phatair 39 Geschrieben 18. März 2019 Melden Teilen Geschrieben 18. März 2019 Hallo zusammen, das bisherige DSRM PAsswort der 2012Rs DCs ist bei uns nicht dokumentiert. Ich würde dieses nun gerne ändern. Kann man das einfach so machen oder muss etwas beachtet werden? Ich würde mich an diese Anleitung halten Zitieren Link zu diesem Kommentar
Beste Lösung testperson 1.677 Geschrieben 18. März 2019 Beste Lösung Melden Teilen Geschrieben 18. März 2019 Hi, das ist problemlos möglich. Du solltest aber beachten, dass jeder deiner DCs ein entsprechendes DSRM Passwort hat. Gruß Jan 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 18. März 2019 Melden Teilen Geschrieben 18. März 2019 Konnte man das nicht mal mit einem speziellen AD-Account "zentralisieren"? Habe das was im Köpfchen... Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 18. März 2019 Melden Teilen Geschrieben 18. März 2019 vor 4 Minuten schrieb Nobbyaushb: Konnte man das nicht mal mit einem speziellen AD-Account "zentralisieren"? Habe das was im Köpfchen... Du meinst vermutlich: https://blogs.technet.microsoft.com/askds/2009/03/11/ds-restore-mode-password-maintenance/ Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 Danke! Hat wunderbar funktioniert und wir haben gleich ein Backup vom DC erstellt. Uns reicht der normale DSRM Account - da wir nur 2 DCs haben und das somit sehr übersichtlich ist. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Moin, aber ihr sichert euer AD doch hoffentlich täglich? Gruß, Nils Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 Ja vor 9 Minuten schrieb NilsK: Moin, aber ihr sichert euer AD doch hoffentlich täglich? Gruß, Nils Jap, die DCs werden täglich mit Veeam und Application-aware processing gesichert. Ich habe gestern nur ein manuelles Backup angeschmissen, da ich ja Murphys Law kenne und ich sichergehen wollte, dass wir auch ein Backup mit dem neuen DSRM Kennwort haben :) Man könnte es jetzt auch Paranoid nennen, ja Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 (bearbeitet) Moin, warum Admins bei sowas immer mit "paranoid" kommen, wird sich mir nicht mehr erschließen ... Ergänzend empfehle ich, ein regelmäßiges AD-Backup mit Bordmitteln herzustellen, also den Systemstate täglich mit Windows Server Backup zu sichern. Beim AD sollte man immer einen doppelten Boden haben (zwei Sicherungsmethoden parallel). Das Systemstate-Backup mit WSB ist die einzige Sicherung, die von Microsoft komplett unterstützt wird. Diese Option sollte man nutzen, zumal sie kaum Aufwand erzeugt. Gruß, Nils bearbeitet 19. März 2019 von NilsK Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Danke Nils, das war ein guter Tipp :) Nun ja "Paranoid" weil die meisten Kollegen oder Chefs dann die Augen verdrehen :) Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 (bearbeitet) vor 19 Minuten schrieb NilsK: warum Admins bei sowas immer mit "paranoid" kommen, wird sich mir nicht mehr erschließen ... Naja, war vielleicht ein etwas schlechter Witz - war halt auf den Zeitpunkt bezogen - da die tägliche Sicherung 3 Stunden später sowieso gelaufen wäre und die meisten Leute dann "komisch" schauen. vor 19 Minuten schrieb NilsK: Ergänzend empfehle ich, ein regelmäßiges AD-Backup mit Bordmitteln herzustellen, also den Systemstate täglich mit Windows Server Backup zu sichern. Beim AD sollte man immer einen doppelten Boden haben (zwei Sicherungsmethoden parallel). Das Systemstate-Backup mit WSB ist die einzige Sicherung, die von Microsoft komplett unterstützt wird. Diese Option sollte man nutzen, zumal sie kaum Aufwand erzeugt. Danke - das ist ein guter Tipp, daran habe ich noch gar nicht gedacht. Der Systemstate reicht für die AD Sicherung so aus, oder? Sicherst du das dann auf ein Netzlaufwerk (mit dem Nachteil das es immer wieder überschrieben wird) oder lässt du es auf die lokale Platte sichern, da diese dann ja mit Veeam auch täglich gesichert wird? Hier