4
Zweiten Windows 2k DC aus der W2k3 Domäne entfernen
Wie kann man am besten und sichersten den einen zweiten Domaincontroller entfernen, der durch einen Crash die Vertrauenstellung verloren hat?
Vor einiger Zeit ist der prim. DC (W2k3) abgestürzt und wir mussten Ihn aus einem Image wiederherstellen. Seitdem funktioniert die Standortinterne AD-Replikation nicht mehr.
Ich möchte den w2k aus der Domain entfernen und anschließend wieder als zusätzlichen DC installieren. Dabei habe ich mir folgenden Ablauf gedacht:
"Abends"
1. ntbackup Systemstate Sicherung des W2k3 und des W2k
2. w2k: per dcpromo die Active Directory deinstallieren
3. w2k: aus der Domäne rausheben und neu starten
4. W2k3 (erster DC) das Serverkonto aus der Benutzer - und Computerverwaltung löschen
5. w2k: Server wieder in die Domäne reinheben und neustarten
6. w2k: mit dcpromo wieder die Active Directory installieren
7. schauen und hoffen, dass wieder alles in Butter ist
Ist der Ablauf so richtig und vollständig? oder gibt es, weil der W2k nicht mehr richtig vom w2k3 erkannt wird irgendwelche Probleme / Risiken?
Vielen Dank im Voraus
Ich möchte den w2k aus der Domain entfernen und anschließend wieder als zusätzlichen DC installieren. Dabei habe ich mir folgenden Ablauf gedacht:
"Abends"
1. ntbackup Systemstate Sicherung des W2k3 und des W2k
2. w2k: per dcpromo die Active Directory deinstallieren
3. w2k: aus der Domäne rausheben und neu starten
4. W2k3 (erster DC) das Serverkonto aus der Benutzer - und Computerverwaltung löschen
5. w2k: Server wieder in die Domäne reinheben und neustarten
6. w2k: mit dcpromo wieder die Active Directory installieren
7. schauen und hoffen, dass wieder alles in Butter ist
Ist der Ablauf so richtig und vollständig? oder gibt es, weil der W2k nicht mehr richtig vom w2k3 erkannt wird irgendwelche Probleme / Risiken?
Vielen Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 70159
Url: https://administrator.de/contentid/70159
Printed on: April 16, 2024 at 05:04 o'clock
4 Comments
Latest comment
Mir deucht, du schilderst eine Ursache und deren Folgen,:
suggerierst eine Lösung, welche nicht funktioniert,:
...
und hoffst nun auf eine Lösung.
So wird das nicht funktionieren. Ich lese aus deinem Beitrag, daß du eine fehlerhafte AD-Replikation beheben willst - richtig? Da ich die genauen Parameter der Replikation nicht kenne, wage ich den Schuß ins Blaue und vermute Probleme mit dem GC. Diese kannst du mit 'ntfsutil.exe' beheben. Lieferst du mehr Einzelheiten, kann dir sicher geholfen werden.
Vor einiger Zeit ist der prim. DC (W2k3)
abgestürzt und wir mussten Ihn aus einem
Image wiederherstellen. Seitdem funktioniert
die Standortinterne AD-Replikation nicht
mehr.
abgestürzt und wir mussten Ihn aus einem
Image wiederherstellen. Seitdem funktioniert
die Standortinterne AD-Replikation nicht
mehr.
suggerierst eine Lösung, welche nicht funktioniert,:
Ich möchte den w2k aus der Domain
entfernen und anschließend wieder als
zusätzlichen DC installieren. Dabei habe
ich mir folgenden Ablauf gedacht:
entfernen und anschließend wieder als
zusätzlichen DC installieren. Dabei habe
ich mir folgenden Ablauf gedacht:
...
und hoffst nun auf eine Lösung.
So wird das nicht funktionieren. Ich lese aus deinem Beitrag, daß du eine fehlerhafte AD-Replikation beheben willst - richtig? Da ich die genauen Parameter der Replikation nicht kenne, wage ich den Schuß ins Blaue und vermute Probleme mit dem GC. Diese kannst du mit 'ntfsutil.exe' beheben. Lieferst du mehr Einzelheiten, kann dir sicher geholfen werden.
richtig erkannt srmerlin 
beide Server laufen ansonsten ohne Probleme. Das einzige was nciht funktioniert ist eben die Replikation. DCDIAG meldet bis auf den "Replication"-Test über "passed"
bei Replication kommt folgende Ausschrift.
Testing server: Standardname-des-ersten-Standorts\Asterix
Starting test: Replications
[Replications Check,Asterix] A recent replication attempt failed:
From OBELIX to Asterix
Naming Context: CN=Configuration,DC=<domäne>,DC=local
The replication generated an error (1818):
Der Remoteprozeduraufruf (RPC) wurde abgebrochen.
The failure occurred at 2007-10-08 15:01:19.
The last success occurred at 2007-07-06 01:18:15.
