blob 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Howdy, ich hatte ein interessantes Gespräch mit einem Vorgesetzten. Er hat eine "****e", aber dennoch interessante Frage gestellt: Nach wieviel Tagen arbeitet ein AD nicht mehr, wenn in der Domäne nur ein DC gibt (mit allem Betriebsmasterrollen) und dieser plötzlich den Geist aufgibt (zb Hardwaredefekt)? Also der DC fällt aus, und trotzdem können sich zB User anmelden und auf den Mitgliedsservern arbeiten etc. Die Frage richtet sich also wirklich ab wann man das AD in die Tonne treten kann, also nichts mehr funktioniert und man auch keinen neuen DC in die Domäne heben kann (und dann zb alle Betriebsmasterrollen übetragen kann). Die Antwort wusste ich nicht, er sagte: "ca. 180 Tage", wäre Gesetz von Microsoft. Aber wieso genau 180 Tage wusste er nicht... Weiss jemand mehr? Denn wenn mehrere DCs gibt, weiss man ja was zu tun ist, bzw bei einem DC wie ich diesen wiederherstelle... aber wenn man eben nichts machen würde, und ich würde zb nach 200 tagen versuchen in der domäne einen neuen DC oder den alten DC aus einem Backup wiederherzustellen... wann und warum das nicht mehr möglich ist... Evtl auch, was theoretisch schrittweise ausfallen würde (aufgrund der Betriebsmasterrollen)? zB so: - Eine Installtion von Tools wie Exchange nicht möglich, da dieser ein Schemaupdate machen muss - Das Hinzufügen neuer Clients in die Domäne ist nicht möglich, da RID Master fehlt - nach 10 Tagen streikt der DNS Server, weil... - nach 30 Tagen kann DC nicht mittels Backup nicht zurückgesichert werden, da das Maschinenpasswort ersetzt wurde (aber dies ja nur bei mehreren DC's) - nach 180 Tagen/50 Anmeldungen eines Clients kann der nicht mehr am PC anmelden wegen RID Master usw usw usw Vll hat jemand eine super tolle Aussage, ansonsten freue ich mich auf Fachsimpelei! ;-) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Nach wieviel Tagen arbeitet ein AD nicht mehr, wenn in der Domäne nur ein DC gibt (mit allem Betriebsmasterrollen) und dieser plötzlich den Geist aufgibt (zb Hardwaredefekt)? Es arbeitet dann ab sofort nicht mehr, weil wenn kein AD vorhanden, dann kann es auch nicht arbeiten. Nein, das ist keine ironische Antwort, sondern eine völlig ernst gemeinte. Anmelden kann man sich noch, aber nur mit lokal zwischengespeicherten Kopien an Rechnern, an denen schon mal angemeldet war. An anderen nicht. Und da, wo man sich anmelden kann, kann man nur lokal arbeiten. Also der DC fällt aus, und trotzdem können sich zB User anmelden und auf den Mitgliedsservern arbeiten etc. Anmelden evtl. ja, das andere nicht. Siehe oben. Die Frage richtet sich also wirklich ab wann man das AD in die Tonne treten kann, also nichts mehr funktioniert und man auch keinen neuen DC in die Domäne heben kann (und dann zb alle Betriebsmasterrollen übetragen kann). Wenn der einzige DC definitv und unwiderbringlich ausfällt (und keine Sicherung vorhanden, etc.), dann wirst du nie mehr einen DC in diese Domäne bringen. Dann brauchst du das AD nicht mehr in die Tonne zu treten, da ist es in dem Fall dann bereits. Die Antwort wusste ich nicht, er sagte: "ca. 180 Tage", wäre Gesetz von Microsoft. Aber wieso genau 180 Tage wusste er nicht... Falsch, siehe oben. Weiss jemand mehr? Denn wenn mehrere DCs gibt, weiss man ja was zu tun ist, bzw bei einem DC wie ich diesen wiederherstelle... aber wenn man eben nichts machen würde, und ich würde zb nach 200 tagen versuchen in der domäne einen neuen DC oder den alten DC aus einem Backup wiederherzustellen... wann und warum das nicht mehr möglich ist... Ah, jetzt doch ein Backup vom ersten DC vorhanden. Das kann man nur zurückspielen, solange die TombStoneLifetime noch nicht abgelaufen ist. Das sind normalerweise 60 