Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

DC W2k3 lässt sich nicht herabstufen in W2k8 Umgebung

216 views
Skip to first unread message

samuel schmidt

unread,
May 2, 2008, 4:23:01 PM5/2/08
to
Hallo,

ich habe in einer W2k3 Domäne einen W2k8 installiert und vorher mit forest-
und domainprep die Domäne vorbereitet. Danach habe ich den W2k8 zum DC
hochgestuft und ihm alle Betriebsmasterrollen übertragen. Im DNS-Server von
W2k8 habe ich eine Reverse-Lookup Zone eingerichtet und die Zeiger
hinzugefügt.
Als letztes habe ich die IP des alten DC (W2k3) von 192.168.100.1 auf
192.168.100.8 geändert und die des neuen DC (W2k8) auf 192.168.100.1.
Die DCs synchronisieren problemlos und nslookup gibt überall den Namen des
W2k8 und die IP-Adresse zurück. DNS-Namensauflösung funktioniert überall
perfekt.

Nun wollte ich aber den W2k3 herabstufen und bekomme beim Assistenten
folgende Fehlermeldung:
"Das Kontrollkästchen, das angibt, ob dieser Domänencontroller der letzte
Controller für die Domäne domain.local ist, ist nicht aktiviert. Es konne
jedoch kein anderer Active Directory-Domänencontroller für diese Domäne
ermittelt werden....

und wenn ich mit 'Ja' fortfahre bricht der Assistent mit folgender
Fehlermeldung ab:
Es konnte kein Domänencontroller für die Domäne domain.local kontaktiert
werden, in der ein Konto für diesen Computer vorhanden war...

Zuvor hatte ich unter Active Directory-Stantorte und -Dienste das Häkchen
bei 'Globaler Katalog' unter 'NTDS-Settings' des alten DCs (W2k3) entfernt.

Auch der Dienst der Systemaufsicht des Exchange2003 auf einem weiteren W2k3
startet nicht mehr mit der Fehlermeldung:
...alle verwalteten globalen Katalogserver reagieren nicht:... (Quelle:
MSExchangeDSAccess, Ereigniskennung: 2103)

dcdiag gibt unter anderem zurück: ...All GC's are down...

Wie muss ich den Global-Catalog von 2008 konfigurieren damit W2k3 ihn auch
versteht, oder könne das Problem noch ein anderes sein?

Über eine Antwort würde ich mich freuen.

mfg
Samuel Schmidt


Yusuf Dikmenoglu [MVP]

unread,
May 2, 2008, 5:10:29 PM5/2/08
to
Servus,

"samuel schmidt" schrieb:


> Es konnte kein Domänencontroller für die Domäne domain.local kontaktiert
> werden, in der ein Konto für diesen Computer vorhanden war...

das deutet auf ein DNS- und/oder AD-Replikationsproblem hin.
Die AD- sowie DNS-Replikation hat auch *tatsächlich* bereits stattgefunden?
Falls ja, überprüfe zuerst ob sich der neue Windows Server 2008 DC mit
seinen
SRV-Records in der Zone _msdcs.Root-Domäne.TLD eingetragen hat.
Überprüfe als nächstes das Eventlog des DCs, insbesondere das DNS sowie
Verzeichnisdienstprotokoll.

Prüfe mit REPADMIN die AD-Replikation, wobei bei
Problemen i.d.R. im Eventlog einiges dazu stehen würde.

> dcdiag gibt unter anderem zurück:

"Unter anderen" bedeutet, dass DCDIAG weitere Fehler meldet?
Falls ja, müssen natürlich alle Einträge die mit einem FAILED
quittiert wurden, beseitigt werden.

> Wie muss ich den Global-Catalog von 2008
> konfigurieren damit W2k3 ihn auch versteht,

Kontrolliere ob der Windows Server 2008 DC auch
*tatsächlich* ein GC ist. Gehe dazu diesen Artikel durch:

[Yusuf`s Directory - Blog - Globaler Katalog – Sein oder nicht sein]
http://blog.dikmenoglu.de/PermaLink,guid,a13c0d2f-4214-4c97-b66e-0828feb91436.aspx

--
Regards from Mainz/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

samuel schmidt

unread,
May 2, 2008, 6:37:02 PM5/2/08
to
Hallo Yusuf,

vielen Dank für Deine schnelle Antwort. Ich habe Deinen Beitrag im Blog
durchgegangen und folgende Ergebnisse auf dem W2k8 erhalten, zuvor hatte ich
den GC beim W2k3 wieder aktiviert:
• In der Registry ist der Eintrag 'Global Catalog Promotion Complete' mit
dem Wert 1 vorhanden
• Bei NLTest wird immer Domänencontroler: immer der alte DC (W2k3)
ausgegeben obwohl ich mit /Server: den neuen Server angegeben habe.
• REPADMIN /Showreps erhalte ich den Eintrag ID_GC
• Telnet geht irgendwie auf W2k8 nicht
• RootDSE hat bei isGlobalCatalogReady: TRUE; und bei isSynchronized: TRUE;

mit dem DNS kenne ich mich nicht so aus aber in allen Ebenen von _msdcs.
sind beide DCs vorhanden.
Bei dcdiag -v habe ich in folgenden 4 Bereichen Fehler erhalten:

