stonson25 11 Geschrieben 5. Juli 2017 Melden Teilen Geschrieben 5. Juli 2017 Hallo, ich habe eine Infrastruktur übernommen in der noch ein Windows Server 2003 R2x64 installiert ist. Dieser Server ist ein DC (GC) und seit ca. 2 Monaten offline. Er repliziert nicht mehr da der Tobmstone abgelaufen ist. Ich habe versucht die Active Directory Dienste zu deinstallieren und stoße auf folgenden Fehler: Die Verwaltung der Netzwerksitzung mit dc.beispiel.local ist fehlgeschlagen."Anmeldung fehlgeschlagen: Zielkontoname ist ungültig" Im Eventlog die Fhler wegen der Replikation: ID 1308 und ID 2042 Wie kann ich den DC schmerzfrei deinstallieren? Vielen Dank im Voraus! Hallo, wir haben auch EventID: 1202 auf den anderen DC Security policies were propagated with warning. 0x534 : No mapping between account names and security IDs was done.Advanced help for this problem is available on http://support.microsoft.com. Query for "troubleshooting 1202 events". Error 0x534 occurs when a user account in one or more Group Policy objects (GPOs) could not be resolved to a SID. This error is possibly caused by a mistyped or deleted user account referenced in either the User Rights or Restricted Groups branch of a GPO. To resolve this event, contact an administrator in the domain to perform the following actions:1. Identify accounts that could not be resolved to a SID:From the command prompt, type: FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.logThe string following "Cannot find" in the FIND output identifies the problem account names.Example: Cannot find JohnDough.In this case, the SID for username "JohnDough" could not be determined. This most likely occurs because the account was deleted, renamed, or is spelled differently (e.g. "JohnDoe").2. Use RSoP to identify the specific User Rights, Restricted Groups, and Source GPOs that contain the problem accounts:a. Start -> Run -> RSoP.mscb. Review the results for Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment and Computer Configuration\Windows Settings\Security Settings\Local Policies\Restricted Groups for any errors flagged with a red X.c. For any User Right or Restricted Group marked with a red X, the corresponding GPO that contains the problem policy setting is listed under the column entitled "Source GPO". Note the specific User Rights, Restricted Groups and containing Source GPOs that are generating errors.3. Remove unresolved accounts from Group Policya. Start -> Run -> MMC.EXEb. From the File menu select "Add/Remove Snap-in..."c. From the "Add/Remove Snap-in" dialog box select "Add..."d. In the "Add Standalone Snap-in" dialog box select "Group Policy" and click "Add"e. In the "Select Group Policy Object" dialog box click the "Browse" button.f. On the "Browse for a Group Policy Object" dialog box choose the "All" tabg. For each source GPO identified in step 2, correct the specific User Rights or Restricted Groups that were flagged with a red X in step 2. These User Rights or Restricted Groups can be corrected by removing or correcting any references to the problem accounts that were identified in step 1. Ok, Event ID 1202 betrifft nur einen User. Ich werde mir mal die vorgeschlagenen Punkte abarbeiten. Update: es sieht nach einem Uhrzeitproblem aus. Der Dienst der CA ist gestoppt. Ich korrigiere mal die Uhrzeitkonfig. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Juli 2017 Melden Teilen Geschrieben 5. Juli 2017 Moin Das Tool heisst NTDSUTIL. Zitieren Link zu diesem Kommentar
stonson25 11 Geschrieben 5. Juli 2017 Autor Melden Teilen Geschrieben 5. Juli 2017 Die Uhrzeit funktioniert nun wieder. War ein Problem mit dem NTP auf den ESXi's. Es sind 2 CA'S in der Domain vorhanden. Eine läuft, die andere nicht. Die CA die läuft macht anscheinend Probleme: Event-ID:13 Certificate enrollment for Local system failed to enroll for a DomainController certificate with request ID N/A from server.domain.local\domain-Server-CA (The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Ich habe einen Artikel gefunden: http://www.petenetlive.com/KB/Article/0000473 Ich bin mir aber nicht sicher ob ich diesen befolgen soll und ob das überhaupt mit dem ursprünglichen Problem zu tun hat.... Hallo lefg, du meinst ich soll ihn einfach mit NTDSUTIL löschen? LG Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Juli 2017 Melden Teilen Geschrieben 5. Juli 2017 (bearbeitet) Moin Ich habe es als deinen Wunsch verstanden, den einen DC aus der Domäne zu entfernen. bearbeitet 5. Juli 2017 von lefg Zitieren Link zu diesem Kommentar
