r-t-b

Hallo zusammen. Leider hat es ein bissl gedauert bis ich dazu gekommen bin das o.g. Szenario noch einmal komplett - mit "jungfräulich" installierten Systemen bereitzustellen und alles durchzutesten - halt wie oben beschrieben. Das ist jetzt geschehen und dich darf sagen mit umwerfendem und überzeugendem Erfolg. Alles - aber auch wirklich alles klappt absolut reibungslos. Sogar ein Failover bei Totalausfall ( simuliert ) aller DC´s ist anstandslos möglich. Alles läuft wie am schnürchen. Wie ich bereits vermutete - irgendetwas ist in der ursprünglichen Konfiguration gehörig daneben gegangen. Ich konnte das aber wie gesagt im normalen Betrieb nur daran erkennen das es auf keinem weiteren DC die Freigaben "sysvol" und "netlogon" gab - ansonsten schien es das alles toll funktionierte. Nun habe ich die vermisste Freigabe auch auf dem zweiten DC und ich kann sagen das wirklich alle denkbaren Szenarien mit dem gewünschten Ergebnis abschließen. Geht doch nichts über eine solide Neuinstallation. An dieser Stelle noch einmal vielen Dank an alle die sich mir hier angenommen haben und mich so fantastisch unterstützt haben. Bis bald also ..... Thomas

Okay - vielen Dank. Das ist angekommen- das klärt meine grundsätzliche Fragestellung. Habt Dank. Entschuldigt meine vielen, umständlichen Worte. tut mir Leid - ich will es euch bestimmt nicht unnötig schwer machen. Nur Fragen muss ich halt - wie du richtig sagst, die haben einen Grund. Gut - ich bin ebenfalls der Auffassung das die festgestellten Problem mehr in der Historie zu suchen sind. Einigen wir uns darauf das ich das Szenario komplett neu aufbaue und dann erneut wie gehabt teste. Ich möchte mich noch einmal recht herzlich bei allen bedanken - und hoffe darauf das ich auch weiterhin hierzu berichten bzw. fragen darf. Gruß an alle Thomas So Nils - nun noch ein Wort speziell an Dich - Der Beitrag (bei faq-o-,matic) ist absolut aufschlussreich. So hätte ich das gerne mal vorher irgendwo gelesen. Prädikat: absolut wertvoll. Noch 100 Punkte auf der Sympathieskala ! (richtig das verdient ein Ausrufezeichen) Gruß Thomas

Hallo - vielen Dank für deine Antwort. Zu deinen Fragen: Das ist eine Produktivumgebung !! :jau: :cool: neee. nur Spaß . Das ist selbstredend eine Testumgebung - so nen Affen würde ich produktiv nicht machen. Aber das Ganze ist einer Produktivumgebung entnommen, bzw. nachgestellt. Oha warte mal - also ein paar waren es schon in den letzten 15 Jahren, allerdings keine sehr komplexen AD Umgebungen, alles so im Bereich bis 50 User etwa, keine Umgebungen mit mehr als zwei DC wenige mit mehreren Standorten. Allerdings habe ich das hier vorgestellte Szenario bisher weder erlebt noch diesen Fall zuvor einmal simuliert. Erschreckend was??? Das alles kam nur zustande weil ich gelesen habe das die Hyper-V Replica Funktion "Ausfallsicherheit für kleinere Umgebungen" gewährleisten könne. Zugegeben ich habe wenige Installationen mit mehreren DC´s und Replikation draußen. Das liegt einfach in den verfügbaren Budgets begründet - zudem habe ich trotz ständigem Gemecker und all der Lobeshymnen auf mindestens zwei DC je Domäne nie Probleme gehabt - auf jeden Fall aber weniger als mit diesem Szenario. Ich wäre sehr dankbar wenn mir mal jemand vernünftig den Sinn der Replikation erklären könnte - zudem den Vorteil - wenn denn der erste DC wirklich mal die "Grätsche" macht. Ach so - ja klar kann ich die Umgebung neu aufbauen - ist kein Ding. Werde ich ohnehin nochmal komplett neu machen um eine Referenz zu haben. Im Übrigen: Mir geht es hier nicht zwanghaft darum dieses eine Ding zu klären - vielmehr geht's mir darum grundsätzlich mal abzufragen was es nun tatsächlich mit der Replikation im Falle eines Falles auf sich hat, da die vielen "Fachkompetenzen" und die umfangreiche "Fachliteratur" die tollsten "Offenbarungen" bereit halten. Das ist für mich teilweise hochgradig widersprüchlich - gerade das Thema Replikation - immer wieder als das Maß der Dinge zur Redundanz der AD daherkommend - in Verbindung mit den FSMO Haltern, die ja notwendig sind - eröffnet sich mir nicht. Wenn ein Replikationspartner keine FSMO hält und alle Rolleninhaber ( in kleinen Umgebungen eben der erste DC) nicht mehr verfügbar ist - wie wird dann die Redundanz , bzw. reibungslose Funktion der Umgebung / Domäne erreicht ? Wo liegt mein Gedankenfehler ???? Gruß Thomas

