Jump to content

AD DC ohne Netlogon und Sysvol bei Übernahme von 2021R2 auf 2019


Recommended Posts

Hallo Gemeinde!

Ich habe hier ein nachstellbares Problem:

Ein vorhandener HyperV virtualisierter DomänenController - Name: C51 -  (the one and only) 2012R2 läuft seit Ewigkeiten klaglos. Dienste sind AD, DNS, DHCP, 3 Druckerfreigaben. DCDIAG komplett "Test bestanden".

In Netlogon liegen vier Anmeldescripte

 

Der C51 soll nun durch einen Kollegen Windows 2019 (DVD 12) - Name: DC2021 - ersetzt werden. 

Wenn der neue Windows 2019 Server DC2021 hochgestuft wird, läuft dies ohne Fehlermeldung. Im AD sind alle Benutzer / Computer angekommen, das DNS repliziert sich ebenfalls. Änderungen am C51 werden zum DC2021 übernommen, umgekehrt ebenso. 

Fsmo Rollen hin und her schieben via NTDSutil transfer geht.

DCDIAG am DC2021 meckert:

Test Advertising: 

Bei dem Versuch, DC2021 zu erreichen, wurden von DsGetDcName Informationen für  \\C51.domaene.endung zurückgegeben. DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.

Dann kommt noch

Die Active Directory-Domänendienste konnten den softwarebasierten Datenträgerschreibungscache auf der folgenden Festplatte nicht deaktivieren

und insbesondere

Die Konsistenzüberprüfung (KCC) hat ermittelt, dass bei den fortlaufenden Versuchen, eine Replikationsverbindung mit dem folgenden Verzeichnisdienst herzustellen, immer wieder Fehler aufgetreten sind.

Starting test: NetLogons (klar, die Freigaben fehlen ja auch)
         Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\DC2021\netlogon)
         [DC2021] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
         Der Netzwerkname wurde nicht gefunden..


Wenn der alte C51 heruntergestuft werden soll, kann er den neuen DC2021 nicht finden. Auf dem DC2021 fehlen auch die Freiganben SYSVOL und NETLOGON. Manuelles Erstellken der Freigaben gelingt, nach Neustart sind die Freigaben wieder verschwunden.

Löschen der Virtuellen Maschine, Neuinstallation DC2021: gleicher Fehler
Herunterstufen und wieder Hochstufen des DC2021: gleicher Fehler

 

Aktuell liegt vor: ein nagelneuer DC2021a ohne Folgen irgendwelcher Bastelaktionen (neuer Name, falls noch irgendwo Leichen liegen sollten).

 

Der alte C51 hat offensichtlich irgendeine "Meise".  Aber welche???

 

Der Fehler ist in google oft zu finden, etliche "Rezepte" habe ich getestet. Leider kein erfreuliches Ergebnis (außer das ich C51 wieder herstellen und den DC2021 neu installieren konnte).
Für mich wäre es auch eine Lösung wenn man AD Daten unter Beibehaltung der User-IDs und die GPOs exportieren und auf den neuen Kollegen importieren würde. 

 

Edited by Maxnix
Ergänzung
Link to post

Hi,

 

ich bin mir sicher, dass du auf einem bzw. sogar auf beiden beteiligten Servern etwas im Eventlog unter "Anwendungen und Dienstprotokolle" -> "Directory Service", "DFS-Replikation" und/oder "File Replication Service" findest.

 

Gruß

Jan

Link to post

Zeig doch mal ein ipconfig /all von den beiden Servern. Auf derm Commandline folgendes eingeben:

 


ipconfig /all | clip

 

und hier dann in einen Code-Tag packen. Natürlich vor dem abschicken anonymisieren.

Link to post

Hallo TESTPERSON

 

dem will ich nicht wiedersprechen. Während ich auf die erste Antwort "gewartet" habe, wurde eine ganz frischer DC2021a installiert.

