AD - Migration 2003 ->2008R2 & DNS Fehler

[tsaenger]

Hallo Forum,

ich habe gestern versucht mein AD von 2003 auf 2008R2 zu migrieren.
Dazu habe ich diesen Beitrag durchgearbeitet:

Code:

http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54cfd298d.aspx

Die Rollen wurden wohl laut Meldung alle übertragen.
Anschließend habe ich den Server mit dcpromo herabgestuft.
Das war wohl mein Fehler, denn ich hab mich vorher nicht um den DNS-Server gekümmert. Ich bekam viele fehlermeldungen, das mein AD nicht verfügbar sein. Drum hab ich in meinen DNS-Server geschaut und gesehen, das dort noch in vielen Punkten der alte DC drin stand. Hier habe ich dann immer versucht den alten Server duch die neue Serveradresse auszutauschen.
Am Ende hat mein DNS-Server gar nicht mehr funktioniert.
Nun dachte ich mir, ich könne den DNS-Server einfach deinstallieren und wieder neu aufspielen. Dabei hab ich aber scheinbar mehr kaputt gemacht als ich dachte. Was ein Glück habe ich noch nen 2ten DC am laufen.
Jetzt hab ich mir überlegt, ich ziehe wieder einen neuen DC auf W2k8 hoch und übertrage dorthin die Rollen.
Das hat mittels ntdsUtil auch wieder funktioniert. (DCPromo auf dem alten habe ich noch nicht gemacht)
Was ist denn nun der nächste Schritt den ich tun muss???
ein DCDIAG auf dem neuen Server sieht so aus:

Auf Grund der Post-Grösenbeschränkung kommt das Diag im nächsten Post.

Vielen Dank für Eure Hilfe.

Gruß

Tobias

[tsaenger]

Teil1:

Code:

Verzeichnisserverdiagnose
Anfangssetup wird ausgef�hrt:
   Der Homeserver wird gesucht...
   Homeserver = BAK
   * Identifizierte AD-Gesamtstruktur. 
   Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgef�hrt.
   Server wird getestet: Standardname-des-ersten-Standorts\BAK
      Starting test: Connectivity
         ... BAK hat den Test Connectivity bestanden.
Prim„rtests werden ausgef�hrt.
   Server wird getestet: Standardname-des-ersten-Standorts\BAK
      Starting test: Advertising
         ... BAK hat den Test Advertising bestanden.
      Starting test: FrsEvent
         F�r den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
         SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge
         haben. 
         ... BAK hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         ... BAK hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         ... BAK hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ... BAK hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ... BAK hat den Test KnowsOfRoleHolders
         bestanden.
      Starting test: MachineAccount
         ... BAK hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine 
            Replicating Directory Changes In Filtered Set
        Zugriffsrechte f�r den Namenskontext:
         DC=ForestDnsZones,DC=name,DC=domain,DC=de
         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine 
           Replicating Directory Changes In Filtered Set
         Zugriffsrechte f�r den Namenskontext:
         DC=DomainDnsZones,DC=name,DC=domain,DC=de
         ... BAK hat den Test NCSecDesc nicht bestanden.
      Starting test: NetLogons
         ... BAK hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ... BAK hat den Test ObjectsReplicated
         bestanden.
      Starting test: Replications
         ... BAK hat den Test Replications bestanden.
      Starting test: RidManager
         ... BAK hat den Test RidManager bestanden.
      Starting test: Services
         ... BAK hat den Test Services bestanden.
      Starting test: SystemLog
            Ein Warning-Ereignis ist aufgetreten. Ereignis-ID: 0x825A000C
            Erstellungszeitpunkt: 03/13/2010   20:34:20
            Ereigniszeichenfolge:
            Zeitanbieter "NtpClient": Dieser Computer ist f�r die Verwendung der Dom„nenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Dom„ne, der erste Computer in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Dom„nenhierachie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverl„ssigen Zeitdienst in der Stammdom„ne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Andernfalls arbeitet dieser Computer als verbindliche Zeitquelle in der Dom„nenhierarchie. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden.
         ... BAK hat den Test SystemLog nicht bestanden.
      Starting test: VerifyReferences
         ... BAK hat den Test VerifyReferences bestanden.

[tsaenger]

Teil2:

Code:

   Partitionstests werden ausgef�hrt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ... ForestDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ... ForestDnsZones hat den Test
         CrossRefValidation bestanden.
  Partitionstests werden ausgef�hrt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ... DomainDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ... DomainDnsZones hat den Test
         CrossRefValidation bestanden.
   Partitionstests werden ausgef�hrt auf: Schema
      Starting test: CheckSDRefDom
         ... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ... Schema hat den Test CrossRefValidation
         bestanden.
   Partitionstests werden ausgef�hrt auf: Configuration
      Starting test: CheckSDRefDom
         ... Configuration hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ... Configuration hat den Test
         CrossRefValidation bestanden.
   Partitionstests werden ausgef�hrt auf: name
      Starting test: CheckSDRefDom
         ... name hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ... name hat den Test CrossRefValidation
         bestanden.
   Unternehmenstests werden ausgef�hrt auf: name.domain.de
      Starting test: LocatorCheck
         ... name.domain.de hat den Test
         LocatorCheck bestanden.
      Starting test: Intersite
         ... name.domain.de hat den Test Intersite
         bestanden.

