hofimax
Goto Top

ADS von BDC auf PDC zurückreplizieren möglich?

Hi Leute!

Ich hatte leider eine defekte AD Datenbank auf meinem Domänencontroller (Windows Server 2003 Enterprise). Ich habe alles Tutorials durchprobiert diesen wieder zum Laufen zu bringen, leider ohne Erfolg. Ich habe dann anschliessend dort ADS deinstalliert und hoffe jetzt das ich von meinem BDC das ADS auf den ursprünglichen PDC zurück replizieren kann. Ich habe schon versucht den BDC zum PDC hochzustufen, funktioniert leider nicht.

Meine Fragen:
- Ist mein Vorhaben grundsätzlich möglich?
- Wie kontrolliere ich, ob die Datenbank am BDC einwandfrei repliziert wurde bzw. funktioniert?
- Wie spiele ich die Datenbank auf den PDC zurück, was muß ich am PDC vorbereiten ohne die ganze Kiste neuinstallieren zu müssen?

Würde mich freuen wenn ihr mir helfen könntet!

Lg, Markus

Content-Key: 96826

Url: https://administrator.de/contentid/96826

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 12.09.2008 um 20:48:46 Uhr
Goto Top
Servus,

Ich habe dann anschliessend dort ADS deinstalliert...

du konntest also auf dem "defekten" DC noch ordnungsgemäß das DCPROMO ausführen,
so das auch die DC-Informationen automatisch aus den Metadaten des Active Directory entfernt wurden?
Oder hast du ein DCPROMO /FORCEREMOVAL durchgeführt? Denn danach musst du noch das AD bereinigen.

Siehe:
[Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/PermaLink,guid,63ce9507-2f65-4b3f-8709-1b2185 ...


... und hoffe jetzt das ich von meinem BDC das ADS auf den ursprünglichen PDC zurück replizieren kann.

Vergiss die Begrifflichkeiten BDC sowie PDC. Seit Windows 2000 gibt es keine BDCs sowie PDC mehr.
Denn ab Windows 2000 sind (fast) alle DCs gleichberechtigt und haben schreibenden Zugriff auf die
AD-Datenbank. Nur manche DCs haben eine besondere Rolle, denn dieses sind die Träger der fünf FSMO-Rollen.


Ich habe schon versucht den BDC zum PDC hochzustufen, funktioniert leider nicht.

Was hast du genau gemacht und was genau funktioniert nicht?

Wichtig ist, dass DNS sollte auf jedem DC installiert sein, wobei sich die Forward Lookup Zone im AD befinden sollte.
Sind die FSMO-Rollen auf dem noch verfügbaren DC vorhanden und ist auf diesem der globale Katalog aktiviert?

[Yusufs Directory Blog - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54c ...

[Yusufs Directory Blog - Globaler Katalog (Global Catalog - GC)]
http://blog.dikmenoglu.de/PermaLink,guid,3dc2b382-f818-45ce-bcd2-f86922 ...


- Ist mein Vorhaben grundsätzlich möglich?

Natürlich! Gerade aus Redundanzgründen sollten in jeder Domäne min. zwei DCs existieren.


- Wie kontrolliere ich, ob die Datenbank am BDC einwandfrei repliziert wurde bzw. funktioniert?

Wenn es nicht so wäre, würde das Verzeichnisdienstprotokoll des DCs dir das schon melden.
Im Übrigen kannst du die AD-Replikation mit REPADMIN und/oder REPLMON aus den
Windows Support Tools kontrollieren.

Ob zwischen zwei DCs der Datenbestand der Active Directory-Datenbank identisch ist,
erfährst du folgendermaßen:

[Yusufs Directory Blog - Domänencontroller vergleichen]
http://blog.dikmenoglu.de/PermaLink,guid,135afd0d-e733-462d-9a6d-204435 ...


- Wie spiele ich die Datenbank auf den PDC zurück, was muß ich am PDC vorbereiten ohne die ganze Kiste neuinstallieren zu müssen?

Die AD-Datenbank könntest mit rücksichern des System State wiederherstellen. Dies ist aber bei bestehen
weiterer DCs nicht notwendig. Du musst lediglich den anderen DC zum zusätzlichen DC der Domäne stufen
und die AD-Replikation erledigt dann den Rest.

[Yusufs Directory Blog - Einen zusätzlichen DC in die Domäne hinzufügen]
http://blog.dikmenoglu.de/PermaLink,guid,17ede6c6-8670-478e-8560-68a544 ...

Vorzubereiten wäre nichts. Nur muss natürlich auf dem noch bestehenden DC (dein sogenannter BDC)
alles in Ordnung sein. Führe auf diesem DC das DCDIAG sowie NETDIAG auch aus den Windows Support Tools aus,
dann wird dir angezeigt ob Probleme bestehen oder nicht. Das Eventlog ist ebenfalls hilfreich.


Viele Grüße
Yusuf Dikmenoglu
Mitglied: hofimax
hofimax 12.09.2008 um 21:24:18 Uhr
Goto Top
Zitat von @Yusuf-Dikmenoglu:
du konntest also auf dem "defekten" DC noch
ordnungsgemäß das DCPROMO ausführen,
so das auch die DC-Informationen automatisch aus den Metadaten des
Active Directory entfernt wurden?