stonson25 11 Geschrieben 5. Juli 2017 Autor Melden Teilen Geschrieben 5. Juli 2017 Genau das wäre mein Ziel. Nur auf dem Server befindet sich die Root CA die nicht läuft. Diese hätte ich schon gerne wieder zum Laufen gebracht und migriert. Oder geht das auch anders, also wenn der Dienst nicht läuft? LG Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 5. Juli 2017 Melden Teilen Geschrieben 5. Juli 2017 Ist dein Google kaputt? Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 5. Juli 2017 Melden Teilen Geschrieben 5. Juli 2017 Ist dein Google kaputt? Von einem alten Boardveteran hätte ich mir eine andere, zielführender Antwort gewünscht welche dem TO bei seiner Frage hilft. ;) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 5. Juli 2017 Melden Teilen Geschrieben 5. Juli 2017 Naja zum Thema CA migrieren gibt es schon jede Menge Anleitungen bei der Suchmaschine der Wahl. Zitieren Link zu diesem Kommentar
stonson25 11 Geschrieben 6. Juli 2017 Autor Melden Teilen Geschrieben 6. Juli 2017 Hallo, ja da gibt es einige Anleitungen. Die meisten funktionieren allerdings nur wenn die alte CA noch läuft. Ich formuliere meine Fragen anders. Ich habe 2 CA's. Auf DC1 eine CA die sich nicht mehr starten lässt und auf DC2 eine CA die nicht läuft. Beide CA's stehen unter den Service Nodes. Soll ich jetzt die alte CA einfach löschen? Was kann passieren wenn keine CA mehr läuft? Kann es sein das ich deswegen den alten DC nicht deinstallieren kann? Vielen Dank nochmal. Hallo, ich habe gerade einige Clients kontrolliert. Laut Systeminfo wird genau dieser Server als Anmeldeserver verwendet. Eine Frage: Meine Idee wäre es den Server wieder runterzufahren, dann zu testen ob sich die Clients am neuen DC anmelden können. Danach kann ich ja noch immer versuchen den DC sauber zu deinstallieren. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Juli 2017 Melden Teilen Geschrieben 6. Juli 2017 (bearbeitet) Moin Versuche es! Edit: Wenn Clients den einen DC als Anmeldeserver wählen können, dieser das macht, dann müsste er doch funktioneren. Oder? Gibt es denn keine gute, einfachere Möglichkeit, den Ablauf der Tomstonen aufzuheben? Google, MS Technet, neuer Thread mit richtiger Überschrift! bearbeitet 6. Juli 2017 von lefg Zitieren Link zu diesem Kommentar
stonson25 11 Geschrieben 6. Juli 2017 Autor Melden Teilen Geschrieben 6. Juli 2017 Hallo, die Clients verwenden nach einen Reboot einen anderen Anmeldeserver. Das ist soweit ok. Allerdings scheint der Exchange diesen Server zu benötigen. Nach ca. 30 min. hatten wir ein ADAccess-Problem und nichts ging mehr. Ich habe den Server wieder hochgefahren und es funktionierte wieder. Ich schaue mal nach was am Exchange eingetragen ist. Danke, Hallo zusammen, ich habe etwas gefunden. Es existiert eine GPO mit dem Namen Rootzertifikat. Hier ist unter Computer Configuration/Windows Settings/Public Key Policies/Trusted Root Certification Authorities das Root Zertifikat drinnen das bereits am 10.04.2016 abgelaufen ist. Diese Policy kann ich ja löschen? Es betrifft nur 2 OU's... Die Server vertrauen demnach dem falschen Zertifikat. Liege ich da richtig? Der andere Fehler ist eine GPO die einfach auf einen User zieht den es nicht mehr gibt (am Server lokal anmelden). Ich werde diese GPO einfach mal deaktivieren. LG Die GPO's sind angepasst. Kein Fehler mehr. Ich versuche es jetzt nochmal den DC sauber zu deinstallieren. So, ich habe nochmal den Replikationstest ausgeführt. Eindeutige Meldung das der Tomstone abelaufen ist. Wenn ich den Tombstone aufhebe, wie funktioniert das mit der Replikation? Der Server ist wahrscheinlich schon ewig down. Werden im Falle einer Replikation die neuen AD-Objekte auf den alten repliziert? Will nur ein Disaster verhindern. Danke! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Juli 2017 Melden Teilen Geschrieben 6. Juli 2017 .....Ich versuche es jetzt nochmal den DC sauber zu deinstallieren. Du meinst ein Herunterstufen zum Memberserver? Zitieren Link zu diesem Kommentar
stonson25 11 Geschrieben 6. Juli 2017 Autor Melden Teilen Geschrieben 6. Juli 2017 Genau, und anschließend nach einiger Zeit dann sauber aus der Domain... Das hört sich vernünftig an: https://social.technet.microsoft.com/Forums/de-DE/bc4b9507-8ea3-4abb-8f8f-8523debfbdc8/tombstone-lifetime-abgelaufen-dc-replikation-schlgt-fehl?forum=active_directoryde Ich teste das mal. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Juli 2017 Melden Teilen Geschrieben 6. Juli 2017 Nun, falls es gesichterte Erkenntnis, dass der DC nicht unbrauchbar und nicht mehr benötigt (Exchange? was war da?, was ist mit den FSMO-Roles?) dann schalte fahre ihn ihn ab. Falls dann weiterhin alles sicher funktioniert, dann entferne die Relikte aus der Domäne mit ntdsutil. Ich habs das Entfernen auch schon per GUI gemacht, kann das aber nicht schriftlich hier im Einzelnen erläutern. Mit Google müsste die Vorgehensweise aber vielfach auffindbar sein, im MS Technet z.B. Vielleicht is das aber nicht nötig. Wurde schon einmal googled domain controller tombstone lifetime exceeded Zitieren Link zu diesem Kommentar
stonson25 11 Geschrieben 6. Juli 2017 Autor Melden Teilen Geschrieben 6. Juli 2017 Hallo, ja der Server wird nicht mehr benötigt. Die FSMO's sind auf einem anderen Standort. Server ist runtergefahren. Der Exchange brauchte nur einen Neustart damit er es checkte. Halte euch am Laufenden. Vielen Dank und LG Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.