1)

Server wird getestet: Standardname-des-ersten-Standorts\ITSNSERVER01
Starting test: Advertising
Achtung: Bei dem Versuch, ITSNSERVER01 zu erreichen, wurden von
DsGetDcName Informationen für
\\server01.ITSN.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
......................... ITSNSERVER01 hat den Test Advertising
nicht bestanden.

2)

Starting test: FrsEvent
* Der Ereignisprotokollierungstest für den Dateireplikationsdienst
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL
sind Warnungen oder Fehlerereignisse
vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit
der Gruppenrichtlinie zur Folge haben.
Ein Warning-Ereignis ist aufgetreten. Ereignis-ID: 0x800034C4
Erstellungszeitpunkt: 05/02/2008 08:34:09
Ereigniszeichenfolge:
Der Dateireplikationsdienst kann die Replikation von
server01.ITSN.local nach ITSNSERVER01 für c:\windows\sysvol\domain mit
DNS-Namen server01.ITSN.local nicht aktivieren. Es wird ein

neuer Versuch gestartet.
Mögliche Ursachen für diese Warnung sind:

[1] Der DNS-Name server01.ITSN.local von diesem Computer konnte
nicht ausgewertet werden.
[2] Der Dateireplikationsdienst wird auf server01.ITSN.local
nicht ausgeführt.
[3] Die Topologieinformationen in den Active
Directory-Domänendiensten dieses Replikats wurden noch nicht auf allen
Domänencontrollern repliziert.

Diese Ereignisprotokollmeldung wird einmal pro Verbindung
angezeigt. Nachdem der Fehler behoben wurde, wird eine andere
Ereignisprotokollmeldung angezeigt, die bestätigt, dass die

Verbindung hergestellt wurde.

3)

Starting test: MachineAccount
Checking machine account for DC ITSNSERVER01 on DC ITSNSERVER01.
Das Konto ITSNSERVER01 gilt für die Delegierung nicht als
vertrauenswürdig. Keine Replikation möglich.
Achtung: userAccountControl-Attribut von ITSNSERVER01:
0x1002000 = ( SERVER_TRUST_ACCOUNT |
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION )
Standardeinstellung für Domänencontroller: 0x82000 = (
SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )
Hat dies möglicherweise Auswirkungen auf die Replikation?

4)
Starting test: NetLogons
* Network Logons Privileges Check
Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt
werden. (\\ITSNSERVER01\netlogon)
[ITSNSERVER01] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy"
ist der Fehler 67 aufgetreten,
Der Netzwerkname wurde nicht gefunden..
......................... ITSNSERVER01 hat den Test NetLogons nicht
bestanden.


Ich würde mich auf eine neue Antwort freuen.

mfg
Samuel Schmidt

Yusuf Dikmenoglu [MVP] at

unread,
May 3, 2008, 5:16:56 AM5/3/08
to
samuel schmidt wrote:
> RootDSE hat bei isGlobalCatalogReady: TRUE; und bei
> isSynchronized: TRUE;

OK, dann ist also zum einen der neue DC
tatsächlich ein GC und zum anderen betriebsbereit.


> mit dem DNS kenne ich mich nicht so aus aber in allen Ebenen von
> _msdcs. sind beide DCs vorhanden.

Auch korrekt.


> Advertising nicht bestanden.

Hier kann sich der DC weder im AD anmelden, noch sich als
DC bekannt geben. Überprüfe ob der NETLOGON-Dienst gestartet ist
und falls nicht, starte ihn.


> Starting test: FrsEvent
> * Der Ereignisprotokollierungstest für den
> Dateireplikationsdienst

Gehe hierzu in das Dateireplikationsprotokoll (Eventlog) und gehe
den Event-IDs auf dieser Seite nach:

[EventID.Net]
http://www.eventid.net/


> Starting test: MachineAccount

Führe hier zuerst ein DCDIAG /FIX durch.
Anschließend stelle sicher, das in der MMC "Active Directory-Benutzer
und -Computer" in den Eigenschaften des DCs, im Reiter "Delegierung"
die Option "Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos)"
ausgewählt ist.


> Hat dies möglicherweise Auswirkungen auf die Replikation?

Klar, dass ist auch _eine_ Ursache.


> ......................... ITSNSERVER01 hat den Test NetLogons
> nicht bestanden.

