Marco31 33 Geschrieben 20. November 2017 Melden Teilen Geschrieben 20. November 2017 (bearbeitet) Hallo liebe Forengemeinde, ich musste heute morgen einen meiner DC's (VM) abschalten nachdem eines des Updates von letzter Woche seit gestern in einer unendlich-Installation hing. Leider werden mir nach Neustart des Servers Replikationsprobleme angezeigt: Verzeichnisserverdiagnose Anfangssetup wird ausgefhrt: Der Homeserver wird gesucht... Homeserver = VMDOMCON1 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgefhrt. Server wird getestet: Standardname-des-ersten-Standorts\VMDOMCON1 Starting test: Connectivity ......................... VMDOMCON1 hat den Test Connectivity bestanden. Prim„rtests werden ausgefhrt. Server wird getestet: Standardname-des-ersten-Standorts\VMDOMCON1 Starting test: Advertising ......................... VMDOMCON1 hat den Test Advertising bestanden. Starting test: FrsEvent ......................... VMDOMCON1 hat den Test FrsEvent bestanden. Starting test: DFSREvent Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... VMDOMCON1 hat den Test DFSREvent bestanden. Starting test: SysVolCheck ......................... VMDOMCON1 hat den Test SysVolCheck bestanden. Starting test: KccEvent ......................... VMDOMCON1 hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... VMDOMCON1 hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... VMDOMCON1 hat den Test MachineAccount bestanden. Starting test: NCSecDesc Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=ForestDnsZones,DC=domain,DC=lokal Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=DomainDnsZones,DC=domain,DC=lokal ......................... VMDOMCON1 hat den Test NCSecDesc nicht bestanden. Starting test: NetLogons ......................... VMDOMCON1 hat den Test NetLogons bestanden. Starting test: ObjectsReplicated ......................... VMDOMCON1 hat den Test ObjectsReplicated bestanden. Starting test: Replications ......................... VMDOMCON1 hat den Test Replications bestanden. Starting test: RidManager ......................... VMDOMCON1 hat den Test RidManager bestanden. Starting test: Services ......................... VMDOMCON1 hat den Test Services bestanden. Starting test: SystemLog Fehler. Ereignis-ID: 0x80001778 Erstellungszeitpunkt: 11/20/2017 07:50:51 Ereigniszeichenfolge: Das System wurde zuvor am 20.11.2017 um 07:48:50 unerwartet heruntergefahren. Fehler. Ereignis-ID: 0x00000029 Erstellungszeitpunkt: 11/20/2017 07:50:39 Ereigniszeichenfolge: Das System wurde neu gestartet, ohne dass es zuvor ordnungsgem„á heruntergefahren wurde. Dieser Fehler kann auftreten, wenn das System nicht mehr reagiert hat oder abgestrzt ist oder die Stromzufuhr unerwartet unterbrochen wurde. Warnung. Ereignis-ID: 0x8000001D Erstellungszeitpunkt: 11/20/2017 07:50:58 Ereigniszeichenfolge: Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat. Fehler. Ereignis-ID: 0xC00110F1 Erstellungszeitpunkt: 11/20/2017 07:51:36 Ereigniszeichenfolge: Der WINS-Server konnte die Sicherheitseinstellung fr schreibgeschtzte Vorg„nge nicht initialisieren. Warnung. Ereignis-ID: 0x8000001D Erstellungszeitpunkt: 11/20/2017 07:53:00 Ereigniszeichenfolge: Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat. Fehler. Ereignis-ID: 0xC00110F1 Erstellungszeitpunkt: 11/20/2017 07:53:37 Ereigniszeichenfolge: Der WINS-Server konnte die Sicherheitseinstellung fr schreibgeschtzte Vorg„nge nicht initialisieren. Warnung. Ereignis-ID: 0x80000434 Erstellungszeitpunkt: 11/20/2017 07:54:23 Ereigniszeichenfolge: Der vom Benutzer domain\domadmin1 angegebene Grund fr das unerwartete Herunterfahren des Computers: Anderer Grund (nicht geplant) Warnung. Ereignis-ID: 0x8000001D Erstellungszeitpunkt: 11/20/2017 08:11:50 Ereigniszeichenfolge: Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat. Fehler. Ereignis-ID: 0xC00110F1 Erstellungszeitpunkt: 11/20/2017 08:12:28 Ereigniszeichenfolge: Der WINS-Server konnte die Sicherheitseinstellung fr schreibgeschtzte