Hallo zusammen,
ich möchte gerne unseren AD-Server von einer Maschine, die abgeschaltet werden soll (DC1), auf eine andere (DC2) umziehen. Beide haben Windows 2012 (einer R2) installiert. Ich habe auf dem neuen die AD-Rolle installiert und die Replikation muss wohl auch mal funktioniert haben, allerdings werden mir bei näherem Hinsehen mehrere Fehler angezeigt:
- In AD Benutzer/Computer, rechtsklick auf die Domain, "DC ändern" steht, dass der Status des DC2 "Nicht verfügbar" sei. DC1 ist online
- In der GPMC muss ich auf dem DC2 immer erst eine Gesamtstruktur hinzufügen (oder ist das normal?)
- Ebenfalls in der GPMC, wenn ich auf die Domain klicke, steht bei Status: "DC1 ist der Basisdomänencontroller. [...] Für diese Domäne sind keine Infrastrukturstatusinformationen vorhanden." - Ein Klick auf "Jetzt ermitteln" -> 1 Domänencontroller mit Replikation, die momentan ausgeführt wird". Wenn ich den Abschnitt erweitere, steht da "Name: DC1; Active Directory: Zugriff nicht möglich; SYSVOL: [leer]". Beim Klick auf "Zugriff nicht möglich" steht "Fehler beim Zugriff auf AD oder "SysVol" auf diesem DC, oder ein Objekt fehlt."
- Wenn ich im selben Fenster auf "Ändern" klicke, steht nur der DC1 zur Auswahl.
Ich habe mich dann einige Zeit mit Internet-Recherche beschäftigt und folgendes herausgefunden/ausprobiert:
dcdiag /v ausprobiert:
Starting test: Advertising
Achtung: Bei dem Versuch, DC2 zu erreichen, wurden von DsGetDcName Informationen für \\DC1.new.york.local zurückgegeben.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET. Der Test Advertising für DC2 ist fehlgeschlagen.
Dazu habe ich gelesen, dass SYSVOL und NETLOGON freigegeben sein müssen. Das war vorher nicht der Fall, also habe ich das mit der Windows-Freigabe geregelt. Merkwürdigerweise wurde nach einigen Minuten die Freigabe wieder entfernt und nach einem Neustart war sie auch wieder weg. NET SHARE zeigt mir das Verzeichnis auch nicht mehr an. Irre!
Als es noch freigegeben war, hatte ich einige weitere Sachen getestet. In einem guten Beitrag im englischen Forum waren einige hilfreich-aussehende Tipps. Ich habe das non-authorative sync/restore ausprobiert, indem ich diesem Artikel bei serverfault.com gefolgt bin, der auf die MS KB weiterleitet. Dort steht, wie man im ADSI-Editor unter Windows 2012 die non-authorative sync bei DFSR einschaltet. Das hab ich auch alles hübsch befolgt, aber am Ende stand im Log nur das 4614 Event ("Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und wartet darauf, die erste Replikation auszuführen. Der replizierte Ordner bleibt im ersten Synchronisierungsstatus, bis er mit seinem Partner DC1.new.york.local repliziert wurde.") und das 4604 tauchte nicht auf (vllt wegen der Freigabe?).
Ich habe keine speziellen Firewall-Einschränkungen, darum bin ich mal nicht der Anleitung wegen Port-Freischalten gefolgt, die ich
hier gefunden habe. Hätte ich das genauer kontrollieren sollen? Ich denke, das mit der Freigabe ist einer der springenden Punkte.
Habt ihr eine Idee, woran es liegen könnte? Ich finde das mit der Freigabe ja super-seltsam, aber vielleicht liegt es ja noch an etwas anderem :-/
Bin auf alle Vorschläge gespannt und bedanke mich im Voraus!
Beste Grüße,
Achim