Jump to content

2008 r2 Demote nicht möglich

Mack

By Mack,
in Active Directory Forum

Followers 3

Recommended Posts

Mack

Mack 10

Posted
Posted

Mein Problem ist einen Windows 2008 R2 Server zu demoten.

 

Situation:

 

Eine Windows Domäne mit aktuell zwei Domänencontrollern. Einmal ein Windows Server 2008 R2 und einmal ein Server 2019.

Die aktuelle Domänenfunktionsstufe ist auf den maximal möglichen Stand 2008 R2.

 

Beide DC sind natürlich auch DNS. Der primäre DNS des einen zeigt jeweils auf den anderen, der sekundäre auf sich selbst.

Ein NSlookup löst die Server und die Domäne korrekt auf.

DCDiag zeigt keine Fehler,

FRS wurde im Vorfeld auf das aktuelle DFRS ohne offensichtliche Probleme migriert.

Die AD Synchronisation habe ich u.A. mit dem AD Replication Status Tool von Microsoft geprüft und zeigt den Erfolg der Replication.

Auch banale Tests mit einer Ordneranlage im Netlogon etc. werden wie erwartet repliziert.

Die FSMO Rollen wurden dann per Powershell auf den neuen DC umgezogen. Ein netdom query auf beiden DCs löst sauber auf, dass alle Rollen beim neuen DC sind.

Die Uhrzeiten der DCs sind synchron.

 

Soweit so simpel.

 

Nun möchte ich den alten DC per DCPromo demoten. 

 

Der Assistent bricht dann allerdings beim Entfernen der Rolle ab. "der angegebene Netzwerkname ist nicht verfügbar."

 

Schaue ich mir die Betriebsmaster Rollen über die AD GUI auf dem neuen DC an, sieht alles aus wie erwartet.

Schaue ich mir diese allerdings auf dem alten DC dort an, steht beim aktuellen Rolleninhaber nur "Fehler".

 

Ebenso kann ich vom alten DC den neuen DC auch nicht verwalten. ("Netzwerkname wurde nicht gefunden") 

Der alte DC kann aber durchaus andere Memberserver oder PCs verwalten, ebenso kann der neue DC von anderen Servern verwaltet werden.

 

Die Firewallregeln kann ich ausschließen. Ein temporäres Deaktivieren der Firewall auf dem neuen DC hat daher erwartungsgemäß auch nichts gebracht.

 

Wenn ich versuche vom Servermanager des alten DC mich mit dem neuen DC zu verbinden, schlägt das ebenso fehl.

"Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Der WS-Verwaltungsdienst kann die Anforderung nicht verarbeiten.

Der Ressourcen-URI ...://schemas.microsoft.com/powershell/Microsoft.ServerM... wurde nicht im Katalog der WS-Verwaltung gefunden.

Der Katalog enthält die Metadaten zur Beschreibung von Ressourcen oder logischen Endpunkten..."

 

Verstehen tue ich das allerdings leider nicht.

 

Any insights was hier los sein könnte?

Link to post
Mack

Mack 10

Posted
  • Author
Posted
vor 3 Minuten schrieb NilsK:

Moin,

 

was sagt denn das Eventlog dazu?

 

Gruß, Nils

 

Moin Nils,

 

das ist dazu leider völlig ungesprächig. Sporadisch moppert DFSR, dass er mal eine Verbindung nicht hinbekommen hat. Meldet aber kurze Zeit später die erfolgreiche Verbindung.

Ansonsten sind die administrativen Ereignissse erstaunlich leer. 

Während des DCPromo als solches wird überhaupt nichts geloggt. 

Link to post
Mack

Mack 10

Posted
  • Author
Posted
Gerade eben schrieb NorbertFe:

Dann wirf ihn doch einfach hart raus. Geht vermutlich schneller, als im Forum den passenden Tipp zu bekommen. :)

 

aber vermutlich läuft noch irgendwas anderes auf dem dc, oder?

Der war u.a. auch noch DATEV (sag nix, habe ich so übernommen) und aktuell DHCP, sowie vor allen Dingen File Server. 

DATEV ist wegmigriert. Der DHCP ist natürlich kein Problem. Die Filestruktur ist Kraut und Rüben und soll (muss!) aufgeräumt werden, was sich leider hinzieht.

Es muss noch eine Exchange 2016 zu 2019 Migration (andere Server) on Premise laufen und da habe ich halt das Problem mit dem AD Level. Da die Filemigration sich hinzieht, wollte ich schon einmal demoten, damit ich die AD anheben kann für Server 2019 und am Exchange weitermachen kann.

