Jump to content
kaineanung

Migration von SBS2003 auf W2K16-DC

Recommended Posts

Hallo Leute,

 

ich habe da mal wieder ein Problem:

ich habe die Aufgabe übertragen bekommen bei unserer (kleinen) Tochterfirma den SBS2003 abzuschaffen und auf neure Maschinen zu migrieren.

Ich habe ein vCenterm it 2 VMWare-Hosts aufgebaut und dort einen MS W2K16 Server installiert. Danach habe ich die Migration gemacht wie ich sie bereits vor 2 Monaten bei unserer Hauptfirma gemacht habe (dort allerdings nicht von einem SBS sondern 'normalen' uralten W2K3-Server).

Jetzt habe ich das Problem das ich auf AD (Benutzerverwaltung, Standorte und Dienste usw..) NICHT zugreifen kann wenn der SBS down ist (was er leider sehr häufig ist und der Grund warum wir migrieren).

Bei der Migration habe ich selbstverständlich auch den DNS-Server mit migriert und der neue Server hat in der Netzwerkeinstellung sich selber und den alten DC eingetragen.

Um sicher zu gehen habe ich ein Ubuntu-DNS-Server ins Netz aufgenommen, alle Zonen dort angebunden (Er ist ein SLAVE) und den neue DC statt auf den alten SBS eben an diesen DNS-technisch angebunden. Nichts hat geholfen.

 

Beim Versuch mich an die "Active Directory-Benutzer und -Computer" zu verbinden bekomme ich folgendes:

"Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden:

Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist."

 

Bei den anderen Verwaltungstools relativ gleiche Meldungen.

 

Einmal hatte ich eine andere Fehlermeldung die besagt daß er den globalen Katalog nicht finden kann (globaler Katalog solltedoch der neue DC aber auch sein oder nicht? Bei meiner letzten Migration von W2K3 nach W2K16 war das zumindest so.).

 

So, was kann ich tun um sicherzustellen das der DC auch ohne den SBS normal läuft (ich dachte das ist ja auch der Sinn von mehreren DCs.....)? Vorher traue ich mich ja gar nicht den SBS zu demoten.

 

 

Share this post


Link to post

Wer ist owner der FSMO Rollen?

 

Mit deinem DNS/deinen DNS Einstellungen scheint auch noch etwas im Argen zu sein.

Share this post


Link to post
vor 6 Minuten schrieb tesso:

Wer ist owner der FSMO Rollen?

 

Mit deinem DNS/deinen DNS Einstellungen scheint auch noch etwas im Argen zu sein.

Der FSMO-Owner ist der neue DC (habe die Rollen gleich nach dem Hinzufügen des neuen Servers gemacht).

 

dnslint.exe /ad IP-neuerDC /s IP-UbuntuDNS

-> waren noch Kleinigkeiten im Argen aber nach ein wenig 'aufräumen' in den Ubuntu-DNS-Zonen-Listen war dann alels komplett im grünen Bereich!

Und trotzdem funktioniert AD Verwaltung auf dem neuen DC ohne daß der alte gestartet ist nicht?

DNS ist in Ordnung...

 

Share this post


Link to post
vor 15 Minuten schrieb tesso:

Was gibt ein "netdom query fsmo „ aus?

Bei allen 5 Rollen:

 

NeuerServer.Domain.local

 

Was lustig ist: funktioniert nur wenn auch der alte Server online ist... ansonsten kommt die Meldung:

"Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden."

 

Also nochmals:

DNSLint /ad IP-NeuerServer /s IP-mittlerweile-einziger-DNS-Ubuntu

-> alles grün.

Domänendienste funktnioeren. Dieser DNS ist SOA usw.

 

FSMO-Rollen sind auf NeuerServer

 

Domäne und diese nedom query fsmo - Abfrage funktiniert aber nur wenn der alte SBS-Server online ist (der eben auch noch DC  und auch noch integrietes DNS ist was niemand nutzt ausser er selber)

 

 

Share this post


Link to post

ein AD Server ist immer auch DNS - mit den DNS von nicht-Windows gibt es immer Probleme in einem AD

Welche Rollen hält der neue AD denn sonst noch?

Zeige mal ipconfig /all | clip von beiden Servern

Wer macht DHCP?

Was für ein Router, IPv6 Konfig

Wenn der neue Server alle FSMO Rollen hat, musst du dich beeilen, der SBS holt die sich sonst zurück (Zeit habe ich nicht im Kopf..)

