5
Probleme mit dem Vertrauensverhältnis zwischen dc01 und dc02
Grüße euch,
mein Name ist Bernd, ich bin 51.
Seit einigen Monaten bin ich nun, nach langer Zeit im Projektmanagement, wieder im Bereich Netzwerk beschäftigt und habe nun ein Problem, dass ich vorsichtshalber nachfragen möchte bevor ich das System komplett zerschieße.
Also es handelt sich um folgendes:
Bisher haben wir zwei physikalische Server gehabt auf dem die Domaincontroller liefen. Seit ca. 2 Monaten stellen wir nun alles auf VM – Ware um. Am Samstag wurde entsprechend der DC-02 auf die VM – Ware migriert. Dieses hat auch hervorragend geklappt. Im Anschluss wurde der DC-01 migriert, was auf den ersten Blick auch funktionierte. Nach der Migration wurde der alte DC-01 dann abgeschaltet und gewechselt. Nach kurzer Zeit stellte sich heraus, dass das Dateisystem des DC-01 nicht korrekt war und wir haben versucht das System reparieren zu lassen. Leider fuhr der DC-01 auf der VM – Ware nicht mehr hoch danach.
Nach einer Stunde haben wir dann den physikalischen DC-01 wieder gestartet und das System ist sofort ausgefallen.
Der DC-02 sagt nun er habe den DC-01 zum letzte Mal um 10:20 erreicht und der DC-01 sagt er habe den DC-02 das letzte Mal um 09:00 gesehen. Keine Vertrauensstellung mehr. Derzeit haben wir den DC-02 ausgeschaltet und den nun reparierten DC-01 erneut auf die VM-Ware migriert.
Da auf dem DC-02 auch den Lizenzserver habe wurden wir die Vertrauensstellung gerne wieder hinbekommen.
Habt Ihr da einen Vorschlag, besser noch eine Lösung?
Besten Dank für euere Hilfe:
Bernd
mein Name ist Bernd, ich bin 51.
Seit einigen Monaten bin ich nun, nach langer Zeit im Projektmanagement, wieder im Bereich Netzwerk beschäftigt und habe nun ein Problem, dass ich vorsichtshalber nachfragen möchte bevor ich das System komplett zerschieße.
Also es handelt sich um folgendes:
Bisher haben wir zwei physikalische Server gehabt auf dem die Domaincontroller liefen. Seit ca. 2 Monaten stellen wir nun alles auf VM – Ware um. Am Samstag wurde entsprechend der DC-02 auf die VM – Ware migriert. Dieses hat auch hervorragend geklappt. Im Anschluss wurde der DC-01 migriert, was auf den ersten Blick auch funktionierte. Nach der Migration wurde der alte DC-01 dann abgeschaltet und gewechselt. Nach kurzer Zeit stellte sich heraus, dass das Dateisystem des DC-01 nicht korrekt war und wir haben versucht das System reparieren zu lassen. Leider fuhr der DC-01 auf der VM – Ware nicht mehr hoch danach.
Nach einer Stunde haben wir dann den physikalischen DC-01 wieder gestartet und das System ist sofort ausgefallen.
Der DC-02 sagt nun er habe den DC-01 zum letzte Mal um 10:20 erreicht und der DC-01 sagt er habe den DC-02 das letzte Mal um 09:00 gesehen. Keine Vertrauensstellung mehr. Derzeit haben wir den DC-02 ausgeschaltet und den nun reparierten DC-01 erneut auf die VM-Ware migriert.
Da auf dem DC-02 auch den Lizenzserver habe wurden wir die Vertrauensstellung gerne wieder hinbekommen.
Habt Ihr da einen Vorschlag, besser noch eine Lösung?
Besten Dank für euere Hilfe:
Bernd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258282
Url: https://administrator.de/contentid/258282
Printed on: April 25, 2024 at 22:04 o'clock
5 Comments
Latest comment
Hallo Bernd,
zum Einen würde ich empfehlen, es sei denn es gibt zwingende Gründe, mind. 1 DC auf einer phys. Maschine lassen.
Abhängig davon was bei euch alles gegen das Active Directory authentifiziert, kann man so ggfs. VCenter, ESXs, Storage etc. korrekt und fehlerfrei herunterfahren bevor man das mit dem letzten DC macht.
Ich würde DCs nicht mit dem VMware Converter oder einem anderen Tool migrieren sondern immer eine neue Machine installieren und in die Domäne promoten. Bei Rechnern, die nur DC, DNS sind geht das problemlos und schnell, da alle Daten selbständig synchronisiert werden. DHCP-, WINS-Datenbanken kann man ex-, importieren. Danach die FMSO-Rollen übertragen und die alten DCs demoten und entfernen.