Tage, in zwei Fällen 180 Tage (daher wahrscheinlich diese Zahl bei Euch herumspukend). MVP-Kollega Yusuf hat das mal schön zusammengestellt:faq-o-matic.net | Die technische Online-Community » Das Geheimnis der Tombstone Lifetime Warum das so ist? Weil nach dieser Zeit zum Löschen markierte Objekte (ja, beim Löschen werden Objekte nicht sofort physisch aus dem AD gelöscht) endgültig durch den GarbageCollection Prozess auf den DCs entfernt werden. Würde man ein älteres Backup eines DC einspielen, kämen solche Zombies wieder ins AD, ohne dass man es vielleicht bemerken würde. Das wird hiermit verhindert. Anm.: Rein technisch lässt sich das Backup einspielen, aber das AD startet dann mit Fehlermeldungen nach dem Reboot nicht mehr. Evtl auch, was theoretisch schrittweise ausfallen würde (aufgrund der Betriebsmasterrollen)? Diese Latte wäre ein wenig lang, aber wenn eine einzelne Rolle nicht zur Verfügung steht, dann stehen die Features, die mit dieser zusammenhängen nicht mehr. Ein paar hattest du selber genannt, z.B. Schema Update und was damit zu tun hat, keine Änderungen an der Configuration Partition mehr (Domänen hinzufügen/entfernen, Änderungen an Standorten und Subnetzen....), keine neuen SIDs mehr wenn RID-Master weg, usw. usw. grizzly999 Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Huhuu, ich will auch meinen Senf dazugeben ;) . Anmelden kann man sich noch, aber nur mit lokal zwischengespeicherten Kopien an Rechnern, an denen schon mal angemeldet war. Richtig. Mit seinen cached Credentials kann man sich auch nur dann anmelden, wenn das Netzwerkkabel am Client gezogen wurde. Ansonsten meldet der Client den Fehler, dass die Domäne nicht zur Verfügung steht. @blob Nach wieviel Tagen arbeitet ein AD nicht mehr, wenn in der Domäne nur ein DC gibt (mit allem Betriebsmasterrollen) und dieser plötzlich den Geist aufgibt (zb Hardwaredefekt)? Also diese Frage erübrigt sich von alleine. Auf welchen Servern läuft denn die Active Directory-Datenbank? Genau, auf dem DC und nicht etwa einem Memberserver. Wenn nun also der einzige DC - was im übrigen grob fahrlässig wäre - in der Domäne ausfällt, kann somit ja auch kein AD zur Verfügung stehen. Leuchtet doch wohl ein, oder? Beim Crash des einzigen DCs, geht sogut wie nichts mehr in der Domäne. Denn die logische Komponente Domäne läuft nunmal lediglich auf der physikalischen Komponente DC, des Active Directorys. Also der DC fällt aus, und trotzdem können sich zB User anmelden und auf den Mitgliedsservern arbeiten etc. Wie gesagt, anmelden geht nur wenn man das Netzwerkkabel zieht. Auf den Mitgliedsservern kann man ebenfalls nicht arbeiten, denn um z.B. auf eine Freigabe zuzugreifen zieht der Memberserver das Access Token des Benutzers heran (in dem alle Gruppenzugehörigkeiten in Form von SIDs enthalten sind) um zu prüfen, welche Berechtigungen des Benutzer erhält. Dieser kann das aber nicht, da zum einen der Benutzer gar kein Token vom DC erhalten hat und zum anderen, der Memberserver selbst garnicht weiß wie er das prüfen könnte, da eben kein DC und somit keine Domäne zur Verfügung steht. Evtl auch, was theoretisch schrittweise ausfallen würde (aufgrund der Betriebsmasterrollen)? So wie grizzly es bereits geschrieben hatte, dann kannst du eben die dementsprechende Aktion nicht durchführen. Wenn z.B. der PDC-Emulator fehlt, dann funktioniert z.B. dieses nicht mehr: - Zeitabgleich - Kein Zugriff bzw. bearbeiten der GPOs - Kennwort-Änderung der Benutzer wird zum Problem - Externe Trusts Ohne RID Master wird eine Zeit lang nichts passieren, da jeder DC ein Kontingent von 500 SIDs zugewiesen bekommt, die er selber verwaltet. Es wird erst dann zu einem Problem, wenn die RIDs verbraucht sind. Denn dann kann der DC kein Objekt mehr erstellen. Zitieren Link zu diesem Kommentar
