Domain Controller virtualisieren - Problem

[Benzer]

Moin,

vorneweg... ich weiß das die Virtualisierung von DC's ein heikeles Thema ist - trotzdem musste ich es wagen.

Es geht um zwei uralte Maschinen (DC-1 & DC-2) auf denen Windows Server 2000 läuft. Diese mussten möglichst schnell getauscht werden da die Hardware Probleme machte.

Also letzte Woche die Maschinen mittels VMware Converter live in die VMware geclont, abgeschaltet und die Clone online genommen.

Scheinbar gibt es jetzt Probleme... ein neuer Host kann der Domäne nicht beitreten da er keinen der virtuellen DC's findet. Alle anderen Clients haben keine Probleme.

Um weiteren Problemen die das Virtualisieren mit sich bringt vorzubeugen, würde ich das ganze rückgänig machen wollen.

Mein Plan sieht so aus:
- VM's abschalten
- Originale starten
- einen dritten (Win SRV2008 R2) per dcpromo zum DC-3 machen
- DC-1 & DC-2 per dcpromo runterstufen
- DC-1 & DC-2 virtualisieren
- Originale abschalten
- VM's starten

Kann das klappen oder bringt das nur noch mehr Probleme?

 

[DunklerRabe]

Ich kann davon auch grundsätzlich nur abraten. So groß kann der Konsolidierungsbedarf garnicht sein

Du hast ja sowieso nicht mehr sehr viele Optionen. Schalte doch die VMs ab und die Hardware Server wieder ein und schau erstmal, ob das das Problem beseitigt.
Auch wenn das virtualisieren von DCs grundsätzlich keine gute Idee ist könnte es ja sein, dass das Problem garnicht durch die Virtualisierung entstanden ist.

Danach kannst du dich an die Migration der Domäne machen. Ich glaube nicht, dass du direkt ohne weiteres von Windows 2000 auf Windows 2008 gehen kannst. Allerdings würde ich da nicht drauf schwören wollen, irgendwo an der Stelle wird mein Wissen über Domänen und deren Migration zu dünn!

 

[Spaxgeco]

Virtuelle DCs sind an sich nicht das Problem, nur würde ich immer zu mindestens einem physikalischem raten.

Der Ansatz ist schon richtig, setzt nen neuen auf, dcpromo und dann die anderen beiden ins nirvana verfrachten.

Allerdings habe ich noch nie einen Win2000 Server mit nem 2008 R2 in der gleichen Domäne betrieben.

Bin mal gespannt ob das funktioniert

 

[Benzer]

@DunklerRabe: Das habe ich auch versucht zu erklären... leider wollte der Chef nicht mehr warten und hat entschieden.

Es einfach mal auszuprobieren wäre eine Möglichkeit... nur was ist mit den Transaktionsnummern vom AD (USN) und der "Tombstone Lifetime" lt. google sollen die auch davon betroffen sein.
Bei dem einmaligen Tausch wird es da wohl keine Probleme gegeben haben. War ja ein "sauberer" Schnitt... nur zurück auf ältere Transaktionsnummern könnte es wohl möglich zerschießen.

Das "springen" von 2000 auf 2008R2 soll funktionieren --> http://meinews.niuz.biz/migration-t273492.html
Evtl. nutze ich auch 2003 als Zwischenschritt... mal gucken...

@Spaxgeco: Einen physischen DC werde ich noch aufsetzen - wobei bei VMWare ESX ja nicht das Problem besteht das das Domain Member den Domain Controler virtualisiert.



Das "Geradebiegen" der Problematik die immo vorliegt wäre wohl die eleganteste Lösung.

 

[Masamune2]

ich weiß das die Virtualisierung von DC's ein heikeles Thema ist

Nein, eigentlich überhaupt nicht.

Auch ist es nicht zwingend nötig einen physikalisch zu halten. Ob die Hardware jetzt Physik ist oder eine Software weiß ein DC nicht und ist ihm auch ziemlich egal.

Beim Virtualisieren von DCs niemals beide gleichzeitig übernehmen! Erst einen virtuell abziehen, die Replikation mit Repladmin prüfen und dann erst den zweiten umziehen.

Je nachdem wie lange die Virtualisierung her ist solltest du die alten nicht wieder einschalten sondern neue installieren und replizieren lassen.

 

[Benzer]

Beim Virtualisieren von DCs niemals beide gleichzeitig übernehmen! Erst einen virtuell abziehen, die Replikation mit Repladmin prüfen und dann erst den zweiten umziehen.

