Hyper V Replica - Failover für AD / DC (PDC ) ?

[r-t-b 0]

Hallo, ich bin ein "neuer" in dieser Runde und erhoffe mir natürlich wie die meisten : Info - Fakten - Know How -Tipps & Tricks.  

Um dazu gleich mal loszulegen brennt hier seit einiger Zeit eine / mehrere Frage/n mit der Bitte und in der Hoffnung auf Hilfe.

 

Zur Fragestellung:

 

Kann man mittels Hyper-V Replica eine komplett virtualisierte Domäne im Zweifelsfall "wiederbeleben".

Gemeint ist: Funktionierendes AD - Zugriff auf die Verwaltungstools - Anmeldung an die Domäne - Replikation mit Partner also weiterm DC - sauberer Verteilung der Rollen - sauberer Zugriff auf das Verzeichnis - die DC den PDC - also eine funktionierende Domäne mit GPO´s etc. p.p.

 

Dazu: Aufbau - ganz simpel:

 

Die komplette Umgebung basiert auf Windows 2012R2 - Gesmatsrtukur-Domäne , alle beteiligten DC und auch die Hyper-V Hosts.

2x Hyper-V Host - Hardware für Testszenario geeignet und entspr. Ressourcen ( was das "Blech" angeht ) vorhanden.

Replikation eingerichtet- unverschlüsselt - keine Zertifikate - Firewall etc. angepasst. Kein Virenscanner o.ä.

Livemigration aktiviert.

 

Der HVH01 ( erster Hyper V Host ) - hostet einige virtuelle Gäste - eingeschaltet also "aktiviert" sind zu Testzwecken die Domänencontroller DC1 ( erster DC - alle Rollen auch PDC ) und DC2 ( als Replikationspartner, GC und DNS-Server).

Beide DC´s befinden sich am selben Standort - beide DC´s replizieren einander artig und fehlerfrei.

Beide DC´s sind zur Rplikation via Hyper-v Replica auf HVH02 konfiguriert

 

Der HVH02 (zweiter Hyper-V Host ) beherbergt nur die Replikate der DC´s von HVH01.

 

Die Replikate werden völlig anstandslos und fehlerfrei angelegt. Alles läuft prima.

 

Problemstellung:

Der erste DC also DC1 ( mit PDC Rolle ) fällt unvermittelt aus und lässt sich auch nicht wieder starten. Nun flugs von hier aus ein "geplantes Failover" eingeleitet - (DC2 läuft weiterhin) und :

Chaos perfekt - keine AD Tools mehr verfügbar weil laut Fehlermeldung weder Server noch Domäne noch Verzeichnis vorhanden oder erreichbar. Somit Produktivität dahin "Netz" steht.

 

Frage:

Was tun ?

Ist das korrekt das aus dem Failover des Hyper-V Replica kein funktionierender erster DC ( PDC ) hergestellt werden kann?

Was nutzt dann das alles?

Was ist zu tun um wieder eine funktionsfähige Umgebung zu schaffen?

 

Einschränkung:

Alle Lösungsansätze die einen funktionierenden ersten DC voraussetzen sollen unbeachtet bleiben - da das vorgestellte Szenario den Fall behandelt bei dem der erste DC "unverhofft" ausgefallen ist.

 

Natürlich - ein Cluster hilft - aber steht der Aufwand tatsächlich im Verhältnis - denken wir mal an "kleine" Umgebungen ....viell. 20 User - oder so. Ne wichtige Branchensoftware , bissl Daten.....vielleicht ne Arztpraxis oder ein Anwaltsbüro o.ä..

 

P.S. Seltsam finde ich das ein Export des ersten DC und das anschließende neu erstellen dieses DC - nicht Import - neue virtuelle Maschine - vhd / vhdx aus dem Export - völlig reibungslos klappt - das Failover aus dem Replikat jedoch nicht - gibt es dahinter eine tiefere Logik ?

 

Und eins noch: Eine grundsätzliche aber dennoch wichtige Frage: Wenn bei Ausfall des ersten DC kein Zugriff mehr auf die AD-Tools ( AD-Benutzer und Computer etc.) mehr möglich ist - warum benötige ich denn mehrere DC an einem Standort? Welchen Sinn macht die Replikation ( also zwischen den DC´s) - können sich die User wirklich dauerhaft weiter an der Domäne anmelden? Ist das der Sinn - auch wenn man nicht mehr auf die Verwaltung der AD zugreifen kann ?

 

Ich weis viel zu viel Text

Trotzdem - danke für jeden der sich dafür interessiert ( hat ) und danke für jede Antwort.

