AD Disaster Wiederherstellung 2x DCs

[michelo82 12]

Hi,

und Zwar möchte ich in einem Testszenario eine mögliche Wiederherstellung unseres Active Directory's testen. Mir ergeht es so ähnlich wie hier. Die Wiederherstellung klappt zwar aber leider ist das AD nicht funktionsfähig und z.b. Active Directory-Benutzer und -Computer, bzw. alle anderen Active Directory-Verwaltungs Werkzeuge starten nicht. Es erscheint folgende Fehlermeldung:

 

 

Kurz zur Produktivumgebung:

- diese besteht aus 2x DC's

- 1. DC01 ist physischer Server 2012 inkl. Globalen Katalog

- 2. DC02 ist virtueller Server 2012 und hat alle Betriebsmaster inkl. Globalen Katalog

- Systemstate Backup ist von beiden vorhanden

- DC01, und der Hyper-V Host mit der DC02 VM stecken im selben Serverschrank

 

1. Testszenario:

DC01 und der Hyper-V Host des DC02 sind wegen eines defektes ausgefallen. DC02 wurde vorher über den Hyper-V Manager exportiert als noch alles okay war.

 

Was habe ich gemacht:

Ich habe die bereits vorher (regelmäßig) exportiere DC02-VM in meiner Hyper-V Testumgebung in einem privaten Netzwerk gestartet.

Den Systemstate kann ich über die Windows Server Sicherungs-GUI nicht wiederherstellen:

 

 

Also starte ich den Verzeichnisdienstwiederstellung-Modus:

bcdedit /set safeboot dsrepair

Hier kann ich das Systemstatebackup wiederherstellen. Somit führe ich allerdings einen Authoritative Restore durch. Ist das überhaupt sowei richtig, wenn der DC01 nicht mehr vorhanden ist?

wbadmin start systemstaterecovery -version:01/06/2018-20:00

Was mache ich falsch?

- im Gerätemanager gibt es keine anderen Netzwerkkarten, da es sich ja um eine wiederhergestellte Hyper-VM handelt.

- ein Gateway habe ich meiner Testumgebung nicht

- der DC02 wird im DNS aufgelöst

- den DC01 habe im Punkt Namensauflösung entfernt

 

 

 

Ereignislog:

 

 

 

Also wie mache ich weiter um in so einen Fall das Active Directory zum laufen zu bringen?

 

 

 

bearbeitet 8. Februar 2018 von michelo82

[XP-Fan 216]

Hallo,

 

netdom query fsmo

ergibt aber den jetzigen DC als Inhaber oder ?

 

Schau auch mal in diese Dokument rein:

https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/manage/ad-forest-recovery-perform-initial-recovery

[michelo82 12]

Nein, leider kommt:

Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Der Befehlt wurde nicht ordnungsgemäß ausgeführt.

 

[XP-Fan 216]

Poste bitte einmal die Ausgabe von ipconfig /all vom Server.

 

Mittels ipconfig /all |clip kannst du das direkt in die Zwischenablage ausgeben und dann hier per paste einfügen.

[Dr.Melzer 191]

Du kannst auch die Texte aus der Ereignisanzeige per Copy&Paste als Text hier einfügen.

[Tektronix 21]

Hallo,

hast Du mal in Deinem DNS die MSDCS Zone durchgesehen,  ob der Server da überall korrekt drinsteht.

Ich hatte dieses Problem auch mal was sich durch manuelles Eintragen des DC's in den ganzen Zweigen in der MSDCS Zone behoben werden konnte.

Auf einmal wußte er wieder wer er war.

Woher hat er die IPv6 2002:8493:a01a::8493:a01a? Ist die fest oder per DHCP?

Wenn er sie per DHCP bekommt würde ich in der DNS Konsole unter Schnittstellen die überwachung für diese Schnittstelle rausnehmen.

Dafür gibt es bestimmt auch keine Reverselookup Zone.

[michelo82 12]

Hi,

@XP-Fan

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : FAL-CK-DC002
   Primäres DNS-Suffix . . . . . . . : meine-firma.org
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : meine-firma.org

Ethernet-Adapter Ethernet 1:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft Hyper-V-Netzwerkadapter
   Physische Adresse . . . . . . . . : 00-15-5D-01-01-5C
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 132.147.160.26(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . : 
   DNS-Server  . . . . . . . . . . . : 132.147.160.26
                                       127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{177FA001-A7BE-443F-A685-D3D8AFBAF535}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter 6TO4 Adapter:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2002:8493:a01a::8493:a01a(Bevorzugt) 
   Standardgateway . . . . . . . . . : 
   DNS-Server  . . . . . . . . . . . : 132.147.160.26
                                       127.0.0.1
   NetBIOS über TCP/IP . . . . . . . : Deaktiviert

@Dr.Melzer

Protokollname: Directory Service
Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         09.02.2018 13:58:45
Ereignis-ID:   1126
Aufgabenkategorie:Globaler Katalog
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      FAL-CK-DC002.meine-firma.org
Beschreibung:
Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. 
 
