Thema DC

[kosta88 2]

Hallo zusammen,

 

Also bitte urteilt nicht über die folgenden Fragen oder Situation. Die Situation ist so wie sie ist, und ich muss die Sache versuchen soweit möglich jetzt gerade zu bügeln. Ich war eine Weile nicht in der Firma, und da kamen diese Zustände zu folge.

 

Für die Einfachkeit der Diskussion, nennen wir die DCs so:

DC1 - original DC, unter 2008R2

DC2 - Laptop1, 2012R2

DC3 - Laptop2, 2012R2

DC4 - ausgelagert in RZ

 

Früher war in der Firma nur ein DC vorhanden (virtuell in HV). In einen Backup wollte nicht investiert werden.

 

In meiner Abwesenheit, hat jemand "gedacht" dass der Server ausfallen wird, und da wurden zwei Laptops mit 2012R2 installiert und beide als DC konfiguriert, und zwar so:

DC2 wurde mit 2012R2 installiert und als DC konfiguriert, Replikation fand statt. Dieser Server bekam eine andere IP, und als DC1 abgeschaltet wurde, kam natürlich zu Problemen, nachdem dieser auch als DNS agierte, und DHCP dann auch nicht mehr vorhanden war (war auf DC1). Um das zu "beheben":

DC3 wurde installiert (zweiter Laptop), dieser bekam die gleiche IP und Namen des DC1, hat auch das derzeit funktionierende DNS, und DHCP wurde am Router eingerichtet.

 

Nun, der DC1 Server ist nicht defekt, und soll wieder in Normalbetrieb aufgenommen werden.

 

Inzwischen wurde eine P2S VPN zum DC4 eingerichtet, mit Absicht diesen als Haupt-DC zu verwenden. Jedoch bin ich über der Idee nicht ganz erfreut, einen DC nur über Mobilfunk VPN erreichbar zu haben.

 

Die Endlösung soll so aussehen: zwei DCs:

1x lokal DC1 auf 2012R2

1x DC2 in RZ ausgelagert

mit S2S verbunden.

 

Meine Sorge ist folgende:

Sollte ich jetzt den Weg rückgängig machen, also bspw. DC3 abdrehen, DC1 aufdrehen und replizieren von DC2, befürchte es könnte zu Replizierungsproblemen kommen.

Irgendwas habe ich nämlich in Erinnerung, dass wenn die Replikation schon länger nicht stattgefunden hat, dass zu irgendwelchen Problemen kommen kann... stimmt das?

Auch, wer wird von wem replizieren? Ich weiß ich kann in NTDS Settings händisch replizieren, kann ich aber irgendwie vermeiden dass die Replikation automatisch stattfindet? Löst das mein Problem?

 

Das Problem ist allerdings, ich bekomme den DC1 nicht aus der Domäne heraus und dann wieder herein (das wäre eine der Ideen, um es sauber von DC2 zu bekommen), weil er die gleiche IP wie DC3 hat, und sollte ich ihm wieder einschalten (und DC3 wegen IP Konflikts abdrehen), riskiere ich die eventuellen Probleme mit der Replikation von DC2.

 

Könnt ihr aus meiner Erklärung überhaupt verstehen was passiert ist, und hat jemand eine Empfehlung für mich, was man tun sollte, um es wieder sozusagen rückgangig zu bekommen?

 

Besten Dank!

Kosta

bearbeitet 25. April 2017 von kosta88

[NilsK 2.777]

Moin,

 

DC1, der jetzt aus ist, geht nicht wieder online. Ich habe es so verstanden, dass der Rest der Domäne soweit korrekt läuft.

• Du richtest auf mindestens einem DC ein Systemstate-Backup ein.
• DC1 startest du offline und formatierst die Platte. Er wird später neu installiert.
• Du löschst DC1 aus dem AD und aus DNS.
• Du installierst den Server, der mal DC1 war, neu mit neuem Namen (z.B. DC5) und neuer IP-Adresse. Diesen Server stufst du zum (vierten) DC hoch.
• Wenn alles korrekt läuft und repliziert, stufst du DC3 herunter und nimmst den Rechner danach aus der Domäne.
• Du löschst DC3 aus dem AD und aus DNS.
• Jetzt änderst du die IP-Adresse von DC5, sodass er die Adresse hat, die bis eben DC3 hatte. Das ist technisch problemlos.
• Abwarten, bis die Replikation wieder ordentlich läuft.
• Nun stufst du DC2 herunter und nimmst den Rechner aus der Domäne.
• Du richtest auf mindestens einem DC ein Systemstate-Backup ein.

Gruß, Nils

[kosta88 2]

Nils, wie immer, vielen vielen Dank, klingt gut und werde so machen!

 

Und ja... rest scheint zu funktionieren fast wie üblich.

[Vinc211 1]

Auch wichtig ist das die Person die dieser Szenario herbeigeführt hat keine Admin rechte bekommen sollte. Das ist ja gruselig.

 

Nils sein Plan ist wie immer richtig gut =D ich frage mich nur wo die FSMO Rollen liegen und ob dies irgendwie wichtig wird?

[kosta88 2]

Es waren in meiner Abwesenheit leider mehrere dafür schuld, jedoch verlassen diese Personen bald die Firma, und bei mir gehen die Sachen ein wenig anders ab - behaupte keinerlei dass ich ein Top-Admin bin, aber ich weiß wann ich wirklich vorsichtig sein muss.

