AD Disaster Wiederherstellung 2x DCs

[Tektronix 21]

Schau Dir den link mal an. Durch die Bereinigung der Metadaten wird der nicht mehr vorhandene Replikationspartner entfernt.

erstsyncronisierung

[michelo82 12]

Hi, also ich habe erfolgreich den DC01 mittels Metadata cleanup entfernt.

Wie hier und hier beschrieben.

Im Evenlog taucht noch ID 1126 Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. Die AD-Verwaltungswerkzeug bekomme ich aber immernoch nicht auf.

 

Ich verstehe nicht, was ich falsch gemacht haben soll.

[Tektronix 21]

Hi, so langsam fällt mir ohne irgendwas zu sehen auch nicht mehr viel ein.

Hier hab ich noch einen link für 1126 geh das nochmal durch. und schau auch nochmal Dein DNS durch, ob da alles sauber ist, oder ob wieder irgendwelche Einträge dazu gekommen sind.

Ereignis Id 1126

[michelo82 12]

Ich komme nich weiter. Globaler Katalog ist auf dem DC02 aktiv. Im DNS gibt es keinen DC01 mehr. Beim öffnen von Active Directory-Domänen und Vertrauenstellung kommt:

"Die Konfigurationen, die diese Organisation beschreiben, sind nicht verfügbar. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden."

 

Also Sicherung und Wiederherstellung klappen. Das AD läuft aber nicht. Im Falles des Falles sieht man da ganu schön alt aus.

[Tektronix 21]

Moin Moin,

DC2 war doch eh eine VM, warum kopierst Du dan nicht einfach die vhd komplett weg. Wenn Du dann noch dokumentiert hast, wie die Maschiene eingerichtet war, kannst Du das Ding zur Not sogar auf einem Windows 10 Rechner mit HyperV ganz kurzfristig wieder hochziehen.

Wenn ich das Ding hier hätte würde ich bis zur vergasung daran rumschrauben. Aus Prinzip.

Greetz

[michelo82 12]

Hi,

wie meinst du das? Also ich habe ja die VM "wegkopiert" und in meine Testumgebung geschoben. Ich dachte ja, dass das AD sofort geht. Aber nichts da.

Den DC01 habe ich versucht mit dem systemstate zu recovern. Geht auch nicht.

Beim DC02 habe ich zusätzlich probiert den systemstate wiedherzustellen. Hat alles nichts gebracht. Ich sicher jetzt mal ein Fullbackup vom DC02 in meine Testumgebungs-VM zurück.

[Tektronix 21]

Du musst Dich halt zuerst um die Netzwerkeinstellungen kümmern, wenn Du das Ding wieder hochziehst. Und ab Windows 7 wollen die Dinger halt auch immer eine Gatewayadresse. Shitegal was nur irgendwas was auf der Gatewayadresse antwortet. Sonst macht das Teil öffentliches Netzwerk, und die Firewall zu. Der wichtigste Dienst im AD ist nun mal DNS, also schau das DNS sauber läuft.

[Nobbyaushb 1.464]

Der virtuelle Switch muss natürlich den gleichen Namen haben, sonst hat die VM eine nicht mehr existierende LAN-Karte, an die die meisten Dienste gebunden sind.

 

Kann / muss man manuell bereinigen, braucht man aber nicht, wenn der vSW genauso heißt.

 

[michelo82 12]

Ahh, okay .

 

Den virtuellen Switch für mein internes Lan (Privat) kann ich aber nicht so nennen, wie der Produktiv vSwitch heißt.

 

[Nobbyaushb 1.464]

Du hast mit keinem Wort erwähnt das du eine Test-Umgebung auf der Produktiv-Hardware fahren willst.

 

Kannst du z.B. ganz einfach mit jeder Windows 10 Maschine testen.

[michelo82 12]

Verzeiht mir bitte. Ich wusste nicht, ob das bei einer VM eine Rolle spielt. Ich dachte ich kann die auf dem selben (starken) Host betreiben .

WIe dem auch sei...ich habe den virtuellen DC02 auf meinen Win10 Client verfrachtet. Den vSwitch "Hyper-V" genannt. Nichts zu machen. Die NIC wird mir im Gerätemanager in der VM als Microsoft Hyper-V-Netzwerkadapter #2 erkannt. AD geht da auch nicht.

