3
Server 2003 R2, DC FSMO Rolle nicht mehr gültig, der alte reserve dc ist nicht mehr verfügbar
Hallo,
unser System wurde vor ca 6 Monaten aufgebaut hier ersmal ein paar Infos
erster Server:
Windows 2003 Enterprise Edition R2
Pentium 4 Dualcore 2,8 Ghz
4 gigabyte Ram
320 Gigabyte Raid 0 + 1
Wechselrahmen 160 GB Hd für Backup
Funktion:
Domänencontroller,
DNS Server
Terminalserver
Printserver
Zweiter Server
Windows 2003 Enterprise Edition R2
SQL Server Enterprise Edition 2005
Opteron 265 Dualcore
4 Gigabyte RAM
80 GB Raid 1 für das Betriebssystem
80 GB Raid 1 für die Datenbank
Wechselrahmen 160 GB HD für Backup
Funktion:
SQL Server für unsere Datenbank
Clients:
2,8 Ghz Dualcores
512MB RAM
80 Festplatte
Windows XP Prof SP2
Insgesammt werden 13 clients eingesetzt. 2 hiervon sind an einen anderen Standort und werden durch einen VPN LAn-Lan verbindung die direkt über die Router erstellt wird angebunden und arbeiten dann über Remotedesktop auf dem Terminalserver.
Alle Pcs haben feste IP adressen.
Ursprünglich waren 4 Server geplannt, ein zusätzlicher ISA und ein reserve Domänencontroller, die beiden waren auch am Anfang in der Domäne eingebunden wurden dann aber wieder abgebaut und demontiert (leider ohne sie vorher richtig zu entfernen)
Jetzt hab ich das Problem mit der FSMO Meldung im Ereignisprotokoll:
"
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, jedoch wird diese nicht als gültig angesehen. Für die Partition, die das FSMO enthält, wurde dieser Server nicht erfolgreich mit irgendeinem der Partner seit dem letzten Neustart des Servers repliziert. Replikationsfehler verhindern die Bestätigung dieser Rolle.
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, schlagen fehl, solange dieser Zustand nicht behoben wird.
FSMO-Rolle: CN=Schema,CN=Configuration,DC=XXX,DC=local
Benutzeraktion:
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Fehlschlagen der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht bestätigt werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt.
2. Dieser Server verfügt über mindestens einen Replikationspartner und die Replikation schlägt für alle Partner fehl. Führen Sie den Befehl REPADMIN /showrepl aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Problem mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern.
3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Bestätigung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für denselben Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 auf http://support.microsoft.com aufgelistet sind, durchgeführt werden.
Die folgenden Vorgänge werden eventuell beeinträchtigt:
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren.
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen.
PDC: Sie können keine weiteren Vorgänge, wie z. B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory vorhandene Konten, auf dem primären Domänencontroller durchführen.
RID: Sie können keine neuen Sicherheitskennungen für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen.
Infrastruktur: Domänenübergreifende Namenreferenzen, wie z. B. universelle Gruppenmitgliedschaften, werden nicht richtig aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
""""
Mit NTDSUTIL kenne ich mich leider nicht aus und die angebenen Artikel haben mir leider nicht wirklich weitergeholfen.
Das Problem bestand wohl von Anfang an bisher ist es jedoch zu keinen Problemem gekommen trotzdem würd ich den Fehler gerne beseitigen.
Von den entfernten Server gibt es keine Sicherheitskopien und leider auch keine von der Zeit wo Sie noch nicht im System waren.
Die beiden übrigen Server und die Datenbank werden regelmäßig gesichtet, eine Neuinstallation ist leider nicht möglich.
Hoffe ihr habt eine Lösung
Gruß
CannorX
unser System wurde vor ca 6 Monaten aufgebaut hier ersmal ein paar Infos
erster Server:
Windows 2003 Enterprise Edition R2
Pentium 4 Dualcore 2,8 Ghz
4 gigabyte Ram
320 Gigabyte Raid 0 + 1
Wechselrahmen 160 GB Hd für Backup
Funktion:
Domänencontroller,
DNS Server
Terminalserver
Printserver
Zweiter Server
Windows 2003 Enterprise Edition R2
SQL Server Enterprise Edition 2005
Opteron 265 Dualcore
4 Gigabyte RAM
80 GB Raid 1 für das Betriebssystem
80 GB Raid 1 für die Datenbank
Wechselrahmen 160 GB HD für Backup
Funktion:
SQL Server für unsere Datenbank
Clients:
2,8 Ghz Dualcores
512MB RAM
80 Festplatte
Windows XP Prof SP2
Insgesammt werden 13 clients eingesetzt. 2 hiervon sind an einen anderen Standort und werden durch einen VPN LAn-Lan verbindung die direkt über die Router erstellt wird angebunden und arbeiten dann über Remotedesktop auf dem Terminalserver.
Alle Pcs haben feste IP adressen.
Ursprünglich waren 4 Server geplannt, ein zusätzlicher ISA und ein reserve Domänencontroller, die beiden waren auch am Anfang in der Domäne eingebunden wurden dann aber wieder abgebaut und demontiert (leider ohne sie vorher richtig zu entfernen)
Jetzt hab ich das Problem mit der FSMO Meldung im Ereignisprotokoll:
"
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, jedoch wird diese nicht als gültig angesehen. Für die Partition, die das FSMO enthält, wurde dieser Server nicht erfolgreich mit irgendeinem der Partner seit dem letzten Neustart des Servers repliziert. Replikationsfehler verhindern die Bestätigung dieser Rolle.
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, schlagen fehl, solange dieser Zustand nicht behoben wird.
FSMO-Rolle: CN=Schema,CN=Configuration,DC=XXX,DC=local
Benutzeraktion:
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Fehlschlagen der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht bestätigt werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt.
2. Dieser Server verfügt über mindestens einen Replikationspartner und die Replikation schlägt für alle Partner fehl. Führen Sie den Befehl REPADMIN /showrepl aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Problem mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern.
3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Bestätigung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für denselben Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 auf http://support.microsoft.com aufgelistet sind, durchgeführt werden.
Die folgenden Vorgänge werden eventuell beeinträchtigt:
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren.
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen.
PDC: Sie können keine weiteren Vorgänge, wie z. B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory vorhandene Konten, auf dem primären Domänencontroller durchführen.
RID: Sie können keine neuen Sicherheitskennungen für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen.
Infrastruktur: Domänenübergreifende Namenreferenzen, wie z. B. universelle Gruppenmitgliedschaften, werden nicht richtig aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
""""
Mit NTDSUTIL kenne ich mich leider nicht aus und die angebenen Artikel haben mir leider nicht wirklich weitergeholfen.
Das Problem bestand wohl von Anfang an bisher ist es jedoch zu keinen Problemem gekommen trotzdem würd ich den Fehler gerne beseitigen.
Von den entfernten Server gibt es keine Sicherheitskopien und leider auch keine von der Zeit wo Sie noch nicht im System waren.
Die beiden übrigen Server und die Datenbank werden regelmäßig gesichtet, eine Neuinstallation ist leider nicht möglich.
Hoffe ihr habt eine Lösung
Gruß
CannorX
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 54213
Url: https://administrator.de/contentid/54213
Printed on: April 25, 2024 at 18:04 o'clock
3 Comments
Latest comment
Leider auch kein erfolg mit NTDSUTIL bekomme folgende Fehlermeldung :
fsmo maintenance: seize infrastructure master
"
Eine sichere Übertragung von infrastructure FSMO vor der Übernahme der Funktione
n wird versucht.
ldap_modify_sW-Fehler 0x34(52 (Nicht verfügbar).
LDAP-Fehlermeldung: 000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE),
data 8438
Win32-Fehler: 0x20af(Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werd
en. Der aktuelle FSMO-Inhaber war nicht erreichbar.)
"
die anderen seize befehle wurden ohen Fehlermeldungen ausgeführt.
Wie kann ich dem System verständlich machen das es keinen reserve Domänen Controller mehr gibt?
