Active Directory Schema Probleem

donderdag 21 november 2002 10:10

PF5A

In een AD heb je vijf FSMO rollen. Deze rollen worden standaard aan de eerste domain controller toegewezen:
1 Schema master - forest-wide
2 Domain naming master - forest-wide
3 PDC emulator - domain-wide
4 RID master - domain-wide
5 Infrastructure master - domain-wide

Als je dus je tweede machine een DC hebt gemaakt, staan deze rollen nog steeds op de eerste DC.

Als je deze dus opnieuw installeert zonder de FSMO rollen te verplaatsen naar de tweede DC, ben je dus je cruciale AD componenten kwijt. Ik denk dus dat je je AD opnieuw kunt gaan installeren, of je moet bepaalde rollen nog kunnen verplaatsen naar je tweede DC, maar dat zul je moeten testen.

"Q234790 - HOW TO: How to Find FSMO Role Holders (Servers)" is een mooi TechNet documeny over de FSMO rollen.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

donderdag 21 november 2002 10:21

Topicstarter

Die rollen had ik gevonden bij Active Directory Users en Computers --> Dan rechtsklikken op het domein --> Operations Master. Daar heb ik dus ALLES naar de 2e server gezet en had dus verwacht dat alles gewoon overgezet zou worden. Zeker als hij standalone draait. Maar er is dus geen manier om zoiets herop te bouwen ?

Acties:

donderdag 21 november 2002 10:48

Ja die is er wel.

De Schema Master rol (die is nu niet aanwezig) kun je alleen vanuit de Active Directory Schema Snap-in verplaatsen. Niet vanuit Active Directory User & Computers.
Je kan nu nog met ntdsutil de rol "seizen" (naar je toe trekken).

Hier staat hoe:
http://support.microsoft....aspx?scid=kb;en-us;255504

Edit: Vergeet ook niet de Domain Naming Master rol te seizen. Die kun je ook doen vanuit Active Directory Domains and Trusts. De Schema Snap-in waar ik het net over had, daar moet je trouwens eerste een DLL voor registreren: regsvr32 schmmgmt.dll, dan kun je hem toevoegen in mmc.

Acties:

donderdag 21 november 2002 11:14

Topicstarter

Ook als het schema officieel niet meer bestaat ?? Die hoort op Masserver te staan. die is opnieuw geinstalleerd en heet nu Server1. Hij zegt dat het schema op Masserver staat. En tsja, DIE is er dus niet meer.

Acties:

donderdag 21 november 2002 11:15

De schema is gewoon de layout van je AD. Hiet staat in welke objecten met welke attributen er kunnen worden aangemaakt. Dit kan alleen gebeuren op de DC die Schema Master is, en dat was masserver... Die kan niet meer gevonden worden, maar staat nog wel vermeld in je AD. Dat wordt seizen op je andere DC dus.

Volgende probleem dat je gaat hebben is dat Exchange graag een Global Catalog wil hebben, die staat ook default op de eerste server van je forest. Via Active Directory Sites and Services kan je op je nieuwe DC een global catalog aanmaken.

Tip: browse eens een beetje op Technet over FSMO rollen en GC's. Kan geen kwaad denk ik!

Edit: sorry, wilde geen gras voor je voeten wegmaaien

Acties:

donderdag 21 november 2002 11:22

Het schema bestaat nog wel. Zonder schema heb je geen AD. (Aleen maar een bult data.) In het schema staat gedefinieerd hoe objecten er uit zien, dus welke properties (ivulvelden) een user (object) bijvoorbeeld heeft. Er is alleen geen writable Schema versie, daarvoor heb je de Schema Master rol.
Volgens jouw theorie zou men bij een groot bedrijf met duizenden users compleet AD opnieuw moeten inrichten als die ene DC met de Schema Master rol onderuit gaat. Zo slecht is Win2K/AD niet.

Edit: Damn je was me voor

Acties:

donderdag 21 november 2002 11:27

Topicstarter

ha ha ha, dat is inderdaad waar Joop. De reden dat ik zo "negatief" was, is omdat ik ALTIJD van dit soort dingen heb. Dat ik alles weer opnieuw kan configgen enzow. Maar met dat NTDSutil moet het dus lukken, begrijp ik ?

