Alten 2000er Server auf neuen 2003er Server migrieren und zum Backup machen...

[godfather 10]

Ja, die PDC Rolle liegt auf dem noch vorhandenen alten DC! Diese Artikel bin ich gestern Nacht auch durchgegangen jedoch erfolglos und endeten immer bei dem Satz von MS, dass nur durch ein erneutes ausführen von DCPromo diese Fehler behoben werden können!

 

Wie ich jetzt erfahren habe, ist das wohl mal eine NT Server Maschine gewesen, die dann wohl extrem abgeschmiert ist. Daraufhin hat wohl der damalige Kollege auf 2000 Server in irgendeiner Form aktualisiert. Allerdings ist dabei wohl was schief gegangen so wie es aussieht.

 

Der Alte Server der hier den defekt hat soll nachher als Backup Server des neuen Servers dienen, der allerdings mit 2k3 läuft.

 

Auf dem neuen Server habe ich gestern Nacht noch DCpromo ausgeführt. So wie es aussieht, sind alle User Daten etc. repliziert worden. Jedoch erscheinen an jeder Ecke Fehlermeldungen. Von kann nicht auf Globalen Katalog zugreifen bis hin zu dem DNS der sich nicht repliziert weil dieser nicht im AD hängt.

 

Also das Beste wird meiner Meinung nach sein - VERNICHTUNG!

Schön ganz frisch auf dem 2k3 ne nagelneue Domäne aufziehen. Zwar alles von Hand wieder eintragen, aber wat mut dat mut. Den Alten Server auch mit dcpromo zurückstufen und dann wieder mit dcpromo als mitgliedsserver in die Neue Domäne aufnehmen.

 

Es macht ja keinen Sinn auf so einem durchlöcherten System aufzubauen. Das zieht nur Folgeprobleme nach sich. Außerdem frist es unglaublich Zeit. Da ist es immernoch fast schneller hier die 30 User neu einzutragen und wieder in die Domäne aufzunehmen...

 

Seufz, na das kann ein Tag werden. Doctor, wo ist meine Spritze?

[godfather 10]

Mist, also die FSMO´s lassen sich via MMC leider nicht übernehmen.

 

 

Hier noch ein paar Fehlermeldung die auf dem Neuen Server erscheinen:

 

"Den Schmemamaster kann ich ich nicht ändern: Der Angeforderte FSMO Vorgang konnte nicht ausgeführt werden. Der Aktuelle FSMO Inhaber war nicht erreichbar. "

 

Hier noch ein paar Fehlermeldungen:

1837

Der Versuch die Funktion des Betriebsmasters, dargestellt durch das folgende Objekt zu übertragen, ist fehlgeschlagen.

 

Objekt:

CN=RID Manager$,CN=System,DC=becker

Momentane Funktion des Betriebsmasters:

CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=becker

Vorgeschlagene Funktion des Betriebsmasters:

CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=becker

 

Zusätzliche Daten

Fehlerwert:

8440

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

 

4013

Der DNS-Server konnte das Active Directory nicht öffnen. Dieser DNS-Server wurde für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff zu dem Verzeichnis nicht fehlerfrei ausgeführt werden. Der DNS-Server wird so lange angehalten, bis das Verzeichnis gestartet wird. Sollte der Server gestartet worden sein und das entsprechende Ereignis ist nicht protokolliert worden, dann wartet der Server weiterhin darauf, dass das Verzeichnis gestartet wird.

 

 

13565

Der Dateireplikationsdienst initialisiert den Systemdatenträger mit Daten eines anderen Domänencontrollers. Der Computer "SERVER01" kann nicht zum Domänencontroller benannt werden, bis dieser Vorgang beendet ist. Das Systemvolumen wird dann unter SYSVOL freigegeben.

 

 

5781

Die dynamische Registrierung oder das Löschen einer oder mehrerer DNS-Einträge, die mit der DNS-Domäne "becker."assoziiert sind, ist fehlgeschlagen. Diese Einträge werden von anderen Computern verwendet, damit diese Server als Domänencontroller ermittelt werden können (wenn die bestimmte Domäne eine Active Directory-Domäne ist), oder als ein LDAP-Server (wenn die bestimmte Domäne eine Anwendungspartition ist).

 

 

 

16651

Die Anforderung eines neuen Kontenidentifizierungspool ist fehlgeschlagen. Der Vorgang wird solange wiederholt, bis er erfolgreich ausgeführt wird. Der Fehler ist

" Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar.

"

[godfather 10]

Und hier noch ein Auszug der Fehlermeldungen vom Alten Server:

 

1202

Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

 

 

1265

Der Versuch, eine Replikationsverknüpfung mit den Parametern

 

Partition: CN=Schema,CN=Configuration,DC=becker

Quell-DSA-DN: CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=becker

Quell-DSA-Adresse: 3efd9704-a929-4ecf-9ee1-9de1ce726777._msdcs.becker

Intersite Transport (falls vorhanden):

 

ist mit folgendem Status fehlgeschlagen:

 

Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.

