Defekte Child-Domain reparieren

[sebastian_bursch 0]

Hallo Zusammen,

 

ich hoffe ich finde hier eine gute Aussage zu meinem folgenden Thema.

Wir haben in unserem Unternehmen eine Root-Domain und mehrere Child-Domains (4).

 

Eine dieser Child-Domains ist, na sagen wir mal, defekt.

 

Beim Aufruf von "netdom query FSMO" gibt es diese Fehlermeldung:

 

"The system cannot find the file specified.

 

The command failed to complete successfully."

 

Unter "ntdsutil" -> "roles" -> "list roles for connected server" ist festzustellen, dass als Schema und Domain Role Owner ein Server genannt wird der nicht mehr existiert.

 

PDC Role, RID, und Infrastructure Owner werden jedoch korrekt angezeigt.

 

Diesen Zustand gibt es nun schon eine ganze Weile!!!

 

Meine konkrete Frage an dieser Stelle ist, ob es eine Option ist über "ntdsutil" den Schema und Domain Role Owner zu "seizen" oder ob die Child-Domain einfach schrott ist und

man sich jeglichen Aufwand einer Reparatur sparen kann/sollte???

 

Vielen Dank im Voraus.

 

Mfg

 

Sebastian 

bearbeitet 21. Juli 2014 von sebastian_bursch

[zahni 540]

Hallo und Willkommen im Forum.

 

IN dem Fall würde ich Dir empfehlen prof. Hilfe zu suchen.

Mal davon abgesehen, dass diese Domänen-Konstrukte meist mehr Probleme machen als sie lösen. 

Hast Du pro Domain DC's installiert?

[sebastian_bursch 0]

Ja vielen Dank.

 

So ganz konkret verstehe ich Deine Frage nicht.

 

Also das Prinzip ist:

 

domain.com (parent) (DC's)

child1.domain.com (DC´s!)

child2.comain.com (DC´s!)

 

Ist das die Frage die Du hattest?

[zahni 540]

Nein, Du solltest  pro "Child-Domain" mindestens 2 Domain Controller verwenden.

[sebastian_bursch 0]

Das ist bei uns der Fall.

Deshalb auch der Ausdruck "DC's".   :cool:

 

In der betroffenen "defekten" Child Domain arbeiten 4 DC´s.

[lefg 276]

 

.Ich denke, Du wirst selbst entscheiden müssen, das Sizen zu versuchen oder nicht.

 

Was steht einem Versuch entgegen?

bearbeitet 21. Juli 2014 von lefg

[NilsK 2.899]

Moin,

 

auf Basis der bisher gegebenen Informationen kann man weder die Lage einschätzen noch eine Empfehlung aussprechen.

 

Da es hier aber zumindest potenziell um das Rückgrat der Umgebung geht und die eine genannte Fehlermeldung nichts Gutes ahnen lässt, würde ich an deiner Stelle keine eigenen Versuche machen, sondern mir kompetente Hilfe ins Haus holen. Probleme dieser Art sind für ein Forum und für "mal versuchen" dann doch zu heikel.

 

Gruß, Nils

[sebastian_bursch 0]

Eigentlich nur 1 Frage:

 

Gefährde ich damit den Betrieb oder den Zustand der Parent Domain?

 

Bevor ich hier gelandet bin habe ich schon viele Beiträge durchblättert und am Ende kann man nur zu dem Ergebnis kommen das 

es keinen Sinn macht.

 

Ich hatte mir evtl. einen Tipp erhofft von jemandem der bereits Erfahrung mit einer solchen Situation hat.

[Alith Anar 40]

Solange die Parent Domain noch alle Einstellungen findet, wird es dort keine Probleme geben.

 

Probleme wirst du aber in der Childdomain haben, wenn es um den Zugriff von in der Parentdomain bereitgestellten Diensten geht.

Ich hatte einmal das Problem, das bei 3 DCs einer die Sync zum Rest AD nicht mehr sauber war (Ausweichrechenzentrum und die Zeitsync lief nicht sauber). Genau diesen DC hatten sich aber die Clients als Ihren AnmeldeDC gesucht, was am Ende dazu führte, das die Clients untereinander kein Problem hatten, beim Zugriff auf die Serverressourcen aber sich mit einer fehlgeschlagenen AD-Auth meldeten).

In sofern - Problem dringenst reparieren (lassen).

bearbeitet 21. Juli 2014 von Alith Anar

[daabm 1.303]

Schema und Domain Naming Master sind keine Funktionen der Child Domain, sondern der Root-Domain. Wenn das falsch ist, dann hat vor langer langer Zeit mal was mit der Replikation der Config-Partition nicht funktioniert...

 

Seizen würde ich da eher nix - schau Dir lieber mal erst die Root-Domain genau an, ob die noch "grün" ist. Und dann schau Dir die AD-Replikation der Child-Domain genau an.

 

Ggf. hilft es schon, die 2 Roles einfach in der Root nur zu transferieren, so daß sich eine Änderung ergibt, die repliziert werden kann.

[Squire 246]

Hallo,

 

blöde Frage ... seit wann ist das Problem existent? Gibt es ein funktionierendes Backup?

Im Zweifel einen Techcall bei Microsoft aufmachen ... die paar Euro die der kostet ist es allemal wert und die Jungs wissen was sie tun!

 

Gruß

Robert

[sebastian_bursch 0]

Das Problem ist ca. 3 Jahre alt !!!!

 

Wir haben uns dazu entschlossen einen neuen globalen Forest zu machen.

 

Vielen Dank für die zahlreichen Antworten.

[Squire 246]

Habt Ihr eine Technet Subscription, Enterprise Vertrag oder sowas? Wenn ja sind MS Calls enthalten.

Wenn ihr das nicht habt, kostet ein Call glaub ich 300EUR - das würd ich auf alle Fälle mal investieren bevor ich mir die Mühe machen würde ne komplett neue Struktur hochzuziehen und alles zu migrieren. (Außer euch ist langweilig oder ihr habt nur 5 User :D)