2008 r2 Demote nicht möglich

[NilsK 2.966]

Moin,

 

ich weiß nicht, ob das heute noch funktioniert, aber:

 

[Wie kann ich Active Directory von einem DC gewaltsam entfernen? | faq-o-matic.net]
https://www.faq-o-matic.net/2003/01/19/wie-kann-ich-active-directory-von-einem-dc-gewaltsam-entfernen/

 

Bevor ich das täte, installierte ich aber zunächst einen weiteren neuen DC und prüfte, ob mit diesem die Kommunikation ordentlich läuft.

 

Gruß, Nils

 

[Mack 10]

vor einer Stunde schrieb NorbertFe:

Was steht denn in Sites and Services für ein subnet? Wenn’s nur ein Standort ist, steht ja hoffentlich trotzdem ein subnet drin.

Nein, da ist keines definiert. Dort sind lediglich die Default Einstellungen hinterlegt ("Standardname-des-ersten-Standorts")

[Sunny61 809]

vor einer Stunde schrieb Mack:

Nein, da ist keines definiert. Dort sind lediglich die Default Einstellungen hinterlegt ("Standardname-des-ersten-Standorts")

Dann könnte man das dort ja hinterlegen.

 

BTW: Du kannst auch mal ein ipconfig /all | clip von jedem DC erzeugen und hier jeweils in einen Code-Block/Tag einfügen. Mit | clip wird die Ausgabe direkt in die Zwischenablage kopiert.

[NilsK 2.966]

Moin,

 

die Subnet-Frage führt doch hier in die Irre. Bei nur einem Standort kann es keine Subnet-Fehlzuordnung geben, egal was man da einträgt.

 

Gruß, Nils

 

[Mack 10]

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : ALTER SERVER
   Primäres DNS-Suffix . . . . . . . : DOMAIN.TLD
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : DOMAIN.TLD

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: DOMAIN.TLD
   Beschreibung. . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD Client)
   Physikalische Adresse . . . . . . : 00-18-8B-31-20-12
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::855a:3f6a:7446:18d8%10(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.198(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.0.254
   DNS-Server  . . . . . . . . . . . : ::1
                                       192.168.0.41
                                       192.168.0.198
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{0DBD2924-5BD7-41D6-9B97-BF665DE1ED70}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: DOMAIN.TLD
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

 

 

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : NEUER SERVER
   Primäres DNS-Suffix . . . . . . . : DOMAIN.TLD
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : DOMAIN.TLD

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: DOMAIN.TLD
   Beschreibung. . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Physische Adresse . . . . . . . . : 00-15-5D-00-33-00
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::9878:730c:689a:f3f9%7(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.41(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.0.254
   DHCPv6-IAID . . . . . . . . . . . : 67114333
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-25-D8-5B-3D-00-15-5D-00-33-00
   DNS-Server  . . . . . . . . . . . : ::1
                                       192.168.0.198
                                       192.168.0.41
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

 

[Squire 272]

ich würde mal die DNS Einträge rumdrehen ... also 1. DNS zeigt auf sich selbst / 2. auf den anderen

[NilsK 2.966]

Moin,

 

man kann das temporär mal versuchen, aber generell empfiehlt man das schon genau so (über Kreuz), weil es einige typische Probleme vermeidet.

 

Laut Eingangspost löst nslookup korrekt auf, daher würde ich (ausnahmsweise) das Problem eher nicht bei DNS suchen - sofern nslookup korrekt und sinnvoll getestet wurde (beide Server ausdrücklich abgefragt?). Ergänzend würde ich dann auch noch einen ping auf den Domänennamen sowie einen ping auf jeden der DC-Namen versuchen, das auch wieder auf beiden Servern. Ping löst anders auf als nslookup und ist deshalb eigentlich zur Fehlersuche besser geeignet.

 

Aber wenn wir schon dabei sind - dann auch den DNS-Cache löschen (ipconfig /flushdns).

 

Gruß, Nils

 

[Mack 10]

Also, 

 

Ich bin schon etwas weiter und verhalten optimistisch die Ursache gefunden zu haben.

 

Ich habe mir mal das SMB auf dem 2008 R2 angeschaut und der läuft noch auf SMB1, was auf dem Server 2019 ja standardmäßig deaktiviert ist. 

So habe ich jetzt mal testweise SMB1 auf dem neuen Server zugelassen. Den Neustart dort kann ich gerade durchführen und siehe da:

 

Ich kann vom alten DC den neuen in der AD GUI verwalten, bei den Betriebsmasterrollen wird der aktuelle (neue) nicht mehr als FEHLER - offline angezeigt.

