Jump to content

2008 r2 Demote nicht möglich

Mack

Von Mack
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mack Enthusiast

Mack   10

Geschrieben
Geschrieben

Mein Problem ist einen Windows 2008 R2 Server zu demoten.

 

Situation:

 

Eine Windows Domäne mit aktuell zwei Domänencontrollern. Einmal ein Windows Server 2008 R2 und einmal ein Server 2019.

Die aktuelle Domänenfunktionsstufe ist auf den maximal möglichen Stand 2008 R2.

 

Beide DC sind natürlich auch DNS. Der primäre DNS des einen zeigt jeweils auf den anderen, der sekundäre auf sich selbst.

Ein NSlookup löst die Server und die Domäne korrekt auf.

DCDiag zeigt keine Fehler,

FRS wurde im Vorfeld auf das aktuelle DFRS ohne offensichtliche Probleme migriert.

Die AD Synchronisation habe ich u.A. mit dem AD Replication Status Tool von Microsoft geprüft und zeigt den Erfolg der Replication.

Auch banale Tests mit einer Ordneranlage im Netlogon etc. werden wie erwartet repliziert.

Die FSMO Rollen wurden dann per Powershell auf den neuen DC umgezogen. Ein netdom query auf beiden DCs löst sauber auf, dass alle Rollen beim neuen DC sind.

Die Uhrzeiten der DCs sind synchron.

 

Soweit so simpel.

 

Nun möchte ich den alten DC per DCPromo demoten. 

 

Der Assistent bricht dann allerdings beim Entfernen der Rolle ab. "der angegebene Netzwerkname ist nicht verfügbar."

 

Schaue ich mir die Betriebsmaster Rollen über die AD GUI auf dem neuen DC an, sieht alles aus wie erwartet.

Schaue ich mir diese allerdings auf dem alten DC dort an, steht beim aktuellen Rolleninhaber nur "Fehler".

 

Ebenso kann ich vom alten DC den neuen DC auch nicht verwalten. ("Netzwerkname wurde nicht gefunden") 

Der alte DC kann aber durchaus andere Memberserver oder PCs verwalten, ebenso kann der neue DC von anderen Servern verwaltet werden.

 

Die Firewallregeln kann ich ausschließen. Ein temporäres Deaktivieren der Firewall auf dem neuen DC hat daher erwartungsgemäß auch nichts gebracht.

 

Wenn ich versuche vom Servermanager des alten DC mich mit dem neuen DC zu verbinden, schlägt das ebenso fehl.

"Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Der WS-Verwaltungsdienst kann die Anforderung nicht verarbeiten.

Der Ressourcen-URI ...://schemas.microsoft.com/powershell/Microsoft.ServerM... wurde nicht im Katalog der WS-Verwaltung gefunden.

Der Katalog enthält die Metadaten zur Beschreibung von Ressourcen oder logischen Endpunkten..."

 

Verstehen tue ich das allerdings leider nicht.

 

Any insights was hier los sein könnte?

Link zu diesem Kommentar
Mack Enthusiast

Mack   10

Geschrieben
  • Autor
Geschrieben
vor 3 Minuten schrieb NilsK:

Moin,

 

was sagt denn das Eventlog dazu?

 

Gruß, Nils

 

Moin Nils,

 

das ist dazu leider völlig ungesprächig. Sporadisch moppert DFSR, dass er mal eine Verbindung nicht hinbekommen hat. Meldet aber kurze Zeit später die erfolgreiche Verbindung.

Ansonsten sind die administrativen Ereignissse erstaunlich leer. 

Während des DCPromo als solches wird überhaupt nichts geloggt. 

Link zu diesem Kommentar
Mack Enthusiast

Mack   10

Geschrieben
  • Autor
Geschrieben
Gerade eben schrieb NorbertFe:

Dann wirf ihn doch einfach hart raus. Geht vermutlich schneller, als im Forum den passenden Tipp zu bekommen. :)

 

aber vermutlich läuft noch irgendwas anderes auf dem dc, oder?

Der war u.a. auch noch DATEV (sag nix, habe ich so übernommen) und aktuell DHCP, sowie vor allen Dingen File Server. 