Ja konnte ich!

ADS und DNS dürften auf dem 2ten DC auch installiert sein. Ich muß mir mal ansehen ob die Rollen und der globale Katalog vorhanden sind!

Ich hatte schon versucht den 2ten DC zum Master zu machen, dabei kam die Fehlermeldung

"Die Betriebsmasterfunktion konnte nicht übertragen werden." Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber ist nicht erreichbar.

Mit der Abfrage NETDOM QUERY FSMO seh ich leider auch das die Rollen noch beim ersten DC liegen, auf dems ja leider keine Datenbank mehr gibt face-sad

Sollte ich das nicht mehr hinbekommen wärs jetzt auch nicht so schlimm. Es existieren auf den Kisten erst ein paar User, die Domäne wäre auch mit etwas Aufwand neu erstellt.
Mitglied: Rafiki
Rafiki 12.09.2008 um 21:40:53 Uhr
Goto Top
Jetzt geht es hier weiter:
http://de.wikipedia.org/wiki/FSMO
siehe dort auch Link zu MS Support mit einem Artikel was zu tun ist.
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 12.09.2008 um 21:54:50 Uhr
Goto Top
ADS und DNS dürften auf dem 2ten DC auch installiert sein.

Was heißt denn "dürfte"? Verifiziere das!


Ich hatte schon versucht den 2ten DC zum Master zu machen, dabei kam die Fehlermeldung

Es gibt nichts und niemanden zum Master zu machen. Was du möchtest ist einfach die FSMO-Rollen
auf einen anderen DC zu --> übertragen <--. Wie das funktioniert, hatte ich bereits in meiner ersten Antwort verlinkt.
Hier nochmals:

[Yusufs Directory Blog - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54c ...

Stichwort: NTDSUTIL - Seize.


Sollte ich das nicht mehr hinbekommen wärs jetzt auch nicht so schlimm.
Es existieren auf den Kisten erst ein paar User, die Domäne wäre auch mit etwas Aufwand neu erstellt.

Die Arbeit könntest du dir aber mit etwas Mühe sparen.
Lies dir einfach die Artikel aus meiner ersten Antwort durch und vor allem, führe die Punkte aus die ich anmerkte.


Viele Grüße
Yusuf Dikmenoglu
Mitglied: hofimax
hofimax 12.09.2008 um 22:12:37 Uhr
Goto Top
ADS und DNS waren definitv vorhanden auf dem zweiten DC.

Der globale Katalog ebenso! Ich habe nun die Rollen dorthin verschoben und alles sieht soweit gut aus.
Nun kann ich beim ersten DC das ADS neu installieren, in die vorhandene Domain mitaufnehmen und alles ist wieder okay oder?
Zu guter letzt, muß ich wohl die Rollen wieder zurückübernehmen? Sehe ich das richtig?
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 12.09.2008 um 22:25:37 Uhr
Goto Top
ADS und DNS waren definitv vorhanden auf dem zweiten DC.

Wenn sich die AD-Informationen, sprich Benutzer- sowie Computerkonten samt den DNS-Informationen
auf dem zweiten DC befinden ist soweit alles ok. Das bedeutet, wenn den Clients dieser DC als DNS-Server mitgeteilt wurde,
entweder statisch oder per DHCP, müssten die Benutzer sich weiterhin an der Domäne authentifizieren können und hätten
ohne Einschränkung Zugriff auf die Netzwerkressourcen.


Nun kann ich beim ersten DC das ADS neu installieren, in die vorhandene Domain mitaufnehmen und alles ist wieder okay oder?

Richtig. Bevor du den Server erneut zum DC stufst, führe vorher auf dem zweiten bestehenden DC das DCDIAG aus
und stelle erstmal eine korrekt funktionierende Basis sicher. Wenn DCDIAG [1] vollständig mit einem PASSED
beendet wurde, stufst du den anderen Server zum DC und zwar folgendermaßen:

[Yusufs Directory Blog - Einen zusätzlichen DC in die Domäne hinzufügen]
http://blog.dikmenoglu.de/PermaLink,guid,17ede6c6-8670-478e-8560-68a544 ...


[1] [faq-o-matic.net » Domänencontroller mit DCDIAG prüfen]
http://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pru ...


Gruß, Yusuf Dikmenoglu
Mitglied: hofimax
hofimax 12.09.2008 um 23:04:04 Uhr
Goto Top
Folgendes Problem ist jetzt aufgetaucht;

Wenn ich den ehemaligen DC jetzt der Domäne hinzufügen will, kommt die Fehlermeldung:

"Dieser Computer konnte kein Mitglied in der Domäne Muster.com werden. Der angegebene Benutzer ist bereits vorhanden."

An was scheitere ich hier? Ich habe als User den Administrator - Account angegeben. Habe ich hier doch noch ein Problem bez. des globalen Katalog?

Habe jetzt auch mal versucht einfach der Domäne beizutreten, selber Fehler!!

