USN Rollback nach Veeam Rücksicherung

[Chris_30 10]

Hallo,

 

ka**e ganz groß am dampfen ...

 

Ich beschreibe mal kurz die Situation:

 

Standort A: Virtualisierter DC 2008R2 Domäne A (FMSO Rolleninhaber)

Standort B: Virtualisierter DC 2008R2 Domäne A

Standort B: Weitere Domäne mit Vertrauensstellung (aber die ist jetzt wohl weniger das Problem)

 

Der DC an Standort A wurde mit Veeam rückgesichert. Voll in ein USN Rollback reingerannt. Wie kann man das wieder geradebiegen? Irgendwer brauchbare Ideen?

 

Gruß,

Chris

[DocData 85]

Fehlerhaften DC herunterstufen, schauen ob alles sauber ist und Kiste wieder hochstufen.

[Chris_30 10]

Der fehlerhafte DC ist der FSMO Rolleninhaber ... kluger Plan?

[mba 133]

FSMO kann man verschieben..

[Chris_30 10]

Obwohl bereits das USN Problem besteht?

 

Der wiederhergestellte Server ist DC und Fileserver - alle User haben Ihre Daten über eine Ordnerumleitung per GPO auf der Kiste liegen die sie wiederum mit Ihren Laptops als Offlinedateien dabeihaben. Kann das schief gehen?

[DocData 85]

Der fehlerhafte DC ist der FSMO Rolleninhaber ... kluger Plan?

 

Der einzige Plan, der dein Problem löst. FSMO Rollen kann man verschieben, auch wenn der Rolleninhaber nicht mehr da ist.

[Doso 77]

Aufhören rumzuspielen. Support bei Microsoft Support holen. Ich meine jetzt nicht das ihr einen KB Artikel lesen sollt, sondern den kostenpflichtigen Support.

[NorbertFe 2.097]

Wenn er nicht mehr da ist, kann man nix verschieben, sondern nur übernehmen. ;) wäre in dem Fall wahrscheinlich eh besser.

[Chris_30 10]

Aufhören rumzuspielen. Support bei Microsoft Support holen. Ich meine jetzt nicht das ihr einen KB Artikel lesen sollt, sondern den kostenpflichtigen Support.

 

Bin schon fast geneigt diesen weg zu gehen - ist der MS Support auch am WE erreichbar? Hat wer der Nummer?

Wenn er nicht mehr da ist, kann man nix verschieben, sondern nur übernehmen. ;) wäre in dem Fall wahrscheinlich eh besser.

Naja, "da" ist er ja noch. Die Rückgesicherte Maschine läuft - nur Repliziert sich da halt nichts mehr im AD

[NorbertFe 2.097]

Du verstehst mich falsch. Hau die Maschine weg und übernimm die fsmo's danach kannst du einen neuen dc mit dem selben Namen hochstufen. Wenn du nicht weißt was du tust, solltest du besser den Support anrufen und nicht im Forum am Freitag Abend hoffen.

[Chris_30 10]

Okay, schon klar dass das die sauberste Lösung wäre. Nur halt aufgrund zig Einstellungen, Software und Anpassungen halt nicht unbedingt immer die schönste.

 

Wie klingt das? (Maschine nochmal neu rücksichern selbstverständlich und dann das folgende Vorgehen?)

 

If you do not have a system state data backup that predates the virtual machine failure, you can use a previous VHD file to restore a domain controller that is running on a virtual machine. If you can, make a copy of the VHD, so that if you encounter an issue during the procedure or miss a step, you can try again with the copied VHD.

Important

• You should not consider using the following procedure as a replacement for regularly planned and scheduled backups.
   
• Restores that are performed with the following procedure are not supported by Microsoft and should be used only when there is no other alternative.
   
• Do not use this procedure if the copy of the VHD that you are about to restore has been started in normal mode by any virtual machine.
   

 

 

To restore a previous version of a virtual domain controller VHD without system state data backup

1. Using the previous VHD, start the virtual domain controller in DSRM, as described in the previous section. Do not allow the domain controller to start in normal mode. If you miss the Windows Boot Manager screen and the domain controller begins to start in normal mode, turn off the virtual machine to prevent it from completing startup. See the previous section for detailed instructions for entering DSRM.

2. Open Registry Editor. To open Registry Editor, click Start, click Run, type regedit, and then click OK. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes. In Registry Editor, expand the following path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Look for a value named DSA Previous Restore Count. If the value is there, make a note of the setting. If the value is not there, the setting is equal to the default, which is zero. Do not add a value if you do not see one there.

3. Right-click the Parameters key, click New, and then click DWORD (32-bit) Value.

4. Type the new name Database restored from backup, and then press ENTER.

5. Double-click the value that you just created to open the Edit DWORD (32-bit) Value dialog box, and then type 1 in the Value data box. The Database restored from backup entry option is available on domain controllers that are running Windows 2000 Server with Service Pack 4 (SP4), Windows Server 2003 with the updates that are included in article 875495 (http://go.microsoft.com/fwlink/?LinkId=137182) in the Microsoft Knowledge Base installed, and Windows Server 2008.