 

Auf dem "alten" C51 sehe ich im Eventlog unter "Anwendungen und Dienstprotokolle" -> "Directory Service", "DFS-Replikation" 

Der DFS-Replikationsdienst hat erkannt, dass für Replikationsgruppe "Domain System Volume" keine Verbindungen konfiguriert sind. Für diese Replikationsgruppe werden keine Daten repliziert. 

 

Habe schnell auf C51 im Active Directory-Standorte und -Dienste unter Sites -> Default-First-Site-Name (finde ich auch unschön) den Versuchsserver DC2021 gelöscht.

Eventlog unter "Anwendungen und Dienstprotokolle" -> "Directory Service", "DFS-Replikation" 

Der DFS-Replikationsdienst hat erkannt, dass wenigstens eine Verbindung für Replikationsgruppe Domain System Volume konfiguriert ist. 
 

 

Auf dem "alten" C51 sehe ich im Eventlog (von gestern Abend, nicht dem heutigen Versuch) unter "Anwendungen und Dienstprotokolle" -> "Directory Service", "File Replication Service"

Der Domänencontroller wurde für den DFS-Replikationsdienst migriert, um die SYSVOL-Freigabe zu migrieren. Die Verwendung des Dateireplikationsdiensts zur Replikation von Nicht-SYSVOL-Inhalt wurde verworfen; daher wurde der Dienst beendet. Zur Replikation von Ordnern, SYSVOL-Freigaben auf Domänencontrollern und DFS-Linkzielen wird der DFS-Replikationsdienst empfohlen.

 

Auf C51 sehe ich im Active Directory-Standorte und -Dienste unter Sites -> Default-First-Site-Name (finde ich auch unschön) die beiden Server C51 und DC2021A, jeweils mit NTDS Settings "automatisch generiert"

Gehe ich bei C51 auf die NTDS Settings -> Rechtsklick -> alle Aufgaben -> Replikationstopologie überprüfen  bekomme ich die Meldung "... wurde überprüft. Aktualisieren Sie den Standortcontainer ..."

Gehe ich bei DC2021A  auf die NTDS Settings -> Rechtsklick -> alle Aufgaben -> Replikationstopologie überprüfen  bekomme ich die Meldung "Von den Active Directory Domänendiensten auf Domänencontroller dc2021a.domäne.endung wurde die Replikationstopologie überprüft...."

 

 

 

Hallo Sunny61

 

C51


Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : C51
   Primäres DNS-Suffix . . . . . . . : domäne.endung
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : domäne.endung

Ethernet-Adapter virtuelle Ethernet Karte:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft Hyper-V-Netzwerkadapter
   Physische Adresse . . . . . . . . : 00-15-5D-FB-32-04
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::413d:999d:d1d:3890%12(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 192.168.251.51(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.251.32
   DHCPv6-IAID . . . . . . . . . . . : 301995357
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-D9-95-F9-00-15-5D-FB-32-04
   DNS-Server  . . . . . . . . . . . : 127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{D96CAA34-FC6D-4A45-A01A-BBCDD32A2B9B}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

 

DC2021a (der ist jetzt ganz frisch, gerade eine Stunde alt :-)


Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : dc2021a
   Primäres DNS-Suffix . . . . . . . : domäne.endung
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : domäne.endung

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Physische Adresse . . . . . . . . : 00-15-5D-FB-32-09
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.251.52(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.251.32
   DNS-Server  . . . . . . . . . . . : 192.168.251.51
                                       127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

 

Link to post
vor 59 Minuten schrieb Maxnix:

IPv4-Adresse . . . . . . . . . . : 192.168.251.51(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.251.32

DHCPv6-IAID . . . . . . . . . . . : 301995357

DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-D9-95-F9-00-15-5D-FB-32-04

DNS-Server . . . . . . . . . . . : 127.0.0.1

Hier muss als DNS der andere DNS eingetragen werden. Der hier: 192.168.251.52

Link to post

Erst mal an die Fleißigen hier: Vielen Dank für eure Hilfe! 

 

@ Sunny61

 

auf dem "alten" DC C51 in den Netzwerkeinstellungen den "neuen" DC2021a (also die .52) als DNS? gibt das nicht einen Loop?

