Jump to content

USN-Rollback 2 DCs, beide laufen, einer wurde (leider & unnötig) restored, wie vorgehen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Leider gestaltet sich die Suche nach externer Hilfe eher schlecht. Liest hier noch jemand mit der auch professionell und kurzfristig seine Dienste anbietet? Dann würde ich mich über eine Nachricht sehr freuen.

 

vielen Dank

 

 

 

Jetzt muss ich mal b***d Fragen:

 

MS schreibt ja hier von drei Ansätzen zum Wiederherstellen von einem USN-Rollback: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/detect-and-recover-from-usn-rollback

 

1. Depromoten, FSMO ziehen, ggf. wieder promoten

2. Stellen Sie den Systemzustand einer guten Sicherung wieder her.

  • Bewerten Sie, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn vor der fehlerhaften Wiederherstellung des zurückgesetzten Domänencontrollers eine gültige Systemstatussicherung vorgenommen wurde und die Sicherung zuletzt am Domänencontroller vorgenommene Änderungen enthält, stellen Sie den Systemstatus aus der letzten Sicherung wieder her.

Könnte also eine erneute Rücksicherung vor dem 13.11.2022 in meinem Fall auch das Problem lösen? Oder verstehe ich die 2. Option gerade falsch?

 

PS:

Ich weiss, ihr ratet mir - zu recht - zu externer Hilfe, die bekomme ich nur aktuell leider nicht. Daher muss ich zumindest gedanklich gerade alle Optionen durchgehen.

bearbeitet von cartman14
Link zu diesem Kommentar

Wenn Du 2. umsetzt, musst Du alle Member Computer neu joinen. Falls bei Dir das Computerkennwort-Gültigkeitsintervall (wtf ist das für ein Wort? :-)) nicht vom Standardwert 30 Tage geändert wurde. Geht AD auf einen Stand mit dem Alter zurück, sind alle Member erst mal "raus". Das Kennwort des Computeraccounts ist der "Trust Anchor" in AD.

Link zu diesem Kommentar
  • 3 Monate später...

Nur der Vollständigkeit halber, Computerkennwörter kann man doch neu setzen. Dürfte dann auch ohne Join funktionieren oder? Oder sind da noch andere caveeats? Script auf Netlogon und auf gehts. Auch wens natürlich immer noch mühsam bleibt. Vielleicht gehts sogar remote von einer anderen Maschine, habe ich noch nie probiert.

 

In Powershell auf den Clients:

Reset-ComputerMachinePassword -Server DCname -Credential Domäne\Benutzer

 

Link bei MS: https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.management/reset-computermachinepassword?view=powershell-5.1

 

 

@TO: Was kam eigentlich dabei raus? Hast wie empfohlen professionelle Hilfe geholt? :smile2:

Link zu diesem Kommentar

Ja sorry, ganz vergessen hier zu berichten. Ich war bei der Aktion im Urlaub und ein Kollege hat das ganze begleitet.
Mit externer Hilfe wurde grob folgendes gemacht:
-    Der Versuch einen neuen DC in die Domäne aufzunehmen ist gescheitert, egal gegen welchen DC
-    Virtuellen DC inkl. FSMO-Rollen heruntergefahren und auf nicht starten gestellt (später gelöscht)
-    Übernahme (seize) der FSMO-Rollen auf verbliebenem Hardware DC
-    Reset des Computerpassworts – danach ließ sich DNS und AD-Verwaltung wieder starten (vorher war dies auf diesem DC nicht möglich)
-    Metadata-Cleanup von virtuellem DC, virtuellen DC aus AD-Standorte und DNS entfernt
-    Der VM aus dem ersten Punkt wurde der Name des alten virtuellen DCs gegeben und anschließend zum DC promotet mit alter IP um Probleme bei fest vergebenen DNS Namen / IPs zu vermeiden
-    DHCP und AAD-Connect (vorher gesichert) wurden wieder auf dem neuen virtuellen DC eingerichtet
Seit dieser Aktion Ende Dezember gab es keine Probleme oder Auffälligkeiten mehr.


Vielen Dank an alle Beteiligten!

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...