DC war einige Tage vom Netz

01/09/2008 - 15:46 von Manfred | Report spam
Hallo,

einer unserer DCs machte Probleme. Deswegen wurde ein Zusàtzlicher DC in die
Domàne genommen und alle Dienste auf den neuen übertragen.
Nun wurde der alte DC abgeschaltet, um zu prüfen, ob alles ohne ihn
funktioniert.
Inzwischen sind ca.5 Wochen vergangen und ich wollte den Server aus der
Domàne nehmen (DCPTROMO). Nun bekomme ich ein Fehler, dass er nicht auf die
anderen DCs zugreifen kann. Im Event steht auch ein Kerberos-Fehler ID 4.
Es sind alles Windows 2003 Server.
Ich habe gehört, dass wenn ein DC làngere Zeit nicht online ist, sich nicht
mehr von selbs synchronisiert. Hàngt das damit zusammen? Wie bekomme ich den
Server (DC) nun aus dem AD?

Danke
Manfred
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
01/09/2008 - 16:39 | Warnen spam
Servus,

Manfred wrote:
Im Event steht auch ein Kerberos-Fehler ID 4.



du kannst diesem Fehler auf der folgenden Seite nachgehen:

[EventID.Net - Troubleshooting information for Windows event logs]
http://www.eventid.net/


Ich habe gehört, dass wenn ein DC làngere Zeit nicht online ist, sich
nicht mehr von selbs synchronisiert. Hàngt das damit zusammen?



Gemeint ist hier die Tombstone Lifetime.
Die Tombstone Lifetime (TSL) wird mit dem installieren des allerersten DCs
in einer Gesamtstruktur und zwar für alle Domànen festgelegt. Diese kann nicht
pro Domàne konfiguriert werden. Natürlich kann der Wert der TSL manuell
veràndert werden. Die TSL betràgt unter:

- Windows 2000 (mit allen SPs) = 60 Tage
- Windows Server 2003 ohne SP = 60 Tage
- Windows Server 2003 mit Service Pack 1 = 180 Tage
- Windows Server 2003 R2 mit Service Pack 1 = 60 Tage
- Windows Server 2003 mit Service Pack 2 = 180 Tage
- Windows Server 2003 R2 mit Service Pack 2 = 180 Tage
- Windows Server 2008 = 180 Tage

Kontrollieren kann man die TSL mit ADSIEdit unterhalb der
Root-Domàne im folgenden Container:
CN=Directory Services,CN=Windows NT,CN=Services,CN=Configuration

Dort findet man in den Eigenschaften des Containers das
Attribut "tombstoneLifetime". Ist dort ein Wert gesetzt, betràgt die TSL
den eingetragenen Wert in Tagen. Steht im Attribut als Wert hingegen
<Not Set>, so betràgt die TSL den Standardwert von 60 Tagen.

Wenn mehrere DCs existieren, müssen sich die DCs mindestens einmal in
der TSL mit ihren Replikationspartnern repliziert haben.
Ansonsten können "Lingering Objects" zu deutsch,
herumlungernde Objekte enstehen:

[Yusufs Directory Blog - Lingering Objects (veraltete Objekte)]
http://blog.dikmenoglu.de/PermaLink...7d599.aspx


Wie bekomme ich den Server (DC) nun aus dem AD?



Wenn du den DC ohnehin entfernen möchtest, kannst du auf dem DC
das DCPROMO mit dem Parameter /FORCEREMOVAL ausführen.
Dadurch werden die AD-Daten LOKAL vom DC entfernt,
nicht aber aus dem AD. Wenn du den Server anderweitig nutzen möchtest
und ohnehin planst den Server neu zu installieren, kannst du auf das
DCPROMO /FORCEREMOVAL verzichten.

Du solltest dann direkt den DC aus dem AD entfernen.
Wie du die Metadaten des AD bereinigst, erfàhrst du von hier:

[Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/PermaLink...167b3.aspx

Viele Grüße aus Mainz
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen