DC Replikationsproblem

[albr 10]

Hallo zusammen,

 

vielleicht könnt ihr mir helfen.

 

Bei uns ist einer der zwei Domänen controller abgeraucht. Der FSMO Inhaber. Diese haben wir nun über seize auf den anderen übernommen. Dann sämtliche Einträge mit ntdsutil gelöscht.

 

Heute wollten wir einen neuen DC rein nehmen. Dieser kann aber die Replikation mit dem ersten nicht ausführen.

 

Über Repadmin /showrepl kommt auch diese Meldung: dsa-optionen is_gc disable_inbound_repl disable_outbound_repl.

 

Die DNS Probleme häufen sich hier bei uns auch gerade. Was können wir tun?

 

Wäre dankbar um jeden Rat.

 

vg

[lefg 276]

Hallo und willkommen am Board :)

 

Welche Fehlermeldungen gibt es in der Ereignisanzeige?

 

Mein Rat, kümmere dich primär um die Namensauflösung per DNS!

 

Läuft ein DNS auf dem DC, ist er ein AD-integrierter?

 

Zeigt der DNS-Eintrag am Server auf den Server selbst?

 

Was das Ergebnis des Auführens von dcdiag?

[NilsK 2.971]

Moin,

 

die repadmin-Meldungen bedeuten, dass auf dem betreffenden DC die Replikation komplett abgeschaltet ist. Entweder ist das manuell so eingerichtet worden, oder das System wurde dazu gezwungen. Letzteres tritt bei einem USN Rollback auf.

 

Ist einer der beiden DCs auf den Stand eines Image bzw. Snapshot zurückgesetzt worden? Wenn nein (und nur wenn nein!): Was passiert, wenn ihr die Replikation auf dem DC wieder einschaltet?

 

Gruß, Nils

[albr 10]

hi,

 

schonmal danke für die schnellen Antworten. Der Server ist von phyisch auf virtuell migriert worden. Anscheinend hat das nicht so hingehauen.

 

Dämliche Frage, aber wo schalte ich die Replikation wieder an?

 

Danke euch

[PowerShellAdmin 169]

Hi,

also generell sollte man keine DC konvertieren - Das führt zu solchen Problemen.

Bestmöglich solltest du per DC Promo den DC depromoten, virtualisieren und im Anschluss wieder mit dcpromo hochstufen.

 

Das einfachste vorgehen wäre, den DC zu depromoten und im Anschluss wieder zu promoten.

Soweit der DC Rolleninhaber war, solltest du die Rollen vorher verschieben - soweit eine Onlineverschiebung noch möglich ist, ansonsten die Rollen offline auf den 2. DC seizen und parallel den betroffenen DC durch die neu Promotion wieder fixen.

Falls eine Zertifizierungsstelle installiert ist, solltest du dir diese zuerst sichern - da diese entfernt werden müssen zum depromoten.

 

Grüße Admin

[albr 10]

hi,

 

danke für die Antwort. So hatte ich mir das bereits gedacht. Leider ist der Server der letzte DC unserer Domäne. Somit kann ich die FSMO Rollen nicht auf einen anderen verschieben, da dieser kein Mitglied der Domäne ist.

 

Wie ist hier die beste Vorgehensweise?

 

Danke im voraus.

 

vg

[PowerShellAdmin 169]

Ou das hatte ich in der Schnelle überlesen. Scheinbar hatte der 2. DC also ernsthafte Probleme - Besteht die Möglichkeit eines Restores des 1.DC ? - Sicherung/Systemstate noch vorhanden ?

 

Ich würde hier auf einen der Boardansässigen AD Experten (Nils z.B.) warten, womöglich auch ein Call bei Microsoft öffnen (seid MS Partner ? Dann habt ihr hier kostenfreien Anspruch)

 

viel Erfolg & Grüße Admin

[lefg 276]

Wie ist es denn mit der Namensauflösung per DNS, funktionier die, ist die richtig konfiguriert?

 

Kam es zu einem USN-Rollback?

[PowerShellAdmin 169]

Ich würde eine VM Testumgebung anlegen, dahin eine Kopie des überlebenden - beschädigten DC kopieren.

Im Anschluss ebenfalls folgendes ausführen:

Recovering a single Domain Controller from a USN Rollback (bezieht sich auf Win2003)

Und danach ein DC Promo & Sync mit einer 2. VM testen.

 

wichtig: sämtliche Netzwerkzugriffe blockieren - bestmöglich im ESX ein totgeschleiftes Switch erstellen (Ohne Lananschluss) und die Arbeiten pur per Konsole ausführen.

 

Unabhängig davon würde ich mir gedanken über ein MS Support Call machen. Kosten doch ~ 300€ pauschal (oder ? ) und sparen dir ne Menge Zeit.

 

Grüße Admin

 

Edit: Anbei auch nochmal ein ausführliche KB von Microsoft

http://support.microsoft.com/kb/875495

bearbeitet 19. Juli 2012 von PowerShellAdmin