none
Betriebsmaster online wechseln RRS feed

  • Frage

  • Hallo,

    aufgrund eines Hardwarefehlers, der mittlerweile behoben ist, hatte ich einen korrupten Betriebsmaster in der Domäne, der sich leider nicht mehr reparieren lässt. Die komplette Infrastruktur läuft auf Windows Server 2012.

    Vor ca 1 Monat habe ich einen 2. DC installiert. Beide DC's also GC.

    Nun wollte ich gestern den Betriebsmaster wechseln und habe drei FSMO Rollen über die Active Directory auf den 2. DC übertragen. Rechte Maustaste auf Domäne, Betriebsmaster, PDC,RID,Infrastruktur geändert.

    Anschließend habe ich noch dmit ntdsutil den Namens Master und Schema Master mit Erfolg auf den 2. DC übertragen.

    Nun, so dachte ich zumindestens, wäre es Zeit den korrupten DC herabzustufen und auszuschalten. Gesagt getan...

    Anschließend ging gar nichts mehr. NSLOOKUP lieferte eine korekte Antwort genau wie ein Ping auf die Domäne. Die Domäne selbst war nicht mehr verwaltbar über den 2.DC. So konnte ich Active Directory Benutzer und Computer nicht mehr öffnen, da mir eine Fehlermeldung ausgegeben wurde, die besagte, dass die Domäne nich verfügbar wäre.

    Ich habe dann den 1. DC wiederhergestellt und vorher natürlich den 2. wieder herabgestuft damit es keine Konflikte gibt. Nach der ganzen Aktion habe ich wieder die FSMO's wie oben beschrieben übertragen.

    Beim Herabstufen wurde das AD und GC entfernt. Der DC war wie beschrieben noch online! Hätte ich vor dem Herabstufen das Netzwerk kappen sollen? Das wäre meine einzige Vermutung. Freue mich auf ein paar Ratschläge.


    • Bearbeitet SADFR Freitag, 14. November 2014 10:10
    Freitag, 14. November 2014 10:10

Antworten

  • Hi,

    Am 17.11.2014 um 22:35 schrieb SADFR:

    1. DNS Einstellungen am 2. DC prüfen, DHCP läuft bereits korrekt
    2. 1. DC ausschalten
    3. FSMO seizing (5 FSMO's) auf dem 2. DC
    ------ seize rid master, size pdc, seize infrastructure, seize schema master, seize name master
    soweit korrekt?

    Jupp.

    4. metadata cleanup auf dem 2. DC
    - ntdsutil
    -- metadata cleanup
    --- remove selected server dc1

    Schau dir den http://support.microsoft.com/kb/216498 noch mal an.
    Vor dem Remove musst du per "select server" den DC1 auswählen.

    Die Steps in dem Artikel kannst du 1zu1 runtertippen

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 18. November 2014 20:47

Alle Antworten

  • Hi,

    hast Du jetzt also mit dem alten DC wieder eine funktionsfähige Domäne? So wie Du das beschrieben hast bin ich mir über den Status Quo nicht ganz sicher.

    Wenn Du die Meldung erhältst "dass die Domäne nicht verfügbar ist", wären die SOA-Einträge (das DNS insgesamt) im DNS zu prüfen. So wie sich das bei Dir allerdings anhört würde ich drüber nachdenken die bestehende Situation außer Betrieb zu nehmen und einen DC aus einer Sicherung wiederherzustellen. Hier wären dann die Betriebsmasterrollen forciert zu übernehmen und die Reste des/der verwaisten DCs manuell aus dem AD/DNS zu entfernen.

    Gruß,

    Thomas

    Freitag, 14. November 2014 10:26
  • Die Domäne läuft wieder.

    Nur bin ich mir nicht sicher warum nach der Herabstufung des 1. DC's diese nicht mehr verwaltbar war.

    Im DNS des 2. DC's habe ich von Hande die Lookupzonen gesäubert und den 1. DC rausgeschmissen.

    Jedoch hatte ich gerade zur meiner Schande kein metadata cleanup durchlaufen lassen. Jedoch glaube ich nicht, dass das die Ursache für das Problem sein kann. Ich glaube, dass beim herabstufen der gesamte GC entfernt wurde, denn bei der Herabstufung wurde mir angezeigt, dass dieser entfernt werden würde. Nun würde sich mir die Frage stellen wie sich das verhält, wenn der 1. DC nicht am Netz ist während ich diesen herabstufe.

