5
Kann W2k DC nicht aus ADS entfernen
Probleme mit der Replication (oder Kerberos) verhindern das entfernen des DCs aus dem ActiveDirectory
Hallo
Angefangen hat es damit, dass ich nach einem Softwarefehler ein altes (zu alt vermute ich) Image aufgespielt habe.
Situation:
Ich habe 2 DC (DC1 und DC2)
Auf DC1 läuft noch ein Exchange2000, auf diesem habe ich nach einem Problem ein altes Image zurückgespielt.
Folge war, dass sich DC zwei nicht mehr mit DC1 repliziert, oder dass die UNC Pfade nicht mehr gefunden wurden usw, je nachdem auf welchem DC man angemeldet wurde.
Ich kann z.B. von DC2 nicht mit dem UNC Pfad auf eine Freigabe von DC1 zugreifen, mit der IP funktioniert das.
Wenn ich den Kerberos-Dienst auf DC2 deaktiviere, kann ich mit dem UNC Pfad auf die Freigaben zugreiffen.
Plan:
DC2 herabstufen und wieder als DC einsetzen.
Problem
Ich kann DC2 nicht herabstufen.
Mit dcpromo erhalte ich den Fehler, dass DC2 die FSMO Rollen nicht auf DC1 schreiben kann.
Ich habe auch Versucht DC2 aus dem ADS zu löschen über die Sites and Services, aber auch da die Fehlermeldung, dass ich ihn nicht löschen kann.
Plan2:
Replication wieder reparieren.
Ich dachte mir, dass ich mit netdom DC2 dazu bringen, ein neues Kerberos Ticket anzufordern, aber auch das funktioniert nicht.
Wenn irgendjemand eine Idee hat, bin ich sehr dankbar =)
gruss pablo
Angefangen hat es damit, dass ich nach einem Softwarefehler ein altes (zu alt vermute ich) Image aufgespielt habe.
Situation:
Ich habe 2 DC (DC1 und DC2)
Auf DC1 läuft noch ein Exchange2000, auf diesem habe ich nach einem Problem ein altes Image zurückgespielt.
Folge war, dass sich DC zwei nicht mehr mit DC1 repliziert, oder dass die UNC Pfade nicht mehr gefunden wurden usw, je nachdem auf welchem DC man angemeldet wurde.
Ich kann z.B. von DC2 nicht mit dem UNC Pfad auf eine Freigabe von DC1 zugreifen, mit der IP funktioniert das.
Wenn ich den Kerberos-Dienst auf DC2 deaktiviere, kann ich mit dem UNC Pfad auf die Freigaben zugreiffen.
Plan:
DC2 herabstufen und wieder als DC einsetzen.
Problem
Ich kann DC2 nicht herabstufen.
Mit dcpromo erhalte ich den Fehler, dass DC2 die FSMO Rollen nicht auf DC1 schreiben kann.
Ich habe auch Versucht DC2 aus dem ADS zu löschen über die Sites and Services, aber auch da die Fehlermeldung, dass ich ihn nicht löschen kann.
Plan2:
Replication wieder reparieren.
Ich dachte mir, dass ich mit netdom DC2 dazu bringen, ein neues Kerberos Ticket anzufordern, aber auch das funktioniert nicht.
Wenn irgendjemand eine Idee hat, bin ich sehr dankbar =)
gruss pablo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 55156
Url: https://administrator.de/contentid/55156
Printed on: May 6, 2024 at 13:05 o'clock
5 Comments
Latest comment
Den DC ausschalten und nach folgenden Artikel vorgehen:
http://support.microsoft.com/kb/216498
http://support.microsoft.com/kb/216498
Prüfe in welchem Status die DC's jetzt sind:
repadmin /showrepl Befehl zeigt warscheinlich error 8416.
Dann gilt folgende Anleitung:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Allow Replication With Divergent and Corrupt Partner"=dword:00000000
Hier der enstprechende TechNet-Artikel dazu:
Event ID 2042: It has been too long since this machine replicated
http://support.microsoft.com/default.aspx?scid=kb;en-us;870695
Anschließend "repadmin /removelingeringobjects" !
gruß Rafiki
repadmin /showrepl Befehl zeigt warscheinlich error 8416.
Dann gilt folgende Anleitung:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Allow Replication With Divergent and Corrupt Partner"=dword:00000000
Hier der enstprechende TechNet-Artikel dazu:
Event ID 2042: It has been too long since this machine replicated
http://support.microsoft.com/default.aspx?scid=kb;en-us;870695
Anschließend "repadmin /removelingeringobjects" !
gruß Rafiki
Hallo, danke für die Hilfe,
@Rafiki, hab den Befehl mal auf DC2 ausgeführt und den Fehler 8456
mit der Meldung
The source server is currently rejecting replication requests.
erhalten.
Auf DC1 keine Fehler, dort wird aber nur DC1 angezeigt.
Jetzt weiss ich zwar, dass die Replication nicht funktioniert, aber viel schlauer bin ich auch nicht.
Kennst Du eine Lösung dazu?
@Rafiki, hab den Befehl mal auf DC2 ausgeführt und den Fehler 8456
mit der Meldung
The source server is currently rejecting replication requests.
erhalten.
Auf DC1 keine Fehler, dort wird aber nur DC1 angezeigt.
Jetzt weiss ich zwar, dass die Replication nicht funktioniert, aber viel schlauer bin ich auch nicht.
Kennst Du eine Lösung dazu?
Hi pablo,
ich habe erst heute, durch Zufall, deinen Kommentar hier bemerkt. Wenn deine Frage nicht innerhalb von 24h jemand beantwortet, dann poste deine Frage doch einfach noch mal. Ist deine Frage noch immer aktuell?
Leider kann ich dir nicht folgen, in welchem Zustand dich die beiden DC's jetzt befinden.
Was hast du zuletzt probiert?
Bei welchem Befehl kommt Fehler 8456?
Gibt es ein Eventlog Eintrag zu dem Zeitraum auf dem einen oder dem anderen DC?
Aus der reinen Fehlermeldung würde ich vermuten das der Registry Key nur auf einem der beiden DC's gesetzt wurde. Ich würde den Key, der die Sicherheitsfunktionen abschaltet, auf beiden DC's setzten und dann den defekten DC booten, F8 drücken und Active Directory Recovery Modus auswählen.
Gruß Rafiki
ich habe erst heute, durch Zufall, deinen Kommentar hier bemerkt. Wenn deine Frage nicht innerhalb von 24h jemand beantwortet, dann poste deine Frage doch einfach noch mal. Ist deine Frage noch immer aktuell?
Leider kann ich dir nicht folgen, in welchem Zustand dich die beiden DC's jetzt befinden.
Was hast du zuletzt probiert?
Bei welchem Befehl kommt Fehler 8456?
Gibt es ein Eventlog Eintrag zu dem Zeitraum auf dem einen oder dem anderen DC?
Aus der reinen Fehlermeldung würde ich vermuten das der Registry Key nur auf einem der beiden DC's gesetzt wurde. Ich würde den Key, der die Sicherheitsfunktionen abschaltet, auf beiden DC's setzten und dann den defekten DC booten, F8 drücken und Active Directory Recovery Modus auswählen.
Gruß Rafiki
