DCs replizieren nicht mehr

[Phantomias 10]

ich habe hier mal ein mittelschweres Problem.

 

Habe hier einen physikalischen W2k8 Std als DC und DNS konfiguriert stehen.

Zusätzlich habe ich jetzt einen virtuellen W2k8 Std installiert und als zusätzlichen DC mit eingebunden. Soweit hat alles wunderbar funktioniert.

Der virtuelle soll den physikalischen ablösen, weil der physikalische Server Hardwareseitig Probleme macht und muss ausgetauscht werden.

Seit gut 2 Tagen synchronisieren die beiden Server Ihr AD nicht mehr.

Folgendes habe ich in den letzten 2 Tagen gemacht:

DFS auf dem 2. DC mit Namenspace etc. eingerichtet

Userdaten und Profile vom ersten auf den zweiten Server verschoben und die Pfade im AD entsprechend angepasst, welche auch repliziert wurden.

Beim Umzug der FSMO Rollen gab es die ersten Fehlermeldungen, das der FSMO Inhaber nicht erreichbar war. Erfolgreich umziehen konnte ich die Rolle des PDC und Infrastruktur.

Nach einigen Recherchen habe ich festgestellt, das die Uhrzeit zwischen beiden Server sich um genau 27 Sekunden unterscheidet. Da ich schon mehrfach erlebt hatte, das es daurch zu Replikationsprobklemen kommen kann, habe ich dieses Problem behoben. beide Server haben eine sekundengenaue Uhrzeit. Repliziert - immer noch nicht.

Beide Server sind per DNS erreichbar. DNS ist auch soweit richtig konfiguriert.

Habe zuletzt mit ntdsutil auf dem Zielserver versucht mit transfer die Rollen zu "transferieren" es kamen auch keine Fehlermeldungen.

Aber, an den verschiedenen Konfigurationsfenster in der GUI sind die Einträge aber nicht geändert.

 

Leider weis ich nicht mehr weiter. habe bereits X Foren durchforstet, leider hat aber nix geholfen, mein Problem zu lösen.

 

Es macht den Anschein, als ob der erste Server die Kontrolle nicht abgeben will :cool:

 

Hat jemand ne Idee?

 

Tante Edith meint:

habe hier eine Fred gelesen, wo eine ähnlich Frage gestellt wird. Dies aber mein Problem nicht wirklich darstellt.

[NilsK 2.781]

Moin,

 

Off-Topic:

erstens heißt es "Ingrid" und zweitens "Thread". ;-)

 

Was sagt das Eventlog der Server? Was sagt dcdiag? Sprechen die beiden Server auf Netzwerkebene miteinander und mit der Außenwelt?

 

Gruß, Nils

[Phantomias 10]

Die Server können untereinander überallhin normal kommuniziere.

dcdiag meint lediglich, das schön länger keine Replierung stattgefunden hat.

Alles andere ohne Fehler.

Im Eventlog steht weiter, das er den Servernamen nicht auflösen kann.

mache ich ein nslookup auf den FQDN des Servers, wird das ordnungsgemäß aufgelöst.

[Phantomias 10]

Nach einem Neustart taucht nun folgender Fehler auf:

Event ID 4321 ? NBT Naming

Pinge den den zweiten Server mit NetBIOS Namen an, kommt asl Antwort:

Antwort von :::1: Zeit <1 ms

Sieht nach einer IPv6 Adresse aus. Aber woher kommt das?

Wir haben hier nirgendwo IPv6 aktiviert.

[Gruffy 10]

Hallo,

 

Pinge den den zweiten Server mit NetBIOS Namen an, kommt asl Antwort:

Antwort von :::1: Zeit <1 ms

Sieht nach einer IPv6 Adresse aus. Aber woher kommt das?

 

Schau mal unter IPv6 LAN Eigenschaften.

 

Was sagt denn nslookup ?

[Phantomias 10]

nslookup sagt alles in Ordnung.

IPv6 ist auf allen Adaptern deaktiviert, selbst auf den deaktivierten Adaptern.

Pinge ich von einem Client und auch vom ersten DC, bekomme ich das gewünschte Ergebnis.

[NilsK 2.781]

Moin,

 

dies hier schon durch?

 

Event ID 4321 Source NetBT

 

IPv6 in den NICs zu deaktivieren, schaltet das Protokoll übrigens nicht ab. Es entfernt nur die Bindung auf die NICs. Das führt dazu, dass Windows weiterhin IPv6-Vorgänge versucht, aber keinen NIC dafür findet. Es ist daher i.d.R. besser, IPv6 nicht zu "deaktivieren".

 

Die Adresse :::1 ist die lokale Loopback-Adresse.

 

Wie sind DNS und WINS eingerichtet?

 

Wir hatten neulich bei einem Kunden ein Netzwerkproblem mit einem 2008-DC unter VMware. Das verschwand, als wir den DC auf einen anderen ESX-Server verschoben. Da gab es also irgendein Problem innerhalb des ESX-Host.

 

Gruß, Nils

[Phantomias 10]

Werd den mal auf nen anderen Host verschieben.

Mal gucken was der sagt

[Phantomias 10]

Ok, da es nicht soviele Änderungen im AD gibt/gab, überlege ich es auf die "harte" Tour zu machen und einen Hardwareausfall simuliere. Ausser die 3 Rollen hat der erste DC keine wichtigen Dinge mehr online.

Ich denke nicht, das es daran liegt, das er bei einem Ping sich nur mit einer IPv6 Adresse findet.

 

Was meint Ihr?