 

Ein dcdiag vom alten zum neuen Server lief eben vor der SMB1 Freischaltung noch in massive Fehlermeldung und schnuckelt jetzt durch. (DCdiag jeweils lokal lief super)

 

Mir war einerseits nicht bewusst, dass SMB so eine Rolle zwischen DCs spielt, vor allen Dingen, wenn alle Replikationen (AD, DNS) augenscheinlich laufen.

Und anderseits hatte ich SMB1 nicht auf dem Schirm, da doch eigentlich 2008 R2 schon mit SMB 2 bzw. 2.1 läuft?! 

 

Ich werde dcpromo natürlich noch machen bei nächster Gelegenheit und hier die Ergebnisse posten.

[Nobbyaushb 1.483]

Ergänzedn zu Nils - mit traceroute (treacert) findet man manchmal auch erstaunliches heraus.

 

Ich habe das zwar gelesen (das meiste...) aber ist IPv6 an den Karten aktiv?

Wie viele Netzwerkkarten haben die Server, sind Karten ohne Link auch deaktiviert?

Hatte neulich einen Kunden, da stand eine feste IPv6 in der Config der Karte an einem DC..

 

Poste doch mal als code von beiden DC ipconfig /all | clip

[NilsK 2.966]

Moin,

 

vor 9 Minuten schrieb Nobbyaushb:

Poste doch mal als code von beiden DC ipconfig /all | clip

rollstu hoch ...

 

vor 10 Minuten schrieb Mack:

Ich bin schon etwas weiter und verhalten optimistisch die Ursache gefunden zu haben.

Ah, gut. Auf die Idee wäre ich jetzt auch nicht gekommen ... aber gut zu wissen.

 

Gruß, Nils

bearbeitet 20. August 2020 von NilsK

[Nobbyaushb 1.483]

vor 7 Minuten schrieb NilsK:

rollstu hoch ...

Tja, doch nicht alles engeschaut, tztz...

 

Aber auf die Idee mit dem SMB1 wäre ich wohl auch nicht auf die schnelle gekommen (oder gar nicht..) - MS baut doch immer wieder Admin-Tests in ihre Produkte ein, schon erstaunlich...

[testperson 1.718]

vor 13 Minuten schrieb Mack:

Und anderseits hatte ich SMB1 nicht auf dem Schirm, da doch eigentlich 2008 R2 schon mit SMB 2 bzw. 2.1 läuft?! 

 

Da 2008 R2 schon was aus dem Support ist, finde ich das DATEV Dokument dazu nicht mehr bzw. wurde es scheinbar überarbeitet und der Part gestrichen. Aber es gab mal einen Artikel dazu, wo bei verschiedenen Problemen (AFAIK im Zusammenhang mit Access Datenbanken über SMB) ein Testschritt aus deaktivieren von SMBv2 bestand. Hier wurde aus dem Würgaround scheinbar eine dauerhafte "Lösung".

 

Das müsste eines der beiden Dokumente (vor der Bearbeitung) gewesen sein:

• https://www.datev.de/dnlexom/client/app/index.html#/document/1080133
• https://www.datev.de/dnlexom/client/app/index.html#/document/1014806

 

[Mack 10]

vor 4 Minuten schrieb testperson:

Da 2008 R2 schon was aus dem Support ist, finde ich das DATEV Dokument dazu nicht mehr bzw. wurde es scheinbar überarbeitet und der Part gestrichen. Aber es gab mal einen Artikel dazu, wo bei verschiedenen Problemen (AFAIK im Zusammenhang mit Access Datenbanken über SMB) ein Testschritt aus deaktivieren von SMBv2 bestand. Hier wurde aus dem Würgaround scheinbar eine dauerhafte "Lösung".

 

Das müsste eines der beiden Dokumente (vor der Bearbeitung) gewesen sein:

• https://www.datev.de/dnlexom/client/app/index.html#/document/1080133
• https://www.datev.de/dnlexom/client/app/index.html#/document/1014806

 

Ah, das könnte natürlich sein und klingt "praxisnah"  . Danke für den Hinweis.

[testperson 1.718]

Im Idealfall drehst du deine Konfiguration jetzt aber wieder um und deinstallierst SMBv1 an beiden Servern. Am 2008 R2 aktivierst du SMBv2 wieder: 

https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#for-windows-7-windows-server-2008-r2-windows-vista-and-windows-server-2008

[Mack 10]

vor 4 Minuten schrieb testperson:

Im Idealfall drehst du deine Konfiguration jetzt aber wieder um und deinstallierst SMBv1 an beiden Servern. Am 2008 R2 aktivierst du SMBv2 wieder: 

https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#for-windows-7-windows-server-2008-r2-windows-vista-and-windows-server-2008

Definitiv. Auf (hoffentlich) nicht allzu lange Sicht ist der 2008 ja eh weg. Dort konnte ich jetzt nur testweise nicht am SMB spielen wg. dem Neustart.