blob 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 Danke, damit lässt sich doch was anfangen! Ich lese gleich mal den Artikel durch. Ich habe vorhin eine unüberlegte Aussage getroffen: Klar, wenn nur ein DC vorhanden war stirbt auch das AD, als wenn man einem Huhn den Kopf abschlägt... Ein neuer DC in das "AD" (<= Da lokal die Domänenanmeldung zwischengespeichert ist) kann ja nicht hinzugefügt werden da er einen bestehenden DC braucht =) ... Nach dem lesen des Artikels: das attribut tombstonelifetime bestimmt ja, wann ein gelöschtes AD objekt aus der AD Datenbank gelöscht wird. Die Frage wo sich zu dem Thema bei mir auftut (anhand jetzt an einem Beispiel): Ich habe einen DC (der einzigste in der Gesamtstruktur/Domäne, hat also alle FSMO Rollen), wo ich vor fast einem Jahr ein Backup gemacht habe. Nun fällt der DC wegen eines Festplattendefektes aus. Ich stelle den Server wieder her, und will nun das alte Backup vor fast einem Jahr wieder einspielen damit ich mein AD habe. Laut der aussage von dir grizzly999 bekomme ich danach nur fehlermeldungen und das AD startet nicht mehr. Werden bei einem Backup alle AD Objekte als gelöscht markiert und wirft der zurückgesicherte DC jedes Attribut daher über Board, da er ja feststellt das Backup ist >60 bzw. >180? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 das attribut tombstonelifetime bestimmt ja, wann ein gelöschtes AD objekt aus der AD Datenbank gelöscht wird. Andersrum, wie das Attribut eben heisst "Tombstone Lifetime". Das ist die Zeit, in dem ein gelöschtes Objekt "Tombstone" (zu deutsch Grabstein) im AD bestehen bleibt, bevor es dann endgültig aus der Datenbank fliegt. Werden bei einem Backup alle AD Objekte als gelöscht markiert und wirft der zurückgesicherte DC jedes Attribut daher über Board, da er ja feststellt das Backup ist >60 bzw. >180? Nein das macht er nicht. Das brauchen wir hier aber auch nicht weiter zu vertiefen. Denn, du hattest in deinem ersten Post etwas von "...wäre Gesetz von Microsoft" erwähnt. Wenn man es so will ist es Gesetz, nicht ein Backup zurückzuspielen das die Tombstone Lifetime überschritten hat. Gerade mit Blick auf die Zukunft. P.S. Ohne dir jetzt etwas zu wollen, mit Blick auf deine Signatur solltest du das Thema Backup vom System State bereits verstanden haben. Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Hallo blob, ausgehend von deinem ersten Post fehlt noch ein DNS Server .. oder gab es 2 ? Zitieren Link zu diesem Kommentar
blob 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 ich weiss die frage ist sinnfrei, sowas würde man ja nie machen. und tut mir leid, auch wenn ich mich mcse schimpfe bin ich kein allwissender gott, und vor allem bei diesem thema ist es (so finde ich) irrelevant. sorry aber ich fühle mich durch deine indirekte anspielung jetzt zum bäcker degradiert. =( ich hatte leider noch nichts mit disaster recovery zu tun, und deswegen möchte ich es ja gerne verstehen und frage (vll für manche ****e fragen). ich habe gelernt wie man backupstrategien anlegt, und bei ausfall auf diese zurückgreift um zb eine autor. oder nicht autor. wiederherstellung (systemstate) eines DC's vorzunehmen, muss ich jetzt jedes detail wissen? also: Werden bei einem Backup alle AD Objekte als gelöscht markiert und wirft der zurückgesicherte DC jedes Attribut (da ja tombstonelifetime die zeit in tagen preis gibt) daher über Board, da er ja feststellt das Backup ist >60 bzw. >180? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 und tut mir leid, auch wenn ich mich mcse schimpfe bin ich kein allwissender gott, Erstens braucht es dir nicht leid tun und zweitens, hatte ich geschrieben "Ohne dir jetzt etwas zu wollen...". und vor allem bei diesem thema ist es (so finde ich) irrelevant. Finde ich (wie du merkst) nicht. Sorry - und sehe das bitte erneut nicht persönlich - aber ein MCSE, der ja nunmal ein Netzwerk verwalten kann (sonst wäre er ja kein MCSE), muss sich für mich in den Themen AD sowie DNS auskennen. sorry aber ich fühle mich durch deine indirekte anspielung jetzt zum bäcker degradiert. =( Dann erläutere mir bitte wie ich es formulieren muss, damit DU dich nicht als ein Bäcker degradiert fühlst. Abgesehen davon halte ich einen Bäcker nicht schlechter oder besser als einen ITler/MCSEler ;) . ich hatte leider noch nichts mit disaster recovery zu tun, Bist zu für ein Netzwerk zuständig oder bist du im Consulting Bereich zuständig? Dann MUSST du dich damit auskennen und das gehört eben zum erreichen des MCSEs dazu. muss ich jetzt jedes detail wissen? Wie bereits erwähnt, natürlich nicht. Deine Frage hatte ich aber auch bereits - min. zum Teil - schon beantwortet. Werden bei einem Backup alle AD Objekte als gelöscht markiert Nein. und wirft der zurückgesicherte DC jedes Attribut (da ja tombstonelifetime die zeit in tagen preis gibt) daher über Board, Nein und was hat denn "jedes Attribut" damit zu tun. Du weißt was die Tombstone Lifetime bedeutet? In diesem Zusammenhang muss man auch noch die "herumlungernde Objekte" in den Raum werfen, die mit der Tombstone Lifetime zusammenhängen. Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte) Wie sich nun genau das Verhalten, beim rücksichern eines veralteten System States bei nur EINEM DC verhält, kann ich dir nicht wiedergeben. Das brauche ich aber auch nicht, da das ein NO GO ist! Zitieren Link zu diesem Kommentar
blob 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 ich glaube ich habe zu arg "rumgeheult" ;-) ein bäcker ist nicht schlechter als ein IT'ler, ich meinte damit ein Bäcker hat keinen plan von domänen etc... ich habe ja auch kein plan vom brötchen backen! :-) klar ist auch wissen zu recovery da, aber man hat es ja gleich richtig gelernt (mit mehreren DC's, wie Du schon zu dem szenario sagtest: NO GO). klar muss man sich mit dem AD auskennen... aber das werde ich jetzt nicht vertiefen denn ich merke da haben wir verschiedene ansichtspunkte und es wurde hier ja schon des öfteren diskutiert ;-) nur am rande, warum ich jetzt nicht unbedingt fit bin in recovery: ich arbeite als exchange admin in einem großen it team in einer noch größeren firma. also, ich schließe das thema ab, und führe mein schlusswort: NO GO so ein szenario, was dann passieren würde wenn man es versucht weiss niemand so richtig. würde ich das in einer umgebung mit mehreren DC's das backup zurückspielen, würde dieser zurückgesicherte DC von den anderen beim replizieren abgelehnt und mir nur ärger einhandeln (mal stark vereinfacht gesagt/dargestellt). Prost! Vielen Dank! :-) Zitieren Link zu diesem Kommentar
Lian 2.403 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Hier ein KB Artikel zum Thema Cached Credentials: http://support.microsoft.com/kb/913485/en-us Ohne DC keine Domäne ;) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 ich glaube ich habe zu arg "rumgeheult" ;-) Da bist du (neben dem Pfarrer) nicht alleine, der das glaubt ;) . was dann passieren würde wenn man es versucht weiss niemand so richtig. Wenn du an deinem Auto auf der Autobahn bei Tempo 100 einen Platten am Reifen hast und du bereits auf den Felgen fährst, weiss auch niemand so richtig wie lange du damit noch fahren könntest, ohne das dir etwas zustößt. Warum auch? Denn du würdest sofort alle Maßnahmen dazu ergreifen (Rastplatz aufsuchen und Reifen wechseln) um weitere und somit "zukünftige" Schäden zu vermeiden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.