Warum habt ihr den DC-02 ausgeschaltet, was ja der wichtigere Server (DC, (TS?)-Lizenzserver) zu sein scheint und nicht die FSMO-Rollen auf diesen übertragen? Dann hättet ihr zumindest alle Funktionen, wenn auch nicht redundant.
Wenn du Glück hast kannst du alle VM-DC ausschalten (und löschen), die beiden phys. Server starten und es funktioniert noch.
Dann einen DC-03 in die VMware installieren und promoten. Wenn alles synchronisiert ist und keine Fehler auftreten das Ganze mit einem DC-04 wiederholen, den Lizenzserver umziehen und alle FSMO-Rollen auf die neuen DCs übertragen.
Nach einer Weile die beiden DC-01 und DC-02 erstmal herunterfahren. Wenn keiner schreit demoten und entfernen.
Da du mit funktionierenden Diensten keinen Zeitdruck hast, spricht nichts dagegen dir mit den einzelnen Schritten auch Zeit zu lassen.
Mglw. kann man es auch anders bereinigen. Da ich aber nicht sagen kann wie sich der Converter beim Sysprep verhält (Neue SID für die virtuelle Maschine) und du den obsoleten DC-01 nochmals eingeschaltet hast wäre mir das zu unsicher.
Gruß,
gemini
zum Einen würde ich empfehlen, es sei denn es gibt zwingende Gründe, mind. 1 DC auf einer phys. Maschine lassen.
Abhängig davon was bei euch alles gegen das Active Directory authentifiziert, kann man so ggfs. VCenter, ESXs, Storage etc. korrekt und fehlerfrei herunterfahren bevor man das mit dem letzten DC macht.
Ich würde DCs nicht mit dem VMware Converter oder einem anderen Tool migrieren sondern immer eine neue Machine installieren und in die Domäne promoten. Bei Rechnern, die nur DC, DNS sind geht das problemlos und schnell, da alle Daten selbständig synchronisiert werden. DHCP-, WINS-Datenbanken kann man ex-, importieren. Danach die FMSO-Rollen übertragen und die alten DCs demoten und entfernen.
Warum habt ihr den DC-02 ausgeschaltet, was ja der wichtigere Server (DC, (TS?)-Lizenzserver) zu sein scheint und nicht die FSMO-Rollen auf diesen übertragen? Dann hättet ihr zumindest alle Funktionen, wenn auch nicht redundant.
Wenn du Glück hast kannst du alle VM-DC ausschalten (und löschen), die beiden phys. Server starten und es funktioniert noch.
Dann einen DC-03 in die VMware installieren und promoten. Wenn alles synchronisiert ist und keine Fehler auftreten das Ganze mit einem DC-04 wiederholen, den Lizenzserver umziehen und alle FSMO-Rollen auf die neuen DCs übertragen.
Nach einer Weile die beiden DC-01 und DC-02 erstmal herunterfahren. Wenn keiner schreit demoten und entfernen.
Da du mit funktionierenden Diensten keinen Zeitdruck hast, spricht nichts dagegen dir mit den einzelnen Schritten auch Zeit zu lassen.
Mglw. kann man es auch anders bereinigen. Da ich aber nicht sagen kann wie sich der Converter beim Sysprep verhält (Neue SID für die virtuelle Maschine) und du den obsoleten DC-01 nochmals eingeschaltet hast wäre mir das zu unsicher.
Gruß,
gemini
Hi Bernd,
im Prinzip wie gemini schon schrieb.
Allerdings hört es sich für mich so an, als wenn Du Neuling in Active Directory bist. Falls ja, dann brauchst Du jetzt fachkundige Unterstützung vor Ort! (Systemhaus)
Falls Du Dich doch besser auskennst, als ich jetzt annehme:
Wenn Du die beiden physischen noch einmal dazu bekommst, sich gegenseitig zu akzeptieren, dann verwirf die VM's und starte das Projekt neu. Wenn auch die phyischen Kisten nicht wollen, dann solltest Du erstmal Deine Optionen abklopfen und dann in Ruhe entscheiden. Kein Aktionismus!
Erst wenn die Domäne wieder im Lot ist, Fortsetzen des P2V.
E.
im Prinzip wie gemini schon schrieb.
Allerdings hört es sich für mich so an, als wenn Du Neuling in Active Directory bist. Falls ja, dann brauchst Du jetzt fachkundige Unterstützung vor Ort! (Systemhaus)
Falls Du Dich doch besser auskennst, als ich jetzt annehme:
Wenn Du die beiden physischen noch einmal dazu bekommst, sich gegenseitig zu akzeptieren, dann verwirf die VM's und starte das Projekt neu. Wenn auch die phyischen Kisten nicht wollen, dann solltest Du erstmal Deine Optionen abklopfen und dann in Ruhe entscheiden. Kein Aktionismus!
