AD Tombstone überschritten

[pastors 10]

Hallo,

muss nun bei unserer Firma in einer Abteilung aushelfen. Diese Abteilung hat einen AD Controller (inkl. DNS) am Hauptstandort und einer in einer Niederlassung. Beide Server basieren auf Server 2003 bei denen nachträglich das SP1 installiert wurde. Nachdem ich heute die Ereignisanzeige näher angesehen habe, sah ich das der AD Controller seit über 60 Tagen keine Verbindung mit dem anderen Domänen Controller hatte. Der am Hauptstandort lehnt nun jede Replikation mit diesem ab.

 

Meine Frage lautet nun ,was kann ich machen :)

Ich hätte nun den DC an der Niederlassung heruntergestuft und anschließend wieder hochgestuft. Da dies deutlich schneller geht als eine erzwungene Replikation die unter Umständen mit bereits gelöschten Objekten endet oder?

Würde ein runterstufen mit dcpromo funktionieren?

 

Mir ist halt wichtig das dem DC am Hauptstandort nichts passiert da dieser auf dem aktuellen Stand ist :)

[olc 18]

Hi pastors,

 

die sauberste Lösung ist meiner Meinung nach ein DCPROMO. Da Du kein normales Demoting mehr vornehmen kannst, würde ich so vorgehen:

 

1. DCPROMO /FORCEREMOVAL auf dem Niederlassungs-DC

2. Metadata Cleanup des Niederlassungs-DCs auf dem Haupt-DC, inkl. DNS Säuberung etc.

3. Erneutes DCPROMO des Zeigstellen-DCs

 

Dabei solltest Du beachten, daß Benutzer der Zweigstelle in dieser Zeit an einigen Stellen eventuell Probleme bekommen können, je nach Netzwerkverbindung. Daher würde ich den Vorgang außerhalb der Betriebszeiten durchführen.

 

Zusätzlich hast Du das Problem, daß Änderungen am Zweigstellen DC nun nicht mit dem DC der Zentrale mehr synchronisiert sind - und das betrifft nicht nur neue Benutzer oder Änderungen an Benutzer, Gruppen, Druckern etc. Vielmehr sind auch Computerkennwörter und Benutzerkennwörter auf den DCs unterschiedlich. Daher wird es mit Sicherheit zu Problemen in der Zweigstelle kommen, wenn Du den DC demotest.

 

Das solltest Du auf dem Schirm haben und ggf. Vorsichtsmaßnahmen treffen.

 

Ich gehe davon aus, daß alle FSMO Rollen auf dem Zentrale-DC liegen, korrekt? Andere Applikationen sind auf dem Niederlassungs-DC nicht installiert?

Am besten Du schraubst auch gleich die TombstoneLifetime auf 180 Tage hoch, damit Du zukünftig nicht mehr "so schnell" in Probleme läufst. Ein rudimentäres Monitoring hätte hier auch schon Wunder gewirkt. ;)

 

Viele Grüße

olc

[pastors 10]

Hallo olc,

die FSMO Rollen sind alle am Hauptstandort. Das ist schonmal gut so.

Die Internetverbindung zur Zweigstelle steht inzwischen wieder. Also sollte wenn ich den DC in der Niederlassung demote,werden mit Sicherheit einige Passwörter und Computerkonten Probleme entstehen. Auf der einen Seite muss ich es angehen. Das ist mein erster Tag in der Abteilung und ich sollte nur 4 Wochen aushelfen :\

 

Nun gut, für das metadata clean up fand ich diese Anleitung: http://www.microsoft.com/germany/technet/itsolutions/network/grundlagen/tec_comp_2_3_1.mspx#EVC

Denke das sollte soweit passen, welche Einträge müssen im DNS entfernt werden. Reicht es alle Einträge die den DC von der Niederlassung enthalten?

Der Niederlassungs DC war DC, DNS und DHCP Server. Unter Umständen muss ich die Autorisierung des DHCP neu machen, sollte aber hoffentlich kein Problem darstellen.

 

Falls noch jemand Quellen zu diesem Thema hat, bitte hier schreiben. Danke an alle :)

[Daim 12]

Huhuu,

 

Falls noch jemand Quellen zu diesem Thema hat, bitte hier schreiben.

 

das hatten wir heute auch hier:

 

http://www.mcseboard.de/windows-forum-allgemein-28/fehlerhafte-replizierung-156051.html

[morro 10]

hi,

Das könnte dir evtl helfen.

LDAP://Yusufs.Directory.Blog/ - Lingering Objects (veraltete Objekte)

 

LG

Edit:

 

oh da war ich zu langsam :)