pctech 10 Geschrieben 4. Oktober 2012 Melden Teilen Geschrieben 4. Oktober 2012 Hallo allerseits, ich brauche euren Rat, folgendes Szenario. Es besteht eine Domäne mit zwei Domain Controllern DC1 und DC2 W2K03, die haben zusätzliche serverrollen, DNS, DHCP, WINS, IAS. Zu testzwecken wurden die zwei DCs virtualisiert und in einer Test Umgebung betrieben. In der Testumgebung wurde ein dritter DC W2K08 R2 hinzugefügt (mit sysprep usw.). eine Woche Später kam es unglücklicher weise kurzzeitig zu einer Verbindung zwischen Life System und der Testumgebung. Es kam kurzzeitig zu IP Konflikt, aber der dritter DC W2K08 R2 was in dem Testsystem Hochgestuft wurde ist im Life System eingetragen. Wie ist nun die Richtige Vorgehensweise? Die Metadaten von dem W2K08 R2 im AD mit ntdsutil bereinigen sowie DNS Einträge löschen? Wie kann man Daten Inkonsistenz feststellen? Zitieren Link zu diesem Kommentar
Maik 10 Geschrieben 5. Oktober 2012 Melden Teilen Geschrieben 5. Oktober 2012 Hallo, in der Regel könnte es anhand Deine wenigigen Informationen ein Replikationsproblem sein. Stellt der DC einen Fehler fest, repliziert dieser nicht mehr. Also würde ich mit replmon mal die Replikation prüfen und die Events, welche auftreten. Erst danach kann man sich vielleicht eine Strategie erarbeiten. NTDSUTIL ist "Operation" am offenen System. Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 5. Oktober 2012 Autor Melden Teilen Geschrieben 5. Oktober 2012 ich habe mit NTDSUTIL den nicht dazugehörigen DC entfernt. Replikation funktioniert wieder. Eventlog schein wieder sauber zu sein. Weitere Analyse möglichkeiten? Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 6. Oktober 2012 Autor Melden Teilen Geschrieben 6. Oktober 2012 Hat keiner eine Idee? Zitieren Link zu diesem Kommentar
NilsK 2.961 Geschrieben 6. Oktober 2012 Melden Teilen Geschrieben 6. Oktober 2012 Moin, was das AD selbst betrifft, dürftest du das Problem in der Produktionsumgebung mit NTDSUtil behoben haben. Aber: Es könnte nun durchaus sein, dass es AD-Objekte aus der Testumgebung nun in der Produktionsumgebung gibt. Du musst also auch auf der logischen Ebene noch aufräumen, was nur manuell geht. Gruß, Nils Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 7. Oktober 2012 Autor Melden Teilen Geschrieben 7. Oktober 2012 Hallo Nils, in der Testumgebung habe ich keine neue Objekte erstellt, „nur“ die W2K08 R2 DC Migration getestet. man kann doch Diagnose Level im Eventlog fürs AD erhöhen, nur in Registry freischaltbar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NTDS\Diagnostics hat jemand damit schon Erfahrung? Soll ich das ausprobieren, und welcher Level würde ausreichen? Wie kann dieser Vorfall die Vorgenommene Migration beeinflussen? - den DC Namen von dem Testsystem was ich dem W2K08 R2 DC vergab, soll ich nun lieber nicht nehmen, oder wie sieht ihr das. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Oktober 2012 Melden Teilen Geschrieben 7. Oktober 2012 Hi, mögliche Änderungen zu suchen, ist wie die Nadel im Heuhaufen zu finden. Neben anderen Punkten ist genau das der Grund dafür, daß von solchen Cloning Vorgängen absolut abzuraten ist. Zumindest wenn man keine Vorkehrungen trifft, solche "Zusammenkünfte" von Test- und Produktionsumgebung zu verhindern. Wir wissen nicht, welche Änderungen Du an der Testumgebung gemacht hast, daher ist keine sinnvolle oder belastbare Aussage möglich. In jedem Fall sind je nach Teststufe bei Dir ggf. Schema, ACLs auf den Naming Contexts als auch GPO Sicherheitseinstellungen ebenso Kandidaten für ungewollte Änderungen wie auch Kennwörter von AD-Objekten oder alles, was in der Testumgebung oder auch Produktion auch im Hintergrund ohne Dein direktes einwirken geändert wurde. Die