Discussion:
FSMO-Rollen wiederherstellen
(zu alt für eine Antwort)
Martin Podemski
2010-05-14 11:33:11 UTC
Permalink
Hallo,

mein 2008-Test-DC hat sich komplett wegen Festplattenschaden verabschiedet.
Habe jetzt noch den alten DC reaktiviert. Leider hat dieser kaum FSMO-Rollen
(Global Katalog, PDC, ..)
Gibt es eine Chance, das System wieder zum laufen zu bekommen, oder soll ich
die Domain neuaufbauen?

Danke!
Florian Frommherz [MVP]
2010-05-14 12:35:00 UTC
Permalink
Howdie!
Post by Martin Podemski
mein 2008-Test-DC hat sich komplett wegen Festplattenschaden verabschiedet.
Habe jetzt noch den alten DC reaktiviert. Leider hat dieser kaum
FSMO-Rollen (Global Katalog, PDC, ..)
Gibt es eine Chance, das System wieder zum laufen zu bekommen, oder soll
ich die Domain neuaufbauen?
Sprechen wir hier über ein Testnetz oder ein Produktivnetz?
Wie lange war denn der "alte" DC inaktiv? Lief er die ganze Zeit während
die Replikation funktionierte oder war er offline, also vom Netz
abgeschnitten?

Gibt es noch andere DCs in der Domäne?

Prinzipiell: du solltest keinen "alten" ins Netz nehmen, wenn er
komplett offline war. Wenn er länger als 60 Tage offline war, wäre ich
erstmal vorsichtig. Du kannst dir bereits gelöschte, veraltete Objekte
zurück ins Verzeichnis holen -- falls der "reaktivierte" DC der einzige
verbleibende DC der Domäne ist, sowieso.

Das Übertragen der FSMO-Rollen (auch das erzwungene Übertragen, wenn der
aktuelle FSMO-Inhaber offline ist, wie in deinem Fall) kannst du
entweder mit NTDSUtil erreichen. Das Sub-Kontext heißt "roles":
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54cfd298d.aspx
(lustig, das ist der erste Link, wenn man "FSMO Yusuf" sucht :-)

Cheers,
Florian
Martin Podemski
2010-05-14 14:23:34 UTC
Permalink
Hallo Florian
Post by Florian Frommherz [MVP]
Sprechen wir hier über ein Testnetz oder ein Produktivnetz?
Das Testnetz der Firma wird quasi privat genutzt - zwei User.
Post by Florian Frommherz [MVP]
Wie lange war denn der "alte" DC inaktiv? Lief er die ganze Zeit während
die Replikation funktionierte oder war er offline, also vom Netz
abgeschnitten?
weiss nicht genau, das neue Laptop ist im ADS und das war kürzlich.
Post by Florian Frommherz [MVP]
Gibt es noch andere DCs in der Domäne?
wenn dem so wäre ...
Post by Florian Frommherz [MVP]
Prinzipiell: du solltest keinen "alten" ins Netz nehmen, wenn er komplett
offline war. Wenn er länger als 60 Tage offline war, wäre ich erstmal
vorsichtig. Du kannst dir bereits gelöschte, veraltete Objekte zurück ins
Verzeichnis holen -- falls der "reaktivierte" DC der einzige verbleibende
DC der Domäne ist, sowieso.
Mhmm, ich versuch es mal, viel schiefgehen kann ja in dieser Umgebung nicht.
Post by Florian Frommherz [MVP]
Das Übertragen der FSMO-Rollen (auch das erzwungene Übertragen, wenn der
aktuelle FSMO-Inhaber offline ist, wie in deinem Fall) kannst du entweder
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54cfd298d.aspx
ja supi, hat geklappt.

Gleich mal schaun, wie es mit dem Exchange weitergeht.

Wie werde ich jetzt den defekten Server los?