 

r-t-b

 

 

 

 

[Dukel 436]

1. Hyper-V Replika ist keine HA Lösung sondern eine DR Lösung. Das vergessen viele.

2. Es kommt auf die Applikation an, ob diese Replika verträgt. Manche können dies, manche nicht.

3. Wozu Replika in einem AD Umfeld? Einfach auf jedem Host einen DC laufen lassen und glücklich sein.

[NilsK 2.781]

Moin,

 

ich ergänze:

 

4. Hyper-V Replica ist eine limitierte DR-Lösung für einen eingeschränkten Satz an Szenarien.

5. Hyper-V Replica ersetzt kein Backup.

 

Ein DC ist für Replica zwar supported, aber in aller Regel nicht sinnvoll. Replica zielt darauf, ein einfaches DR-Konstrukt für solche Applikationen zu schaffen, die einerseits Datenverluste aufgrund des asynchronen Prinzips vertragen und andererseits über eigene Mechanismen keine Redundanz bieten. Ein Replica-Konstrukt muss daher auch gut geplant werden.

 

Der übliche Aufbau sieht eher so aus, dass im Ausweich-RZ ein normaler DC läuft, der mit dem Haupt-RZ auf AD-Ebene repliziert. Per Replica werden dann ausgewählte Server asynchron repliziert. Im Fall des Falles ist das AD also vorhanden, und die replizierten VMs lassen sich manuell starten.

 

Da Exchange mit Replica nicht supported ist, würde man schon dafür eine separate Lösung brauchen. Das trifft auch auf einige andere Applikationen zu.

 

Ach so, und noch eine Ergänzung: Der "erste" DC spielt keine besondere Rolle. Warum dein Szenario nicht geklappt hat, lässt sich so nicht direkt ablesen, es kann auch zahlreiche Gründe außerhalb von Hyper-V geben.

 

Gruß, Nils

bearbeitet 8. April 2015 von NilsK

[r-t-b 0]

Aha okay, vielen Dank für eure Antworten.

Verstehe ich euch Recht ist es "normalerweise" also tatsächlich wie erhofft, nämlich das es völlig unerheblich ist welcher DC ausfällt solange man einen weiteren, erreichbaren DC - auch wenn es "nur" ein Replikationspartner ist, in der Domäne laufen hat.  Korrekt?

Im Zweifel könnte man diesen dann einfach durch simples verschieben der PDC Rolle zum ersten DC machen und einen weiteren Repl. Partner platzieren ? Dann ist alles gut ?

Ja ?

Dann: DR= Disaster Recovery ?

Okay, okay ..man ich bin echt froh über eure Antworten...Danke .....also : ich bin mit meiner "Strategie" auf dem Holzweg - korrekt ?

Wäre alles so wie es sein soll gibt es bezogen auf die Domänen / AD - Funktionalität somit wohl keinen Grund ein Wiederherstellungsszenario bereitzustellen solange "sauber" auf andere/n DC repliziert wird?

Aha...hmmm....also einen "abgesetzten" DC - an einem anderen Standort ? Schwierig zu "meistern" ?

 

Ich glaube, meine Herren, das ich grundsätzlich ein Problem mit der Replikation meiner DC´s habe obgleich - erstmal  alles toll aussieht.

So - ich habe den DC1 ( alle Rollen ) abgeschaltet - Ergebnis - alles dahin! siehe screenshots.( ich habe Server und Domänennamen im Bild abgeändert)

Ist das so normal - immerhin hat DC2 lediglich die Rolle des GC ( wie DC1 auch ) ?

Clients können sich auch keine mehr anmelden - ich würde sagen .....das ist wohl nicht so gedacht, oder ?

Nun müsste ich wohl die Übernahme der fehlenden Rollen erzwingen - korrekt ?

Also doch wieder "eingreifen" !!! - elegant über die AD Verwaltungstools eher nicht mehr...Konsolenarbeit, korrekt ??? 

 

Ist das hier erlebte / geschilderte  das "normale" Verhalten?

Es gibt keine Instanz / Funktion oder was auch immer der oder die überprüft ob alle Rollen verteilt und die Rolleninhaber verfügbar sind und ggf. fehlende Rollen auf verfügbare DC´s  ( die zum replizieren angelegt sind) verteilt ???

 

Ich bin geschockt  ;-)

 

Vielen Dank für eure Nachsicht und eure Mühe die Ihr euch macht.

Gruß

Thomas ( r-t-b )

[XP-Fan 215]

Hallo,

 

 

 

So - ich habe den DC1 ( alle Rollen ) abgeschaltet - Ergebnis - alles dahin! siehe screenshots.( ich habe Server und Domänennamen im Bild abgeändert)

Ist das so normal - immerhin hat DC2 lediglich die Rolle des GC ( wie DC1 auch ) ?

 

 

Welche DNS Server gibts bei euch im Netzwerk und welche Server haben diese Rolle ?

