FSMO-Rollen wiederherstellen
Martin Podemski
mein 2008-Test-DC hat sich komplett wegen Festplattenschaden verabschiedet.
Habe jetzt noch den alten DC reaktiviert. Leider hat dieser kaum FSMO-Rollen
(Global Katalog, PDC, ..)
Gibt es eine Chance, das System wieder zum laufen zu bekommen, oder soll ich
die Domain neuaufbauen?
Danke!
Florian Frommherz [MVP]
Sprechen wir hier �ber ein Testnetz oder ein Produktivnetz?
Wie lange war denn der "alte" DC inaktiv? Lief er die ganze Zeit w�hrend
die Replikation funktionierte oder war er offline, also vom Netz
abgeschnitten?
Gibt es noch andere DCs in der Dom�ne?
Prinzipiell: du solltest keinen "alten" ins Netz nehmen, wenn er
komplett offline war. Wenn er l�nger als 60 Tage offline war, w�re ich
erstmal vorsichtig. Du kannst dir bereits gel�schte, veraltete Objekte
zur�ck ins Verzeichnis holen -- falls der "reaktivierte" DC der einzige
verbleibende DC der Dom�ne ist, sowieso.
Das �bertragen der FSMO-Rollen (auch das erzwungene �bertragen, wenn der
aktuelle FSMO-Inhaber offline ist, wie in deinem Fall) kannst du
entweder mit NTDSUtil erreichen. Das Sub-Kontext hei�t "roles":
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54cfd298d.aspx
(lustig, das ist der erste Link, wenn man "FSMO Yusuf" sucht :-)
Cheers,
Florian
Martin Podemski
>
> Sprechen wir hier �ber ein Testnetz oder ein Produktivnetz?
Das Testnetz der Firma wird quasi privat genutzt - zwei User.
> Wie lange war denn der "alte" DC inaktiv? Lief er die ganze Zeit w�hrend
> die Replikation funktionierte oder war er offline, also vom Netz
> abgeschnitten?
weiss nicht genau, das neue Laptop ist im ADS und das war k�rzlich.
> Gibt es noch andere DCs in der Dom�ne?
wenn dem so w�re ...
> Prinzipiell: du solltest keinen "alten" ins Netz nehmen, wenn er komplett
> offline war. Wenn er l�nger als 60 Tage offline war, w�re ich erstmal
> vorsichtig. Du kannst dir bereits gel�schte, veraltete Objekte zur�ck ins
> Verzeichnis holen -- falls der "reaktivierte" DC der einzige verbleibende
> DC der Dom�ne ist, sowieso.
Mhmm, ich versuch es mal, viel schiefgehen kann ja in dieser Umgebung nicht.
> Das �bertragen der FSMO-Rollen (auch das erzwungene �bertragen, wenn der
> aktuelle FSMO-Inhaber offline ist, wie in deinem Fall) kannst du entweder
> mit NTDSUtil erreichen. Das Sub-Kontext hei�t "roles":
> http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54cfd298d.aspx
ja supi, hat geklappt.
Gleich mal schaun, wie es mit dem Exchange weitergeht.
Wie werde ich jetzt den defekten Server los?
Herzlichen Dank!!
Florian Frommherz [MVP]
Am 14.05.2010 16:23, schrieb Martin Podemski:
> Das Testnetz der Firma wird quasi privat genutzt - zwei User.
Ahso, na dann.
> Wie werde ich jetzt den defekten Server los?
Ein Metadata Cleanup ist wohl n�tig: http://support.microsoft.com/kb/216498
Den Clients musst du manuell noch beibringen, dass sie den anderen DC
als DNS Server verwenden sollen (falls noch nicht geschehen).
Im DNS des �briggebliebenen DCs solltest du die Referenzen des kaputten
DCs entfernen. In "Active Directory Standorte und Dienste" kannst du den
alten DC ebenfalls (manuell) l�schen.
Zum Schluss nochmal zur Verdeutlichung: einen "alten" DC nach l�ngerer
Offlinezeit wieder online bringen ist _keine_ gute Idee. In einem
Testnetz mag's ja nicht so wild sein, produktiv siehts aber anders aus:
http://blog.dikmenoglu.de/PermaLink,guid,98a23bfe-f3ff-4012-8fc3-13b98ecbb972.aspx
Cheers,
Florian
![Yusuf Dikmenoglu [MVP]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjVSfir_PZ33H-rAl-Ok3VcX_e5IOWz0fDiJuKNVXMKumpzVsA=s40-c)
Yusuf Dikmenoglu [MVP]
"Florian Frommherz [MVP]" schrieb:
> Ein Metadata Cleanup ist wohl n�tig: http://support.microsoft.com/kb/216498
auf jedenfall. Aber da es sich um eine Windows Server 2008
Dom�ne handelt, muss der OP nicht die Furcht erregende, b�se und
schwarze Kommandozeile aufrufen um den defekten DC mit NTDSUTIL zu entfernen.
Das geht auch recht "einfach" in der GUI.
[LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter
Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Windows+Server+2008+Bereinigen.aspx
Gru�, Yusuf
========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
Twitter: http://twitter.com/YusufsDSBlog
========================================
Martin Podemski
> [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter
> Windows Server 2008 bereinigen]
> http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Windows+Server+2008+Bereinigen.aspx
Mhmm, Zugriff verweigert.
Yusuf Dikmenoglu [MVP]
> Mhmm, Zugriff verweigert.
Geht das auch etwas ausf�hrlicher? Bei welchem Vorgang,
mit welchen Rechten, hast du "wo" diese Meldung erhalten?
Versuchst du es mit --> dem <-- Dom�nen-Administrator?
Martin Podemski
nach der Warnung, dass ich einen DC l�schen will und dem setzen des H�kchen,
dass dieser st�ndig offline bleibt, kommt:
---------------------------
Active Directory-Dom�nendienste
---------------------------
Das Objekt LDAP://sol.pappnase.eu/CN=ERDE,OU=Domain
Controllers,DC=pappnase,DC=eu konnte aufgrund
folgenden Problems nicht gel�scht werden:
Zugriff verweigert
---------------------------
OK
---------------------------
Ausgef�hrt habe ich das Domainadministrator und auch mit "als Administrator
ausf�hren" mit dem selben Ergebniss.
Mit dem ADSI-Editor dem Dom-Admins Vollzugriff gegeben und weg ist er.
Danke!
"Yusuf Dikmenoglu [MVP]" <news...@dikmenoglu.de> schrieb im Newsbeitrag
news:eFXF7t78...@TK2MSFTNGP06.phx.gbl...