Jump to content

Standalone W2K3 ohne FSMO Rollen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

bei der Migration einer Windows 2003 Domäne zu einer Windows 2008 Domäne kam es zu o.g. Fehler. Folgendes wurde gemacht / versucht:

 

Zum bestehenden Windows 2003 Server wurden zwei Windows 2008 Server als weitere DCs in die Domäne aufgenommen. Nach weiteren Vorarbeiten sollte nun der 2003 Server herabgestuft werden. Dabei trat das Problem auf, dass beim Ausführen von dcpromo behauptet wurde, dieser Server sei der letzte DC für die Domäne, was aufgrund der beiden 2008 Server nicht korrekt war. Bei der Fehlersuche kam es zu weiteren Problemen, die letztendlich dazu geführt haben, dass wir die beiden 2008 Server wieder herabgestuft und aus der Domäne genommen haben, bis das Anfangsproblem gelöst ist. Gestern haben wir dann gesehen, dass der alte 2003 Server aktuell keine der 5 FSMO Rollen inne hat, was natürlich zu arger Besorgnis geführt hat.

 

Die Frage ist nun, ob mit Problemenen zu rechnen sind, wenn diese Rollen dem 2003 Server wieder zwanghaft übertragen werden. Des weiteren Interessiert uns was genau hinter den FSMO Rollen steckt. Ist es nur ein Flag oder echte Nutzdaten?

 

Gruß, Christian

Link zu diesem Kommentar

Hallo und willkommen an Board

 

Für das Verständnis der FSMO-Rollen und des Verschiebens dieser lege ich dir einen Artikel aus dem Blog unsere Experts Daim ans Herz: Yusufs Directory Blog - Die FSMO-Rollen verschieben

 

Schau dir den mal durch und wenn du weitere Fragen zu der Thematik hast, dann meld dich gerne nochmal wieder.

 

Ansonsten müssten wir nochmal ein paar Details dazu wissen, wie die Migration der Domäne passiert, bzw. wie diese abgelaufen ist.

 

Für das korrekte Vorgehen hat Daim ebenfalls einen schönen Artikel geschrieben:

Yusufs Directory Blog - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen

Link zu diesem Kommentar

Salut,

 

bei der Migration einer Windows 2003 Domäne zu einer Windows 2008 Domäne kam es zu o.g. Fehler.

 

ihr habt keine Migration, sondern eine Domänenaktualisierung durchführen wollen. ;)

 

 

Dabei trat das Problem auf, dass beim Ausführen von dcpromo behauptet wurde, dieser Server sei der letzte DC für die Domäne, was aufgrund der beiden 2008 Server nicht korrekt war.

 

Wenn das DCPROMO zum herunterstufen eines DCs ausgeführt wird, kommt gleich zu Beginn die Frage vom Assistenten, ob dieser DC der letzte in der Domäne ist. Wird der Haken nicht gesetzt und dieser wäre der letzte, so würde der DCPROMO-Assistent einen Fehler melden. Wird jedoch der Haken gesetzt und es befinden sich noch weitere DCs in der Domäne, bringt der DCPROMO-Assistent ebenfalls einen Fehler. Denn durch bestätigen das es der letzte DC der Domäne sei, wird die Domänenpartition gelöscht.

 

Es bleibt zu klären, ob die beiden Windows Server 2008 ordnungsgemäß zur Domäne hinzugefügt werden konnten und ob die AD-Replikation stattgefunden hatte.

 

 

Bei der Fehlersuche kam es zu weiteren Problemen, die letztendlich dazu geführt haben, dass wir die beiden 2008 Server wieder herabgestuft und aus der Domäne genommen haben, bis das Anfangsproblem gelöst ist.

 

Hättest du dich bloß rechtzeitig hier gemeldet... ;)

 

 

Die Frage ist nun, ob mit Problemenen zu rechnen sind, wenn diese Rollen dem 2003 Server wieder zwanghaft übertragen werden.

 

Mit "Problemen" ist nicht zu rechnen. Es muss aber sichergestellt sein, dass beim "seizen" der FSMO-Rollen der eigentliche Ursprungsinhaber nicht zur Domäne zurückkehrt. Also wenn z.B. der Ursprungsinhaber der Rollen vorübergehend einfach nur ausgeschaltet wäre, dürfte dieser nach dem seizen der Rollen nicht wieder online gehen. Der DC müste "gewaltsam" aus den Metadaten des AD entfernt werden.

 

Des weiteren Interessiert uns was genau hinter den FSMO Rollen steckt. Ist es nur ein Flag oder echte Nutzdaten?

 

Das sind keine "Nutzdaten" sondern eher ein Flag. Werden die FSMO-Rollen auf einen anderen DC verschoben oder übertragen, gibt sich der DC als der neue Rolleninhaber im AD bekannt.

 

Siehe:

Flexible Single Master Operation Transfer and Seizure Process

Link zu diesem Kommentar
Wie kann man jetzt prüfen ob alles korrekt ist bevor wir wieder das herabstufen des 2003 Servers durchführen?

 

Auf den beiden 2008er DCs sollte das DNS installiert und die Forward Lookup Zone AD-integriert gespeichert sein. Des Weiteren sollte auch auf beiden DCs der globale Katalog aktiviert werden.

 

Überprüfe auf den allen DCs das Eventlog (Verzeichnisdienst-, DNS- und Dateireplikationsprotokoll) ob Fehler protokolliert werden. Zusätzlich kannst du auf beiden das DCDIAG sowie NetDIAG ausführen, um den "Zustand" der DCs zu kontrollieren.