Gut... dafür ist es zuspät - habe ja den Schnitt gemacht und beide offline genommen und dann die VM's eingeschaltet.

Je nachdem wie lange die Virtualisierung her ist solltest du die alten nicht wieder einschalten sondern neue installieren und replizieren lassen.

Ca. 1 Woche ist das her.
Also lieber 2 neue 2008 R2 aufsetzen und diese zu DC's machen, dann die VM's runterstufen? Das wäre wohl auch eine Möglichkeit.

Vorrausgesetzt die neuen 2008 R2 finden die Domäne / die DC's.
edit:
Wie der Zufall will habe ich noch eine blanke 2008 R2 VM die Domainmember ist & die ich clonen kann. So hätte ich meine beiden neuen DC's.

 

[DunklerRabe]

Ja, wenn das so lange her ist würde ich das in der Tat auch nicht machen. Bau dir dann lieber neue, physikalische DCs und schalte die virtuellen erst dann ab.

 

[Masamune2]

Wenn die Member Server ihr Kerberos Ticket mit der Domäne schon erneuert haben und du die alten wieder einschaltest ist hinterher niemand mehr Domänenmitglied. Auf jeden Fall neue aufsetzen und replizieren lassen.

Ergänzung (9. Januar 2012)

Bau dir dann lieber neue, physikalische DCs

Würde auf jeden Fall Virtuelle nehmen, die sind schneller aufgesetzt. Wenn alles geklappt hat kann immer noch in aller Ruhe einen neuen Physikalischen aufbauen.

 

[Benzer]

Wie der Zufall will habe ich noch eine blanke 2008 R2 VM die Domainmember ist & die ich clonen kann. So hätte ich meine beiden neuen DC's.

Habe ich oben gerade noch reineditiert... ich hätte also einen bzw. zwei Kandidaten um die DC Funktion zu übernehmen.

Irgendwer Tipps & Tricks parat?

edit:

to do list:

- Domäne mittels Adprep für den 2008 R2 vorbereiten.
- Dcpromo beim ersten 2008 R2 ausführen.


Schade das "Yusufs blog" gerade offline ist... der hat tolle Anleitungen. Meine letzten Arbeiten am DC sind 2 Jahre her

 

[Zensai]

Dass die neuen Hosts den virtuellen DC nicht finden, kann ja eigentlich nur am DNS hängen, oder irre ich?

Hast du die Einstellungen dort gecheckt und eventuell angepasst?
Vielleicht liegen noch ARP Einträge vor, die so nicht mehr vorhanden sind?

 

[Masamune2]

habe ich noch eine blanke 2008 R2 VM die Domainmember ist & die ich clonen kann.

Aber bitte mit sysprep clonen damit eine neue SID vergeben wird. Wenn du die 1zu1 kopierst sind die Probleme wieder vorprogrammiert.

 

[Benzer]

@Zensai:
Jup - die Fehlermeldung geht auf DNS zurück - dort ist aber alles okay.
Ich werds Morgen aber nochmal checken.

@Masamune2:
Das auf jeden Fall.

edit:

Ich habe mich gerade nochmal an das ursprüngliche Problem begeben...

Der client den ich zur Domäne hinzufügen möchte zeigt mir folgenden Fehler:

Spoiler

Die Einträge im DNS habe ich jetzt nochmal gecheckt...
Im forward lookup gibt es Host A Einträge zu den DC's.
Im reverse lookup gibt es die passenden PTR & NS Einträge dazu.

Der client kann die Server ja auch per Name und IP pingen - er erkennt diese nur nicht mehr als DC.

nslookup von einem client der in der Domäne ist, gibt mir auch den richtigen DC zurück.

edit2:
Weiter gehts mit dem Umbau der Domäne von 2000 auf 2008:

Den alten DC vorbereiten... also adprep32.exe von der 2008 R2 DVD besorgt und auf dem 2000er DC-1 (der alle Rollen inne hat) ausgeführt.

Den neuen DC mit dcpromo hochgestuft (nicht "nur lesend" und kein DNS - nur globaler Katalog).
Im AD Replication Monitor wird mir der neue jetzt als DC angezeigt - also scheint das soweit geklappt zu haben.

Trotzdem findet der neue Client keinen DC... allerdings hat sich die Fehlermeldung dahin verändert, das jetzt auch der neue DC "für diese Abfrage identifiziert werden kann", aber keine Verbindung aufgebaut werden kann.

 

[Frightener]

Lasse mal DCDIAG /e laufen, evtl. mit DCDIAG /e /f:%logfile% in eine Datei schreiben lassen und hier posten.

