powlmowl

Ok, ich denke ich habs hier. AD war korrekt konfiguriert; aber es fehlten ein paar Port-Freigaben. Nach Freigabe der TCP-Port-Range 49668 - 49675 läuft es jetzt. (bzw. es läuft, auch wenn der DC1 ausgeschaltet ist).

Hierzu gibts ist keine GPO hinterlegt. Die Clients erhalten die DNS-Server-IPs per DHCP. (Und sie sind auch korrekt gesetzt, DC3 und DC4 werden eingetragen). Sorry, muss meine Grundsatzfrage nochmal stellen: Im Normalfall sollte doch jeder der 3 DCs hier (temporär) ausfallen bzw. vom Netz getrennt werden können, richtig? Vor allem bei einem nicht-Master-DC. Da es nicht geht, bzw. es Fehler erzeugt, zögere ich, den DC1 einfach runterzustufen und zu entfernen.

Habe mal einen Screenshot gemacht; hoffe es ist was du meinst. Die Einträge zeigen auf unsere internen Nameserver und sind im DC3, DC4 identisch; im (zu entfernenden) DC1 gibt es nur den Eintrag mit 193.197.132.23.

Danke für eure Antworten bzw. Rückfragen. Alle 3 DCs sind Globaler Katalog. dcdiag auf DC3 und DC4 ausgeführt: Alle Tests "passed" außer: Starting test: DFSREvent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. Dies liegt vmtl an den Fehlerevents aus meinem Test von gestern Abend (DC1 Stecker gezogen + gpupdate /force auf dem Client; siehe letzter Post). Im DNS-Manager unter GlobalNames, Forward Lookup Zones/<domainname>/_tcp usw. befinden sich nur Einträge für DC3, DC4 und DC1 (der zu entfernende DC). Keine Einträge zu DC2 (meines Wissens wurde er bereits von meinem Vorgänger herabgestuft und aus dem AD genommen). über ipconfig/all: DC3 hat als DNS-Server den DC4 und sich selbst. DC4 hat als DNS-Server den DC3 und sich selbst. DC1 hat als DNS-Server den DC3 und DC4. Active Directory Users and Computers: Tatsächlich ist noch ein Eintrag für DC2 in einer OU zu finden, unter "Domain Controllers" sind aber nur DC3, DC4, DC1 (der zu entfernende DC). Auch unter "AD Sites and Services" sind nur DC3, DC4, DC1 eingetragen. - Entschuldige, das ist der Originalname von DC1, in diesem Thread habe ich die DC-Namen vereinfacht. - Ergebis auf DC3 und DC4: NETLOGON C:\Windows\SYSVOL\sysvol\<domainname>\SCRIPTS SYSVOL C:\Windows\SYSVOL\sysvol Logon server share Ja, das ist alles vorhanden, Änderungen werden umgehend repliziert.

Danke für die Antworten bzw. Rückfragen. Die Clients haben als DNS den DC3 sowie DC4 eingetragen. Es gibt keinen Eintrag, der auf den (abzuschaltenden) DC1 verweist. Als DC wird entweder DC1, DC3 oder DC4 ausgewählt (z.B. nach Neustart) Ich kann ja auch manuell wechseln: nltest /Server:<Clientname> /SC_RESET:<Domainname>\<DomainControllername> Zum testen wähle ich diesmal den DC3 (DC mit FSMO-Roles) Sorry, genau das war gemeint. Es sieht aus, als wäre der DC2 herabgestuft, sauber entfernt und abgeschaltet worden. Zumindest habe ich noch keine Einträge oder Fehler entdecken können. Vom DC1 wurden wie erwähnt alle FSMO-Rollen auf den DC3 umgezogen. Das Ziel für DC1 ist ebenfalls Herabstufung, Löschung und Abschaltung. Eine Grundsatzfrage zur Bestätigung: Es sollte ja grundsätzlich möglich sein einen DC, der keine FSMO-Rollen hält, einzeln temporär vom Netz zu nehmen (=Stecker ziehen) ohne Loginfehler etc. zu erhalten, richtig? Dafür haben wir ja mehrere DCs (Ausfallsicherheit). Da es in meinem Fall nicht geht, traue ich micht nicht, einfach zu demoten. Irgendeine Abhängigkeit scheint es ja noch zu geben, diese möchte ich vorher auflösen. Test-ADDSDomainControllerUninstallation gibts ja leider noch nicht unter Server 2008 R2 Test: -->Im Client wurde der DC3 als Domaincontroller ausgewählt (siehe cmd oben) -->Testweise den Stecker an DC1 gezogen und gpupdate /force auf einem Client ausgeführt. Event-Log im Client: Fehler 1053: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden [...] Fehler 1055: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden [...] Event-Log im DC4 und DC3 Fehler 5008 The DFS Replication service failed to communicate with partner FRMPDC21 DC1 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server. Partner DNS Address: DC1.<domänenname> Optional data if available: Partner WINS Address: DC1 Partner IP Address: ....67 The service will retry the connection periodically. Additional Information: Error: 1722 (The RPC server is unavailable.) Connection ID: 717A4AB4-EE7F-41D0-9B47-D078C662169B Replication Group ID: 9605C26C-67F6-4E78-960A-347270E54B80 Event-Log im DC1: (während vom Netz getrennt) Fehler 5008 (DC3 und DC4 nicht gefunden)

Hallo zusammen und danke für die Aufnahme :) Habe ein schönes Problem von meinem Vorgänger geerbt und komme seit Tagen nicht weiter. TL;DR: Wenn ich den dritten DC (keine FSMO-Rollen) temporär vom Netz nehme, gibts Probleme mit Logins (langsam) und GPO-Verteilung (geht gar nicht). Hab hier eine Domäne mit einer einzelnen Site: Es gab zwei DCs (DC1 und DC2), Win Server 2008 R2. Diese sollten vom Netz. --> Es wurden zwei neue DCs in betrieb genommen (DC3 und DC4, MS Server 2019), alle FSMO-Rollen wurden von DC1 zu DC3 umgezogen (Schemamaster, Domänennamen-Master, PDC, RID-Pool-Manager, Infrastrukturmaster) --> DC2 wurde abgeschaltet, DC1 hat eine neue IP erhalten (.67) --> IPs der alten DCs wurden übernommen (DC1-->DC3, DC2-->DC4) --> Jetzt laufen DC3, DC4 und der alte DC1, der noch vom Netz soll --> alles funktioniert wie es soll, außer: Wenn ich den noch aktiven DC1 testweise temporär vom Netz trenne: (dies sollte ja gehen, DC3 und DC4 sind ja noch da) Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt: Bisher festgestellt: -Replication Status Tool (auf DC3) meldet keine Probleme -DC1 (der abzuschaltende DC) per LdapSrvPriority Eintrag ein höheres Gewicht geben (1 statt 0): DNS-Eintrag wird sofort korrekt repliziert: --> gleiches Verhalten auf dem Client (Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt:) -netlogon Service auf DC1(alter DC) temporär abschalten --> gleiches Feherverhalten -ipconfig /all: --> DNS auf dem Client hat als Einträge die IP des DC3 und DC4. DC3 hat als DNS DC4 und sich selbst eingetragen (im DC4 dementsprechend andersrum) Ich hoffe das Problem wurde klar Hat jemand einen Ansatz?