Herabstufen eines DC
Stefan Wörteler
ich versuche gerade in einem Netzwerk mit zwei DCs einen davon
herunterzustufen. Dazu habe ich erst die 5 Rollen des DC sowie den globalen
Katalog auf den anderen übertragen. Das scheint auch soweit geklappt zu
haben. Nun bekomme ich aber wenn ich dcpromo auf dem herunterzustufenden DC
audführe die Fehlermeldung:
"Der Verzeichnisdienst konnte die lokalen Änderungen nicht replizieren."
"Fehler ohne Beschreibung"
Wenn ich nun aber versuche die Replikation per Hand durchzuführen bekomme
ich die Fehlermeldung:
"Active Directory kann mit diesem Server nicht replizieren, da die seit der
letzten Replikation abgelaufenen Zeit die Tombstone-Ablaufzeit überschritten
hat."
Was kann ich da jetzt tun? Muss ich die Tombstone Ablaufzeit hoch setzen
damit dies geht und ich den DC herunterstufen kann? Wenn ja, wo und wie muss
ich das machen?
Es wäre schön wenn mir da jemand helfen könnte.
MfG
Stefan Wörteler
Robert Pieroth [MVP]
Hi Stefan,
zwischen den beiden DC dürfte für mehr als 60 Tage keinerlei Replikation
stattgefunden haben. Oder hast Du auf einen DC ein Backup zurückgespielt,
das älter als 60 Tage ist?
Hier steht mehr dazu: http://support.microsoft.com/default.aspx?kbid=216993
5 Rollen und GC übertragen - OK. Ist auch der DNS-Server übertragen und
'schauen' der Haupt-DC und der Zweite in Ihrer IP-Konfiguration auf diesen
einen DNS-Server als 'Bevorzugter DNS'? Sollte so sein.
Notfalls laß es mit dem Herunterstufen und schalte den DC einfach ab.
Bereinige dann das Acrive Directory des verbleibenden DC von den
Resten des abgeschalteten gemäß folgender Verfahrensweisen:
http://www.jsiinc.com/subj/tip4900/rh4984.htm
--
Viele Grüße
Robert Pieroth
Daniel Melanchthon
> Notfalls laß es mit dem Herunterstufen und schalte den DC einfach ab.
> Bereinige dann das Acrive Directory des verbleibenden DC von den
> Resten des abgeschalteten gemäß folgender Verfahrensweisen:
> http://www.jsiinc.com/subj/tip4900/rh4984.htm
Und nicht das EFS-Zertifikat exportieren vergessen, sonst droht:
Unable to Recover Encrypted Files After the Domain Controller Is Demoted
http://support.microsoft.com/?kbid=276239
Gruß!
Daniel Melanchthon
--
SYMPLASSON Informationstechnik GmbH
Tel: +49 40 533071-51
Fax: +49 40 533071-99
http://www.symplasson.de
Stefan Wörteler
Robert Pieroth schrieb:
> Hi Stefan,
>
> zwischen den beiden DC dürfte für mehr als 60 Tage keinerlei Replikation
> stattgefunden haben. Oder hast Du auf einen DC ein Backup zurückgespielt,
> das älter als 60 Tage ist?
> Hier steht mehr dazu:
http://support.microsoft.com/default.aspx?kbid=216993
So das mit dem Heraufsetzen hat geklappt, Danke, nun stehe ich aber wierder
vor einem Problem, ich bekomme jetzt die Fehlermeldung:
"Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto SERVER$ auf
dem Server <Name> zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert
" "
Bitte geben Sie ein Konto an das über Administratorrechte für die
Gesamtstruktur "<Name>" verfügt.
Das Konto mit dem ich angemeldet bin ist aber sowohl DomAdmin als auch
Schema- und OrgAdmin. Reicht das nicht?? Oder liegt das Problem woanders?
Wenn ihr mir da nochmal helfen könntet, wäre ich sehr dankbar.
MfG
Stefan Wörteler
Ulf B. Simon-Weidner
Heraufsetzen? Wenn ich nichts verpasst habe solltest Du den Server abschalten,
und dann das Active Directory aufräumen (Metadata-Cleanup - siehe den Link von
Robert).
