Alten Server aus AD und DNS entfernen

[jezi 10]

Liebe Spezialisten,

 

ich habe letzte Woche unseren alten w2k-Server, der primärer Domänencontroller war, aus dem LAN genommen. Eine ganze Zeit vorher lief der neue 2k3-Server parallel. Ich habe dann DHCP und DNS auf dem neuen Server installiert (für DHCP einen anderen Adressbereich freigegeben) und den alten Server abgeschaltet. Alle Clients habe ich dann "aufgefordert" sich eine neue IP vom neuen Server zu holen und dann wieder auf "automatisch" gestellt. Letztes Wochenende habe ich zusätzlich alle FSMO-Rollen auf den neuen Server übertragen (mit ntdsutil und seize-Befehl). Danach habe ich nach Anleitung vom MS-Support (D216498) alle Einträge des alten Servers aus dem AD (und DNS) entfernt. Im Grunde genommen läuft jetzt alles einwandfrei. Keine Fehler in den Protokollen. ABER:

 

Beim Durchführen von NETDIAG wird als DNS-Server wieder die IP des alten Servers (192.168.100.1) mitgenannt und beim DNS test erhalte ich folgende Warnung:

 

 

DNS test . . . . . . . . . . . . . : Passed

PASS - All the DNS entries for DC are registered on DNS server '192.168.100.3' and other DCs also have some of the names registered.

[WARNING] The DNS entries for this DC cannot be verified right now on DNS server 192.168.100.1, ERROR_TIMEOUT.

 

 

Hat jemand eine Idee, wie ich dem neuen Server ENDGÜLTIG klarmachen kann, dass es den alten nicht mehr gibt?

[gysinma1 13]

Hallo

 

Du sagst ntdsutil und seize das ist sehr sehr ungünstig, denn die Rollen sollten transferiert werden und nicht rübergerissen werden. Grade bei dem RID Master oder dem PDC Emulator kann dies ein S...Puff geben. Den alten musst Du sofern noch nicht geschehen sofort vom Netz nehmen. Der Catalog gibt es auf beiden nehme ich an oder gab bes auf beiden.

 

Also dns management öffnen NS-Einträge des alten Servers löschen. Mit netdiag /fix prüfen und reparieren. Dann würde ich dasselbe noch mit dcdiag /fix machen.

 

Stimmen die IP Protokolleinstellungen, so dass der Sever sich selbst als 1. DNS eingetragen hat ?

 

Ferner der Fehler ist "nur" ein connection timeout d.h. er findet diesen DNS Server nicht mehr. (Was auch richtig ist).

 

Gruss,

 

Matthias

[woiza 10]

Hast du den Eintrag auf dem DC vielleicht noch in den Clienteinstellungen der NIC?

[jezi 10]

Vielen Dank für die Antworten.

 

gysinma1> Die Übernahme der Rollen mit seize habe ich gemacht, weil ich den alten Server nicht nochmal ins LAN nehmen wollte. Schien mir vernünftiger. Deine fix-Vorschläge habe ich durchgeführt und in den IP-Protokolleigenschaften habe ich als alternativen DNS-Server unseren alten Kollegen wiedergetroffen. Den habe ich dann gelöscht und jetzt gibt es bei netdiag auch keine Fehler mehr. Bei dcdiag auch nicht.

 

woiza> Die Frage verstehe ich nicht ganz. Bin jetzt aber zufrieden s.o.

[Daim 12]

Servus,

 

wenn Du beim nächsten Mal anstatt "seize" - "transfer" verwendest (oder über die GUI die Rollen überträgst), dazu müsste natürlich der Ursprungs-Rollenträger online sein, so kannst Du Dir die Arbeit mit dem Artikel kb216498 sparen bzw. dann musst Du das nicht ausführen.

[Hr_Rossi 10]

hi

 

schau mal hier..

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

lg

[Daim 12]

schau mal hier..

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

Wer soll sich den Artikel anschauen?

Ließ nochmal den Eröffnungsthread, dort hat der OP aufgeführt, dass er den Artikel:

Danach habe ich nach Anleitung vom MS-Support (D216498) alle Einträge des alten Servers aus dem AD (und DNS) entfernt.

 

bereits ausgeführt hat.

[Hr_Rossi 10]

Wer soll sich den Artikel anschauen?

Ließ nochmal den Eröffnungsthread, dort hat der OP aufgeführt, dass er den Artikel:

 

 

bereits ausgeführt hat.

 

sorry recht hast du.... mal soll genau lesen und nicht drüberfliegen...

 

was ich noch machen würde ich würde mit ADSI-Edit noch schauen ob irgendwelche einträge noch vorhanden sind.....

 

lg

[jezi 10]

daim> Beim nächsten Mal werde ich die Rollenübertragung auf jeden Fall mit "transfer" machen. Habe sehr viel darüber gelesen, in den letzten Tagen :) . Ich wollte nur nicht den alten Server wieder reinnehmen. Ich vermute, das hätte wirklich Ärger gegeben.

 

Hr. Rossi> Guter Tipp! ADSI-Edit ist morgen dran. Wird das bei w2k3-Server SP1 standardmäßig mit installiert?

[Daim 12]

was ich noch machen würde ich würde mit ADSI-Edit noch schauen ob irgendwelche einträge noch vorhanden sind.....