DATEV ist wegmigriert. Der DHCP ist natürlich kein Problem. Die Filestruktur ist Kraut und Rüben und soll (muss!) aufgeräumt werden, was sich leider hinzieht.

Es muss noch eine Exchange 2016 zu 2019 Migration (andere Server) on Premise laufen und da habe ich halt das Problem mit dem AD Level. Da die Filemigration sich hinzieht, wollte ich schon einmal demoten, damit ich die AD anheben kann für Server 2019 und am Exchange weitermachen kann.

Link zu diesem Kommentar
Mack Enthusiast

Mack   10

Geschrieben
  • Autor
Geschrieben
vor 1 Minute schrieb testperson:

Hi,

 

als Schuss ins Blaue: Router / irgendwas falsches als IPv6 (ggfs. auch IPv4) DNS?

 

Gruß

Jan

Dazu kann ich sagen, dass zumindest IP4 gegenüber IP6 präferiert werden soll (Stichwort DisabledComponents HEX20).

Ich bin aber was IP6 angeht ehrlich gesagt wenig bewandert. Aktiv ist da nichts explizit konfiguriert. Der Router macht IP4

Gerade eben schrieb NorbertFe:

Tjaaa dann wird man wohl weiter die Logs durchflöhen müssen. Hast du mal direkt nach einem reboot dcpromo versucht?

Jopp.

In den Logs steht nichts. Vielleicht kann man dazu explizit das Logniveau anheben, damit da mehr steht?!

Link zu diesem Kommentar
Mack Enthusiast

Mack   10

Geschrieben
  • Autor
Geschrieben
vor 29 Minuten schrieb NilsK:

Moin,

 

gibt es denn wenigstens in den Fehlern, die dir angezeigt werden, Fehlernummern?

 

Hast du die Eventlogs auf beiden Servern geprüft? Gibt es auf einem oder beiden Dienste, die gestartet sein sollten, aber nicht laufen?

 

Gruß, Nils

 

Ja, beide Server zeigen in den Logs nur wiederkehrende DFSR Events (5014 und 5002) regelmäßig abends um 19:00. Danach findet aber eine erfolgreiche Verbindung statt. Ich sehe auch gerade, um 19:00 findet die Windows Server Sicherung statt. 

Die automatischen Dienste laufen alle. Vor allen Dingen auch der RPC.

vor 34 Minuten schrieb NorbertFe:

Sind denn Sites and Services und die dazugehörigen subnets korrekt definiert? Bei VPN fällt mir noch mtu size ein.

Pff, da bin ich auf dünnem Eis unterwegs. Die GC werden zumindest bei beiden angezeigt.

Ganz ehrlich, wüsste ich nicht genau, wonach ich da nun schauen muss. 

 

VPN bzw. MTU Probleme können wir ausschließen. Sorry, hatte ich nicht erwähnt. Es ist nur ein Standort. Keine Router oder Routen zwischen den DCs. 

Link zu diesem Kommentar
Mack Enthusiast

Mack   10

Geschrieben
  • Autor
Geschrieben
vor 3 Minuten schrieb NilsK:

Moin,

 

schaust du nur in den AD-Logs? Oder auch in den anderen wichtigen? Bei dem geschilderten Fehlerbild kann ich mir nicht recht vorstellen, dass nix sichtbar sein sollte.

 

Gruß, Nils

 

Ich beziehe mich auf die Ereignisanzeige, Administrative Ereignisse, Also Anwendung, System, Active Directory, DNS Server etc. 

Link zu diesem Kommentar
testperson Grand Master

testperson   1.718

Geschrieben
Geschrieben

Wenn der Server "nur noch" Fileserver ist, wäre es dennoch denkbar den Server in einer ruhigen Minute "hart" zu entsorgen. In grob:

  • Neue VM aufsetzen und Freigaben syncen oder ggfs. später die vorhandene virtuelle Disk umhängen
  • Ggfs. Freigaben exportieren oder neu machen
  • Alten Server ausschalten, im AD löschen, DNS aufräumen
  • Neue VM in alten Server umbenennen ggfs. auch IP übernehmen
  • Freigaben importieren / neu machen
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...