Jump to content

Verständnisfragen zu USN Rollback - DC VM Restore


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe in einer aktuellen Situation keinen genauen Durchblick und würde mich hier über etwas Aufklärung freuen.

 

Achtung, wg. der Situationsbeschreibung etwas länger.

 

Folgende Situation besteht aktuell:

 

Ein einzelner Windows 2008 R2 Server mit den Funktionen DC, File, Exchange und ein paar weiteren Funktionen, soll auf neue Hardware 

visualisiert unter Windows Server 2012 R2 in 2 VMs (DC & Exchange) migriert werden.

 

Der Host ist Host und hat nur die HyperV Rolle, sowie Altaro Hyper V Backup als Sicherungssoftware installiert.

Die VMs wurden normal installiert und der Domäne hinzugefügt. Die erste VM wurde mit der AD Rolle ausgestattet und als 2. Domänen-

controller inkl. AD integr. DNS Rolle hinzugefügt.

Die 2. VM wurde ebenso hinzugefügt und nach AD Schemavorbereitung wurde bereits Exchange 2016 installiert, aber ohne

weitere inhaltliche Migration. Alle beweglichen Daten liegen also nach wie vor auf dem alten 2008 er Server.

 

Gesichert wird die neue Serverumgebung mit einer Windows Server Sicherung für den Restorefall des Hyper V Hosts. Die VMs werden

mit Altaro Hyper V gesichert. 

In der Nacht vom 28.02 auf den 01.03 wurden die Sicherungen noch erfolgreich durchgeführt. Im laufe des frühen Morgens ist der neue Server

aber wohl mit einem Mainboardschaden komplett ausgefallen.

 

Meine Fragen bzw. Sorgen beziehen sich jetzt auf die Wiederherstellung des neuen Servers, wenn er wieder da ist, und zwar primär auf 

die mögliche Gefahr eines USN Rollbacks.

 

Den Artikel von Nils Kaczenski, ob man DCs virtualisieren darf, kenn ich, trifft aber inhaltlich meines Erachtens nicht auf meine Situation zu.

 

Angeblich ist seit Server 2012 R2 wg. Einführung eines neuen Flags ein USN Rollback grundsätzlich eh nicht mehr möglich...?!

Jetzt habe ich hier aber ja noch den 2008 R2, welcher dieses Feature dann wohl noch nicht unterstützt, sofern es denn überhaupt zuverlässig funktioniert.

 

Ist es richtig, dass die Gefahr eines USN Rollbacks nicht bestehen würde, wenn der Server unmittelbar nach dem Backup ausgefallen wäre?

Dann wäre das Backup quasi auf dem aktuellen AD Stand des neuen Servers. Wäre der Absturz allerdings 2 Stunden später passiert, hätte sich in der Zeit vom

Backup bis zum Absturz des neuen in der AD ja etwas ändern können, von dem der neue Server dann nichts weiß, der alte aber davon ausgeht, dass er es schon

repliziert hat und nach einer Wiederherstellung es nicht neu repliziert. Wobei fraglich ist, ob sich in der Nacht relevante Dinge "von selbst" in der AD verändern?!

 

Oder trifft das nur zu, wenn das Restore der DC VM mittels Altaro nicht Applikationskonsistent durchgeführt wird?

Andersrum, wenn das AD beim VM Restore Applikationskonsistent wiederherstellt wird, dass der neue DC dem alten DC mitteilt: "Hey, ich bin auf dem Stand vom xy, bitte gib mir alles neuere!"

 

Ich würde mich freuen, wenn mich hier jemand auf den rechten Weg bringen könnte. :-)

 

Gruß

 

Dirk

Link zu diesem Kommentar

Moin,

 

wenn du noch einen laufenden DC hast, dann machst du überhaupt kein Recovery. Dann installierst du einen neuen DC und entfernst den nicht mehr laufenden aus dem AD (löschen in ADUC, ggf. in Sites and Services und in DNS).

 

[Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]
https://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/

 

[ist Active Directory in Windows Server 2012 wirklich virtualisierungsfest? | faq-o-matic.net]
https://www.faq-o-matic.net/2013/09/11/ist-active-directory-in-windows-server-2012-wirklich-virtualisierungsfest/

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Zusammen,

 

Nils, danke für die Links. Daraus fasse ich zusammen, dass ich das gemeinte Feature VM Generation ID, 

besser nicht beanspruche, da der Vorteil fragwürdig bzw. sehr explizit ist und keinen generelles "Fire and Forget" bietet.

