szumbusch 10 Geschrieben 29. Dezember 2010 Melden Teilen Geschrieben 29. Dezember 2010 Hallo Miteinander, ich bin etwas verzweifelt, ehrlich gesagt. Ich war/bin dabei, einen alten W2K3 Server, der anfing Zicken zu machen, durch eine neue Maschine mit W2K8 Enterprise zu ersetzen. Alles soweit hübsch, AD Daten übertragen, FMSO-Rollen übertragen, Freigaben transferiert, in den letzten Zügen sozusagen, als der alte Server crashte. Jetzt ist der GC nicht fertig gewesen und die AD Services kommen nicht hoch. dcdiag meldet: Erforderliche Anfangstests werden ausgeführt. Server wird getestet: <Domäne>\<SERVER> Starting test: Connectivity ......................... <SERVER> hat den Test Connectivity bestanden. Primärtests werden ausgeführt. Server wird getestet: <Domäne>\<SERVER> Starting test: Advertising Schwerwiegender Fehler: Fehler beim Aufrufen von DsGetDcName (<SERVER>): 1355 Der Server wurde vom Locator nicht gefunden. ......................... <SERVER> hat den Test Advertising nicht bestanden. Starting test: FrsEvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... <SERVER> hat den Test FrsEvent bestanden. Starting test: DFSREvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... <SERVER> hat den Test DFSREvent nicht bestanden. Starting test: SysVolCheck ......................... <SERVER> hat den Test SysVolCheck bestanden. Starting test: KccEvent Ein Information-Ereignis ist aufgetreten. Ereignis-ID: 0x40000617 Erstellungszeitpunkt: 12/29/2010 16:48:31 Ereigniszeichenfolge: Der lokale Domänencontroller wurde als globaler Katalog ausgewählt. Der Domänencontroller ist allerdings nicht Host eines schreibgeschützten Replikats der folgenden Verzeichnispartition. Ein Information-Ereignis ist aufgetreten. Ereignis-ID: 0x4000062A Erstellungszeitpunkt: 12/29/2010 16:48:31 Ereigniszeichenfolge: Das Heraufstufen dieses Domänencontrollers zu einem globalen Katalog wurde verzögert, da die Belegbedingungen der Verzeichnispartition nicht erfüllt sind. Und noch vieles mehr. Ich habe den DNS mehrfach überprüft, er läuft und ist korrekt. Der Rechner, von dem ich migriert habe, ist nicht mehr hochzufahren. Wenn ich mit dem ADSI Edito nachsehe, sind alle Objekte vorhanden. Was kann ich tun? Sascha Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 29. Dezember 2010 Melden Teilen Geschrieben 29. Dezember 2010 Findest Du nachstehend hilfreiche Hinweise? LDAP://Yusufs.Directory.Blog/ - Globaler Katalog ? Sein oder nicht sein You cannot promote a Windows Server 2003-based domain controller to be a global catalog server Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 29. Dezember 2010 Melden Teilen Geschrieben 29. Dezember 2010 Moin, du willst uns jetzt sagen, dass es nur den einen DC gab und dass davon kein aktuelles Backup existierte? Schlecht. Hat mit deinem Problem nichts zu tun, aber warum Enterprise? Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 29. Dezember 2010 Melden Teilen Geschrieben 29. Dezember 2010 Du hast nur einen DC? Zitieren Link zu diesem Kommentar
szumbusch 10 Geschrieben 30. Dezember 2010 Autor Melden Teilen Geschrieben 30. Dezember 2010 Hallo Miteinander, doch, es gab/gibt ein Backup. Aber die Maschine ist gecrasht. Ich habe keine Hardware, wo ich den Backup aufspielen könnte. Die Hinweise, die sich hinter den Links verbergen, kannte ich natürlich schon. Sie nutzen mir nur nicht besonders viel, gehen Sie doch davon aus, das der PDC(Emulator) vorhanden ist. Das ist er aber nicht. Ich habe jetzt eine neue Maschine, auf der, soweit ich das sehen kann, die Accounts und Strukturdaten inklusive der GPO's und Freigaben vorhanden sind, weil erfolgreich übertragen. Der GC ist nicht korrekt/vollständig übertragen, weil während dieses Prozesses die Hardware des alten abgeraucht ist. Meine Frage war, wie kann ich, auf Basis der vorhandenen Daten auf der neuen Maschine eine GC aufbauen? Falls das überhaupt möglich ist? Ja, ich habe nur einen DC. Auf die neue Maschine habe ich jetzt 2 Jahre gewartet. Ich sitze hier in einer Schule, die jeden Cent umdrehen muss. Ich bin mit der Situation auch nicht zufrieden, muss aber irgendwie mit Ihr klarkommen. Ich weiß auch, dass ich mit der Microsoft Server Technik etwas überfordert bin, aber die Schule bezahlt mir leider keine Fortbildungen und mein Einkommen reicht nicht, um sie selber zu bezahlen. Ich muss es halt leider auf die harte Tour lernen. Enterprise, weil es schlicht und einfach billiger war. Bei der Anzahl der Clients ist Enterprise dann irgendwann