    Freitag, 14. November 2014 10:32
  • Wenn Du den nicht am Netz hast wird der andere DC nicht informiert und Deine AD wird verwaiste Informationen enthalten. Beim Herabstufen sollte eine saubere Kommunikation zwischen dem baldigen EX-DC und der bestehenden Domäne dafür sorgen dass "aufgeräumt wird" und etwaige FSMO-Rollen noch sauber übergeben werden.
    Freitag, 14. November 2014 10:48
  • Aber genau das ist das Problem. Der 1. DC meldet beim Herabstufen, dass kein 2. vorhanden ist und ich solle bestätigen, dass dies der letzte DC der Domäne ist. Das habe ich natürlich nicht getan, sondern das Herabstufen des 1. DC erzwungen.

    Braucht das einfach nur Zeit bis der 2. DC funktioniert? NSLOOKUP lief ja problemlos und gab mir auch die Adresse des 2. DC zurück.

    Die FSMO Rollen habe ich schon von Hand übertragen. Demnach braucht doch beim Herabstufen nichts übergeben werden.

    Ich gehe stark davon aus, dass die Kommunikation zwischen den DC's nicht sauber läuft sonst hätte ich beim Herabstufen keine Warnungen. DFS hingegen läuft, da gab es keine Probleme. Das ist ja auch der Grund warum er aus der Domäne soll. Merkwürdiger Weise benutzen alle Clients problemlos den 2.DC als DNS, der erste hat eigentlich keine Funktion mehr, dieser wurde in sämtlichen Angelegenheiten rausgenommen. Nur nach dem Herabstufen besagtes Problem.

    Ich könnte ja mal testen was passiert, wenn ich den ersten DC einfach nur mal vom Netz nehmen. Mal schauen, ob dann die Domäne am 2. DC noch verwaltbar ist. Denn ich bin schon lange am Ende mit meinem Latein.


    • Bearbeitet SADFR Freitag, 14. November 2014 11:05
    Freitag, 14. November 2014 11:04
  • Hi,

    Am 14.11.2014 um 12:04 schrieb SADFR:

    Ich gehe stark davon aus, dass die Kommunikation zwischen den DC's
    nicht sauber läuft

    Sind denn alle Daten auf dem Neuen?
    Gruppenrichtlinien, User, Gruppen etc?

    Dann schlag mit dem Knüppel drauf.
    -> dcpromo /forceremoval auf dem Alten
    -> auf dem Neuen ntdsutil metadata cleanup

    http://support.microsoft.com/kb/216498/en

    Ansonsten: auf dem alten als ersten und einzigen DNS den neuen eintragen, nachdem die Replikation definitiv gelaufen ist. Dann muss ein dcpromo fehlerfrei funktionieren. Er darf nur nicht mehr selber der DNS sein, den er fragt, denn der DNS wird abgeschaltet ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 14. November 2014 11:40
  • Die Daten sind alle auf dem Neuen. Wie geschrieben DFS läuft sauber.

    Mit dem Knüppel kann ich mla drauf schlagen.

    dcpromo /forceremoval läuft aber nicht unter W2012? Muss man doch leider über den Asi machen.

    Aber dennoch mal abseits davon: dennoch muss die domäne verwaltbar sein?? Ist sie ja auch am 2., wenn der 1. noch läuft! So ganz blick ich da noch nicht durch...

    Freitag, 14. November 2014 12:16
  • Hi,

    Am 14.11.2014 um 13:16 schrieb SADFR:

    dcpromo /forceremoval läuft aber nicht unter W2012? Muss man doch
    leider über den Asi machen.

    ADDSDomainController -ForceRemoval

    Aber dennoch mal abseits davon: dennoch muss die domäne verwaltbar
    sein??  Ist sie ja auch am 2., wenn der 1. noch läuft!

    Entweder stimmen deine DNS Einträge noch nicht, der alte glaubr immer noch der Chef zu sein, oder der Neue glaubt es nicht zu sein.

    Schalt den alten DC aus. Trage am Neuen den Neuen als DNS ein und nur ihn selbst. Mach ein FSMO seizing, was passiert dann?
    Wenn es dann geht, dann metadatacleanup und forceremoval.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 14. November 2014 13:56
  • OK. Danke erstmal. Ber der ersten Gelegenheit, die sich mir bietet, werde ich es ausprobieren. Ist halt eine Produktivumgebung, in der ich nicht jeden Tag fuschen kann, ansonsten haben wir im schlimmsten Fall wieder einen Ausfall weil etwas nicht funktioneirt hat und ich den ersten DC wieder restoren darf.