*zucht* ik schaam me diep als w2k server certificated professional, mjah

Acties:

donderdag 21 november 2002 18:58

PF5A

Massiefje schreef op 21 november 2002 @ 11:22:
*zucht* ik schaam me diep als w2k server certificated professional, mjah

Mjah.... dit had je als gecertificeerd persoon eigenlijk moeten weten ja...

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

donderdag 21 november 2002 20:20

Topicstarter

Ik zit me daar een partij te kloten, maar ik krijg het NIET voor elkaar. Ik geloof dat ik er echt gewoon een zooitje van heb gemaakt

als ik doe: seize schema master, in NTDSUTIL, dan komt er het volgende uit:

Poging tot veilige overdracht van schema FSMO vóór de overname.
ldap_modify_sW fout 0x34(52 (Niet beschikbaar).
Uitgebreid foutbericht van LDAP is 000020AF: SvcErr: DSID-032101AF, problem 5002
(UNAVAILABLE), data 8438

Geretourneerde Win32-fout is 0x20af(De aangevraagde FSMO-bewerking is mislukt. K
an geen contact maken met de huidige FSMO-houder.)
)
Afhankelijk van de foutcode kan dit een verbindingsfout,
LDAP-fout of roloverdrachtfout zijn.
Overdracht van schema FSMO is mislukt. Bezig met uitvoeren van overname...
Server server1 is op de hoogte van 5 rollen
Schema - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Standaard-eerste-site,CN=Site
s,CN=Configuration,DC=hq,DC=heimans,DC=local
Domein - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Standaard-eerste-site,CN=Site
s,CN=Configuration,DC=hq,DC=heimans,DC=local
PDC - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Standaard-eerste-site,CN=Sites,C
N=Configuration,DC=hq,DC=heimans,DC=local
RID - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Standaard-eerste-site,CN=Sites,C
N=Configuration,DC=hq,DC=heimans,DC=local
Infrastructuur - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Standaard-eerste-site
,CN=Sites,CN=Configuration,DC=hq,DC=heimans,DC=local

Komt iemand hier wijs uit ??

Acties:

Brahiewahiewa

boelkloedig

Wat weerhoudt je er van om effe 2 x DCPROMO te draaien?

QnJhaGlld2FoaWV3YQ==

donderdag 21 november 2002 21:38

Acties:

donderdag 21 november 2002 21:41

Massiefje schreef op 21 november 2002 @ 18:58:

Komt iemand hier wijs uit ??

Ik kom er wel wijs uit

.
a. Je draait een Nederlandse Win2k server (brrr)
b. Je domein heet heimans.local
c. Je server heet server1.heimans.local en is lid van de ou servers, maar dat bedoelde je vast niet met je vraag.....
d. Ntdsutil probeert zelfs bij een seize eerst de rol "zacht" over te nemen, als dat niet lukt forceert ie echter wel de seize. Zijn ze niet alsnog gewoon overgezet?

Acties:

donderdag 21 november 2002 22:03

Brahiewahiewa schreef op 21 November 2002 @ 20:20:
Wat weerhoudt je er van om effe 2 x DCPROMO te draaien?

Als je auto niet wil starten door een lege accu ga je toch ook niet meteen alles uit elkaar halen, reviseren en weer in elkaar zetten? Startkabels zijn dan iets eenvoudiger.

Met dcpromo een domein afbouwen en weer een nieuw maken laat nou niet bepaald de meest schone server achter.

Acties:

Verwijderd

als je DCpromo op een dc draait kun je em alleen demoten, niet restaureren.

donderdag 21 november 2002 22:34

Acties:

donderdag 21 november 2002 22:37

Verwijderd schreef op 21 november 2002 @ 22:03:
als je DCpromo op een dc draait kun je em alleen demoten, niet restaureren.

ja, en twee keer draaien maakt dus een nieuw domein aan....

