DC Konflikt mit der Testumgebung

[pctech 10]

Hallo allerseits,

ich brauche euren Rat,

folgendes Szenario.

Es besteht eine Domäne mit zwei Domain Controllern DC1 und DC2 W2K03, die haben zusätzliche serverrollen, DNS, DHCP, WINS, IAS.

Zu testzwecken wurden die zwei DCs virtualisiert und in einer Test Umgebung betrieben.

In der Testumgebung wurde ein dritter DC W2K08 R2 hinzugefügt (mit sysprep usw.).

eine Woche Später kam es unglücklicher weise kurzzeitig zu einer Verbindung zwischen Life System und der Testumgebung.

Es kam kurzzeitig zu IP Konflikt, aber der dritter DC W2K08 R2 was in dem Testsystem Hochgestuft wurde ist im Life System eingetragen.

Wie ist nun die Richtige Vorgehensweise?

Die Metadaten von dem W2K08 R2 im AD mit ntdsutil bereinigen sowie DNS Einträge löschen?

Wie kann man Daten Inkonsistenz feststellen?

[Maik 10]

Hallo, in der Regel könnte es anhand Deine wenigigen Informationen ein Replikationsproblem sein. Stellt der DC einen Fehler fest, repliziert dieser nicht mehr. Also würde ich mit replmon mal die Replikation prüfen und die Events, welche auftreten. Erst danach kann man sich vielleicht eine Strategie erarbeiten. NTDSUTIL ist "Operation" am offenen System.

[pctech 10]

ich habe mit NTDSUTIL den nicht dazugehörigen DC entfernt.

Replikation funktioniert wieder. Eventlog schein wieder sauber zu sein.

Weitere Analyse möglichkeiten?

[pctech 10]

Hat keiner eine Idee?

[NilsK 2.930]

Moin,

 

was das AD selbst betrifft, dürftest du das Problem in der Produktionsumgebung mit NTDSUtil behoben haben. Aber: Es könnte nun durchaus sein, dass es AD-Objekte aus der Testumgebung nun in der Produktionsumgebung gibt. Du musst also auch auf der logischen Ebene noch aufräumen, was nur manuell geht.

 

Gruß, Nils

[pctech 10]

Hallo Nils,

in der Testumgebung habe ich keine neue Objekte erstellt, „nur“ die W2K08 R2 DC Migration getestet.

man kann doch Diagnose Level im Eventlog fürs AD erhöhen,

nur in Registry freischaltbar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NTDS\Diagnostics

hat jemand damit schon Erfahrung? Soll ich das ausprobieren, und welcher Level würde ausreichen?

Wie kann dieser Vorfall die Vorgenommene Migration beeinflussen?

- den DC Namen von dem Testsystem was ich dem W2K08 R2 DC vergab, soll ich nun lieber nicht nehmen, oder wie sieht ihr das.

[olc 18]

Hi,

 

mögliche Änderungen zu suchen, ist wie die Nadel im Heuhaufen zu finden.

 

Neben anderen Punkten ist genau das der Grund dafür, daß von solchen Cloning Vorgängen absolut abzuraten ist. Zumindest wenn man keine Vorkehrungen trifft, solche "Zusammenkünfte" von Test- und Produktionsumgebung zu verhindern.

 

Wir wissen nicht, welche Änderungen Du an der Testumgebung gemacht hast, daher ist keine sinnvolle oder belastbare Aussage möglich. In jedem Fall sind je nach Teststufe bei Dir ggf. Schema, ACLs auf den Naming Contexts als auch GPO Sicherheitseinstellungen ebenso Kandidaten für ungewollte Änderungen wie auch Kennwörter von AD-Objekten oder alles, was in der Testumgebung oder auch Produktion auch im Hintergrund ohne Dein direktes einwirken geändert wurde.

 

Die Bewertung wirst Du wohl oder übel selbst vornehmen müssen.

 

Viele Grüße

olc

[pctech 10]

Hi olc,

das so was niemals passieren darf ist schon klar, daher bereitet sich keiner auf so was vor, deshalb habe ich gehofft von mehr erfahrenen Leuten die natürlich so was niemals zulassen würden eine Vorgehensweise zu bekommen, die mir mehr Informationen beschafft um den Schaden richtig einschätzen zu können.

Falls ihr Irgendwelche Ideen habt und bestimmte Informationen brauchen, versuche ich so gut es geht diese zu beschreiben.

Life System:

DC1 – W2K03 SP2 FSMO Master, GlobalCatalog – DNS - DHCP.

DC2 – W2K03 SP2 GlobalCatalog – DNS - DHCP.

TestSystem:

Kopie von DC1 und DC2

DC3(zukünftiger Domain Controller) Wk208 R2 zum Mitglied der Domäne gemacht.

Auf dem DC1 Sysprep /forestprep und danach Sysprep/domainprep /gpprep ausgeführt.

DC3 zum Domain Controller hochgestuft. Bei der Hochstufung DNS und GC ausgewählt.

dann kam es zu einem Connect zwischen Life und Testsystem.

[olc 18]

Hi,

 

ich habe Dir oben einige Hinweise gegeben, was mit hoher Wahrscheinlichkeit problematisch sein wird.

 

Und wie schon geschrieben läßt sich da meines Erachtens keine andere sinnvolle(re) Einschätzung geben. Gerade, weil hier einige erfahrene Leute unterwegs sind.

 

Tipp: Hol Dir einen erfahrenen(!) Dienstleister ins Haus um zu entscheiden, ob ein Forest Recovery sinnvoll ist oder ob und wie groß die Beschädigung bzw. Inkonsistenz Deiner Umgebung ist.

 

P.S.: Bitte jetzt nicht panisch versuchen ein Forest Recovery durchzuführen - es muß erst bewertet werden, ob das sinnvoll und notwendig ist.

 

Viele Grüße

olc

[pctech 10]

ok, danke für eure Unterstützung, dann müssen halt die Erfahrene Leute ran..

[pctech 10]

Hallo,

ich habe noch paar Infos..

ich habe heute mit adsi edit die Revisionsnummern von AD und Forest angeschaut..beide waren 5 sowie Schemaversion 47, also W2K08 R2 :cry:

 

ist das schon der Grund für ForestRecovery? ich meine Migration der neuen DCs W2K08 R2 würde ja nicht klappen oder ?

[NilsK 2.930]

Moin,

 

wir sagten doch schon: Hol dir jemanden ins Haus, der das in Ruhe analysiert und beurteilt. Wir verlassen hier eindeutig den Bereich, den ein Forum unterstützen kann.

 

Gruß, Nils

[pctech 10]

ok, gut..werde nicht mehr schreiben.

[olc 18]

Hi,

 

ok, gut..werde nicht mehr schreiben.

 

Es geht ja nicht darum, Dich "mundtot" zu machen. Es geht vielmehr darum zu verstehen, daß Du Dich ggf. in einer kritischen Situation befindest und ein Forum an dieser Stelle nicht der richtige Anlaufpunkt ist.

 

Hol Dir Hilfe, bevor es wirklich zu größeren Problemen kommt (egal welcher Art). Die Zeigen sich ab und an erst viel später.

 

Wir meinen es nur gut mit Dir... ;)

 

Viele Grüße

olc

[lefg 276]

Moin,

 

was ist denn jetzt eigentlich das aktuelle Problem, funktioniert etwas nicht, gibt es Fehlermeldungen im Ereignisprotokoll, können die Benutzer sich nicht anmelden, haben sie keinen Zugriff auf Ressourcen?