tsaenger 12 Geschrieben 13. März 2010 Melden Teilen Geschrieben 13. März 2010 Hallo Forum, ich habe gestern versucht mein AD von 2003 auf 2008R2 zu migrieren. Dazu habe ich diesen Beitrag durchgearbeitet: http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54cfd298d.aspx Die Rollen wurden wohl laut Meldung alle übertragen. Anschließend habe ich den Server mit dcpromo herabgestuft. Das war wohl mein Fehler, denn ich hab mich vorher nicht um den DNS-Server gekümmert. Ich bekam viele fehlermeldungen, das mein AD nicht verfügbar sein. Drum hab ich in meinen DNS-Server geschaut und gesehen, das dort noch in vielen Punkten der alte DC drin stand. Hier habe ich dann immer versucht den alten Server duch die neue Serveradresse auszutauschen. Am Ende hat mein DNS-Server gar nicht mehr funktioniert. Nun dachte ich mir, ich könne den DNS-Server einfach deinstallieren und wieder neu aufspielen. Dabei hab ich aber scheinbar mehr kaputt gemacht als ich dachte. Was ein Glück habe ich noch nen 2ten DC am laufen. Jetzt hab ich mir überlegt, ich ziehe wieder einen neuen DC auf W2k8 hoch und übertrage dorthin die Rollen. Das hat mittels ntdsUtil auch wieder funktioniert. (DCPromo auf dem alten habe ich noch nicht gemacht) Was ist denn nun der nächste Schritt den ich tun muss??? ein DCDIAG auf dem neuen Server sieht so aus: Auf Grund der Post-Grösenbeschränkung kommt das Diag im nächsten Post. Vielen Dank für Eure Hilfe. Gruß Tobias Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 13. März 2010 Autor Melden Teilen Geschrieben 13. März 2010 (bearbeitet) Teil1: Verzeichnisserverdiagnose Anfangssetup wird ausgefhrt: Der Homeserver wird gesucht... Homeserver = BAK * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgefhrt. Server wird getestet: Standardname-des-ersten-Standorts\BAK Starting test: Connectivity ... BAK hat den Test Connectivity bestanden. Prim„rtests werden ausgefhrt. Server wird getestet: Standardname-des-ersten-Standorts\BAK Starting test: Advertising ... BAK hat den Test Advertising bestanden. Starting test: FrsEvent Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. [b]Fehler bei der SYSVOL-Replikation[/b] k”nnen Probleme mit der Gruppenrichtlinie zur Folge haben. ... BAK hat den Test FrsEvent bestanden. Starting test: DFSREvent ... BAK hat den Test DFSREvent bestanden. Starting test: SysVolCheck ... BAK hat den Test SysVolCheck bestanden. Starting test: KccEvent ... BAK hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ... BAK hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ... BAK hat den Test MachineAccount bestanden. Starting test: NCSecDesc [b]Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set[/b] Zugriffsrechte fr den Namenskontext: DC=ForestDnsZones,DC=name,DC=domain,DC=de Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=DomainDnsZones,DC=name,DC=domain,DC=de ... BAK hat den Test [b]NCSecDesc nicht bestanden[/b]. Starting test: NetLogons ... BAK hat den Test NetLogons bestanden. Starting test: ObjectsReplicated ... BAK hat den Test ObjectsReplicated bestanden. Starting test: Replications ... BAK hat den Test Replications bestanden. Starting test: RidManager ... BAK hat den Test RidManager bestanden. Starting test: Services ... BAK hat den Test Services bestanden. Starting test: SystemLog Ein Warning-Ereignis ist aufgetreten. Ereignis-ID: 0x825A000C Erstellungszeitpunkt: 03/13/2010 20:34:20 Ereigniszeichenfolge: Zeitanbieter "NtpClient": Dieser Computer ist fr die Verwendung der Dom„nenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Dom„ne, der erste Computer in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Dom„nenhierachie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverl„ssigen Zeitdienst in der Stammdom„ne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Andernfalls arbeitet dieser Computer als verbindliche Zeitquelle in der Dom„nenhierarchie. