none
Problema ruoli FSMO in seguito alla sostituzione win 2012 datacenter evalution RRS feed

  • Domanda

  • Salve a tutti,

    deiversi mesi fà ho montato in ambiante virtuale due domain controller win 2012 datacenter piu altri server normali in versione valutazione.

    Tra pochi giorni mi scade la licenza valutazione copn conseguente spegnimento del server ogni ora, pertanto ho acquistato la licenza Full per i sever normali la conversione da lic di valutazione a normale è possibile, mentre per i DC non è possibile e vanno reinstallati.

    Quindi ho abbassato di livello il DC2 valutazione e sostituito con un DC2 attivato a cui ho trasferito tutti i 5 ruoli detenuti dal DC1 valutazione tramite  interfaccia grafica.

    La situazione attuale è quindi DC1 valutazione e DC2 Attivato con i ruoli.

    I server si replicano in quanto DC Rplication tools non mi da nessun errore, pero se spengo DC1 valutazione il DC2 attivato smette di funzionare e il dominio risulta inacessibile.

    Negli eventi ho solo un errore generico sul dns, ma niente in AD:

    Il server DNS ha rilevato un errore critico in Active Directory. Controllare che Active Directory funzioni correttamente. Le informazioni di debug estese sull'errore (che potrebbero non essere presenti) sono "". L'errore è contenuto nei dati dell'evento.

    Posto il dc diag specifico dei ruoli dove ci sono degli errori

    dcdiag

    Diagnosi server di directory

    Esecuzione della configurazione iniziale:
       Ricerca dell'home server in corso...
       Home server: pdc2
       * Foresta di Active Directory identificata.
       Raccolta delle informazioni iniziali completata.

    Esecuzione dei test obbligatori iniziali

       Server in fase di test: Default-First-Site-Name\DC2
          Inizio test: Connectivity
             ......................... PDC2 ha superato il test Connectivity

    Esecuzione dei test principali

       Server in fase di test: Default-First-Site-Name\PDC2


       Test partizione in esecuzione su: DomainDnsZones

       Test partizione in esecuzione su: ForestDnsZones

       Test partizione in esecuzione su: Schema

       Test partizione in esecuzione su: Configuration

       Test partizione in esecuzione su: comune

       Test organizzazione in esecuzione su: domanin.xxxx
          Inizio test: FsmoCheck
             Avviso: chiamata a DcGetDcName(TIME_SERVER) non riuscita. Errore: 1355
             Impossibile individuare un server di riferimento ora.
             Il server che detiene il ruolo di PDC è inattivo.
             Avviso: chiamata a DcGetDcName(GOOD_TIME_SERVER_PREFERRED) non riuscita. Errore: 1355
             Impossibile individuare un server di riferimento ora valido.
             ......................... domani.xxxx non ha superato il test FsmoCheck


    lunedì 25 marzo 2013 14:01

Risposte

Tutte le risposte

  • In base a quanto afferma dcdiag: "Il server che detiene il ruolo di PDC è inattivo." e " Impossibile individuare un server di riferimento ora."

    Direi quindi che non è riuscito il trasferimento del ruolo PDC dal server che hai spento al nuovo server. Prova ad eseguire una verifica tramite NTDSUtil Roles.


    lunedì 25 marzo 2013 14:22
    Moderatore
  • ho lo stesso problema, anche npromovuendo un terzo DC3

    nella mia situazione i ruoli li detiene il DC1 licenza valutazione, ho montato DC2 e DC3 licenziati per sostiutuire il DC1 che tra 15gg scade.

    Dc2 e DC3 sono stati correttamente aggiunti al dominio come controller aggiuntivi e dns.

    Succede che se  spengo DC1, sia il DC2 e DC3 smettono di funzionare.

    Il Dcdiag   rileva  lo stesso errore di replica di questo post su DC2 e DC3

    "Inizio test: NetLogons

             * Network Logons Privileges Check
             Impossibile connettersi alla condivisione NETLOGON.

             (\\DC2\netlogon)

             [VICOPDC2] Operazione net use o LsaPolicy non riuscita. Errore: 67,

             Impossibile trovare il nome della rete..

             ......................... DC2 non ha superato il test NetLogons

    "

    qualche suggerimento, visto che tra 15gg mi trovo senza domain controllor funzionante...

    Grazie

    lunedì 25 marzo 2013 18:56
  • ho verificato di non avere le condivisioni su netlogon e sysvol in DC2 e DC3.

