Problem: HyperV 2016 Cluster Restore von VM

[flyct2k 2]

Hallo zusammen,

ich habe ein großes Problem mit dem Restore eines DC's in den HyperV-Cluster. Der Clusterstorage ist mir abgeraucht und habe ihn dann neu bereitgestellt. Eine Datensicherung vom DC (Full) ist vorhanden. Aber zum Problem. Der Restore funktioniert, AD geht, DNS ebenso, aber er findet keine Domain mehr. Ich vermute dass er nicht klar kommt mit den Pfaden im ClusterStorage. Vorher war es \ClusterStorage\Volume1\...  und jetzt ist es \ClusterStorage\Volume5\ .... . Einfach die Einträge in der Reg ändern ist wohl keine Lösung. Es gibt keinen SystemState als Sicherung, da die Annahme war daß Full ausreicht. Wieder was gelernt. Liege ich mit meiner Annahme richtig oder gibt es noch  eine andere Möglichkeit den DC zu reparieren? DCDIAG, NLTEST, NTDSUTIL .... alles hilft nicht weiter. 

Wenn ich auf dem DC das AD entferne und wieder aktivere, habe ich ne Möglichkeit meine Gruppen und User, GPO ... wieder zu 'importieren'? Oder kann mir einer sagen ob ich die Pfade für das  ClusterStorage im Host anpassen kann damit der ursprüngliche Umgebung wieder vorhanden ist? Mit Google komme ich nicht weiter und am Sonntag ist es mit Support auch nicht einfach.

Vielleicht hat jemand ne Idee auf die ich nicht gekommen bin ... ich sage mal Vielen Dank ... Roland

Noch ne Ergänzung ... div. Screenshots.

[NilsK 2.934]

Moin,

 

Es gab nur den einen DC?

 

Das Problem hängt mit großer Sicherheit nicht mit dem Storage zusammen. Wäre das der Fall, dann würde eher die ganze VM nicht starten.

 

Oder hast du am Ende die AD-Datenbank woanders gespeichert als in den Standardpfaden?

 

Die gemeldeten Fehler deuten eher auf DNS-Probleme bin. Was sagt denn dass Ereignisprotokoll?

 

Bloß jetzt nicht wild irgendwas ausprobieren.

 

Gruß, Nils

bearbeitet 12. September 2021 von NilsK

[MurdocX 950]

Hallo,

 

wie wurde denn der DC gesichert? Wie alt war das Backup? Kontrolliere die eigene Netzwerkkonfiguration des DCs.

 

Solche Fehler sind schwer in einem Forum zu finden. DNS, wie schon genannt, muss als absolute Basis passen.

[flyct2k 2]

Hallo Nils,

es gibt einen zweiten DC, aber nur ein DNS. Der zweite DC kann aber ohne den Ersten nicht. Die Pfade sind Standard. NTDS ist auf beiden Servern vorhanden. Eine Replikation hat auch funktioniert. DNS ist soweit das Alte - lief auf dem DC. Und probieren kann ich alles .. hab ja die Sicherung in der Cloud ... Du darfst mich auch gerne direkt anschreiben ... soll auch nicht kostenlos sein.  Ich suche halt ne Lösung und komme nicht weiter. Kann durchaus sein dass was am DNS nicht funktioniert.  Danke.

Gruß Roland  

 

DNS-Log kommt noch ...

 

[testperson 1.677]

Hi,

 

welche Backupsoftware ist denn im Einsatz? Evtl. macht die beim Restore von Domain Controllern ja etwas besonderes, was dir grade auf den Fuß fällt.

Ansonsten schau - wie von Nils bereits erwähnt - in die Eventlogs "Directory Service" und "DNS Server".

 

Gruß

Jan

[flyct2k 2]

Hallo Jan,

dass es im Forum schwer ist einen Fehler zu finden ist mir bewusst, aber ich habe keine andere Idee mehr. Irgendwann hängt man fest.

Die Sicherung ist aktuell und über einen Agent in der Cloud. Der Server läuft auch normal, aber er findet halt keine Domäne ... alle Abfragen  mit den Tools laufen ins Leere weil keine Domäne gefunden wird. Da hänge ich und es geht nicht vor und zurück ... da fehlt wohl ein Stück KnowHow bzw. Erfahrung. Ist auch WorstCase. Zum Nachlesen habe ich auch nichts gefunden. Irgendwie ist dieser Fall selten ...

Gruß Roland 

Hallo Jan2,

Backup ist von Wortmann. Läuft bisher problemlos. Habe aber allerdings bisher noch kein Full-Restore eines DC's gemacht.

Ein Teil ist BMR und die Daten gehen alle extra im Backup. dahinter liegt ne SAN. Was klar ist, er findet keinen GC im System.

 

Die Active-Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. (1126)

 

Roland

Hier noch ein DNS-Log vom DC:

 

Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.

DNS Log DC2

Protokollname: DNS Server
Quelle:        Microsoft-Windows-DNS-Server-Service
Datum:         12.09.2021 17:34:53
Ereignis-ID:   4
Aufgabenkategorie:Keine
Ebene:         Informationen
Schlüsselwörter:(16)
Benutzer:      SYSTEM
Computer:      Hostname.domäne.local
Beschreibung:
Das Laden und Signieren von Zonen im Hintergrund ist abgeschlossen. Alle Zonen sind nun für DNS-Aktualisierungen und Zonenübertragungen verfügbar, sofern ihre jeweilige Konfiguration dies zulässt.

Protokollname: DNS Server
Quelle:        Microsoft-Windows-DNS-Server-Service
Datum:         12.09.2021 17:34:31
Ereignis-ID:   4013
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:(131072)
Benutzer:      SYSTEM
Computer:      Hostname.domäne.local
Beschreibung:
Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.
 