Poste bitte mal die Ausgabe eines ipconfig /all  von den Servern und von einem Client.

[NilsK 2.781]

Moin,

 

puh, du machst aber viele Worte. Ist etwas schwierig, deinem hektischen Stil zu folgen, nichts für ungut.

 

Mir scheint, du solltest dich erst mal mit Grundlagen befassen: Erstens dem Grundaufbau eines AD und den Grundlagen der Replikation. Und zweitens mit den Grundprinzipien von Hyper-V. Wenn du ohne Kenntnisse versuchst, mit einem komplexen Szenario zu beginnen, wird es unnötig schwierig und fehlerträchtig.

 

Zu deinem konkreten Problem: DNS hat XP-Fan ja schon genannt.

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Gruß, Nils

bearbeitet 8. April 2015 von NilsK

[r-t-b 0]

Aha DNS Problem ? Hmmm. solange der erste DC läuft habe ich null komma null Probleme, zumindest erkenne ich keine...ich schicke mal das gewünschte plus ein paar s-shots aus dem adrst was die Replikation angeht.

Das ist der Zustand wenn die beiden relevanten DC laufen.

 

Ach. Danke für eure Mühen und Antworten. :-)

Gruß

Thomas

P.S. es folgen noch zwei screenshots

So nun hoffe ich das die beiden fehlenden screenshots noch hochgeladen werden. Nummer eins !!!

So nummer 3.

Nun noch den screenshot zur WS

[NilsK 2.781]

Moin,

 

das sieht soweit erst mal OK aus. Was sagt denn folgendes Kommando:

nslookup kb.local

Da sollten beide DCs zurückkommen (bzw. natürlich deren IP-Adressen).

 

Kann der Client denn beide DCs anpingen? Kann er beide per nslookup ansprechen und erhält dann von jedem die richtigen Daten zurück?

 

Gruß, Nils

[r-t-b 0]

Hallo Nils.

Jetzt beschämst du mich aber. So hohl bin ich ja nun auch nicht !!! Warte - s-shot folgt

bearbeitet 9. April 2015 von r-t-b

[Lian 2.326]

Hallo,

 

bitte nicht für Textinhalte (Ausgabe CMD) jeweils Screenshots posten, das kann man prima per Copy & Paste posten oder als Textdatei anhängen.

 

Keine Sorge, wir glauben Dir schon ;)

[r-t-b 0]

oh Entschuldigung.

 

also dann:

 

Microsoft Windows [Version 6.3.9600]
© 2013 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\user8-01>nslookup kb.local
Server:  kabvsvr01.kb.local
Address:  192.168.1.201

Name:    kb.local
Addresses:  192.168.1.211
          192.168.1.201

C:\Users\user8-01>ping 192.168.1.201

Ping wird ausgeführt für 192.168.1.201 mit 32 Bytes Daten:
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.201:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

C:\Users\user8-01>ping kabvsvr01

Ping wird ausgeführt für kabvsvr01.kb.local [192.168.1.201] mit 32 Bytes Daten:
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.201:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

C:\Users\user8-01>ping 192.168.1.211

Ping wird ausgeführt für 192.168.1.211 mit 32 Bytes Daten:
Antwort von 192.168.1.211: Bytes=32 Zeit=1ms TTL=128
Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.211:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum = 1ms, Mittelwert = 0ms

C:\Users\user8-01>ping kabvsvr11

Ping wird ausgeführt für kabvsvr11.kb.local [192.168.1.211] mit 32 Bytes Daten:
Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128
Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128

Ping-Statistik für 192.168.1.211:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

C:\Users\user8-01>nslookup
Standardserver:  kabvsvr01.kb.local
Address:  192.168.1.201

> kabvsvr01
Server:  kabvsvr01.kb.local
Address:  192.168.1.201

Name:    kabvsvr01.KB.local
Address:  192.168.1.201

> kabvsvr11
Server:  kabvsvr01.kb.local
Address:  192.168.1.201

Name:    kabvsvr11.KB.local
Address:  192.168.1.211

> 192.168.1.201
Server:  kabvsvr01.kb.local
Address:  192.168.1.201

Name:    kabvsvr01.kb.local
Address:  192.168.1.201

> 192.168.1.211
Server:  kabvsvr01.kb.local
Address:  192.168.1.201

Name:    kabvsvr11.kb.local
Address:  192.168.1.211

[NilsK 2.781]

Moin

 

Hallo Nils.

Jetzt beschämst du mich aber. So hohl bin ich ja nun auch nicht !!! Warte - s-shot folgt

 

das hat mit "hohl" nichts zu tun. In deinem Szenario gibt es nun mal einige Dinge, die man überprüfen sollte.

 

Verbinde bitte nslookup mal mit dem anderen Server und versuch die Abfragen von dort noch mal. Wenn auch dort die richtigen Antworten kommen, ist es okay.

