michelo82 12 Geschrieben 8. Februar 2018 Melden Teilen Geschrieben 8. Februar 2018 (bearbeitet) Hi, und Zwar möchte ich in einem Testszenario eine mögliche Wiederherstellung unseres Active Directory's testen. Mir ergeht es so ähnlich wie hier. Die Wiederherstellung klappt zwar aber leider ist das AD nicht funktionsfähig und z.b. Active Directory-Benutzer und -Computer, bzw. alle anderen Active Directory-Verwaltungs Werkzeuge starten nicht. Es erscheint folgende Fehlermeldung: Kurz zur Produktivumgebung: - diese besteht aus 2x DC's - 1. DC01 ist physischer Server 2012 inkl. Globalen Katalog - 2. DC02 ist virtueller Server 2012 und hat alle Betriebsmaster inkl. Globalen Katalog - Systemstate Backup ist von beiden vorhanden - DC01, und der Hyper-V Host mit der DC02 VM stecken im selben Serverschrank 1. Testszenario: DC01 und der Hyper-V Host des DC02 sind wegen eines defektes ausgefallen. DC02 wurde vorher über den Hyper-V Manager exportiert als noch alles okay war. Was habe ich gemacht: Ich habe die bereits vorher (regelmäßig) exportiere DC02-VM in meiner Hyper-V Testumgebung in einem privaten Netzwerk gestartet. Den Systemstate kann ich über die Windows Server Sicherungs-GUI nicht wiederherstellen: Also starte ich den Verzeichnisdienstwiederstellung-Modus: bcdedit /set safeboot dsrepair Hier kann ich das Systemstatebackup wiederherstellen. Somit führe ich allerdings einen Authoritative Restore durch. Ist das überhaupt sowei richtig, wenn der DC01 nicht mehr vorhanden ist? wbadmin start systemstaterecovery -version:01/06/2018-20:00 Was mache ich falsch? - im Gerätemanager gibt es keine anderen Netzwerkkarten, da es sich ja um eine wiederhergestellte Hyper-VM handelt. - ein Gateway habe ich meiner Testumgebung nicht - der DC02 wird im DNS aufgelöst - den DC01 habe im Punkt Namensauflösung entfernt Ereignislog: Also wie mache ich weiter um in so einen Fall das Active Directory zum laufen zu bringen? bearbeitet 8. Februar 2018 von michelo82 Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 8. Februar 2018 Melden Teilen Geschrieben 8. Februar 2018 Hallo, netdom query fsmo ergibt aber den jetzigen DC als Inhaber oder ? Schau auch mal in diese Dokument rein: https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/manage/ad-forest-recovery-perform-initial-recovery Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 8. Februar 2018 Autor Melden Teilen Geschrieben 8. Februar 2018 Nein, leider kommt: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Der Befehlt wurde nicht ordnungsgemäß ausgeführt. Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 8. Februar 2018 Melden Teilen Geschrieben 8. Februar 2018 Poste bitte einmal die Ausgabe von ipconfig /all vom Server. Mittels ipconfig /all |clip kannst du das direkt in die Zwischenablage ausgeben und dann hier per paste einfügen. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 8. Februar 2018 Melden Teilen Geschrieben 8. Februar 2018 Du kannst auch die Texte aus der Ereignisanzeige per Copy&Paste als Text hier einfügen. Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 9. Februar 2018 Melden Teilen Geschrieben 9. Februar 2018 Hallo, hast Du mal in Deinem DNS die MSDCS Zone durchgesehen, ob der Server da überall korrekt drinsteht. Ich hatte dieses Problem auch mal was sich durch manuelles Eintragen des DC's in den ganzen Zweigen in der MSDCS Zone behoben werden konnte. Auf einmal wußte er wieder wer er war. Woher hat er die IPv6 2002:8493:a01a::8493:a01a? Ist die fest oder per DHCP? Wenn er sie per DHCP bekommt würde ich in der DNS Konsole unter Schnittstellen die überwachung für diese Schnittstelle rausnehmen. Dafür gibt es bestimmt auch keine Reverselookup Zone. Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 9. Februar 2018 Autor Melden Teilen Geschrieben 9. Februar 2018 (bearbeitet) Hi, @XP-Fan Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : FAL-CK-DC002 Primäres DNS-Suffix . . . . . . . : meine-firma.org Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : meine-firma.org Ethernet-Adapter Ethernet 1: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft Hyper-V-Netzwerkadapter Physische Adresse . . . . . . . . : 00-15-5D-01-01-5C DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 132.147.160.26(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.0.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 132.147.160.26 127.0.0.