 

http://www.qitcon.de/Publikationen/ActiveDirectory/USNRollback/tabid/121/Default.aspx

 

Dieses Szenario ist meinem Problem sehr ähnlich. Nur das ich den virtuellen nicht von einer physischen migriert hab, sonder neu aufgesetzt und eingebunden hab.

[RanCyyD 10]

Kannst ja zuerst nochmal mit DPROMO versuchen runterzustufen, vllt. rückt er dann die Rollen raus.

 

Wenn Du Dir ansonsten sicher bist, daß der andere DC vollkommen i.O. ist und alls bis auf die zwei Rollen hat (GC?), dann bei DAIM schauen zum Rollen seizen und alten DC mit ntdsutl entfernen.

[Phantomias 10]

Hab vorhin versucht, den ersten mit dcpromo zu entfernen.

Warum auch immer findet er den anderen DC nicht.

Mit ntdsutil kenn ich mich nicht so aus, deswegen hab ich da etwas respekt vor.

Aber OK. Ich werd mir ntdsutil zu gemüte führen und es auf die harte tour fahren. Da werd ich wohl ne Schicht am WE einlegen müssen :(

[RanCyyD 10]

Nö, das geht recht fix, Du mußt nur gut lesen, WAS Du machst!

 

Hier Schritt für Schritt:

 

Seizen:

Seizen

 

Alten DC entfernen:

Delete Failed DCs from Active Directory

 

Oder bei DAIM:

 

Die FSMO-Rollen offline übernehmen

 

 

 

Das Übertragen der Betriebsmasterrollen funktioniert nur, wenn der ursprüngliche Rolleninhaber online ist. Falls jedoch der Rolleninhaber durch einen Hardwaredefekt dauerhaft ausgefallen ist, so können die Rollen nicht einfach auf einen anderen DC übertragen werden. Die Rollen müssen vielmehr von einem anderen DC übernommen werden. Da aber der ursprüngliche "defekte" Rolleninhaber von der Übernahme der Betriebsmasterrollen durch einen anderen DC nichts mitbekommt, kann es zu schwerwiegenden Problemen kommen, wenn der "defekte" Rolleninhaber repariert und erneut in Betrieb genommen wird. Wenn die FSMO-Rollen durch einen anderen DC übernommen wurden, darf der ursprüngliche Rolleninhaber nie mehr online gehen!

 

 

 

Sind stattdessen nur die Rollen PDC-Emulator oder Infrastrukturmaster ausgefallen und wurden diese inzwischen von einem anderen DC übernommen, so stellt die Wiederinbetriebnahme des ursprünglichen Rolleninhabers kein Problem dar. Nur der Rolleninhaber dieser beiden Rollen darf nach der Übernahme von einem anderen DC erneut online gehen. Wird der ursprüngliche Rolleninhaber wieder online gebracht, repliziert sich dieser mit seinen Replikationspartnern und erfährt dabei, dass die Rollen mittlerweile von einem anderen DC ausgeführt werden. Die Änderung wird vom DC übernommen und er führt die beiden Rollen nicht mehr aus.

 

 

 

Ist der Träger der FSMO-Rollen nur für eine absehbare kurze Zeit offline, so ist es nicht notwendig das die Rollen auf einen anderen DC übertragen oder von einem anderen DC übernommen werden.

 

Die FSMO-Rollen können alle bis auf den RID-Master über die grafische Oberfläche oder mit NTDSUTIL übernommen werden. Der RID-Master muss zwingend in der Kommandozeile mit NTDSUTIL übernommen werden. Die Übernahme der Betriebsmasterrollen mit NTDSUTIL ist seit Windows 2000 folgendermaßen möglich:

 

1. Auf einem DC muss zuerst unter "Start-Ausführen" oder in einer Eingabeaufforderung (Start-Ausführen-CMD) das NTDSUTIL aufgerufen werden.

 

2. Als nächstes wechselt man mit ROLES zur fsmo maintenance Ebene.

 

3. Dann muss der Befehl Connections eingegeben werden.

 

4. Mit dem Befehl Connect to Server <Servername>, gilt es den zukünftigen Rolleninhaber zu fokussieren.

 

5. In der „server connections“ Ebene muss man mit "quit" oder „q“ erneut zur „fsmo maintenance“ Ebene wechseln.

 

6. Die Übernahme der gewünschten FSMO-Rollen auf den fokussierten DC, kann mit den folgenden Befehlen erfolgen:

 

Seize schema master

Seize domain naming master (gilt bis einschließlich Windows Server 2003!)

Seize naming master (gilt ab Windows Server 2008!)

Seize RID master

Seize PDC

Seize Infrastructure master

 

 

Nach der Ausführung dieser Befehle wird trotzdem zuerst versucht, die Rollen "online" zu übertragen. Daher erscheint zwar in der Kommandozeile eine irreführende Meldung, doch letztenendes werden die Rollen dann doch von einem anderen DC übernommen. Die Meldung in der Kommandozeile sollte "nur" sorgfältig gelesen werden.

 

7. Die jeweils folgende Abfrage ist mit einem Klick auf OK zu bestätigen.

 

LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

[Phantomias 10]

Genau diese Schritte hatte ich gemacht, wo ich geschrieben habe, das ich das mit ntdsutil versucht hatte. Es ist auch alles ohne Fehler durchgelaufen.

Aber dennoch ohne Erfolg. AD ist schon komisch :p

Aber OK. Ich werd den ersten Abschalten und das mit seize nochmal machen.

[RanCyyD 10]

Hast Du jetzt einen Transfer angestossen oder einen Seize???

[NilsK 2.781]

Moin,

 

Es ist auch alles ohne Fehler durchgelaufen.

Aber dennoch ohne Erfolg.

 

was heißt das genau?

 

Gruß, Nils