Toten DC aus Domäne entfernen

[judith 10]

Hallo Leute,

ich muß euch leider bemühen. "Schluchz"

Ich habe hier eine Umgebung aus 2 DC gehabt.

Dann ist der 1. DC gestorben und die Rollen konnten nicht mehr übertragen werden, weil das AD im Eimer war, kein Sysvol und jedem Menge NTFS meldungen und globaler Katalog weg usw....

Habe aber noch eine Unterdomäne, die weiter funktioniert und auch alle 5 Rollen intakt sind.

 

Die beiden ersten DC wurden für die Domäne Schleicher.local wieder hergestellt.

Aber die Unterdomäne Schleicher.Lager.local versucht jetzt natürlich dauernd mit der alten Domäne zu korrespondieren.

1. ntfrsutil keinen Kontakt

2. adsiedit Meldung Snap-in konnte nicht initialisiert werden - unbekannter Anwender und dann eine CLSID Nummer

 

Ich suche mir den ganzen Tag schon den Wolf und finde nichts, wie ich vorgehen kann.

Ich bin aber sicher irgendwo mal eine Anleitung zu lpd.exe gefunden zu haben.

lpd.exe traue ich mich nicht so richtig dran, das verwirrt mich gerade extrem.

Hat jemand eine Idee, wo ich eine Anleitung für "ldp.exe" her bekomme, die ich verstehen kann?

 

Grüße von Judith

[woiza 10]

Hi,

 

können wir erst ein paar Fragen klären. Bitte beschreib die Umgenung und was du getan hast genauer.

 

Wenn die Root schleicher.local heißt, dann heißt die Sub eher lager.schleicher.local, oder? Ausserdem hast du in der Subdomain nur 3 Rollen.

 

Ein DC ist gestorben. Der andere lebt noch? Wie hast du den/die DC(s) wiederhergestellt?

 

Gruß

 

woiza

 

 

P.S.: ldp werden wir nicht brauchen. Eher vielleicht ntdsutil.

[judith 10]

Hallo Woiza,

ich fange lieber noch mal von vorne an, weil in der Aufregung einiges falsch lief.

Also.

In der Domäne "Schleicher.local" gab es 2 DC und einen DC als Unterdomäne "lager.schleicher.local"

 

Die Dinger liefen einwandfrei, bis ein Trojaner auf dem 1 DC komplette Verwüstung angerichtet hat.

Die Übertragung der Rollen auf den zweiten DC ging nicht mehr - Meldung Kein Katalog und Sysvol war weg

NTFRSUTIL könnte keine Verbindung mehr herstellen

ADSIEDIT ebenfalls - Meldung Sanpin konnte nicht initialisiert werden

 

Der DC der Unterdomäne lager.schleicher.local hingegen hat alle 5 Rollen (Ausgabe über netdom), weshalb

und warum - Keine Ahnung!

 

Die beiden DC wurden mit neuen HD versehen und neu installiert.

Jetzt kann ich aber den DC der Unterdomäne nicht einfach demoten, weil darauf Software läuft, die in der

Produktion eingesezt wird. Das wäre fatal.

Aber die ständigen Fehlermeldungen "Netlogon" gehen mir auf die Nerven.

Die Firma die das mal gemacht hat, gibt es nicht mehr, denn ich hätte das anders geregelt, aber es ist halt so.

Wie kriege ich denn die Informationen zur alten Domäne vom Server lager.schleicher.local runter.

NTFRSUTIL und ADSIEDIT klappt nicht.

 

 

Gruß Judith

[woiza 10]

Oh,

 

ihr habt beide Root-DCs geplättet? Gibts kein Backup. Dass auch die beiden Forestrollen in der Subdomäne sind, ist ungewöhnlich, aber nicht verboten.

 

Gruß

 

woiza

[judith 10]

Oh,

 

ihr habt beide Root-DCs geplättet? Gibts kein Backup. Dass auch die beiden Forestrollen in der Subdomäne sind, ist ungewöhnlich, aber nicht verboten.

 

Gruß

 

woiza

Hallo wiza,

das ist ja das Übel. Auf den Bändern ist alles noch so versuecht, daß wir die weg geworfen haben, weil es keine Möglichkeit gab, außer einigen wichtigen Daten (Briefe, verträge usw.)

den Rest mit dem Backup neu zu machen war uns zu riskant.

Den Versuch haben wir schon erst nicht unternommen. Das war die Emfpehlung die uns gegenüber ausgesprochen wurde.

Gruß Judith

[Christoph35 10]

Nun ja, dann habt ihr jetzt der Subdomain ihre Forest-Root sozusagen unter dem Hinterteil weggerissen....

 

Ich denke, ihr solltet euch entweder an den MS-Support wenden, oder in den ziemlich sauren Apfel beissen und den Forest komplett neu aufbauen.