Also - ich denke - wenn der eine DNS Server nicht erreichbar ist dann wird der nächste abgefragt - so sollte das funktionieren. Andernfalls macht die Eintragung mehrerer DNS Server wenig Sinn. Das sollte schon automatisch klappen....aber bitte ich probiere das - aber das kann´s ja auch nicht sein. Wenn der Client startet weis der ja von dem Ausfall nichts - fänd ich ziemlich aufwendig dann erst auf jedem Client den DNS Server zu ändern - na für unseren Test ist das natürlich kein Ding. Das tue ich ja nicht - alternativ ist ja der andere DNS eingetragen - aber auch hier sage ich : kein Problem mache ich ( hab ich schon gemacht - Ergebnis gleich null ) . Okay aber: Ich mach das Danke

Mittlerweile zeigt jeder DNS Server erst auf sich und dann auf den "Partner", also den anderen DNS Server . Hatte ich bereits umgestellt so das der jeweilige DNS Server erst auf seinen Partner und dann auf sich selbst verweist. BPA ist glaube ich erst auf den anderen dann auf sich selbst - aber da herrschen wohl unterschiedliche Ansichten im "Netz". Hab jedenfalls beides bereits probiert. Was ist denn deine Empfehlung dazu ? Du kannst Dir die Screenshots weiter oben ansehen - das siehst du das

Ja...."ei sichiii" .....GC sind beide Server , DNS Server auch. Ganz genau - ich kann auf keine dieser AD Tool mehr zugreifen - bzw. erhalte dann die Fehlermeldung das da keine AD sei . AD Tools für "Benutzer u. Computer", " Domäne u. Vertrauensstellung ", "Standorte-Dienste", "AD Verwaltungscenter" - nix geht hier. Oh ... ich muss mich genauer ausdrücken: sorry - öffnen der Tools geht schon noch nur bekomme ich keine Objekte / Inhalte etc. angezeigt. es gibt nur ein weißes kreuz auf rotem Grund - und den Hinweis das die Domäne nicht vorhanden ist bzw. keine Verbindung zur Domäne hergestellt werden kann. Also es ist kein Fehler in dem Aufruf der Tools - sondern der Inhalt ist "futsch".

Entschuldigung - ich glaube ich verstehe nicht ganz. Ich habe auf dem Client die Reihenfolge der DNS Server geändert - meintest Du das vielleicht? Auch so herum klappt alles Dann habe ich mich über einen der Server mit dem DNS ( über Server Manager Tools) verbunden den anderen Server mit hinzugefügt und die Einstellungen und Einträge komplett überprüft. Zonenübertragung ist nicht aktiviert. Weiterhin: Erster DC abgeschaltet - Client kann über nslookup den zweiten Dc problemlos finden. Namensauflösung funktioniert. Ereignisprotokoll meldet das kein Anmeldeserver für eine sichere Verbindung zur Verfügung steht. Auf dem DC2 das alte Bild - Fehlermeldung wie gehabt siehe weiter oben. Ich kann nicht auf die AD Tools zugreifen. Zweiter DC abgeschaltet: alles fein - Anmeldung des Clients problemlos möglich ( auch bei Verwendung eines für den Client unbekannten Benutzerkontos - kein Problem). AD erreichbar - AD Verwaltung und Zugriff auf AD Objekte über die Tools im Servermanager - kein Problem. Also : wie gehabt. Am Ende benötige ich nur die Information - und ich denke das hast du ja bereits angedeutet das unter normalen Bedingungen auch bei Ausfall des "ersten" DC alles normal weiterlaufen muss. Und da kommt genau mein "Grundlagen" - Problem. Klar sinnvoll und wünschenswert ist das natürlich nur wenn dem so sei - wie geht das ? Denn der übriggebliebene DC hat doch keine der notwendigen Rollen - die hat ja - bei mir zumindest - allesamt der erste DC. That´s it . Ich muss eben nur wissen wie das im Normalfall läuft. Ich kann zu diesem Problemfall nur noch sagen das der erste DC ursprünglich ein 2008R2 Server war der mittels upgrade auf 2012R2 gebracht wurde. Natürlich wurde dann auch Gesamtstruktur und Domänenstruktur angehoben. Weiterhin kann ich nur noch beisteuern das der zweite DC weder eine sysvol noch eine netlogon Freigabe anbietet. Hilft das ?