    Pensavo di procedere rimuovendo il DC2 e DC3 poi seguire la kb

    a rigenerare AD secondo

    http://support.microsoft.com/kb/315457

    per rigenerare AD

    Che ne dite?

    lunedì 25 marzo 2013 19:29
    • ti ringrazio del suggerimento in effetti il trasferiemnto dei ruoli non era andato a buon fine, ho riupristinato il server che deteneva i ruoli

      ora la situazione è questa, i ruoli li detiene il DC1 licenza valutazione, ho montato DC2 e DC3 licenziati per sostiutuire il DC1 che appunto tra 15gg scade.

      Dc2 e DC3 sono stati correttamente aggiunti al dominio come controller aggiuntivi e dns.

      Succede che se  spengo DC1, sia il DC2 e DC3 smettono di funzionare.

      Il Dcdiag   rileva  lo stesso errore di replica di questo post su DC2 e DC3

      "Inizio test: NetLogons

               * Network Logons Privileges Check
               Impossibile connettersi alla condivisione NETLOGON.

               (\\DC2\netlogon)

               [VICOPDC2] Operazione net use o LsaPolicy non riuscita. Errore: 67,

               Impossibile trovare il nome della rete..

               ......................... DC2 non ha superato il test NetLogons

      "

      ho verificato che mancano le condivisioni su netlogon e sysvol in DC2 e DC3, mi sembra un prob simile a questo post

      http://social.technet.microsoft.com/Forums/it-IT/windowsserverit/thread/18ef6db1-6c1d-4a69-9606-6edc631805b8

      Pensavo di procedere rimuovendo il DC2 e DC3 poi seguire la kb

    • a rigenerare AD secondo

      http://support.microsoft.com/kb/315457

      Che ne dite?

    • grazie

    • Modificato Wang Huang martedì 26 marzo 2013 09:50
    lunedì 25 marzo 2013 23:23
  • Ciao, dalle prove effettuate in laboratorio il problema sembra essere dovuto all'abilitazione/disabilitazione dell'IPv6 una volta che sono stati attivati i ruoli di AD.

    Prova ad utilizzare come unico DNS quello del server DC1 ed una volta verificata la replica ad utilizzare nuovamente i DNS locali.

    Se hai un ambiente che puoi buttare giù ti consiglio di farlo e di ripartire da zero. Prima di avviare la configurazione dei ruoli elimina la spunta di IPv6 (se non lo utilizzi). Per quanto riguarda la KB puoi tentare una forzatura ma come indicato nella stessa "Si consiglia la procedura descritta in questo articolo come ultima risorsa per il ripristino della struttura SYSVOL..."

    Saluti

    Nino

    martedì 26 marzo 2013 06:03
    Moderatore
  • Grazie per l'aggiornamento, questo problema legato alla disabilitazione di IPv6 su Windows Server 2012 va sicuramente approfondito.
    martedì 26 marzo 2013 09:04
    Moderatore
  • ho gia provato a lasciare come unico dns del DC2 quello del DC1 , ma il problema rimane ogni volta che aggiungo un DC non share le due cartelle.

    Purtroppo è un ambiante di produzione comoplesso e non posso rifare tutto.

    Pensavo come suggerito  di fare un ulteriore prova rimuovendo ipv6 dal
    DC1 funzionante e detentore dei ruoli, poi riprovare ad aggiungere un nuovo Dc2 con unico dns che puinta a DC1

    giusto?

    martedì 26 marzo 2013 09:17
  • puoi postare gli ipconfig /all di tutti tre i dc ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 26 marzo 2013 10:07
    Moderatore
  • Da quello che ho potuto notare si incarta quando attivi/disattivi IPv6 una volta che i ruoli sono attivi.

    Se hai una rete complessa, magari su più site, aspetta prima di fare modifiche su modifiche in quanto potresti avere problemi di replica.

    Hai aperto un altro 3D, direi che è meglio continuare con quello.

    Saluti

    Nino

    martedì 26 marzo 2013 12:27
    Moderatore
  • Si ma il DC1 con licenza valutazione che contiene i ruoli in modo corretto ha sempre avuto i ipv6 attivato.

    E come nel post precedente la promozione guidata di un altro server aggiuntivo denominato  DC2  licenziato sempre con IPv6 attivo  va a buon fine, ma poi da gli errori segnaliti e non share le cartelle sysvol e netlogon.

    Ho demodato e riaggiunto il DC2 con ipv6 disabilitato su DC1 e DC2 ma la situazione è uguale.