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden. ... BAK hat den Test SystemLog nicht bestanden. Starting test: VerifyReferences ... BAK hat den Test VerifyReferences bestanden. bearbeitet 13. März 2010 von tsaenger Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 13. März 2010 Autor Melden Teilen Geschrieben 13. März 2010 (bearbeitet) Teil2: Partitionstests werden ausgefhrt auf: ForestDnsZones Starting test: CheckSDRefDom ... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: DomainDnsZones Starting test: CheckSDRefDom ... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Schema Starting test: CheckSDRefDom ... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Configuration Starting test: CheckSDRefDom ... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: name Starting test: CheckSDRefDom ... name hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ... name hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgefhrt auf: name.domain.de Starting test: LocatorCheck ... name.domain.de hat den Test LocatorCheck bestanden. Starting test: Intersite ... name.domain.de hat den Test Intersite bestanden. bearbeitet 13. März 2010 von tsaenger Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. März 2010 Melden Teilen Geschrieben 13. März 2010 Servus, zuallererst um dich selbst zu schützen, anonymisiere direkt die Ausgabe von DCDIAG. Firmenrelevante Daten gehören nicht hier her! Merke dir das für die Zukunft, auch in deiner Verzweifelung. Grüße von einem Meenzer. Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 13. März 2010 Autor Melden Teilen Geschrieben 13. März 2010 Hallo Daim, vielen Dank. Ich habe es gerade anonymisiert. Gruß Tobias Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 13. März 2010 Autor Melden Teilen Geschrieben 13. März 2010 Hallo, also nochmal zusammengefasst ein DCDIAG gibt mir MOMENTAN folgende meldung: Starting test: NCSecDesc Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=ForestDnsZones,DC=name,DC=domain,DC=de Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=DomainDnsZones,DC=name,DC=domain,DC=de ......................... BAK hat den Test NCSecDesc nicht bestanden. Muss ich das Probelm erst lösen bevor ich den alten DC herabstufe? Gruß Tobias Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. März 2010 Melden Teilen Geschrieben 13. März 2010 Anschließend habe ich den Server mit dcpromo herabgestuft.Das war wohl mein Fehler, denn ich hab mich vorher nicht um den DNS-Server gekümmert. Merke dir für die Zukunft: Man stuft ohnehin nicht in der nächsten Sekunde den "alten" DC herunter. Diesen lässt man noch einige Tage mitlaufen und bevor man diesen endgültig herunterstuft, schaltet man ihn für ein paar Tage erstmal aus um zu überprüfen ob auch alles noch so funktioniert wie es soll. Ich bekam viele fehlermeldungen, das mein AD nicht verfügbar sein. Drum hab ich in meinen DNS-Server geschaut und gesehen, das dort noch in vielen Punkten der alte DC drin stand. Das kommt evtl. daher. da sich der alte und neue DC noch nicht abschließend repliziert haben. Steht denn nun in den TCP/IP-Settings des neuen DC, der neue DC selbst drin? Hier habe ich dann immer versucht den alten Server duch die neue Serveradresse auszutauschen. Die DNS-Einträge muss und tätigt der DC selbst. Denn wenn er das nicht tut, liegt ohnehin ein Problem vor. Hast du mal mittlerweile den neuen DC neugestartet? Falls nicht, dann jetzt. Zumindest starte den Anmeldedienst neu. Nun dachte ich mir, ich könne den DNS-Server einfach deinstallieren und wieder neu aufspielen. Dabei hab ich aber scheinbar mehr kaputt gemacht als ich dachte. Ich weiß das lässt sich jetzt so einfach schreiben, aber gerade in schwierigen Situationen wie diese sollte man zuerst einen kühlen Kopf bewahren. Erst dann, sofern man sich das zutraut, sich an die Analyse wagen. Was ein Glück habe ich noch nen 2ten DC am laufen. Dann trage in den TCP/IP-Settings des neuen DCs diesen zweiten DC als primären DNS-Server ein. Denn auf dem zweiten DC sollte ja alles in Ordnung sein. Jetzt hab ich mir überlegt, ich ziehe wieder einen neuen DC auf W2k8 hoch und übertrage dorthin die Rollen. Das kannst du zwar machen, aber noch gibt es brechtigte Hoffnung den anderen (neuen) DC zum fliegen zu bringen. Abgesehen davon, die Rollen spielen bei einem DC wechsel keine so große Rolle. Das hat mittels ntdsUtil auch wieder funktioniert. (DCPromo auf dem alten habe ich noch nicht gemacht) Was hast du denn jetzt mit NTDSUTIL durchgeführt und warum? Du solltest nicht voreillig "irgendetwas" tun. Was ist denn nun der nächste Schritt den ich tun muss??? Tief Luft holen und eine Tasse Kaffee oder Tee trinken. Dann überprüfe das Eventlog des neuen DCs. Aber oberste Priorität hat das DNS! Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 13. März 2010 Melden Teilen Geschrieben 13. März 2010 Hi, mal abgesehen davon, daß es einen Grund für die fehlende ACE geben muß - warum setzt Du die ACL nicht auf den in DCDIAG genannten NCs? "Replicating Directory Changes" - DOMÄNENCONTROLLER DER ORGANISATION DNS solltest Du ebenso schnellstmöglich in Ordnung bringen. [EDIT] Daim war schneller und ausführlicher. :D [/EDIT] Viele Grüße olc Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 13. März 2010 Autor Melden Teilen Geschrieben 13. März 2010 Hallo OLC, Danke für deine Antwort. kannst du mir sagen was du damit meinst bzw. wie ich das mache? Gruß Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. März 2010 Melden Teilen Geschrieben 13. März 2010 Starting test: NCSecDesc Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=ForestDnsZones,DC=name,DC=domain,DC=de Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=DomainDnsZones,DC=name,DC=domain,DC=de ......................... BAK hat den Test NCSecDesc nicht bestanden. Das ist überhaupt nicht schlimm. Siehe: LDAP://Yusufs.Directory.Blog/ - DCDIAG: NCSecDesc Fehler Muss ich das Probelm erst lösen bevor ich den alten DC herabstufe? Nein, musst du nicht und abgesehen davon handelt es sich ja dabei um kein echtes Problem. Das kannst du getrost ignorieren. Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 13. März 2010 Autor Melden Teilen Geschrieben 13. März 2010 Hallo Daim, Vielen Dank für deine Antwort. ich hoffe ich kann dir auf all deine Antworten/Fragen auch ein Antwort liefern. Merke dir für die Zukunft: Man stuft ohnehin nicht in der nächsten Sekunde den "alten" DC herunter. Diesen lässt man noch einige Tage mitlaufen und bevor man diesen endgültig herunterstuft, schaltet man ihn für ein paar Tage erstmal aus um zu überprüfen ob auch alles noch so funktioniert wie es soll. Alles klar. Im Nachhinein habe ich mich auch gefragt, warum ich ihn direkt heruntergestuft habe. Das kommt evtl. daher. da sich der alte und neue DC noch nicht abschließend repliziert haben. Steht denn nun in den TCP/IP-Settings des neuen DC, der neue DC selbst drin? Ja dort habe ich localhost eingetragen. Im DNS dieses Servers habe ich die Weiterleitung die auf den alten defekten Server zeigte entfernt und auf unseren externen DNS gesetzt. Somit löst der Neue DC die DNS anfragen wieder auf. Die DNS-Einträge muss und tätigt der DC selbst. Denn wenn er das nicht tut, liegt ohnehin ein Problem vor. Hast du mal mittlerweile den neuen DC neugestartet? Falls nicht, dann jetzt. Zumindest starte den Anmeldedienst neu. Ja ich habe Ihn nun mehrfach neu gestartet. Im DNS steht unter _msdcs der kaputt konfigurierte DC3 drin. Ich weiß das lässt sich jetzt so einfach schreiben, aber gerade in schwierigen Situationen wie diese sollte man zuerst einen kühlen Kopf bewahren. Erst dann, sofern man sich das zutraut, sich an die Analyse wagen. Jap ich habe nun etwas Abstand bekommen. Und wie gesagt der DNS läuft mittlerweile wieder. Dann trage in den TCP/IP-Settings des neuen DCs diesen zweiten DC als primären DNS-Server ein. Denn auf dem zweiten DC sollte ja alles in Ordnung sein. Das kannst du zwar machen, aber noch gibt es brechtigte Hoffnung den anderen (neuen) DC zum fliegen zu bringen. Abgesehen davon, die Rollen spielen bei einem DC wechsel keine so große Rolle. Was hast du denn jetzt mit NTDSUTIL durchgeführt und warum? Du solltest nicht voreillig "irgendetwas" tun. Also ich habe wie geschilder mitlerweile 3 DC's: DC2 (alter DC der zur Zeit der w2k3 Domain noch lief) DC3 (neuer DC auf den ich die Rollen übertragen hatt, den ich aber dann