Zusätzliche Daten 
Fehlerwert:
1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 
Interne ID:
3200e24 
 
Benutzeraktion 
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann.  Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.
...
    <Data>Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.</Data>
...

Protokollname: Directory Service
Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         09.02.2018 14:00:29
Ereignis-ID:   2092
Aufgabenkategorie:Replikation
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      FAL-CK-DC002.meine-firma.org
Beschreibung:

Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. 
 
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. 
 
FSMO-Rolle: CN=RID Manager$,CN=System,DC=meine-firma,DC=org 
 
Benutzeraktion: 
 
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 
2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 
3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. 
 
Die folgenden Vorgänge werden eventuell beeinträchtigt: 
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. 
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. 
PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. 
RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. 
Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.

 

@Tektronix also der DC02 und der "gestorbene" DC01 sind überall noch da. Nur in den DNS-Eigenschaften -> Weiterleitung habe ich den DC01 entfernt.

 

Mach ich prinzipiell etwas falsch bei der Wiederherstellung?

 

MfG

 

bearbeitet 9. Februar 2018 von michelo82

[testperson 1.674]

Hi,

 

was hast du denn da für IPs genommen / bekommen? Ist / sind das Root-Server o.ä.? Gehört der IP-Block dir / deiner Firma?

 

Gruß

Jan

[michelo82 12]

Naja, das 132.147.0.0. / 255.255.0.0 er Netz hat der Vorgänger eingerichtet.

[Tektronix 21]

Hi,

wenn der Server nicht mehr existiert, musst Du ihn rauswerfen.

Ebenso in Sites and services, wenn er da noch als Replikationspartner aufgeführt wird.

[Tektronix 21]

Wieso stand er in Weiterleitungen, Die beiden DC's haben sich jeweils über kreuz den anderen als 1. DNS Server und sich selbst als 2. mit IP, nicht mit localhost. Und die Clients bekommen auch beide als DNS, den Namemaster als 1. und den anderen als 2. dann musst Du nix weiterleiten, wenn der erste nicht antwortet nehmen sie automatisch den 2..

Das Rest DNS wie hier:

Der Rest von ForestDnsZone so wie davor DomainDnsZone.

[Tektronix 21]

Unter Sites and Services sollte bei DC2 auch angehakt sein das er Global Catalog ist.

[michelo82 12]

Guten Morgen,

@Tektronixdu meinst sicher das Verwaltungswerkzeug AD-Standorte und Dienste. Dieses lässt aber nicht öffnen.

 

Er stand nicht unter Weiterleitungen. Da habe mich verschrieben. Den DC01 habe in den DNS Eingeschaften unter dem Punkt Namensauflösung entfernt.

 

 

bearbeitet 12. Februar 2018 von michelo82

[Tektronix 21]

Hi und moin,

genau die meinte ich. Übrigens bin ich auch gerade über eine Site gestolpert, falls es  Dich interessiert:

AD und Domaicontroller sichern und wiederherstellen

Bekommst Du irgendeine Fehlermeldung wenn Du Standorte und Dienste öffnen willst.

Hast Du schon versucht mmc.exe auszuführen und das Snap-in hinzuzufügen?

Wenn Du Reverselookup Zonen hast unbedingt auch darin nachsehen, dass der Nameserver mit IP aufgeführt ist und verwaiste Einträge löschen.

[michelo82 12]

Ja es kommt die selbe Fehlermeldung wie bei allen anderen AD Werkzeugen...

 

Den DC01 habe ich im DNS überall rausgeworfen und den Server neugestartet. Im Eventlog taucht immernoch auf
 

ID: 1126 Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen.

1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergstellt werden.

 

Und ID: 2092 Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch
nicht als gültig eingestuft wird. Für die #Partition, die das FSMO
enthält, wurde dieser Server seit dem letzten Neustart nicht
erfolgreich mit einem beliebigen Partner repliziert.
Replikationsfehler verhindern die Verifizierung dieser Rolle.

Die Sicherung und Wiederherstellung wie im Link beschrieben ist, habe ich so gemacht. Allerdings habe ich keine Voll-Sicherung gemacht sondern nur den Systemstate / VSS Kopiesicherung.

 

 

 

bearbeitet 12. Februar 2018 von michelo82