Dann gehe ich davon aus das Du nur noch einen DC hast - laut Deines ersten
Posts sollte das ja auch Sinn der Sache sein.
Den anderen Server würde ich auf alle Fälle neu installieren, oder zumindest
formatieren, damit er nicht mit der defekten konfig wieder online kommt und
Probleme macht.
Gruesse - Sincerely,
Ulf B. Simon-Weidner
Stefan Wörteler
> Heraufsetzen?
Nein, nein nicht Heraufstufen des DCs das Heraufsetzen der
TombStoneLifetime, was wiederum dazu geführt hat, dass bei dcpromo der
Fehler "... konnte nicht repliziert werden" verschwunden ist.
Nun habe ich beim Ausführen von dcpromo zum Herunterstufen diesen neuen
Fehler.
Sorry wenn das unklar war.
MfG
Stefan Wörteler
Ulf B. Simon-Weidner
die Tombstone-Lifetime sollte nicht im Betrieb manipuliert werden.
Probier das Herabstufen noch einmal mit "dcpromo /forceremoval", wenn das nicht
geht würde ich in Deinem Stadium wirklich den alten DC abschalten und den
Metadata-Cleanup durchführen, nicht das Du noch ganz andere Effekte bekommst.
Robert Pieroth [MVP]
> Nein, nein nicht Heraufstufen des DCs das Heraufsetzen der
> TombStoneLifetime, was wiederum dazu geführt hat, dass bei dcpromo der
> Fehler "... konnte nicht repliziert werden" verschwunden ist.
> Nun habe ich beim Ausführen von dcpromo zum Herunterstufen
> diesen neuen Fehler.
Hi Stefan,
LOL (Sorry - das mußte sein)
Man setzt Tombstone Lifetime herauf, wenn man den kümmerlichen
Rest gelöschter Objekte noch länger als 60 Tage im AD aufbewahren will.
Daß diese Sachen aber überhaupt aufbewahrt werden, hat den Grund,
damit möglichst alle Domänencontroller einer Domäne per Replikation
wirklich mitbekommen, daß bestimmte Objekte gelöscht sind.
Eine andere Auswirkung hat das Ganze nicht.
Am Hauptübel, nämlich daß die Datenbanken beider DC aufgrund
über Wochen/Monate hinweg fehlerhafter oder gar keiner Replikation
vollkommen inkonsistent (ungleich) sind, ändert das absolut nichts.
Zum Beispiel haben beide DC ein Computerkonto im AD. Und
dieses Computerkonto hat ein Passwort. Und diese Passwörter
sind 30 Tage gültig. Entweder die Systeme können sich dann erreichen
und wechselseitig ein neues Passwort generieren oder die PW verfallen.
Sind sie verfallen, funktioniert der Automatismus der wechselseitigen
Generierung eines neuen Computerpasswortes nicht mehr. Und die
Kommunikation sowie Replikation zwischen beiden DC auch nicht mehr.
Ohne umfangreiche, zeitraubende Reparaturmaßnahmen wird da gar
nichts mehr klappen - nicht nur das Herunterstufen.
Vergiß den DC einfach und beachte die Hinweise der Vorpostings.
Alles andere bringt nichts mehr.
Robert Pieroth [MVP]
> Robert Pieroth [MVP] schrieb:
>
>> Notfalls laß es mit dem Herunterstufen und schalte den DC einfach ab.
>> Bereinige dann das Acrive Directory des verbleibenden DC von den
>> Resten des abgeschalteten gemäß folgender Verfahrensweisen:
>> http://www.jsiinc.com/subj/tip4900/rh4984.htm
>
> Und nicht das EFS-Zertifikat exportieren vergessen, sonst droht:
> Unable to Recover Encrypted Files After the Domain Controller Is Demoted
> http://support.microsoft.com/?kbid=276239
Jepp!
Danke für den Zusatz! :-) Das geht doch immer wieder gerne vergessen.
Juergen Heckel
>
> Am Hauptübel, nämlich daß die Datenbanken beider DC aufgrund
> über Wochen/Monate hinweg fehlerhafter oder gar keiner Replikation
> vollkommen inkonsistent (ungleich) sind, ändert das absolut nichts.
