Server 2008R2: AD bei FSMO Inhaber ohne andere DC allein nicht sofort verfügbar
Marc M.
ich habe ein seltsames Problem nachdem ich hier eine 2003er Domäne auf
eine 2008er upgedatet habe.
(Schema upgedatet, 2008 als DC mit in die Domäne, 2003er raus aus der
Domäne, usw.)
Es ist so, dass der FSMO Rolleninhaber, sofern er gebootet wird und
den zweiten Domänencontroller nicht findet, weil dieser z.B. zu
Wartungszwecken down ist, das ActiveDirectory und alle davon
abhängigen Dienste nicht sofort startet.
Es heißt dann:
#Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch
nicht als gültig eingestuft wird. Für die #Partition, die das FSMO
enthält, wurde dieser Server seit dem letzten Neustart nicht
erfolgreich mit einem #beliebigen Partner repliziert.
Replikationsfehler verhindern die Verifizierung dieser Rolle.
Nach 10 min. kommt dann
#Alle Probleme, die Aktualisierungen der Active Directory-
Domänendienste-Datenbank verhinderten, wurden #behoben. Neue
Aktualisierungen der Active Directory-Domänendienste-Datenbank sind
erfolgreich. Der #Netzwerkanmeldedienst wird neu gestartet.
und alle Dienste booten.
Ich kenne das Verhalten von 2003 eigentlich nicht. Da booten die
Dienste sofort. Ist das normal bei Windows Server 2008 R2?
DCDiag und so sind soweit unauffällig.
Danke im Voraus.
Gruß
Marc
Florian Frommherz
Am 27.04.2010 15:12, schrieb Marc M.:
> Es ist so, dass der FSMO Rolleninhaber, sofern er gebootet wird und
> den zweiten Dom�nencontroller nicht findet, weil dieser z.B. zu
> Wartungszwecken down ist, das ActiveDirectory und alle davon
> abh�ngigen Dienste nicht sofort startet.
Bevor ein FSMO-Rollen-Inhaber startet, vergewissert er sich, dass er
auch _noch_ wirklich Inhaber dieser Rollen ist. M�glich w�re ja, dass er
abgeschaltet wurde, die Rollen per seize umgezogen und anschlie�end
wieder hochgefahren wurde. Das Verhalten ist also ein "Sicherheitsnetz",
das, wie du siehst, mit zwei DCs zu (wie sagt die Bahn so sch�n?)
"Verz�gerungen im Betriebsablauf" f�hren kann.
Es _gab_ eine �nderung im Code, ich wei� nur nicht, ob es zwischen 2003
R2 und 2008 oder 2003 und 2003 R2 war - jedenfalls wurden die
Bedingungen, die zum Weiterf�hren des Starts f�hrten, gelockert. Ein
Requirement war glaub' ich, dass er den Config-NC von einem anderen DC
replizieren k�nnen muss, bevor es weitergeht - falls nicht, wartet er
einen Timeout ab. Wenn noch etwas Zeit ist, schau' ich nochmal rein.
> Es hei�t dann:
> #Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch
> nicht als g�ltig eingestuft wird. F�r die #Partition, die das FSMO
> enth�lt, wurde dieser Server seit dem letzten Neustart nicht
> erfolgreich mit einem #beliebigen Partner repliziert.
> Replikationsfehler verhindern die Verifizierung dieser Rolle.
>
> Nach 10 min. kommt dann
> #Alle Probleme, die Aktualisierungen der Active Directory-
> Dom�nendienste-Datenbank verhinderten, wurden #behoben. Neue
> Aktualisierungen der Active Directory-Dom�nendienste-Datenbank sind
> erfolgreich. Der #Netzwerkanmeldedienst wird neu gestartet.
>
> und alle Dienste booten.
Du kannst diese Pr�fung abschalten, wenn du nur zwei DCs hast und wei�t,
was du tust(tm). Es gibt einen Registrierungsschl�ssel, der die Pr�fung
unterdr�ckt und den FSMO-Rolleninhaber zwingt, seine Rollen bei jedem
Boot als "noch aktuell" anzusehen. Wenn du nach Best Practice verf�hrst
und bei Rolenverschiebungen (seize, als "erzwingen"), den vorherigen DC
nie mehr online nimmst und ihn pl�ttest, passiert da nichts.
Cheers,
Florian