 

Wenn der Artikel KB 216498 sauber durchgeführt wurde, dann sind alle Einträge aus dem AD entfernt. Der Artikel ist alles was man braucht, um einen DC - händisch aus dem AD zu entfernen.

[Hr_Rossi 10]

Hr. Rossi> Guter Tipp! ADSI-Edit ist morgen dran. Wird das bei w2k3-Server SP1 standardmäßig mit installiert?

 

hi,

 

soweit ich weiss ist das nur in den support tools

 

lg

[Daim 12]

Ich vermute, das hätte wirklich Ärger gegeben.

 

Yepp... und Du hättest Zeit gespart.

Aber wie heißt es so schön, man lernt nie aus.

 

Hr. Rossi> Guter Tipp! ADSI-Edit ist morgen dran. Wird das bei w2k3-Server SP1 standardmäßig mit installiert?

 

Wie bereits erwähnt, wenn der Artikel KB 216498 durchgeführt wurde, dann ist das AD sauber.

ADSIEdit befindet sich in den Windows Support Tools (wie das NetDIAG).

Start - Ausführen - Adsiedit.msc

[woiza 10]

Vielen Dank für die Antworten.

 

gysinma1> Die Übernahme der Rollen mit seize habe ich gemacht, weil ich den alten Server nicht nochmal ins LAN nehmen wollte. Schien mir vernünftiger. Deine fix-Vorschläge habe ich durchgeführt und in den IP-Protokolleigenschaften habe ich als alternativen DNS-Server unseren alten Kollegen wiedergetroffen. Den habe ich dann gelöscht und jetzt gibt es bei netdiag auch keine Fehler mehr. Bei dcdiag auch nicht.

 

woiza> Die Frage verstehe ich nicht ganz. Bin jetzt aber zufrieden s.o.

 

Genau das, was Gysinma gemeint hat, hab ich auch gemeint. Die IP Protokolleigenschaften sind ja spezifisch für jede Netzwerkkarte (NIC). Da ich ja nicht weiss, wie viele NICs du hast, hab ich es eben so formuliert. Und die DNS-Einstellungen in den Protokolleigenschaften sind ja die Clienteinstellungen für die Kiste.

 

Gruß

 

woiza

[gysinma1 13]

Hallo Zusammen

 

Ich möchte da noch etwas nachlegen wegen "seize" und "transfer". Grundsätzlich ist es mal gut, dass alles wieder geht und unser berühmt-berüchtigtes Board einen Beitrag leisten konnte :D

 

Es ist durchaus nicht einfach, wieso eine FSMO Rolle transferiert und erst im Notfall gesized werden soll. Dies hat triftige Gründe. Seize ist für den Notfall, wenn die HW/SW tod ist (Bluescreen, Brand, Diskcrash etc).

 

Für alle FSMO Rollen bis auf den RID Master ist ein sizing/transfer kein grosser Unterschied. Für den RID Master hingegen, ist es problematisch, da er die RIDs der entsprechenden Domain verwaltet. Bei einem Transfer übernimmt der neue DC den bestehenden RID Pool vom alten. Bei einem Size berechnet indem er die vorhandenen RIDs in der Domain zusammensucht und unter Einbezug einer "Sicherheitsmarge" einen neuen RID Startwert ermittelt.

 

Am IT Forum 2005 in Barcelona wurde von John C. (ein Mitentwickler von Active Directory) eindrücklich gezeigt, wie wenig es braucht und was passiert wenn duplicated rids auftreten (kurzum es war net schön ... v.a. unter den DCs. Auch zeigte er eine Domain mit zwei PDC Emulatoren war auch cool). Deshalb muss/müsste bei einem RID Sizing mit LDP der Startvalue des RID Pools manuell geprüft und allenfalls erhöht werden.

 

Das ist - einverstanden - alles sehr theoretisch. Praktisch schneide ich für mich ab, never seize. Nur wenn s gar nicht anders geht. Auch wichtig zu wissen, ist, dass grad bei grossen Domains mit vielen Sites, die FSMO Funktionen nicht sofort "da" sind sondern teilweise unter den DCs auch repliziert werden müssen. Mit dem repadmin/replmon kann dies beschleunigt werden.

 

Grüsse,

 

Matthias

[jezi 10]

Guten Morgen, zusammen!

 

Nochmal vielen Dank an alle für die Bereitschaft sich meines Problems anzunehmen.

 

gysinma> mit adsiedit kann ich nicht "Suchen". Da verlasse ich mich dann mal auf

 

daim> "Wenn der Artikel KB 216498 sauber durchgeführt wurde, dann sind alle Einträge aus dem AD entfernt. Der Artikel ist alles was man braucht, um einen DC - händisch aus dem AD zu entfernen."

 

Das glaube ich inzwischen auch. Damit habe ich, was das angeht, vorläufig mein Ziel erreicht.

 

woiza> Sorry! Irgendwie habe ich immer wieder mal ein Problem mit den Abkürzungen. Auf allen Clients hatte ich die Einträge zu dem alten Server enfernt. Nur auf dem (neuen) Server selbst stand der alte noch als "Alternativer DNS" drin.

 

Jetzt hab ich "nur" noch einen Fehler wg. Zeitserver (w32time). Aber da suche ich mich hier erstmal durchs Forum.

 

Grüße an alle!