Server Schrott

[Katjes 10]

Hallo,

 

ich hoffe ihr könnt mir helfen, oder ein paar hilfreiche Tipps geben.

Erst einmal zur allgemeinen Struktur des Netzes:

 

Es gibt:

 

net1 mit AD, DNS, DHCP, usw. als primary DC

net8 mit AD, DNS, DHCP, usw. als secundary DC

 

net2 = Hardewaremäßig Schrott und nicht am Netz, ehemaliger primary DC

 

Nun, das ganze haut mal hin und dann wieder nicht, aber eher nicht. Der net1 weist folgende Events im EventViewer auf:

 

-> Directory Service

 

• Typ: Warning
  Source: NTDS KCC
  Category: (1)
  EventID: 1265
   
  Description:
  The attempt to establish a replication link with parameters.
   
  Partition:
  CN=Schema,CN=Configuration,DC=intranet,DC=nettro...,DC=de
  Source DSA DN: CN=NTDS
  Settings, CN=net2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intranet,DC=nettro...,DC=de
  Source DSA Adress: 5a039dfe-2c2c-4d49-8022-100366d16e3.
  _msdcs.intranet.nettro.de
  Inter-site Transport (if any):
   
  failed with following status:
  The RPC server is unavailable.
   
   
   
  
• Typ: Error
  Source: NTDS Inter-site
  Category: (19)
  EventID: 1467
   
  Description:
  The Inter-Site Messaging Service SMTP Transport plug-in failed to register the event sink ismsink.dll. The event sink notifies the messaging service that new mail has arrived. New mail will accumulate in the drop directory until this problem is corrected.
  Please verify that the event sink dll ismsink.dll is present and not corrupt.
  You may attempt to register the event sink manually using the following commands:
  regsvr32 /u ismsink.dll
  regsvr32 ismsink.dll
  Please stop and restart the ISM service.
  The error message is as follows:
  The specified module could not be found.
   
   
   
  
• Typ: Warning
  Source: NTDS Inter-site
  Category: (19)
  EventID: 1409
   
  Description:
  The Inter-Site Messaging service SMTP Transport plug-in could not send a message because no mail transport is installed. Please install a mail transport, such as the SMTP Service.
  

 

-> File Replication Service

 

• Typ: Warning
  Source: NtFrs
  Category: None
  EventID: 13508
   
  Description:
  The File Replication Service is having trouble enabling replication from net2 to net1 for c:\winnt\sysvol\domain using the DNS name net1.intranet.nettro.de. FRS will keep rerying.
  Following are some of the reasons you would see this warning.
   
  [1] FRS can not correctly resolve the DNS name net2.intranet.nettro.de from this computer.
  [2] FRS is not running on net2.intranet.nettro.de
  [3] The topology information in the Active Directory for this replica has not yet replicated to all the DC.
   
  

 

So, das war's erst einmal.

Ich denke das die meisten Fehler daher rühren, das es diesen net2 nicht mehr gibt. Aus AD als Server lässt er sich nicht herauslöschen und Hardeware mäßig lässt sich an dem Ding nichts mehr machen, da der wohl mal verraucht ist.

 

Ich hab schon einiges versucht, aber der Stand ist bis jetzt geblieben. Ich hoffe einige von euch kennen sich damit bestens aus und können mir helfen. Natürlich kann das alles auch andere Ursachen haben, aber ich habe da keine Ahnung auch nicht von möglichen Lösungen. zB weiß ich nicht, wie ich den net2 da raus bekomme.

 

Des weiteren muss ich sagen, das ich mit dem ganzen noch keine große Ahnung habe. Also berücksichtigt das bitte. ;)

 

Liebe Grüße,

Katjes

 

PS: Ich hoffe ich habe nichts vergessen.

[Christoph35 10]

Doch, du kannst den NET2 auch von einem der anderen Servers aus entfernen.

 

Dazu brauchst Du ADSIEDIT, das mit den Windows Support-Tools installiert wird oder NTDSUTIL. Mit beiden Programmen würd ich mich erst mal in einer Testumgebung beschäftigen. ;)

ADSIEDIT ist sowas wie RegEdit für AD. NTDSUTIL ist ein Command-Line-Tool, das direkt in die Datenbank des AD eingreift.

