Jump to content

Probleme mit Betriebsmaster übertragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe eine Domäne mit einem W2k SP4 und einem W2k3 SP1. Beide sind Domänecontroller. Der W2k war/ist der Master. Er hatte einen Defekt und wurde durch mich wieder zum leben erweckt. Danch lief alles super. Mein Chef wollte aber, daß jetzt der W2k3 die Masterfunktion übernimmt, da der W2k sowieso irgendwann mal abgelöst werden soll.

Also bin ich nach Active Directory Benutzer und Computer und habe die 3 Rollen RID, PDC und Infrastruktur zum W2k3 übertragen. RID und Infrastruktur gingen ohne Probleme. Bei PDC hat er rumgemeckert, daß der W2k3 nicht verfügbar wäre. Hab das dann erstmal gelassen und wollte die Replikation abwarten. Jetzt ist aber der Zustand, daß beim W2k3 bei Betriebsmaster "Fehler" steht - bei allen 3 Rollen - und beim W2k das der W2k3 offline wäre. Die daraus resultierenden Probleme für die User sind mir erstmal egal, solange ich das AD erst mal wieder funktional habe.

In den bisherigen Themen habe ich immer nur was gefunden, wie man die Rollen manuell übertragen kann, wenn ein defekter Server nie wieder kommt. Er soll aber halt noch mindestens ein halbes Jahr laufen.

Kann mir vielleicht jemand eine Tipp geben, wie ich das hinbekomme? Wenn möglich sollte halt der W2k3 gleich der neue Master werden, was aber nicht so wichtig wäre, wenn wieder alles funktioniert.

 

Jens

Link zu diesem Kommentar

Hi,

 

ich habe ein dcdiag auf dem W2k3 gemacht. Es kommt immer die Fehlermeldung:

"Der Zielprinzipalname ist falsch." und außerdem:

Starting test: KnowsOfRoleHolders

Role Schema Owner = CN=NTDS Settings,CN=W2K,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=local

Warning: W2K is the Schema Owner, but is not responding to DS RPC Bind.

[W2K] LDAP bind failed with error 8341,

Ein Verzeichnisdienstfehler ist aufgetreten..

Warning: W2K is the Schema Owner, but is not responding to LDAP Bind.

Role Domain Owner = CN=NTDS Settings,CN=W2K,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=local

Warning: W2K is the Domain Owner, but is not responding to DS RPC Bind.

Warning: W2K is the Domain Owner, but is not responding to LDAP Bind.

Role PDC Owner = CN=NTDS Settings,CN=W2K,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=local

Warning: W2K is the PDC Owner, but is not responding to DS RPC Bind.

Warning: W2K is the PDC Owner, but is not responding to LDAP Bind.

Role Rid Owner = CN=NTDS Settings,CN=W2K,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=local

Warning: W2K is the Rid Owner, but is not responding to DS RPC Bind.

Warning: W2K is the Rid Owner, but is not responding to LDAP Bind.

Role Infrastructure Update Owner = CN=NTDS Settings,CN=W2K,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=local

Warning: W2K is the Infrastructure Update Owner, but is not responding to DS RPC Bind.

Warning: W2K is the Infrastructure Update Owner, but is not responding to LDAP Bind.

 

und noch

Starting test: FsmoCheck

GC Name: \\w2k3.domaene.local

Locator Flags: 0xe00001bc

Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

A Primary Domain Controller could not be located.

The server holding the PDC role is down.

Time Server Name: \\w2k-domaene-dc.domaene.local

Locator Flags: 0xe00001fc

Preferred Time Server Name: \\w2k-domaene-dc.domaene.local

Locator Flags: 0xe00001fc

KDC Name: \\w2k3.domaene.local

Locator Flags: 0xe00001bc

......................... domaene.local failed test FsmoCheck

Alle Tests anderen waren wohl ok. Ich kann das Protokoll auch mal vollständig posten, wenn ich weiß, wie hier mehr Zeichen angezeigt werden können.

 

In den Eieignisprotokollen gibt es Repilaktionsfehler. Auf dem W2k3 zusätzlich noch Fehler im System von Quelle "Kerberos": Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "W2K$" empfangen. Der verwendete Zielname war ldap/ed5af5a9-7c4c-4dcd-96e5-28dec9fabaaa._msdcs.domaene.local. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (DOMAENE.LOCAL) und dem Clientbereich. Wenden Sie sich an den Systemadministrator.

Und im Anwendungsprotokoll von Quelle "Userenv":

Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

 

Hast Du eine Idee für mich?

 

Jens

Link zu diesem Kommentar

Ich kann das von der Ferne aus schlecht beurteilen, vor allem, wenn ich direkt davor sitze, geht auch alles viel intuitiver. Aber sei's drum, adhoc fällt mir ein, als erstes versuchen, den Secure Channel zu resetten: How to use Netdom.exe to reset machine account passwords of a Windows Server 2003 domain controller

 

Wenn das nicht klappt, dann würde ich für meine Person den W2k mit dcpromo /forceremoval zum Alleinstehenden Server demoten, die Leiche sauber aus dem AD auf dem 2k3 entfernen und neu zum DC machen.

 

 

grizzly999

Link zu diesem Kommentar

Hi,

 

danke schon mal für Deine Hilfe!

Ich werde das mal mit dem netdom versuchen. Sollte das nicht klappen bloß noch einmal eine Frage.

Du schreibst, daß Du dann den W2k herabstufen würdest. Der meint, daß der W2k3 Betriebsmaster sei. Beim W2k3 steht dort aber Fehler. Kann es denn dann nicht sein, daß der W2k3 immer noch nicht weiß, daß er jetzt der Chef ist oder wird das durch "/forceremoval" "hart" erreicht?

 

Jens

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...