abra-x-as 10 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Hi zusammen, ich habe hier folgendes Problem: Ein zusätzlicher DC in einer Domäne wurde aus Kostengründen ~8Wochen abgeschalten. Der DC ist mit dem GC per VPN verbunden. Nach dem Start habe ich die Replikation abgewartet und versucht mich anzumelden. Geht nicht. Sie konnten nicht angemeldet werden. Überprüfen Sie ob Benutzername/Domäne und Passwort korrekt sind. Dann habe ich versucht vom GC auf den zus. DC zu replizieren, kommt der Fehler der RPC Server nicht verfügbar wäre - Wahrscheinlich wegen DNS Problem. Ein DNS Problem kann ich aber ausschließen. Starte ich den Server im abgesicherten Modus, kann ich mich lokal als Admin und Wiederherstellungspw anmelden. Auch eine Anmeldung über DFÜ (VPN zum GC) klappt nicht. Hat noch jemand eine Idee wie ich den DC wieder zum laufen bekomme ohne ihn neuzuinstallieren? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Salut, Ein zusätzlicher DC in einer Domäne wurde aus Kostengründen ~8Wochen abgeschalten. es kommt darauf an, wie lange exakt der DC ausgeschaltet war. Denn standardmäßig beträgt die Tombstone Lifetime (TSL) Bei einer Windows 2000, Windows Server 2003 sowie "Windows Server 2003 R2 mit SP1" 60 Tage. War der DC länger als 60 ausgeschaltet, hat er die TSL überschritten und kann sich erstmal nicht replizieren. Der zweite Schutzmechanismus den ein DC hat, ist die Registry-Einstellung "Strict Replication Consistency". Dazu müsste aber auch das Eventlog Fehler protokollieren. Aber abgesehen davon, kann man auch in solcher Situation die Replikation wieder zum laufen bekommen. Siehe dazu: Yusufs Directory Blog - Lingering Objects (veraltete Objekte) Der DC ist mit dem GC per VPN verbunden. Da hängt auch keine Firewall dazwischen, die evtl. etwas blocken könnte? Nach dem Start habe ich die Replikation abgewartet und versucht mich anzumelden. Geht nicht. Sie konnten nicht angemeldet werden. Überprüfen Sie ob Benutzername/Domäne und Passwort korrekt sind. Du kannst auch die Windows Support Tools installieren und die beiden Kommandozeilentools DCDIAG sowie NetDIAG ausführen. Danach bekommst du eine Übersicht, was genau Probleme bereitet. Ein DNS Problem kann ich aber ausschließen. Mit DCDIAG kannst du das auch nochmal verifizieren. Aber natürlich solltest du auch einen Blick in das Eventlog werfen. Gerade das DNS- sowie Verzeichnisdienstlog sind von Interesse. Starte ich den Server im abgesicherten Modus, kann ich mich lokal als Admin und Wiederherstellungspw anmelden. Klar, warum auch nicht? Du meldest dich zu diesem Zeitpunkt auch lokal an, denn in diesem Modus ist das AD offline. Zitieren Link zu diesem Kommentar
abra-x-as 10 Geschrieben 29. September 2008 Autor Melden Teilen Geschrieben 29. September 2008 Klar könnte ich Support Tools installieren und basteln wie ein ****er. Aber alles was ich machen möchte, muß ich im abgesicherten Modus als Administrator machen. Ich kann mich nicht mit einer domänenkennung anmelden. Ich werde deinen Blogeintrag aber mal genauer lesen, habe grade beim überfliegn interessante ansätze gefunden. Danke soweit. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Klar könnte ich Support Tools installieren und basteln wie ein ****er. Aber alles was ich machen möchte, muß ich im abgesicherten Modus als Administrator machen. Ahh.. ok. Aber trotzdem kannst du in diesem Modus auch einen Blick in das Eventlog werfen. Da sollten schon wertvolle Informationen enthalten sein. Ich kann mich nicht mit einer domänenkennung anmelden. Dann bringt das Ausführen der Tools auch nichts. Zitieren Link zu diesem Kommentar
