FSMO Rollen werden falsch angezeigt

[odcheck 10]

Hallo zusammen,

 

ich benötige mal Unterstüzung bei folgendem Problem.

 

netdom query fsmo gibt bei einem DC leider die Falschen Rollen wieder.

 

 

Der betroffene DC ist eine Windows 2000 Server.

Er gibt bei

netdom query fsmo

einen alten Server an, der nicht mehr die gelisteten Rollen innehält.

 

Also sagen wir der DC von dem ich spreche heißt server1 er wirft nun aus:

Schema owner                alterserver.domäne.local
Domain role owner           alterserver.domäne.local
PDC role                    alterserver.domäne.local
RID pool manager            alterserver.domäne.local
Infrastructure owner        alterserver.domäne.local
The command completed successfully.

 

Wie sage ich jetzt server1 das er einen anderen also...

Schema owner                richtigerserver.domäne.local
Domain role owner           richtigerserver.domäne.local
PDC role                    richtigerserver.domäne.local
RID pool manager            richtigerserver.domäne.local
Infrastructure owner        richtigerserver.domäne.local
The command completed successfully.

verwenden soll?

 

Vielen Dank an Euch im voraus

[Daim 12]

Servus,

 

es existieren in der Domäne also Windows 2003 DCs und auch Windows 2000 DCs.

Einer der 200er DC ist noch der Meinung, dass die FSMO-Rollen sich auf einem 2003er DC befinden, der diese aber nicht mehr trägt, sondern ein anderer 2003er die Rollen nun innehat.

 

Das kann einen Augenblick dauern, bis das alle DCs mitbekommen haben.

Kontrolliere doch mal üebr die GUI auf dem 2000er DC ob auch dort der "alte" Träger der FSMO-Rollen noch drin steht. Ansonsten überprüfe auf dem 2000er DC das Eventlog ob evtl. DNS oder Replikationsprobleme existieren.

[LukasB 10]

Das ist nicht gut.

 

Gibt es den alten Server noch? Er wurde nicht richtig demoted, die FSMO Rollen wurden nicht transferiert.

 

Du kannst jetzt die FSMO Rollen "seizen", das heisst einfach übernehmen ohne transfer. ACHTUNG: Das ist gefährlich.

 

Lies folgenden KB Artikel ganz genau:

 

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

 

Und dann musst du evtl. noch dein Active Directory von dem entfernten DC bereinigen:

 

Auch wieder sorgfältig und genau lesen...

 

How to remove data in Active Directory after an unsuccessful domain controller demotion

EDIT: Das obige ist natürlich alles Bullshit wenn das Problem nur auf einem von vielen Auftritt. Halt dich an den Kommentar von Daim. Sorry, hab dein Posting wohl nicht ganz gelesen.

[odcheck 10]

Ja

DNS oder Replikationsprobleme existieren...

genau das war der Hintergrund. Und ich denke das die Replizierung auch nur dann wieder grade läuft wenn er dort den korrekten Server für alle Rollen stehen hat.

Was DNS angeht kann der betroffene W2K DC alle anderen via nslookup forward als auch reverse auflösen. Und ja im GUI steht der alte auch noch drin.

Und korrekt ;) der richtige Schema, PDC usw. ist ein Windows 2003 Server.

[Daim 12]

Und ich denke das die Replizierung auch nur dann wieder grade läuft wenn er dort den korrekten Server für alle Rollen stehen hat.

Was DNS angeht kann der betroffene W2K DC alle anderen via nslookup forward als auch reverse auflösen. Und ja im GUI steht der alte auch noch drin.

 

Dann solltest du dem Windows 2000 DC mit DCDIAG zu Leibe rücken sowie das Eventlog vom 2000 DC kontrollieren.

Evtl. läuft lokale etwas, was Ports sperrt... Nun ist Troubleshooting angesagt.

[RanCyyD 10]

was Ports sperrt.

 

Welche Ports müßten denn def. offen sein, damit eine Replikation sauber läuft?

 

Danke!

[Daim 12]

Welche Ports müßten denn def. offen sein, damit eine Replikation sauber läuft?

 

Wenn lokal keine Firewall existiert oder die DCs sich nicht durch eine Firmen-Firewall replizieren müssen, dann würde ich darin nicht viel Zeit investieren.