Hab ich einmal eingetragen. Auf beiden Systemen alle Ereignisse gelöscht. DC2021a reboot. 

DCDIAG auf dem DC2021a:

Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\DC2021A
      Starting test: Advertising
         Achtung: Bei dem Versuch, DC2021A zu erreichen, wurden von DsGetDcName Informationen für
         \\C51.domäne.Endung zurückgegeben.
         DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
...
      Starting test: NetLogons
         Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\DC2021A\netlogon)
         [DC2021A] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten,
         Der Netzwerkname wurde nicht gefunden..
         ......................... Der Test NetLogons für DC2021A ist fehlgeschlagen.

...
         Warnung. Ereignis-ID: 0x00001796
            Erstellungszeitpunkt: 03/10/2021   16:27:26
            Ereigniszeichenfolge:
            Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
         ......................... Der Test SystemLog für DC2021A ist fehlgeschlagen.

 

@ chrismue

 

For /f %i IN ('dsquery server -o rdn') do @echo %i && @(net view \\%i | find "SYSVOL") & echo

ergab: C51 hat Freigabe SYSVOL, DC2021a nicht

 

DfS-Replikationsstatus: 

C51
Keine Instanzen verfügbar.


DC2021A
ReplicatedFolderName  ReplicationGroupName  State
SYSVOL Share          Domain System Volume  2

... ist hier ein Problem auf dem C51 ?

 

DFS Protokoll auf DC2021a

Der DFS-Replikationsdienst hat erkannt, dass wenigstens eine Verbindung für Replikationsgruppe Domain System Volume konfiguriert ist. 
 
Weitere Informationen: 
Replikationsgruppen-ID: 5CE57638-7DA1-45B8-8114-AD48F769A1EE 
Mitglieds-ID: 94B75903-C470-40E0-95A0-6C27B46275A3

Directorys Service Protokoll auf DC2021a

Der Start der Microsoft Active Directory-Domänendienste ist abgeschlossen.
...
Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet.
...
NTDS (608,D,0) NTDSA: Die Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank "C:\Windows\NTDS\ntds.dit" abgeschlossen und dabei 0 Seiten freigegeben. Dieser Durchlauf begann am 10.03.2021 und benötigte insgesamt 1 Sekunden und 1 Aufrufe in 1 Tagen für die Ausführung. Seit ihrer Erstellung wurde die Datenbank 3 Mal vollständig defragmentiert.

 

@chrismue

 

Bei der Anleitung komme ich ab "Für Umgebungen mit zwei Domänencontrollern" nicht weiter, da keiner der dort behandelten Fälle zutrifft.

Link to post
vor 10 Minuten schrieb Maxnix:

auf dem "alten" DC C51 in den Netzwerkeinstellungen den "neuen" DC2021a (also die .52) als DNS? gibt das nicht einen Loop?

Nein, das ist gängige Vorgehensweise bei den DCs in einem AD. Erster Server zeigt auf den zweiten, der zweite Server zeigt auf den ersten DNS/DC. Anschließend kannst Du zuerst den einen, nach dem vollständigen Reboot, dann den zweiten neu starten und einfach mal über Nacht stehen lassen.

Link to post

und die Meldung DCDIAG auf dem DC2021a:

Server wird getestet: Default-First-Site-Name\DC2021A Starting test: Advertising Achtung: Bei dem Versuch, DC2021A zu erreichen, wurden von DsGetDcName Informationen für \\C51.domäne.Endung zurückgegeben. DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.

ist "Microsoft-egal"?

Entstehen die Freigaben dann "über Nacht"?

 

 

Link to post

@ chrismue

 

ja, halbwegs (siehe 4 Posts weiter oben)

 

allerdings komme ich ab dem Punkt "Für Umgebungen mit zwei Domänencontrollern" nicht weiter, da keiner der dort behandelten Fälle zutrifft.

 

Leider bin ich wohl nicht tief genug in der Materie ...

Link to post

Leider waren alle Hinweise nicht zielführend.

 

Geholfen hat:

https://docs.microsoft.com/de-DE/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization

 

 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...