Bewertung wirst Du wohl oder übel selbst vornehmen müssen. Viele Grüße olc Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 7. Oktober 2012 Autor Melden Teilen Geschrieben 7. Oktober 2012 Hi olc, das so was niemals passieren darf ist schon klar, daher bereitet sich keiner auf so was vor, deshalb habe ich gehofft von mehr erfahrenen Leuten die natürlich so was niemals zulassen würden eine Vorgehensweise zu bekommen, die mir mehr Informationen beschafft um den Schaden richtig einschätzen zu können. Falls ihr Irgendwelche Ideen habt und bestimmte Informationen brauchen, versuche ich so gut es geht diese zu beschreiben. Life System: DC1 – W2K03 SP2 FSMO Master, GlobalCatalog – DNS - DHCP. DC2 – W2K03 SP2 GlobalCatalog – DNS - DHCP. TestSystem: Kopie von DC1 und DC2 DC3(zukünftiger Domain Controller) Wk208 R2 zum Mitglied der Domäne gemacht. Auf dem DC1 Sysprep /forestprep und danach Sysprep/domainprep /gpprep ausgeführt. DC3 zum Domain Controller hochgestuft. Bei der Hochstufung DNS und GC ausgewählt. dann kam es zu einem Connect zwischen Life und Testsystem. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Oktober 2012 Melden Teilen Geschrieben 7. Oktober 2012 Hi, ich habe Dir oben einige Hinweise gegeben, was mit hoher Wahrscheinlichkeit problematisch sein wird. Und wie schon geschrieben läßt sich da meines Erachtens keine andere sinnvolle(re) Einschätzung geben. Gerade, weil hier einige erfahrene Leute unterwegs sind. Tipp: Hol Dir einen erfahrenen(!) Dienstleister ins Haus um zu entscheiden, ob ein Forest Recovery sinnvoll ist oder ob und wie groß die Beschädigung bzw. Inkonsistenz Deiner Umgebung ist. P.S.: Bitte jetzt nicht panisch versuchen ein Forest Recovery durchzuführen - es muß erst bewertet werden, ob das sinnvoll und notwendig ist. Viele Grüße olc Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 7. Oktober 2012 Autor Melden Teilen Geschrieben 7. Oktober 2012 ok, danke für eure Unterstützung, dann müssen halt die Erfahrene Leute ran.. Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 8. Oktober 2012 Autor Melden Teilen Geschrieben 8. Oktober 2012 Hallo, ich habe noch paar Infos.. ich habe heute mit adsi edit die Revisionsnummern von AD und Forest angeschaut..beide waren 5 sowie Schemaversion 47, also W2K08 R2 :cry: ist das schon der Grund für ForestRecovery? ich meine Migration der neuen DCs W2K08 R2 würde ja nicht klappen oder ? Zitieren Link zu diesem Kommentar
NilsK 2.961 Geschrieben 8. Oktober 2012 Melden Teilen Geschrieben 8. Oktober 2012 Moin, wir sagten doch schon: Hol dir jemanden ins Haus, der das in Ruhe analysiert und beurteilt. Wir verlassen hier eindeutig den Bereich, den ein Forum unterstützen kann. Gruß, Nils Zitieren Link zu diesem Kommentar
pctech 10 Geschrieben 8. Oktober 2012 Autor Melden Teilen Geschrieben 8. Oktober 2012 ok, gut..werde nicht mehr schreiben. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Oktober 2012 Melden Teilen Geschrieben 8. Oktober 2012 Hi, ok, gut..werde nicht mehr schreiben. Es geht ja nicht darum, Dich "mundtot" zu machen. Es geht vielmehr darum zu verstehen, daß Du Dich ggf. in einer kritischen Situation befindest und ein Forum an dieser Stelle nicht der richtige Anlaufpunkt ist. Hol Dir Hilfe, bevor es wirklich zu größeren Problemen kommt (egal welcher Art). Die Zeigen sich ab und an erst viel später. Wir meinen es nur gut mit Dir... ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. Oktober 2012 Melden Teilen Geschrieben 9. Oktober 2012 Moin, was ist denn jetzt eigentlich das aktuelle Problem, funktioniert etwas nicht, gibt es Fehlermeldungen im Ereignisprotokoll, können die Benutzer sich nicht anmelden, haben sie keinen Zugriff auf Ressourcen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.