Vorg„nge nicht initialisieren. ......................... VMDOMCON1 hat den Test SystemLog nicht bestanden. Starting test: VerifyReferences ......................... VMDOMCON1 hat den Test VerifyReferences bestanden. Partitionstests werden ausgefhrt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: domain Starting test: CheckSDRefDom ......................... niederaula hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... niederaula hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgefhrt auf: domain.local Starting test: LocatorCheck ......................... domain.local hat den Test LocatorCheck bestanden. Starting test: Intersite ......................... domain.local hat den Test Intersite bestanden. Der fehlerhafte DC hat die FSMO-Rollen. Wie wäre jetzt die beste Vorgehensweise? DC demoten und neu hochstufen oder komplett entsorgen? Oder welche Möglichkeiten habe ich das evtl zu reparieren? bearbeitet 20. November 2017 von Marco31 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 20. November 2017 Melden Teilen Geschrieben 20. November 2017 Moin, depromoten und neu hinzufügen wäre meine 1te Wahl. Wenn es eine VM ist, eben neu installieren, dann bist du sicher, das die Inst sauber ist. Meine Meinung. ;) Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 20. November 2017 Autor Melden Teilen Geschrieben 20. November 2017 Müsste ich vorher die FSMO-Rollen auf den noch laufenden DC übertragen oder sollte das automatisch laufen? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. November 2017 Melden Teilen Geschrieben 20. November 2017 Das musst du tun. Aber das ist ja nicht so schwer. Einfach das Konto des dcs löschen der raussoll, und dann die fragen durchlesen. ;) Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 20. November 2017 Autor Melden Teilen Geschrieben 20. November 2017 Ok. Der defekte DC ist 2008 R2, der funktionierende DC ein 2016er. Mache ich zuerst Metadata Cleanup mit NTDSUTIL wie in https://support.microsoft.com/de-de/help/216498/how-to-remove-data-in-active-directory-after-an-unsuccessful-domain-co oder lösche ich zuerst das Konto des DC's in AD Benutzer und Computer? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. November 2017 Melden Teilen Geschrieben 20. November 2017 Versuch doch erstmal letzteres. ;) Dann wirst du die "Fragen" schon sehen, die ich meinte, und den Rest kannst du dann entscheiden. Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 20. November 2017 Autor Melden Teilen Geschrieben 20. November 2017 Also, ich würde dann 1. defekten DC herunterstufen mit dcpromo 2. Computerkonto de defekten DC in AD Benutzer und Computer löschen (und damit auch die FSMO-Rollen übertragen) 3. Metadata Cleanup falls noch "Reste" des alten da sind. Tut mir leide dass ich hier alles dreimal wiederhole, aber ich möchte Fehler vermeiden... ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. November 2017 Melden Teilen Geschrieben 20. November 2017 Nein, Schritt 1 kannst du dir sparen. Denn das funktioniert ja bei "defekten" DCs sowieso nicht mehr. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 20. November 2017 Melden Teilen Geschrieben 20. November 2017 Punkt 1 wäre nur relevant falls Du de Server noch irgendwie retten musst. Dann wäre dcpromo /forceremoval der Weg um das AD wegzuwerfen und den Srever noch online zu halten. Dann würdest Du direkt zu Schritt 3 gehen. Besser wäre es aber wohl de Server neu zu installieren. Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 21. November 2017 Autor Melden Teilen Geschrieben 21. November 2017 So, kleine Rückmeldung. Habe mit Punkt 2 den DC aus dem AD "entsorgt", hat auch alles gut geklappt. Am noch funktionierenden die FSMO-Rollen übernommen, lief soweit auch gut; nur der Schema-Master brauchte Überzeugungsarbeit ;-) Neuer DC läuft seit heute morgen und repliziert. Wenn's so bleibt bin ich zufrieden :D Vielen Dank an alle für die Tipps und Hilfen :thumb1: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.