 

Muss die Applikation auf Domain-Daten zugreifen, bzw. muss sie auf einem DC laufen?

 

Christoph

[judith 10]

Nun ja, dann habt ihr jetzt der Subdomain ihre Forest-Root sozusagen unter dem Hinterteil weggerissen....

 

Ich denke, ihr solltet euch entweder an den MS-Support wenden, oder in den ziemlich sauren Apfel beissen und den Forest komplett neu aufbauen.

 

Muss die Applikation auf Domain-Daten zugreifen, bzw. muss sie auf einem DC laufen?

 

Christoph

Hallo Christoph35,

bitte keinen Vorwurf, es ging leider nicht anders. Es war für unsen Boss zu gefährlich, den einzigen noch korrekt arbeitenden Server mit wichtigen Produktionsdaten zu gefährden.

Gibt es da nicht eine Lösung mit dieser "LDP.EXE"? Nur wie gehe ich damit um?

Ansonsten vielleicht noch ein Umbennen der Domäne also nicht mehr lager.schleicher.local sondern nur noch lager.loca., ist ja win3K.

 

Gruß Judith

[Christoph35 10]

Hi,

 

bitte keinen Vorwurf, es ging leider nicht anders.

Ist kein Vorwurf, aber eine Tatsache.

Es war für unsen Boss zu gefährlich, den einzigen noch korrekt arbeitenden Server mit wichtigen Produktionsdaten zu gefährden.

Damit hat er ja nicht unrecht...

 

Gibt es da nicht eine Lösung mit dieser "LDP.EXE"?

 

Nein, die einzig sinnvolle Lösung sehe ich darin, die Root-Domain und die Subdomain neu aufzubauen, und dann die Konten aus der lager.schleicher.local in die neue Subdomain zu migrieren. Das ist aber kein Zuckerschlecken.

 

Anhaltspunkte, wie sowas gemacht werden kann, gibts im Deployment Kit von MS:

Microsoft Corporation

 

Ist eigentlich auch noch Exchange mit im Spiel?

 

Christoph

[woiza 10]

Hi,

 

verseucht hin oder her. Du hast nur zwei Möglichkeiten.

 

A) Forest neu aufbauen und Konten der Subdomain migrieren

B) Maschine neu aufsetzen und den Systemstate von Band wieder einspielen.

 

 

Mehr sehe ich nicht. Allerdings bewegst du dich in einer Kategorie Fehler/Ausfall, wo ich an deiner Stelle nicht mehr nur mit Fernprognosen arbeiten würde, sondern mir professionelle Hilfe holen würde.

 

Gruß

 

woiza

[Christoph35 10]

Naja, Bänder haben sie ja nicht, bzw. wollen sie nicht verwenden (da verseucht), s. Beitrag #5, also bleibt nur der Neuaufbau der ADS Struktur. Da da aber unternehmenskritische Software im Spiel ist, würde ich das auch mit Support durch einen Dienstleister angehen.

 

Christoph

[judith 10]

Danke Jungs,

ich habe das befürchtet.

Dann wollen wir mal an die Unterdomäne herangehen. Extern is nich!

Chef meint er bezahlt uns schon genug, dann müssen wir das hinkriegen.

Demote alse die Unterdomäne und richte alles neu ein - zwischen Weihnachten und Naujahr.

Na dann prost!

Gruß Judith

[weg5st0 10]

Wäre es nicht einen Versuch wert, das Backup auf einem System mit laufendem Virenscanner und ohne Netz einzuspielen. Wenn der Virenscanner das Virus erkkennt, sollten die soch schon beim zurücksichern wieder gelöscht werden...

[woiza 10]

Hi,

ich gebe wegst Recht. Es ist gut möglich, wenn ihr nur den SystemState zurückspielt dass ihr dann keinen Virus bekommt. Ich würde das isoliert versuchen.

 

Netter Chef, übrigens. Dem scheint nicht viel an seiner Firma zu liegen oder ihr seid nicht sonderlich von EDV abhängig.

 

Gruß und viel Glück

 

woiza

[carnivore 10]

Hi Judith,

Ich würde, wie von den Kollegen schon empfohlen, nochmal mit einen versierten Externen probieren. Es gibt einige Schrauben an denen man drehen kann, damit 2 Domänen wieder replizieren:

 

- DNS (was sagt denn "repadmin -showreps", welche Fehlernummern?)

- KDC-Passwort

- Passwörter der Computerkonten

- TrustPasswort der Domänen

- Lingering Objects

- strict replication

- Burflags

 

Wenn der Mensch einigermassen gut ist, läuft die Replikation bei so einer handlichen Umgebung nach 3-4 Stunden wieder. Das kann sich dein Chef ja ausrechnen, was günstiger kommt

 

cu

carnivore

[woiza 10]

Hi carnivore,

 

das Problem ist, dass es aktuell nur eine Domain gibt.

 

Gruß

 

woiza