    • Modificato gguida martedì 26 marzo 2013 20:24
    martedì 26 marzo 2013 19:35
  • grazie

    ecco ipconfig del DC1


    Configurazione IP di Windows

       Nome host . . . . . . . . . . . . . . : pdc
       Suffisso DNS primario . . . . . . . . : comune.xxx.it
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : comune.xxx.it

    Scheda Ethernet Ethernet:

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Connessione di rete Intel(R) PRO/1000 MT
       Indirizzo fisico. . . . . . . . . . . : 00-50-56-A1-50-70
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 10.0.0.1(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 10.0.0.239
       Server DNS . . . . . . . . . . . . .  : 10.0.0.1
                                               10.0.0.2
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Tunnel isatap.{EE0E600C-0CC9-417E-A219-4C31E17935AB}:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì

    Scheda Tunnel Teredo Tunneling Pseudo-Interface:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
    PS C:\Users\Administrator.COMUNE>

    ecco ipconfig dell'ultimo DC2 (licenziato)  tirato su con solo il dns del DC1 come consigliato, rimane cmq il problema.

    Configurazione IP di Windows

       Nome host . . . . . . . . . . . . . . : Pdc2
       Suffisso DNS primario . . . . . . . . : comune.xxx.it
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : comune.xxx.it

    Scheda Ethernet Ethernet:

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Connessione di rete Gigabit Intel(R) 82574L
       Indirizzo fisico. . . . . . . . . . . : 00-50-56-A1-39-F8
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv6 locale rispetto al collegamento . : fe80::397d:c75b:8d1c:9a89%12(Prefe
       Indirizzo IPv4. . . . . . . . . . . . : 10.0.0.2(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 10.0.0.239
       IAID DHCPv6 . . . . . . . . . . . : 251678806
       DUID Client DHCPv6. . . . . . . . : 00-01-00-01-18-E2-82-35-00-50-56-A1-39-F8
       Server DNS . . . . . . . . . . . . .  : ::1
                                               10.0.0.1
                                               127.0.0.1
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Tunnel isatap.{0B17BD2C-318E-4E44-BFA6-4E97FA42FB01}:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì

    Scheda Tunnel Connessione alla rete locale (LAN)* 8:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
    PS C:\Users\Administrator.COMUNE>

    martedì 26 marzo 2013 19:49
  • come ultima prova prima di tentare la kb per la ricostruzione di AD http://support.microsoft.com/kb/315457

    provero a demodare DC2, poi riattivare ipv6 prima sul DC1 e poi aggiungere un nuovo DC2 sempre con ipv6 attivo

    Suggerimenti?

    martedì 26 marzo 2013 20:31
  • DC1:
    Utilizza esclusivamente il DNS locale
    Server DNS . . . . . . . . . . . . .  : 10.0.0.1

    DC2:
    Abbassa il livello ed eliminalo dal dominio.
    Attendi che la replica sia completa e verifica la presenza di metadati orfani sia a livello AD che DNS

    Ti consiglio di reinstallare il sistema operativo.

    Configura la scheda di rete disattivando IPV6 (togli il flag). Questa operazione va eseguita prima di aggiungere ruoli.
    Inserisci i parametri dell'IPv4 (IP 10.0.0.2, Subnet Mask 255.255.255.0, Gateway 10.0.0.239, DNS 10.0.0.1)

    Se esegui un ipconfig /all non devi vedere le voci IAID DHCPv6, DUID Client DHCPv6 e nel DNS non deve essere presenta il valore ::1

    Aggiungi i ruoli ed una volta riavviato come DC modifica nuovamente i parametri dell'IPv4 eliminando il valore di loopback ed utilizzando come unico DNS DC1

    Attendi e verifica le repliche

    Saluti
    Nino

    mercoledì 27 marzo 2013 02:35
    Moderatore
  • grazie

    ecco ipconfig del DC1


    Configurazione IP di Windows

       Nome host . . . . . . . . . . . . . . : pdc
       Suffisso DNS primario . . . . . . . . : comune.xxx.it
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : comune.xxx.it

    Scheda Ethernet Ethernet:

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Connessione di rete Intel(R) PRO/1000 MT
       Indirizzo fisico. . . . . . . . . . . : 00-50-56-A1-50-70
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 10.0.0.1(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 10.0.0.239
       Server DNS . . . . . . . . . . . . .  : 10.0.0.1
                                               10.0.0.2
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Tunnel isatap.{EE0E600C-0CC9-417E-A219-4C31E17935AB}:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì

    Scheda Tunnel Teredo Tunneling Pseudo-Interface:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
    PS C:\Users\Administrator.COMUNE>

    ecco ipconfig dell'ultimo DC2 (licenziato)  tirato su con solo il dns del DC1 come consigliato, rimane cmq il problema.