11209 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
Asterix: Current time is 2007-10-08 15:08:12.
CN=Configuration,DC=<domäne>,DC=local
Last replication recieved from OBELIX at 2007-07-06 01:18:15.
WARNING: This latency is over the Tombstone Lifetime of 60 days!
Okay... die Tombstone Lifetime ist abgelaufen ...
In den Logs sind auch mehrere RPC-TIMEOUTS unter "Dateirepl.-dienst" vermerkt.
Ms schlägt in diesem Fall eine Erhöhung des Timeoutswertes vor, was ich schon gemacht habe.
Ereignistyp: Warnung
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 1232
Computer: Asterix
Beschreibung:
Active Directory hat versucht, einen Remoteprozeduraufruf (RPC) an den folgenden Server durchzuführen. Das Aufrufzeitlimit wurde überschritten, und der Vorgang wurde abgebrochen.
Server:
c32fe736-8e9e-4ff2-86d9-8c12ac1dd4eb._msdcs.<domäne>.local
Aufrufzeitlimit (Min.):
5
Threadkennung:
248
Zusätzliche Daten
Interne Kennung:
5001047
Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Replikation
Ereigniskennung: 1864
Computer: Asterix
Beschreibung:
Der Replikationsstatus für die folgende Verzeichnispartition des lokalen Domänencontrollers ist wie folgt.
Verzeichnispartition:
CN=Configuration,DC=<domäne>,DC=local
n
Der lokale Domänencontroller hat in jüngster Zeit von einer bestimmten Anzahl an Domäncontrollern keine Replikationsinformationen mehr erhalten. Die Anzahl an Domänencontrollern wird unterteilt in die folgenden Intervalle gezeigt. n
Länger als 24 Stunden:
1
Länger als eine Woche:
1
Länger als einen Monat:
1
Länger als zwei Monate:
1
Längerals die Tombstone-Ablaufzeit:
1
Tombstone-Ablaufzeit (in Tagen):
60
Bei Domänencontrollern, die nicht rechtzeitig repliziert werden, können Fehler auftreten. Ihnen können Kennwortänderungen entgehen, und sie können daher ggf. nicht in authentifiziert werden. Einem Domänencontroller, der innerhalb der Tobstone-Ablaufzeit nicht repliziert wurde, kann das Löschen von Objekten entgehen, und er wird ggf. für die zukünftige Replikation gesperrt, bis er wieder abgestimmt wurde.
Installieren Sie die Supporttools von der Installations-CD und führen Sie dcdiag.exe aus, um Domänencontroller anhand des Namens zu identifizieren.
Sie können auch das Supporttool repadmin.exe verwenden, um Replikations- latenzzeiten der Domänencontroller in der Struktur anzuzeigen. Der Befehl lutet "repadmin /showvector /latency <partition-dn>".
ich werde mal den Lösungsansatz mit dem REPAdmin durchführen.
beide Server laufen ansonsten ohne Probleme. Das einzige was nciht funktioniert ist eben die Replikation. DCDIAG meldet bis auf den "Replication"-Test über "passed"
bei Replication kommt folgende Ausschrift.
Testing server: Standardname-des-ersten-Standorts\Asterix
Starting test: Replications
[Replications Check,Asterix] A recent replication attempt failed:
From OBELIX to Asterix
Naming Context: CN=Configuration,DC=<domäne>,DC=local
The replication generated an error (1818):
Der Remoteprozeduraufruf (RPC) wurde abgebrochen.
The failure occurred at 2007-10-08 15:01:19.
The last success occurred at 2007-07-06 01:18:15.
11209 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
Asterix: Current time is 2007-10-08 15:08:12.
CN=Configuration,DC=<domäne>,DC=local
Last replication recieved from OBELIX at 2007-07-06 01:18:15.
WARNING: This latency is over the Tombstone Lifetime of 60 days!
Okay... die Tombstone Lifetime ist abgelaufen ...
In den Logs sind auch mehrere RPC-TIMEOUTS unter "Dateirepl.-dienst" vermerkt.
Ms schlägt in diesem Fall eine Erhöhung des Timeoutswertes vor, was ich schon gemacht habe.
Ereignistyp: Warnung
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 1232
Computer: Asterix
Beschreibung:
Active Directory hat versucht, einen Remoteprozeduraufruf (RPC) an den folgenden Server durchzuführen. Das Aufrufzeitlimit wurde überschritten, und der Vorgang wurde abgebrochen.
Server:
c32fe736-8e9e-4ff2-86d9-8c12ac1dd4eb._msdcs.<domäne>.local
Aufrufzeitlimit (Min.):
5
Threadkennung:
248
Zusätzliche Daten
Interne Kennung:
5001047
Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Replikation
Ereigniskennung: 1864
Computer: Asterix
Beschreibung:
Der Replikationsstatus für die folgende Verzeichnispartition des lokalen Domänencontrollers ist wie folgt.
