Jump to content

Ad Image Restore Usn Rollback Frage


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

da ich dabei bin als Praktikumsprojekt BackupStrategien für eine Firma aufzustellen und auch praktisch zu testen bin ich momentan bei der Sicherung von AD.

 

Die Ausgangslage ist:

DC1: AD DHCP EXchange07, SQL2005, FILE

DC2: AD DHCP RIS WUS

 

Mein Plan war es das ich von DC1 wie auch von DC2 ein Image im laufenden Betrieb ziehe.

Meine Verunsicherung ist das Restore im bezug auf den USN Rollback.

Wenn ich nur einen DC habe kann ich ohne probleme Image wiederherstellen und danach systemstate einspielen und alles ist schön.

 

Was würde aber passieren?!

DC1 fällt aus! Ich restore ihn mit dem Image und danach gleich das systemstate restore im verzeichnis wiederherstellungs modus aber als restore methode normal.

 

Kann ich dann beim Hochfahren davon ausgehen das es zu einem USN Rollback mit dem anderen DC2 bekommt oder gibts auch die chance das die beiden sich wieder normal replizieren und alles ist schön?

Dazu will ich sagen wenn jetzt 1 Nutzer verloren geht der nach dem Image angelegt wurde dann kann ich damit leben oder falls ein anderes kleines objekt in dem Zeitraum fehlt.

 

Ansonsten müsste ich ja immer sobald ich mehr als 1 DC habe folgendes Szenario durchspielen um AD wieder zu restoren:

 

1.Image restore (Damit ich gleich den SQL und den Exchange habe) Klar sonst kann ich auch gleich alles manuell machen und habe auch keinen USN Rollback ;)!

2.NW Kabel ziehen

3.DC herabstufen

4.Meta daten löschen

5.FSMO Rollen nach DC2 schieben + GC falls nicht schon passiert

6.restart dc1

7.dc1 wieder in domäne aufnehmen und hochstufen

8.GC wieder verpassen

9.FSMO ROllen wieder nach DC1 schieben

 

 

Mich würde jetzt interressieren ob ich das soweit alles richtig verstanden habe oder nicht?

Meine wichtigste Frage ist nur muss ich mit einem USN Rollback rechnen beim Image restore oder nicht?!

 

Grüße und vielen DANK für die Antworten

Link zu diesem Kommentar

Moin,

 

Images würde ich nur sehr selektiv (wenn überhaupt) in eine Sicherungsstrategie einbinden. Für komplexere Applikationen wie SQL oder Exchange eignet sich, wenn überhaupt, nur ein Offline-Image oder ein Imager, der per VSS für Konsistenz sorgt. Selbst in dem Fall hast du aber immer das Problem, dass du damit immer nur den ganzen Server wiederherstellen kannst - selektives Wiederherstellen (z.B. einzelner Mailbox-Stores) geht damit nicht.

 

Bei DCs würde ich es ganz bleiben lassen. Zwar soll es auch Imager geben, die damit umgehen können - aber auch hier hast du den Umstand, dass du ein solches "Backup" nicht oder nicht sinnvoll für selektive Wiederherstellungen (z.B. einzelne Objekte) nutzen kannst.

 

faq-o-matic.net Warum Images nicht als Datensicherung taugen

 

Von Akrobatik mit den Netzwerkkabeln rate ich entschieden ab. Deine Verfahrensschritte sind aus meiner Sicht nicht sinnvoll. Mach lieber ein richtiges Backup-/Recovery-Konzept. Bedenke dabei, dass der Komplettausfall eines Servers nur eines von vielen Szenarien ist - alle anderen deckst du mit deiner Technik nicht ab.

 

Im übrigen ist das hier im Board schon sehr oft diskutiert worden.

 

Gruß, Nils

Link zu diesem Kommentar

Hey,

Danke für deine Antwort.

Das ein Image nicht das Heilmittel für alles ist weis ich und ich habe auch noch andere Sicherungsstrategien gearde bei Exchange nehme ich eine Online sicherung der DBs und die LCR und bei SQL 2005 habe ich ja den SQL Agent und will auch die DB nochmal zusätzlich rausdumpen.

 

Also es war nicht so gemeint das ich mich nur auf das VollImage versteifen will.

 

Aber wenn der DC2 mit WSUS und RIS abkackt dann wäre es mit dem Image das beste für die Wiederherstellung.

 

Meine Fragen ist nur wie verhält sich nun das mit dem USN Rollback?

Ich habe auch im Forum schon Themen dazu gelesen und es wurde viel Diskutiert aber auch in vielen Büchern steht nichts konkrettes.

 

In einem Buch von MS steht Image herstellen danach Systemstate normal einspielen und alles ist schön auf der Seite die du Gepostet hat steht wieder dann tritt man in die USN Rollback falle meine Frage ist trette ich in diese Falle wenn ich bei 2xDCs einen RESTORE warum auch immer?!

 

Die andere vorgehensweise ist aus einem MS Technet Artikel nur knapp zusammengefasst so wurde das vorgehen grob beschrieben Falls der USN Rollback eingetretten ist und man den Ausgefallenden DCs mittels Image wiederhertstellen muss.

 

Ich hätte sehr gerne nur eine Antwort wie sich das nun mit dem USN Rollback verhält?

Oder ob ich einfach nur paar Benutzer verliere und sich nach der zeit die USN Replikation selber wieder abgleicht?

Oder wird wenn der USN Rollback einsetzt dann garnicht mehr zwischen den DCs repliziert weil die andere USN Nr. haben?!

Link zu diesem Kommentar

Moin,

 

du stellst sehr viele Fragen, die mein geposteter Artikel eigentlich alle beantwortet.

 

Wenn ein USN Rollback eingetreten ist, wird das nicht automatisch repariert. Es geht auch nicht darum, dass du "einfach nur ein paar Benutzer" verlierst (wieso überhaupt "nur"?) Selbst wenn du das USN Rollback behebst, indem du den DC herunterstufst, kannst du Folgeprobleme haben, z.B. mehrfach vergebene SIDs.

 

In welchem "Buch von MS" soll denn das Image-Verfahren empfohlen worden sein? Und warum sollte es ein Vorteil sein, erst ein Image einzuspielen und dann doch noch mal den SystemState hinterher? Dann spare ich mir doch vorher das Image (und dessen Risiken) und habe denselben Effekt.

 

Gruß, Nils

Link zu diesem Kommentar

Ok nochmal meine Frage ganz einfach wenn ich eine Image restore mache tritt dann zu 100% ein USN Rollback ein? Oder ist es möglich das ich glück habe? Oder kann man pauschal sagen immer zu 100% bei mindestens 2 DCs in der Domäne?

 

Meine Frage ist nicht so gemeint das ich den USN Rollback bereinige sondern ob es eine möglichkeit gibt trotz Image restore ganz zu vermeiden?!

 

Das Buch ist kein direktes AD Buch sondern zum Exchange 2007 und liegt @work kann ich aber noch schreiben die gehen da kurz auf AD mit ein.

 

Warum Image und Systemstate? Weil ein VollImage meist seltener gemacht wird als der Systemstate der ist "aktueller" Image z.b 1x die WOche und Systemstate Täglich somit würde ich nach dem Voll IMage Restore auch das Systemstate einspielen.

 

Warum überhaupt ein Voll Image?!

Weil es der restore schneller geht!

Deiner Variante muss ich BS Installieren Konfiguroere, AD replizieren, SQL 2005 installieren exchange 2007 installieren, exchange und sql konfigurien und dann zu exchange und sql2005 die daten erst wieder importieren.

Mit meiner VollImage Software hat es im restore test funktioniert das nach rückspielen des Images AD SQL und Exchange liefen ohne Problem nur bei dem TEst gab es nur einen DC es sollen aber zukünftig 2 werden.

Klar gebe dir vollkommen recht wenn ich einzeln sachen wdh will ist das mist aber für den großen gau bin ich schneller als alles manuell zu installieren und aufzusetzen mit den selben einstellungen.

Oder ich nehme das Image ziehe das nw kabel stufe herrunter.... und restore nur AD und spare mit wieder das manuelle installieren konfigurien und importieren.

 

Trotzem mache ich zusätzlich zu dem VollImage noch die einzel Sicherungen der Exchange der SQL und der AD DB da es ja noch andere Fehler gibt außer der Totalausfall :)!

 

Hoffe konnte bissel beschreiben warum ich so komische lösungen wähle :)!

Link zu diesem Kommentar

Images sind in manchen Konstellationen durchaus sinnvoll, jedoch nicht unbedingt bei DC's. Wie Nils schon sagte, es gibt Image Lösungen, die mit DC's und AD umgehen können. Auch ein aktuelles Backup des Systemstate schützt normalerweise vor dem USN Rollback, allerdings sollte man hier wissen was man tut und wie man das Image wieder erfolgreich zurückspielt und anschliessend weiter verfährt.

 

Die Umstände wie ein USN Rollback eintritt (das kann nicht nur bei Images passieren, es gibt auch noch die ein oder andere Möglichkeit wie ein USN Rollback eintreten kann), liefert der folgende Microsoft Artikel:

 

How to detect and recover from a USN rollback in Windows Server 2003

 

Grüsse

 

Gulp

Link zu diesem Kommentar

auch wenn man mich jetzt "steinigt" ;)

 

ich halte Images von DC's schon für praktikabel, wenn:

 

A. entweder die Image-Software "AD-Aware" ist z.B. Symantec Backup Exec System Recovery Server (ab W2K3 wegen dem erforderlichen VSS)

 

oder

 

B. nach dem Restore des Images ein aktueller Systemstatus, welcher vor der Imageerstellung via NTBackup erzeugt wurde, wieder eingespielt wird (F8 + nicht auth. Wiederherstellung)

 

Wenn ein W2K3 mit SP1 oder später im Einsatz ist "schützt" sich der wiederhergestellte DC insofern gegen das USN-Rollback-Problem da er erkennt dass er nicht systemkonform wiederhergestellt wurde s.h. How to detect and recover from a USN rollback in Windows Server 2003 (Messages 1 - 4).

 

@NilsK

empfohlen wird es nicht, aber unter: http://www.microsoft.com/downloads/details.aspx?familyid=64db845d-f7a3-4209-8ed2-e261a117fc6b&displaylang=en findest du ein How-To: DC_VS2005.doc im Bezug auf DC's in virt. Maschinen und hier wird auf den Seiten 18-33 auch auf das USN-Rollback-Problem hingewiesen, dass z.B. eintritt wenn eine virt. C:\-Platte einfach wieder restored wird (entspricht zu 100% einem Image-Restore) und genau deshalb wird auf einen Registry-Hack eingegangen (Seite 32-33), der dem DC "vorgaugelt" es wäre eine nicht auth. Wiederherstellung des Systemstatus erfolgt, weshalb er sein AD mit einem "benachbarten" DC abgleicht.

 

Viele Grüße

 

motzel

Link zu diesem Kommentar
  • 1 Jahr später...

Hallo,

 

weiss gar nicht wo hier das Problem ist.

Gerade bei virtuellen DCs arbeitet man doch mit Images+Systemstate.

Wir machen das so:

 

1.Systemstate sichern

2.Image vom DC sichern

 

Fällt der DC aus wird das Image restored, der DC OHNE NETZWERK mit F8 (Active Directory Restore Mode) hochfahren, Systemstate einspielen, restart, fertig.

 

In dem Fall gibts auch kein USN Rollback.....

Link zu diesem Kommentar

Moin,

 

das Problem liegt da, dass du damit ein Verfahren hast, das einen zusätzlichen manuellen Schritt erfordert. Wenn man den nicht durchführt (was in der Situation auf die meisten Admins zutrifft), ist es zu spät. Und wenn man ihn durchführt, hat man im Effekt einen wesentlich längeren und komplexeren Prozess, als wenn man den DC einfach neu installiert.

 

Um es noch mal deutlich zu sagen: Der Ausfall eines von mehreren DCs erfordert kein Recovery irgendeiner Art (weder Image noch Systemstate), sondern einfach eine Neuinstallation. In den allermeisten Umgebungen ist man damit in 20 Minuten durch, wovon nur etwa 5 Minuten betreut sein müsen. (Ein weiterer Grund dafür, auf DCs keine zusätzlichen Applikationen zu betreiben.)

 

"Man" arbeitet bei DCs beileibe nicht mit Images oder Snapshots. Du machst das vielleicht. Manche andere auch. Wer die dahinter laufenden Prozesse kennt, tut das in der Regel aber nicht.

 

Und: Wenn das Verfahren tatsächlich so problemlos wäre, wie die Image-Verfechter immer behaupten, würden wir ja auch nicht davon abraten. Das Verfahren ist aber problematisch - tausende von Newsgroup- und Foren-Hilferufen zeugen davon. Und ja, ich habe schon häufig Kunden helfen müssen, die damit entstehenden Probleme zu lösen oder zu lindern.

 

Im Übrigen ist der Thread, auf den du geantwortet hast, mehr als ein Jahr alt. Die Forensoftware weist nicht ohne Grund auf diesen Umstand hin.

 

Gruß, Nils

... den sich ständig wiederholende Diskussionen etwas langweilen.

Link zu diesem Kommentar

Hallo.

 

Und: Wenn das Verfahren tatsächlich so problemlos wäre, wie die Image-Verfechter immer behaupten, würden wir ja auch nicht davon abraten.

 

Einer der bekanntesten Hersteller tut dies ja - Search | Knowledge Base

 

Und so viel ich weißt, steht es bei diesem Anbieter auch im Handbuch. Aber wer liest schon Handbücher ;)

 

... den sich ständig wiederholende Diskussionen etwas langweilen.

Das musst du den Kollegen nachsehen. Viele kennen einfach diese Seite nicht - Let me google that for you ;)

 

LG Günther

Link zu diesem Kommentar

Hi checkout,

 

nur um das noch einmal herauszustellen - Du sprichst von einem DC im Forest, korrekt? Nicht etwa einem DC in einer Domain, die Teil eines Forests mit mehreren Domänen ist.

In ersterem Fall hast Du die Antwort bekommen ;) - letzteres wäre problematisch.

 

Zusätzlich wäre aber anzumerken, daß nur ein DC in einer Domäne nicht optimal ist - es sollten aus Redundanzgründen immer zwei DCs pro Domäne vorhanden sein. Und ab dem Punkt greift dann wieder die USN Thematik.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...