Herzlichen Dank!!
Florian Frommherz [MVP]
2010-05-14 14:43:15 UTC
Permalink
Howdie!
Post by Martin Podemski
Das Testnetz der Firma wird quasi privat genutzt - zwei User.
Ahso, na dann.
Post by Martin Podemski
Wie werde ich jetzt den defekten Server los?
Ein Metadata Cleanup ist wohl nötig: http://support.microsoft.com/kb/216498

Den Clients musst du manuell noch beibringen, dass sie den anderen DC
als DNS Server verwenden sollen (falls noch nicht geschehen).

Im DNS des übriggebliebenen DCs solltest du die Referenzen des kaputten
DCs entfernen. In "Active Directory Standorte und Dienste" kannst du den
alten DC ebenfalls (manuell) löschen.

Zum Schluss nochmal zur Verdeutlichung: einen "alten" DC nach längerer
Offlinezeit wieder online bringen ist _keine_ gute Idee. In einem
Testnetz mag's ja nicht so wild sein, produktiv siehts aber anders aus:
http://blog.dikmenoglu.de/PermaLink,guid,98a23bfe-f3ff-4012-8fc3-13b98ecbb972.aspx

Cheers,
Florian
Yusuf Dikmenoglu [MVP]
2010-05-14 20:14:09 UTC
Permalink
Salve,
Post by Florian Frommherz [MVP]
Ein Metadata Cleanup ist wohl nötig: http://support.microsoft.com/kb/216498
auf jedenfall. Aber da es sich um eine Windows Server 2008
Domäne handelt, muss der OP nicht die Furcht erregende, böse und
schwarze Kommandozeile aufrufen um den defekten DC mit NTDSUTIL zu entfernen.
Das geht auch recht "einfach" in der GUI.

[LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter
Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Windows+Server+2008+Bereinigen.aspx


Gruß, Yusuf

========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
Twitter: http://twitter.com/YusufsDSBlog
========================================
Martin Podemski
2010-05-14 21:42:23 UTC
Permalink
Post by Yusuf Dikmenoglu [MVP]
[LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter
Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Windows+Server+2008+Bereinigen.aspx
Mhmm, Zugriff verweigert.
Yusuf Dikmenoglu [MVP]
2010-05-14 23:14:58 UTC
Permalink
Post by Martin Podemski
Mhmm, Zugriff verweigert.
Geht das auch etwas ausführlicher? Bei welchem Vorgang,
mit welchen Rechten, hast du "wo" diese Meldung erhalten?
Versuchst du es mit --> dem <-- Domänen-Administrator?


Gruß, Yusuf

========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
Twitter: http://twitter.com/YusufsDSBlog
========================================
Martin Podemski
2010-05-15 00:19:40 UTC
Permalink
Hi,

nach der Warnung, dass ich einen DC löschen will und dem setzen des Häkchen,
dass dieser ständig offline bleibt, kommt:


---------------------------
Active Directory-Domänendienste
---------------------------
Das Objekt LDAP://sol.pappnase.eu/CN=ERDE,OU=Domain
Controllers,DC=pappnase,DC=eu konnte aufgrund
folgenden Problems nicht gelöscht werden:

Zugriff verweigert


---------------------------
OK
---------------------------


Ausgeführt habe ich das Domainadministrator und auch mit "als Administrator
ausführen" mit dem selben Ergebniss.

Mit dem ADSI-Editor dem Dom-Admins Vollzugriff gegeben und weg ist er.

Danke!
Post by Yusuf Dikmenoglu [MVP]
Post by Martin Podemski
Mhmm, Zugriff verweigert.
Geht das auch etwas ausführlicher? Bei welchem Vorgang,
mit welchen Rechten, hast du "wo" diese Meldung erhalten?
Versuchst du es mit --> dem <-- Domänen-Administrator?
Gruß, Yusuf
========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
Twitter: http://twitter.com/YusufsDSBlog
========================================
Loading...