none
Tombstone Lifetime abgelaufen -DC Replikation schlägt fehl RRS feed

  • Allgemeine Diskussion

  • Hallo,

    Ich habe das Problem das in einer Subdomäne der DC nicht mehr mit anderen sich repliziert.

    Die Ursache ist das die TSL abgelaufen ist.

    Der Server war auf den Weg nach Indien und dort über 3 Monate im Zoll festgesteckt. also über 60 Tage.

    Darauf hatte ich also keinen Einfluß

    Kurze Anmerkung zur Umgebung:

    Alle DC's Windows Server 2003 R2.

    Alle DC-Server sind auch DNS DHCP und GC

    DNS wird auf alle Server der Gesamtstruktur repliziert (Nur ausgewählte Server was aber alle DC'S sind)

    Es gibt eine Root domäne mit ca 15 DCs verteilt über verschiedene Standorte (also eigene Sites angelegt unterschiedliche Subnetze)

    Außerdem gibt es mehrere Subdomänen in der jeweils mindestens ein DC vor Ort liegt (FSMO Rollen sind hier) und ein weiterer für die Domäne in einem Backupnetz am Hauptstandort.

    Die Replikation beim Backup-DC der betroffenen Subdomäne funktioniert einwandfrei. (Mit ausnahme halt zum "defektem DC")

    Nun nachdem der Server in der Subdomäne nun wieder online genommen wurde, stellte ich fest das die anderen DCs nicht mehr mit ihm replizieren wollen. Grund der TSL die abgelaufen ist >60 Tage.

    Ich bräuchte nun bitte mal ein ToDo wie ich das Problem in den griff bekomme.

    Ich habe natürlich schon gesucht, allerdings habe ich nichts gefunden das auf meine Situation mit der Subdomäne zutrifft.

    Was ich gefunden habe für ähnliche Fälle:

    1. die RID INFRA UND PDC - FSMO Rollen umziehen

    * geht nicht im onlinemodus da die anderen DCs dem ja nicht mehr vertrauen

    * also geht dies nur über das erzwingen (ausführen auf dem Backup DC der Domäne)

    2. Anschliesend den "defekten" DC herunterstufen (DCPROMO /forceremoval)

    3. Meta Cleanup im AD vornehmen

    4. Server wieder zum DC anheben.

    Da ich dies aber alles in einer Subdomäne machen muss wollte ich erst mal einen Rat wie ich das in so einem Fall machen muß.

    Für mich offene Fragen:

    Gibt es einen anderen Weg, mache ich was Falsch?

    Wenn ich den betroffenen DC herunterstufe, was wird aus dem DNS und DHCP?

    Muss ich den "defekten DC" umbenennen wenn ich ihn wieder zum DC machen will oder kann ich ihn einfach herunterstufen und wieder hochstufen zum DC?

    Wie und wo muß ich das meta cleanup durchführen.

    Wie lange muss ich zwischen den einzelnen schritten warten?

    Falls ihr noch informationen benötigt stelle ich diese gerne zur Verfügung.

    Montag, 11. Februar 2013 13:48

Alle Antworten

  • Hi,

    ma schaun ob ich alles richtig verstanden hab :) 

    Also: Du hast einen DC (ohne ihn runterzustufen oO) durch die Weltgeschichte geschickt und er war deshalb über der Tombstone Lifetime nicht mehr am Netz und konnte sich replizieren. Nun hast du festgestellt, dass kein DC mehr mit ihm repliziert?

    Das ist schonmal sehr gut! Denn das bedeutet, dass du die "Strict replication consistency" aktiviert hast. Diese verhindert, dass so ein DC sich mit den anderen repliziert und damit lingering Objects entstehen und tut den DC in einen Quarantäne Modus und von der Replikation ausschliessen!

    Bin mir zwar jetzt auch nicht sicher, was der beste Weg wäre, entweder repadmin /removelingeringobjects oder aber den DC einfach kurzerhand entfernen (dcpromo /forceremoval), MetaData Cleanup und neu hochstufen. Der kann ruhig weiter so heißen. Hilfe zum Metadata Cleanup, da ja noch kein 2008 bei euch im Einsatz ist (ADUC von 2008R2 kann das selber machen durch löschen des Computerobjekts ), hier der Link zur Anleitung: http://technet.microsoft.com/en-us/library/cc736378(v=ws.10).aspx

    Hier mal ne Info zur "Strict replication consistency" http://blogs.technet.com/b/askds/archive/2010/02/15/strict-replication-consistency-myth-versus-reality.aspx

    Und nochwas: Bitte schicke NIE Domänencontroller durch die Welt ohne sie vorher runterzustufen! Neben deinen Effekten ist der Sicherheitsaspekt da noch viel wichtiger!!



    • Bearbeitet baschuel Freitag, 15. Februar 2013 10:49
    Freitag, 15. Februar 2013 09:54
  • Ja hast du eigentlich richtig verstanden.

    Die Problemlösung habe ich dann so vorgenommen (kleine Änderung zu m 1. Beitrag):

    1. FSMO Rollen auf einen anderen DC mittels seize gezogen.

    2.den alten DC mit dcpromo /forceremoval heruntergestuft (dadurch wurde er in eine Workgroup gesetzt)

    3. DNS-rolle auf dem Server heruntergenommen. (wurde beim Herabstufen nicht mitgemacht)

    4. Datenbereinigung

    • Im Forest (auf einem bridgeheadserver DNS aus der liste der Namensserver genommen etc (forward lookup zone und auch bei den reverse lookup zonen)
    • mit ntdsutil auf dem "BAckupdc" der Subdomäne die anderen metadaten nach Beschreibung gelöscht

    5. Anschließend Replikation angestoßen und gewartet bis sie fertig war.(über alle Standorte)

    6. Änderung der IP einstellungen des alten DCs (bridgehead als dns)

    7. Kontrolle ob das AD Objekt wirklich überall weg ist

    8. Hochstufen zum DC incl dns.

    Wieder replikation abgewartet/angestossen

    9. Test ob der alte bestehende DHCP dienst noch geht,

    (war ja schon authoriziert, Ich wußte aber nicht ob die authorizierung beim herabstufen und aus der domäne nehmen bestehen bleibt .)

    Ergebnis, der DHCP war noch funktionstüchtig authoriziert und vergibt IP-leases wie gewohnt.

    Zusammenfassend:

    Bisher klappt alles soweit ich das im Überblick habe, allerdings muss ich mich nun erst mal durch die Eventlogs kämpfen und alles überprüfen.

    Montag, 18. Februar 2013 10:14