Okay, mit dcdiag habe ich nun herausgefunden das der Globale Katalog offline ist. Ich habe also keinen Katalog auf meinen zweiten DC. Wie bring ich so einen dahin?
Mitglied: Rafiki
Rafiki 13.09.2008 um 09:06:27 Uhr
Goto Top
Wäre es möglich, das du versuchst den neuen DC unter dem selben Namen wieder zu installieren? Dann gibt es noch das Computerkonto von dem original DC und das darfst du nichts einfach so überschreiben.
Ich schlage vor den neu installierten Server umzubenenn in "Server3" und dann der Domain hinzuzufügen. Alternativ kannst du auch das alte Computerkonto löschen, nur bin ich mir nicht 100%tig sicher ob das genügt, es gibt noch div. Objekte im AD die den Namen und die SID von dem alten DC kennen. z.B. AD - Sites and Services.

Gruß Rafiki
Mitglied: hofimax
hofimax 13.09.2008 um 11:02:09 Uhr
Goto Top
Ja, ich habe definitiv versucht den alten DC unter dem alten Namen zu installieren. Das dies nicht möglich ist habe ich wohl überlesen bzw. nicht verstanden. Wäre schon toll wenn ich den Namen behalten könnte. Also den Namen unter ADS/Computer auf dem zweiten DC löschen wird nicht reichen?

Was ist mit dem globalen Katalog? Bekomme ich hier nun auch Problem das ich den nicht habe auf dem zweiten DC oder nicht?
Mitglied: GuentherH
GuentherH 13.09.2008 um 11:16:30 Uhr
Goto Top
Hallo.

Ja, ich habe definitiv versucht den alten DC unter dem alten Namen zu installieren

Das ist auch möglich, wenn die Vorarbeiten richtig gemacht wurden.

Yusuf hat dir doch ein paar Links von seinem Blog gepostet. Mache dir doch die Mühe, und suche dir die Beiträge auf seinem Blog heraus, da findest du alles was du brauchst.
- z.B. wie du die Serverrollen korrekt auf den derzeit aktiven DC verschieben kannst
- wie du den inaktiven DC aus dem AD entfernst, usw.

Ein bisschen Eigeninitiative und gehts es schon ;)

LG Günther
Mitglied: hofimax
hofimax 13.09.2008 um 11:18:47 Uhr
Goto Top
Die Serverrollen habe ich bereits verschoben! Wie ich den inaktiven DC aus dem AD richtig entferne muß ich wohl überlesen habe, das schaue ich mir nochmal durch!! Vielleicht finde ich da ja auch noch eine Antwort auf meine offene Frage bez, des globalen Kataloges!

Danke mal face-wink
Mitglied: hofimax
hofimax 13.09.2008 um 20:00:15 Uhr
Goto Top
Hi Leute!

Ich bin schon ein ganzes Stück weiter, habe jedoch das nächste Problem. Wenn ich den alten DC als zusätzlichen DC wieder installieren möchte, bekomme ich beim Versuch des Server sich auf dem zweiten DC in NTDs einzutragen den Fehler

"Der RPC-Server ist nicht verfügbar" (die ganze Fehlermeldung ist länger, aber ich denke ihr wisst welcher es ist?)

Irgendwo habe ich was übersehen, aber was?!

Edit: War ein DNS-Fehler!! Keine Ahnung warum, aber der Name wurde falsch aufgelöst.
Mitglied: hofimax
hofimax 13.09.2008 um 22:08:54 Uhr
Goto Top
Hi Leute!

Ich habe alles perfekt hinbekommen, unglaublich! Danke nochmal für eure Hilfe, hätte das ohne nie hinbekommen. Alles was ich jetzt noch machen will, ist es die Rollen zurückübertragen. Den Blog von Yusuf werd ich mir außerdem noch etwas ausführlich reinziehen, da kann ich noch ne Menge lernen!!!
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 13.09.2008 um 22:40:42 Uhr
Goto Top
Ich habe alles perfekt hinbekommen, unglaublich!

Na wer sagts denn...

Danke nochmal für eure Hilfe, hätte das ohne nie hinbekommen.

You are welcome!

Alles was ich jetzt noch machen will, ist es die Rollen zurückübertragen.

Das kannst du mit den einzelnen Snap-Ins (dsa.msc, domain.msc, schema.msc) durchführen, steht aber auch in einen meiner Links.
Führe das bevorzugt von dem Ziel-DC, also dem DC der die Rollen bekommen soll, durch.
Wenn du das übertragen direkt auf dem Rolleninhaber durchführen möchtest, musst du vorher
in der MMC erst eine Verbindung zu Ziel-Rolleninhabererstherstellen. Dann kannst du die
Rollen erst verschieben. Deshalb wäre es sinnvoll das verschieben gleich auf dem Ziel-DC durchzuführen.

Den Blog von Yusuf werd ich mir außerdem noch etwas ausführlich reinziehen,
da kann ich noch ne Menge lernen!!!

Yepp, tue das. face-wink


Viele Grüße
Yusuf Dikmenoglu