guybrush 19 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 hi, ich habe einen alten 2k-dc in der domäne, den ich ausmustern wollte (macht schon hardwaremacken usw...). weil ich in meiner verteilten umgebung nicht gleich den dc demoten wollte, hab ich mir gedacht, ich schalt ihn einfach ab, wenn dann was nicht mehr geht, kann ich ihn ja wieder anschalten. die ntfrs-meldungen hab ich einfach ignoriert, weil ich ja weiss, wieso die kommen. das ging nun eine ganze weile gut (sicher ein paar monate), ich wollte den dc dann, wenn ich ein wenig luft habe, endgültig wegtun. nun lief darauf unsere alte buchhaltung, auf die ab und an zugegriffen wird. so auch gestern. ich hab den dc nun wieder gestartet, in der annahme, dass er dann einfach wieder replizieren würde und alles wieder fein ist. dem war aber nicht so, da im eventlog des noch aktiven dc´s die meldung kommt, dass die tombstonezeit überschritten ist. ich könne den dc demoten (als eine von 3 optionen). nun zu meiner frage: kann ich das gerät so einfach, ohne mit problemem zu rechnen, demoten? es ist eine gemischte 2k3er domäne, die ich anschließend dann hochstufen würde in den einheitlichen moodus. mfg hannes Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 Demoten kannst du ihn, ab SP4 auf jeden Fall mit dcpromo /forceremoval. Allerdings ist er dann aus dem AD nicht raus. Da musst du ihn mit ntdsutil oder (finde ich besser aber mit Vorsicht vorgehen) nach einer Sicherung des AD mit ADSIEdit.msc raushauen. Vorgehen dazu steht für beide Vorgehen der Knowledge Base How to remove data in Active Directory after an unsuccessful domain controller demotion. Aus dem DNS musst du ihn u.U. von Hand entfernen. Wenn er FSMOs hatte, müssen die gesized werden. grizzly999 Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 9. Januar 2008 Autor Melden Teilen Geschrieben 9. Januar 2008 die fmso´s sind bereits auf dem aktiven dc (alle). warum gerade ab sp4 mit forceremoval? und warum entfernt dcpromo die einträge im ad nicht beim demoten? er ist ja noch als dc gelistet, jedoch ist die letzte repl. schon zu lange her. danke schonmal mfg hannes Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 Ich schätze, dass er zu einem normalen dcrpomo (rückwärts) nicht mehr in der Lage ist, weil er nicht mehr replizieren wird. man könnte das allerdings mit Workarounds hintrimmen (fraglich, ob der Aufwandlohnt, wenn er eh' raus soll). Der /forceremoval, der erst ab SP4 zur verfügung steht, haut das AD auf jeden Fall runter, egal ob ein anderer DC erreichbar ist, oder nicht. Der Server ist dann danach aber auch aus der Domäne draussen. grizzly999 Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 Buenos dias, Demoten kannst du ihn, ab SP4 auf jeden Fall mit dcpromo /forceremoval. als Ergänzung: Das geht bereits ab SP2 und einem Hotfix. Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server @ guybrush und warum entfernt dcpromo die einträge im ad nicht beim demoten? er ist ja noch als dc gelistet, jedoch ist die letzte repl. schon zu lange her. Aber genau das ist das Problem. Die letzte erfolgreiche Replikation ist bereits zu lange her. Sein gegenüber (Replikationspartner) will vom veralteten DC nichts mehr wissen. Demzufolge kann er seinen Austritt aus dem AD seinem Replikationspartner auch nicht mitteilen. Ein DC muss sich mindestens einmal in der Tombstone Lifetime (TSL) mit seinem Replikationspartner replizieren. Da die Replikation aufgezeichnet wird, blockiert ein DC seine eingehende Replikation, wenn er merkt, dass sein Replikationspartner sich nicht einmal erfolgreich in der TSL repliziert hat. Dann vertraut ihm der gesunde DC nicht mehr und um sich selbst zu schützen, blockiert er die eingehende Replikation vom veralteten DC. Ordnungegemäß heißt hier etwa nicht das gesamte AD (alle Verzeichnispartitionen), sondern z.B. eine einzige Verzeichnispartition. Bei der Replikation wird die letzte Replikation im AD aufgezeichnet. Diese bekommst du z.B. im Replmon angezeigt. Man könnte aber trotzdem einen DC, auf dem die Tombstone Lifetime überschritten wurde, erneut in die Struktur wieder einbinden. Das ist aber mit viel Arbeit und Nerven verbunden. Stichwort: Lingering Objects. Daher kann ich grizzly nur zustimmen, da der DC ohnehin aus der Domäne soll, mache es auf die harte Tour ;) . Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 als Ergänzung: Das geht bereits ab SP2 und einem Hotfix. Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server Ah, wusste ich auch nicht. Musste ich das das letzte mal machen, als es erstmals nur mit SP4 ging. Wieder was gelernt ;) grizzly999 Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 9. Januar 2008 Autor Melden Teilen Geschrieben 9. Januar 2008 Wieder was gelernt ;) ACK! danke euch zwei. was mir auffällt ist, dass bei den meisten solchen themen, wenn ich dazu fragen habe, sicher einer von euch beiden was antwortet. danke mal an euch!! mfg hannes Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 ACK! danke euch zwei. was mir auffällt ist, dass bei den meisten solchen themen, wenn ich dazu fragen habe, sicher einer von euch beiden was antwortet. danke mal an euch!! mfg hannes Deshalb sind die beiden auch MVP's :jau: Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 9. Januar 2008 Autor Melden Teilen Geschrieben 9. Januar 2008 zu recht, namensgenosse, zu recht ;-) Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 9. Januar 2008 Autor Melden Teilen Geschrieben 9. Januar 2008 @ADSIedit.msc: würde es genügen, die einträge des alten dc per adsiedit zu löschen? also unter OU=Domain Controllers, unter CN=Sites? oder ist der "Metadata cleanup" weg per ntdsutil der bessere? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 Also ich habe ntdustil.exe in so einer Situation bisher genau 2x benutzt, und zwar ohne Erfolg (beim zweiten mal , viel später, wollte ich es einfach noch mal wissen). Ich habe ADIEDit.msc x-mal benutzt, und jedes mal war das einwandfrei. Es sind aber im Regelfall 3 Einträge, die man mit ADSIEdit weglöschen muss, 2 in der Domänenpartition und 1 in der Konfigurationspartition. würde es genügen, die einträge des alten dc per adsiedit zu löschen?also unter OU=Domain Controllers, unter CN=Sites? Nein einmal fehlt hier noch, in der Domänenpartition unter CN=System CN=CN=File Replication Service CN=CN=Domain System Volume grizzly999 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 Hallo, "ntdsutil" ist ab Windows Server 2003 SP1 meist besser geeignet als ADSIEdit, da es die von grizzly999 genannten zusätzlichen Einträge des zu entfernenden DCs unter "CN=File Replication Service" und "CN=Domain System Volume" gleich mit entfernt. Mittels ADSIEdit muß man dies manuell tun. Aber wenn man es nicht vergißt, kann man natürlich auch ADSIEdit nutzen. Je nach dem, ob man Mausschubser ist oder nicht. :p Viele Grüße olc Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 9. Januar 2008 Autor Melden Teilen Geschrieben 9. Januar 2008 ich hab eine kombination aus beiden verwendet. erst ntdsutil zum entfernen des servers (lt. link von daim glaub ich hat seit 2003 sp1 ntdsutil eben die von olc genannten vorteile) und danach bin ich noch mit adsiedit.msc drübergegangen und hab die von mir genannten einträge + die von grizzly999 genannten gelöscht. dann halt noch dns-einträge und ich glaub das wars dann. sollte eigentlich passt - es hat keine fehler gegeben und ist eigentlich recht komfortabel gelaufen... seh ich eh, wenn morgen um 7.00 das handy läutet, weiss ich, dass was in die hose gegangen ist ;-) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 seh ich eh, wenn morgen um 7.00 das handy läutet, weiss ich, dass was in die hose gegangen ist ;-) Das wird es nicht. Denn wenn du z.B. die Leiche aus dem AD nicht entfernen würdest, dann würde das Eventlog der DCs überlaufen, weil sie ihren Replikationspartner nicht erreichen konnten. Der Benutzer bekommt davon nichts mit. Edit: DHCP war nicht auf dem DC installiert? Falls doch, muss er noch aus der Liste der autorisierten DHCP-Server. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 seh ich eh, wenn morgen um 7.00 das handy läutet, weiss ich, dass was in die hose gegangen ist ;-) Nee, keine Sorge, aus der Ferne scheint das so zu passen.... ;) grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.