[Daim]

Servus,

zuallererst um dich selbst zu schützen, anonymisiere direkt die Ausgabe von DCDIAG.
Firmenrelevante Daten gehören nicht hier her! Merke dir das für die Zukunft, auch in deiner Verzweifelung.


Grüße von einem Meenzer.

[tsaenger]

Hallo Daim,

vielen Dank.

Ich habe es gerade anonymisiert.

Gruß

Tobias

[tsaenger]

Hallo,

also nochmal zusammengefasst ein DCDIAG gibt mir MOMENTAN folgende meldung:

Code:

      Starting test: NCSecDesc

         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine 

            Replicating Directory Changes In Filtered Set
         Zugriffsrechte f�r den Namenskontext:

         DC=ForestDnsZones,DC=name,DC=domain,DC=de
         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine 

            Replicating Directory Changes In Filtered Set
         Zugriffsrechte f�r den Namenskontext:

         DC=DomainDnsZones,DC=name,DC=domain,DC=de
         ......................... BAK hat den Test NCSecDesc nicht bestanden.

Muss ich das Probelm erst lösen bevor ich den alten DC herabstufe?

Gruß

Tobias

[Daim]

Zitat von tsaenger Anschließend habe ich den Server mit dcpromo herabgestuft. Das war wohl mein Fehler, denn ich hab mich vorher nicht um den DNS-Server gekümmert.

Merke dir für die Zukunft: Man stuft ohnehin nicht in der nächsten Sekunde den "alten" DC herunter. Diesen lässt man noch einige Tage mitlaufen und bevor man diesen endgültig herunterstuft, schaltet man ihn für ein paar Tage erstmal aus um zu überprüfen ob auch alles noch so funktioniert wie es soll.

Ich bekam viele fehlermeldungen, das mein AD nicht verfügbar sein. Drum hab ich in meinen DNS-Server geschaut und gesehen, das dort noch in vielen Punkten der alte DC drin stand.

Das kommt evtl. daher. da sich der alte und neue DC noch nicht abschließend repliziert haben. Steht denn nun in den TCP/IP-Settings des neuen DC, der neue DC selbst drin?

Hier habe ich dann immer versucht den alten Server duch die neue Serveradresse auszutauschen.

Die DNS-Einträge muss und tätigt der DC selbst. Denn wenn er das nicht tut, liegt ohnehin ein Problem vor. Hast du mal mittlerweile den neuen DC neugestartet? Falls nicht, dann jetzt. Zumindest starte den Anmeldedienst neu.

Nun dachte ich mir, ich könne den DNS-Server einfach deinstallieren und wieder neu aufspielen. Dabei hab ich aber scheinbar mehr kaputt gemacht als ich dachte.

Ich weiß das lässt sich jetzt so einfach schreiben, aber gerade in schwierigen Situationen wie diese sollte man zuerst einen kühlen Kopf bewahren. Erst dann, sofern man sich das zutraut, sich an die Analyse wagen.

Was ein Glück habe ich noch nen 2ten DC am laufen.

Dann trage in den TCP/IP-Settings des neuen DCs diesen zweiten DC als primären DNS-Server ein. Denn auf dem zweiten DC sollte ja alles in Ordnung sein.

Jetzt hab ich mir überlegt, ich ziehe wieder einen neuen DC auf W2k8 hoch und übertrage dorthin die Rollen.

Das kannst du zwar machen, aber noch gibt es brechtigte Hoffnung den anderen (neuen) DC zum fliegen zu bringen. Abgesehen davon, die Rollen spielen bei einem DC wechsel keine so große Rolle.

Das hat mittels ntdsUtil auch wieder funktioniert. (DCPromo auf dem alten habe ich noch nicht gemacht)

Was hast du denn jetzt mit NTDSUTIL durchgeführt und warum? Du solltest nicht voreillig "irgendetwas" tun.

Was ist denn nun der nächste Schritt den ich tun muss???

Tief Luft holen und eine Tasse Kaffee oder Tee trinken.

Dann überprüfe das Eventlog des neuen DCs. Aber oberste Priorität hat das DNS!

[olc]

Hi,

mal abgesehen davon, daß es einen Grund für die fehlende ACE geben muß - warum setzt Du die ACL nicht auf den in DCDIAG genannten NCs?
"Replicating Directory Changes" - DOMÄNENCONTROLLER DER ORGANISATION

DNS solltest Du ebenso schnellstmöglich in Ordnung bringen.

[EDIT] Daim war schneller und ausführlicher. [/EDIT]

Viele Grüße
olc

[tsaenger]

Hallo OLC,

Danke für deine Antwort.
kannst du mir sagen was du damit meinst bzw. wie ich das mache?

Gruß

[Daim]

Zitat von tsaenger Code: Starting test: NCSecDesc Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte f�r den Namenskontext: DC=ForestDnsZones,DC=name,DC=domain,DC=de Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte f�r den Namenskontext: DC=DomainDnsZones,DC=name,DC=domain,DC=de ......................... BAK hat den Test NCSecDesc nicht bestanden.

Das ist überhaupt nicht schlimm. Siehe:

LDAP://Yusufs.Directory.Blog/ - DCDIAG: NCSecDesc Fehler

Muss ich das Probelm erst lösen bevor ich den alten DC herabstufe?

Nein, musst du nicht und abgesehen davon handelt es sich ja dabei um kein echtes Problem. Das kannst du getrost ignorieren.