Acties:

Verwijderd

ja, ok maar dat noemen we "alles op nieuw doen"

donderdag 21 november 2002 23:12

Acties:

donderdag 21 november 2002 23:29

Een gedeelte van je output:

Schema - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Standaard-eerste-site,CN=Sites,CN=Configuration,DC=hq,DC=heimans,DC=local

Wat ik hier lees is dat (volgens SERVER1!) SERVER1 de huidige eigenaar van de Schema Master Rol is! Als je verder leest zie je dat SERVER1 zelfs vindt dat hij/zij

de eigenaar is van alle FSMO rollen. Dus het lijkt er op dat het bij een eerdere poging tot seizen toch goed gegaan is.

Wat nu wel heel vreemd is:

Kan geen contact maken met de huidige FSMO-houder.

Dat lijkt me nogal vreemd, dat ie geen contact kan maken met zichzelf.

Je hebt iig een interessant probleem!

Ik zou in ieder geval eens de AD Schema Snap-in starten, en eens vanaf daar kijken wat die er over zegt. En of je misschien iets kan veranderen aan het schema. Pas wel op; je moet geen bestaande objectdefinities gaan wijzigen, je kan wel proberen om een nieuw object te definiëren. (Mag heel simpel zijn.) Als dat kan, dan heb je een schrijfbare versie van het schema. Je krijgt wel rare errors, maar misschien ligt dat ergens anders aan.
Misschien staat er bijvoorbeeld iets mis met de replicatie. Er zouden nog best verwijzingen kunnen staan naar de oude server. Probeer daar eens naar te kijken.

Ik zou iig niet zomaar de boel weg donderen. Dit is een leuk voorbeeld van praktijkervaring op doen! Als je dit op je werk hebt kun je ook niet zomaar ff opnieuw beginnen

offtopic:
En nog één gratis tip: GEBRUIK GEEN NL SERVER SOFTWARE

[ Voor 3% gewijzigd door Joop op 21-11-2002 23:24 ]

Acties:

Brahiewahiewa

boelkloedig

luckyme_ schreef op 21 november 2002 @ 21:41:
[...]Als je auto niet wil starten door een lege accu ga je toch ook niet meteen alles uit elkaar halen, reviseren en weer in elkaar zetten? Startkabels zijn dan iets eenvoudiger.

Precies! DCPromo kost twee keer een kwartiertje, terwijl TS nu al 14 uur aan het k*ten is

Met dcpromo een domein afbouwen en weer een nieuw maken laat nou niet bepaald de meest schone server achter.

Want? Wat blijft er achter dan?

QnJhaGlld2FoaWV3YQ==

donderdag 21 november 2002 23:43

Acties:

donderdag 21 november 2002 23:50

Topicstarter

Joop schreef op 21 november 2002 @ 23:12:
Ik zou iig niet zomaar de boel weg donderen. Dit is een leuk voorbeeld van praktijkervaring op doen! Als je dit op je werk hebt kun je ook niet zomaar ff opnieuw beginnen

Juist, dat is dus ook 1 van de redenen dat ik niet opnieuw begin. Zoals een van jullie eerder al opmerkte: als in een groot bedrijf de main DC crashed, zou dan het hele domein opnieuw gebouwd moeten worden ?? Lijkt me niet. Bovendien vind ik het interessant om eens te kijken hoe dit nou in z'n werk opgelost moet worden. Mogelijkheid is inderdaad groot dat ik dit ooit tegen ga komen namelijk.

(misschien alleen voortaan iets minder zelf proberen en gelijk maar serieuze antwoorden gebruiken, ha ha ha)

Acties:

vrijdag 22 november 2002 00:08

Cookies :9

Misschien ten overvloede, maar DNS vult een hele belangrijke rol binnen het W2k platform en de AD. Staat hier alles nog wel goed ??

Acties:

vrijdag 22 november 2002 00:25

Topicstarter

ash, tnx for the tip. Maar ik heb alle verwijzingen naar de oude server eruit geknikkerd. Ik ga er daarom ook vanuit, aangezien hij goed functioneert en geen meldingen geeft, dat het allemaal correct staat.

