Jump to content

Nach DC Crash mit Image verschlimbessert...


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Folgendes ist passiert:

 

Domäne mit 3 x 2008 DC.

HDD Chrash auf dem prim. DC, Ausfall für ein paar Tage

Andere DC liefen weiter

Neue HDD in DC eingebaut

Rücksicherung eines 1 Jahr alten Images des DC.... (ich weis war doof)

 

Das das zurücksichern eines 1 Jahr alten Images eines 2008er DCs nicht der Weisheit letzter Schluß war weiß ich inzwischen auch. So bekomme ich den DC wohl nicht wieder integriert. Also was ist das einfachste?

 

Wenn ich das in diversen Threads richtig gelesen habe dann sollte ich den DC mit NTDSUtil aus der AD entfernen, den zweiten DC zum primären machen und den DC neu installieren und in die AD bringen. Richtig?

 

Ich würde ungern den DC Rechner wirklich komplett neu installieren. Leider habe ich "natürlich" kein Image vom DC als er noch nicht in der AD war. Kann ich den DC nicht von seinem DC Status befreien und dann wieder in die AD bringen?

 

Was würdet ihr mir als einfachste/sinnvollste Lösung empfehlen?

Link zu diesem Kommentar

Hallo,

 

ich würde auf jedenfall den DC neu installieren und ihn anschließen mit DCPromo wieder zum DC machen.

 

Das Risiko einer falschen Syncronisierung zwischen den DC wäre mir so groß. Der Schaden wär größer wenn der DC werte von vor einem Jahr in dein AD rein kopiert und dann verteilt. Und wenn auf dem defekten DC nur DC/DNS drauf war ist das ja auch keine Arbeit von Tagen sondern von einem Vormittag (Wenn überhaupt)

 

Gruß

 

Patrick

 

PS:

Warum Image keine Backupalternative ist, ist HIER nachzulesen

Link zu diesem Kommentar
Hallo,

 

ich würde auf jedenfall den DC neu installieren und ihn anschließen mit DCPromo wieder zum DC machen.

 

Das Risiko einer falschen Syncronisierung zwischen den DC wäre mir so groß. Der Schaden wär größer wenn der DC werte von vor einem Jahr in dein AD rein kopiert und dann verteilt. Und wenn auf dem defekten DC nur DC/DNS drauf war ist das ja auch keine Arbeit von Tagen sondern von einem Vormittag (Wenn überhaupt)

 

Der ausgefallene war schon der primäre DC. Der hat nicht nur DNS und DC gemacht sondern auch mittels DFS diverse Datenpartitionen mit dem zweiten DC syncronisiert.

 

Was ist denn die richtige Reihenfolge?

 

1. fehlenden primären DC mit NTDSUtil aus AD entfernen

2. zweiten DC zum primären DC machen (gibts da eine gute ANleitung?)

 

oder anders rum oder ist das egal?

Link zu diesem Kommentar

Hallo

 

HDD Chrash auf dem prim. DC, Ausfall für ein paar Tage

Darf man fragen, wieso du das erst nach ein paar Tagen bemerkst?

Na ja, wenn der per Image gesichert wird und zwar das letzte mal vor einem Jahr...:confused:

Und dann noch offensichtlich, deinem Posting entnehmend, ohne RAID.

Wenn mir das ein Kollege über ein von ihm betreutes Netz erzählen würde: http://ende.de/

So wirst du um das händische Entfernen des DC und eine Neuinstallation kaum herumkommen.

Lies Yussuf's Blog

und überleg dir ein Sicherungskonzept mindestens des Systemstate.
Link zu diesem Kommentar

Auch der TechNet Artikel "Appendix A: Virtualized Domain Controllers and Replication Issues" insbesondere der Abschnitt "USN rollback detection" sei hier noch ans Herz gelegt, auch wenn es bei dem Artikel eigentlich um virtuelle DC's geht. Dort wird beschrieben was in einem solchen Szenario noch dringend zu prüfen ist.

 

Finden sich in der Ereignisanzeige entsprechende Fehler nur auf dem zurückgesicherten DC kann das glimpflich ausgehen. Ab Windows Server 2003 SP1 (und damit auch in 2008) wird üblicherweise die Replikation bei der Ermittlung eines USN Rollbacks angehalten. Wurden keine grösseren Änderungen im AD gemacht, kann man versuchen die FSMO Rollen auf einen der restlichen DC's zu übertragen und die Metadaten manuell aufzuräumen. Der zurückgesicherte DC muss auf jeden Fall demoted und aus dem AD entfernt werden.

 

Mir ist hier schleierhaft wieso man bei 2 noch vorhandenen DC's zwingend ein Backup zurückspielen müsste. Ich hätte die fehlenden Dienste (zumindest DNS) auf einem der verbliebenen DC's eingerichtet, die FSMO Rollen verschoben, den kaputten DC neu aufgesetzt und mit dcpromo erneut zum DC gemacht, so lange dauert eine 2008er Installation ja nun auch nicht. Um das DFS hätte man sich auch danach noch kümmern können.

 

Grüsse

 

Gulp

Link zu diesem Kommentar

Aloha,

 

Was ist denn die richtige Reihenfolge?