Kontrolliere das Eventlog und führe DCDIAG aus, dann erkennt man ggf. mehr.

 

Ansonsten siehe:

Yusuf`s Directory - Blog - Active Directory Replikation durch eine Firewall

[RanCyyD 10]

Danke!

[odcheck 10]

also kurzum bei meinem DCdiag, das konnte ja nicht klappen da er ja den PDC abfragt und der ist ja in meinem Falle kein PDC mehr. Also half das Troubleshooten da nichts mehr, die Ports waren ein guter Ansatz :-) habe mich auch gleich drauf gesürzt netstat machte es möglich nur die waren es nicht. Meine Lösung war die 15 Mitarbeiter an dem Standort über einen ca. 15min Langen Netztwerkausfall zu infomieren und mittels

dcpromo /forceremoval

und anschließendem neustart, und wieder dcpromo

ging es dann. Der Output von

netdom query fsmo

stimmt nun.

und ja die Leute konnen nach 13min wieder arbeiten und jetzt läuft auch die Replizierung an allen Standorten durch.

[Daim 12]

also kurzum bei meinem DCdiag, das konnte ja nicht klappen da er ja den PDC abfragt und der ist ja in meinem Falle kein PDC mehr.

 

Welche Meldung erscheint, wenn du auf dem 2000er DC das DCDIAG ausführst.

Deine Aussage ist nicht richtig. DCDIAG führt mehrere tests durch und meckert die dann diverse Fehler - sofern diese bestehen - mit einem failed an.

 

dcpromo /forceremoval

 

Hast du nun die Rollen tatsächlich mit Gewalt auf einen anderen DC verschoben oder wie soll das zu verstehen sein?

Du weißt das danach der Ursprungsträger der FSMO-Rollen nicht mehr online gehen/sein darf?

Denn ansonsten existieren zwei DCs mit den FSMO-Rollen.

 

und anschließendem neustart, und wieder dcpromo ging es dann.

 

Wie DCPROMO? Bahnhof?

[woiza 10]

Öhm,

 

mit dcpromo /forceremoval entfernst du keineswegs den DC aus dem AD, sondern nur die AD Daten lokal entfernt. Hast du das AD danach bereinigt, oder einfach den DC mit gleichem Namen wieder ins AD geholt?

[odcheck 10]

Nein also kurzum ich habe mit dcdiag vor dem posten in dem Forum alles durchgekaut.

Ein Server der mal PDC und Schema usw. war ist es nicht mehr ein anderer wurde erfolgreich migriert und ist jetzt der PDC etc. alle anderen DC haben das auch kapiert nur dieser eine nicht. Jetzt habe ich letztendlich nach einer Lösung gesucht wie ich Ihm manuell sagen kann "hey Du Dein PDC, Schema usw. ist jetzt der Server mit dem Namen X" aber da ich weder bei MS noch sonst wo eine Antwort auf diese Frage bekommen habe, habe ich kurzerhand den DC immer noch dachte das ein Server der die Dienste nicht mehr bietet diese doch noch anbietet... sein Active Directory mittels dem Befehl dcpromo /forceremoval (lokal) entfernt und anschließend mit dcpromo wieder als stinknormalen DC (mit gleichem Namen ja) ins A.D. integriert. und jetzt .. da nach einem hinzufügen eines "neuen" Domänen Controllers schon beim Setup eine Replizierung stattfindet hatte er auch gleich den korrekten PDC drin.

Das war's hat die User letztendlich 15min gekostet.

[woiza 10]

Schön, dass es geklappt hat, Microsoft rät aber eher von dieser Vorgehensweise ab.

 

MS KB

 

 

Normal wäre DCDiag mit anschließendem Troubleshooting die bessere Alternative gewesen. Aber egal, wenn es funktioniert hat. Ich würde trotzdem nochmals einen Netdiag und DCDiag auf dem DC durchführen, um zu sehen, ob wieder alles passt. Ein Kollege von mir hat mal ähnliches getan und danach wüste Probleme mit den SPN Einträgen bekommen.

 

Gruß

 

woiza

[odcheck 10]

Genau den MS Artikel habe ich auch studiert.

Nur was soll ich sagen es passt alles :-)

Nichts desto trotz muß mich nochmals für die raschen Antworten bedanken.