[Win2k3 AD] Domain controller verwijderd (fysiek) GPO defect - Serversoftware en clouddiensten

vrijdag 28 september 2007 13:55

Acties:

Why are we here..

Topicstarter

Heren, en dames eventueel

Ik zit hier zoals gewoonlijk op mijn werk en heb de taak op mij genomen om alle Radmin (bah) servers te vervangen voor RDP (cheer). Hierbij ben ik een paar keer tegen een muur aangelopen omdat ik met mijn ontwikkel domein login op sommige servers in dat domein niet in kon loggen. Ik kreeg meerdere malen de melding "RPC server not available" bij het inloggen via RDP. Enkel nadat ik een lokaal account aanmaakte was er niks meer aan de hand.

Tijdens de speurtocht naar een oplossing heb ik dan ook even op de catalog dc gekeken naar eventuele problemen. Hierbij kwam ik naast onze SPS-AD01 catalog dc tot mijn verbazing ook een SPS-AD tegen welke nu dus niet meer bestaat. Kortom, deze is gewoon verwijderd.

Omdat na rondvraag bleek dat deze server gewoon niet meer bestaat heb ik hem dan achteraf maar gedemote en verwijderd waardoor ik nu met een enkele DC zit wat op zich geen probleem is. Dit loste mijn login probleem enkel natuurlijk niet op. Tijdens de demote kwam ik er achter dat deze oude niet meer bestaande server ook de GPO's beheerde en deze zijn natuurlijk ook allemaal weg nu.

Sterker nog, als ik de GP editor opstart komt hij al met de volgende melding: "Windows can not find the network path, blabla check if its turned on blabla" een oude bekende dus, deze duid er overigens ook wel eens op dat de rechten niet goed zijn dus heb ik even gekeken en ja, ik ben gewoon domain admin.

Nu is mijn vraag, hoe kan ik GPO's restoren op mijn enkele DC (lokale GPT.ini's zijn leeg), en kom liever niet met richt je AD opnieuw in want daar krijg ik hoofdpijn van op de vrijdag middag lol.

vrijdag 28 september 2007 14:00

Acties:

pt0x

Why are we here..

Topicstarter

overigens hier nog een paar events waar men misschien wat mee kan:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1030
Date: 9/28/2007
Time: 1:55:20 PM
User: NT AUTHORITY\SYSTEM
Computer: SPS-AD01
Description:
Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

=========

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1058
Date: 9/28/2007
Time: 1:55:20 PM
User: NT AUTHORITY\SYSTEM
Computer: SPS-AD01
Description:
Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=DOMAINNAME,DC=nl. The file must be present at the location <\\DOMAINNAME\sysvol\<DOMAINNAME>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Windows cannot find the network path. Verify that the network path is correct and the destination computer is not busy or turned off. If Windows still cannot find the network path, contact your network administrator. ). Group Policy processing aborted.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

vrijdag 28 september 2007 17:17

Acties:

alt-92

ye olde farte

pt0x schreef op vrijdag 28 september 2007 @ 13:55:
Nu is mijn vraag, hoe kan ik GPO's restoren op mijn enkele DC (lokale GPT.ini's zijn leeg),

Die horen gerepliceerd te worden naar SYSVOL dus je zou ze al moeten hebben.
Eventueel uit je backup (oh, ja, die dingen) halen.

Oh, en haal je bedrijfsnaam dan ook even uit de sysvol url in het vervolg

[ Voor 12% gewijzigd door alt-92 op 28-09-2007 17:19 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 1 oktober 2007 09:29

Acties:

pt0x

Why are we here..

Topicstarter

ugh... vrijdag middag post he

bedankt dat je me op de bedrijfsnaam attendeert.

anyway, ik zie ze inderdaad staan in mijn sysvol. (ik keek met mijn lompe hoofd in netlogon) ik probeer nu die policy weer in te stellen.

maandag 1 oktober 2007 15:40

Acties:

pt0x

Why are we here..

Topicstarter

wat meer info mbt het restoren van de policy,

code:

C:\Documents and Settings\jpersson>dcgpofix

Microsoft(R) Windows(R) Operating System Default Group Policy Restore Utility v5
.1

Copyright (C) Microsoft Corporation. 1981-2003

Description: Recreates the Default Group Policy Objects (GPOs) for a domain

Syntax: DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


This utility can restore either or both the Default Domain Policy or the
Default Domain Controllers Policy to the state that exists immediately after
a clean install. You must be a domain administrator to perform this operation.

WARNING: YOU WILL LOSE ANY CHANGES YOU HAVE MADE TO THESE GPOs. THIS UTILITY
IS INTENDED ONLY FOR DISASTER RECOVERY PURPOSES.

You are about to restore Default Domain policy  and Default domain Controller po
licy for the following domain
DOMAINNAME
Do you want to continue: <Y/N>? y
WARNING: This operation will replace all 'User Rights Assignments' made in the c
hosen GPOs. This may render some server applications to fail. Do you want to con
tinue: <Y/N>? y
Unable to read EFS certificates from Registry.pol file of Default Domain Policy.
 The error was
Windows cannot find the network path. Verify that the network path is correct an
d the destination computer is not busy or turned off. If Windows still cannot fi
nd the network path, contact your network administrator.
The restore failed.  See previous messages for more details

C:\Documents and Settings\jpersson>

Hier stuite ik op en ik had geen idee waar het aan heeft gelegen, even opgezocht en wat blijkt, de DC waar ik op werk maakt gebruik van een teamed netwerkkaart. deze is nu (omdat het niet nodig is) gesloopt waardoor het wel werkt, op dit moment zijn de policy's weer gerestored naar het orgineel en kunnen de oude policy's weer worden terug gezet.

[ Voor 11% gewijzigd door pt0x op 01-10-2007 16:19 ]

maandag 1 oktober 2007 16:07

Acties:

Ruuddie

pt0x schreef op maandag 01 oktober 2007 @ 15:40:
[..]

code:

[..]You are about to restore Default Domain policy  and Default domain Controller po
licy for the following domain
<DOMAINNAME>
[..]

Iets over een ezel en een steen?

maandag 1 oktober 2007 16:17

Acties:

pt0x

Why are we here..

Topicstarter

Ruuddie schreef op maandag 01 oktober 2007 @ 16:07:
[...]

Iets over een ezel en een steen?

maandag 1 oktober 2007 16:32

Acties:

alt-92

ye olde farte

Lang weekeinde geweest zeker ?

Maar goed: dcdiag/netdiag en andere tools ook gebruikt om te controleren of de verwijderde DC ook nergens meer genoemd wordt?
Je kan met ntdsutil tegenwoordig behoorlijk wat opschonen..

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 1 oktober 2007 16:45

Acties:

pt0x

Why are we here..

Topicstarter

alt-92 schreef op maandag 01 oktober 2007 @ 16:32:
Lang weekeinde geweest zeker ?

Maar goed: dcdiag/netdiag en andere tools ook gebruikt om te controleren of de verwijderde DC ook nergens meer genoemd wordt?
Je kan met ntdsutil tegenwoordig behoorlijk wat opschonen..

De ntdsutil heb ik niet gebruikt maar de bovendste twee wel. Het is allemaal gelukt nu in ieder geval ^^
En nee, ik ben gewend in de huiskamer te posten, daar let ik nooit zo op wat ik schrijf

lees zelde mijn posts na voor ik ze daadwerkelijk post haha. nouja

Thanks voor de hulp / verbeteringen