DC FSMO transfered - dcdiag netlogon share error

Situatie gisteren:

- 1x Fysieke Windows Server 2012 DC -> heeft alle FSMO rollen
- 1x Fysieke Windows Server 2016 DC
- 1x Virtuele Windows Server 2016 DC

De 2012 server wil ik gaan uitfaseren.

Ik heb gisteren het volgende uitgevoerd:

- netdom query fsmo -> Liet zien dat alle rollen inderdaad op 2012 server draaien.

- Move-ADDirectoryServerOperationMasterRole -Identity NaamVirtuele2016DC -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

- DNS op netwerkkaart van alle DC's aangepast zodat ze primair naar 127.0.0.1 wijzen en secundair naar de nieuwe server met FSMO rollen (Hoewel ik ook hier en daar lees dat dit juist omgekeerd moet zijn, echter de meningen schijnen toch wel te verschillen hierover).
ik heb nu op alle DC's de primaire DNS verwezen naar een andere DC en secundair naar zichzelf (127.0.0.1).

- netdom query fsmo -> Laat zien dat alle rollen nu inderdaad zijn overgezet naar de 2016 VM.

So far so good....

Volgende week wil ik de oude 2012 DC gaan demoten.
Nu dacht ik dat het handig zou zijn om een dcdiag /v te draaien vanochtend om eens te kijken of gisteren echt alles goed is gegaan en ik met een gerust hart volgende week verder kan gaan.

DCDIAG geeft nu echter de volgende melding:

Unable to connect to the NETLOGON share! (\\NaamVirtuele2016DC\netlogon)

[NaamVirtuele2016DC] An net use or LsaPolicy operation failed with error 67,

The network name cannot be found..

......................... NaamVirtuele2016DC failed test NetLogons

Wanneer ik "Net share" uitvoer op de 2016 DC dan zie ik netlogon ook niet in de lijst staan.
Dit zie ik wel in de lijst staan bij de oude 2012 DC.

Ook advertising gaat niet zoals ik had verwacht:

Testing server: Default-First-Site-Name\NaamVirtuele2016DC

Starting test: Advertising

Warning: DsGetDcName returned information for

\\NaamVirtuele2016DC.domeinnaam.local, when we were trying to reach

NaamVirtuele2016DC.

SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.

......................... NaamVirtuele2016DC failed test Advertising

Advertising gaat wel nog goed op de oude 2012 server wanneer ik daar dcdiag run.

Hieruit denk ik te kunnen concluderen dat de 2012 server toch nog een belangrijke rol speelt in het domein, terwijl ik had verwacht dat door het overzetten van de FSMO rollen juist de nieuwe server al het netlogon volume zou gaan faciliteren voor het domein.

Mijn vraag nu: dien ik mij druk te maken om deze meldingen in DCDIAG, of is dit normaal gedrag en komt dit pas goed nadat ik de oude server een demote geef?
Demote wil ik gaan uitvoeren met het commando: Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartition

Bedankt voor je reactie Question Mark, ik heb nu op alle DC's de primaire DNS verwezen naar een andere DC en secundair naar zichzelf (127.0.0.1).

De nieuwe DC's zijn ook DNS server, en ik zie dat de DNS zones (zowel forward and reverse) ook keurig gesynchroniseerd wordt over de DC's.
De nieuwe DC's zijn ook Global Catalog.

Dan blijft de vraag waarom de netlogon share niet actief is op de nieuwe DC's.
Moet de share in dit stadium al actief zijn of komt dit pas nadat ik de oude server demote?

Ben bang dat wanneer ik de oude server ga demoten de netlogon share niet automatisch over gaat naar de nieuwe DC en dat niemand meer in kan loggen.

Edit: in mijn zoektocht kwam ik dit nog tegen: https://community.spicewo...e-but-creates-sysvol-fine

Run the following command on all domain controllers in the forest.

Net Stop NTFRS (stop the file replication service)

Go Into Registry Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

Change the BurFlags DWORD to = D4 on the Primary Domain Controller and change to D2 on all of the backup domain controllers.

Start the NTFRS service again by using Net Start NTFRS command

After I did this on all of the domain controllers it started working properly.

Die Burflags oplossing is volgens mij alleen van toepassing bij FRS. Ik gebruik DFS.
https://support.microsoft...sysvol-like-d4-d2-for-frs

Dit lijkt voor DFS de procedure te zijn maar ik ben huiverig dit uit te voeren.

