Discussion:
Server 2008R2: AD bei FSMO Inhaber ohne andere DC allein nicht sofort verfügbar
(zu alt für eine Antwort)
Marc M.
2010-04-27 13:12:00 UTC
Permalink
Hallo Zusammen,

ich habe ein seltsames Problem nachdem ich hier eine 2003er Domäne auf
eine 2008er upgedatet habe.
(Schema upgedatet, 2008 als DC mit in die Domäne, 2003er raus aus der
Domäne, usw.)

Es ist so, dass der FSMO Rolleninhaber, sofern er gebootet wird und
den zweiten Domänencontroller nicht findet, weil dieser z.B. zu
Wartungszwecken down ist, das ActiveDirectory und alle davon
abhängigen Dienste nicht sofort startet.

Es heißt dann:
#Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch
nicht als gültig eingestuft wird. Für die #Partition, die das FSMO
enthält, wurde dieser Server seit dem letzten Neustart nicht
erfolgreich mit einem #beliebigen Partner repliziert.
Replikationsfehler verhindern die Verifizierung dieser Rolle.

Nach 10 min. kommt dann
#Alle Probleme, die Aktualisierungen der Active Directory-
Domänendienste-Datenbank verhinderten, wurden #behoben. Neue
Aktualisierungen der Active Directory-Domänendienste-Datenbank sind
erfolgreich. Der #Netzwerkanmeldedienst wird neu gestartet.

und alle Dienste booten.

Ich kenne das Verhalten von 2003 eigentlich nicht. Da booten die
Dienste sofort. Ist das normal bei Windows Server 2008 R2?

DCDiag und so sind soweit unauffällig.

Danke im Voraus.

Gruß
Marc
Florian Frommherz
2010-04-29 05:51:43 UTC
Permalink
Howdie!
Post by Marc M.
Es ist so, dass der FSMO Rolleninhaber, sofern er gebootet wird und
den zweiten Domänencontroller nicht findet, weil dieser z.B. zu
Wartungszwecken down ist, das ActiveDirectory und alle davon
abhängigen Dienste nicht sofort startet.
Bevor ein FSMO-Rollen-Inhaber startet, vergewissert er sich, dass er
auch _noch_ wirklich Inhaber dieser Rollen ist. Möglich wäre ja, dass er
abgeschaltet wurde, die Rollen per seize umgezogen und anschließend
wieder hochgefahren wurde. Das Verhalten ist also ein "Sicherheitsnetz",
das, wie du siehst, mit zwei DCs zu (wie sagt die Bahn so schön?)
"Verzögerungen im Betriebsablauf" führen kann.

Es _gab_ eine Änderung im Code, ich weiß nur nicht, ob es zwischen 2003
R2 und 2008 oder 2003 und 2003 R2 war - jedenfalls wurden die
Bedingungen, die zum Weiterführen des Starts führten, gelockert. Ein
Requirement war glaub' ich, dass er den Config-NC von einem anderen DC
replizieren können muss, bevor es weitergeht - falls nicht, wartet er
einen Timeout ab. Wenn noch etwas Zeit ist, schau' ich nochmal rein.
Post by Marc M.
#Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch
nicht als gültig eingestuft wird. Für die #Partition, die das FSMO
enthält, wurde dieser Server seit dem letzten Neustart nicht
erfolgreich mit einem #beliebigen Partner repliziert.
Replikationsfehler verhindern die Verifizierung dieser Rolle.
Nach 10 min. kommt dann
#Alle Probleme, die Aktualisierungen der Active Directory-
Domänendienste-Datenbank verhinderten, wurden #behoben. Neue
Aktualisierungen der Active Directory-Domänendienste-Datenbank sind
erfolgreich. Der #Netzwerkanmeldedienst wird neu gestartet.
und alle Dienste booten.
Du kannst diese Prüfung abschalten, wenn du nur zwei DCs hast und weißt,
was du tust(tm). Es gibt einen Registrierungsschlüssel, der die Prüfung
unterdrückt und den FSMO-Rolleninhaber zwingt, seine Rollen bei jedem
Boot als "noch aktuell" anzusehen. Wenn du nach Best Practice verfährst
und bei Rolenverschiebungen (seize, als "erzwingen"), den vorherigen DC
nie mehr online nimmst und ihn plättest, passiert da nichts.

Cheers,
Florian

Loading...