 

Dann könntest du noch mit der DNS-Konsole prüfen, ob beide DNS-Server die AD-Daten korrekt haben. Wenn das der Fall ist, ist kein Screenshot nötig.

 

Nächster Test: Abschalten des ersten DC, prüfen der Fehlermeldungen. Dann von einem Client aus die nslookup-Überprüfungen wiederholen, Fehler- und Ereignismeldungen prüfen.

Danach: Anschalten des ersten DC, Abschalten des zweiten DC. Selbe Tests.

 

Das erwartete Verhalten ist, dass ein DC ausreicht, egal welcher. Warum das bei dir nicht geht, ist eben zu prüfen.

 

Gruß, Nils

[r-t-b 0]

 

 

Verbinde bitte nslookup mal mit dem anderen Server und versuch die Abfragen von dort noch mal. Wenn auch dort die richtigen Antworten kommen, ist es okay.

 

Dann könntest du noch mit der DNS-Konsole prüfen, ob beide DNS-Server die AD-Daten korrekt haben. Wenn das der Fall ist, ist kein Screenshot nötig.

 

 

Entschuldigung - ich glaube ich verstehe nicht ganz. Ich habe auf dem Client die Reihenfolge der DNS Server geändert - meintest Du das vielleicht? Auch so herum klappt alles

Dann habe ich mich über einen der Server mit dem DNS ( über Server Manager Tools) verbunden den anderen Server mit hinzugefügt und die Einstellungen und Einträge komplett überprüft. Zonenübertragung ist nicht aktiviert.

 

Weiterhin:

Erster DC abgeschaltet - Client kann über nslookup den zweiten Dc problemlos finden. Namensauflösung funktioniert. Ereignisprotokoll meldet das kein Anmeldeserver für eine sichere Verbindung zur Verfügung steht. Auf dem DC2 das alte Bild - Fehlermeldung wie gehabt siehe weiter oben. Ich kann nicht auf die AD Tools zugreifen.

 

Zweiter DC abgeschaltet: alles fein - Anmeldung des Clients problemlos möglich ( auch bei Verwendung eines für den Client unbekannten Benutzerkontos - kein Problem). AD erreichbar - AD Verwaltung und Zugriff auf AD Objekte über die Tools im Servermanager - kein Problem. Also : wie gehabt. 

 

Am Ende benötige ich nur die Information - und ich denke das hast du ja bereits angedeutet das unter normalen Bedingungen auch bei Ausfall des "ersten" DC alles normal weiterlaufen muss. Und da kommt genau mein "Grundlagen" - Problem. Klar sinnvoll und wünschenswert ist das natürlich nur wenn dem so sei - wie geht das ? Denn der übriggebliebene DC hat doch keine der notwendigen Rollen - die hat ja - bei mir zumindest - allesamt der erste DC. That´s it .  

Ich muss eben nur wissen wie das im Normalfall läuft.

Ich kann zu diesem Problemfall nur noch sagen das der erste DC ursprünglich ein 2008R2 Server war der mittels upgrade auf 2012R2 gebracht wurde. Natürlich wurde dann auch Gesamtstruktur und Domänenstruktur angehoben. Weiterhin kann ich nur noch beisteuern das der zweite DC weder eine sysvol noch eine netlogon Freigabe anbietet. Hilft das ?

[Sunny61 772]

Hast Du auf allen DCs den Global Catalog aktiviert? In Active Directory Sites and Services kannst Du einen DC zum Global Catalog machen: http://blog.dikmenoglu.de/2006/09/globaler-katalog-global-catalog-gc/

 

EDIT: Welche AD-Tools meinst Du? Auf DC2 Active Directory Computer und Benutzer öffnen geht nicht mehr?

bearbeitet 9. April 2015 von Sunny61

[r-t-b 0]

Ja...."ei sichiii" .....GC sind beide Server , DNS Server auch. Ganz genau - ich kann auf keine dieser AD Tool mehr zugreifen - bzw. erhalte dann die Fehlermeldung das da keine AD sei .

AD Tools für  "Benutzer u. Computer", " Domäne u. Vertrauensstellung ", "Standorte-Dienste", "AD Verwaltungscenter" - nix geht hier.

 

Oh ... ich muss mich genauer ausdrücken: sorry - öffnen der Tools geht schon noch nur bekomme ich keine Objekte / Inhalte etc. angezeigt. es gibt nur ein weißes kreuz auf rotem Grund - und den Hinweis das die Domäne nicht vorhanden ist bzw. keine Verbindung zur Domäne hergestellt werden kann. Also es ist kein Fehler in dem Aufruf der Tools - sondern der Inhalt ist "futsch". 

bearbeitet 9. April 2015 von r-t-b