    Configurazione IP di Windows

       Nome host . . . . . . . . . . . . . . : Pdc2
       Suffisso DNS primario . . . . . . . . : comune.xxx.it
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : comune.xxx.it

    Scheda Ethernet Ethernet:

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Connessione di rete Gigabit Intel(R) 82574L
       Indirizzo fisico. . . . . . . . . . . : 00-50-56-A1-39-F8
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv6 locale rispetto al collegamento . : fe80::397d:c75b:8d1c:9a89%12(Prefe
       Indirizzo IPv4. . . . . . . . . . . . : 10.0.0.2(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 10.0.0.239
       IAID DHCPv6 . . . . . . . . . . . : 251678806
       DUID Client DHCPv6. . . . . . . . : 00-01-00-01-18-E2-82-35-00-50-56-A1-39-F8
       Server DNS . . . . . . . . . . . . .  : ::1
                                               10.0.0.1
                                               127.0.0.1

    ora che il dc2 è promosso cambia i DNS sulla sua scheda di rete mettendo solo i seguenti:

    dns primario: 10.0.0.2

    dns secondario: 10.0.0.1

    e togli il resto.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 27 marzo 2013 09:08
    Moderatore
  • ho fatto tutti gli incroci ma niente...

    ricapitolando provero quest'ultimo

    DC1:
    Utilizza esclusivamente il DNS locale
    Server DNS . . . . . . . . . . . . .  : 10.0.0.1

    ipv6 disabilitato firewall disabilitato

    DC2:
    Abbassa il livello ed eliminbato da dominio
    contollo e pulizia eventuali  metadati orfani sia a livello AD che DNS su DC1, attesa minimo 15 minuti per le repliche

    DC2 Nuova VM licenziata

    Prima di aggiungere al dominio e alzare di livello disabilito ipv6 firewall e dns solo quello del DC1

     ipconfig /all x verificare se le voci sono prersenti  IAID DHCPv6,DUID Client DHCPv6 e nel DNS non deve essere presenta il valore ::1

    vi posto il risultato

    Grazie

    mercoledì 27 marzo 2013 11:34
  • nulla da fare continua a non share le due cartelle, e appena spengo il DC1 smette di funzionare il DC2

    pensavo di fare un backup di aAD del DC1 e poi ripristinare tutto su un server nuovo licenziato

    che ne dite?

    sono preoccupato..tra qualche giorno il server funzionaante in valutazione e che non si riesce a replicare si spegnerà....

    mercoledì 27 marzo 2013 14:20
  • Apri un ticket

    mercoledì 27 marzo 2013 14:37
    Moderatore
  • ho provato a contattare telefonicamente microsoft , ma non ho nessun contratto sa, abbiamo acquistato solo la licenza wondows 2012 datacenter 1 nodo due cpu.

    Quindi non è previsto suipporto solo a pagamento...

    cmq il sysvol è corrotto e non si sincronizza con il nuovo DC, infatti nella chiave di registro indicata nella seguente  kb ci mancano le cartelle e i paramentri per la replica, rispetto a un Dc nuovo.

    http://support.microsoft.com/kb/967336

    Quindi credo che lunica strada sia lanciare la ricostruzione, anche se la cosa mi preoccupa un po.


    mercoledì 27 marzo 2013 16:16
  • Intendevo proprio quello, supporto a pagamento. Se l'architettura è complessa conviene mettere sul piatto della bilancia il costo Microsoft ed il costo di rimettere su un sistema. Tieni conto che in genere se il problema non si risolve spesso la fatturazione non viene avviata.

    Saluti

    Nino

    mercoledì 27 marzo 2013 16:26
    Moderatore
  • posto la soluzione

    con un ripristinmo autorvole ho lancioato la ricostruzione del sysvol

    comunque sarà mica un baco di windows 2012 in quanto i due dc sia in valutazione che i licenziati erano montati nuovi.

    http://jorgequestforknowledge.wordpress.com/2010/08/12/restoring-the-sysvol-non-authoritatively-when-either-using-ntfrs-or-dfs-r-part-3/

    sabato 13 aprile 2013 14:13
  • Ho lo stesso problema.

    IPV6 disabilitato ma errore persistente.

    Ho disabilitato come dns primario il loopback sul DC2012 su cui voglio trasferire i ruoli inserendo come DNS l'IP del server DC 2003 da cui trasferire i ruoli. Ha funzionato...  

    comunque, per quanto mi riguarda,  mi è accaduto SOLO sui windows server 2012.

    giovedì 1 agosto 2013 11:08
  • descrivi per bene il problema possibilmente aprendo un nuovo thread

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 3 agosto 2013 08:39
    Moderatore