Jump to content

kein connect via ntdsutil bei metadata cleanup


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

hier mal ein link als kurz info:

http://www.mcseboard.de/windows-forum-allgemein-28/fehlermeldung-dc1-zwei-dcs-156485.html

 

Ich habe nun auf einem DC via ASR ein restore gemacht. Achtung der Server ist nicht mit dem Netzwerk verbunden und soll es auch ned.

 

Nach dem alles wiederhergestellt ist kann ich, kann ich was ja bekannt ist keine weiteren Objekte anlegen.

 

Da der Server seinen Replikationspartner (also den zweiten DC) kontaktieren möchte.

 

Da ich nun mit ntdsutil die metadaten reinigen möchte, habe ich schon das erste Problem.

 

1) also starte den server normal

2) loge mich als Administrator in der Domain an

3) starte ntdsutil

4) metadata cleanup

5) connections

6) set creds dcname domainname\Administrator Passwort eingabe

7) connect to server dcname

wenn ich dann hier auf enter drücke bekomme ich folgende Fehler Meldung:

DSBindWithCredsW error 0x5(Access denied)

 

Wie kann das sein??

Ich bin doch als Domain Administrator eingeloggt!

Muss ich einem evtl. Objekt noch die rechte geben via ADSIEdit??

den Befehl regsrv32 schmmgmt.dll habe ich auch gemacht und komme in das ADS Schema rein.

 

Hoffe ihr könnt mir hier weiter helfen

 

LG

TL

bearbeitet von türkischlan
Link zu diesem Kommentar
Hallo zusammen,

 

[...]

Ich habe nun auf einem DC via ASR ein restore gemacht. Achtung der Server ist nicht mit dem Netzwerk verbunden und soll es auch ned.

 

Nach dem alles wiederhergestellt ist kann ich, kann ich was ja bekannt ist keine weiteren Objekte anlegen.

 

Da der Server seinen Replikationspartner (also den zweiten DC) kontaktieren möchte.

 

Da ich nun mit ntdsutil die metadaten reinigen möchte, habe ich schon das erste Problem.

 

1) also starte den server normal

[...]

6) set creds dcname domainname\Administrator Passwort eingabe

7) connect to server dcname

wenn ich dann hier auf enter drücke bekomme ich folgende Fehler Meldung:

DSBindWithCredsW error 0x5(Access denied)

 

Wie kann das sein??

Ich bin doch als Domain Administrator eingeloggt!

Muss ich einem evtl. Objekt noch die rechte geben via ADSIEdit??

den Befehl regsrv32 schmmgmt.dll habe ich auch gemacht und komme in das ADS Schema rein.

 

Okay - also du hast den Server per ASR wiederhergestellt. Nun hast du dich im DSRM als Administrator angemeldet - was willst du eigentlich genau tun?

 

Deine Aussage "Nach dem alles wiederhergestellt ist kann ich, kann ich was ja bekannt ist keine weiteren Objekte anlegen." verstehe ich nur bedingt - im DSRM kannst du keine Objekte anlegen, das ist richtig. Sollte der DC aber normal gestartet worden sein, sollte das Anlegen von Objekten trotz fehlendem Netzwerk aber möglich sein.

 

Willst du die wiederhergestellte Dose aus dem AD entfernen oder den zweiten DC?

 

Cheers,

Florian

Link zu diesem Kommentar
Okay - also du hast den Server per ASR wiederhergestellt. Nun hast du dich im DSRM als Administrator angemeldet - was willst du eigentlich genau tun?[/Quote]

Nun nach dem ich das ASR Wiederhergestellt habe, habe ich den Server normal Booten lassen. Um dann mit dem ntdsutil den zweiten DC Manuell zu entfehrnen.

Also was ich damit bezwecken will/ist auf einem weiteren Server(der nicht im Netz angeschlossen ist) die komplette ADS von der Produktion abzubilden.

 

Deine Aussage "Nach dem alles wiederhergestellt ist kann ich, kann ich was ja bekannt ist keine weiteren Objekte anlegen." verstehe ich nur bedingt - im DSRM kannst du keine Objekte anlegen, das ist richtig. Sollte der DC aber normal gestartet worden sein, sollte das Anlegen von Objekten trotz fehlendem Netzwerk aber möglich sein.

 

Willst du die wiederhergestellte Dose aus dem AD entfernen oder den zweiten DC?[/Quote]

 

Ja richtig, ich möchte aus dem Wiederhergestellten AD den zweiten DC entfernen. Möchte nur die ADS von der Produktion auf dem Baugleichen Teste Server.

 

Ich danke für deine Unterstüzung

 

LG

TL

Link zu diesem Kommentar

Hallo liebe IT´ler,

 

nun was kann einem System Admin richtig Freude machen?

Wenn das Funktioniert was er sich immer schon vorgenommen hatte, und davon schon schlaflose Nächte bekam. :)

 

Um was es geht versuche ich so kurz wie möglich zu halten. Aber ihr könnt euch Ableitungen aus dem Link und deren Post (s.o) her nehmen.

 

Nun ich wollte die komplette Produktions- AD mit über hunderte von Usern und aber mals mehr Gruppen sowie komplexen GPO´s auf einem Baugleichen Server restoren. D.h auf einem Server der z.B ab und an mal Wiederhergestellt wird.

 

Zu meinem vorgehen kann es ja sein das es der ein oder andere evtl. es anders macht als ich.

Also ich habe ein ASR vom PDC durchgenommen und diesen dann auf den LeihServer ohne ihn am Netzwerk zu haben Wiederhergestellt.

Nach dem ASR Restore habe ich mich im DSRM Modus eingeloggt und die ADS Ordner umbenannt(Ok könnte ich auch lassen). Danach habe ich das SystemState Wiederhergestellt und eine nicht autorisierte Wiederherstellung durch genommen.

Nach dem Wiederherstellen habe ich neu gestartet und via ntdsutil den sogenannten metadata cleanup durchgenommen. Hierzu ein link den der ein oder andere bereits kennt:

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung Der Link ist echt TOP!!

einfach die schritte befolgen und gut ist also ich echt genial und nicht so beängstigend wie es aussieht . Achso beim Punkt 5 (connect to server) habe ich immer ein Fehlermeldung bekommen -> DSBindWithCredsW error 0x5(Access denied) leider aber nix praktikables gefunden….

 

Nun dann habe ich gedacht ich loge mich in die Domäne mit dem Befehl connect to domain!

Das klappte auch somit habe ich dann mit den nächsten schritten einfach weiter gemacht und dann klappte auch alles wunderbar :)

 

Nun das ende von dieser Geschichte ist, dass ich nun die gleiche AD auf einem weiteren Server habe und neben her testen kann. Oder wenn mir mal komplett alles abraucht also alle DC´s (was ja mal ein super Zufall wäre) aber man weiß ja nie..

 

Habe dann auch gleich User angelegt und GPO erstellt mit anmelde Scripten und siehe da alles läuft!!!!

 

Also an die, die es mal so erwischen das der komplette AD zusammen bricht.(Was man ja nicht hoffen möchte) Mit diesen Schritten geht es. Logfiles zeigen auch kein Kritischen Fehler. Nach eine reboot habe ich die Kiste mal eine Stunde am laufen gehabt und alle Events sind mit Infos befüllt. Also keine Feher oder Warnungen. Egal ob DNS, System, Verzeichnisdienst, Replikation, etc…

 

Allen ein schönes Wochenende und LG

 

TL

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...