Jump to content

dcpromo nach tombstonezeit?

guybrush

Von guybrush
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

guybrush Veteran

guybrush   19

Geschrieben
Geschrieben

hi,

 

ich habe einen alten 2k-dc in der domäne, den ich ausmustern wollte (macht schon hardwaremacken usw...). weil ich in meiner verteilten umgebung nicht gleich den dc

demoten wollte, hab ich mir gedacht, ich schalt ihn einfach ab, wenn dann was nicht

mehr geht, kann ich ihn ja wieder anschalten. die ntfrs-meldungen hab ich einfach ignoriert, weil ich ja weiss, wieso die kommen.

 

das ging nun eine ganze weile gut (sicher ein paar monate), ich wollte den dc dann,

wenn ich ein wenig luft habe, endgültig wegtun. nun lief darauf unsere alte buchhaltung,

auf die ab und an zugegriffen wird. so auch gestern.

 

ich hab den dc nun wieder gestartet, in der annahme, dass er dann einfach wieder

replizieren würde und alles wieder fein ist. dem war aber nicht so, da im eventlog des noch

aktiven dc´s die meldung kommt, dass die tombstonezeit überschritten ist. ich könne den dc demoten (als eine von 3 optionen).

 

nun zu meiner frage: kann ich das gerät so einfach, ohne mit problemem zu rechnen, demoten?

 

es ist eine gemischte 2k3er domäne, die ich anschließend dann hochstufen würde in den einheitlichen moodus.

 

mfg

hannes

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Demoten kannst du ihn, ab SP4 auf jeden Fall mit dcpromo /forceremoval.

Allerdings ist er dann aus dem AD nicht raus. Da musst du ihn mit ntdsutil oder (finde ich besser aber mit Vorsicht vorgehen) nach einer Sicherung des AD mit ADSIEdit.msc raushauen. Vorgehen dazu steht für beide Vorgehen der Knowledge Base How to remove data in Active Directory after an unsuccessful domain controller demotion.

Aus dem DNS musst du ihn u.U. von Hand entfernen. Wenn er FSMOs hatte, müssen die gesized werden.

 

 

 

grizzly999

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Ich schätze, dass er zu einem normalen dcrpomo (rückwärts) nicht mehr in der Lage ist, weil er nicht mehr replizieren wird. man könnte das allerdings mit Workarounds hintrimmen (fraglich, ob der Aufwandlohnt, wenn er eh' raus soll).

Der /forceremoval, der erst ab SP4 zur verfügung steht, haut das AD auf jeden Fall runter, egal ob ein anderer DC erreichbar ist, oder nicht. Der Server ist dann danach aber auch aus der Domäne draussen.

 

grizzly999

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Buenos dias,

 

Demoten kannst du ihn, ab SP4 auf jeden Fall mit dcpromo /forceremoval.

 

als Ergänzung: Das geht bereits ab SP2 und einem Hotfix.

 

Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server

 

 

@ guybrush

 

und warum entfernt dcpromo die einträge im ad nicht beim demoten? er ist ja noch als dc gelistet, jedoch ist die letzte repl. schon zu lange her.

 

Aber genau das ist das Problem. Die letzte erfolgreiche Replikation ist bereits zu lange her.

Sein gegenüber (Replikationspartner) will vom veralteten DC nichts mehr wissen.

Demzufolge kann er seinen Austritt aus dem AD seinem Replikationspartner auch nicht mitteilen.

 

Ein DC muss sich mindestens einmal in der Tombstone Lifetime (TSL) mit seinem Replikationspartner replizieren.

 

Da die Replikation aufgezeichnet wird, blockiert ein DC seine eingehende Replikation, wenn er merkt,

dass sein Replikationspartner sich nicht einmal erfolgreich in der TSL repliziert hat. Dann vertraut ihm der gesunde DC

nicht mehr und um sich selbst zu schützen, blockiert er die eingehende Replikation vom veralteten DC.

 

Ordnungegemäß heißt hier etwa nicht das gesamte AD (alle Verzeichnispartitionen), sondern z.B. eine einzige Verzeichnispartition.

Bei der Replikation wird die letzte Replikation im AD aufgezeichnet. Diese bekommst du z.B. im Replmon angezeigt.

 

Man könnte aber trotzdem einen DC, auf dem die Tombstone Lifetime überschritten wurde, erneut in die Struktur wieder einbinden.

Das ist aber mit viel Arbeit und Nerven verbunden. Stichwort: Lingering Objects.

 

Daher kann ich grizzly nur zustimmen, da der DC ohnehin aus der Domäne soll, mache es auf die harte Tour ;) .

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Ah, wusste ich auch nicht. Musste ich das das letzte mal machen, als es erstmals nur mit SP4 ging. Wieder was gelernt ;)

 

grizzly999

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Also ich habe ntdustil.exe in so einer Situation bisher genau 2x benutzt, und zwar ohne Erfolg (beim zweiten mal , viel später, wollte ich es einfach noch mal wissen).

Ich habe ADIEDit.msc x-mal benutzt, und jedes mal war das einwandfrei. Es sind aber im Regelfall 3 Einträge, die man mit ADSIEdit weglöschen muss, 2 in der Domänenpartition und 1 in der Konfigurationspartition.

würde es genügen, die einträge des alten dc per adsiedit zu löschen?

also unter OU=Domain Controllers, unter CN=Sites?

Nein einmal fehlt hier noch, in der Domänenpartition unter

CN=System

CN=CN=File Replication Service

CN=CN=Domain System Volume

 

 

grizzly999

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hallo,

 

"ntdsutil" ist ab Windows Server 2003 SP1 meist besser geeignet als ADSIEdit, da es die von grizzly999 genannten zusätzlichen Einträge des zu entfernenden DCs unter "CN=File Replication Service" und "CN=Domain System Volume" gleich mit entfernt. Mittels ADSIEdit muß man dies manuell tun.

 

Aber wenn man es nicht vergißt, kann man natürlich auch ADSIEdit nutzen. Je nach dem, ob man Mausschubser ist oder nicht. :p

 

Viele Grüße

olc

Link zu diesem Kommentar
guybrush Veteran

guybrush   19

Geschrieben
  • Autor
Geschrieben

ich hab eine kombination aus beiden verwendet. erst ntdsutil zum entfernen des servers (lt. link von daim glaub ich hat seit 2003 sp1 ntdsutil eben die von olc genannten vorteile) und danach bin ich noch mit adsiedit.msc drübergegangen und hab die von mir genannten einträge + die von grizzly999 genannten gelöscht.

 

dann halt noch dns-einträge und ich glaub das wars dann. sollte eigentlich passt - es hat keine fehler gegeben und ist eigentlich recht komfortabel gelaufen...

 

seh ich eh, wenn morgen um 7.00 das handy läutet, weiss ich, dass was in die hose gegangen ist ;-)

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben
seh ich eh, wenn morgen um 7.00 das handy läutet, weiss ich, dass was in die hose gegangen ist ;-)

 

Das wird es nicht. Denn wenn du z.B. die Leiche aus dem AD nicht entfernen würdest, dann würde das Eventlog der DCs überlaufen,

weil sie ihren Replikationspartner nicht erreichen konnten. Der Benutzer bekommt davon nichts mit.

 

 

Edit: DHCP war nicht auf dem DC installiert? Falls doch, muss er noch aus der Liste der autorisierten DHCP-Server.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...