Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit dem Vertrauensverhältnis zwischen dc01 und dc02

Frage Microsoft Windows Server

Mitglied: bsmolder

bsmolder (Level 1) - Jetzt verbinden

21.12.2014 um 15:46 Uhr, 941 Aufrufe, 5 Kommentare

Grüße euch,

mein Name ist Bernd, ich bin 51.
Seit einigen Monaten bin ich nun, nach langer Zeit im Projektmanagement, wieder im Bereich Netzwerk beschäftigt und habe nun ein Problem, dass ich vorsichtshalber nachfragen möchte bevor ich das System komplett zerschieße.

Also es handelt sich um folgendes:
Bisher haben wir zwei physikalische Server gehabt auf dem die Domaincontroller liefen. Seit ca. 2 Monaten stellen wir nun alles auf VM – Ware um. Am Samstag wurde entsprechend der DC-02 auf die VM – Ware migriert. Dieses hat auch hervorragend geklappt. Im Anschluss wurde der DC-01 migriert, was auf den ersten Blick auch funktionierte. Nach der Migration wurde der alte DC-01 dann abgeschaltet und gewechselt. Nach kurzer Zeit stellte sich heraus, dass das Dateisystem des DC-01 nicht korrekt war und wir haben versucht das System reparieren zu lassen. Leider fuhr der DC-01 auf der VM – Ware nicht mehr hoch danach.
Nach einer Stunde haben wir dann den physikalischen DC-01 wieder gestartet und das System ist sofort ausgefallen.
Der DC-02 sagt nun er habe den DC-01 zum letzte Mal um 10:20 erreicht und der DC-01 sagt er habe den DC-02 das letzte Mal um 09:00 gesehen. Keine Vertrauensstellung mehr. Derzeit haben wir den DC-02 ausgeschaltet und den nun reparierten DC-01 erneut auf die VM-Ware migriert.
Da auf dem DC-02 auch den Lizenzserver habe wurden wir die Vertrauensstellung gerne wieder hinbekommen.

Habt Ihr da einen Vorschlag, besser noch eine Lösung?

Besten Dank für euere Hilfe:
Bernd
Mitglied: gemini
21.12.2014, aktualisiert um 16:41 Uhr
Hallo Bernd,

zum Einen würde ich empfehlen, es sei denn es gibt zwingende Gründe, mind. 1 DC auf einer phys. Maschine lassen.
Abhängig davon was bei euch alles gegen das Active Directory authentifiziert, kann man so ggfs. VCenter, ESXs, Storage etc. korrekt und fehlerfrei herunterfahren bevor man das mit dem letzten DC macht.

Ich würde DCs nicht mit dem VMware Converter oder einem anderen Tool migrieren sondern immer eine neue Machine installieren und in die Domäne promoten. Bei Rechnern, die nur DC, DNS sind geht das problemlos und schnell, da alle Daten selbständig synchronisiert werden. DHCP-, WINS-Datenbanken kann man ex-, importieren. Danach die FMSO-Rollen übertragen und die alten DCs demoten und entfernen.

Warum habt ihr den DC-02 ausgeschaltet, was ja der wichtigere Server (DC, (TS?)-Lizenzserver) zu sein scheint und nicht die FSMO-Rollen auf diesen übertragen? Dann hättet ihr zumindest alle Funktionen, wenn auch nicht redundant.

Wenn du Glück hast kannst du alle VM-DC ausschalten (und löschen), die beiden phys. Server starten und es funktioniert noch.
Dann einen DC-03 in die VMware installieren und promoten. Wenn alles synchronisiert ist und keine Fehler auftreten das Ganze mit einem DC-04 wiederholen, den Lizenzserver umziehen und alle FSMO-Rollen auf die neuen DCs übertragen.
Nach einer Weile die beiden DC-01 und DC-02 erstmal herunterfahren. Wenn keiner schreit demoten und entfernen.
Da du mit funktionierenden Diensten keinen Zeitdruck hast, spricht nichts dagegen dir mit den einzelnen Schritten auch Zeit zu lassen.

Mglw. kann man es auch anders bereinigen. Da ich aber nicht sagen kann wie sich der Converter beim Sysprep verhält (Neue SID für die virtuelle Maschine) und du den obsoleten DC-01 nochmals eingeschaltet hast wäre mir das zu unsicher.

Gruß,
gemini
Bitte warten ..
Mitglied: emeriks
21.12.2014 um 17:06 Uhr
Hi Bernd,
im Prinzip wie gemini schon schrieb.
Allerdings hört es sich für mich so an, als wenn Du Neuling in Active Directory bist. Falls ja, dann brauchst Du jetzt fachkundige Unterstützung vor Ort! (Systemhaus)

Falls Du Dich doch besser auskennst, als ich jetzt annehme:
Wenn Du die beiden physischen noch einmal dazu bekommst, sich gegenseitig zu akzeptieren, dann verwirf die VM's und starte das Projekt neu. Wenn auch die phyischen Kisten nicht wollen, dann solltest Du erstmal Deine Optionen abklopfen und dann in Ruhe entscheiden. Kein Aktionismus!

