Zum Inhalt wechseln


Foto

DC der schon länger nicht hochgefahren war sauber entfernen


  • Bitte melde dich an um zu Antworten
17 Antworten in diesem Thema

#1 stonson25

stonson25

    Senior Member

  • 653 Beiträge

 

Geschrieben 05. Juli 2017 - 13:47

Hallo,

ich habe eine Infrastruktur übernommen in der noch ein Windows Server 2003 R2x64 installiert ist.

Dieser Server ist ein DC (GC) und seit ca. 2 Monaten offline. Er repliziert nicht mehr da der Tobmstone abgelaufen ist.

Ich habe versucht die Active Directory Dienste zu deinstallieren und stoße auf folgenden Fehler:

 

Die Verwaltung der Netzwerksitzung mit dc.beispiel.local ist fehlgeschlagen.
"Anmeldung fehlgeschlagen: Zielkontoname ist ungültig"

 

Im Eventlog die Fhler wegen der Replikation: ID 1308 und ID 2042

 

Wie kann ich den DC schmerzfrei deinstallieren?

 

Vielen Dank im Voraus!


Hallo,

wir haben auch EventID: 1202 auf den anderen DC

Security policies were propagated with warning. 0x534 : No mapping between account names and security IDs was done.

Advanced help for this problem is available on http://support.microsoft.com. Query for "troubleshooting 1202 events".

Error 0x534 occurs when a user account in one or more Group Policy objects (GPOs) could not be resolved to a SID.  This error is possibly caused by a mistyped or deleted user account referenced in either the User Rights or Restricted Groups branch of a GPO.  To resolve this event, contact an administrator in the domain to perform the following actions:

1.    Identify accounts that could not be resolved to a SID:

From the command prompt, type: FIND /I "Cannot find"  %SYSTEMROOT%\Security\Logs\winlogon.log

The string following "Cannot find" in the FIND output identifies the problem account names.

Example: Cannot find JohnDough.

In this case, the SID for username "JohnDough" could not be determined. This most likely occurs because the account was deleted, renamed, or is spelled differently (e.g. "JohnDoe").

2.    Use RSoP to identify the specific User Rights, Restricted Groups, and Source GPOs that contain the problem accounts:

a.    Start -> Run -> RSoP.msc
b.    Review the results for Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment and Computer Configuration\Windows Settings\Security Settings\Local Policies\Restricted Groups for any errors flagged with a red X.
c.    For any User Right or Restricted Group marked with a red X, the corresponding GPO that contains the problem policy setting is listed under the column entitled "Source GPO". Note the specific User Rights, Restricted Groups and containing Source GPOs that are generating errors.

3.    Remove unresolved accounts from Group Policy

a.    Start -> Run -> MMC.EXE
b.    From the File menu select "Add/Remove Snap-in..."
c.    From the "Add/Remove Snap-in" dialog box select "Add..."
d.    In the "Add Standalone Snap-in" dialog box select "Group Policy" and click "Add"
e.    In the "Select Group Policy Object" dialog box click the "Browse" button.
f.    On the "Browse for a Group Policy Object" dialog box choose the "All" tab
g.    For each source GPO identified in step 2, correct the specific User Rights or Restricted Groups that were flagged with a red X in step 2. These User Rights or Restricted Groups can be corrected by removing or correcting any references to the problem accounts that were identified in step 1.


Ok, Event ID 1202 betrifft nur einen User. Ich werde mir mal die vorgeschlagenen Punkte abarbeiten.


Update: es sieht nach einem Uhrzeitproblem aus. Der Dienst der CA ist gestoppt.

Ich korrigiere mal die Uhrzeitkonfig.



#2 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 05. Juli 2017 - 14:19

Moin

 

Das Tool heisst NTDSUTIL.


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#3 stonson25

stonson25

    Senior Member

  • 653 Beiträge

 

Geschrieben 05. Juli 2017 - 14:25

Die Uhrzeit funktioniert nun wieder. War ein Problem mit dem NTP auf den ESXi's.

Es sind 2 CA'S in der Domain vorhanden.

Eine läuft, die andere nicht.

Die CA die läuft macht anscheinend Probleme:

Event-ID:13

Certificate enrollment for Local system failed to enroll for a DomainController certificate with request ID N/A from server.domain.local\domain-Server-CA (The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)).

 

Ich habe einen Artikel gefunden:

http://www.petenetli...Article/0000473

 

Ich bin mir aber nicht sicher ob ich diesen befolgen soll und ob das überhaupt mit dem ursprünglichen Problem zu tun hat....


Hallo lefg, du meinst ich soll ihn einfach mit NTDSUTIL löschen?

LG



#4 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 05. Juli 2017 - 15:09


 

Moin

 

Ich habe es als deinen Wunsch verstanden, den einen DC aus der Domäne zu entfernen.


Bearbeitet von lefg, 05. Juli 2017 - 16:01.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#5 stonson25

stonson25

    Senior Member

  • 653 Beiträge

 

Geschrieben 05. Juli 2017 - 16:32

Genau das wäre mein Ziel. Nur auf dem Server befindet sich die Root CA die nicht läuft. Diese hätte ich schon gerne wieder zum Laufen gebracht und migriert.

Oder geht das auch anders, also wenn der Dienst nicht läuft?

LG



#6 Doso

Doso

    Board Veteran

  • 2.507 Beiträge

 

Geschrieben 05. Juli 2017 - 16:36

Ist dein Google kaputt?



#7 XP-Fan

XP-Fan

    Moderator

  • 11.250 Beiträge

 

Geschrieben 05. Juli 2017 - 19:17

Ist dein Google kaputt?