 

Ja, Thema FSMOs... :( :(  :(   Die sind natürlich nicht übertragen worden, da der alte DC gar nicht abgeschaltet wurde - es wurde die Maschine aus dem HV exportiert und dann auf ein Notebook draufgespielt. DC auf dem Notebook hat deshalb die gleiche IP, was ich dann auch erst mit den ersten Analysen festgestellt habe. Deswegen fragte ich ja wegen der Replikation, da ich dann die Rollen sauber übertragen könnte. Es läuft darauf hinaus, dass ich die FSMOs auf einem der Notebooks seizen muss, da ich sonst neue DCs gar nicht aufziehen kann.

[Doso 77]

Das wird ja immer gruseliger... :(

[kosta88 2]

Das wird ja immer gruseliger... :(

Tja. Ich muss es ausbaden (versuchen). Der Chef bekommt eh bald bescheid, wie der Status ist, ich will jedoch trotzdem mindestens wissen woran ich bin, und welchen Weg genau ich gehen kann - mit klarer Aussage dass die Situation ja gruselig ist, und es kann unter Umständen viel schief laufen.

[lefg 276]

Moin

 

Wie ist denn nun die Lage?

[kosta88 2]

Heute noch nichts.

Nächste Woche werde mit paar Kollegen aus dem Mutterkonzern telefonieren, da sie auch an dem Thema sich beteiligt haben.

Danach mit den Infos zum Chef.

Nachdem ich gerade 2 Wochen bei der Firma bin (jedoch war ich vor einem Jahr bereits zwei Jahre bei der Firma), es ist nicht so leicht zu sagen dass die Situation gruselig ist - aber wenn ich alle Fakten habe, kann ich die Situation gut schildern, und mindestens sagen welchen Weg ich gehen würde.

Der Kollege der noch da ist hat heute gemeint dass wir noch ein Monat abwarten, dann kommt wer aus dem MK. Seine Meinung ist die Laptops halten die Domäne jetzt, und werden wohl noch 4 Wochen aushalten, wenn bereits 6 Wochen alles ok ist... was ich davon halten soll, weiß ich nicht mehr.

Auf jeden Fall muss ich mehr Fakten zusammensuchen, und berichten, bevor ich selber eingreife dort, wo andere bereits was getan haben.

[magheinz 100]

immerhin haben die DCs eine eingebaute USV...

[kosta88 2]

Darauf tät ich mich nicht verlassen... Marke Lenovo, Modell T500. Akku noch nie gewechselt, soweit ich weiß.

[lefg 276]

Moin

 

möglicherweise habe ich die Schilderungen ja nicht verstanden.

 

Ich denke, es ist doch keine Geheimwissenschaft, einen defekten DC zu ersetzen, die Einträge des verlorenen DC aus dem AD entfernen, bei verlorenen FSMO-Rollen das Sizen auf einem anderen DC durchzuführen, DNS in Ordnung zu bringen,  ,,,,,, Oder?

 

Ich hab mir das damals wohl aus dem Technet geholt oder es wurde sogar hier im Forum behandelt.

 

Oder bin ich überheblich? :)

bearbeitet 28. April 2017 von lefg

[NilsK 2.777]

Mein,

 

Technisch sehe ich das auch so.

 

Gruß, Nils

[kosta88 2]

Technisch und vom Vorgang her, vollkommen korrekt, lefg. Jedoch ist das "Projekt", wenn man es so nennen will, nicht meins.

Ich war erstmals 2 Jahre dort, dann 1 Jahr Pause und jetzt wieder.

Ich habe die Firma damals mit einem funktionierenden Server, DC, weitere VMs, Backup (soweit möglich),USV, redundanten Routern, Internet Leitungen usw. und entsprechender Dokumentation verlassen.

Die Umstellung ins RZ (Wunsch der GL) hat ca. 2 Wochen vor meinem Eintritt in die Firma begonnen - ausgegangen hat es von einer sehr unfähigen Mitarbeiterin, die sehr viel falsch gemacht hat (das kann durchaus öffentlich gesagt werden), unter anderem auch den lokalen Server als "defekt" eingestuft - dieser funktioniert nach wie vor ordentlich, mit einer Ausnahme - die Spare-Platte meldet einen Ausfall an - neue bereits bestellt.

Darauf wird anstatt 2008R2 bald 2012R2 installiert, alle VMs sind bereits gesichert.

 

Die zukünftige Infrastruktur soll ja ziemlich einfach sein: 4 Server ausgelagert, tragen DC, Backup DC, Test-Umgebung und noch paar Kleinigkeiten, und der lokale Server dient als lokaler DC, um WAN zu entlasten. Das Thema Netzwerke wird bereits in dem anderen Thread diskutiert, wobei es mich auch sehr freuen würde, mehr Details in dem Gebiet zu bekommen.

 

Nächste Woche, wie gesagt, kommt hoffentlich noch das Gespräch mit den Personen die das Projekt gemeinsam mit dem Kollegen vor Ort gemacht haben (also die DC Umstellung auf die Notebooks...), um eventuelle Missverständnisse zu vermeiden.

[lefg 276]

Moin Kosta,

 

wohl niemand hier macht dir einen Vorwurf. :)

 

Du brauchst also zu dem Thema DC hier momentan keinen Rat? OK

 

Ich werde mir dein Thema zum Netzwerk nochmals durchlesen.