AD nach Serverausfall wieder in Betrieb nehmen /synchronisieren

[TobiasNYSE 10]

Hey,

 

ich hoffe Ihr könnt helfen.

 

Folgendes Szenario:

 

Server1 = PDC Active Directory mit dem aktuellen Stand OK.

 

Server2 (Systemfestplatte ausgefallen) = Es wurde ein Image von vor 3-4 Tagen zurückgespielt. Und jetzt gilt es das Active directory wieder zu beleben.

 

Fehlermeldung beim öffen von AD Benutzer Controller = Der Ziel Principal ist Falsch

Fehlermeldung "Der Ziel-Principal Name ist falsch" beim manuellen Replizieren von Daten zwischen Domänencontrollern wurde durchgeführt.

 

Wie kann ich dem Server1 sagen, das er sich mit Server2 syncen soll.

 

Schonmal Danke

[gysinma1 13]

Hallo

 

Das ist natürlich problematisch, da da der Server 1 der heutige Stand hat, und der Server 2 der Stand vor 4 Tagen. Das macht die AD nicht ohne weiteres mit.

 

Welches ist der FSMO - ich gehe davon aus, der Server 1. Dann würde ich ein force removal der AD Funktion von dem Server 2 machen, alle Einträge im Server 1 im dsa.mc und dssite.msc löschen und den DC neu promoten.

 

Der Server1 wird sich solange er die FSMO roles nicht synchen können. Warum sollte er auch, er lief ja durch. Die Domainzeit würde sonst 4 Tage zurückgeschraubt werden, was u.u. Probleme mit den CLients verursachen könnte (die ausgestellten Kerberos Tickets liegen dann jeweils in der "Zukunft" aus der Sicht des DCs). Was sich darin äussert, dass die Clients alle neu gejoined werden müssten.

 

Ich würde den Server 1 an den Server 2 ansychnronisierne. Schau mal noch mit dem Tool replmon (ist in den Support Tool oder demm Reskit vom 2003).

 

Gruss & Viel Erfolg

 

Matthias

[Gulp 226]

Und das alles ohne eine Rücksicherung des Systemstate im Wiederherstellungsmodus?

 

Herzlichen Glückwunsch, jetzt hast Du vermutlich einen USN Rollback und darfst mindestens den zurückgesicherten DC aus der Domäne werfen und neu mit dcpromo erstellen. Wenn Du richtig Pech hast ist Dein AD so durcheinander, dass nur ein Neuaufsetzen der Domäne eine saubere Lösung darstellt.

 

Benutz mal die Boardsuche und die Microsoft KB zum Thema USN Rollback, da hast Du auf jeden Fall erstmal was zum Lesen.

 

Grüsse

 

Gulp

[TobiasNYSE 10]

Hm.. . Danke . , der Server 1 ist der FSMO, ja

 

Es muss doch eine Möglichkeit geben, das der Server2 das AD von Server1 übernimmt, oder? Da momentan dem AD nicht klar ist, welcher der beiden DC´s die aktuelle version des AD besitzt, denke ich.

[woiza 10]

Mach den 2. entwder ganz platt oder /forceremoval, wenn das noch tut. Und dann hol ihn frisch ins AD rein. Image ist ok, aber VOR dcpromo. Danach handelst du dir mehr Probleme ein, als sonstwas.

[gysinma1 13]

Hallo

 

Ja das ist richtig die Ad weiss momentan nicht was "Master" ist. Ich würde keinenfalls diesen Weg einschlagen, denn Du riskierst dass sämtliche PCs neu gejoined werden müssten. Da die AD ein Rücksprung um 4 Tage nicht verkraften wird.

 

Du musst es selbst wissen, was richtig ist und in diesem Zusammenhang anbei die Info:

 

- Sicherstellen das der GlobalCatalog auf dem Server 2 läuft und diesen auf dem Server 1 ausschalten

- Sicherstellen das auf dem Server 2 ein DNs Server läuft

- Mit ntdsutil alle rollen auf den Server 2 verschieben:

-> ntdsutil

-> roles

-> co

-> co to server server2

-> q

-> tr pdc ma

-> tr infra ma

-> tr schema master

-> tr rid master

-> tr domain naming ma

 

Es kann sein, dass da schon Fehler auftreten, dann müssten die Funktionen gesized werden. also seize anstatt tr.

Server 1 vom Netz trennen force demote machen. Server 2 alle Objekte von Server 1 löschen im dssite.msc und dsa.msc

Server 1 neu promoten

Mit dem Replmon oder repadmin die Replication prüfen.

 

Das Risiko für diesen Weg ist ausserordentlich hoch v.a. wenn noch Exchangeserver oder SQL Server mit integriertet Authentifizierung bestehen. Jedenfalls vor der Aktion sicher beide Server konsistend backupen (mit ntbackup systemstate).

 

Gruss,

 

Matthias

[woiza 10]

Warum soll er die Rollen auf DC2 umziehen? DC1 ist doch ok.