> Zum Beispiel haben beide DC ein Computerkonto im AD. Und
> dieses Computerkonto hat ein Passwort. Und diese Passwörter
> sind 30 Tage gültig. Entweder die Systeme können sich dann erreichen
> und wechselseitig ein neues Passwort generieren oder die PW verfallen.
> Sind sie verfallen, funktioniert der Automatismus der wechselseitigen
> Generierung eines neuen Computerpasswortes nicht mehr. Und die
> Kommunikation sowie Replikation zwischen beiden DC auch nicht mehr.
> Ohne umfangreiche, zeitraubende Reparaturmaßnahmen wird da gar
> nichts mehr klappen - nicht nur das Herunterstufen.
>
Hallo,
darf ich mich an der Diskussion beteiligen?
Ich hatte am Wochenende ein ähnliches Problem. Ich musste ein Image auf
den 2. DC (älter als 60 Tage) zurückspielen und bekam die selben
Fehlermeldungen wie Stefan. Die Replizierung zwischen den beiden Servern
lief nicht mehr.
Ich habe alles mögliche versucht, aber nur ein dcpromo /forceremoval
brachte mich weiter.
Bedeuten jetzt Deine Erläuterungen, dass es eigentlich sinnlos ist,
regelmässig Images o.ä. anzulegen?
Helfen wenigstens Images alle <30 Tage, müssen von allen Servern
gleichzeitig Images gemacht werden (die 60 Tage laufen doch sicherlich
datumsabhängig ab)?
Nach stundenlangen Reparaturversuchen und Deinen Erläuterungen bin ich
jetzt ziemlich verwirrt :-(
Wie sollte eine Sicherungsstrategie aussehen (Tombstone-Zeit auf >>60
Tage einstellen wird wohl nicht die Lösung sein).
Gruss
--
Juergen Heckel
Stefan Wörteler
> LOL (Sorry - das mußte sein)
wieso?
> Man setzt Tombstone Lifetime herauf, wenn man den kümmerlichen
> Rest gelöschter Objekte noch länger als 60 Tage im AD aufbewahren will.
> Daß diese Sachen aber überhaupt aufbewahrt werden, hat den Grund,
> damit möglichst alle Domänencontroller einer Domäne per Replikation
> wirklich mitbekommen, daß bestimmte Objekte gelöscht sind.
> Eine andere Auswirkung hat das Ganze nicht.
oder wenn man einen zweiten DC hat der aber seit Monaten nicht mehr gelaufen
ist.
Den Zugriffsfehler habe ich übrigens mit Hilfe von:
http://support.microsoft.com/default.aspx?scid=kb;de;232070
in den Griff bekommen.
Danach lief dcpromo ohne Probleme und der DC ist nun kein DC mehr. Der
andere DC funktioniert alleine.
Danke für die Besorgnis und Eure Hife.
MfG
Stefan Wörteler
Daniel Melanchthon
> Bedeuten jetzt Deine Erläuterungen, dass es eigentlich sinnlos ist,
> regelmässig Images o.ä. anzulegen?
Hallo Jürgen,
es gibt unterschiedliche Optionen (authorativer restore, nicht-
authorativer Restore), um ein AD vom Band wiederherszustellen. Und nur
darum geht es.
Siehe "Auswirkung der autorisierenden Wiederherstellung"
<http://support.microsoft.com/default.aspx?scid=216243>
> Helfen wenigstens Images alle <30 Tage, müssen von allen Servern
> gleichzeitig Images gemacht werden (die 60 Tage laufen doch
> sicherlich datumsabhängig ab)?
Imho Nein.
> Wie sollte eine Sicherungsstrategie aussehen (Tombstone-Zeit auf >>60
> Tage einstellen wird wohl nicht die Lösung sein).
Dazu mußt Du Dir überlegen, was Du denn sichern und wiederherstellen
willst.
Siehe dazu "Restoring Active Directory from Backup Media"
<http://www.microsoft.com/WINDOWS2000/techinfo/reskit/en-
us/distrib/dsbj_brr_zldg.asp>
Im Normalfall hast Du z.B. zwei DCs. Fällt einer davon aus, hat
der zweite eine vollständige Replik des AD und Du kannst den kaputten DC
nicht-authorativ restoren.