 

Danach kannst du die FSMO-Rollen auf einen der 2008er DCs verschieben. Das musst du aber nicht unbedingt, denn diese werden mit dem Herunterstufen des Rolleninhabers automatisch verschoben. Natürlich nur, wenn das DNS und die AD-Replikation funktioniert. Doch trotzdem bin ich ein Freund vom manuellen verschieben.

 

Yusufs Directory Blog - Die FSMO-Rollen mit DCPROMO verschieben

Link zu diesem Kommentar
muss man replmon extra installlieren? Die NetDiag Version die ich installiert habe, startet nicht dank eines UTF-8 Fehlers. Habs von Chip runtergeladen. Falsch?

 

Achja, wir sind hier ja unter Windows Server 2008. Weder das REPLMON und noch das NetDIAG existieren unter Windows Server 2008.

 

Du könntest anstatt REPLMON das REPADMIN verwenden. Das ist "on Bord".

 

Wenn du möchtest kannst du das REPLMON und NetDIAG auch von den Windows Support Tools vom Windows Server 2003, auf den Windows Server 2008 kopieren. Doch das ist nicht notwendig, denn die bestehenden Tools die dir neben dem Eventlog unter Windows Server 2008 zur Verfügung stehen, reichen völlig aus um Fehler aufzudecken.

Link zu diesem Kommentar

Guten Morgen,

 

inzwischen bin ich soweit gekommen, dass die beiden 2008 Server wieder als weitere DCs mitlaufen, und das SYSVOL Verzeichnis erhalten haben (net share zeigt es an).

 

repadmin /showrepl zeigt keine Fehler an.

 

dcdiag meldet allerdings noch den nicht bestandenen Test SystemLog, auf den ich mir keinen Reim machen kann:

 

Server wird getestet: Standardname-des-ersten-Standorts\EDDIE-NT-PROD

     Starting test: SystemLog

        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000041F

           Erstellungszeitpunkt: 02/11/2009   10:10:22

           Ereigniszeichenfolge:

           Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgel”st werden. Dies kann mindestens eine der folgenden Ursachen haben: 


        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719

           Erstellungszeitpunkt: 02/11/2009   10:13:19

           Ereigniszeichenfolge:

           DCOM konnte mit dem Computer "192.168.30.1" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0xC0002719

           Erstellungszeitpunkt: 02/11/2009   10:13:20

           Ereigniszeichenfolge:

           DCOM konnte mit dem Computer "192.168.30.1" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen.

        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000041F

           Erstellungszeitpunkt: 02/11/2009   10:15:23

           Ereigniszeichenfolge:

           Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgel”st werden. Dies kann mindestens eine der folgenden Ursachen haben: 


        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000041F

           Erstellungszeitpunkt: 02/11/2009   10:20:25

           Ereigniszeichenfolge:

           Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgel”st werden. Dies kann mindestens eine der folgenden Ursachen haben: 


        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000041F

           Erstellungszeitpunkt: 02/11/2009   10:25:26

           Ereigniszeichenfolge:

           Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgel”st werden. Dies kann mindestens eine der folgenden Ursachen haben: 


        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000041F

           Erstellungszeitpunkt: 02/11/2009   10:30:28

           Ereigniszeichenfolge:

           Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgel”st werden. Dies kann mindestens eine der folgenden Ursachen haben: 


        Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000041F

           Erstellungszeitpunkt: 02/11/2009   10:35:29

           Ereigniszeichenfolge:

           Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgel”st werden. Dies kann mindestens eine der folgenden Ursachen haben: 


        ......................... EDDIE-NT-PROD hat den Test SystemLog nicht

        bestanden.

 

Das komische ist, dass die 192.168.30.1 die Firewall da vor Ort ist, welche unter Linux läuft. Da wird mit DCOM wohl nicht viel los sein ;-) Die Frage ist nur, warum der 2008er sowas versucht.

 

Gruß, Christian

Link zu diesem Kommentar
dcdiag meldet allerdings noch den nicht bestandenen Test SystemLog, auf den ich mir keinen Reim machen kann:

 

Bei diesem Test prüft DCDIAG das SYSTEM-Eventlog und gibt die Fehlermeldungen der letzten 60 Minuten aus. Diese kann man aber natürlich auch selbst mit einem Blick in das System-Log prüfen.

 

 

Das komische ist, dass die 192.168.30.1 die Firewall da vor Ort ist, welche unter Linux läuft. Da wird mit DCOM wohl nicht viel los sein ;-) Die Frage ist nur, warum der 2008er sowas versucht.

 

Wen haben denn die 2008er DCs als DNS-Server eingetragen und befinden sich die DNS-Informationen auch auf den neuen DCs? Die Firewall steht aber nicht zwischen den DCs, so das die AD-Replikation durch die Firewall stattfinden muss?

Link zu diesem Kommentar

Hallo,

 

das ganze sieht so aus:

 

eddie-nt (Server 2003 -> alt) - 192.168.30.5

dns: 127.0.0.1

 

eddie-nt-prod (Server 2008 -> neu) - 192.168.30.10

dns: 192.168.30.5 / 192.168.30.10

 

eddie-nt-bak (Server 2008 -> neu) - 192.168.30.11

dns: 192.168.30.5 / 192.168.30.10

 

Die DNS Daten, so nenne ich das mal, sind auf allen 3 Servern (optisch) identisch.

 

Eine Firewall ist nicht dazwischen, sieht man ja an den IP-Adressen.

 

Gruß, Christian

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben: 
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller. 
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

 

Erfährt man irgendwo _welcher_ Computername nicht aufgelöst werden konnte? Das sehe ich nirgendwo, finde ich aber als Info zwingend notwendig, um überhaupt reagieren zu können.

 

Gruß, Christian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...