Verzeichnispartition:
CN=Configuration,DC=<domäne>,DC=local
n
Der lokale Domänencontroller hat in jüngster Zeit von einer bestimmten Anzahl an Domäncontrollern keine Replikationsinformationen mehr erhalten. Die Anzahl an Domänencontrollern wird unterteilt in die folgenden Intervalle gezeigt. n
Länger als 24 Stunden:
1
Länger als eine Woche:
1
Länger als einen Monat:
1
Länger als zwei Monate:
1
Längerals die Tombstone-Ablaufzeit:
1
Tombstone-Ablaufzeit (in Tagen):
60
Bei Domänencontrollern, die nicht rechtzeitig repliziert werden, können Fehler auftreten. Ihnen können Kennwortänderungen entgehen, und sie können daher ggf. nicht in authentifiziert werden. Einem Domänencontroller, der innerhalb der Tobstone-Ablaufzeit nicht repliziert wurde, kann das Löschen von Objekten entgehen, und er wird ggf. für die zukünftige Replikation gesperrt, bis er wieder abgestimmt wurde.
Installieren Sie die Supporttools von der Installations-CD und führen Sie dcdiag.exe aus, um Domänencontroller anhand des Namens zu identifizieren.
Sie können auch das Supporttool repadmin.exe verwenden, um Replikations- latenzzeiten der Domänencontroller in der Struktur anzuzeigen. Der Befehl lutet "repadmin /showvector /latency <partition-dn>".
ich werde mal den Lösungsansatz mit dem REPAdmin durchführen.
Okay die beiden Lümmel replizieren wieder was das Zeug hält habe einfach eine neue Standortübergreifende Replikation (über IP) eingerichtet und laut "Replmon" siehts gut aus.
leider werden nur nicht die "Konfigurationsinformationen" repliziert, weil immernoch der RPC Time-Out Auftritt. Kann man noch irgendwo einstellen, das die "Konfigurationsinformationen" anstelle über RPC, über IP repliziert wird?
Von der Erhöhung des Timeout Wertes (was MS empfehlt) verspreche ich mir nicht all zu viel...
Ein Server hat den Tombstone Wert überschritten, hat jemand eine Idee, wie ich den wieder "hinbekomme"?
habe einfach eine neue Standortübergreifende Replikation (über IP) eingerichtet und laut "Replmon" siehts gut aus.leider werden nur nicht die "Konfigurationsinformationen" repliziert, weil immernoch der RPC Time-Out Auftritt. Kann man noch irgendwo einstellen, das die "Konfigurationsinformationen" anstelle über RPC, über IP repliziert wird?
Von der Erhöhung des Timeout Wertes (was MS empfehlt) verspreche ich mir nicht all zu viel...
Ein Server hat den Tombstone Wert überschritten, hat jemand eine Idee, wie ich den wieder "hinbekomme"?
hab was interessantes zu TOMBSTONE in der AD gefunden:
Das Geheimnis der Tombstone Lifetime
"Letztlich sieht die TombstoneLifetime auf den einzelnen Serverversionen wie folgt aus:
1. Neu installierter Windows 2000 DC (mit allen SPs) : 60 Tage (Attribut = <not set>)
2. Upgrade von NT / 2000 DC auf 2003 DC : 60 Tage (Attribut = <not set>)
3. Upgrade von NT / 2000 DC auf 2003 SP1 DC : 60 Tage (Attribut = <not set>)
4. Upgrade von NT / 2000 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = <not set>)
5. Neu installierter Windows 2003 DC : 60 Tage (Attribut = <not set>)
6. Upgrade von 2003 DC auf 2003 SP1 DC : 60 Tage (Attribut = <not set>)
7. Upgrade von 2003 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = <not set>)
8. Neu installierter Windows 2003 SP1 DC : 180 Tage (Attribut = 180)
9. Neu installierter Windows 2003 R2 DC (NUR CD1) : 180 Tage (Attribut : 180)"
Das Geheimnis der Tombstone Lifetime
"Letztlich sieht die TombstoneLifetime auf den einzelnen Serverversionen wie folgt aus:
1. Neu installierter Windows 2000 DC (mit allen SPs) : 60 Tage (Attribut = <not set>)
2. Upgrade von NT / 2000 DC auf 2003 DC : 60 Tage (Attribut = <not set>)
3. Upgrade von NT / 2000 DC auf 2003 SP1 DC : 60 Tage (Attribut = <not set>)
4. Upgrade von NT / 2000 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = <not set>)
5. Neu installierter Windows 2003 DC : 60 Tage (Attribut = <not set>)
6. Upgrade von 2003 DC auf 2003 SP1 DC : 60 Tage (Attribut = <not set>)
7. Upgrade von 2003 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = <not set>)
8. Neu installierter Windows 2003 SP1 DC : 180 Tage (Attribut = 180)
9. Neu installierter Windows 2003 R2 DC (NUR CD1) : 180 Tage (Attribut : 180)"