 

Die Daten befinden sich im Statuscode. Der Vorgang wird wiederholt.

 

 

4001

Der DNS-Server konnte die Zone becker im Verzeichnis nicht öffnen. Dieser DNS-Server ist so konfiguriert, dass er ohne Zugriff auf die Verzeichnis- dienstinformationen dieser Zone nicht arbeiten kann, und er kann die Zone ohne diese Informationen nicht laden. Die Ereignisdaten enthalten den Fehlercode.

 

 

13566

Der Dateireplikationsdienst scannt die Daten des Systemvolumes. Der Computer SERVER kann kein Domänencontroller werden, solange dieser Prozess nicht abgeschlossen ist. Das Systemvolume wird anschließend als SYSVOL freigegeben.

 

Geben Sie in der Eingabeaufforderung Folgendes ein, um die SYSVOL-Freigabe zu überprüfen:

net share

 

Die SYSVOL-Freigabe erscheint, wenn der Dateireplikationsdienst den Initialisierungsprozess abgeschlossen hat.

 

Die Initialisierung des Systemvolumes kann einige Zeit in Anspruch nehmen. Der Zeitaufwand ist von der Datenmenge im Systemvolume abhängig.

 

 

 

5781

Die dynamische Registrierung oder die Aufhebung der Registrierung eines oder mehrerer DNS-Einträge ist fehlgeschlagen, da keine DNS-Server verfügbar sind.

[godfather 10]

Ich kann noch nicht mal den Neuen Server mit dcpromo wieder zurück holen :-( auch aufgrund des DSA DNS Problems... Also neu installieren...

[godfather 10]

Der Vollständigkeithalber hier noch das Logfile von Netdiag: Teil1

 

Computer Name: SERVER

DNS Host Name: server.becker

System info : Windows 2000 Server (Build 2195)

Processor : x86 Family 6 Model 1 Stepping 2, AuthenticAMD

List of installed hotfixes :

KB329115

KB820888

KB822831

KB823182

KB823559

KB823980

KB824105

KB824141

KB824146

KB825119

KB826232

KB828028

KB828035

KB828741

KB828749

KB829558

KB835732

KB837001

Q147222

Q816093

Q818043

Q828026

 

Netcard queries test . . . . . . . : Passed

GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]

GetStats failed for 'WAN-Miniport (PPTP)'. [ERROR_GEN_FAILURE]

[WARNING] The net card 'WAN-Miniport (NetBEUI, Ausgehend) #3' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (NetBEUI, Ausgehend) #2' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (NetBEUI, Ausgehend)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (NetBEUI, Eingehend) #2' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (NetBEUI, Eingehend)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets.

GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]

[WARNING] The net card 'AVM NDIS WAN CAPI-Treiber' may not be working because it has not received any packets.

 

 

 

Per interface results:

 

Adapter : LAN-Verbindung

 

Netcard queries test . . . : Passed

 

Host Name. . . . . . . . . : server.becker

IP Address . . . . . . . . : 192.168.1.11

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . :

Primary WINS Server. . . . : 192.168.1.11

Dns Servers. . . . . . . . : 192.168.1.11

 

 

AutoConfiguration results. . . . . . : Passed

 

Default gateway test . . . : Skipped

[WARNING] No gateways defined for this adapter.

 

NetBT name test. . . . . . : Passed

No remote names have been found.

 

WINS service test. . . . . : Failed

The test failed. We were unable to query the WINS servers.

 

Adapter : AVM KEN

 

Netcard queries test . . . : Passed

 

Host Name. . . . . . . . . : server

IP Address . . . . . . . . : 192.168.114.254

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . : 192.168.114.1

NetBIOS over Tcpip . . . . : Disabled

Dns Servers. . . . . . . . : 127.0.0.1

192.168.1.11

 

 

AutoConfiguration results. . . . . . : Passed

 

Default gateway test . . . : Failed

No gateway reachable for this adapter.

 

NetBT name test. . . . . . : Skipped

NetBT is disabled on this interface. [Test skipped]

 

WINS service test. . . . . : Skipped

NetBT is disable on this interface. [Test skipped].

 

 

Global results:

 

 

Domain membership test . . . . . . : Passed

 

 

NetBT transports test. . . . . . . : Passed

List of NetBt transports currently configured:

NetBT_Tcpip_{87F705C6-670B-4A46-922D-A49BF6518536}

1 NetBt transport currently configured.

 

 

Autonet address test . . . . . . . : Passed

 

 

IP loopback ping test. . . . . . . : Passed

 

 

Default gateway test . . . . . . . : Failed

[godfather 10]

Teil2

 

[FATAL] NO GATEWAYS ARE REACHABLE.