Share this post


Link to post

Nobbyausbb

 

Wie Recht du hast! Aber ich hatte eben die Probleme auch ohne diesen Linux-DNS und da dachtei ch ich wechsle zum Ubuntu-DNS welcher bene nicht in den DC integriert ist (so bei uns in der Firma und funktioniert problemlos -> hat aber gedauert bis alels eingestellt war).

Das war aber wohl zu voreilig.. und jetzt habe ich die Probleme...

 

ABER: ich schaue mir gerade das DNS-Protokoll auf der Linuxkiste durch und denke das ich vielleicht ein Schritt weitergekommen bin! Ich habe vergessen dem neuen DC die Berechtigung zu geben da reinzuschreiben. ABER: es murr eigentlich nichts mehr reinschreiben denn die Zoneneinträge wurden noch durch den Windows-DNS transferiert wo er bereits DC war und sogar Rolleninhaber aller FSMOs... aber schaune wir mal was jetzt passiert.....

Er startet gerade durch. Das dauert aber schon ewig (wie schon die ganze Zeit) und das ist kein gutes Zeichen...

Aber Schritt für Schritt. Dann schauen wir weiter ;)

 

DHCP IST noch der alte DC und der is offline... ABER: diese Firma wurde von einem externen 'Administrator' verwaltet und der hat überall fixe IPs vergeben... ist b***d für mich jetzt das ich überall hin muss um DHCP einzustellen aber für jetzt gerade im Moment ist es ein Vorteil da die Clients ja noch funktionieren....

 

vor 16 Minuten schrieb Nobbyaushb:

as für ein Router, IPv6 Konfig

Wenn der neue Server alle FSMO Rollen hat, musst du dich beeilen, der SBS holt die sich sonst zurück (Zeit habe ich nicht im Kopf..)

IP v6 ist zwar im DNS aktiviert, aber das nutzt hier niemand...

 

Wie meinst du der holt sich die FSMO-Rollen zurück? Wer hat ihm das erlaubt? Warum macht er das?

Share this post


Link to post

Der SBS will PDC sein. Der holt sich die Rollen nicht zurück, der fährt dann runter, wenn er nicht mehr PDC ist.

Share this post


Link to post
vor 10 Minuten schrieb daabm:

Der SBS will PDC sein. Der holt sich die Rollen nicht zurück, der fährt dann runter, wenn er nicht mehr PDC ist.

Oh shit. Dann ist das ein weiterer Grund warum der down ist!

Daß bedeutet: Ich muss schnell demoten (zuvor prüfen ob FSMO Rollen noch dort sind woe sie hingehören).

Der SBS muss ja kein DC und somit kein FSMO-Rolleninhaber, richtig? Fileserver ist noch nicht übertragen und der muss noch kurz dort verweilen...

 

Sobald der SBS morgen (hoffentlich) eingeschaltet ist, sollte ich ihn demoten...

ABER: ich habe RIESENSCHISS weil der Neue DC eben nicht alleine funktioniert..... :(((

 

Ich werde morgen noch einen weiteren DC W2K16 promoten und mal sehen ob der dann alles richtig macht...

Wenn ja: dann sofort SBS demoten. Wenn nein: Heillige sc***e...

 

Share this post


Link to post

Wenn der neue DC alleine nicht funktioniert, dann lass den SBS PDC sein - und siehe oben: Mach einen sauberen Plan und lass den gegenprüfen. Hektik ist hier kontraproduktiv.

Share this post


Link to post
vor 7 Minuten schrieb daabm:

Wenn der neue DC alleine nicht funktioniert, dann lass den SBS PDC sein - und siehe oben: Mach einen sauberen Plan und lass den gegenprüfen. Hektik ist hier kontraproduktiv.

Wahrscheinlich hast du Recht.

Problem bei der ganzen Sache ist: der SBS-Server verabschiedet sich regelmäßig auch als FSMO-Rolleninhaber.. nur nicht so häufig wie ich feststellen muss..

 

Share this post


Link to post

Dann hilft klassische Diagnose. Was genau bedeutet "verabschiedet"? Was steht im System- und Application-Eventlog?

Und noch mal: Du machst einen echt hektischen Eindruck. In der Ruhe liegt hier aber die Kraft - überstürzte Aktionen führen zu überstürzten Ergebnissen.

