Recovery einer AD-Domänenstruktur nach der tombstoneLifetime

[mia72]

Hallo Zusammen!

Mein erster Beitrag im MCSEBoard ist gleich ein recht kniffliges Problem. Wäre toll, wenn mir jemand einen Rat zu folgendem Problem geben könntet:

Umgebung:
Habe eine Labor-Umgebung mit 3 Domänen aufgebaut: Eine Stamm-Domäne und zwei ihr untergeordnete Domänen (sub1 und sub2)
sub1 enthält 2 Domänencontroller, die anderen beiden Domänen haben jeweils nur einen DC.
Die Stamm-Domäne umfasst DNS, DHCP, sämtl. Betiebsmaster und globalen Katalog
Alle Domänen befinden sich im selben Standort.
Von jedem Rechner existiert ein Image, das vor der Installation von AD gezogen wurde.

Vorhaben:
Möchte nun diese Umgebung mit Images oder Backups "einfrieren", sodass ich diese ohne Probleme auch in 3 Monaten wieder zum heutigen Stand recovern kann. Wichtig ist, dass ich den heutigen Stand der Umgebung (samt AD) wieder möglichst schnell wiederherstellen kann.

Problem: tombstoneLifetime
Die tombstoneLifetime für gelöschte AD-Objekte soll 60 Tage betragen (Default-Wert) und nicht erhöht werden. Problem ist, dass meines Wissens ein DC nicht mehr mit einem DC repliziert, der aus einem Backup, das die tombstoneLifetime überschreitet, wiederhergestellt ist. Im Klartext: Ein Image/Backup das älter als 60 Tage ist, wäre demnach unbrauchbar.

Wie kann man nun trotzdem (ohne Änderung der tombstone Lifetime) die Umgebung auch nach 60 Tagen wieder auf den heutigen Stand herstellen? ggf. auch mit Drittanbieter-Software?

Stellt sich das Problem überhaupt, wenn ich alle DCs gleichzeitig wieder herstelle?

Für Rat wäre ich sehr dankbar.

[zuschauer]

Hi !
Über dieses Thema hab ich auch schon mal mit grizzly999 diskutiert.

Wenn Du alle DC gleichzeitig (=relativ zeitnah) herstellst und die Systemzeit auf einen Zeitpunkt innerhalb der 60 Tage setzt, sollte es gehen. Das Problem könnte/würde aber dann der "Zeitsprung" zur aktuellen Zeit werden - den Du dann wiederum umgehen könntest/müßtest, indem Du vor dem "Zeitsprung" die tombstone-lifetime auf denn benötigten Wert erhöhst - was Du allerdings nicht möchtest - warum eigentlich nicht, wenn Du jetzt schon weißt, dass Dir die 60 Tage für Dein Vorhaben nicht genügen ?

Dein Anliegen betrifft ja eine Teststellung - in der Praxis ist ein Backup, das älter als 60 Tage ist, relativ wertlos, was die ADS betrifft.

[blub]

Hallo Mia,
Diese Tombstone Lifetime macht schon Sinn, trotzdem kann man diese natürlich auch ignorieren, indem du diesen Key setzt
http://www.microsoft.com/technet/pro...527060f90.mspx

damit der ganze Forest wieder repliziert, musst du noch diesen Key setzen
http://support.microsoft.com/?id=887430

Beides ist Holzhammer

cu
blub

[dmetzger]

Bei Neuinstallationen von W2K3 mit Service Pack 1 beträgt die Tombstone Lifetime nun 180 Tage.

[mia72]

Hallo,

danke schon mal für die bisherigen Infos.

Von einer Erhöhung der Tombstone Lifetime rät Microsoft dringend ab, deshalb scheue ich mich davor, diese zu erhöhen. Wieso rät MS eigentlich so dringlich davon ab? Zudem ist mir nicht bekannt, wie/wo ich diese erhöhen kann. Gebt doch mal einen Tipp...

Hab zum Glück alle DCs in der Testumbegung auf W2k3 mit Service Pack 1 ausgestattet, bevor ich sie zum DC heraufgestuft habe. Somit würde sich nach Aussage von dmetzger (danke!) meine Backup-Lebenszeit von 60 auf 180 Tage erhöhen. Ich denke damit kann man in einer Testumgebung leben. Woher hast Du die Info mit den 180 Tagen?

Gibt es auch Dritthersteller-Software zum Backup/Recovery einer Domänenstruktur, welche die Problematik mit der tombstoneLifetime handlen kann?

Noch ne ****e Frage: Wenn ich die Testumgebung innerhalb der 60 bzw. 180 Tage wieder recovere, sollte es doch reichen, alle Images und Backups einzuspielen um AD wieder in den eingefrorenen Zustand zu bringen oder muss ich ein autorisierenden Restore des AD machen? Wie gehe ich am besten vor? Alle Netzwerkkabel vor dem Einspielen der Images/ASR-Backups ziehen, damit nix repliziert, danach wieder vernetzen und die DCs der Reihen nach hochfahren?