  1. Welche Windows Version haben die DC?
  2. Sind beide DNS-Server und haben beide alle DNS-Zonen? Oder anderer DNS-Server?
  3. Wollen/können die beiden physischen miteinander?
    • Wenn ja, dann die VM's killen. P2V neu planen.
    • Wenn nein: Backup der DC (incl. Systemstatus) von vor dem P2V-Versuch vorhanden? Zeitnah beieinander?
        • Wenn ja, dann auf beiden DC den Systemstatus wiederherstellen. Nacheinander, ohne dass sich beide zwischenzeitlich erreichen können (also offline voneinander)
        • Wenn nein, dann solltest Du den DC01killen und mit dem DC02 weitermachen.
          1. DC01 offline
          2. DC02 alle FSMO geben (auch GC!), DC02 sich selbst als DNS
          3. DC03 installieren (z.B. als VM), DC02 als DNS, und zum DC promoten (Replikation vom DC02)
          4. Am DC02 oder 03 mit NTDSutil den DC01 hart entfernen.
          5. Falls DC01 nix anderes zu tun hatte, dann verwerfen. Falls doch, dann den DC01 offline demoten und dabei behaupten, dass er der letzte DC wäre. Anschließend neuen SID generieren! z.B. mit Sysprep. Erst dann wieder der Domäne als Member hinzufügen.

Erst wenn die Domäne wieder im Lot ist, Fortsetzen des P2V.

E.
Bitte warten ..
Mitglied: Pjordorf
21.12.2014, aktualisiert um 22:29 Uhr
Hallo,

Zitat von bsmolder:
Bisher haben wir zwei physikalische Server gehabt auf dem die Domaincontroller liefen.
Sind dies 2 eigenständige Domänen oder eine Domäne mit 2 DCs?

entsprechend der DC-02 auf die VM – Ware migriert
Migriert? Wirklich migriert? Oder was willst du uns sagen?

wurde der DC-01 migriert
Auch migriert?

Nach der Migration wurde der alte DC-01 dann abgeschaltet und gewechselt.
Gewechselt? Nachdem diese abgeschaltet ist?

Nach kurzer Zeit stellte sich heraus, dass das Dateisystem
Was am Dateisystem ist denn falsch?

und wir haben versucht das System reparieren zu lassen
Wie und womit? Systemwiederherstellung? Reparaturinstallation? Oder etwas anderes was du uns nicht verrätst?

>. Leider fuhr der DC-01 auf der VM – Ware nicht mehr hoch
Sondern?

physikalischen DC-01 wieder gestartet und das System ist sofort ausgefallen.
Ausgefallen? Was ist ausgefallen?

Der DC-02 sagt nun er habe den DC-01
Welcher DC-02 und welcher DC-01?

zum letzte Mal um 10:20 erreicht ... das letzte Mal um 09:00
Uns sagen diese Uhrzeiten nur das es sich um Uhrzeiten handeln. Sagen dir die genannten Uhrzeiten etwas?

Keine Vertrauensstellung mehr
Wo kommen denn jetzt die Vertrauensstellungen her? Sind es tatsächlich 2 getrennte Domänen gewesen?

Derzeit haben wir den DC-02 ausgeschaltet und den nun reparierten DC-01
Also doch nur eine Domäne? Welcher deiner vielen DCs hat denn nun welche Rolle und Funktionen inne?

Da auf dem DC-02 auch den Lizenzserver habe wurden wir die Vertrauensstellung
Schon wieder Vertrauensstellung. Was denn nun, 2 Domänen oder nur 1 Domäne?

besser noch eine Lösung?
Such jemanden ins Haus holen der etwas mehr von Domänen als Projektmanagement kennt .....

Gruß,
Peter
Bitte warten ..
Mitglied: bsmolder
21.12.2014 um 19:25 Uhr
Hi,

danke erst einmal für euere fundierten Antworten und ja du hast Recht.
bin eher ERP - und DB Fachmann wie AD.
Beide laufen auf 2008R2
DC-01, DHCP und 1 DNS, DC-02 2. DNS.
Amsonsten sind die beiden Controller gleichberechtigt.

cu
Bernd
Bitte warten ..
Mitglied: emeriks
21.12.2014 um 22:09 Uhr
ich dachte, der 02 ist lizenzserver? wofür überhaupt?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
gelöst Probleme VPN Verbindung zwischen Win 7 Rechnern (13)

Frage von Vsadm07 zum Thema Windows Netzwerk ...

Batch & Shell
gelöst Crontab mit Shell Probleme (9)

Frage von mschaedler1982 zum Thema Batch & Shell ...

Humor (lol)
Der Unterschied zwischen USA und USB

Link von BirdyB zum Thema Humor (lol) ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (4)

Frage von Gien-app zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...