durch meine vorschnellen Handlungen zerstört habe; Er hat mitlerweile keine Rollen mer) BAK (aktuell neuer DC auf dem nun alle Rollen übertragen sind) Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 13. März 2010 Autor Melden Teilen Geschrieben 13. März 2010 Hallo, also nach einem Neustart konnte ich im eventvwr unter DNS folgenden Eintrag finden: Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde. und anschließend Das Laden von Zonen im Hintergrund ist abgeschlossen. Alle Zonen sind nun für DNS-Aktualisierungen und Zonenübertragungen verfügbar, sofern ihre jeweilige Konfiguration dies zulässt. Der Dateireplikationsdienst teilt mir folgendes mit: Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "BAK" zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann. Geben Sie "net share" ein, um die SYSVOL-Freigabe zu überprüfen. Der Verzeichnisdienst: Die Active Directory-Domänendienste haben den globalen Katalog in folgendem Standort gefunden. Globaler Katalog: \\BAK.name.domain.de Standort: Standardname-des-ersten-Standorts und weiter: NTDS (596) NTDSA: Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank 'C:\Windows\NTDS\ntds.dit' abgeschlossen. Abschließend würde ich sagen, das von den Eventlogs das gar nicht mal so schlecht aussieht oder? Was mich einwenig stutzig macht ist folgendes: Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server LDAP/BAK festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten. (0xc000005e)". und Die dynamische Registrierung oder das Löschen einer oder mehrerer DNS-Einträge, die mit der DNS-Domäne "name.domain.de." verknüpft sind, ist gescheitert. Diese Einträge werden von anderen Computern verwendet, damit diese Server entweder als Domänencontroller (wenn die angegebene Domäne eine Active Directory-Domäne ist) oder als LDAP-Server (wenn die angegebene Domäne eine Anwendungspartition ist) ermittelt werden können Mögliche Ursachen für den Fehler: - TCP/IP-Eigenschaften der Netzwerkverbindungen des Computers enthalten falsche IP-Adressen der bevorzugten und alternativen DNS-Server. - Die angegebenen bevorzugte und alternative DNS-Server werden nicht ausgeführt. - DNS-Server, die primär für die zu registrierenden Einträge vorgesehen sind, werden nicht ausgeführt. - Bevorzugte oder alternative DNS-Server sind mit falschen Stammhinweisen konfiguriert. - Übergeordnete DNS-Zone enthält falsche Delegierung auf die untergeordnete autorisierende Zone für die DNS-Einträge, bei deren Registrierung ein Fehler aufgetreten ist. BENUTZERAKTION Beheben Sie die oben angegebenen Konfigurationsfehler (sofern vorhanden), und initiieren Sie das Registrieren oder Löschen der DNS-Einträge, indem Sie "nltest.exe /dsregdns" an der Eingabeaufforderung des Domänencontrollers ausführen oder indem Sie den Anmeldedienst auf dem Domänencontroller starten. ein nltest.exe /dsregdns ergabe Fehler bei I_NetLogonControl: Status = 5 0x5 ERROR_ACCESS_DENIED Gruß Tobias Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 14. März 2010 Autor Melden Teilen Geschrieben 14. März 2010 Guten morgen Forum, [Offtopic] so nun hab ich mal zwischendurch 6 St. gepennt. [/Offtopic] Am liebsten würd ich ja den alten DC03 einfach ausschalten. Problem dabei ist aber, das im DNS dieser noch relativ oft wie zb. im Eintrag _msdcs drin steht. Beim reboot dieses DC03 erhalte ich auch von exchange ne Fehlermeldung. Soweit ich recht informiert bin liegt das genau daran. Wie soll ich nun am Besten vorgehen? Gruß und Danke Tobias Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 14. März 2010 Autor Melden Teilen Geschrieben 14. März 2010 Den Fehler nltest.exe /dsregdns habe ich gelöst. Hier war die console nicht als admin gestartet. Flags: 0 Verbindung Status = 0 0x0 NERR_Success Der Befehl wurde ausgeführt. Zitieren Link zu diesem Kommentar
tsaenger 12 Geschrieben 15. März 2010 Autor Melden Teilen Geschrieben 15. März 2010 Hallo, es scheint so als ob ich das Problem nun gelöst habe. In den Eventprotokollen kann ich keine Fehler mehr feststellen. Vielen Dank. Tobias Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.