AD Log DC1

Protokollname: Directory Service
Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         12.09.2021 17:32:39
Ereignis-ID:   2092
Aufgabenkategorie:Replikation
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      Hostname.domäne.local
Beschreibung:

Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. 
 
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. 
 
FSMO-Rolle: DC=Domäne,DC=local 
 
Benutzeraktion: 
 
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 
2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 
3. In dem Ausnahmefall, dass alle Replikationspartner voraussichtlich offline sind (z. B. zu Wartungszwecken oder zur Notfallwiederherstellung), können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. 
 
Die folgenden Vorgänge werden eventuell beeinträchtigt: 
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. 
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. 
PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. 
RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. 
Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.

Protokollname: Directory Service
Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         12.09.2021 17:31:55
Ereignis-ID:   1126
Aufgabenkategorie:Globaler Katalog
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      Hostname.domäne.local
Beschreibung:
Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. 
 
Zusätzliche Daten 
Fehlerwert:
1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 
Interne ID:
3201395 
 
Benutzeraktion 
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann.  Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.
 

[flyct2k 2]

Sodele, jetzt ist mir auch noch der der Cluster ausgefallen da der Anmeldeserver in der VM ist und dieser ja keine Domäne findet. 

Also alles jetzt über den HyperV nochmal einrichten, aber das Problem mit dem Restore wird dadurch auch nicht gelöst. Hat keiner

eine Idee? Auch gegen einen zahlungspflichtigen Auftrag! Ich brauch ne Lösung, zumindest der DC sollte laufen. Alles danach ist dann

noch Fleißarbeit.

 

Gruß Roland

[MurdocX 950]

Hallo,

 

vielleicht meldet sich noch jemand bei dir per PN. @Nobbyaushb nimmt sich manchmal den schweren Fällen an.

[flyct2k 2]

Hallo zusammen ... den Fehler habe ich jetzt gefunden.

 

The NETLOGON share is not present after you install Active Directory Domain Services on a new full or read-only Windows Server 2008-based domain controller - Windows Server | Microsoft Docs

 

Symptom war, dass keine Domäne gefunden wurde, aber fast alle Tests erfolgreich durchgelaufen sind. Einen richtigen Eintrag im EventViewer gab es

auch nicht der auf einen Fehler hingewiesen hatte. Der Wert in der Registry stand auf '0' und bei Änderung auf '1' hatte sich nichts verändert. Erst bei nochmaligem Eintrag der '0' mit anschließender Änderung auf '1' war die Domäne wieder da. Unter net share tauchte auch Sysvol wieder auf. Keine Ahnung wie das kommen konnte. Vlt. hat jemand ne Idee.  Auf jeden Fall danke für die Gedanken die sich manch einer gemacht hat. War ja mein erster Post .. aber ich werde weiterhin regelmäßig reinschauen. Und nun habe ich noch die Nacht Zeit 16 Server wieder herzustellen und auf Funktion zu prüfen.

 

Viele Grüße

Roland

[Nobbyaushb 1.471]

Moin,

@MurdocX war fast das ganze WE Offline, daher gar nicht gesehen

[flyct2k 2]

Hallo zusammen, ich nochmal ...

... die Domäne ist wieder da, wie bereits erwähnt, doch die Replikation von Sysvol funktioniert nicht da der Pfad nicht passt.

 

C:\Windows\SYSVOL\sysvol\domain.local\NtFrs_PreExisting___See_EventLog\scripts

C:\Windows\SYSVOL\sysvol\domain.local\NtFrs_PreExisting___See_EventLog\Policies

 

Kann ich einfach die Ebene 'NtFrs_PreExisting___See_EventLog' löschen?

 

Gruß Roland

[NorbertFe 2.034]

Vermutlich, aber mal die andere Frage, wer nutzt freiwillig denn noch NTFRS? Das ist schon einige Jahre "deprecated" und ab Server 2019 "not supported". Solltest du also nachdem dein Sysvol wieder zum Leben erweckt hast gleich weiter zu DFSR migrieren.

[flyct2k 2]

Jetzt brauche ich mal Unterstützung. Beide Protokolle habe ich. Kann mich bitte jemand aufklären! Danke.

 

 

Protokollname: DFS Replication
Quelle:        DFSR
Datum:         14.09.2021 11:50:02
Ereignis-ID:   1206
Aufgabenkategorie:Keine
Ebene:         Informationen
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      Hostname.DOMAIN.local
Beschreibung:
Der DFS-Replikationsdienst hat die Verbindung zum Domänencontroller "Hostname.DOMAIN.SCHOLLMAIN.local" zum Zugriff auf Konfigurationsinformationen erfolgreich hergestellt.

 

 

 

 

Protokollname: File Replication Service
Quelle:        NtFrs
Datum:         14.09.2021 11:51:39
Ereignis-ID:   13508
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      Hostname2.DOMAIN.local
Beschreibung:
Der Dateireplikationsdienst kann die Replikation von Hostname1 nach Hostname2 für c:\windows\sysvol\domain mit DNS-Namen Hostname2.HOSTNAME.local nicht aktivieren. Es wird ein neuer Versuch gestartet. 
 Mögliche Ursachen für diese Warnung sind:  .......
 

 

[NorbertFe 2.034]

Hmm dann wurde möglicherweise die dfsr Migration noch nicht zu Ende geführt. 
 

was gibt denn ein

dfsrmig /getglobalstate

Aus?

 

bye

norbert

[flyct2k 2]

Ist noch nicht migriert. Mache jetzt ne Sicherung von Sysvol und dann mal los ...