 

Christoph

 

PS: ich denke, zu beiden Programmen findest Du reichlich Info hier im Board.

[Katjes 10]

Danke für die schnelle Antwort, bezüglich des toten net2.

Hmm mit ntdsutil hab ich schon mal FSMO-Rolle transferiert. Glaube ich Oo" ungefähr so:

 

Start->Ausführen->ntdsutil->ok

 

'seize' bla bla bla und denne: seize RID master on net1

 

Öhm, ob das jetzt damit was zu tun hat, weiß ich nicht ^^"

Wie müsste ich denn da vorgehen um den bösen net2 rauszuwerfen?

[schroeder750 10]

Hy there,

 

Ntdsutil sehe ich jetzt nicht unbedingt als DAS hilfreiche Tool für dieses Problem an.

Ausser, es liegt noch eine fsmo-Rolle auf dem abgerauchten DC, dann sollte man sie natürlich mit ntdsutil auf den verbleibenden DC verlegen (das wär dann die "seize" Option).

 

Am Besten mal auf dem verbleibenden DC die Support Tools installieren.

Danach Eingabeaufforderung und folgenden Befehl absetzen:

 

"netdom query fsmo"

 

Jetzt wird angezeigt, welcher DC denn so welche fsmo-Rolle hält. Die sollten natürlich nicht auf einer Leiche liegen...

 

Danach ab in die Konsole auf dem verbleibenden DC und unter "Active Directory Standorte und Dienste" mal bei "Standardname des ersten Standorts" => "Servers" nachsehen, ob die Leiche da noch auftaucht. Hier kann man den leider nicht unbedingt einfach löschen.

Falls er da noch auftaucht, mit der rechten Maustaste mal auf die "NTDS-Settings" dieser Leiche klicken und nachsehen, ob der angeblich noch einen globalen Katalog hat.

 

Um solche Zombies aus der AD-Struktur zu bekommen, benutze ich immer ganz gerne "ldp.exe" aus den Support-Tools:

 

Starten des Programms „ldp.exe“ aus einer Kommandozeile heraus.

Auswahl „Connections“ ==> „Connect“

Hier den Servernamen des verbleibenden DCs eintragen

Auswahl „Connections“ ==> „Bind“

Authentifizierung durchführen …

Auswahl „View“ ==> „Tree“

„BaseDN“ leer lassen…

 

Nun kann man sich auf der linken Seite ganz gut durchhangeln nach Einträgen des Namens des verblichenen Servers.

 

Unter "DC=domänenname,DC=suffix" => "OU=Domain Controllers,DC=domänenname,DC=suffix" tauchen alle Server auf, die in der OU "Domain Controllers" in der Managementkonsole angezeigt werden. Nur kann ich die Dinger hier mit Gewalt löschen...

 

Interessant ist hier auch:

 

DC=domänenname,DC=suffix =>

 

CN=Configuration,DC=domänenname,DC=suffix =>

 

CN=Sites,CN=Configuration,DC=domänenname,DC=suffix =>

 

CN=Standardname des ersten Standorts,CN=Sites,CN=Configuration,DC=domänenname,DC=suffix =>

 

CN=Servers,CN=Standardname des ersten Standorts,CN=Sites,CN=Configuration,DC=domänenname,DC=suffix

 

Hier tauchen nämlich genau die Server auf, die ich eben über die Managementkonsole sehen konnte, sie aber dort nicht löschen konnte...(unter "Active Directory Standorte und Dienste")

 

Auf diese Weise mal durchhangeln, ist natürlich mühsam, aber so bekommt man die Leichen raus...

 

Bitte vorsichtig mit dem ldp.exe, O.K ?

 

Notfalls vorher einen systemstate von allen verbleibenden DCs ziehen, um im Falle des Falles alles wieder herstellen zu können...

 

Grüsse

 

schroeder750

[Christoph35 10]

Naja, mit Metadata Cleanup von NTDSUtil geht das auch und ich hab das in einer Testumgebung auch schon mal durchgezogen. Aber ich bin damit auch immer sehr sehr vorsichtig ;).

Besser sind wohl ADSIEdit oder das LDP-Tool.

