Unleashed 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Hallo! Hab wieder mal ein Problem :( Windows Domäne mit zwei DCs, ein W2K Server (SP4) und ein W2K3 Server (SP1) Der W2K3 Server wurde in die Domäne als zusätzlicher Domänencontroller eingebunden und sämtlich FSMO Rollen wurden darauf übertragen. Dann ging plötzlich gar nix mehr (AD synchronisierte nicht mehr) und ich war gezwungen den neuen Server (W2K3) auf unsanftem Weg (NTDSUTIL) aus der Domäne zu entfernen und die Rollen wieder auf den alten Server zu übertragen. Mittlerweile läuft die Domäne mit beiden DCs wieder so halbwegs (AD synchronisiert) aber ich erhalte auf dem W2K3 Server ständig Fehler ID 1030 und 1058 bei den GPOs mit Zugriff verweigert. NETDIAG bring keine Fehler, DCDIAG dafür einige (siehe nächsten Post, ist sonst zu lange): Der Versuch das Computerkennwort per NETDOM /resetpwd zurückzusetzten schlägt aber auch fehl: Zugriff verweigert. Hat irgender eine Ahnung was ich noch machen könnte OHNE den Server komplett aus der Domain zu entfernen und wieder neu einzubinden ? Danke! Unleashed Zitieren Link zu diesem Kommentar
Unleashed 10 Geschrieben 2. Januar 2006 Autor Melden Teilen Geschrieben 2. Januar 2006 Hier das DCDIAG Ergebnis: Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Standardname-des-ersten-Standorts\FILESRV01 Starting test: Connectivity FILESRV01 passed test Connectivity Doing primary tests Testing server: Standardname-des-ersten-Standorts\FILESRV01 Starting test: Replications FILESRV01 passed test Replications Starting test: NCSecDesc FILESRV01 passed test NCSecDesc Starting test: NetLogons [FILESRV01] An net use or LsaPolicy operation failed with error 5, Access is denied.. FILESRV01 failed test NetLogons Starting test: Advertising FILESRV01 passed test Advertising Starting test: KnowsOfRoleHolders FILESRV01 passed test KnowsOfRoleHolders Starting test: RidManager FILESRV01 passed test RidManager Starting test: MachineAccount Could not open pipe with [FILESRV01]:failed with 5: Access is denied. Could not get NetBIOSDomainName Failed can not test for HOST SPN Failed can not test for HOST SPN * Missing SPN : (null) * Missing SPN : (null) FILESRV01 failed test MachineAccount Starting test: Services Could not open Remote ipc to [FILESRV01]:failed with 5: Access is denied. FILESRV01 failed test Services Starting test: ObjectsReplicated FILESRV01 passed test ObjectsReplicated Starting test: frssysvol [FILESRV01] An net use or LsaPolicy operation failed with error 5, Access is denied.. FILESRV01 failed test frssysvol Starting test: frsevent FILESRV01 failed test frsevent Starting test: kccevent Failed to enumerate event log records, error Access is denied. FILESRV01 failed test kccevent Starting test: systemlog Failed to enumerate event log records, error Access is denied. FILESRV01 failed test systemlog Starting test: VerifyReferences FILESRV01 passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ForestDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom DomainDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation Schema passed test CrossRefValidation Starting test: CheckSDRefDom Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation Configuration passed test CrossRefValidation Starting test: CheckSDRefDom Configuration passed test CheckSDRefDom Running partition tests on : xxx Starting test: CrossRefValidation xxx passed test CrossRefValidation Starting test: CheckSDRefDom xxx passed test CheckSDRefDom Running enterprise tests on : xxx.local Starting test: Intersite xxx.local passed test Intersite Starting test: FsmoCheck xxx.local passed test FsmoCheck Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Hi, wie hast Du den 2k3 DC ursprünglich hinzugefügt? Vorher adprep /forestprep und adprep /domainprep ausgeführt? Und wie bist du beim und nach dem entfernen des neuen DCs vorgegangen? Hast du die FSMO Rollen mit seize oder transfer übertragen? Hast Du den 2K3 DC danach komplett neu aufgesetzt und dann wieder hinzugefügt?! Christoph Zitieren Link zu diesem Kommentar