Gruß
CannorX
fsmo maintenance: seize infrastructure master
"
Eine sichere Übertragung von infrastructure FSMO vor der Übernahme der Funktione
n wird versucht.
ldap_modify_sW-Fehler 0x34(52 (Nicht verfügbar).
LDAP-Fehlermeldung: 000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE),
data 8438
Win32-Fehler: 0x20af(Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werd
en. Der aktuelle FSMO-Inhaber war nicht erreichbar.)
"
die anderen seize befehle wurden ohen Fehlermeldungen ausgeführt.
Wie kann ich dem System verständlich machen das es keinen reserve Domänen Controller mehr gibt?
Gruß
CannorX
Was haltet ihr von der Idee einfach einen neuen computer als Reserve Domänencontroller wieder mit einzubinden damit wieder ein Replikationspartner zur Verfügung steht.
Würde das Problem dadurch gelößt?
Was passiert wenn man es einfach ignorieren würde bisher gibt es ja keine Probleme bei den Usern?
Die andere Möglichkeit über die ich auch schon nachgedacht habe ist unseren SQL Server einfach raufzustufen damit dieser als reservedomänencontroller fungiert.
Dadurch würde die Anschafung neuer Software wegfallen, da wir nur 2 Lizzenzen für den Server 2003 Enterprise haben.
Ich nehme an Pferformance probleme dürfte es keine geben es laufen 2 Datenbanken auf dem Server eine mit 250 BM und eine mit 150 MB.
Danke
Gruß
CannorX
Würde das Problem dadurch gelößt?
Was passiert wenn man es einfach ignorieren würde bisher gibt es ja keine Probleme bei den Usern?
Die andere Möglichkeit über die ich auch schon nachgedacht habe ist unseren SQL Server einfach raufzustufen damit dieser als reservedomänencontroller fungiert.
Dadurch würde die Anschafung neuer Software wegfallen, da wir nur 2 Lizzenzen für den Server 2003 Enterprise haben.
Ich nehme an Pferformance probleme dürfte es keine geben es laufen 2 Datenbanken auf dem Server eine mit 250 BM und eine mit 150 MB.
Danke
Gruß
CannorX
Hast du das nach folgendem schema probiert?
ntdsutil:
1. Metadata cleanup
2. select operation target
3. connections
4. connect to domain DEINEDOMAIN
5. quit
6. list sits
7. select site DEINESITE
8. list servers in site
9. select server DEINGEKLAUTERSERVER
12. quit
13. remove selected server
14. quit
15. roles
16. select operation target
17. list servers in site
18. select server ERSATZSERVER
19. quit
20. seize schema master
21 ... alle Rollen die der Tote server hatte übertragen
22 quit
23. quit
24. supporttools installieren (wenn nich schon vorhanden)
25. adsiedit starten
26. verbleibende Objekte des defekten DC´s entfernen
27. DNS-konsole starten und verbleibende einträge löschen
28. AD Standorte und Dienste öffnen und ungültige replikationsverknüpfungen entfernen
29. AD Benutzer und Computer öffnen, auf erweiterten Modus schalten und im Container "System" ungültige einträge entfernen
30. Hoffen das nichts vergessen wurde und den DC zur Sicherheit mal durchstarten
ntdsutil:
1. Metadata cleanup
2. select operation target
3. connections
4. connect to domain DEINEDOMAIN
5. quit
6. list sits
7. select site DEINESITE
8. list servers in site
9. select server DEINGEKLAUTERSERVER
12. quit
13. remove selected server
14. quit
15. roles
16. select operation target
17. list servers in site
18. select server ERSATZSERVER
19. quit
20. seize schema master
21 ... alle Rollen die der Tote server hatte übertragen
22 quit
23. quit
24. supporttools installieren (wenn nich schon vorhanden)
25. adsiedit starten
26. verbleibende Objekte des defekten DC´s entfernen
27. DNS-konsole starten und verbleibende einträge löschen
28. AD Standorte und Dienste öffnen und ungültige replikationsverknüpfungen entfernen
29. AD Benutzer und Computer öffnen, auf erweiterten Modus schalten und im Container "System" ungültige einträge entfernen
30. Hoffen das nichts vergessen wurde und den DC zur Sicherheit mal durchstarten