günstiger. Aus diesen Gründen bin ich halt gezwungen, hier im Forum um Hilfe zu bitten. Für die ich extrem dankbar bin, btw. Sascha Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 30. Dezember 2010 Melden Teilen Geschrieben 30. Dezember 2010 Ich habe jetzt eine neue Maschine, auf der, soweit ich das sehen kann, die Accounts und Strukturdaten inklusive der GPO's und Freigaben vorhanden sind, weil erfolgreich übertragen. Der GC ist nicht korrekt/vollständig übertragen, weil während dieses Prozesses die Hardware des alten abgeraucht ist. Hi, die FSMOs sind jetzt auch alle der neuen Maschine zugewiesen? Hast du schon versucht per MMC Active Directory Site and Services in den NTDS Settings den Haken bei Global Catalog zu setzen? Des Weiteren wären die Fehlermeldungen aus dem Ereignisprotokoll interessant. Hier reichen aber Ereignis-ID und die entsprechende Quelle.;) Zitieren Link zu diesem Kommentar
szumbusch 10 Geschrieben 30. Dezember 2010 Autor Melden Teilen Geschrieben 30. Dezember 2010 Das Häkchen in den Eigenschaften von NTDS hatte ich natürlich gesetzt. Die FMSO's waren sauber drüben, getestet (alles streng nach Yusuf, der hiermit einen Orden von mir bekommt für seine tolle Arbeit!!) Dell war inzwischen da und hat das Server-Motherboard ausgetauscht. (Super Service btw., gottseidank habe ich auf verlängerten 24-Stunden Service beim Kauf bestanden...). Ich habe jetzt das Backup wieder eingespielt und gehe zurück auf los. Auf dem neuen Server habe ich dcpromo /forceremoval gestartet, weil er ein normales nicht mehr konnte. Jetzt läuft seit einer Stunde 'Die Herabstufung für den Verzeichnisdienst, SAM und die LSA wird abgeschlossen.' Wenn er damit durch ist, fange ich noch einmal an. Übung macht den Meister. Ich werde berichten. Danke vorläufig, werde bestimmt noch hilfe brauchen. Am 03.01. geht die Schule wieder los und dann muss alles funzen... Sascha Zitieren Link zu diesem Kommentar
szumbusch 10 Geschrieben 31. Dezember 2010 Autor Melden Teilen Geschrieben 31. Dezember 2010 Es sieht jetzt wesentlich besser aus, aber ich habe wohl doch etwas falsch gemacht. dcdiag(nur die Fehlermeldungen....): Starting test: Advertising Achtung: Das Heraufstufen von V-SERVER-II zu einem globalen Katalog wurde nicht abgeschlossen. Suchen Sie im Ereignisprotokoll nach Domänen, die nicht repliziert werden können. ....... V-SERVER-II hat den Test Advertising bestanden. Starting test: FrsEvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ...... V-SERVER-II hat den Test FrsEvent bestanden. Starting test: DFSREvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ....... V-SERVER-II hat den Test DFSREvent nicht bestanden. Starting test: MachineAccount Achtung: userAccountControl-Attribut von V-SERVER-II: 0x82020 = ( PASSWD_NOTREQD | SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGAT ION ) Standardeinstellung für Domänencontroller: 0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION ) Hat dies möglicherweise Auswirkungen auf die Replikation? ...... V-SERVER-II hat den Test MachineAccount bestanden. Starting test: NCSecDesc Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=ForestDnsZones,DC=<DOMÄNE>,DC=<TLD>,DC=de Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte für den Namenskontext: DC=DomainDnsZones,DC=<DOMÄNE>,DC=<TLD>,DC=de ......................... V-SERVER-II hat den Test NCSecDesc nicht bestanden. Starting test: Replications [V-SERVER] DsBindWithSpnEx()-Fehler -2146893022, Der Zielprinzipalname ist falsch.. ......................... V-SERVER-II hat den Test Replications nicht bestanden. Starting test: SystemLog Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x40000004 Erstellungszeitpunkt: 12/31/2010 14:57:07 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "v-server-ii$" empfangen. Der verwendete Zielname war LDAP/8855c69a-f708-4fc0-9beb-81a3de4499b3._msdcs.<DOMÄNE>.<TLD>.de. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPNbei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschließlich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC für das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (<DOMÄNE>.<TLD>.DE) von der Clientdomäne (<DOMÄNE>.<TLD>.DE) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. ......................... V-SERVER-II hat den Test SystemLog nicht bestanden. Was ich daran verstehe, ist, das die eine Seite irgendwie die andere Seite nicht richtig anhand des Namens identifizieren kann....? Sascha Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.