Unleashed 10 Geschrieben 3. Januar 2006 Autor Melden Teilen Geschrieben 3. Januar 2006 Hi! Okay, eingebunden wurde der W2K3 ganz nach Vorschrift eben mit adprep /forestprep und adprep /domainprep. Danach habe ich die FSMO Rollen per GUI übertragen, also unter "AD für Benutzer & Computer" den RID-,PDC- und Infrastrukturmaster. Dann eben unter "AD Domänen und Vertrauensstellungen" den Domänennamen Betriebsmaster uns schließlich in der Schema-MMC den Schemamaster - lief alles soweit ohne Fehlermeldung. Ich hab dann noch beide Server auf "Globaler Katalog" konfiguriert und den W2K DC auf einheitlichen Modus konfiguriert. Nach dem Reboot hatte ich dann eben die Probleme bei Zugriff und das Problem, daß das AD nicht synchronisierte (allerdings nur bei neuen Usern, alle die bereits existierten waren sehr wohl da.) Ja, und dann gings an: die Rollen konten nicht mehr zurück übetragen werden weil der W2K-Server immer meldete dass der momentane Rolleninhaber offline sei. Daher habe ich alles per NTDSUSTIL übertragen: Zuerst mit transfer Roles, was aber nicht funktionierte. Daher dann eben mit Seize Roles. Ebenso habe ich sämtlich Dienst wie DNS, DHCP, WINS wieder auf den alten Server zurückgelegt. Nach der Aktion brachte der W2K3 Server dann einige Fehler im Errorlog welche ich nach und nach behoben habe (http://www.eventid.net). Nach mehreren Reboots hatte ich den W2K3 Serve dann eben soweit, dass er ohne jeglicher Warnung/Fehler bootete - bis dann die 1030 und 1058 Fehler auftraten und ich tiefer zu suchen begannn und den DCDIAG Fehler sah ... Unleashed Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 3. Januar 2006 Melden Teilen Geschrieben 3. Januar 2006 Hi, wenn Du die FSMO Rollen einmal mit Seize übertragen hast, solltest Du den vorherigen Rolleninhaber erst wieder ins Netz hängen, wenn Du Windows komplett neu installiert hast. Siehe auch: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/7db85b1d-3e70-48b9-8fc1-77a13fc35919.mspx Christoph Zitieren Link zu diesem Kommentar
Unleashed 10 Geschrieben 3. Januar 2006 Autor Melden Teilen Geschrieben 3. Januar 2006 Hi! Aha, das ist dann mit ziemlicher Sicherheit das Problem - Danke! Kann ich jetzt versuchen das AD vom W2K3 Server zu entfernen, eventuelle Reste aus dem AD zu entfernen und den Server neu einzubinden ? Was würdest Du mir empfehlen? Danke für Deine Hilfe! lg Unleashed Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 3. Januar 2006 Melden Teilen Geschrieben 3. Januar 2006 Ich denke, es wäre das beste, den W2K3 vom Netz zu nehmen, ihn komplett neu zu installieren. Währenddessen solltest du sämtliche Spuren dieses DCs aus dem AD entfernen (ntdsutil->Metadata cleanup, DNS checken, AD Sites and Services checken). Wenn das geschehen ist, kannst du den 2k3 DC wieder ans Netz hängen und ihn als zusätzlichen DC konfigurieren. Christoph Zitieren Link zu diesem Kommentar
Unleashed 10 Geschrieben 3. Januar 2006 Autor Melden Teilen Geschrieben 3. Januar 2006 Hallo! ja, glaub ich auch - werde ich übermorgen durchführen und dann nochmal kurz posten ob's läuft! Danke nochmal! Unleashed Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.