Acties:

vrijdag 22 november 2002 08:51

Topicstarter

Joop, ik kan dus NIETS aanpassen of bijmaken in het schema

. Hij zegt dat ik daartoe niet gemachtigd ben. Nadat ik de administrator als primaire groep de schemaadmins had toegewezen, zij hij dat niet meer, maar zegtie "kan het kenmerk roleigenaar niet lezen". Ook kom ik RPC fouten tegen. Ik snap niet waar het aan ligt, maar waarschijnlijk iets met de RPC of zo. Enig idee iemand ?

(zelfs al moet ik een nieuw domein aanmaken, ik kan niet de huidige instellingen meenemen he, zoals gebruikers en groepen? Zo ja, hoe, dan is dat de eventuele uitweg)

Acties:

vrijdag 22 november 2002 10:01

Cookies :9

post eens wat events

Acties:

vrijdag 22 november 2002 11:16

Topicstarter

events ??? UIt de event log of zo ? Of doel je meer op screenshots ?

Acties:

Verwijderd

Massiefje schreef op 21 november 2002 @ 10:10:
Die rollen had ik gevonden bij Active Directory Users en Computers --> Dan rechtsklikken op het domein --> Operations Master. Daar heb ik dus ALLES naar de 2e server gezet en had dus verwacht dat alles gewoon overgezet zou worden. Zeker als hij standalone draait. Maar er is dus geen manier om zoiets herop te bouwen ?

dit zijn niet alle fsmo roles...

opnieuw installen zal waarschijnlijk de enige oplossing zijn... (dcpromo draaien dus!!!)

[ Voor 4% gewijzigd door Verwijderd op 22-11-2002 11:18 ]

vrijdag 22 november 2002 11:18

Acties:

vrijdag 22 november 2002 11:20

PF5A

Verwijderd schreef op 22 November 2002 @ 11:16:
dit zijn niet alle fsmo roles...

Nope, ik heb ze alle 5 al eerder gepost, inclusief een Q document waar ze te vinden.

[ Voor 18% gewijzigd door Arno op 22-11-2002 11:19 . Reden: iis5_rulez die zijn post edit is NOOIT grappig :+ ]

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

Verwijderd

luckyme_ schreef op 21 November 2002 @ 11:14:
Volgende probleem dat je gaat hebben is dat Exchange graag een Global Catalog wil hebben, die staat ook default op de eerste server van je forest. Via Active Directory Sites and Services kan je op je nieuwe DC een global catalog aanmaken.

GC heeft er niks mee te maken... exchange2000 maakt aanpassingen in het schema... en als je geen schema master meer hebt ben je fucked

edit: hehe had nog niet alles gelezen...

[ Voor 5% gewijzigd door Verwijderd op 22-11-2002 11:21 ]

vrijdag 22 november 2002 14:06

Acties:

vrijdag 22 november 2002 14:31

Cookies :9

Massiefje schreef op 22 November 2002 @ 10:01:
events ??? UIt de event log of zo ? Of doel je meer op screenshots ?

Om te beginnen eerst de event log, daarna misschien wat screenshots.

p.s. Het moet op te lossen zijn, zonder de hele AD opnieuw op te bouwen, zie het al gebeuren in het bedrijfsleven

Acties:

vrijdag 22 november 2002 15:10

PF5A

[ash] schreef op 22 November 2002 @ 14:06:
p.s. Het moet op te lossen zijn, zonder de hele AD opnieuw op te bouwen, zie het al gebeuren in het bedrijfsleven

Daar zijn ze (hopelijk) slimmer dan zomaar ff je root DC te formatteren

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

Acties:

vrijdag 22 november 2002 15:17

Cookies :9

Traag schreef op 22 november 2002 @ 14:31:
Daar zijn ze (hopelijk) slimmer dan zomaar ff je root DC te formatteren

Hij kan ook crashen

Acties:

vrijdag 22 november 2002 18:33

[ash] schreef op 22 November 2002 @ 15:10:
[...]

