5
AD konnte keine Verbindung mit dem globalen Katalog herstellen
Tachchen,
war heute ausnahmsweise gezwungen unseren DC in der Mittagspause neuzustarten. Nach dem Neustart ging erstmal gar nichts mehr, Anmeldung am DC gab nur die Meldung, dass die Domäne nicht vorhanden sei. Schock.
Nach 10min war der Spuck vorbei und alles läuft wieder "normal". Trotzdem kein schlechter Anlass, sich mal die Eventlogs anzuschauen und neben zahllosen anderen Replikationsfehlern kommt täglich die Meldung:
"Active Directory konnte keine Verbindung mit dem globalen Katalog herstellen"
Ein Eintrag hier im Forum brachte mich zu:
http://www.eventid.net/display.asp?eventid=1126&eventno=656&sou ...
wo ich erfuhr, dass dieser Fehler verschiedenste Ursachen haben kann.
Im DC ist mir dann aufgefallen, dass unser alter Domänen-Controller (Migration liegt 2 Monate zurück) noch als DC vermerkt ist. Der ist abgeschaltet (ist zur Not aber noch verfügbar) und kann somit nicht mehr repliziert werden, sicherlich die wahrscheinlichste Ursache des Problems.
Ich habe damals bei der Migration sorgfältig alle 5 Rollen übertragen, hab eben nochmal überprüft, ob alle Rollen auch beim neuen DC liegen (der den selben Rechnernamen hat wie der alte; der alte DC hat während der Migration einen temp. Namen erhalten).
Meine Frage: kann ich den alten DC jetzt aus der Liste der DC's entfernen oder gibt es noch Dinge, die zu überprüfen bzw. einzustellen sind? Ich hab gerade Bammel, dass hinterher (oder nach 180 Tagen) alles steht weil ich irgendwas vergessen hab.
Reicht es überhaupt, ihn am aktuellen DC unter der Sicht AD Benutzer und Computer / Domänen-Controller zu löschen?
Oder muss er nochmal in Betrieb genommen und die DC Funktion deaktiviert werden? Ich wollte ihn aus Sicherheitsgründen eigentlich nicht mehr ans Netz nehmen.
Besten Dank im Voraus!
Nach 10min war der Spuck vorbei und alles läuft wieder "normal". Trotzdem kein schlechter Anlass, sich mal die Eventlogs anzuschauen und neben zahllosen anderen Replikationsfehlern kommt täglich die Meldung:
"Active Directory konnte keine Verbindung mit dem globalen Katalog herstellen"
Ein Eintrag hier im Forum brachte mich zu:
http://www.eventid.net/display.asp?eventid=1126&eventno=656&sou ...
wo ich erfuhr, dass dieser Fehler verschiedenste Ursachen haben kann.
Im DC ist mir dann aufgefallen, dass unser alter Domänen-Controller (Migration liegt 2 Monate zurück) noch als DC vermerkt ist. Der ist abgeschaltet (ist zur Not aber noch verfügbar) und kann somit nicht mehr repliziert werden, sicherlich die wahrscheinlichste Ursache des Problems.
Ich habe damals bei der Migration sorgfältig alle 5 Rollen übertragen, hab eben nochmal überprüft, ob alle Rollen auch beim neuen DC liegen (der den selben Rechnernamen hat wie der alte; der alte DC hat während der Migration einen temp. Namen erhalten).
Meine Frage: kann ich den alten DC jetzt aus der Liste der DC's entfernen oder gibt es noch Dinge, die zu überprüfen bzw. einzustellen sind? Ich hab gerade Bammel, dass hinterher (oder nach 180 Tagen) alles steht weil ich irgendwas vergessen hab.
Reicht es überhaupt, ihn am aktuellen DC unter der Sicht AD Benutzer und Computer / Domänen-Controller zu löschen?
Oder muss er nochmal in Betrieb genommen und die DC Funktion deaktiviert werden? Ich wollte ihn aus Sicherheitsgründen eigentlich nicht mehr ans Netz nehmen.
Besten Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127098
Url: https://administrator.de/contentid/127098
Printed on: April 23, 2024 at 19:04 o'clock
5 Comments
Latest comment
Moin,
Du mußt ein dcpromo machen, um ihn sauber aus dem AD zu entfernen
Allerdings kann es erst mal etwas dauern, weil der alles an Replikation nachholen will
Gruß
24
Du mußt ein dcpromo machen, um ihn sauber aus dem AD zu entfernen
Allerdings kann es erst mal etwas dauern, weil der alles an Replikation nachholen will
Gruß
24
Danke für die Antwort!
Also doch nochmal alten DC ans Netz nehmen und die Funktion DC entfernen ...
Also doch nochmal alten DC ans Netz nehmen und die Funktion DC entfernen ...
ja, nur so geht es sauber
Gruß
24
Gruß
24
Servus,
wenn die Tombstone Lifetime [1] abgelaufen ist, kannst du den ausgeschalteten DC nicht mit DCPROMO aus der Domäne entfernen.
Die anderen DCs blocken jegliche Kommunikation mit dem veralteten DC.
Du müsstest dann auf dem alten DC mit DCPROMO /FORCEREMOVAL die AD-Daten lokal vom DC entfernen.
Wenn der Server ohnehin nicht mehr gebraucht wird und die Hardware alt ist, kannst du dir diesen Schritt sparen und
installierst entweder die Maschine neu oder verschrottest die Hardware.
Was du aber zwingend machen musst, ist die Metadaten des AD zu bereinigen [2].
Denn ansonsten würde im AD noch eine Leiche existieren und die anderen DCs würden ihr Eventlog mit Fehlermeldungen
voll schreiben.
[1] [LDAP:Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx
[2] [LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Viele Grüße
Yusuf Dikmenoglu
wenn die Tombstone Lifetime [1] abgelaufen ist, kannst du den ausgeschalteten DC nicht mit DCPROMO aus der Domäne entfernen.
Die anderen DCs blocken jegliche Kommunikation mit dem veralteten DC.
Du müsstest dann auf dem alten DC mit DCPROMO /FORCEREMOVAL die AD-Daten lokal vom DC entfernen.
Wenn der Server ohnehin nicht mehr gebraucht wird und die Hardware alt ist, kannst du dir diesen Schritt sparen und
installierst entweder die Maschine neu oder verschrottest die Hardware.
Was du aber zwingend machen musst, ist die Metadaten des AD zu bereinigen [2].
Denn ansonsten würde im AD noch eine Leiche existieren und die anderen DCs würden ihr Eventlog mit Fehlermeldungen
voll schreiben.
[1] [LDAP:Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx
[2] [LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Viele Grüße
Yusuf Dikmenoglu
Nochmal vielen Dank, auch für die Links!
Die Tombstone Lifetime ist noch nicht abgelaufen, von daher kein Problem.
Die Tombstone Lifetime ist noch nicht abgelaufen, von daher kein Problem.
