Server 2008R2: AD bei FSMO Inhaber ohne andere DC allein nicht sofort verfügbar

27/04/2010 - 15:12 von Marc M. | Report spam
Hallo Zusammen,

ich habe ein seltsames Problem nachdem ich hier eine 2003er Domàne auf
eine 2008er upgedatet habe.
(Schema upgedatet, 2008 als DC mit in die Domàne, 2003er raus aus der
Domàne, usw.)

Es ist so, dass der FSMO Rolleninhaber, sofern er gebootet wird und
den zweiten Domànencontroller nicht findet, weil dieser z.B. zu
Wartungszwecken down ist, das ActiveDirectory und alle davon
abhàngigen Dienste nicht sofort startet.

Es heißt dann:
#Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch
nicht als gültig eingestuft wird. Für die #Partition, die das FSMO
enthàlt, wurde dieser Server seit dem letzten Neustart nicht
erfolgreich mit einem #beliebigen Partner repliziert.
Replikationsfehler verhindern die Verifizierung dieser Rolle.

Nach 10 min. kommt dann
#Alle Probleme, die Aktualisierungen der Active Directory-
Domànendienste-Datenbank verhinderten, wurden #behoben. Neue
Aktualisierungen der Active Directory-Domànendienste-Datenbank sind
erfolgreich. Der #Netzwerkanmeldedienst wird neu gestartet.

und alle Dienste booten.

Ich kenne das Verhalten von 2003 eigentlich nicht. Da booten die
Dienste sofort. Ist das normal bei Windows Server 2008 R2?

DCDiag und so sind soweit unauffàllig.

Danke im Voraus.

Gruß
Marc
 

Lesen sie die antworten

#1 Florian Frommherz
29/04/2010 - 07:51 | Warnen spam
Howdie!

Am 27.04.2010 15:12, schrieb Marc M.:
Es ist so, dass der FSMO Rolleninhaber, sofern er gebootet wird und
den zweiten Domànencontroller nicht findet, weil dieser z.B. zu
Wartungszwecken down ist, das ActiveDirectory und alle davon
abhàngigen Dienste nicht sofort startet.



Bevor ein FSMO-Rollen-Inhaber startet, vergewissert er sich, dass er
auch _noch_ wirklich Inhaber dieser Rollen ist. Möglich wàre ja, dass er
abgeschaltet wurde, die Rollen per seize umgezogen und anschließend
wieder hochgefahren wurde. Das Verhalten ist also ein "Sicherheitsnetz",
das, wie du siehst, mit zwei DCs zu (wie sagt die Bahn so schön?)
"Verzögerungen im Betriebsablauf" führen kann.

Es _gab_ eine Änderung im Code, ich weiß nur nicht, ob es zwischen 2003
R2 und 2008 oder 2003 und 2003 R2 war - jedenfalls wurden die
Bedingungen, die zum Weiterführen des Starts führten, gelockert. Ein
Requirement war glaub' ich, dass er den Config-NC von einem anderen DC
replizieren können muss, bevor es weitergeht - falls nicht, wartet er
einen Timeout ab. Wenn noch etwas Zeit ist, schau' ich nochmal rein.

Es heißt dann:
#Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch
nicht als gültig eingestuft wird. Für die #Partition, die das FSMO
enthàlt, wurde dieser Server seit dem letzten Neustart nicht
erfolgreich mit einem #beliebigen Partner repliziert.
Replikationsfehler verhindern die Verifizierung dieser Rolle.

Nach 10 min. kommt dann
#Alle Probleme, die Aktualisierungen der Active Directory-
Domànendienste-Datenbank verhinderten, wurden #behoben. Neue
Aktualisierungen der Active Directory-Domànendienste-Datenbank sind
erfolgreich. Der #Netzwerkanmeldedienst wird neu gestartet.

und alle Dienste booten.



Du kannst diese Prüfung abschalten, wenn du nur zwei DCs hast und weißt,
was du tust(tm). Es gibt einen Registrierungsschlüssel, der die Prüfung
unterdrückt und den FSMO-Rolleninhaber zwingt, seine Rollen bei jedem
Boot als "noch aktuell" anzusehen. Wenn du nach Best Practice verfàhrst
und bei Rolenverschiebungen (seize, als "erzwingen"), den vorherigen DC
nie mehr online nimmst und ihn plàttest, passiert da nichts.

Cheers,
Florian

Ähnliche fragen