6. Restart the domain controller in normal mode.

7. When the domain controller restarts, open Event Viewer. To open Event Viewer, click Start, click Control Panel, double-click Administrative Tools, and then double-click Event Viewer.

8. Expand Application and Services Logs, and then click the Directory Services log. Ensure that events appear in the details pane.

9. Right-click the Directory Services log, and then click Find. In Find what, type 1109, and then click Find Next.

10. You should see at least an Event ID 1109 entry. If you do not see this entry, proceed to the next step. Otherwise, double-click the entry, and then review the text confirming that the update was made to the InvocationID:

     

    Copy

    Active Directory has been restored from backup media, or has been configured to host an application partition. The invocationID attribute for this directory server has been changed. The highest update sequence number at the time the backup was created is <time>InvocationID attribute (old value):<Previous InvocationID value>InvocationID attribute (new value):<New InvocationID value>Update sequence number:<USN>The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

11. Close Event Viewer.

12. Use Registry Editor to verify that the value in DSA Previous Restore Count is equal to the previous value plus one. If this is not the correct value and you cannot find an entry for Event ID 1109 in Event Viewer, verify that the domain controller’s service packs are current. You cannot try this procedure again on the same VHD. You can try again on a copy of the VHD or a different VHD that has not been started in normal mode by starting over at step 1.

13. Close Registry Editor.

[NorbertFe 2.097]

Ist dein ad. Ich würd das in der Form nicht tun. Ad aufräumen. Recovered dc vom Netz getrennt runterstufen. Letzter dc. Dann wieder in Domäne aufnehmen und hochstufen. Alles ohne Garantie, weil ich deine Umgebung nicht kenne. Du bist grad das beste Beispiel dafür, wie es ohne recoveryszenario läuft. ;)

[NilsK 2.969]

Moin,

 

und wo wir dabei sind und es noch niemand ausdrücklich gesagt hat: Künftig den DC von anderen Rollen trennen. Ein DC ist ein DC und nur ein DC. Ein Fileserver ist ein Fileserver. Dass das auch in möglicherweise kleineren Umgebungen wichtig ist, erfährst du gerade.

 

Gruß, Nils

[Chris_30 10]

Ist dein ad. Ich würd das in der Form nicht tun. Ad aufräumen. Recovered dc vom Netz getrennt runterstufen. Letzter dc. Dann wieder in Domäne aufnehmen und hochstufen. Alles ohne Garantie, weil ich deine Umgebung nicht kenne. Du bist grad das beste Beispiel dafür, wie es ohne recoveryszenario läuft. ;)

Na da mach dir mal keine Sorgen - es besteht sehr wohl ein Recovery Szenario :-) Aber ab und an läuft es eben doof - dank Overprovisioning lief eben das Storage voll (gut, DAS hätte man mal besser überwachen sollen) Eben aus diesem Grund war die letzte erfolgreiche System-State über eine Woche alt. (Gut, auch das hätte man überwachen sollen/können, gebe ich gerne zu) Und das war ihm wohl zu alt um nach der Sytemstaterücksicherung erfolgreich zu replizieren (wobei mir nicht klar ist warum, sollte normal kein Thema sein).

 

Sei es drum - für alle die, warum auch immer, in dieses Szenario rennen, der von mit gepostete Lösungsweg funktioniert. Klar, danach zicken die Kerberoszertifikate, Computerkennwort mit netdom wieder in Übereinstimmung bringen, etc - aber das sollten für einen Admin keine Hürden sein.

 

Klar kann man die Einstellung vertreten im Best-Practice Handbuch steht davon aber nix. Aber seien wir mal ehrlich, ein Admin der nur die Best Practices abarbeiten kann und sonst nix ist wie ein Automechaniker der dir bei einer abgebrochenen Zündkerze einen kompletten Austauschmotor verkauft ...

Moin,

 

und wo wir dabei sind und es noch niemand ausdrücklich gesagt hat: Künftig den DC von anderen Rollen trennen. Ein DC ist ein DC und nur ein DC. Ein Fileserver ist ein Fileserver. Dass das auch in möglicherweise kleineren Umgebungen wichtig ist, erfährst du gerade.

 

Gruß, Nils

Moin Nils,

 

ist mir schon klar - mache das auch nicht erst seit gestern - nur wie viele Chefs/Kunden in kleineren bis mittelständigen Unternehmen kennst du, die bereit sind das Geld dafür auszugeben ...?

 

Gruß,

Chris

[NilsK 2.969]

Moin,

 

spätestens nach so einem Vorkommnis sollte die Bereitschaft, ca. 1000 Euro inkl. Lizenz zu investieren (oder bei VM-Einsatz: nicht mal das) durchaus gegeben sein.

 

Und deine Ausführungen, was einen guten Admin ausmache, nehme ich angesichts des hier Diskutierten eher mit Staunen zur Kenntnis. Vor allem den Arroganzgehalt.

 

Gruß, Nils