 

Und die Stichworte zum Thema AD Restore heißen dann wohl (non) authoritative Restore.

 

Dass es generell Recht einfach und möglicherweise auch Best Practise ist, einen ausgefallenen DC durch einen neuen

mit automatischer AD Replikation im Anschluß zu ersetzen, mag ich auch gerne nachvollziehen.

 

Bei dem genannte Server werden aber allerdings einige weitere Funktionen auf dem Server aus Kostengründen laufen.

AD, File, DNS, DHCP, PrintServer, GData Management Server, Onlinebanking, sowie eine datenbankbasierende Brachenanwendung.

Alles im allem also eine Menge Funktionen, welche ebenfalls neu eingerichtet werden müssten und Datenbestände migriert werden wollen.

 

Deswegen würde ich, wenn möglich, eben doch ein VM Restore in Betracht ziehen wollen, wenn es denn klappt.

Dazu müsste also die Altaro Software die VM in einer Weise zurücksichern, dass das AD dabei im (non) authoritative Restore Modus läuft,

um die AD Replikation sauber fortzuführen?

 

Sollte die Altaro das nicht können, wäre dann eine denkbare Variante innerhalb der VM den System State mit Windows Server Sicherung zusätzlich wegzusichern?

Beim VM Restore könnte man dann den DC ohne Netzwerkverbindung wiederherstellen, mittels der WSS den System State ebenfalls zurücksichernund dann online gehen?

Das ist natürlich nur theoretischer Natur für die Zukunft, da ich aktuell keine AD Sicherung per WSS habe.

 

Im Übrigen ist es zur Zeit noch unklar, ob der abgestürzte Server ggf. von den Platten auch ohne Restore noch bootet. Soweit komme ich leider

im Moment gar nicht. Dann hätten wir doch gar kein Problem, gesetzt den Fall, dass das System das harte Abwürgen überstanden hat, oder?

 

 

Richtig Dukel. Der Exchange wird bzw. ist auf einer 2. VM installiert und das aktuelle System ist ein Exchange 2010 SP3 mit letztem CU (15?). Also der Stand,

ab dem eine Migration zu 2016 CU5 meines Wissens nach möglich ist.

 

Link zu diesem Kommentar

Moin,

 

Und die Stichworte zum Thema AD Restore heißen dann wohl (non) authoritative Restore.

 

nein, das Stichwort heißt: Neuen DC installieren.

 

 

Bei dem genannte Server werden aber allerdings einige weitere Funktionen auf dem Server aus Kostengründen laufen.

AD, File, DNS, DHCP, PrintServer, GData Management Server, Onlinebanking, sowie eine datenbankbasierende Brachenanwendung.

 

Kostengründe? Bei einer VM-Umgebung?

 

Selbst wenn man, was ich schon für sehr fragwürdig hielte, die ganzen Funktionen auf einem Server bereistellen würde, würde eine separate VM als DC gar keine Kosten verursachen. Oder, wenn es hochkommt, eine einzelne zusätzliche Standard-Lizenz. Wegen der 700 Euro würde ich kein auch noch so geringes Risiko für das AD akzeptieren.

 

 

Sollte die Altaro das nicht können, wäre dann eine denkbare Variante innerhalb der VM den System State mit Windows Server Sicherung zusätzlich wegzusichern?

Beim VM Restore könnte man dann den DC ohne Netzwerkverbindung wiederherstellen, mittels der WSS den System State ebenfalls zurücksichernund dann online gehen?

 

Abgesehen davon, dass Altaro meines Wissens eine DC-VM ordnungsgemäß wiederherstellen kann: Derartige Akrobatik, wie du sie beschreibst, führt eigentlich immer zu einem Fehlschlag. Das funktioniert nicht.

 

Warum es nicht einfach richtig machen?

 

Gruß, Nils

Link zu diesem Kommentar

Es wären weitere Lizenzen nötig, da die 2. ja bereits für den Exchange genutzt wird.

 

Die Anschaffung kann ich leider nicht entscheiden, sondern lediglich anraten, was ich aber sicherlich nun noch einmal tun werde.

 

Ich weiß in der Tat nicht, ob ich überhaupt in die Situation eines notwendigen Restores komme.

 

Aber ich möchte meine (Warte)zeit nutzen, um auf die möglichen Lösungswege vorbereitet zu sein,

weswegen ich hier um Unterstützung gebeten habe.

 

Vielen Dank auf jeden Fall für eure Einschätzungen und Hinweise.

 

Beste Grüsse

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...