Ein DC ist ein DC und sollte ein DC bleiben!

[SMR_Support 1]

Hallo Forenkollegen,

 

wir unterstützen an einem weiteren Standort eine eigenständige AD mit bisher 2 Hyper-V Hosts und virtuellen Windows 2008 R2 DCs inklusive eines zweiten Subnetzes. Beide DCs haben die DNS Rolle installiert.

 

Hyper-V Host A mit DC01 inklusive DNS -> Hauptnetz

 

beide können untereinander per PING erreicht werden

 

Hyper-V Host B mit DC02 inklusive DNS - Subnetz

 

Nun gab es dort am Wochenende das Problem, dass die Hardware des VM-Hosts A abgeraucht und nicht mehr in Betrieb genommen werden konnte. Das hatte für die Mitarbeiter zur Folge, dass die Arbeit massiv eingeschränkt bzw. unmöglich war.

 

Als "Workaround" wurde dann vor Ort entschieden den DC aus dem Subnetz herunterzufahren, aus Hyper-V Host B exportiert und anschliessend in das Lan des Hauptnetzes importiert.

 

Als nächstes wurde der importierte DC im Hauptnetz ohne LAN gestartet, dessen IP Adresse auf die IP des "Defekten" Dcs geändert und wieder heruntergefahren, die LAN Verbindung wieder aktiviert und gestartet.

 

Somit war auch die Anmeldung der Mitarbeiter wieder möglich.  Soweit noch mehr oder weniger OK

 

Da aber der DC im Subnetz benötigt wird hat man diesen nun ohne LAN Verbindung gestartet und umbenannt, anschliessend wieder heruntergefahren, LAN Verbindung wieder aktiviert und gestartet.

 

Über dass nicht vorhandene Backup und Desaster Recovery brauchen wir hier kein Wort verlieren ;)

 

Mir macht mehr das Klonen dieses Subnetz DCs Sorgen (Stichwort Active Directory Replizierung)

 

Würdet Ihr mir da zustimmen und welche Probleme könnten hier im Laufe der Zeit auf die Umgebung zukommen?

 

Besten Dank

 

SMR_Support

 

 

 

 

 

[magheinz 100]

Das mit dem subnetz verstehe ich hier nicht.

Sind die beiden DCs in einer Windowsdomäne oder in zwei?

ich verstehe den Sinn der ganzen Aktion nicht wirklich. Wieso wurde nicht einfach ein neuer DC aufgesetzt?

[SMR_Support 1]

Hallo magheinz

 

es handelte sich um eine Windows domäne mit zwei LAN Bereichen

 

192.168.1.x

10.11.12.x

 

Beide LAN Netze standen bzw. stehen untereinander in Verbindung

 

Ich habe eindringlich darauf hingewiesen, dass man das 10er Netz möglichst schnell entfernen soll damit hier eine bessere Ausgangslage erreicht wird!

 

Es wurde offenbar kein neuer DC installiert weil der neu zu installierende DC keine Verbindung mit der Domäne herstellen konnte.

 

Gruss

 

SMR_Support

[testperson 1.547]

Ich blicke in dem Konstrukt (und dem Handeln) nicht ganz durch. Aber mal ganz b***d gefragt: Was findet sich denn in den Ereignissanzeigen der Server (z.B. bei Verzeichnisdienst / DNS-Server / DFS-Replikation)?

[NilsK 2.792]

Moin,

 

wenn ich es richtig verstehe, dass eine Kopie von DC-A im Netz verschoben und in Betrieb genommen wurde und danach das Original von DC-A unter neuem Namen gestartet wurde: Keine gute Idee. Es ist mit Replikationsproblemen und anderen Schwierigkeiten zu rechnen.

 

Effektiv wurde hier DC-A geklont, was nicht supportet ist.

 

Gruß, Nils

[SMR_Support 1]

@testperson, die Aussage von NilsK ist die Richtung die ich meinte!

@NilsK danke für die Aussage!

 

Sehe ich das daher richtig, dass man dort mittelfristig ernsthafte Probleme in der AD Funktionalität bekommen wird?

Ist die aktuelle AD dort überhaupt zu retten? (Vorausgesetzt man kann ohne weitere Informationen dazu eine Aussage treffen!)

 

Gruss

 

SMR_Support

[NilsK 2.792]

Moin,

 

zu retten ist ein AD fast immer. Wahrscheinlich reicht es aus, den Klon (der zuletzt in Betrieb genommen wurde) zu entfernen.

 

Gruß, Nils

[SMR_Support 1]

@Nilsk Danke für die Info ich werde mit den Kollegen vor Ort schauen das wir in diesem Subnetz einen neuen DC aufsetzen und den Klon abschalten.