SADMSG 0 Geschrieben 25. Januar 2020 Melden Teilen Geschrieben 25. Januar 2020 Servus alle, bin hier gerade am Verzweifeln. Aber evtl. kennt hier jemand noch einen Trick. Also wirklich kurz die Situation:: DC wurde, nach rumgepfusche, aus einem Snapshot aus einer vSphere VM wiederhergestellt. -> Danach gab es mehrere Fehler. Zweiter DC wurde dann "gewaltsam" aus der Domain entfernt. Was da genau "gebastelt" wurde entzieht sich leider meiner Kenntnis. Deswegen mach ich das mal so kurz... alles andere ist Spekulation. Ach ja... irgendwie wurde das "basteln" wegen Umstellung von FRS auf DFSR angefangen. ... das alles auf zwei Server 2012 R2.... So. Nun sollte ich dieses Szenario wieder hinbiegen... im wahrsten Sinne... Und ich bin soweit das der erste Domaincontroller wieder läuft. Benutzer können sich anmelden, Laufwerke sind da, DNS läuft, FSMO rollen sind alle gut, neue SYSVOL_DFSR und alle DCDIAG Tests, (z.B. auch DCDIAG /TEST:DNS) usw. gibt alles keine Fehler aus. So... nun sollte wieder der zweite DC in die Domain aufgenommen werden... Rolle installiert... alles durchklicken... und dann kommt die Prüfung die mit diesem Fehler abschmiert: FEHLER BEI DER ÜBERPRÜFUNG DER AUSGEHENDEN REPLIKATION. FEHLER BEIM LESEN DER NTDS-EINSTELLUNGEN AUF DEM REPLIKATIONSQUELLEN-DOMÄNENCONTROLLER "DC1.DOMAIN.LOCAL". (Name geändert) FÜR DEN ANGEGEBENEN ACTIVE DIRECTORY-DOMÄNENCONTROLLER WURDEN KEINE DOMÄNENCONTROLLERDATEN GEFUNDEN. Ja dann mal NTDS usw. prüfen, DCDIAG, DNS durchchecken, FSMO prüfen, schreibbereitschaft des DC's gechckt usw. usw. usw. Ja und natürlich habe ich den lieben Google schon mehrmals bemüht... aber alles was irgwendwie mit dieser Meldung im Netz steht... ist hier nicht der Fall. Ach ja... der "neue" DC kann ohne Probleme in die Domäne als Mitgliedsserver aufgenommen werden... nur Hochstufen geht nicht. Was mit aufgefallen ist was nicht normal ist: In dem Gruppenrichtlinieneditor unter Domänen -> Domäne auswählen kann man den Domänencontroller ändnern... hier sollte mal mindestens "er" selbst drin stehen... tut aber nicht Wenn man "Jetzt ermitteln" klickt kommt der Fehler: Verarbeitungsfehler beim Sammeln von Daten mit diesem Basisdomänencontroller. Ändern Sie den Basisdomänencontroller, und wiederholen Sie den Vorgang. Das Tool AD Replication Status gibt an das es ein "orphaned nTDSDSA Object" gibt welches witzigerweise der Primäre DC selbst sein soll.... was für mich mal keinen Sinn gibt. Im Active Directory Verwaltungscenter unter "Domain Controllers" kommt beim Abrufen der Eigenschaften des DC's folgende Meldung: ES WURDE KEIN VERZEICHNISSERVER MIT FELGENDE IDENTITÄT GEFUNDEN: "CN=DC1,OU=DOMAIN CONTROLLERS,DC=DOMAIN,DC=LOCAL". Im "Active Directory und Benutzer" kann ich aber die Eigenschaften ohne Probleme abrufen... Des weiteren kann ich keinen RODC erstellen... hier kommt dann ein Fehler der besagt das er unter der OU=Domain Controllers einen Fehler 5 (Zugriff verweigert) generiert. Hab auch schon mal versucht die Rolle des AD zu entfernen und dann neu zu installieren... dann klappts auch wieder... Ach ja.. hab die Maschine aktuell hier bei mit Zuhause aus einem VEEAM Backup von der VMWare in einen Hyper-V konvertiert... Also kann ich aktuell mit der Maschine machen was ich möchte... also bin ich auch für die "bösesten" Aktionen gerüstet. Gruß Manu Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 25. Januar 2020 Melden Teilen Geschrieben 25. Januar 2020 Ist der jetzt laufende DC auch der FSMO-Holder aller Rollen? (PDC vor allem...) Wenn nein: ntdsutil seize.... Zitieren Link zu diesem Kommentar
SADMSG 0 Geschrieben 25. Januar 2020 Autor Melden Teilen Geschrieben 25. Januar 2020 (bearbeitet) Servus, und danke für die schnelle Antwort... Habe ich geprüft: Alle Einträge stehen auf DC1.DOMAIN.LOCAL also Infrastruktur-, Schema- und Domänennamen-Master, der PDC und der RID-Pool... SEIZE hab ich aber auch schon versucht... klappt auch alles... aber sieht genau so aus wie vorher... und verhält sich auch genau so.. und ich muss noch erwähnen was alles auf diesem funktionierenden Server läuft: AD, DNS, DHCP ... und im Servermanager alles grün ! Auch wenn die Maschine neu gestartet wird... gibt es keine Fehler im Ereignisprotokoll ! ... und ja... Firewall hab ich geprüft und auch schon komplett abgeschaltet.... Mir sieht das so aus als wenn dem Irgend ein Eintrag AD Directory fehlt.... Gruß Manu bearbeitet 26. Januar 2020 von SADMSG Zitieren Link zu diesem Kommentar