oh Entschuldigung. also dann: Microsoft Windows [Version 6.3.9600] © 2013 Microsoft Corporation. Alle Rechte vorbehalten. C:\Users\user8-01>nslookup kb.local Server: kabvsvr01.kb.local Address: 192.168.1.201 Name: kb.local Addresses: 192.168.1.211 192.168.1.201 C:\Users\user8-01>ping 192.168.1.201 Ping wird ausgeführt für 192.168.1.201 mit 32 Bytes Daten: Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Ping-Statistik für 192.168.1.201: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms C:\Users\user8-01>ping kabvsvr01 Ping wird ausgeführt für kabvsvr01.kb.local [192.168.1.201] mit 32 Bytes Daten: Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.201: Bytes=32 Zeit<1ms TTL=128 Ping-Statistik für 192.168.1.201: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms C:\Users\user8-01>ping 192.168.1.211 Ping wird ausgeführt für 192.168.1.211 mit 32 Bytes Daten: Antwort von 192.168.1.211: Bytes=32 Zeit=1ms TTL=128 Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128 Ping-Statistik für 192.168.1.211: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 1ms, Mittelwert = 0ms C:\Users\user8-01>ping kabvsvr11 Ping wird ausgeführt für kabvsvr11.kb.local [192.168.1.211] mit 32 Bytes Daten: Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128 Antwort von 192.168.1.211: Bytes=32 Zeit<1ms TTL=128 Ping-Statistik für 192.168.1.211: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms C:\Users\user8-01>nslookup Standardserver: kabvsvr01.kb.local Address: 192.168.1.201 > kabvsvr01 Server: kabvsvr01.kb.local Address: 192.168.1.201 Name: kabvsvr01.KB.local Address: 192.168.1.201 > kabvsvr11 Server: kabvsvr01.kb.local Address: 192.168.1.201 Name: kabvsvr11.KB.local Address: 192.168.1.211 > 192.168.1.201 Server: kabvsvr01.kb.local Address: 192.168.1.201 Name: kabvsvr01.kb.local Address: 192.168.1.201 > 192.168.1.211 Server: kabvsvr01.kb.local Address: 192.168.1.201 Name: kabvsvr11.kb.local Address: 192.168.1.211

Hallo Nils. Jetzt beschämst du mich aber. So hohl bin ich ja nun auch nicht !!! Warte - s-shot folgt

Aha DNS Problem ? Hmmm. solange der erste DC läuft habe ich null komma null Probleme, zumindest erkenne ich keine...ich schicke mal das gewünschte plus ein paar s-shots aus dem adrst was die Replikation angeht. Das ist der Zustand wenn die beiden relevanten DC laufen. Ach. Danke für eure Mühen und Antworten. :-) Gruß Thomas P.S. es folgen noch zwei screenshots So nun hoffe ich das die beiden fehlenden screenshots noch hochgeladen werden. Nummer eins !!! So nummer 3. Nun noch den screenshot zur WS

Aha okay, vielen Dank für eure Antworten. Verstehe ich euch Recht ist es "normalerweise" also tatsächlich wie erhofft, nämlich das es völlig unerheblich ist welcher DC ausfällt solange man einen weiteren, erreichbaren DC - auch wenn es "nur" ein Replikationspartner ist, in der Domäne laufen hat. Korrekt? Im Zweifel könnte man diesen dann einfach durch simples verschieben der PDC Rolle zum ersten DC machen und einen weiteren Repl. Partner platzieren ? Dann ist alles gut ? Ja ? Dann: DR= Disaster Recovery ? Okay, okay ..man ich bin echt froh über eure Antworten...Danke .....also : ich bin mit meiner "Strategie" auf dem Holzweg - korrekt ? Wäre alles so wie es sein soll gibt es bezogen auf die Domänen / AD - Funktionalität somit wohl keinen Grund ein Wiederherstellungsszenario bereitzustellen solange "sauber" auf andere/n DC repliziert wird? Aha...hmmm....also einen "abgesetzten" DC - an einem anderen Standort ? Schwierig zu "meistern" ? Ich glaube, meine Herren, das ich grundsätzlich ein Problem mit der Replikation meiner DC´s habe obgleich - erstmal alles toll aussieht. So - ich habe den DC1 ( alle Rollen ) abgeschaltet - Ergebnis - alles dahin! siehe screenshots.( ich habe Server und Domänennamen im Bild abgeändert) Ist das so normal - immerhin hat DC2 lediglich die Rolle des GC ( wie DC1 auch ) ? Clients können sich auch keine mehr anmelden - ich würde sagen .....das ist wohl nicht so gedacht, oder ? Nun müsste ich wohl die Übernahme der fehlenden Rollen erzwingen - korrekt ? Also doch wieder "eingreifen" !!! - elegant über die AD Verwaltungstools eher nicht mehr...Konsolenarbeit, korrekt ??? Ist das hier erlebte / geschilderte das "normale" Verhalten? Es gibt keine Instanz / Funktion oder was auch immer der oder die überprüft ob alle Rollen verteilt und die Rolleninhaber verfügbar sind und ggf. fehlende Rollen auf verfügbare DC´s ( die zum replizieren angelegt sind) verteilt ??? Ich bin geschockt ;-) Vielen Dank für eure Nachsicht und eure Mühe die Ihr euch macht. Gruß Thomas ( r-t-b )