Überprüfe außerdem die Evnet Logs der DCs, halte speziell nach 'USN Rollback' ausschau.

 

[Benzer]

Moin, lag nen paar Tage flach... jetzt gehts weiter.

DCDIAG /e /f:"e:\logfile.txt" gibt folgendes aus:

Spoiler

DC Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial non skippeable tests

Testing server: Standardname-des-ersten-Standorts\SERVER_A
Starting test: Connectivity
......................... SERVER_A passed test Connectivity

Testing server: Standardname-des-ersten-Standorts\SERVER_B
Starting test: Connectivity
......................... SERVER_B passed test Connectivity

Testing server: Standardname-des-ersten-Standorts\SERVER_C
Starting test: Connectivity
SERVER_C's server GUID DNS name could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
......................... SERVER_C failed test Connectivity

Testing server: Standardname-des-ersten-Standorts\SERVER_D
Starting test: Connectivity
......................... SERVER_D passed test Connectivity

Doing primary tests

Testing server: Standardname-des-ersten-Standorts\SERVER_A
Starting test: Replications
[Replications Check,SERVER_A] A recent replication attempt failed:
From SERVER_C to SERVER_A
Naming Context: CN=Schema,CN=Configuration,DC=DOMAENE
The replication generated an error (8524):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
The failure occurred at 2012-01-20 09:58.38.
The last success occurred at 2009-10-16 12:47.29.
19828 failures have occurred since the last success.
The guid-based DNS name c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE
is not registered on one or more DNS servers.
[Replications Check,SERVER_A] A recent replication attempt failed:
From SERVER_C to SERVER_A
Naming Context: CN=Configuration,DC=DOMAENE
The replication generated an error (8524):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
The failure occurred at 2012-01-20 09:58.38.
The last success occurred at 2009-10-16 12:48.33.
19829 failures have occurred since the last success.
The guid-based DNS name c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE
is not registered on one or more DNS servers.
[Replications Check,SERVER_A] A recent replication attempt failed:
From SERVER_C to SERVER_A
Naming Context: DC=DOMAENE
The replication generated an error (8524):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
The failure occurred at 2012-01-20 09:58.38.
The last success occurred at 2009-10-16 12:58.10.
19830 failures have occurred since the last success.
The guid-based DNS name c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE
is not registered on one or more DNS servers.
......................... SERVER_A passed test Replications
Starting test: NCSecDesc
......................... SERVER_A passed test NCSecDesc
Starting test: NetLogons
......................... SERVER_A passed test NetLogons
Starting test: Advertising
......................... SERVER_A passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVER_A passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVER_A passed test RidManager
Starting test: MachineAccount
......................... SERVER_A passed test MachineAccount
Starting test: Services
......................... SERVER_A passed test Services
Starting test: ObjectsReplicated
......................... SERVER_A passed test ObjectsReplicated
Starting test: frssysvol
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... SERVER_A passed test frssysvol
Starting test: kccevent
......................... SERVER_A passed test kccevent
Starting test: systemlog
......................... SERVER_A passed test systemlog

Testing server: Standardname-des-ersten-Standorts\SERVER_B
Starting test: Replications
[Replications Check,SERVER_B] A recent replication attempt failed:
From SERVER_C to SERVER_B
Naming Context: CN=Schema,CN=Configuration,DC=DOMAENE
The replication generated an error (8524):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
The failure occurred at 2012-01-20 09:47.14.
The last success occurred at 2009-10-16 12:54.06.
19820 failures have occurred since the last success.
The guid-based DNS name c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE
is not registered on one or more DNS servers.
[Replications Check,SERVER_B] A recent replication attempt failed:
From SERVER_C to SERVER_B
Naming Context: CN=Configuration,DC=DOMAENE
The replication generated an error (8524):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
The failure occurred at 2012-01-20 09:47.14.
The last success occurred at 2009-10-16 12:54.05.
19820 failures have occurred since the last success.
The guid-based DNS name c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE
is not registered on one or more DNS servers.
[Replications Check,SERVER_B] A recent replication attempt failed:
From SERVER_C to SERVER_B
Naming Context: DC=DOMAENE
The replication generated an error (8524):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
The failure occurred at 2012-01-20 09:47.14.
The last success occurred at 2009-10-16 12:58.40.
19820 failures have occurred since the last success.
The guid-based DNS name c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE
is not registered on one or more DNS servers.
......................... SERVER_B passed test Replications
Starting test: NCSecDesc
......................... SERVER_B passed test NCSecDesc
Starting test: NetLogons
......................... SERVER_B passed test NetLogons
Starting test: Advertising
......................... SERVER_B passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVER_B passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVER_B passed test RidManager
Starting test: MachineAccount
......................... SERVER_B passed test MachineAccount
Starting test: Services
......................... SERVER_B passed test Services
Starting test: ObjectsReplicated
......................... SERVER_B passed test ObjectsReplicated
Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
......................... SERVER_B passed test frssysvol
Starting test: kccevent
......................... SERVER_B passed test kccevent
Starting test: systemlog
......................... SERVER_B passed test systemlog

