addy0604 11 Geschrieben 27. April 2016 Melden Teilen Geschrieben 27. April 2016 Hallo zusammen, ich hab hier ein Problem, bei dem ich absolut nicht weiter weiß. Ich hoffe, es kann mir jemand helfen. Folgende Situation: Wir haben 2 DCs (Win 2008 R2) bei uns, DC1 ist physikalisch und DC2 ist virtuell. Beide sind DNS-Server, AD integriert. FSMO-Rollen alle auf dem DC2. Der DC2 wird mit Veeam gesichert, der DC1 mit Acronis plus anschließender Umwandlung in eine VM. In einem anderen RZ testen wir jährlich einmal, ob wir alle Systeme mit den Backup-Medien wiederherstellen können. Bis jetzt gab es nie größere Probleme. Bis gestern... Ich hab per Veeam den DC2 wiederhergestellt. Das hat bis jetzt immer prima geklappt. Diesmal kommt gleich nach dem Booten der VM eine kurze Meldung mit "Directory Service", ist aber gleich wieder weg. Beim Start von AD User und Computer kommt dann die Fehlermeldung: Naming Information cannot be located for the following reason: The Server is not operational. Ich hab ein wenig im Internet geforscht, hab aber bis auf den Beitrag: https://support.microsoft.com/en-us/kb/323542 nix weiter gefunden. Bei dem Artikel geht es um fehlerhafte Einstellung bei der TCP/IP-Filterung. Allerding scheint er für Windows 2000 zu gelten. Außerdem habe ich bis jetzt die Einstellungen bzgl. TCP/IP-Filterung noch nicht gefunden. Hat jemand einen Tipp für mich? Vielen Dank schon mal... Gruß Matthias Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 27. April 2016 Melden Teilen Geschrieben 27. April 2016 Moin, grundsätzlich ist das Backup/Restore vom Multi DC-Umgebungen immer so eine Sache. So etwas kann klappen, muss es aber nicht (Stichwort USN-Rollback). Von daher kann es sein, dass Ihr den bisherigen DR Tests immer nur Glück gehabt hast, dass es funktioniert. Ich für meinen Teil würde im DR-Fall nur einem DC wieder herstellen und diesem die FSMO-Rollen zuweisen bzw. den DC mit den FSMO-Rollen wieder herstellen. Manuell die anderen DC aus dem AD löschen und neue DC's aufsetzten. Beim ersten Start des DC nach einem kompletten Neustart kann es recht lange dauern, bis die AD-Dienste wieder laufen. Bei uns dauerte es beim letzten USV Shutdown 20 Minuten bis die AD-Dienste wieder ansprechbar waren. Gruß Dirk Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 27. April 2016 Autor Melden Teilen Geschrieben 27. April 2016 Moin Moin, bin mittlerweile bei Veeam fündig geworden https://www.veeam.com/kb1277 Da wird genau mein Problem beschrieben mit einem Lösungsweg. Nur leider funktioniert der nicht so ganz, weil ich die nächste Fehlermeldung bekomme: Naming Information cannot be located because: The specified Domain either does not exist or could not be contacted. Zum Haare raufen... Das Image vom DC1 läuft jedenfalls. Dann werde ich mal alle Rollen auf den DC1 schaufeln und schauen was passiert. Gibt es was besonderes zu beachten bei einer Offline-Verschiebung der Rollen? Gruß Matthias Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 27. April 2016 Melden Teilen Geschrieben 27. April 2016 Moin, jaja, das sind die Gründe, warum man das AD immer doppelt sichern sollte: Einmal mit Bordmitteln und dann (sofern vorhanden) mit der separaten Backup-Lösung. Dann gibt es immer ein Backup, das auch vom Hersteller unterstützt wird. Image-basierte Sicherungen sind immer kritisch zu beurteilen, sofern sie nicht ausdrücklich für AD freigegeben sind (wie es bei Veeam m.W. der Fall ist). [Warum Images nicht als Datensicherung taugen | faq-o-matic.net]http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensicherung-taugen/ [Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]http://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/ [AD: Betriebsmaster-Ausfall – was tun? | faq-o-matic.net]http://www.faq-o-matic.net/2010/09/09/ad-betriebsmaster-ausfall-was-tun/ Gruß, Nils Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 28. April 2016 Melden Teilen Geschrieben 28. April 2016 (bearbeitet) Moin, man könne auch einen DC an der DR Site laufen lassen, sich das ganze Thema AD Wiederherstellung sparen, die FSMO kurz per 'size' rüberziehen und sich auf das Restore der Geschäftsanwendungen konzentrieren. ;) bearbeitet 28. April 2016 von Dunkelmann Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 28. April 2016 Melden Teilen Geschrieben 28. April 2016 Und was passiert bei Malwarebefall oder wenn das AD kompromittiert wurde? Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. April 2016 Melden Teilen Geschrieben 28. April 2016 Moin, es war sicher nicht gemeint, dafür kein Backup zu machen. Als Ergänzung kann das für größere Umgebungen sehr interessant sein. Gruß, Nils Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 28. April 2016 Melden Teilen Geschrieben 28. April 2016 Und was passiert bei Malwarebefall oder wenn das AD kompromittiert wurde? Dann habe ich ein anderes Szenario, für das ich einen eigenen DR Plan benötige. Im Eingangspost geht es um eine 1:1 Wiederherstellung an einer DR Site. Also um eine Umgebung, die noch als vertrauenswürdig einzustufen ist. Eine Wiederherstellung nach einem Malwarebefall oder einer Kompromittierung bedeutet, ich muss erst das Vertrauen wiederherstellen. Wie das umzusetzen ist, hängt von der Art des Vorfalls ab. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.