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{177FA001-A7BE-443F-A685-D3D8AFBAF535}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter 6TO4 Adapter: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2002:8493:a01a::8493:a01a(Bevorzugt) Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 132.147.160.26 127.0.0.1 NetBIOS über TCP/IP . . . . . . . : Deaktiviert @Dr.Melzer Protokollname: Directory Service Quelle: Microsoft-Windows-ActiveDirectory_DomainService Datum: 09.02.2018 13:58:45 Ereignis-ID: 1126 Aufgabenkategorie:Globaler Katalog Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: ANONYMOUS-ANMELDUNG Computer: FAL-CK-DC002.meine-firma.org Beschreibung: Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. Zusätzliche Daten Fehlerwert: 1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Interne ID: 3200e24 Benutzeraktion Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden. ... <Data>Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.</Data> ... Protokollname: Directory Service Quelle: Microsoft-Windows-ActiveDirectory_DomainService Datum: 09.02.2018 14:00:29 Ereignis-ID: 2092 Aufgabenkategorie:Replikation Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: ANONYMOUS-ANMELDUNG Computer: FAL-CK-DC002.meine-firma.org Beschreibung: Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. FSMO-Rolle: CN=RID Manager$,CN=System,DC=meine-firma,DC=org Benutzeraktion: 1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. Die folgenden Vorgänge werden eventuell beeinträchtigt: Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird. @Tektronix also der DC02 und der "gestorbene" DC01 sind überall noch da. Nur in den DNS-Eigenschaften -> Weiterleitung habe ich den DC01 entfernt. Mach ich prinzipiell etwas falsch bei der Wiederherstellung? MfG bearbeitet 9. Februar 2018 von michelo82 Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 9. Februar 2018 Melden Teilen Geschrieben 9. Februar 2018 Hi, was hast du denn da für IPs genommen / bekommen? Ist / sind das Root-Server o.ä.? Gehört der IP-Block dir / deiner Firma? Gruß Jan Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 9. Februar 2018 Autor Melden Teilen Geschrieben 9. Februar 2018 Naja, das 132.147.0.0. / 255.255.0.0 er Netz hat der Vorgänger eingerichtet. Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 9. Februar 2018 Melden Teilen Geschrieben 9. Februar 2018 Hi, wenn der Server nicht mehr existiert, musst Du ihn rauswerfen. Ebenso in Sites and services, wenn er da noch als Replikationspartner aufgeführt wird. Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 9. Februar 2018 Melden Teilen Geschrieben 9. Februar 2018 Wieso stand er in Weiterleitungen, Die beiden DC's haben sich jeweils über kreuz den anderen als 1. DNS Server und sich selbst als 2. mit IP, nicht mit localhost. Und die Clients bekommen auch beide als DNS, den Namemaster als 1. und den anderen als 2. dann musst Du nix weiterleiten, wenn der erste nicht antwortet nehmen sie automatisch den 2.. Das Rest DNS wie hier: Der Rest von ForestDnsZone so wie davor DomainDnsZone. Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 9. Februar 2018 Melden Teilen Geschrieben 9. Februar 2018 Unter Sites and Services sollte bei DC2 auch angehakt sein das er Global Catalog ist. Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 12. Februar 2018 Autor Melden Teilen Geschrieben 12. Februar 2018 (bearbeitet) Guten Morgen, @Tektronixdu meinst sicher das Verwaltungswerkzeug AD-Standorte und Dienste. Dieses lässt aber nicht öffnen. Er stand nicht unter Weiterleitungen. Da habe mich verschrieben. Den DC01 habe in den DNS Eingeschaften unter dem Punkt Namensauflösung entfernt. bearbeitet 12. Februar 2018 von michelo82 Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 12. Februar 2018 Melden Teilen Geschrieben 12. Februar 2018 Hi und moin, genau die meinte ich. Übrigens bin ich auch gerade über eine Site gestolpert, falls es Dich interessiert: AD und Domaicontroller sichern und wiederherstellen Bekommst Du irgendeine Fehlermeldung wenn Du Standorte und Dienste öffnen willst. Hast Du schon versucht mmc.exe auszuführen und das Snap-in hinzuzufügen? Wenn Du Reverselookup Zonen hast unbedingt auch darin nachsehen, dass der Nameserver mit IP aufgeführt ist und verwaiste Einträge löschen. Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 12. Februar 2018 Autor Melden Teilen Geschrieben 12. Februar 2018 (bearbeitet) Ja es kommt die selbe Fehlermeldung wie bei allen anderen AD Werkzeugen... Den DC01 habe ich im DNS überall rausgeworfen und den Server neugestartet. Im Eventlog taucht immernoch auf ID: 1126 Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. 1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergstellt werden. Und ID: 2092 Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die #Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. Die Sicherung und Wiederherstellung wie im Link beschrieben ist, habe ich so gemacht. Allerdings habe ich keine Voll-Sicherung gemacht sondern nur den Systemstate / VSS Kopiesicherung. bearbeitet 12. Februar 2018 von michelo82 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.