v-rtc 81 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 Moin, blöde Frage... stehen die alten DCs noch irgendwo drin (adsi)? Zitieren Link zu diesem Kommentar
SADMSG 0 Geschrieben 26. Januar 2020 Autor Melden Teilen Geschrieben 26. Januar 2020 Servus, auch danke für die Antwort.. und Nein. Der zweite DC wurde nach der Wiederherstellung nicht mehr Repliziert usw. Wobei ich hier nicht weiß was da genau gemacht worden ist. Fakt ist das dieser DNS Technisch, per METADATA CLEANUP usw. für den Aktuellen DC sicher nicht mehr existiert. Ob der 2te Server nun nicht mehr ging nachdem die das DFR zu DFSR migirert haben... ob er davor schon nicht mehr richtig lief... oder erst wieder nach der Snapshot wiederherstellung... Das kann ich leider nicht genau sagen... Ggf. Kennt ihr das ja: WAS GENAU HABT IHR DA GEMACHT ?? WÄRE WICHTIG ?!?!? Antwort: JA NIX ! ... Deswegen wende ich mich ja hier an euch... vielleicht ist ja hier einer der dieses Seltsame verhalten erklären kann. Würde ich diese Domain prüfen... und eben keinen zweiten DC hinzufügen müssen... würde ich mit den Standardbordmitteln von MS sagen: ALLES SUPER. Ich will aber per se nicht ausschließen den Wald vor lauter Bäumen nicht mehr zu sehen! Deswegen bin ich für jeden Tipp dankbar. Gruß Manu Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 Falls überlesen schon mal sorry. Der DC ist authoritiv? Zitieren Link zu diesem Kommentar
SADMSG 0 Geschrieben 26. Januar 2020 Autor Melden Teilen Geschrieben 26. Januar 2020 Auch danke für die Antwort... aber was genau meinst du damit ? Die Wiederherstellung ? Gruß Manu Zitieren Link zu diesem Kommentar
v-rtc 81 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 (bearbeitet) 3 hours ago, SADMSG said: Servus, auch danke für die Antwort.. und Nein. Der zweite DC wurde nach der Wiederherstellung nicht mehr Repliziert usw. Wobei ich hier nicht weiß was da genau gemacht worden ist. Fakt ist das dieser DNS Technisch, per METADATA CLEANUP usw. für den Aktuellen DC sicher nicht mehr existiert. Ob der 2te Server nun nicht mehr ging nachdem die das DFR zu DFSR migirert haben... ob er davor schon nicht mehr richtig lief... oder erst wieder nach der Snapshot wiederherstellung... Das kann ich leider nicht genau sagen... Ggf. Kennt ihr das ja: WAS GENAU HABT IHR DA GEMACHT ?? WÄRE WICHTIG ?!?!? Antwort: JA NIX ! ... Deswegen wende ich mich ja hier an euch... vielleicht ist ja hier einer der dieses Seltsame verhalten erklären kann. Würde ich diese Domain prüfen... und eben keinen zweiten DC hinzufügen müssen... würde ich mit den Standardbordmitteln von MS sagen: ALLES SUPER. Ich will aber per se nicht ausschließen den Wald vor lauter Bäumen nicht mehr zu sehen! Deswegen bin ich für jeden Tipp dankbar. Gruß Manu Schreibt die DFSR Migration kein Log bzw im Eventlog... Vielleicht findet man da einen Anhaltspunkt? wir haben vor paar Monaten ebenfalls Sysvol migriert, hatten keine Probleme. bearbeitet 26. Januar 2020 von v-rtc Edit Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 Dann geht's jetzt wohl ans eingemachte... ICH würde jetzt einen Test-DC aufsetzen (VM, isoliert) mit dem gleichen Namen und der gleichen Domäne. Und dann würde ich schauen, wo der sich überall verewigt im AD (ich hab da auch nicht alle Stellen im Kopf, vor allem die in der Config-Partition). Und das würde ich vergleichen mit dem produktiven. http://www.joeware.net/freetools/tools/adfind/ kann dabei hilfreich sein Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 (bearbeitet) vor 7 Stunden schrieb SADMSG: Auch danke für die Antwort... aber was genau meinst du damit ? Die Wiederherstellung ? Gruß Manu Ja, was passiert beim snapshot zurückholen? https://support.microsoft.com/en-sg/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-fo bearbeitet 26. Januar 2020 von mba Zitieren Link zu diesem Kommentar
SADMSG 0 Geschrieben 26. Januar 2020 Autor Melden Teilen Geschrieben 26. Januar 2020 Servus an alle die sich hier mit diesem Thema bemühen, also Original war es so: VMWare vSphere --> zwei VM's als DC --> ist alles gelaufen. Dann wurde irgendwas gemacht (DFSR Migration und sonstige Spielchen) --> funktionierte irgendwie nicht --> vom primären DC den Zustand "davor" per vSphere Snapshot wiederhergestellt. Dann funktioniert gar nix mehr --> ich werde nach unbekannten rumpfuschen kontaktiert zum reparieren. Gut... man arbeitet sich durch die Thematik durch --> der zweite DC ist nur als Sekundärer DC und DNS mit par Druckfreigaben konfiguriert --> also erst mal raus damit. Dann alles wieder so eingerichtet das es laufen sollte --> GPO's, FSMO-Rollen, DNS, verwaiste AD Objecte löschen, Replikation testen usw. --> dann war alles wieder gut. Datenbanken laufen, Benutzer können sich wieder anmelden, Netzlaufwerke sind da, DNS funktioniert usw. DANN sollte der zweite DC wieder eingerichtet werden --> dieser wurde im übrigen komplett neu installiert !! --> Rolle AD installieren --> in Domain Aufnehmen --> AD Rolle konfigurieren --> Bumm Fehler wie eingangs Beschrieben. Aktueller Stand ist das ich mir ein VEEAM Backup auf einer Externen Platte vom Kunden mitgenommen habe. Dieses Backup wurde dann zu VMDK extrahiert --> VMDK zu VHD konvertiert--> auf meinem 2016er Hyper-V eine Maschine erstellt und diese dann mit den 4 konvertierten Platten bestückt und gestartet --> System bootfähig gemacht --> fertig. So dann erst mal "alte" Netzkartenhardware entfernt damit ich keinen IP Konflikt bekomme und das Netz "virtuell" Nachgebaut. Nachdem der Server nun so läuft wie beim Kunden --> Snapshot gezogen. So. Ich kann also mit dem Ding aktuell machen was man will... ich kann immer wieder zu diesem Punkt zurückkehren... der Kunde kann arbeiten da ja das System an sich läuft! So @mba Danke für den Tip. Das hab ich auch schon durchgespielt --> keine Fehler. Replikation läuft --> wobei es ja auch aktuell keine Replikationspartner mehr gibt ! Und an @daabm : Ist vielleicht ne Idee.. das AD nebeneinander stellen. Aktuell würde ich gerne nen 2016ener oder 2019 Inplace Upgrade durchziehen... und schauen was dann mit dem AD passiert... Aber vielen Dank in jedem Fall an alle die sich hier mit dem Thema beschäftigen Gruß Manu Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 Moin, Der Beschreibung nach ist ein USN-Rollback aufgetreten und von den DCs bemerkt worden. Die schalten die Replikation dann ab. Die Behauptung, die Replikation würde wieder funktionieren, lässt sich zumindest anzweifeln: wenn es nur einen DC gibt, kann man das gar nicht feststellen. Es kann also gut sein, dass die Replikation immer noch aus ist. Ich würde jetzt systematisch vorgehen und nicht einfach wilde Dinge ausprobieren. Gruß, Nils Zitieren Link zu diesem Kommentar
SADMSG 0 Geschrieben 27. Januar 2020 Autor Melden Teilen Geschrieben 27. Januar 2020 Hallo NilsK, danke für die Antwort... und ja das ist soweit korrekt. Deswegen habe ich ja auch geschrieben das es ja aktuell keinen Replikationspartner gibt.... Aber was wäre hier nun Ihr Verdacht ? .. insbesondere wenn ich keine Fehler bekomme an denen ich ansetzen könnte... Gruß Manu Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 27. Januar 2020 Melden Teilen Geschrieben 27. Januar 2020 Moin, mein Verdacht ist, dass auf dem "ersten", also derzeit wohl einzigen DC die Replikation abgeschaltet ist. Dann kann ein zusätzlicher DC auch nichts replizieren. Genaueres lässt sich aus meiner Sicht nicht sagen, weil ich große Teile des Threads im Detail nicht verstehe (sehr viele Dreifachpunkte, Ausrufezeichen und Großbuchstaben, aber wenig strukturierte Information). Allerdings scheint mir hier so viel vergurkt zu sein, dass ich - wäre ich in deiner Situation - nicht mit Forensupport weitermachen würde. Ich riefe mir jetzt einen Berater vor Ort, der sich mit der Materie auskennt und systematisch und in Ruhe die Fehlerbehebung durchführt. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.