Link to post
Mack

Mack 10

Posted
  • Author
Posted
vor 1 Minute schrieb testperson:

Hi,

 

als Schuss ins Blaue: Router / irgendwas falsches als IPv6 (ggfs. auch IPv4) DNS?

 

Gruß

Jan

Dazu kann ich sagen, dass zumindest IP4 gegenüber IP6 präferiert werden soll (Stichwort DisabledComponents HEX20).

Ich bin aber was IP6 angeht ehrlich gesagt wenig bewandert. Aktiv ist da nichts explizit konfiguriert. Der Router macht IP4

Gerade eben schrieb NorbertFe:

Tjaaa dann wird man wohl weiter die Logs durchflöhen müssen. Hast du mal direkt nach einem reboot dcpromo versucht?

Jopp.

In den Logs steht nichts. Vielleicht kann man dazu explizit das Logniveau anheben, damit da mehr steht?!

Link to post
NilsK

NilsK 1,209

Posted
Posted

Moin,

 

gibt es denn wenigstens in den Fehlern, die dir angezeigt werden, Fehlernummern?

 

Hast du die Eventlogs auf beiden Servern geprüft? Gibt es auf einem oder beiden Dienste, die gestartet sein sollten, aber nicht laufen?

 

Gruß, Nils

 

Link to post
Mack

Mack 10

Posted
  • Author
Posted
vor 29 Minuten schrieb NilsK:

Moin,

 

gibt es denn wenigstens in den Fehlern, die dir angezeigt werden, Fehlernummern?

 

Hast du die Eventlogs auf beiden Servern geprüft? Gibt es auf einem oder beiden Dienste, die gestartet sein sollten, aber nicht laufen?

 

Gruß, Nils

 

Ja, beide Server zeigen in den Logs nur wiederkehrende DFSR Events (5014 und 5002) regelmäßig abends um 19:00. Danach findet aber eine erfolgreiche Verbindung statt. Ich sehe auch gerade, um 19:00 findet die Windows Server Sicherung statt. 

Die automatischen Dienste laufen alle. Vor allen Dingen auch der RPC.

vor 34 Minuten schrieb NorbertFe:

Sind denn Sites and Services und die dazugehörigen subnets korrekt definiert? Bei VPN fällt mir noch mtu size ein.

Pff, da bin ich auf dünnem Eis unterwegs. Die GC werden zumindest bei beiden angezeigt.

Ganz ehrlich, wüsste ich nicht genau, wonach ich da nun schauen muss. 

 

VPN bzw. MTU Probleme können wir ausschließen. Sorry, hatte ich nicht erwähnt. Es ist nur ein Standort. Keine Router oder Routen zwischen den DCs. 

Link to post
Mack

Mack 10

Posted
  • Author
Posted
vor 3 Minuten schrieb NilsK:

Moin,

 

schaust du nur in den AD-Logs? Oder auch in den anderen wichtigen? Bei dem geschilderten Fehlerbild kann ich mir nicht recht vorstellen, dass nix sichtbar sein sollte.

 

Gruß, Nils

 

Ich beziehe mich auf die Ereignisanzeige, Administrative Ereignisse, Also Anwendung, System, Active Directory, DNS Server etc. 

Link to post
NorbertFe

NorbertFe 892

Posted
Posted
vor 17 Minuten schrieb Mack:

Pff, da bin ich auf dünnem Eis unterwegs. Die GC werden zumindest bei beiden angezeigt.

Ganz ehrlich, wüsste ich nicht genau, wonach ich da nun schauen muss. 

Was steht denn in Sites and Services für ein subnet? Wenn’s nur ein Standort ist, steht ja hoffentlich trotzdem ein subnet drin.

Link to post
testperson

testperson 653

Posted
Posted

Wenn der Server "nur noch" Fileserver ist, wäre es dennoch denkbar den Server in einer ruhigen Minute "hart" zu entsorgen. In grob:

  • Neue VM aufsetzen und Freigaben syncen oder ggfs. später die vorhandene virtuelle Disk umhängen
  • Ggfs. Freigaben exportieren oder neu machen
  • Alten Server ausschalten, im AD löschen, DNS aufräumen
  • Neue VM in alten Server umbenennen ggfs. auch IP übernehmen
  • Freigaben importieren / neu machen
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 3
Go to topic listing


×
×
  • Create New...