Hallo, ich bin ein "neuer" in dieser Runde und erhoffe mir natürlich wie die meisten : Info - Fakten - Know How -Tipps & Tricks. Um dazu gleich mal loszulegen brennt hier seit einiger Zeit eine / mehrere Frage/n mit der Bitte und in der Hoffnung auf Hilfe. Zur Fragestellung: Kann man mittels Hyper-V Replica eine komplett virtualisierte Domäne im Zweifelsfall "wiederbeleben". Gemeint ist: Funktionierendes AD - Zugriff auf die Verwaltungstools - Anmeldung an die Domäne - Replikation mit Partner also weiterm DC - sauberer Verteilung der Rollen - sauberer Zugriff auf das Verzeichnis - die DC den PDC - also eine funktionierende Domäne mit GPO´s etc. p.p. Dazu: Aufbau - ganz simpel: Die komplette Umgebung basiert auf Windows 2012R2 - Gesmatsrtukur-Domäne , alle beteiligten DC und auch die Hyper-V Hosts. 2x Hyper-V Host - Hardware für Testszenario geeignet und entspr. Ressourcen ( was das "Blech" angeht ) vorhanden. Replikation eingerichtet- unverschlüsselt - keine Zertifikate - Firewall etc. angepasst. Kein Virenscanner o.ä. Livemigration aktiviert. Der HVH01 ( erster Hyper V Host ) - hostet einige virtuelle Gäste - eingeschaltet also "aktiviert" sind zu Testzwecken die Domänencontroller DC1 ( erster DC - alle Rollen auch PDC ) und DC2 ( als Replikationspartner, GC und DNS-Server). Beide DC´s befinden sich am selben Standort - beide DC´s replizieren einander artig und fehlerfrei. Beide DC´s sind zur Rplikation via Hyper-v Replica auf HVH02 konfiguriert Der HVH02 (zweiter Hyper-V Host ) beherbergt nur die Replikate der DC´s von HVH01. Die Replikate werden völlig anstandslos und fehlerfrei angelegt. Alles läuft prima. Problemstellung: Der erste DC also DC1 ( mit PDC Rolle ) fällt unvermittelt aus und lässt sich auch nicht wieder starten. Nun flugs von hier aus ein "geplantes Failover" eingeleitet - (DC2 läuft weiterhin) und : Chaos perfekt - keine AD Tools mehr verfügbar weil laut Fehlermeldung weder Server noch Domäne noch Verzeichnis vorhanden oder erreichbar. Somit Produktivität dahin "Netz" steht. Frage: Was tun ? Ist das korrekt das aus dem Failover des Hyper-V Replica kein funktionierender erster DC ( PDC ) hergestellt werden kann? Was nutzt dann das alles? Was ist zu tun um wieder eine funktionsfähige Umgebung zu schaffen? Einschränkung: Alle Lösungsansätze die einen funktionierenden ersten DC voraussetzen sollen unbeachtet bleiben - da das vorgestellte Szenario den Fall behandelt bei dem der erste DC "unverhofft" ausgefallen ist. Natürlich - ein Cluster hilft - aber steht der Aufwand tatsächlich im Verhältnis - denken wir mal an "kleine" Umgebungen ....viell. 20 User - oder so. Ne wichtige Branchensoftware , bissl Daten.....vielleicht ne Arztpraxis oder ein Anwaltsbüro o.ä.. P.S. Seltsam finde ich das ein Export des ersten DC und das anschließende neu erstellen dieses DC - nicht Import - neue virtuelle Maschine - vhd / vhdx aus dem Export - völlig reibungslos klappt - das Failover aus dem Replikat jedoch nicht - gibt es dahinter eine tiefere Logik ? Und eins noch: Eine grundsätzliche aber dennoch wichtige Frage: Wenn bei Ausfall des ersten DC kein Zugriff mehr auf die AD-Tools ( AD-Benutzer und Computer etc.) mehr möglich ist - warum benötige ich denn mehrere DC an einem Standort? Welchen Sinn macht die Replikation ( also zwischen den DC´s) - können sich die User wirklich dauerhaft weiter an der Domäne anmelden? Ist das der Sinn - auch wenn man nicht mehr auf die Verwaltung der AD zugreifen kann ? Ich weis viel zu viel Text Trotzdem - danke für jeden der sich dafür interessiert ( hat ) und danke für jede Antwort. r-t-b