Für den Fall, dass Du das AD zurück brauchst, weil Du z.B. einen User
gelöscht hast, kannst Du das mit einem authorativen Restore innerhalb
der Tombstone Lifetime für die betroffenen Teile des Namenskontextes
machen.
Hast Du nur noch ein Backup, welches älter als die Tombstone Lifetime
ist und spielst Du dieses in eine AD-Umgebung mit anderen DCs ein, dann
kann Dein DC gelöschte Objekte enthalten, die auf den andern DCs schon
entfernt wurden.
Siehe "Backup of the Active Directory Has 60-Day Useful Life"
<http://support.microsoft.com/default.aspx?scid=kb;en-us;216993>
Robert Pieroth [MVP]
>> LOL (Sorry - das mußte sein)
> wieso?
Hi Stefan,
zur Lösung des Problems die Tombstone Lifetime heraufzusetzen,
hat mich belustigt.
>> Man setzt Tombstone Lifetime herauf, wenn man den kümmerlichen
>> Rest gelöschter Objekte noch länger als 60 Tage im AD aufbewahren will.
>> Daß diese Sachen aber überhaupt aufbewahrt werden, hat den Grund,
>> damit möglichst alle Domänencontroller einer Domäne per Replikation
>> wirklich mitbekommen, daß bestimmte Objekte gelöscht sind.
>> Eine andere Auswirkung hat das Ganze nicht.
>
> oder wenn man einen zweiten DC hat der aber seit Monaten
> nicht mehr gelaufen ist.
Nein, auch dann nicht. Die Ungleichheit existenter Objekte (Neu
angelegte User-/Computerkonten, geänderte Gruppenrichtlinien,
geänderte User- und Computerpasswörter, usw.) wiegt weit schwerer
als die Differenz der beiden DC in Bezug auf gelöschte Objekte.
Saubere Lösung kann nur sein, einen zusätzlichen DC, der sonst
still und leise in der Ecke steht, mindestens einmal im Monat
hochzufahren und mindestens 15 Minuten (maximale Replikations-
latzenzzeit innerhalb eines Standortes), besser mindestens
1 Stunde (Standard-Replikationsintervall), laufen zu lassen.
> Den Zugriffsfehler habe ich übrigens mit Hilfe von:
> http://support.microsoft.com/default.aspx?scid=kb;de;232070
> in den Griff bekommen.
> Danach lief dcpromo ohne Probleme und der DC ist nun kein DC mehr.
> Der andere DC funktioniert alleine.
Das verwundert mich jetzt aber, daß dies so ohne weiteres funktionierte.
Denn durch Ungültigkeit der Computerpasswörter dürften die zwei
eigentlich nicht mehr miteinander vernünftig kommunizieren können.
Dafür gibt es viele Beispiele, wie dieses hier:
http://groups.google.de/groups?threadm=%23jogdCquDHA.2132%40TK2MSFTNGP10.phx.gbl
Artikel 232070 könnte vielleicht ein neuer Workaround für Probleme beim
Herunterstufen sein...
Robert Pieroth [MVP]
> darf ich mich an der Diskussion beteiligen?
Klar - gerne :-)
> Ich hatte am Wochenende ein ähnliches Problem. Ich musste ein Image auf
> den 2. DC (älter als 60 Tage) zurückspielen und bekam die selben
> Fehlermeldungen wie Stefan. Die Replizierung zwischen den beiden Servern
> lief nicht mehr.
> Ich habe alles mögliche versucht, aber nur ein dcpromo /forceremoval
> brachte mich weiter.
> Bedeuten jetzt Deine Erläuterungen, dass es eigentlich sinnlos ist,
> regelmässig Images o.ä. anzulegen?
Nö. Sinnlos sicher nicht. Es kommt nur darauf an, wie alt die Images
sind und was man damit macht. Daniel hat dazu ja bereits ausführlich
geantwortet. :-)
> Helfen wenigstens Images alle <30 Tage, müssen von allen Servern
> gleichzeitig Images gemacht werden (die 60 Tage laufen doch sicherlich
> datumsabhängig ab)?