Testing server: Standardname-des-ersten-Standorts\SERVER_C
Skipping all tests, because server SERVER_C is
not responding to directory service requests

Testing server: Standardname-des-ersten-Standorts\SERVER_D
Starting test: Replications
......................... SERVER_D passed test Replications
Starting test: NCSecDesc
......................... SERVER_D passed test NCSecDesc
Starting test: NetLogons
......................... SERVER_D passed test NetLogons
Starting test: Advertising
......................... SERVER_D passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVER_D passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVER_D passed test RidManager
Starting test: MachineAccount
......................... SERVER_D passed test MachineAccount
Starting test: Services
RPCLOCATOR Service is stopped on [SERVER_D]
TrkWks Service is stopped on [SERVER_D]
Could not open TrkSvr Service on [SERVER_D]:failed with 1060: Der angegebene Dienst ist kein installierter Dienst.
......................... SERVER_D failed test Services
Starting test: ObjectsReplicated
......................... SERVER_D passed test ObjectsReplicated
Starting test: frssysvol
......................... SERVER_D passed test frssysvol
Starting test: kccevent
......................... SERVER_D passed test kccevent
Starting test: systemlog
......................... SERVER_D passed test systemlog

Running enterprise tests on : DOMAENE
Starting test: Intersite
......................... DOMAENE passed test Intersite
Starting test: FsmoCheck
......................... DOMAENE passed test FsmoCheck

Server- & Domänennamen ersetzt, SERVER_C ist seit mehreren Jahren offline.

 

[Zensai]

Leider übersteigt das mittlerweile ein wenig meinen Kompetenzbereich. Ich hoffe jedoch, dass du das noch gebacken bekommst und bin auf den weiteren Verlauf gespannt!

 

[Frightener]

Mach bitte mal ein NSLOOKUP c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE
Das ist wahrscheinlich Server C

Warum räumt ihr das AD nicht auf und schmeißt Server C raus?

Ich werde mir das nochmal anschauen, habe aber im Augenblick wenig Zeit.

 

[Benzer]

NSLOOKUP c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE

Löst so auf:

Server: SERVER_A.DOMAENE
Address: *korrekte IP Adresse SERVER_A*

Name: c8560b87-164f-4be9-b8df-e605dc2b4085._msdcs.DOMAENE

Warum räumt ihr das AD nicht auf und schmeißt Server C raus?

Gute Frage... das war alles vor meiner Zeit und vermutlich werde ich das im Rahmen dieser Problematik mal in Angriff nehmen.

Ich werde mir das nochmal anschauen, habe aber im Augenblick wenig Zeit.

Ein "Hoffnungsschimmer", danke schonmmal dafür.

 

[Frightener]

Sind die DCs auch DNS Server? Die GUID des NTDSSettings Objects (c8560b87-164f-4be9-b8df-e605dc2b4085) muß an allen DNS Servern registriert sein, da darüber die Sysvol Replikation abgewickelt wird. Es kann natürlich sein, daß die Fehlermeldung auch durch den nicht vorhandenen Server C verursacht wird.

 

[Benzer]

SERVER_A & B sind DNS Server
SERVER_D ist kein DNS Server

Wäre es sinnvoll erstmal SERVER_C weg zu säubern und dann nochmal zu gucken?

Wie kann ich diese Registrierung prüfen / nachholen?

 

[TheRealEagle]

Nur als Info eine INPLACE Migration von 2000 auf 2008 R2 geht nicht ohne Zwischenschritt über 2003 !!!

Wenn du aber einen 2008 R2 physikalisch / virtuell hinzufügst und den dann zum Primary hochstufst, das geht

€: Schau mal bei Yusuf rein > http://blog.dikmenoglu.de/PermaLink,guid,58a3c79f-f34e-4635-bc5f-0bfc67045b91.aspx

€2: Dieses >Whitelist gememme vom Board nervt solangsam...