Hij kan ook crashen

Ja, en dan heb je natuurlijk geen backup zeker.......

Acties:

vrijdag 22 november 2002 20:02

Topicstarter

die heb ik idd niet nee. Maar ik denk dat ik vanavond maar nieuw domein ga aanmaken. Oude domein voorlopig nog maar even in stand houden en dan workstations omzet naar nieuwe domein. Op dat moment gewoon oude domein verwijderen en klaar is Massiefje. Tenzij iemand voor vanavond nog een duidelijke oplossing weet ?

(dat wil zeggen binnen nu en een paar minuten

)

Acties:

vrijdag 22 november 2002 20:27

ntdsutil

Acties:

zaterdag 23 november 2002 09:43

luckyme_ schreef op 22 november 2002 @ 20:02:
ntdsutil

Wat een briljant nieuw inzicht!

Massiefje: Ik heb ook geen idee meer... Het is waarschijnlijk wel op te lossen als je er echt heel veel tijd in steekt, maar dat is niet echt de moeite waard meer lijkt het. Succes iig.

Acties:

zaterdag 23 november 2002 16:22

Joop schreef op 22 November 2002 @ 20:27:
[...]

Wat een briljant nieuw inzicht!

Dank u! Het is echter wel de enige manier om een FSMO rol over te zetten als de oorspronkelijke houder van die rol weg is.
Ik stel voor dat de topic starter hier maar eens begint met lezen en ook de twee links onderaan goed bekijkt.

Acties:

Brahiewahiewa

boelkloedig

luckyme_ schreef op 23 November 2002 @ 09:43:
[...]
Dank u! Het is echter wel de enige manier om een FSMO rol over te zetten als de oorspronkelijke houder van die rol weg is.
Ik stel voor dat de topic starter hier maar eens begint met lezen en ook de twee links onderaan goed bekijkt.

Ik stel voor dat luckyme_ dit topic begint te lezen vanaf z'n eigen eerste post.
Dan zie je ondermeer:

Massiefje schreef op 21 november 2002 @ 18:58:
[..]
als ik doe: seize schema master, in NTDSUTIL, dan komt er het volgende uit:

Poging tot veilige overdracht van schema FSMO vóór de overname.
ldap_modify_sW fout 0x34(52 (Niet beschikbaar).
Uitgebreid foutbericht van LDAP is 000020AF: SvcErr: DSID-032101AF, problem 5002
(UNAVAILABLE), data 8438

Geretourneerde Win32-fout is 0x20af(De aangevraagde FSMO-bewerking is mislukt. Kan geen contact maken met de huidige FSMO-houder.)
[..]

QnJhaGlld2FoaWV3YQ==

zaterdag 23 november 2002 17:42

Acties:

zondag 24 november 2002 21:24

Werkt je DNS wel goed? Zonder een fatsoenlijke dns kunnen je dc's weinig vinden, je krijgt dan de meest rare (en op het eerste gezicht) onverklaarbare fouten.

Acties:

zondag 24 november 2002 21:57

chown -R me base:all

Probeer eens de rechten van NT/AUTHORITY, SYSTEM, NETWORK, SELF en de machines full control te geven, en jezelf natuurlijk. De DC die nu Global Catalog moet je dan demoten (in de zin van de server mag geen GC meer zijn en de server die je wilt "restaureren" weer op GC zetten. Nu schema master maken en restarten.
Daarna in AD Sites en .... ---> Check replication topology. Het schema is namelijk wel gerepliceerd. Allebij de machines moeten full control hebben tot in "folderdiepte"
anders kunnen ze nooit elkaars taak overnemen (totdat jij anders "zegt" tegen de machines. Wel de rechtenstructuur weer terugzetten in oude staat andersch jij weg kwijt...)) Daarna setup /forestprep draaien op de DC! en daarna setup /domainprep; nu is je domein klaar (Ik heb precies hetzelfde meegemaakt ).Dus Setup.exe (exchsrvr60) (Of je moet eens nadenken over dat tooltje waarmee je je domeinnaam kan renamen!!!)