You have no connectivity to other network segments.

If you configured the IP protocol manually then

you need to add at least one valid gateway.

 

 

NetBT name test. . . . . . . . . . : Passed

 

 

Winsock test . . . . . . . . . . . : Passed

 

 

DNS test . . . . . . . . . . . . . : Failed

[WARNING] Cannot find a primary authoritative DNS server for the name

'server.becker.'. [RCODE_SERVER_FAILURE]

The name 'server.becker.' may not be registered in DNS.

[FATAL] Failed to fix: DC DNS entry becker. re-registeration on DNS server '192.168.1.11' failed.

DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE

[FATAL] Failed to fix: DC DNS entry becker. re-registeration on DNS server '192.168.1.11' failed.

DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.becker. re-

.

.

.

[FATAL] Failed to fix: DC DNS entry _kpasswd._tcp.becker. re-registeration on DNS server '192.168.1.11' failed.

DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE

[FATAL] Failed to fix: DC DNS entry _kpasswd._udp.becker. re-registeration on DNS server '192.168.1.11' failed.

DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE

[FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for this DC on DNS server '192.168.1.11'.

[FATAL] No DNS servers have the DNS records for this DC registered.

 

 

Redir and Browser test . . . . . . : Passed

List of NetBt transports currently bound to the Redir

NetBT_Tcpip_{87F705C6-670B-4A46-922D-A49BF6518536}

The redir is bound to 1 NetBt transport.

 

List of NetBt transports currently bound to the browser

NetBT_Tcpip_{87F705C6-670B-4A46-922D-A49BF6518536}

The browser is bound to 1 NetBt transport.

 

 

DC discovery test. . . . . . . . . : Passed

 

 

DC list test . . . . . . . . . . . : Passed

 

 

Trust relationship test. . . . . . : Skipped

 

 

Kerberos test. . . . . . . . . . . : Passed

 

 

LDAP test. . . . . . . . . . . . . : Passed

 

 

Bindings test. . . . . . . . . . . : Passed

 

 

WAN configuration test . . . . . . : Skipped

No active remote access connections.

 

 

Modem diagnostics test . . . . . . : Passed

 

IP Security test . . . . . . . . . : Passed

IPSec policy service is active, but no policy is assigned.

 

 

The command completed successfully

[Eisbär 10]

Hi,

 

Du hast das 'hier' und 'dort' noch nicht erklärt.

 

Warum hast Du kein Gateway-Eintrag gesetzt,

somit kann der Server aus seinem Netz nicht heraus kommunizieren (replizieren)?

 

Ich würde den Server auf keinem Fall unter dem gleichen Namen noch einmal aufsetzen.

Sonst gibt es noch mehr kaputte Objekte im AD.

 

Wurde DNS auf dem neuen Server per Hand eingerichtet oder per Repli.?

 

Poste doch einmal Deinen Migrationsplan. Was hast Du auf welchen Server gemacht und im welchen Netz stehen die Server, wie sind die Server miteinander verbunden.

 

Gab es beim Hochstufen Fehlermeldungen?

Stehen im Debug-Verzeichnis Fehlermeldungen zu dcpromo?

[godfather 10]

Ups, sorry.

 

Mit hier meinte ich in meiner Testumgebung im Büro. Mit dort meinte ich beim Kunden draussen. Wie gesagt, in meiner Testumgebung mit meinem eigenen Server und dem neuen funktionierte das ganze wunderbar.

 

Kein Gatewayeintrag weil dadrauf noch ein AVM KEN! läuft. Und wenn ich mich recht erinnere sollte das der Beschreibung nach von KEN auch so sein!?! Wobei ich dieser Software eher kritisch entgegenstehe. Ansonsten gibts hier keine Subnetze oder dererelei etc.

 

Ja richtig. Den Namen hab ich geändert. Würde ja sowieso nicht gehen den gleichen Namen zu nehmen, da der Alte Server ja noch am Netz hängt.

 

Also der DNS wurde vorher erst repliziert. Jedoch konnte dieser neue "nicht angefasst" werden. Da er sich nicht mit dem auf Alten Server laufenden DNS replizieren konnte.

 

Ein stinknormales Class C Netz.... 192.168.1.xxx. Alles in einem Netz. Keine Subnetze oder ähnliches. Also auf der Seite ist alles zum besten.

 

Nein, beim hochstufen gab es eben keinerlei Fehlermeldungen etc.. Alles wunderbar bis dato...

 

Vielen Dank für die Hilfestellung übrigens!!!

[Eisbär 10]

Hi godfather,

 

ich würde mal die AVM-Karte deaktivieren und Server neu booten.

Ich habe es schon erlebt, dass bei unterschiedlich konfigurierten Netzwerkkarten der Server über die falsche versucht hat zu replizieren.

Da der Server zwei Netzwerkkarten hat, kann es bei Dir auch der Fall sein.

 

In Deiner Testumgebung wirst Du diese Konstellation vermutlich nicht gehabt haben.

 

Falls auf dem Server RRAS läuft (oder warum AVM), würde ich es deaktivieren.

 

Kannst Du von dem Server ins eigene Netzwerk pingen?

[godfather 10]

Doch doch, genau die gleiche Konstellation war auch in meiner Testumgebung. AVM KEN mit Fritz ISDN Karte etc. Die Dinger machen ja beim einrichten immer wieder Probleme...

 

Aber das hab ich auch schon probiert.

 

Ja ping etc. tracert... alles einwandfrei.

 

Aber wie gesagt. Mein Befund liegt darin, dass das AD einen Schuss hat bzw. die Sache mit dem unzusammenhängenden Namespace und des Artikels 260371 von MS.

 

Da ist nichts mehr zu retten.

 

Jetzt werde ich noch versuchen den Alten Server zu demoten und ihn via dcpromo in die neue Domäne zu integrieren...

[Eisbär 10]

Hi godfather,

 

Du redest von einer neuen Domäne.

Sollte der Server nicht in der gleichen Domäne stehen, vielleicht habe ich am Anfang des Threads auch was überlesen.

 

Wenn er in der neuen Domäne steht, hast Du dann die Vertrauensstellung überprüft?

Die Gesamtstruktur ist aber geblieben, oder?

 

Warum hast Du denn schon die Rollen vom alten Server so früh übertragen?

 

Ich würde den alten Server erst einmal in der alten Ausgangsstellung wiederherstellen, sozusagen als Desaster-Recovery-Lösung.

 

Wenn Du ein dcpromo rückwärts macht, musst Du noch überprüfen, dass diese Änderungen auf dem Server übernommen wurden.

Je nach dem, was der alte Server noch anzeigt, reicht es auch aus das Computerkonto zu löschen, wenn noch keine Repli. vom neuen statt fand.

 

Falls das AD auf dem alten Server ebenfalls beschädigt ist, hilft evtl. auch eine autorisierte systemstate Rücksicherung.

 

Ein Versuch wäre es auch Wert DNS zu deinstallieren, reboot und neu zu installieren.

Ist dynamisches Update aktiviert?

Stimmen die DNS-Einträge, evtl. fehlende per Hand hinzufügen?

Sind die Zonen Active Directory-integriert angelegt worden?

DNS-Suffix muss auch auf dem neuen Server korrekt gesetzt sein.

 

Der Artikel spricht nur von einer unterstützenden Methode, falls obiges korrekt gesetzt ist und es trotzdem nicht funktioniert.

[godfather 10]

2003 Server: --> muss ich jetzt wie in der Steinzeit jeden User und Gruppe von Hand eintippen? Wo ist das Auswahlfeld hin???

[Eisbär 10]

Hi,

 

von welchem Auswahlfeld redest Du?

Benutzer können wie bei w2k noch genauso unter Benutzer + Computer angelegt werden.

 

Wenn Du die alten User neu anlegst, dann wirst Du auch die Gruppen und Policies wahrscheinlich neu anlegen müssen.

 

Aber das wird doch wohl kaum die Lösung sein.

 

Zum User anlegen und bearbeiten gibt es bei w2k3 auch neue Tools. Ansonsten kannst Du natürlich auch scriptgesteuert User anlegen.

 

Sorry, aber mit den paar Informationen kann ich Dir auch nicht weiterhelfen.

 

Wie ich schon geschrieben, ich würde nun den Desaster-Recovery-Plan (ich hoffe es gibt einen) umsetzen, so dass am Mo. wieder normal gearbeitet werden kann und dann eine genaue Fehler- und Ursachendiagnose durchführen.

[godfather 10]

Nicht ganz... will ich User einer Gruppe hinzufügen oder andersherum, so geht das nur durch eintippen von deren Anmeldename und nicht mehr durch die Möglichkeit eines Auswahlfeldes in der alles User aufgelistet sind...

 

Doch. Leider ist das die Lösung!Und einen Disaster-Recovery-Plan kann es in dieser Konstelation auch nicht geben. Außer ich hätte schon vorher einen 2. Server hier gehabt.

[Eisbär 10]

Hi godfather,

 

in welchen Modus läuft die Domäne?

 

Warum nimmst Du nicht einen Server von Dir, leihweise?

Wenn man den alten Server wieder leben einhauchen kann, dann kannst Du die Prozedur doch in Ruhe noch mal machen.

 

So schnell würde ich das AD nicht aufgeben.

Gibt es denn keine aktuelle Systemstate-Sicherung auf dem alten Server?