 

Aber auch da kann ich mich meinem Kollegen anschließen: Bitte aufpassen damit :)

 

Christoph

[schroeder750 10]

Hy Christoph,

 

siehste, wieder was gelernt...

Metadata Cleanup vom NTDSutil war mir bisher noch nicht bekannt...

 

Werde ich mir in der nächsten Testumgebung mal ansehen :D

 

Grüsse

 

schroeder750

[Katjes 10]

Vielen lieben Dank, ich werde mir beide Vorschläge nachher mal ansehen. ldp.exe kannte ich sogar schon. Hoffe nur das ich damals nichts daran gemacht habe :shock: Jetzt weiß ich wenigstens was damit im Groben gemeint ist.

 

Ach ja:

 

Notfalls vorher einen systemstate von allen verbleibenden DCs ziehen, um im Falle des Falles alles wieder herstellen zu können...

 

Wie genau macht man das? Ja sry ich hab da null Ahnung. *rot wird*

 

LG,

Katjes

[Christoph35 10]

Vielen lieben Dank, ich werde mir beide Vorschläge nachher mal ansehen. ldp.exe kannte ich sogar schon. Hoffe nur das ich damals nichts daran gemacht habe :shock: Jetzt weiß ich wenigstens was damit im Groben gemeint ist.

 

Ach ja:

 

 

 

Wie genau macht man das? Ja sry ich hab da null Ahnung. *rot wird*

 

LG,

Katjes

 

Z.B. mit dem mitgelieferten Backup-Programm. Da kann man neben den Lfw. und Pfaden auch den sogenannten Systemstate sichern. Das beinhaltet dann einige wichtige Systemdateien und auf einem DC, hier besonders wichtig, die Datenbank des Active Directory.

 

 

Christoph

[schroeder750 10]

Hy Katjes,

 

nix sorry und null Ahnung... Peinlich wird es dann, wenn man Dinge tut, von denen man keinen Plan hat. Du fragst ja wenigstens vorher nach und genau dafür ist das Board da :D

 

Systemstate ziehen:

 

Ntbackup starten und beim jeweiligen DC den "Systemstatus" anhaken. Der erstellt Dir dann eine ca. 400 - 500 MB große *.bkf-Datei, von der Du dann notfalls autorisierend wieder herstellen kannst.

Autorisierendes Restore des AD heißt mit ntdsutil (da war´s wieder, Gruss an Christoph, der Mann hat doch Recht, das Ding ist wichtig... ;) ) dafür sorgen, daß diese Wiederherstellung auf diesem DC intern eine höhere USN bekommt als die anderen DCs und somit die einzig gültige ist. Mal ganz salopp formuliert.

 

VORSICHT: Die Schemapartition lässt sich NICHT autorisierend wieder herstellen. Wenn ich also mehr als einen DC habe, sollte man bei solchen Aktionen (bei denen Du ja evtl. mit dem ldp.exe an der Schemapartition rumbiegst) von JEDEM DC einen systemstate ziehen. Wenn Bockmist passiert, alle DCs gleichzeitig runterfahren, das Restore vom AD zurückziehen und alle DCs wieder starten. Dann hat keiner eine neuere Info (=höhere USN) als die anderen und das AD existiert wieder in der Version, die bestand, als das Backup gezogen wurde... In diesem Fall brauchst Du auch nicht groß mit dem ntdsutil autorisierend rumzuwerkeln...

 

 

Bei Unklarheiten einfach nachfragen, dafür ist das Board da.

Solltest Dich vor solchen Aktionen aber besser nochmal genau über die Vorgänge schlau machen. Besser ist das ...

 

Grüsse

 

schroeder750

[schroeder750 10]

... hat sich wieder überschnitten :D

[Christoph35 10]

@schroeder:

aber du warst erheblich ausführlicher ;).

 

Das mit der Schemapartition wusste ich noch nicht, kann man das irgendwo nachlesen?

Nicht, dass ich dir das nicht glauben würde, aber ich hab das so noch nicht gelesen, weder im Training Kit vom MSPress noch im Admins Companion (gut, der ist sehr umfangreich; kann sein, dass ich das überlesen habe :D)

 

Christoph

 

PS: und erwähnt sei noch, dass man für das Restore des AD den Domain Controller im Directory Services Restore Mode hochfahren muß (beim starten mit F8 auswählen).