Zou het aan te bevelen zijn een dcdiag /fix te runnen en daarna DFS te herstarten?

[ Voor 87% gewijzigd door jimbo123 op 11-05-2017 11:23 ]

Question Mark schreef op donderdag 11 mei 2017 @ 15:40:
De Netlogon (en sysvol) share worden "beschikbaar" als er een succesvolle replicatie heeft plaatsgevonden. Zonder dit functioneert je DC niet. Eerst fixen dus, voordat je iets anders aan je omgeving gaat doen.

Het kan haast niet anders dan dat dat er replicatie errors in de Windows eventlog staat. Kijk hier eens naar?

Dat is juist het vreemde, in de DFS Replication log zie ik niets vreemds.

Ik zie: The DFS Replication service successfully restarted replication after a backup or restore operation.
Die melding is nadat de back-up software gelopen heeft, dus normaal en goed zou je zeggen.

Wel valt op dat in het DFS Replication log alleen verwezen wordt naar de lokale hostnaam. Hij lijkt dus alleen met zichzelf te repliceren en niet met de andere DC's.

Ik heb "dcdiag /test:dns" nog laten draaien en dat gaf "passed" aan voor alle onderdelen van de test.

Vervolgens heb ik de DFS Management Tools geinstalleerd en een health report laten draaien.
De oude 2012 DC geeft in dat rapport als warning: Reference member returned no replicated folders.
De 2 nieuwe DC's geven als warning: This member is waiting for initial replication for replicated folder SYSVOL Share.

"repadmin /showrepl" geeft alleen maar succesvol resultaten.

Toen heb ik de DFS Replication service herstart op de nieuwe 2016 DC.
Nog eens in DFS logboek gekeken en alleen informational events, dat de service weer is gestart, een RPC listner heeft gestart en ID 6806. Allemaal heel normaal lijkt het wel.

In mijn zoektocht heb ik nog dit gevonden: http://blog.zmarzly.me/df...-for-initial-replication/

Daar heeft men het over het verwijderen van de directory C:\System Volume Information\DFSR.
Dat zou in mijn geval dan op de oude 2012 DC moeten gebeuren denk ik omdat die het enige werkende SYSVOL volume bevat.

Ik durf dat echter niet zomaar uit te voeren, bang dat ik het erger stuk maak dan het al is.
Heeft iemand hier meer ervaring mee?

Edit: Ik heb nog een BPA scan laten lopen op de nieuwe 2016 DC.
Deze gaf nog een error omdat ik geen NTP server geconfigureerd had (hoewel de tijd goed stond).
Voor de zekerheid dit wel even in orde gemaakt. Geen effect op het repliceren van sysvol en netlogon echter.

[ Voor 6% gewijzigd door jimbo123 op 11-05-2017 19:28 ]

Question Mark schreef op donderdag 11 mei 2017 @ 20:26:
Wat zie je als je sites and services opent?

Default-First-Site-Name
> DC2012 > NTDS Settings > Connection naar 2 andere DC's (Automatically generated)
> DC2016-1 > NTDS Settings > Connection naar 2 andere DC's (Automatically generated)
> DC2016-2 > NTDS Settings > Connection naar 2 andere DC's (Automatically generated)

Alle DC's staan in de verwachte site (allemaal in dezelfde)?

Ja, er is slechts 1 site en alle DC's staan in dezelfde site.

Je ziet bij de DC Objecten ook ConnectionObjects naar een andere DC staan? (zowel inbound als outbound)?

Ik zie (zoals hierboven aangegeven) per DC 2x een ConnectionObject naar een andere DC. De vraag of dit inbound/outbound is kan ik niet goed beantwoorden, waar zou ik dat kunnen nakijken?

Wat gebeurt er als je op "replicate Now" klikt op een Connection Object?

Dan krijg ik melding "Active Directory Domain Services has replicated the connections"

Geef verder eens wat meer info over je omgeving? Ip-adressering, subnetten, welke sites zijn aangemaakt, hoe zien je site-links eruit, etc. Het wordt zonder informatie wel heel erg gokken.

Het is eigenlijk een relatief eenvoudige omgeving op dit niveau. Het betreft een standaard 192.168.x.0/24 subnet waarbij alle DC's een statisch IP adres hebben. De DC's hebben slechts 1 netwerkkaart in gebruik waarbij de DNS primair verwijst naar een andere DC en secundair naar zichzelf. Er is slechts 1 site aangemaakt.

