Zum Inhalt wechseln


Foto

Replikation von Gruppen die es nicht mehr geben dürfte


  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 fly87

fly87

    Junior Member

  • 141 Beiträge

 

Geschrieben 27. September 2017 - 10:44

Hallo Zusammen,

 

der Betreff ist etwas b***d gewählt aber mir fiel nichts passenderes ein.

Eigentlich ist dieser Beitrag eine Mischung aus AD DS und Exchange.

 

Ich schildere es einfach mal: Umgebung mit zwei DC's je auf 2K8R2, Funktionsebene 298R2.

Installation eines Exchange Servers 2016 durch Benutzer ohne Kentnisse durchgeführt.

Das klappte nicht, also das System gelöscht und neu aufgesetzt.

Dann wurden geteilte Berechtigungen aktiviert und man erreichte wieder nicht was man wollte.

 

Schlussletztlich sitzen wir jetzt an dem System. Leider ziemlich verbaut und vernarbt.

Vieles konnten wir in Ordnung bringen. Wir haben uns entschlossen, weil es aus das angedachte Exchnage System nicht mehr gibt aber ein Exchange 2016 integriert werden soll, die AD DS Datenbank zu reinigen.

Inkl. des Schemas. Zur Säuberung gehörte u.a. die Löschung alter Security Principals die mal auf Exchange verwiesen hatten. Einzelne Gruppen und Benutzer wie z.B. die Domänen-Admins wurden durch geteilte Berechtigungen verändert und die Übernahme übergordneter und vererbter Berechtigungen ausgeschaltet. Dies wurde wieder in den Standard zurückversetzt.

 

Das war auch alles soweit erfolgreich. Auf beiden DC's stimmt das Schema, die Datenbank, alles identisch. Replikation wurde entsprechend manuell angestoßen

 

Wir konnten anschließend den Stamm und das Schema sauber mittels der entsprechenden Befehle auf die Integration eines Exchange vorbereiten. Dieser Vorgang war ebenfalls erfolgreich. Wir hatten im Vorfeld die Replikation abgeschaltet. Nachdem nun Stamm und Schema auf MsExch vorbereitet waren haben wir die Replikation wieder eingeschaltet und einmal manuell angestoßen. DcDiag etc. alles sauber ohne Fehler.

 

Jetzt der Hammer: Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da. Wir wissen aber nicht woher die repliziert werden. Es gibt nachweislich nur zwei DC's. Beide hatten vor der Schemaanpassung den selben Stand ohne diese unbekannten Konten.

Nach Prüfung stellt man fest es handelt sich um alte Exchange Objekte.

 

Habt ihr eine Idee was das sein kann?

 

Freue mich auf eine Rückmeldung.

 

Viele Grüße

Fly87



#2 Dukel

Dukel

    Board Veteran

  • 9.297 Beiträge

 

Geschrieben 27. September 2017 - 11:02

Ist das eine Test oder Prod Umgebung?


Stop making stupid people famous.


#3 fly87

fly87

    Junior Member

  • 141 Beiträge

 

Geschrieben 27. September 2017 - 11:42

Leider leider ist das eine Produktive Umgebung dort vor Ort.

Es gibt natürlich Backups nach der Säuberung.

 

Interessant ist aber eines: Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern.


Bearbeitet von fly87, 27. September 2017 - 11:44.


#4 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 27. September 2017 - 11:56

Moin,

 

gibt es wirklich noch Leute, die vor einem Schema-Update die Replikation abschalten? Das ist nicht nur gestrig, es ist auch unsupported.

 

Was genau meinst du mit Folgendem?

Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da.

 

Und was meinst du mit "den Stamm vorbereiten"?

 

Auch dies verstehe ich nicht:

Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern.

 

Bitte mal genau beschreiben, sonst kommen wir hier nicht weiter.

 

Gruß, Nils


Bearbeitet von NilsK, 27. September 2017 - 11:58.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 fly87

fly87

    Junior Member

  • 141 Beiträge

 

Geschrieben 27. September 2017 - 12:14

Hallo Nils, das wir die Replikation abgeschaltet haben nach der Säuberung hatte u.a. den Grund das wir herausfinden wollten wie sich das AD DS nach dem vorbereiten auf Exchange verhält. Vorher gab es u.a  jede Menge Fehler die von dcdaig und weiteren Analyse Tools ausgeworfen wurden. In einer Umgebung, die nicht so verbaut ist käme uns das auch nicht in den Sinn.

 

Was genau meinst du mit Folgendem?
Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da.

 

 

Alle Objekte die Administrative Funktionen ausführen haben eine Reihe unbekannter Konten im Sicherheitsreiter des jeweiligen Objekts. Das kann der Account Administrator sein, das kann der Account IT_Admin sein völlig egal. Sobald diese Accounts die Gruppen Organisations-Admins, Domänen-Admins etc. zugewiesen haben tauchen diese Konten nach einiger Zeit dort wieder auf. Selbst wenn sie entfernt wurden und der Account auf Standardwerte zurückgesetzt wurde.

 

Bei genauerer Analyse stellt man fest das dies alles alte Exchange Objekte sind wie z.B. die Server oder Subsystem Gruppe...

 

Mit Stamm vorbereitet meinte ich die Anpassung des Schemas, die Vorbereitung des AD DS für Exchange. Sprich sämtliche Vorab Vorbereitungen des AD DS für Exchange.

 

Auch dies verstehe ich nicht:
Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern.

 

 

Ich leider auch nicht. Solange es keine Exchange Vorbereitung gibt im AD DS tauchen diese unbekannten Konten nach entfernen nicht wieder auf. Wird aber die Vorbereitung durchgeführt sind kurze Zeit später auf den genannten Konten die unbekannten Konten wieder da.

 

Ein Vergleich in einer sauber aufgesetzten Testinstallation konnte dieses Verhalten nicht hervorrufen.

 

Grüße

Fly87


Bearbeitet von fly87, 27. September 2017 - 12:21.


#6 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 27. September 2017 - 13:00

Moin,

 

also, für mich sprichst du immer noch in Rätseln.

 

 

Solange es keine Exchange Vorbereitung gibt im AD DS tauchen diese unbekannten Konten nach entfernen nicht wieder auf. Wird aber die Vorbereitung durchgeführt sind kurze Zeit später auf den genannten Konten die unbekannten Konten wieder da.

 

Ich verstehe nicht, was du damit meinst. Mit "Exchange-Vorbereitung" meinst du die ersten Schritte der Installation? Das macht man aber doch nur einmal, oder? Deine Formulierung klingt, als würdet ihr da irgendwas ein- und ausschalten und schauen, was passiert.

 

Macht ihr da am Ende mit VM-Snapshots rum oder sowas?

 

Was meinst du mit "unbekannte Konten"? Solche, bei denen nur ein SID angezeigt wird statt des Namens? Was meinst du in dem Zusammenhang mit

 

Nach Prüfung stellt man fest es handelt sich um alte Exchange Objekte.

?

 

Gruß, Nils


Bearbeitet von NilsK, 27. September 2017 - 13:04.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 tesso

tesso

    Board Veteran

  • 2.246 Beiträge

 

Geschrieben 27. September 2017 - 20:02

@NilsK

Ich verstehe auch nach mehrmaligem Lesen nicht was der TO uns sagen will. Ich gebe es auf bis für mich verständliche Erklärungen kommen.

 

@fly87

Lies bitte deine Posts noch einmal aus der Sicht eines Menschen der eure Versuche und das System nicht kennt.



#8 NorbertFe

NorbertFe

    Expert Member

  • 30.769 Beiträge

 

Geschrieben 27. September 2017 - 20:15

Guten Abend,

OK, auch wenn hier wirklich mehr Klarheit nutzen könnte, falls noch nicht bekannt, hilft möglicherweise der folgende Artikel:
https://technet.micr...ror=-2147217396

So würde man das machen, wenn mans vorher "nicht kaputt konfiguriert" hat. ;) Viel mehr Hilfe kann man meiner Meinung nach aus der Ferne und schon gar nicht mit obigen Infos leisten.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#9 fly87

fly87

    Junior Member

  • 141 Beiträge

 

Geschrieben 28. September 2017 - 09:17

Hallo Zusammen,

 

ich habe eigentlich gedacht ich hätte es schon so gut wie möglich erklärt. So kann man sich irren. :shock:

 

Also zur Situation: Es gibt ein verbautes und verbasteltest AD DS auf der 2008 R2 Funktionsebene.

Das Schema und der Forest selbst hatte teilweise verstellte Objekte die eine Installation von Exchnage z.B. unmöglich machten.

Die Anpassung des Schemas durch die Setuproutine brach mit unbeklanntem Fehler ab.

 

Daraufhin haben wir, weil die Möglichkeit der Neuinstallation vermieden werden musste, eine Säuberung des gesamten AD DS vorgenommen. Dazu gehörten auch Elemente aus dem Schema. Uralte Exchange Einträge zum Beispiel. Dies war auch erfolgreich. Entsprechend umsichtig wurde gerade in dem Zusammenhang gehandelt.

 

Danach haben wir uns den Berechtigungen gewidmet. Auf dem höchsten Objekt des Domänenstamms waren im Reiter Sicherheit alte Sicherheitsgruppen eingetragen, die als unbekannte Konten aufgeführt werden, weil es die entsprechenden alten Sicherheitsgruppen bereits im Vorfeld schon nicht mehr gab. Diese haben wir entfernt.

 

Für alle Objekte, die in irgendeinerweise die Domäne Administrativ beeinflussen können z.B. das Objekt des Domänenadministrators. Account Name: Administrator oder die Sicherheitsgruppen Schema-Admins, Domänen-Admins usw. wurden diese alten Sicherheitsgruppen nicht entfernt, weil die Vererbung deaktivert wurde.

