DC Migration + gefährliches Halbwissen

[woiza 10]

Wenn du die Rolle geseized hast, wirst du die Kiste auch niocht mehr mit DCPromo runterkriegen. Wenn die neue Maschine wirklich Kontakt mit der Domäne bekommt, hast du ein Problem, nämlich 2 Ridmaster. Wenn du einen Seize machst, dann erfährt der alte Rolleninhaber nix von dem Wechsel.

 

Du kannst jetzt dcpromo /forceremoval durchführen und danach auf ner anderen Kiste ein metadata cleanup durchführen.

[localbenny 10]

Ich hab hier und da gelesen, das es probleme nach dem ausführen von dcpromo /forceremoval gab, nämlich ,dass es dann danach überhaupt nicht mehr möglich wär jemanden hochzustuffen...oder kann mir das nicht passieren nachdem alle rollen auf 'nem anständigen dc sind?

 

Trotzdem klingt deine Erklärung schlüssig, deshalb danke für den Tipp!

 

 

 

 

localbenny

[woiza 10]

Forceremoval entfernt das AD auf dem Server, ohne die Einträge im AD der anderen zu tilgen, grob gesagt. Wenn du dein AD danach bereinigst, kann nix passieren. Im Prinzip kannst du statt forceremoval auch die Maschine neu installieren, kommt aufs gleiche raus.

Wenn du die Maschine aber wieder mit gleichem Namen reinholen willst, ohne die Bereinugung zu machen, dann knallts.

[Daim 12]

Buenos tardes,

 

Wenn du dein AD danach bereinigst, kann nix passieren.

 

Naja, wenn er es nicht bereinigt, passiert auch nichts schlimmes, es besteht dann nur eine Leiche im Keller ... äähhmm Active Directory ;-)

Aber es stimmt schon, natürlich sollte das AD "sauber" sein ;)

 

Im Prinzip kannst du statt forceremoval auch die Maschine neu installieren, kommt aufs gleiche raus.

 

Der vollständigkeitshalber sei noch eine weitere "nicht supportete" Variante genannt:

Yusuf`s Directory - Blog - Das Active Directory gewaltsam vom DC entfernen

Aber auch hier korrekt, egal welcher dieser beiden Varianten man wählt, dann installiert man besser gleich neu und bereinigt das AD.

[woiza 10]

Die Leiche macht dann Probleme, wenn die Kiste mit gleicem Namen wieder rein soll.

[Daim 12]

Ich wußte, dass dieses Argument kommen wird :cool:

Klar, wenn die Maschine den gleichen Namen bekommen soll, gehört das AD bereinigt. Aber wie bereits erwähnt, dass AD sollte in jedemfall immer "sauber" gehalten werden.

[localbenny 10]

So...es ist vollbracht...

 

die Kiste hat einen anderen Namen... habe dann aber mit einem Alias gearbeitet(+Registry Key... DisableStrict NameChecking ) ...läuft wunderbar.

 

Danke für eure Hilfe.

 

gruss

 

localbenny

[localbenny 10]

Achja die Leiche habe ich mit ntdsutil beseitigt... dann hab ich noch ein bischen im DNS aufgeräumt...um auch die letztend Indizien für den Mord am DC verschwinden zu lassen

 

 

localbenny

[lefg 276]

Glückwunsch, ich habe neulich ähnliches gemacht:

 

Beide DCs liefen, produzierten verschiedene Fehlermeldungen. Ein Depromote war am zweiten nicht durchführbar, auch nicht mit forceremoval. Ich trennte ihn ab, installierte ihn als Server neu. Mit ntdsutil und metadatacleanup wurde die Leiche aus dem AD getilgt. Der neu installierte Server wurde joined und pomoted. dann der PDC-Emulator runtergestuft. Der Nummer 2 bekam dabei automatisch alle Rollen. Der 1. wurde neu installiert, promoted, die Rollen wurden von Hand verschoben. Zu achten war auf dem Schemamaster und den Global Cataloge. Bei MS im Technet gibt es dafür eine brauchbare Anleitung.

 

Ich musste Domänen- und Servernamen beibehalten, zwingend.

[woiza 10]

Man sollte mit NTDSUTIL in großen Strukturen nur darauf achten, dass man die Replikation abwartet, bevor man die Kiste mit gleichem namen wieder reinholt. Sonst gibts lustige Fehler mit dem SPN.