 

DC2 runterstufen, auf DC1 den DC2 mit ntdsutil entfernen, frisch aufsetzen.

[Ritchie 10]

Warum soll er die Rollen auf DC2 umziehen? DC1 ist doch ok.

 

DC2 runterstufen, auf DC1 den DC2 mit ntdsutil entfernen, frisch aufsetzen.

 

Würde ich auch so machen, wenn der DC2 sich runterstufen lässt.

[Das Urmel 10]

.. .

Es muss doch eine Möglichkeit geben, das der Server2 das AD von Server1 übernimmt, oder? Da momentan dem AD nicht klar ist, welcher der beiden DC´s die aktuelle version des AD besitzt, denke ich.

 

Dem AD ist das schon klar, DC1 hat dass sagen.

DC2 wird nun nicht mehr replizieren, schau ins Eventlog und du wirst das berüchtigte USN Rollback schon haben..

 

Wie Gulp schon sagte, nun ist es zu spät. :cool:

Off-Topic:

Hätte man korrigieren können, nun aber nicht mehr.

 

Also gehst du nun den korrekten Weg, DC2 raus.. neu.. wie dir schon gesagt worden ist.

Und für die Zukunft denkst du bitte daran, ein Image ist nach wie vor keine Sicherung solange man nicht damit umzugehen weiss; selbst dann ist es nicht ungefährlich. USN Rollback

[woiza 10]

Wie gesagt,

 

wenn beide Kisten nur DC spielen, könnte ein Weg sein, vor dem DCPromo ein Image zu ziehen, um das OS schnell wiederherzustellen. Für AD sollte aber ntbackup oder ein anderes Tool der Wahl herhalten.

[TobiasNYSE 10]

Vielen Dank schonmal,

 

wenn ich aus dssite.msc und dsa.msc den DC entfernen will kommt leider die Meldung DSA-Objekt kann nicht gelöscht werden.

 

Wie gesagt der intakte Server besaß schon vorher alle FSMO Rollen, soweit so gut, allerdings befindet sich darauf auch ein Exchange Server der nun nicht mehr startet.

 

Wie kann ich alle AD Verbindungen zum defekten Server entfernen so das er ein alleinstehender wird,. . . gute frage. ..

[Gulp 226]

How to detect and recover from a USN rollback in Windows Server 2003 <-- Das wäre erstmal eine Möglichkeit sich vom USN Rollback zu erholen, anschliessend kann man sich um weitere Probleme (zB Exchange) kümmern.

 

Deine vordringlichste Sorge sollte nun sein schleunigst den USN Rollback zu beseitigen, klappt das so nicht, bleibt Dir nichts anderes als ein neues sauberes AD aufzusetzen, wie Dr. Melzer's geschätzte Grossmama immer so schön sagte: Nicht zur Strafe, sondern zur Übung!

 

Grüsse

 

Gulp

[gysinma1 13]

Hallo

 

 

Schon deshalb würde ich da nichts machen. Leider wusste ich das mit dem Exchange nicht d.h. ich habe das nur vermutet.

 

Ich würde den Server 1 vom Backup wieder herstellen, zu einem Zeitpunkt als der andere Server mit Sicherheit "tod" war. Dann den Server 2 nochmals neu herstellen, nicht an das Netz gehen und mit "dcpromo /forceremoval" die AD drabreissen. Auf dem Server 1 alle Objekte löschen. Du msust "zuunterst" beginnen, sonst werden die Objekte nicht gelöscht werden können.

 

Danach die Kiste neu promoten. Der Exchange ist relativ "tolerant". Eventuell startet der wieder wenn der Server 2 nicht mehr auf dem Netz ist. Er wird den Server 2 als Topologyinfo nehmen (sicher hat es auch Fehler vom MS Exchange Attendant, Tology ... no Global Catalog, no such object in Schema found ... oder ähnliche).

 

Bevor Du jedoch beginnst würde ich den restore vom Server 1 auf jungfräuliche Platten machen.

 

Gruss,

 

Matthias

[Daim 12]

Aloha,

 

ich sehe hier nur eine vernünftige Lösung und die lautet: Entferne diesen DC aus dem AD mit NTDSUTIL und installiere ihn neu.

 

Anschließend denkst Du über ein Backup-Konzept sowie Disaster Recovery nach.

 

How to remove data in Active Directory after an unsuccessful domain controller demotion

[TobiasNYSE 10]

Aloha,

 

ich sehe hier nur eine vernünftige Lösung und die lautet: Entferne diesen DC aus dem AD mit NTDSUTIL und installiere ihn neu.

 

How to remove data in Active Directory after an unsuccessful domain controller demotion

 

Ja, soweit bin ich jetzt auch schon, trotzdem danke, alles soweit bereinigt.

 

 

. . . Backup. .

 

Ich dachte mal mit nem Image sei man auf der sicheren Seite passiert mir nicht oft das ein DC abschmiert, habe vermutet das er sich einfach neu Repliziert.