Acties:

alt-92

ye olde farte

Kabouterplop01 schreef op 24 november 2002 @ 21:24:
(Of je moet eens nadenken over dat tooltje waarmee je je domeinnaam kan renamen!!!)

Werkt niet voor win2k domains toch, alleen .NET server kun je domain rename tool voor gebruiken...

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 24 november 2002 22:31

Acties:

zondag 24 november 2002 22:36

chown -R me base:all

Ik heb 'em wel eens gebruikt; Ik heb wel eens zo verschrikkelijk lopen pielen dat dat mijn laatste redding was. Werkt goed trouwens. Lijkt net of je met een clean install werkt (na DCPROMO dan.... )Nog mooier is daarna uit de AD al je machineaccounts deleten en NEWSID draaien. (een of ander nieuw tooltje dat gewoon voor elke machine een nieuwe SID aanmaakt. Super!!
Na het repliceren z.g.a.n

Acties:

zondag 24 november 2002 22:44

Kabouterplop01 schreef op 24 November 2002 @ 21:24:
De DC die nu Global Catalog moet je dan demoten (in de zin van de server mag geen GC meer zijn en de server die je wilt "restaureren" weer op GC zetten. Nu schema master maken en restarten.
Daarna in AD Sites en .... ---> Check replication topology. Het schema is namelijk wel gerepliceerd. Allebij de machines moeten full control hebben tot in "folderdiepte"
anders kunnen ze nooit elkaars taak overnemen (totdat jij anders "zegt" tegen de machines. Wel de rechtenstructuur weer terugzetten in oude staat andersch jij weg kwijt...)) Daarna setup /forestprep draaien op de DC! en daarna setup /domainprep; nu is je domein klaar (Ik heb precies hetzelfde meegemaakt ).Dus Setup.exe (exchsrvr60) (Of je moet eens nadenken over dat tooltje waarmee je je domeinnaam kan renamen!!!)

Er is niets op tegen om meer Global Catalogs te hebben. Alleen de eerste server van je forest is default al gc (en die eerste server is dood)

Check replication topology is een optie in de support tool replmon, naar mijn weten niet in ad sites en services aanwezig. Wat wil je overigens naar waar laten repliceren als er maar 1 dc is?

Een win2k domein kan niet van naam worden veranderd, je zult daarvoor .Net native mode moeten draaien (zowel je forest als je domein)

Acties:

zondag 24 november 2002 22:52

chown -R me base:all

Maestro check this out....
http://www.experts-exchan...s/Win2000/Q_20391070.html
Ik snap goed wat je bedoelt..., maar het werkt echt.
trouwens kun jij dan niet zien met wat je hebt geinstalleerd van je adminpak.msi, wat er in je AD staat??

Acties:

maandag 25 november 2002 17:30

chown -R me base:all

Ik heb een mooie .jpg gemaakt maar ik kan 'em niet hierin plakken!!
Waar wil je em

Acties:

Verwijderd

luckyme_ schreef op 24 november 2002 @ 22:36:
[...]

Er is niets op tegen om meer Global Catalogs te hebben. Alleen de eerste server van je forest is default al gc (en die eerste server is dood)

bij meerdere domain controller moet je de GC verplaatsen naar een server die geen schema master is... (dus eerst op de andere server gc aanzetten en dan op de eerste uitzetten NIET EERST UITZETTEN!!!)

maandag 25 november 2002 19:24

Acties:

dinsdag 26 november 2002 09:23

Verwijderd schreef op 25 November 2002 @ 17:30:
[...]
bij meerdere domain controller moet je de GC verplaatsen naar een server die geen schema master is... (dus eerst op de andere server gc aanzetten en dan op de eerste uitzetten NIET EERST UITZETTEN!!!)

Je bedoelt de infrastructure master. Dit is overigens alleen als je een forest hebt met meer dan 1 domein. Group membership wordt namelijk zowel bij de gc als de infr. master bijgehouden en de replicatie kan fout lopen als beiden op 1 machine staan.

[ Voor 4% gewijzigd door luckyme_ op 25-11-2002 19:24 ]

Acties: