techabteilung 10 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Hallo, ich bin's wieder mal. Hab ein riesen-Problem: Kam gestern in die Firma und auf beiden DomControllern war das AD weg. Komplett leer. Hab dann auf unserem Exchange-Server die Exchange-Datenbank gesichert und dann n Image vom 31.03.08 aufgespielt (Systemstatus-Sicherungen waren leider schon vom Backup-Programm überschrieben worden mit der leeren Version). Insgesamt sind es 2 Server. Server1 ist der primäre Dom-Controller und hat die ganzen Master-Rollen. Server2 ist ein Mitglieds-DomController und Exchange-Server. Server1 hatte "vergessen" dass er prim. DomController war. Hab ich aber dann neu festgelegt. Replizierung läuft nicht. Hatte erst keinen Zugriff von Server1 auf Server2, hab dann das Computer-Konten-Kennwort zurückgesetzt. Klappt jetzt. Aber keine Replizierung. Ich denke da fehlt irgendwo die Vertrauensstellung zwischen Server1 und der Domäne. Hab aber keine Ahnung wie ich die wieder hin bekomme. Hab auf dem Server2 also das (ältere) AD und hab auch die Autorisierende Wiederherstellung gemacht. Jetzt repliziert sich der Server2 wenigstens nicht mehr das (leere, neuere) AD vom Server1. In unserer Domäne kann sich keiner mehr anmelden, obwohl der Server2 ja läuft. Exchange-Dienst läuft auch nicht. Irgend eine Idee? Ist sehr, sehr dringend! Muss jetzt zum Kunden. Schau in 1h wieder in's Board. Bin für jede Hilfe dankbar. Gruß, Techabteilung. Zitieren Link zu diesem Kommentar
twiki 10 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Hallo, welche Fehler werden denn in der Ereignisanzeige angezeigt? Läuft der DNS sauber? Existiert die _msdcs noch im DNS-Server? Gruss twiki Zitieren Link zu diesem Kommentar
kaysus 11 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 hi, hatte mal ein ähnliches problem. nachdem ich ein altes ad zurückgesichert habe, konnte sich auch keiner mehr an melden und der zweite dc hat auch nicht mehr repliziert. ich habe dann den tip bekommen, dies hier mal durchzuführen: Zurücksetzen von Computerkontokennwörtern eines Windows Server 2003-Domänencontrollers mit "Netdom.exe" hat aber bei mir nicht funktioniert. vieleicht hilft es ja bei dir. bei mir ist/war es ein problem mit dem "kdc". da es aber bei mir nur ein test war, habe ich es anders gelöst. ich werde aber diesbezüglich einen ms-call für 300 $ eröffnen müssen. hast du mal ein dcdiag durchgeführt? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Servus, Kam gestern in die Firma und auf beiden DomControllern war das AD weg. das ist mehr als suspekt und passiert auch nicht von alleine. In diesem Fall, hätte man mit einem kühlen Kopf die Eventlogs prüfen sollen und weiterhin sich in Ruhe erstmal einen Überblick verschaffen. Hab dann auf unserem Exchange-Server die Exchange-Datenbank gesichert und dann n Image vom 31.03.08 aufgespielt (Systemstatus-Sicherungen waren leider schon vom Backup-Programm überschrieben worden mit der leeren Version). Ein Image rücksichern ist zwar keine gute Idee... aber warten wir es mal ab. Yusuf`s Directory - Blog - Images als Sicherung ? Server1 hatte "vergessen" dass er prim. DomController war. Hab ich aber dann neu festgelegt. Ich vermute, du hast ihm die FSMO-Rollen neu zugewiesen (geseized?). Ist auch auf beiden DCs der globale Katalog aktiviert? Replizierung läuft nicht. Wundert mich nicht. Ich denke da fehlt irgendwo die Vertrauensstellung zwischen Server1 und der Domäne. Du musst nun Troubleshooting betreiben. Installiere dir auf dem laufenden DC die Windows Support Tools (von der Windows Server 2003 CD im Ordner Support\Tools) und führe DCDIAG sowie NetDIAG durch. Überall wo ein FAILED protokolliert wird, versuchst du der Meldung mit der Suchmaschine deiens Vertrauen nachzugehen. Überprüfe weiterhin das Eventlog. Dort müsste "Karneval in Rio" sein. Ganz wichtig ist dabei das DNS. Das muss zwingend sauber funktionieren. Auch dabei kannst du gezielt mit DCDIAG DNS-Tests durchführen. Hab aber keine Ahnung wie ich die wieder hin bekomme. Hab auf dem Server2 also das (ältere) AD und hab auch die Autorisierende Wiederherstellung gemacht. Jetzt repliziert sich der Server2 wenigstens nicht mehr das (leere, neuere) AD vom Server1. Versuche in jedemfall herauszufinden, wie das passieren konnte. Denn ansonsten stehst du morgen erneut vor dem gleichen Problem (wenn du heute überhaupt da raus kommst...). In unserer Domäne kann sich keiner mehr anmelden, obwohl der Server2 ja läuft. Überprüfe das DNS und das Eventlog. Gehe anschließend den Fehlermeldungen nach. Die Forward Lookup Zone sollt AD-integriert gespeichert - was nur möglich ist, wenn das DNS auf einem DC installiert wurde - und auf allen DCs sollte das DNS installiert sein. Werfe einen Blick in die Dienstesteuerung und kontrolliere, ob alle Dienste die auf automatisch stehen, auch "Gestartet" sind. Stimmt das Datum und die Uhrzeit auf den DCs? Irgend eine Idee? Ist sehr, sehr dringend! Das kann ich mir gut vorstellen. Aber trotzdem, behalte einen kühlen Kopf und reagiere nicht zu voreilig, sonst machst du am Ende noch mehr kaputt. Ich weiß wie schwer das in der Situation ist, aber in der Ruhe liegt die Kraft. Zitieren Link zu diesem Kommentar
marceldelux 10 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Schau mal hier rein: Wie Erzwingen einer nicht autorisierenden Wiederherstellung der Daten in dem Ordner Sysvol auf einem Domäne-Controller in Windows 2000 Server und Windows Server 2003 Zitieren Link zu diesem Kommentar
techabteilung 10 Geschrieben 15. April 2008 Autor Melden Teilen Geschrieben 15. April 2008 Danke erstmal für die Postings. Hab von allen Servern aktuelle offline-Images auf USB-Platte gemacht. Wenn ich also irgendwas kaputt-bastel, dann hab ich mehrere Versuche frei. Hab mir inzwischen professionelle Unterstützung geholt. Replizierung läuft inzwischen wieder, aber nur von Server1 (mit leerem AD) auf Server2. So sieht der weitere Plan aus: 1.) Beide Server runterfahren 2.) Image von Server2 machen (auf USB-Platte) 3.) altes Image vom 31.03. wieder aufspielen 4.) Server2 hochfahren 5.) System-State per NTBackup sichern auf USB 6.) Image von Schritt2 wieder zurückspielen 7.) Im AD-Wiederherstellungsmodus starten 8.) System-State einspielen von Schritt 5 9.) Authorisiernde Wiederherstellung machen 10.) Server2 neu starten 11.) DNS-Einträge überprüfen auf Server2 12.) Replizierung Sollte soweit klappen. Mal sehen... AD ist wirklich leer. Auch keine Tombstone-Wiederherstellung mehr möglich. Wünscht mir Glück (oder besser Erfolg) Ich meld mich nochmal wenn ich das alles durchgezogen hab. 6.) Server Zitieren Link zu diesem Kommentar
techabteilung 10 Geschrieben 18. April 2008 Autor Melden Teilen Geschrieben 18. April 2008 Hat funktioniert. Es können sich wieder alle User anmelden. Replizierung klappt auch wieder. Hab zwar noch ab und zu n paar DNS-Fehlermeldungen, aber die arbeite ich momentan ab, google die und versuche die zu beheben. Nur einen merkwürdigen Bug hab ich noch: Alle können auf die Freigaben zugreifen, nur ich nicht. Und das geht nur von meinem PC aus nicht. Hab den schon aus der Domäne rausgenommen, umbenannt und wieder in die Domäne aufgenommen. Klappt trotzdem nicht. Bekomme immer die Meldung "Zugriff verweigert". Aber mit meinem Anmeldenamen von nem anderen PC aus klappts ganz normal. Da muss wohl irgendwo ne Sicherheitsrichtlinie dazwischenfunken oder so. Irgend n Vorschlag was das sein könnte? Welche Option ist denn dafür zuständig? Hab sogar n neues lokales Benutzerprofil angelegt auf meinem PC. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.