Versuche zuerst das "MachineAccount" und "Dateireplikatiosproblem"
zu lösen, dann schauen wir was noch übrig bleibt. Die Probleme hängen
alle zusammen. Lösen sich eine oder zwei davon, verschwindet der
Rest von alleine.

Thorsten Kampe

unread,
May 3, 2008, 8:16:37 AM5/3/08
to
* samuel schmidt (Fri, 2 May 2008 13:23:01 -0700)
> [Probleme beim Herabstufen]

> dcdiag gibt unter anderem zurück: ...All GC's are down...
>
> Wie muss ich den Global-Catalog von 2008 konfigurieren damit W2k3 ihn
> auch versteht [...]

Du kannst keinen GC konfigurieren. Deine Antwort liegt in Dcpromo.log.

Thorsten

samuel schmidt

unread,
May 3, 2008, 12:35:00 PM5/3/08
to
Hallo,

vielen Dank für die Antworten.
Nun konnte ich das Problem weiter eingrenzen. DCDIAG meldet nur noch 2
Fehler bezüglich der Freigabe von SYSVOL und NETLOGON.
Die Freigaben existieren nämlich auf dem W2k8 nicht. Die SYSVOL Freigabe
habe ich mit folgendem Link hinbekommen:
http://support.microsoft.com/kb/947022/de
Aber das Verzeichnis Netlogon ist immer noch nicht vorhanden. Wenn ich auf
dem W2k3 mit net share die Freigabe überprüfe erhalte ich für NETLOGON
folgenden Pfad: C:\WINDOWS\SYSVOL\sysvol\ITSN.local\SCRIPTS auf dem W2k8 ist
die Freigabe nicht vorhanden.
Wenn ich den Ordner auf dem W2k8 untersuche erhalte in im Pfad
C:\Windows\SYSVOL\sysvol\ITSN.local nur noch einen leeren Ordner mit der
Beschriftung: DO_NOT_REMOVE_NtFrs_PreInstall_Directory

In dem Artikel:
http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID=3238040&SiteID=1
meine ich etwas davon verstanden haben wenn der DC nicht für downlevel (z.B.
W2k3) installiert wurde fehlen die Funktionen.
Wenn ich aber auf der Domäne im AC auf Domänenfunktionsebene heraufstufen
gehe erhalte ich: Aktuelle Domänenfunktionsebene: Windows Serve 2003...

Nun suche ich eine Lösung wie ich W2k8 dazu bewegen kann dieses Verzeichnis
NETLOGON automatisch zu erstellen. Oder kann ich das Verzeichnis von Hand
erstellen und die Freigaben und Berechtigungen wie auf den Anderen Servern
einrichten?

Über eine Antwort würde ich mich freuen.

mfg
S.Schmidt

samuel schmidt

unread,
May 6, 2008, 1:34:00 AM5/6/08
to
Hallo,

die Datei Dcpromo.log habe ich auf dem ganzen Server nicht gefunden. Hat die
auf W2k8 einen anderen Namen?

Hat Microsoft noch eine Lösung zu meinem Problem?

Laut KB 947022 ist das Problem geau wie dort beschrieben, doch die Ordner
werden nicht über den dort angeboteten Lösungsweg erstellt.

Ich bitte noch einmal um eine Antwort.

Vielen Dank

mfg
S. schmidt

Thorsten Kampe

unread,
May 6, 2008, 3:15:58 AM5/6/08
to
* samuel schmidt (Mon, 5 May 2008 22:34:00 -0700)

Könntest du bitte den Text auf den du dich beziehst zitieren? Danke.

> die Datei Dcpromo.log habe ich auf dem ganzen Server nicht gefunden.

Da stellt sich natürlich die offensichtliche Frage, /wie/ du gesucht
hast.

> Hat die auf W2k8 einen anderen Namen?

Nein. Aber wieso siehst du auf dem Windows 2008-Rechner nach, wenn du
den 2003 nicht herabstufen kannst!? Ergibt doch keinen Sinn.



> Hat Microsoft noch eine Lösung zu meinem Problem?
>
> Laut KB 947022 ist das Problem geau wie dort beschrieben, doch die
> Ordner werden nicht über den dort angeboteten Lösungsweg erstellt.
>
> Ich bitte noch einmal um eine Antwort.

Samuel, ernsthaft, was du hier schreibst ergibt keinen Sinn. In deinem
Ursprungsposting ging es darum, daß du deinen 2003 nicht herabstufen
kannst. In dem Knowledgebase-Artikel geht es darum, daß die
Heraufstufung eines 2008 nicht erfolgreich ist.

Mein Vorschlag an dich: fang noch einmal von vorne an und schreib in
einfachen Worten dein Problem und die Vorgeschichte. Wenn du zwei
Probleme hast, dann mach bitte zwei Threads auf.


Thorsten

0 new messages