Erster und zweiter Domänencontroler finden sich nicht

[bokice 10]

Brauche Ratschläge :(

 

Was war?

-Den erster Domänencontroler habe ich nach einem "Crash" mit einem Ghost-Image vom April neu übergebügelt. Lief gut.

-Zweiter Domänencontroler mag seit dem den ersten nicht mehr. Beispiel: Kein Zugriff via Netz möglich mit dem Hinweis, dass der Account nicht stimmt

-Die Clients "sehen" nur den Controller bei dem diese angemeldet sind.

 

Es ist sozusagen ein Nebeneinander entstanden.

 

1. Möchte gerne verstehen warum der erste Controler im Zustand April nicht seinen Bruder im Zustand Juli mag.

2. Gibt es (überhaupt) eine Lösung, damit beide wieder Feundschaft schliessen?

 

Danke für Deine Mühe... :rolleyes:

[dmetzger 10]

Das dürfte ziemlich genau diese Problem sein:

http://support.microsoft.com/kb/216993/en-us

[Christoph35 10]

Hinzu kommt, dass Computer standardmäßig alle 30 Tage ihr Maschinenkennwort in der Domain ändern. Wenn du also den defekten DC mit einem Image Stand April wiederherstellst, ist das darin enthaltene Kennwort in der Domain nicht mehr gültig.

 

Am besten installierst du windows 2003 und AD auf einem Rechner komplett neu (als zusätzlichen DC). Falls der defekte DC vorher FSMO Rollen hatte müssen diese zuvor auf den verbleibenden DC übertragen werden.

 

Christoph

[bokice 10]

Abschlussbericht:

Danke erstmal an dmetzger und Christoph35 für die schnelle Antwort.

 

Es ist tatsächlich nicht mehr möglich das alte "April" Image in der "Juli" Netzwerk Umgebung einzufügen. Der Grund liegt wie Ihr schon geschrieben habt in den authentifizierungs Regeln von Mircrosoft. Im Artikellink von dmetzger ist die Rede von einer "tombstoneLifetime". Das schient die max Zeit zu sein unter der Replikationen erlaubt sind. :suspect: MS selbst schreibt dazu:

 

"If a domain controller running Windows 2000 Server has failed for longer than the number of days in the tombstone lifetime, the solution is always the same:

1. Move the server from the corporate network to a private network.

2. Either forcefully remove Active Directory or reinstall the operating system.

3. Remove the server metadata from Active Directory so that the server object cannot be revived. "

 

zu finden unter "Correct Response to Any Outdated Server Running Windows 2000 Server".

 

Also, wenn der Server die tombstone lifetime passiert hat, geht in der Domain für diesen Rechner nichts mehr....auch wenn er selbst der Domain Controller ist. Auch das Zurückschreiben/Wegnehmen der Infos und Metadaten mit dcpromo schlägt fehlt, denn er hat keinen Zugriff auf seine Partner. Ein dcpromo /reforce funtioniert, aber dass war nicht mein Plan.

 

Was habe ich getan?

Image von Win2003 (blanko) aufgespielt und noch mal dcpromo ausgeführt und als zusätzlichen zweiten "vom zweiten" DC eingeführt. :wink2:

[Christoph35 10]

Danke für dein Feedback!

 

Das mit dem Neu-Aufsetzen eines DC ist imho besser, als ein Image zurückzuspielen, besonders, wenn es sich dabei um ein so altes Image handelt.

 

Christoph

[bokice 10]

Hallo noch mal!

Fairerweise muss ich noch sagen, dass der zweite "überlebende" Domain Controller natürlich zuerst via tool „ntdsutil”

=> roles

- Seize domain naming master

- Seize infrastructure master

- Seize PDC

- Seize RID master

- Seize schema master

zum Hauptakteur der Domain gemacht werden muss, bevor irgendein anderer „nochmaliger zweiter“ Domain Controller hinzugefügt werden kann. Versuche weitere hinzuzufügen schlagen fehl, sollte man keinen primären Domain Controller mehr besitzen. :eek:

 

Wegnehmen kann man die Rechte eines Domain Controller mit DCPROMO /FORCEREMOVAL und nicht wie ich vorher geschrieben habe mit dcpromo /reforce. Die Option gibt’s nämlich nicht... :D

[Christoph35 10]

Falls der defekte DC vorher FSMO Rollen hatte müssen diese zuvor auf den verbleibenden DC übertragen werden.

Christoph

 

Hatte ich ja schon geschrieben ;)

 

Christoph