[schroeder750 10]

Hy Christoph,

 

bin gerade etwas im Stress, ich werde noch versuchen, den Link zu finden, ich hatte mir das vor ewigen Zeiten mal in meine Schulungsunterlagen übernommen. Diese Aussage wurde mir aber auch schon mehrmals bestätigt, als ich mich anfangs selber schulen ließ. Scheint also Hand und Fuss zu haben. (ich frage da auch immer lieber etwas genauer nach, schon absolut legitim Deine Fragen :D )

 

Auf die Schnelle habe ich folgenden Link gefunden:

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/160ffb83-bbbd-4a56-aec0-7c495866c45f.mspx

 

Da steht dann auch drin: Schemaerweiterungen können nicht rückgängig gemacht werden.

Was ja meiner Meinung nach durch die Blume schon heißt, daß ich da auch autorisierend nix dran drehen kann.

Wenn ich aber bei allen DCs komplett ohne AD mit F8 starte, ist das AD natürlich wehrlos und kann komplett überbügelt werden, also incl. Schemapartition.

 

Wie gesagt, wenn ich den richtigen Link noch finde, poste ich das, O.K ? Ist immer interessant, sowas im kompletten Zusammenhang zu haben.

 

Grüsse

 

schroeder750

[Christoph35 10]

Jo, das ist ok.

 

Ich frage mich nur gerade, ob es nicht reicht, wenn man den Schemamaster restauriert?!

Man sollte allerdings hoffen, dass sowas nicht erforderlich sein wird ;)

 

Naja, deine Links werden hoffentlich etwas Licht in die Angelegenheit bringen :wink2:

 

Christoph

[schroeder750 10]

Du meinst, den Schemamaster restaurieren, um eine Änderung des Schemas rückgängig zu machen ?

 

Das Problem dürfte dabei ja sein, daß das Schema in seiner (dann veränderten und evtl. verballerten) Version sofort (o.k. innerhalb von 15 Minuten im Normalfall) auf alle DCs repliziert wird. Wenn ich jetzt nur den Schemamaster wieder herstelle, werden die anderen DCs ihm dann erzählen, er soll den alten Eintrag, den er da hat, überschreiben, wenn er wieder ins Netz kommt. Ist ja ähnlich bei einer Schemenerweiterung, wie ich sie z.B. beim Exchange mache. Ich nehme die Änderung auf einem DC vor und innerhalb der nächsten paar Minuten wird das ganze dann auf die anderen gebügelt. Ist ja in diesem Falle auch so gewollt. Für den eigentlichen Schreibvorgang ist dann der Schemamaster verantwortlich.

 

Schemamaster heißt ja nicht, daß das Schema, was er gerade hat, Gesetz ist, sondern daß er für die Änderungen am Schema verantwortlich ist, er ist derjenige, der ins Schema schreibt. So habe ich das jedenfalls bisher verstanden.

Falls das so nicht simmt und es jemand liest, der andere Infos hat, bitte her damit ! :p

Ist ja nun nicht unwichtig...

 

 

Grüsse

 

schroeder750

[Christoph35 10]

Naja, ich glaube, man muß da 2 Fälle unterscheiden:

 

1. Das Backup des Schema-Masters hatte die Erweiterung noch nicht gesichert. Dann bekommt der Schema-Master die Erweiterung von den anderen DCs zurückrepliziert, weil er auch bei einem authoritatvien Restore keine USN erhöhen kann, um seine Version durchzusetzen.

 

2. Das Backup des Schema-Masters hatte die Erweiterung schon gesichert. Müsste es nicht in dem Fall bei einem authoritativen Restore doch so sein, dass die Einträge des wiederhergestellten DCs den anderen DCs "aufgedrückt" werden?! Schließlich wird dabei ja die USN der entsprechenden Einträge um 100.000 (korrekt?) erhöht, somit hat der DC die Einträge mit der höchsten USN und damit sind seine Einträge maßgebend.

Oder ist in dieser Hinsicht der Schema-Master eine Ausnahme?

 

Christoph