Share this post


Link to post

Hier die Fehlermeldungen des DCs (Wenn ich im Server-Manager "AD DS" offen habe unt dann unter "Ereigsnisse":

 

 

Warnung ID 2092 Quelle Microsoft-Windows-ActiveDirectory_DomainService:


Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. 
 
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. 
 
FSMO-Rolle: DC=Firma,DC=local 
 
Benutzeraktion: 
 
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 
2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 
3. In dem Ausnahmefall, dass alle Replikationspartner voraussichtlich offline sind (z. B. zu Wartungszwecken oder zur Notfallwiederherstellung), können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. 
 
Die folgenden Vorgänge werden eventuell beeinträchtigt: 
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. 
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. 
PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. 
RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. 
Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.

 

 

Fehler ID 1126 Quelle Microsoft-Windows-ActiveDirectory_DomainService:

Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. 
 
Zusätzliche Daten 
Fehlerwert:
1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 
Interne ID:
3201395 
 
Benutzeraktion 
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann.  Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.

 

Warnung ID 13508 Quelle: NtFrs:

 

Der Dateireplikationsdienst kann die Replikation von SERVER5 nach SRV-G-DC0 für c:\windows\sysvol\domain mit DNS-Namen server5.Firma.local nicht aktivieren. Es wird ein neuer Versuch gestartet. 
 Mögliche Ursachen für diese Warnung sind: 
 
 [1] Der DNS-Name server5.Firma.local von diesem Computer konnte nicht ausgewertet werden. 
 [2] Der Dateireplikationsdienst wird auf server5.Firma.local nicht ausgeführt. 
 [3] Die Topologieinformationen in den Active Directory-Domänendiensten dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. 
 
 Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde.

 

Warnung ID 1308 Quelle Microsoft-Windows-ActiveDirectory_DomainService:

 

Die Konsistenzüberprüfung (KCC) hat ermittelt, dass bei den fortlaufenden Versuchen, eine Replikationsverbindung mit dem folgenden Verzeichnisdienst herzustellen, immer wieder Fehler aufgetreten sind. 
 
Versuche:
10 
Verzeichnisdienst:
CN=NTDS Settings,CN=SERVER5,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=Firma,DC=local 
Zeitraum (Minuten):
382 
 
Das Verbindungsobjekt für diesen Verzeichnisdienst wird ignoriert, und eine neue temporäre Verbindung wird hergestellt, damit die Replikation fortgesetzt werden kann. Die temporäre Verbindung wird entfernt, sobald die Replikation mit diesem Verzeichnisdienst wieder aufgenommen wird. 
 
Zusätzliche Daten 
Fehlerwert:
1722 Der RPC-Server ist nicht verfügbar.

 

Dann noch ein paar AD Webdienste-Fehler und der DFSR Fehler

Fehler 1202 Quelle DFSR:

Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden. 
 
Weitere Informationen:  
Fehler: 160 (Ein oder mehrere Argumente sind ungültig.)

 

usw..

 

 

Der hat sich doch nicht korrekt Repliziert vom SBS wenn ich das so sehe?

Ich übertrage morgen, sobald der SBS wieder eingeschaltet wurde, die FSMO-Rollen zurück und werde den neuen DC demoten und neu aufsetzen und dann nochmals promoten.

Share this post


Link to post

Hm, schwierig. Wer ist SERVER5, wer ist SRV-G-DC0, von welchem Server sind die Events? So rein von den Meldungen her hast Du möglicherweise auch noch DNS-Probleme. Das meinte ich mit "Plan machen". Strukturiert vorgehen. Wenn es geschäftskritisch ist: HOL DIR JEMAND INS HAUS.

Edit sagt: "Ins Haus" geht notfalls auch remote per Teamviewer oder beliebiges anderes Produkt. Muß nicht "in persona" sein.

Edited by daabm

Share this post


Link to post

server5 -> alter SBS-Server

srv-g-dc0 -> neuer DC W2K16

 

Events sind vom neuen DC da der SBS ja momentan offline ist und ich hier zu Hause darauf warte das jemand den morgen bei der tochterfirma einschaltet.

vor 4 Minuten schrieb daabm:

Edit sagt: "Ins Haus" geht notfalls auch remote per Teamviewer oder beliebiges anderes Produkt. Muß nicht "in persona" sein.

 

Kennst du da jemanden? Was ist so der Stundensatz? Das schlage ich morgen früh meinem Vorgesetzten so vor.

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...