könnte ich das Backup ja jederzeit "rausholen". Würde mir dann zum wiederherstellen der AD das Systemstate Backup ausreichen (mit F8 beim booten des DCs), oder benötige ich dann ein passendes Boot Iso um das Backup einzuspielen? bearbeitet 19. März 2019 von phatair Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Moin, ja, das meine ich. Wenn du nur den Systemstate sicherst, kannst du den in einem laufenden Windows wiederherstellen. Ist also eine Frage der Szenarien. Ein Backup ist nur die weniger interessante Hälfte, wichtig ist das Recovery-Konzept, das die wichtigen Szenarien zur Wiederherstellung umfassen muss. [Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]https://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/ Gruß, Nils 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 Danke für den Link, Nils. Mir geht es im Moment um das Szenario "Disaster Recovery" - z.B. komplettes Storage ausgefallen (wir haben im Moment nur eines, zweites wird gerade realisiert). Das bisherige Konzept sieht vor, die wichtigsten VMs über Veeam Instant Recovery auf einer eigens dafür vorgesehenen LUN auf einem NAS zu starten und dann später auf das wieder funktionierende Storage zu migrieren. Das würde eben auch bedeuten, dass ich einen unserer DCs im Non-Authoritative Mode wiederherstellen muss. Hier würde ich das Systemstate Backup ja eigentlich nicht brauchen, da ich ja ein komplettes Backup über Veeam habe. Das Systemstate Backup wäre dann eher für den Fall, ich habe mehrere AD Objekte gelöscht und muss im laufenden Betrieb ein Restore durchführen. Habe auch noch diese Info gefunden - finde Sie sehr interessant. Vielleicht hilft Sie auch anderen, auch wenn es vieles aus deinem Link beinhaltet. https://www.edeconsulting.be/downloads/WindowsServer2012ADBackupandDisasterRecoveryProcedures_V1.2.pdf Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 Ich bin eine großer Fan von einem DC der außerhalb der Virtualisierung läuft, (Lieblingsbeispiel Intel NUC oder ähnlichem..) - hat schon diversen Kunden den Popo gerettet... Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 vor 21 Minuten schrieb phatair: Danke für den Link, Nils. Mir geht es im Moment um das Szenario "Disaster Recovery" - z.B. komplettes Storage ausgefallen (wir haben im Moment nur eines, zweites wird gerade realisiert). Das bisherige Konzept sieht vor, die wichtigsten VMs über Veeam Instant Recovery auf einer eigens dafür vorgesehenen LUN auf einem NAS zu starten und dann später auf das wieder funktionierende Storage zu migrieren. Das würde eben auch bedeuten, dass ich einen unserer DCs im Non-Authoritative Mode wiederherstellen muss. Hier würde ich das Systemstate Backup ja eigentlich nicht brauchen, da ich ja ein komplettes Backup über Veeam habe. Das Systemstate Backup wäre dann eher für den Fall, ich habe mehrere AD Objekte gelöscht und muss im laufenden Betrieb ein Restore durchführen. Habe auch noch diese Info gefunden - finde Sie sehr interessant. Vielleicht hilft Sie auch anderen, auch wenn es vieles aus deinem Link beinhaltet. https://www.edeconsulting.be/downloads/WindowsServer2012ADBackupandDisasterRecoveryProcedures_V1.2.pdf Da eignet sich auch der AD Papierkorb sehr gut :) Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 vor 5 Minuten schrieb Nobbyaushb: Ich bin eine großer Fan von einem DC der außerhalb der Virtualisierung läuft, (Lieblingsbeispiel Intel NUC oder ähnlichem..) - hat schon diversen Kunden den Popo gerettet... Die Idee hatte ich auch schon - einfach noch einen physikalischen DC hinzufügen. Reicht da so ein kleines Ding wie ein Intel NUC aus? Muss ja eigentlich nicht viel machen und könnte tatsächlich im Falle eines Ausfalles einiges an Arbeit ersparen. Gerade eben schrieb RolfW: Da eignet sich auch der AD Papierkorb sehr gut :) Aber nicht bei einem kompletten Ausfall der DCs. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.