 

1. fehlenden primären DC mit NTDSUtil aus AD entfernen

 

du kannst versuchen auf dem geimageten DC mit DCPROMO /FORCEREMOVAL (also eine erzwungene Herabstufung) die AD-Daten LOKAL auf dem DC zu entfernen. Im zweiten Schritt musst du dann noch die Metadaten des AD bereinigen das bedeutet, du entfernst mit NTDSUTIL die DC-Informationen des geimageten DCs aus dem AD.

 

Dabei kannst du dich an diesem Artikel halten und lass dich von dem Titel nicht irritieren, es geht darin auch um Windows Server 2003.

 

LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

 

 

2. zweiten DC zum primären DC machen (gibts da eine gute ANleitung?)

 

Es gibt keine "primären" DCs mehr wie unter Windows NT. Wenn der geimagete DC der FSMO-Rolleninhaber war, müssen diese nun "mit Gewalt" von einem anderen DC übernommen werden.

 

LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

 

Gleichzeitig solltest du auf allen DCs den GC aktivieren.

Es ist auch empfehlenswert auf jedem DC das DNS zu installieren, wobei die Forward Lookup Zone AD-integriert gespeichert sein solte.

 

oder anders rum oder ist das egal?

 

Im Prinzip ist es egal welche Reihenfolge, jedoch solltest du zuerst die "Leiche" entfernen.

Link zu diesem Kommentar
Darf man fragen, wieso du das erst nach ein paar Tagen bemerkst?
Das ist ein Mißverständnis. Ich habe es ziemlich zeitnah bemerkt und auch recht schnell festgestellt das es kein Softwareproblem ist sondern die HDD jede menge defekte Sektoren hatte. Erst nach ein paar Tagen hatte ich eine neue HDD und Zeit mich drum zu kümmern.
Na ja, wenn der per Image gesichert wird und zwar das letzte mal vor einem Jahr...:confused:

Und dann noch offensichtlich, deinem Posting entnehmend, ohne RAID.

Ein (Windows Software) Raid5 (6 x 200 MB) läuft schon auf einem der drei DCs aber nur für Files ;-) Die System HDDs sind alle einsam und allein, auch weil ich den Raid Funktionen der Boards (sind ja nur "normale" Desktop Boards und keine "echten" Server mit Hardware Raid) nicht traue. Deswegen ja auch drei DCs. Noch mehr HDDs = noch mehr Geld und unser Stromverbrauch ist eh schon doppelt so hoch wie der Durchschnitt. (Aber immerhin Ökostrom).

Wenn mir das ein Kollege über ein von ihm betreutes Netz erzählen würde: http://ende.de/

Naja es ist ja "nur" mein etwas übertriebenes (Mehr Server als User:- )) Heimnetzwerk. Wenn es nicht läuft dann bekomme ich Ärger von meiner Frau was im Endeffekt schlimmer ist als von meinen Chef.

So wirst du um das händische Entfernen des DC und eine Neuinstallation kaum herumkommen.

Lies Yussuf's Blog und überleg dir ein Sicherungskonzept mindestens des Systemstate.

Die FSMO Roles habe ich jetzt auf den zweiten DC übertragen. Die AD Einträge vom gecrashsten DDC werde ich heute Abend entfernen. DNS und GC hatte er vorher schon.

 

So richtig rund läuft das Netz nach dem Tod vom DC1 aber leider nicht. Es gibt auf den Clients immer wieder "hänger" beim Netzwerkzugriff auf das DFS. Da friert dann alles für 3-5 Sekunden ein. Da wird wohl immer wiedermal versucht den DC1 bzw. dessen Files vom DFS zu erreichen vermute ich.

 

Den ersten DC habe ich mit dcpromo /forceremoval von seiner AD befreit. Wenn ich dann noch die Metadaten bereinige ist die Frage ob ich denn dann wieder in die AD integrieren kann?

 

Was spricht dagegen und für ein echtes Neuaufsetzten?

 

Es ist leider? so das meine Server eben etwas mehr machen als nur DC und DNS. Die beiden primären machen ALLES inkl. VMWare Server (diverse virtuelle Maschinen, ich weis auf dem DC soll man das nicht), ScanServer, ISDN (Faxen und Anrufbeantworter), DVB-C (TV AUfnahmen), Fileserver inkl DFS Syncronisation (~ 1 TB) zwischen DC1 und DC2, Druckserver, usw ... Der Sinn dahinter war eigentlich das ich an einem basteln kann bzw. einer ausfallen kann (was er ja nun auch getan hat) und das alle meine benötigen Dienste weiter laufen. Der dritte Server macht nur DC und Fileserver.

 

Bis ich den DC1 wiedr händisch konfiguriert das er genau das macht was der DC2 auch macht dauert es mehr als einen halben Tag. Ist ja auch schon 1,5 Jahre her und die Erinnerung etwas an alle Feinheiten doch etwas verblasst. Daher meine Hoffnung das ich das Image doch irgendwie nutzen kann. Jetzt weis ich das ein Image VOR dem integrieren in die AD wohl das schlaueste gewesen wäre... Oder wäre auch da eine Neuinstallation nötig gewesen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...