    Also zum Ablauf noch einmal:

    1. Ersten DC ausschalten

    2. Prüfen, ob noch alles möglich ist

    3. DNS Einträge des 2. DC prüfen und ggf. nur den 2. als DNS eintragen (ist aber schon so, das hatte ich schon so eingestellt)

    4. FSMO seizing (von allen 5 FSMO's denke ich)

    5. metadata cleanup auf 2. DC ausführen

    6. forceremoval? Wo führe ich das aus? Den 1. DC sollte ich nach diesen Schritten doch nicht wieder hochfahren oder etwa doch?

    Freitag, 14. November 2014 14:53
  • > 1. Ersten DC ausschalten
    > 2. Prüfen, ob noch alles möglich ist
     
    Das wird nicht der Fall sein - solange AD und DNS noch "glauben", daß es
    DC1 gibt, wird das eine oder andere nicht klappen.
     
    > 6. forceremoval? Wo führe ich das aus? Den 1. DC sollte ich nach diesen
    > Schritten doch nicht wieder hochfahren oder etwa doch?
     
    Nö, wenn Du den platt machst, kannst Du Dir das sparen ;)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Samstag, 15. November 2014 11:40
  • Hi,

    Am 14.11.2014 um 15:53 schrieb SADFR:

    1. Ersten DC ausschalten
    2. Prüfen, ob noch alles möglich ist

    Da haben wir ja schon gestgestellt, das es nicht so ist.
    Deswegen: DNS auf neuen DC verlegen, FSMO seizen, dann sollte alles gehen

    4. FSMO seizing (von allen 5 FSMO's denke ich)
    5. metadata cleanup auf 2. DC ausführen

    Ja.

    6. forceremoval?

    Dem AD ist er durch metadata cleanup schon nicht mehr bekannt.
    Wenn du ihn nei wieder einschaltest, sondenr neu installierst, brauchst du kein Forceremvoval,
    Wenn er als Member bestehen bleiben soll, dann sollte ein sauberes Demote nach Änderungen der DNS und FSMOs möglich gewesen sein.
    Du kannst ihn aber ohne Netzwerkkontakt per Forceremoval zum Member degradieren.

    Tschö
    mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 15. November 2014 12:55
  • Hi,

    Am 14.11.2014 um 15:53 schrieb SADFR:

    1. Ersten DC ausschalten
    2. Prüfen, ob noch alles möglich ist

    Da haben wir ja schon gestgestellt, das es nicht so ist.
    Deswegen: DNS auf neuen DC verlegen, FSMO seizen, dann sollte alles gehen

    4. FSMO seizing (von allen 5 FSMO's denke ich)
    5. metadata cleanup auf 2. DC ausführen

    Ja.

    6. forceremoval?

    Dem AD ist er durch metadata cleanup schon nicht mehr bekannt.
    Wenn du ihn nei wieder einschaltest, sondenr neu installierst, brauchst du kein Forceremvoval,
    Wenn er als Member bestehen bleiben soll, dann sollte ein sauberes Demote nach Änderungen der DNS und FSMOs möglich gewesen sein.
    Du kannst ihn aber ohne Netzwerkkontakt per Forceremoval zum Member degradieren.

    Tschö
    mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter


    Werde es wie folgt erneut durchführen:

    1. DNS Einstellungen am 2. DC prüfen, DHCP läuft bereits korrekt

    2. 1. DC ausschalten

    3. FSMO seizing (5 FSMO's) auf dem 2. DC

    - ntdsutil

    -- roles

    --- connections

    ---- connetc to server (DC2)

    ----- q

    ------ seize rid master, size pdc, seize infrastructure, seize schema master, seize name master

    soweit korrekt?

    4. metadata cleanup auf dem 2. DC

    - ntdsutil

    -- metadata cleanup

    --- remove selected server dc1

    soweit korrekt?

    Bin mit diesen Funktionen leider nicht sehr vertraut.

    Anschließend prüfen, ob alles funktioniert.

    Danke für die Ratschläge.


    • Bearbeitet SADFR Montag, 17. November 2014 21:36
    Montag, 17. November 2014 21:35
  • Hi,

    Am 17.11.2014 um 22:35 schrieb SADFR:

    1. DNS Einstellungen am 2. DC prüfen, DHCP läuft bereits korrekt
    2. 1. DC ausschalten
    3. FSMO seizing (5 FSMO's) auf dem 2. DC
    ------ seize rid master, size pdc, seize infrastructure, seize schema master, seize name master
    soweit korrekt?

    Jupp.

    4. metadata cleanup auf dem 2. DC
    - ntdsutil
    -- metadata cleanup
    --- remove selected server dc1

    Schau dir den http://support.microsoft.com/kb/216498 noch mal an.
    Vor dem Remove musst du per "select server" den DC1 auswählen.

