Tool ntdsutil daher werden vermutlich die Powreshellbefehle nicht passen. bzw. die gleichen Fehler liefern.

    Da ich Deine Infrastruktur nicht kenne wuerde ich Berechtigungsprobleme vermuten. Schau mal bitte ob Dein Administrator in der Gruppe der Schemaadministratoren mitglied ist. Falls nicht so aendere bitte die Mitgliedschaft und versuche noch einmal die Schema Master rolle zu übertragen.


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com

    Donnerstag, 9. Mai 2019 16:08
  • wenn ich
    net user administrator /DOMAIN
    ausführe kommt bei
    Globale Gruppenmitgliedschaften unter anderem auch die Gruppe Schema-Admins

    Dann müsste er ja eigentlich drin sein.

    Was mir jetzt aber auch noch aufgefallen ist, wenn ich
    Active Directory-Benutzer und -Computer aufrufe kommt die Meldung
    Es konnten aufgrund des folgenden Problems keine Namensinformation gefunden werden:
    Die angegebene Domäne ist nicht vorhanden, ........

    Was ist das nun wieder?

    Gruß

    Freitag, 10. Mai 2019 14:15
  • Was ist das nun wieder?

    Gruß

    Eine Vermutung:


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 10. Mai 2019 18:51
  • Wenn ich den Server anpinge, bin auf dem Server in der Eingabeaufforderung,
    liefert der mir die IPv6 Adresse zurück.
    Wenn ich einen entfrneten Server anpinge kommt die IPv4 Adresse zurück.
    Ich will aber IPv6 nicht benutzen.

    Wenn ich am Server 2016 den dcdiag /test:dns durchführe, nur den Server,
    kommt dass alles erfolgreich getestet ist.

    Wenn ich am Server 2016 den dcdiag /test:dns durchführe, alle Server,
    kommt dass alles erfolgreich getestet ist außer dem Server der fehlt.

    Ist das Problem die IPv6 Adresse?
    Wie bekomme ich die weg?

    Gruß

    Montag, 13. Mai 2019 14:12
  • wenn Du den Server mit Ping -4 "servername" anpingst kommt die IPv4 Adresse zurück 


    Klaus

    Montag, 13. Mai 2019 14:43
  • Moin, die Frage ist eher, sind alle Verweise auf den toten DC aus DNS weg, vor allem aus _msdcs?

    Evgenij Smirnov

    http://evgenij.smirnov.de


    Montag, 13. Mai 2019 15:40
  • Moin,

    ergänzend zu Evgenij, haben die verbliebenen DCs ihre SRV Records korrekt im DNS registriert.

    Welche DNS Server sind in den Netzwerkverbindungen eingetragen? Wird dort u.U. noch auf den "verlorengegangenen" DC als DNS verweisen?

    Gruß Malte

    Dienstag, 14. Mai 2019 05:59
  • ja, das passt
    Dienstag, 14. Mai 2019 14:12
  • In DNS finde ich noch sehr viele Einträge auf den toten Server.

    Soll ich diese alle löschen?

    Dienstag, 14. Mai 2019 14:19
  • SRV-Records sind eingetragen

    In den Netzwerkverbindungen sind nur die 2 vorhandenen

    DC eingetragen.

    Habe aber noch viele Einträge im DNS mit dem toten Server

    Dienstag, 14. Mai 2019 14:31
  • Ja, das solltest Du tun.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 14. Mai 2019 16:20