> Nach stundenlangen Reparaturversuchen und Deinen Erläuterungen bin ich
> jetzt ziemlich verwirrt :-(
Dann klären diese Informationen vielleicht Deine Verwirrung:
In diesen Dokumenten ist erklärt, wie man Computerpassworte zurücksetzt.
Außerdem erfährt man noch, wie das mit den Passworten von den Maschinen
überhaupt gehandhabt wird.
Für Windows NT...
http://support.microsoft.com/default.aspx?scid=kb;en-us;154501
Für Windows 2000 und Server 2003...
http://support.microsoft.com/default.aspx?scid=kb;en-us;260575
http://support.microsoft.com/default.aspx?scid=kb;en-us;325850
Die 30 Tage Verfallszeit für das Computerpasswort sind insofern nicht
unbedingt absolut gültig. Das ist szenarioabhängig.
1.
Ist das aktuelle Passwort verfallen und insofern die Passwörter für
dasselbe Computerkonto zwischen den Maschinen unterschiedlich,
funktioniert Kommunikation zwischen beiden innerhalb dem Bereich der
"Zwei Änderungen-Sequenz" noch mit dem vorher gültigen Passwort.
Beispiel:
DC1 und DC2 kennen für Computerkonto DC1 das Passwort 6789.
DC2 wird heruntergefahren. In der Zeit, wo DC2 down ist, ändert DC1
sein eigenes Passwort von 6789 auf 0345.
* DC2 wird nach mehreren Tagen Downzeit gebootet, kennt noch
6789 für DC1, will mit diesem kommunizieren. Da sich DC1 auch
sein vorhergehendes PW gemerkt hat und DC2 dieses benutzt,
klappt die Kommunikation. DC2 synct sich nun das Konto von/für
DC1 und nutzt ab jetzt auch das aktuelle Passwort 0345.
2.
Eigentlich müßte (oder ist) schon das dritte Passwort in Verwendung
sein ("If the sequence of password changes exceeds two changes...").
Die Computer können zum Aufbau des sicheren Kanals dann weder
mit dem aktuellen Passwort arbeiten (dieses ist zwischen den
Maschinen unterschiedlich) noch mit dem vorherigen (es überschreitet
die Sequenz der zwei Änderungen). In diesen Fällen muß man reparieren.
Beispiel:
DC1 und DC2 kennen für Computerkonto DC1 das Passwort 6789.
DC2 wird heruntergefahren.
* DC2 wird erst nach 2 Monaten Downzeit wieder gebootet. DC1 hat sich
zwischenzeitlich sein Passwort zunächst auf 0345 und dann auf A4FGC
geändert. DC 2 kennt nur PW 6789, das ist DC1 jetzt vollkommen
unbekannt, man muß reparieren.
> Wie sollte eine Sicherungsstrategie aussehen (Tombstone-Zeit auf >>60
> Tage einstellen wird wohl nicht die Lösung sein).
Siehe hierzu Daniels Posting, da gibt es nicht hinzuzufügen.
Juergen Heckel
>
> Dazu mußt Du Dir überlegen, was Du denn sichern und wiederherstellen
> willst.
>
>
Hallo,
vielen Dank.
Ich hatte geglaubt, schon einen ausreichenden Stoss an KB-Artikeln zu
haben :-)
Das muss ich alles in Ruhe durchlesen.
Gruss
--
Juergen Heckel
Juergen Heckel
>
> Dann klären diese Informationen vielleicht Deine Verwirrung:
> In diesen Dokumenten ist erklärt, wie man Computerpassworte zurücksetzt.
> Außerdem erfährt man noch, wie das mit den Passworten von den Maschinen
> überhaupt gehandhabt wird.
Hallo, danke auch Dir für die ausführlichen Erläuterungen.
Das Problem mit den Passworten hatte ich in meinem Fall bereits
hinbekommen, nur die Replikation von Sysvol (ganz zu schweigen von DFS)
wollte einfach nicht starten.
Ich hatte dann den 2. DC mit dcpromo herunter- und neu hochgestuft.
Jedenfalls habe ich jetzt genügend Literatur zum studieren :-)
Gruss
--
Juergen Heckel