Das zog sich durch alle Sicherheitsgruppen und Objekte, die Administrativ die Domäne beeinflussen können.

Auch das wurde bereinigt und über beide DC's repliziert.

Die Folge war: Benutzer können sich wieder anmelden, die Replikation funktioniert wieder usw.

 

Danach haben wir begonnen einen Exchange 2016 sauber in das Schema und den Forest zu integrieren. Eine Demo Umgebung durfte und konnte zu unserem Leidwesen nicht erstellt werden. Also wurde das gesamte AD DS per Backup gesichert.

Dieser Vorgang war erfolgreich. Auch die Installation und die Inbetriebnahme des Exchange hat ohne erkennbare Probleme funktioniert.

 

Man könnte meinen alles gut gegangen. System läuft.

Wäre da nicht folgender Umstand: Die Gruppen Domänen-Admins, Schema-Admins, das Objekt Administrator usw. haben plötzlich wieder die unbekannten Objekte in ihrer ACL. Beim ersten mal hält man das für einen sontigen Fehler. Es wurde wieder angepasst.

Beide DC's haben den selben Stand ohne diese unbekannten in ihrer ACL.

Einige Stunden später sind diese Objekte wieder da. Und ich weiß ehrlich gesagt nicht warum. Ich weiß nicht woher die repliziert werden.

Untersucht man diese unbekannten Konto ACL Einträge genauer, stellt man fest das diese z.B. die Berechtigung "Exchange Personal Information" lesen haben. Oder andere Exchange Elemente. Ich hänge mal ein Bild zur Visualisierung an.

 

Ich frage mich: Woher stammen diese offenbar alten unbekannten Konten. Woher werden die repliziert oder wiederhergestellt?

Es gibt nur nachweislich zwei DC's die aber korrekt replizieren. Das heißt enfernt man diese Gruppen sind sie auf beiden DC's auch weg. Nach Stunden sind sie plötzlich wieder da.

 

Ich hoffe mich jetzt verständlicher ausgedrückt zu haben.

 

LG,

Fly87

Angehängte Datei  ADDS.png   34,23K   0 Mal heruntergeladen


Bearbeitet von fly87, 28. September 2017 - 09:17.


#10 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 28. September 2017 - 09:38

Moin,

 

Daraufhin haben wir, weil die Möglichkeit der Neuinstallation vermieden werden musste, eine Säuberung des gesamten AD DS vorgenommen. Dazu gehörten auch Elemente aus dem Schema. Uralte Exchange Einträge zum Beispiel. Dies war auch erfolgreich. Entsprechend umsichtig wurde gerade in dem Zusammenhang gehandelt.

 

das kann so nicht sein. Im Schema kann man keine Löschungen vornehmen. Hier wäre also wichtig zu wissen, was ihr tatsächlich wo gemacht habt.

 

Danach haben wir uns den Berechtigungen gewidmet. Auf dem höchsten Objekt des Domänenstamms waren im Reiter Sicherheit alte Sicherheitsgruppen eingetragen, die als unbekannte Konten Wäre da nicht folgender Umstand: Die Gruppen Domänen-Admins, Schema-Admins, das Objekt Administrator usw. haben plötzlich wieder die unbekannten Objekte in ihrer ACL.

 

 

Hier wird es interessant. Dass diese Objekte durch eine Replikation ins System kommen, kann man ausschließen.

 

Zwei spekulative Theorien:

  • Theorie 1: Es gab nach eurer Bereinigung doch noch Berechtigungseinträge für diese verwaisten Objekte im AD. Bei der Neuinstallation erkennt Exchange diese und wendet sie auf die neuen AD-Objekte an.
  • Theorie 2: Exchange versucht, die zugehörigen Objekte (User und/oder Gruppen) neu zu erzeugen und die passenden Berechtigungen zu setzen. Aus irgendeinem Grund geschieht hierbei ein Fehler, und Exchange setzt die falschen Berechtigungen.

Kern des Problems dürfte sein, dass ihr hier einen nicht supporteten manuellen Weg zur "Bereinigung" beschritten habt. Ich vermute, dass ihr von Microsoft hier keinen Support kriegen werdet - einen Versuch wäre es aber vielleicht wert.

 

Alternativ würde ich jetzt sehen, ob ich einen Exchange-Spezi finde, der sich die Sache mal ansieht. Je nach Ergebnis würde ich dann, wenn eine Reparatur nicht möglich erscheint, einen Neuaufbau erwägen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 tesso

tesso

    Board Veteran

  • 2.246 Beiträge

 

Geschrieben 28. September 2017 - 13:47

Hallo fly87,

 

ich kam leider erst jetzt dazu deinen Beitrag zu lesen. Nils hat schon geantwortet.

Ich bin exakt gleicher Meinung.

 

Die Erklärung kann so nicht stimmen. Holt euch jemanden der sich auskennt und das Dilemma anschaut.

Allerdings fürchte ich auch fast, das eine Reparatur sehr aufwendig bis unmöglich wird.