Frage nach DC Herunterstufung

[Marco31 33]

Hallo Forum,

 

ich habe heute einen DC heruntergestuft, dieser soll durch einen anderen DC mit gleicher IP und gleichem Namen ersetzt werden. Das herunterstufen verlief ohne Fehlermeldungen. Jetzt habe ich aber noch ein paar Fragen;

- nach dem herunterstufen ist der "alte" DC noch unter "Active Directory Standort und Dienste" unter "Servers" eingetragen. Replikationsverbindungen gibt es aber keine mehr. Kann ich diesen Eintrag löschen?

- Im DNS ist der alte DC noch in den Forward Lookup Zones mit ldap, Kerberos, kpasswd Einträgen vorhanden. Können/müssen diese manuell gelöscht werden? 

[Nobbyaushb 1.464]

Moin,

zu Punkt eins, ja, manuell entfernen.

Punkt zwei kann durchaus sein, hast du den DNS auf dem "alten" DC auch deinstalliert?

Wenn nicht, ist das ja korrekt.

Wenn ja, löschen.

 

Ich war mal zu schnell, das führt zu Problemen.

 

Der Server ist übrigens dann immer noch Domain-member, wenn der ganz weg soll, vor dem Ausschalten ganz aus der Domain raus nehmen.

 

[Marco31 33]

DNS habe ich auch deinstalliert.

 

Noch eine Frage; ich hatte den jetzt noch bestehenden DC im letzten Jahr auf die gleiche Weise "erneuert"; von diesem sind jetzt auch besagte Einträge (ldap, Kerberos, kpasswd) doppelt vorhanden - einmal mit Zeitstempel 31.03.2018 und einmal mit Zeitstempel 21.11.2017 (der Tag des Herabstufen des "alten" DC und heraufstufen des neuen).

Ich gehe davon aus, es wäre sinnvoll die Einträge mit dem 2017er Zeitstempel zu löschen...?

[Nobbyaushb 1.464]

Dann wurde der Server damals nicht sauber depromoted.

Auch gab es mal mit 2008 und 2008R2 Probleme, ist aber lange her.

 

Wenn das aktuell mit einem 2012R2 gemacht wird, werden in der Regel auch diese Einträge entfernt.

 

Einfach nach dem Runterstufen prüfen und ggf. von Hand bereinigen.

[NorbertFe 2.027]

Je nach Umgebung kann man auch einfach alle löschen. Die werden ja beim Boot des DCs wieder neu erstellt. ;) (bzw. Start Netlogon Service)

[Marco31 33]

Vielen Dank für die schnellen Antworten

Hmm. Hatte die Einträge gelöscht, aber nach kurzer Zeit wurden diese wieder eingetragen... Wie kann das sein?

[Marco31 33]

Nach einiger Recherche habe ich herausgefunden, dass es wohl in Windows 2003 einen Bug gab, bei dem DNS-Einträge mit Großbuchstaben nicht gelöscht werden können. Mein Server ist aber ein 2012 R2er...  Das mit den Großbuchstaben würde aber passen.

Hatte jemand schon mal so einen Fall bzw. weiß jemand wie man das beheben kann?

[NorbertFe 2.027]

Einfach löschen. Hab ich doch oben geschrieben. 

[Nobbyaushb 1.464]

vor 4 Minuten schrieb NorbertFe:

Einfach löschen. Hab ich doch oben geschrieben. 

Eben

[Marco31 33]

Wenn's denn so einfach wäre... Ich lösche die Einträge, aktualisiere die Anzeige und, schwupps, sind die Einträge wieder da als hätte ich die nie gelöscht...

Ich habe nur das hier bisher gefunden: https://support.microsoft.com/en-us/help/2749240/you-cannot-delete-dns-ptr-records-that-were-created-in-windows-2003

Da geht's aber um PTR-Einträge, ich habe das Problem bei den SRV Einträgen in der Forward Lookup Zone.

[NorbertFe 2.027]

Wieviele DCs hast du? Stehen die in der Zone alle als Nameserver drin? Stehen dort evtl. noch alte Server? Welche Einträge hast du denn gelöscht? Alle?

[Marco31 33]

Ich hatte zwei, jetzt nach der Herunterstufung nur noch den einen. Als Nameserver steht nur noch der aktuelle DC drin.  Ich hatte alle SRV-Einträge gelöscht, die auf den alten DC verweisen und die Einträge mit 2017er Zeitstempel des aktuellen DC. Und wie gesagt, ich lösche die und die sind sofort wieder da...

Die HOST und NS Einträge sind alle ok, die gibt's nur für den aktuellen DC.

[Nobbyaushb 1.464]

Ist die Dose denn noch an?

[Marco31 33]

Die alte Dose die herabgestuft wurde? Nee, die ist schon sozusagen "entsorgt" (aus der Domäne raus und neu installiert).

Hier mal ein Screenshot der Misere; DC1 ist der alte Server, vmdomcon1 der aktuelle Server. Und der mit aktuellem und 2017er Zeitstempel...

 

[NorbertFe 2.027]

Lösch doch einfach mal ALLE.