 

Von einem alten Boardveteran hätte ich mir eine andere, zielführender Antwort gewünscht welche dem TO bei seiner Frage hilft. ;)


Gruß und viel Erfolg !

www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt ist online!


#8 Doso

Doso

    Board Veteran

  • 2.507 Beiträge

 

Geschrieben 05. Juli 2017 - 20:05

Naja zum Thema CA migrieren gibt es schon jede Menge Anleitungen bei der Suchmaschine der Wahl.



#9 stonson25

stonson25

    Senior Member

  • 653 Beiträge

 

Geschrieben 06. Juli 2017 - 07:19

Hallo, ja da gibt es einige Anleitungen. Die meisten funktionieren allerdings nur wenn die alte CA noch läuft. Ich formuliere meine Fragen anders.

Ich habe 2 CA's. Auf DC1 eine CA die sich nicht mehr starten lässt und auf DC2 eine CA die nicht läuft.

Beide CA's stehen unter den Service Nodes.

Soll ich jetzt die alte CA einfach löschen? Was kann passieren wenn keine CA mehr läuft? Kann es sein das ich deswegen den alten DC nicht deinstallieren kann?

 

Vielen Dank nochmal.


Hallo, ich habe gerade einige Clients kontrolliert. Laut Systeminfo wird genau dieser Server als Anmeldeserver verwendet.

Eine Frage: Meine Idee wäre es den Server wieder runterzufahren, dann zu testen ob sich die Clients am neuen DC anmelden können. Danach kann ich ja noch immer versuchen den DC sauber zu deinstallieren.



#10 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 06. Juli 2017 - 08:07

Moin

 

Versuche es!

 

Edit: Wenn Clients den einen DC als Anmeldeserver wählen können, dieser das macht, dann müsste er doch funktioneren. Oder?

 

 

Gibt es denn keine gute, einfachere Möglichkeit, den Ablauf der Tomstonen aufzuheben? Google, MS Technet, neuer Thread mit richtiger Überschrift!


Bearbeitet von lefg, 06. Juli 2017 - 08:13.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#11 stonson25

stonson25

    Senior Member

  • 653 Beiträge

 

Geschrieben 06. Juli 2017 - 12:01

Hallo, die Clients verwenden nach einen Reboot einen anderen Anmeldeserver. Das ist soweit ok.

Allerdings scheint der Exchange diesen Server zu benötigen.

Nach ca. 30 min. hatten wir ein ADAccess-Problem und nichts ging mehr. Ich habe den Server wieder hochgefahren und es funktionierte wieder.

Ich schaue mal nach was am Exchange eingetragen ist.

Danke,


Hallo zusammen,

ich habe etwas gefunden. Es existiert eine GPO mit dem Namen Rootzertifikat. Hier ist unter Computer Configuration/Windows Settings/Public Key Policies/Trusted Root Certification Authorities das Root Zertifikat drinnen das bereits am 10.04.2016 abgelaufen ist.

Diese Policy kann ich ja löschen? Es betrifft nur 2 OU's...

Die Server vertrauen demnach dem falschen Zertifikat.

Liege ich da richtig?

 

Der andere Fehler ist eine GPO die einfach auf einen User zieht den es nicht mehr gibt (am Server lokal anmelden). Ich werde diese GPO einfach mal deaktivieren.

LG


Die GPO's sind angepasst. Kein Fehler mehr. Ich versuche es jetzt nochmal den DC sauber zu deinstallieren.


So, ich habe nochmal den Replikationstest ausgeführt. Eindeutige Meldung das der Tomstone abelaufen ist. Wenn ich den Tombstone aufhebe, wie funktioniert das mit der Replikation? Der Server ist wahrscheinlich schon ewig down. Werden im Falle einer Replikation die neuen AD-Objekte auf den alten repliziert? Will nur ein Disaster verhindern.

Danke!



#12 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 06. Juli 2017 - 12:14

 

.....Ich versuche es jetzt nochmal den DC sauber zu deinstallieren.

 

Du meinst ein Herunterstufen zum Memberserver?


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#13 stonson25

stonson25

    Senior Member

  • 653 Beiträge

 

Geschrieben 06. Juli 2017 - 12:22

Genau, und anschließend nach einiger Zeit dann sauber aus der Domain...


Das hört sich vernünftig an: https://social.techn...ive_directoryde

Ich teste das mal.



#14 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 06. Juli 2017 - 12:33

Nun, falls es gesichterte Erkenntnis, dass der DC nicht unbrauchbar und nicht mehr benötigt (Exchange? was war da?, was ist mit den FSMO-Roles?) dann schalte fahre ihn ihn ab. Falls dann weiterhin alles sicher funktioniert, dann entferne die Relikte aus der Domäne mit ntdsutil.

 

Ich habs das Entfernen auch schon per GUI gemacht, kann das aber nicht schriftlich hier im Einzelnen erläutern. Mit Google müsste die Vorgehensweise aber vielfach auffindbar sein, im MS Technet z.B.


Vielleicht is das aber nicht nötig. Wurde schon einmal googled domain controller tombstone lifetime exceeded


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#15 stonson25

stonson25

    Senior Member

  • 653 Beiträge

 

Geschrieben 06. Juli 2017 - 12:38

Hallo, ja der Server wird nicht mehr benötigt.

Die FSMO's sind auf einem anderen Standort.

Server ist runtergefahren. Der Exchange brauchte nur einen Neustart damit er es checkte.

Halte euch am Laufenden.

Vielen Dank und LG