 

Bis jetzt fehlte auch immer die SYSVOL und NETLOGON Freigabe.

netdom query fsmo

Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

 

bearbeitet 13. Februar 2018 von michelo82

[Tektronix 21]

Moin,

das Netzwerk steht auf Domänennetzwerk? Die IP-Adresse ist die welche im DNS steht? Die IP Adresse ist die welche DNS als Schnittstelle abhört. Alle FSMO-Rollen auf DC2 incl. Schema-Master? Reverse-Lookup-Zone vorhanden? Nslookup löst auf?

bearbeitet 15. Februar 2018 von Tektronix
Es fehlte was.

[Weingeist 159]

Ist den das ursprüngliche AD 100% sauber? Vielleicht solltest mal Tests drüberrennen lassen ob da wirklich alles so funktioniert wie es soll.  Kann gut sein, dass es im täglichen Betrieb tadellos funktioniert, eine Wiederherstellung aber nicht wirklich. Normal schlägt dann auch eine Sicherung fehl, dass z.b. Systemstate nicht gesichert werden konnte, aber da gibt es auch alles mögliche an Varianten.

 

Ansonsten noch ein paar Anmerkungen: Muss ein DC aus einem Verbund wiederhergestellt werden gibt es öfter mal Komplikationen verschiedenster Ursachen. Ich installiere deshalb defekte Member DC's eigentlich immer neu wenn mehr als ein DC in einem AD vorhanden ist. Gibt es bei der Wiederherstelung des FSMO-Rollen-Trägers Probleme die nicht in kurzer Zeit behoben werden können fackle ich nicht mehr lange und fahre alle Member runter, stelle den FSMO-Träger von einer ColdCopy wieder her und schmeisse alle Member-DC's aus dem AD raus und alle Member werden neu erstellt. In der Regel mit gleichem Namen und IP. Die Zeit die in einer einfachen Umgebung für eine solche Aktion aufgewendet werden muss, stehen in der Regel in keinem Verhältnis zum Aufwand einer nachträglichen manuellen AD-Bereinigung sowie deren Prüfung wenn es bei der Wiederherstellung zu Problemen kommt.

Ist aber nur meine persönliche Meinung die rein auf Erfahrungswerten basiert. Richtige AD-Profis werden das vielleicht komplett anders sehen und insbesondere in grösseren Umgebungen dürfte das vielleicht so nicht möglich sein.

 

Ansonsten kann man es sich auch überlegen ob man heute wirklich mehr als einen AD-Server braucht. Bei nur einem Server ist ein Recovery nie ein Problem und mit SSD's als Primärspeicher in ein paar Minuten erledigt. Auch von einem Image. Wie schon erwähnt wurde, könntest den im Total-Notfall sogar auf dem Admin-PC als VM hochziehen. Jede noch so kleine manuelle AD-Bereinigung und deren Prüfung braucht mehr Zeit insbesondere wenn man nicht geübt ist. Folgeprobleme noch nicht eingerechnet. Auch die Replikations-überwachung fällt weg. Viele Dienste laufen ja sowieso nicht mehr richtig wenn die PDC-Emulator-Rolle weg ist. Wenn DFS noch auf dem gleichen Server läuft (was leider oft so gemacht wird) ist eh Ende Gelände mit Arbeiten. Da nehme ich die Lizenz viel lieber für einen zweiten Fileserver oder einen separaten Zertifikatserver der auch nur Ärger macht wenn er auf dem DC läuft und ein Upgrade ansteht. =)

Wie schon oben, ist nur meine persönliche Meinung in Verbindung mit Kleinumgebungen, weil mir einfach die Zeit zu schade ist und ich in der Vergangnheit etliche Stunden mit AD-Bereinigungen verbracht habe die nicht selten irgendwann trotzdem wieder Probleme gemacht haben und im Endeffekt insgesamt deutlich mehr Down-Time verursacht haben als ein paar Minuten Image überspielen.

 

Noch ein kleiner Tipp: Wiederherstellungs-Tests mit VM's auf der gleichen produktiven Maschine bzw. Netz würde ich falls möglich einfach immer vermeiden. Irgendwann wechselst mal nicht den vSwitch Namen der LAN-Karte und es sehen sich unter Umständen zwei DC's mit unterschiedlichen Versionsständen. Folgen: nicht nur deine Wiederherstellung sondern auch Dein produktives AD wird korrupt.