- Welche Windows Version haben die DC?
- Sind beide DNS-Server und haben beide alle DNS-Zonen? Oder anderer DNS-Server?
- Wollen/können die beiden physischen miteinander?
- Wenn ja, dann die VM's killen. P2V neu planen.
- Wenn nein: Backup der DC (incl. Systemstatus) von vor dem P2V-Versuch vorhanden? Zeitnah beieinander?
- Wenn ja, dann auf beiden DC den Systemstatus wiederherstellen. Nacheinander, ohne dass sich beide zwischenzeitlich erreichen können (also offline voneinander)
- Wenn nein, dann solltest Du den DC01killen und mit dem DC02 weitermachen.
- DC01 offline
- DC02 alle FSMO geben (auch GC!), DC02 sich selbst als DNS
- DC03 installieren (z.B. als VM), DC02 als DNS, und zum DC promoten (Replikation vom DC02)
- Am DC02 oder 03 mit NTDSutil den DC01 hart entfernen.
- Falls DC01 nix anderes zu tun hatte, dann verwerfen. Falls doch, dann den DC01 offline demoten und dabei behaupten, dass er der letzte DC wäre. Anschließend neuen SID generieren! z.B. mit Sysprep. Erst dann wieder der Domäne als Member hinzufügen.
Erst wenn die Domäne wieder im Lot ist, Fortsetzen des P2V.
E.
Hallo,
Gruß,
Peter
Zitat von @bsmolder:
Bisher haben wir zwei physikalische Server gehabt auf dem die Domaincontroller liefen.
Sind dies 2 eigenständige Domänen oder eine Domäne mit 2 DCs?Bisher haben wir zwei physikalische Server gehabt auf dem die Domaincontroller liefen.
entsprechend der DC-02 auf die VM – Ware migriert
Migriert? Wirklich migriert? Oder was willst du uns sagen?wurde der DC-01 migriert
Auch migriert?Nach der Migration wurde der alte DC-01 dann abgeschaltet und gewechselt.
Gewechselt? Nachdem diese abgeschaltet ist?Nach kurzer Zeit stellte sich heraus, dass das Dateisystem
Was am Dateisystem ist denn falsch?und wir haben versucht das System reparieren zu lassen
Wie und womit? Systemwiederherstellung? Reparaturinstallation? Oder etwas anderes was du uns nicht verrätst?. Leider fuhr der DC-01 auf der VM – Ware nicht mehr hoch
Sondern?physikalischen DC-01 wieder gestartet und das System ist sofort ausgefallen.
Ausgefallen? Was ist ausgefallen?Der DC-02 sagt nun er habe den DC-01
Welcher DC-02 und welcher DC-01?zum letzte Mal um 10:20 erreicht ... das letzte Mal um 09:00
Uns sagen diese Uhrzeiten nur das es sich um Uhrzeiten handeln. Sagen dir die genannten Uhrzeiten etwas?Keine Vertrauensstellung mehr
Wo kommen denn jetzt die Vertrauensstellungen her? Sind es tatsächlich 2 getrennte Domänen gewesen?Derzeit haben wir den DC-02 ausgeschaltet und den nun reparierten DC-01
Also doch nur eine Domäne? Welcher deiner vielen DCs hat denn nun welche Rolle und Funktionen inne?Da auf dem DC-02 auch den Lizenzserver habe wurden wir die Vertrauensstellung
Schon wieder Vertrauensstellung. Was denn nun, 2 Domänen oder nur 1 Domäne?besser noch eine Lösung?
Such jemanden ins Haus holen der etwas mehr von Domänen als Projektmanagement kennt .....Gruß,
Peter
Hi,
danke erst einmal für euere fundierten Antworten und ja du hast Recht.
bin eher ERP - und DB Fachmann wie AD.
Beide laufen auf 2008R2
DC-01, DHCP und 1 DNS, DC-02 2. DNS.
Amsonsten sind die beiden Controller gleichberechtigt.
cu
Bernd
danke erst einmal für euere fundierten Antworten und ja du hast Recht.
bin eher ERP - und DB Fachmann wie AD.
Beide laufen auf 2008R2
DC-01, DHCP und 1 DNS, DC-02 2. DNS.
Amsonsten sind die beiden Controller gleichberechtigt.
cu
Bernd
ich dachte, der 02 ist lizenzserver? wofür überhaupt?