abra-x-as 10 Geschrieben 29. September 2008 Autor Melden Teilen Geschrieben 29. September 2008 Dann bringt das Ausführen der Tools auch nichts. Eben das befürchte ich. Evtl bekomme ich aber so das AD gewaltsam vom Server. Dann kann ich es wenigstens neu aufsetzen. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 29. September 2008 Melden Teilen Geschrieben 29. September 2008 Eben das befürchte ich. Evtl bekomme ich aber so das AD gewaltsam vom Server. Dann kann ich es wenigstens neu aufsetzen. Na klar, gewaltsam entfernen kann man das AD lokal vom DC. Dazu musst du unter Start-Ausführen den Befehl DCPROMO /FORCEREMOVAL ausführen. Damit werden die AD-Daten lokal vom DC entfernt, aber NICHT aus dem AD. Das bedeutet, auf dem anderen DC in der Domäne (der online ist), musst du die Metadaten des AD noch bereinigen. Quasi die "Leiche" aus dem AD entfernen. Wie das funktioniert, erfährst du von hier: Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen Nach dieser Aktion, befindet sich der Server dann in einer Arbeitsgruppe. Zitieren Link zu diesem Kommentar
abra-x-as 10 Geschrieben 29. September 2008 Autor Melden Teilen Geschrieben 29. September 2008 Alles klar, danke dir. Ich werde berichten wie es gelaufen ist. ;) Zitieren Link zu diesem Kommentar
abra-x-as 10 Geschrieben 30. September 2008 Autor Melden Teilen Geschrieben 30. September 2008 So, Update: Fürs Protokoll: DCPROMO /FORCEREMOVAL im abgesicherten Modus funktioniert nicht. Quitiert mit der Fehlermeldung das man im normalen Modus neustarten soll und es noch einmal probieren. Das fällt für mich aber flach, da ich mich ja wie gesagt nur als lokaler Admin im abgesicherten Modus anmelden kann. Die Schritte in Daims Blog funktionieren auch nicht. Leider. Die nächste Überlegung von mir ist: Im abgesicherten Modus einen "echten" lokalen Administrator zu erstellen, den Rechner neustarten und dann als dieser Admin das DCPROMO /FORCEREMOVAL ausführe. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 30. September 2008 Melden Teilen Geschrieben 30. September 2008 Fürs Protokoll: DCPROMO /FORCEREMOVAL im abgesicherten Modus funktioniert nicht. Quitiert mit der Fehlermeldung das man im normalen Modus neustarten soll und es noch einmal probieren. Aujaa... das steht auch in dem letzten verlinkten Artikel drin. Die erzwungene Herabstufung im Modus "Verzeichnisdienste wiederherstellen" ist nur unter Windows Server 2008 möglich und nicht unter Windows 2000 sowie Windows Server 2003. Ich vergaß, dass du dich nur im DSRM anmelden kannst. Die nächste Überlegung von mir ist: Im abgesicherten Modus einen "echten" lokalen Administrator zu erstellen, den Rechner neustarten und dann als dieser Admin das DCPROMO /FORCEREMOVAL ausführe. Bringt überhaupt nichts, denn auf einem DC gibt es ausser dem DSRM-Admin keine weiteren lokalen Konten. Jetzt fürchte ich, hilft nur eine Neuinstallation. :( Zitieren Link zu diesem Kommentar
abra-x-as 10 Geschrieben 30. September 2008 Autor Melden Teilen Geschrieben 30. September 2008 Aujaa... das steht auch in dem letzten verlinkten Artikel drin. Die erzwungene Herabstufung im Modus "Verzeichnisdienste wiederherstellen" ist nur unter Windows Server 2008 möglich und nicht unter Windows 2000 sowie Windows Server 2003. Ich vergaß, dass du dich nur im DSRM anmelden kannst. Den Artikel hab ich nicht gelesen. Aber anhand deiner Screenshots hab ich so etwas in der Richtung schon vermutet. Bringt überhaupt nichts, denn auf einem DC gibt es ausser dem DSRM-Admin keine weiteren lokalen Konten.Jetzt fürchte ich, hilft nur eine Neuinstallation. Befürchte ich auch. Naja, Daten sichern die sonst noch so drauf sind und frisch ans Werk *seufz* Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 30. September 2008 Melden Teilen Geschrieben 30. September 2008 Den Artikel hab ich nicht gelesen. Na... also sowas. Lesen bildet doch. ;) Befürchte ich auch. Naja, Daten sichern die sonst noch so drauf sind und frisch ans Werk *seufz* Das wird am zielführendsten sein. Acht eben in der Zukunft, dass der DC sich einmal während der Tombstone Lifetime sich mit dem Replikationspartner repliziert und führe regelmäßig eine Systemstatussicherung durch. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.