Ik overweeg om een ticket bij Microsoft aan te maken of een zwaar gecertificeerde consultant in te huren, echter wellicht dat iemand hier nog een goed idee heeft.

Vorkie schreef op vrijdag 12 mei 2017 @ 08:12:
Welk AD en forest functional level heb je nu?

2012.

Vorkie schreef op vrijdag 12 mei 2017 @ 08:20:
[...]

Even een kleine checklist voor troubleshooting, uitvoeren op alle servers;

• ping NETBIOSname andere DC's
• ping FQDN andere dc's
• Check Firewall / network (Is Domain profile gekozen, of staat deze op Public?)
• 2016 en 2012 server volledig gepatched?

Aangezien je 2012 een volledige SYSVOL heeft, kan je deze niet zomaar verwijderen als de andere geen SYSVOL hebben op dit moment (je policy's staan er)

Ping NETBIOSname andere DC's -> Gaat goed
ping FQDN andere DC's -> Gaat goed
Op alle 3 DC's is het firewall profiel domain connected, echter de firewall staat overal uit.
Voor 95% gepatched, ik heb de laatste ronde patches niet doorgevoerd omdat ik eerst dit probleem wil verhelpen alvorens overige changes door te voeren.

Ik begrijp dat de 2012 server momenteel niet gedemote mag worden. Eerst moet sysvol en netlogon repliceren.

Question Mark schreef op vrijdag 12 mei 2017 @ 08:41:
Zet eerste je firewall maar eens aan. Dat zal ook het eerste zijn wat MS support zal gaan vragen.

Ik verwacht overigens niet dat dit je issue op gaat lossen, maar eigenlijk is het sowieso een must.

Ik heb de firewall ingeschakeld en DFSR service herstart op de 2012 DC en toen op de 2016.
Ook ik verwacht niet dat het met de firewall te maken heeft, maar door de herstart van DFSR krijg ik nu wel eindelijk een foutmelding in mijn DFSR logboek waar ik naar kan gaan zoeken.

Het gaat om event ID 5014 op de 2016 server.
The DFS Replication service is stopping communication with partner "DC2012" for replication group Domain System Volume due to an error. The service will retry the connection periodically.

Additional Information:
Error: 9033 (The request was cancelled by a shutdown)

Op de 2012 DC zie ik nu in het DFS logboek:

The DFS Replication service stopped replication on volume C:. This occurs when a DFSR JET database is not shut down cleanly and Auto Recovery is disabled. To resolve this issue, back up the files in the affected replicated folders, and then use the ResumeReplication WMI method to resume replication.

Additional Information:
Volume: C:
GUID: 23B7A600-8202-11E2-93E7-806E6F6E6963

Recovery Steps
1. Back up the files in all replicated folders on the volume. Failure to do so may result in data loss due to unexpected conflict resolution during the recovery of the replicated folders.
2. To resume the replication for this volume, use the WMI method ResumeReplication of the DfsrVolumeConfig class. For example, from an elevated command prompt, type the following command:
wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="23B7A600-8202-11E2-93E7-806E6F6E6963" call ResumeReplication

For more information, see http://support.microsoft.com/kb/2663685.

EDIT: Ben bezig om het KB item door te nemen en actie te bepalen

EDIT2: Het volgende commando uitgevoerd op de 2012 DC: wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="23B7A600-8202-11E2-93E7-806E6F6E6963" call ResumeReplication

Toen DFSR Service herstart op 2012 en 2016.

En TADA!!! We hebben een sysvol en netlogon share op de 2016 server inclusief data
Nu even rustig laten syncen en dcdiag nog eens draaien over een tijdje.

EDIT3: DCDIAG geeft nu al geen fouten meer (behalve melding dat er de laatste 24 uur fouten zijn geweest, en dat is natuurlijk correct).

Dus als ik dit een paar dagen voor de zekerheid laat repliceren, nogmaals DCDIAG uitvoer, en indien er geen fouten zijn kan ik de 2012 DC demoten met onderstaand commando?

Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartition

[ Voor 21% gewijzigd door jimbo123 op 12-05-2017 09:02 ]

Question Mark schreef op vrijdag 12 mei 2017 @ 11:48:
Dat artikel "vergeet" nog wel dat je lokaal je DNS-servers even aan moet passen.

Je bedoeld op de oude 2012 DC de DNS aanpassen alvorens deze te demoten?
Die DNS wijst nu primair naar een andere DC en secundair naar zichzelf.

Hoe zou je het aanpassen alvorens demoten?

Got it!
Thanks mannen!