    Die Steps in dem Artikel kannst du 1zu1 runtertippen

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 18. November 2014 20:47
  • Danke. Werd mich melden.
    Dienstag, 18. November 2014 21:25
  • Hi,

    da ich erst am Sonntag dazu kommen werde die Arbeiten endlich auszuführen, melde ich mich kur vorher nochmal, um wirklich auf Nummer sicher zu gehen.

    Wie folgt werde ich vorgehen:

    1. DNS Einstellungen am 2. DC prüfen, 2.DC hat nur sich selbst als DNS


    2. 1. DC ausschalten


    3. Übetragen der FSMo Rollen auf dem 2. DC
    ntdsutil öffnen
    roles
    connections
    connect to server dc1 (neuer Server)
    q
    transfer infrastructure master
    transfer naming master
    transfer pdc
    transfer rid master
    transfer schema master
    q
    q


    4. FSMO seizing auf dem 2. DC ausführen
    ntdsutil öffnen
    roles
    connections
    connect to server dc1 (neuer Server)
    q
    seize infrastructure master
    seize naming master
    seize pdc
    seize rid master
    seize schema master
    q
    q

    5. Alten Server aus der AD entfernen
    ntdsutil öffnen
    metadata cleanup
    connections
    connect to server dc (alter DC)
    remove selected server
    q
    q

    Wie sieht das nun noch mit dem Zeitgeber aus? Holen sich die Clients jetzt automatisch die Uhrzeit vom neuem DC? Anfänglich habe ich, als der alte DC noch in Ordnung war, mit dem w32tm ein DOMHIER konfiguiert. Steht dann im Client nur der alte DC oder wird das automatisch aktualisiert? Sollte ich den w32tm DOMHIER nochmals auf den Clients nach der Aktion ausführen? Oder lieber gleich per GPO die Zeitsynchronisation? Ich habe stichprobenartig manche Clients überprüft und nachgeschaut welchen Peer sie benutzen: Überall der alte DC, obwohl dieser als DNS gar nicht mehr angegeben wird. Daher meine Fragen, möchte nur auf Nummer sicher gehen, denn wenn nun nochmal etwas schief geht, dann gehen mir die Argumente aus. Danke.

    Freitag, 6. Februar 2015 09:48
  • Habe das Ganze schon heut mit ernüchterndem Ergebnis testen können.

    Zunächst sah alles gut aus, jedoch funktioniert hat nach wie vor rein gar nichts.

    Nachfolgende Schritte habe ich durchlaufen:

    DNS Einstellungen am neuen DC überprüft, Einziger DNS ist neuer DC

    Alten DC heruntergefahren (anschließend konnte ich AD und Co nicht mehr öffnen, ist ja auch klar, da alter DC alle FSMO's inne hat)

    NTDSUTIL geöffnet und folgendes runtergetippt:

    roles, Connections, connect to Server DCNEU, q, seize roles (alle 5, sah ganz gut aus, gab keine Fehlermeldungen), qq

    Anschließend leider immer noch kein Erfolg beim Öffnen von AD und Co.

    NTDSUTIL geöffnet

    metadata cleanup

    Connections, connect to Server DCNEU, q, select operation target, list Domains, select domain xy.local, list sites, select site 0, list servers in site, select server 0, remove selected Server DCALT

    Anschließend kam eine Warnmeldung, die ich mit OK bestätigt habe.

    Nach wie vor war es mir nicht möglich die AD oder die Gruppenrichtlinienverwaltung zu öffnen mit ständigem Meldungen wie:

    RPC Server ist nicht verfügbar, Domäne ist nicht verfügbar, Namensauflösung ist nicht verfügbar, etc.

    Nach vielem Lesen und probieren habe ich den DCALT wieder gestartet, anschließend war alles wieder möglich! AD und Co ließen sich wieder öffnen. Ich würde mich freuen, wenn mir Jemand auf die Sprünge hilft.

    Freitag, 6. Februar 2015 19:52
  • Hi,
     
    Am 06.02.2015 10:48, schrieb SADFR:
    > 2. 1. DC ausschalten
     
    wenn du transfer willst muss der angeschaltet bleiben.
    Sonst ist es ein seizen.
     
    transfer=freundliche übernahme mit bescheidsagen bei allen
    seize=halt die fresse, mach et otze, ich brauch euch andere nicht.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Samstag, 7. Februar 2015 10:51
  • Richtig, hatte ich im 2. Post gleich danach geschrieben. Die FSMO's habe ich per Seize eingezogen, dennoch wie vorher beschrieben leider kein Erfolg. Habe ich noch etwas vergessen?
    Samstag, 7. Februar 2015 12:53