Jump to content

Relaunch 2018: Willkommen im neuen Forum - Das MCSEboard.de wurde runderneuert. Wir wünschen Euch viel Spaß an Board.

Thomas Maggnussen

Recovery 2016 mit Windows Backup

Empfohlene Beiträge

Hallo zusammen, 

 

ich bin beim halbjährlichen Desaster-Test Szenario d.h. es handelt sich hierbei um eine . Testrücksicherung

 

Daher versuche ich einen Windows 2016 DC aus einem Backup wiederherzustellen. Das Backup vom Server wurde mit der Windows-Server Sicherung durchgeführt. 

Die Wiederherstellung hat auch funktioniert aber das Active Directory ist nicht funktionsfähig:

 

Alle ADS-Verwaltungsprogramme starten nicht mehr:

 

"Es konnte aufgrund des folgenden Problems keine Namensinformationen gefunden werden:
Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden."

 

Der einzige Unterschiede sind:

 

- Es gab eine neue Netzwerkkarte wodurch die IP Adresse usw. wieder neu eingetragen wurden

- Das Testsystem besitzt kein "echtes" Gateway sondern sitz in einem abgeschlossenen Netzwerk

 

Pings werden alle aufgelöst. Pin auf domäne.local gibt auch die Adresse des DC zurück. Die DNS IP Adresse habe ich mal sicherheitshalber auf ::1 gestellt. 

 

DCDIAG liefert den ersten Fehler beim Advertising:

 

Server wird getestet: Default-First-Site-Name\Domäne
Schwerwiegender FEhler: FEhler beim Aufrufen von DSGetDcName (Domäne): 1355

Der Server wurde vom Locator nicht gefunden. 

 

Es müsste sich demnach um ein DNS Problem handeln, aber wie, wenn es 1:1 die DNS Einträge sind und der Server seine alte IP-Adresse hat. Auch wird das Netzwerk als "Öffentliches Netzwerk" geschaltet. 

 

Bin ich auf den richtigen weg wenn ich sage:

 

- Ich müsste den alten Netzwerkadapter (der nicht mehr existiert) mal hardcore aus der Registry rausschmeisen?

- Will oder braucht er dringend ein Gateway das tatsächlich existiert und antwortet?

 

Bzgl. DNS habe ich schon verschiedenes laut google ausprobiert:

Alle Zonen gelöscht und noch einmal neu anlegen lassen. Allerdings fehlen dann ein paar Einträge die beim ursprünglichen DNS Server vorhanden waren. 

 

Oder habe ich beim rücksichern etwas falsch gemacht und muss erst mit der Verzeichnisdienstwiederherstellung arbeiten?

Oder gibt es einen Befehl den DNS Server neu zu installieren so wie es passiert, wenn der Dienst ADS d.h. der Server zu einem ADS-Server wird. 

 

Vielen Dank für Feedback. Vielleicht hat ja schon mal jemand einen 2016er Server per Windows Sicherung zurück gesichert. 

 

Danke

Thomas

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

nach einem Restore muss der DC (der einzige oder einer von mehreren?) im abgesicherten Mode booten, Auswahl habe ich gerade nicht im Kopf, müsste was stehen von Verzeichniswiederherstellung.

 

;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

nein, den abgesicherten Modus (genauer: DSRM) braucht man nur bei einem Authoritative Restore. Das ist hier ja gar nicht gegeben.

 

Mein Tipp wäre tatsächlich die neue Netzwerkkarte bzw. eigentlich eher die alte, die bei solchen Aktionen bisweilen noch in der Konfig "rumspukt". Die mal entfernen mit dem Geräte-Manager im Modus "show nonpresent devices".

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

ohne antwortendes Gateway schaltet Windows gerne um auf öffentliches Netzwerk.

Wenn ich sowas mache, baue ich mir ganz gerne mit Lancom ein Gateway im passenden Bereich.


Wenn Du in der DNS Management Konsole schaust unter den einzelnen Zonen und dann rechtsklick Eigenschaften, unter Nameserver löst er sich selbst auf, oder steht da unbekannt?

Und unter abgehörte Adressen nehme ich eigentlich auch die statusfreie IPv6 Adresse raus.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Newbie: 

Ja der Namesserver wird unter der Zone korrekt aufgelöst

 

@djmager: Er stellt nach einem Neustart wieder auf Öffentliches Netzwerk um.

 

Verstehe es nicht so ganz dass es anscheinend so kompliziert ist. Einen 08er habe ich bei dem Test hin und her und auf verschiedenen Maschinen zurückgesichert. War nie ein Problem. 

 

Vielleicht liegts echt am Gateway, was aber echt saudoof wäre.

 

Aber jetzt erstmal einen Guten Rutsch euch allen. Vielleicht habe ich im neuen Jahr ja mehr glück ;-)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ahhh verdammt... der Fehler liegt in der Replikation:

 

Ich habe den Backupserver mit dem laufenden Verglichen: 

 

Der Backup konnte die Erstyncronisation nicht abschliesen. Es gab einen alten DC. Dem neuen habe ich aber alle Rollen übertragen, die ADS auf den alten Deinstalliert und ihn aus der Domäne genommen.

 

Bei der Übertragung der FSMO Rollen gab es seinerzeit aber einen Fehler den ich durch einen KB Artikel aber beheben konnte. 

 

Ich denke es ist beim Backup jetzt so: Der Server startet neu, sucht den alten DC, findet ihn nicht und startet sein ADS nicht. 

 

Der laufende funktioniert ohne Probleme nur - habe ich das Problem dann beim nächsten Neustart?

 

Der Alte Server hing damals noch 4 Woche im Netz, warum die Replikation nicht durchgelaufen ist - keine Ahnung. 

 

Unter Standorte und Dienste steht der alte Server tatsächlich drin. Wenn ich dort die Replikation deaktiviere dürfte das Problem bei nem Neustart doch nicht mehr auftreten oder? Zudem hat er auch noch immer das Häckchen "Globaler Katalogserver". Wenn ich das und die Replikation entferne müsste er sich doch dann als einziger DC ansehen oder?

 

Die query fsmo Rollen bzw. befehle zeigen alle den neuen Server an auch sonst funktioniert alles (ADS, DNS, Clientanmeldungen etc.)

bearbeitet von Thomas Maggnussen

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn Du im AD, egal wo, noch den alten DC irgendwo stehen hast, dann gehört der raus. Und zwar ohne wenn und aber.

 

Wo steht denn im alten Backup noch der alte DC drin? Oder vermutest Du das nur? Oder steht der alte DC noch als alternativer DNS drin? Wenn ja, raus damit.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

Ich denke es ist beim Backup jetzt so: Der Server startet neu, sucht den alten DC, findet ihn nicht und startet sein ADS nicht.

 

nein, das würde nicht passieren. Zu beobachten wäre eine deutliche Verzögerung, aber natürlich hört das AD nicht auf zu funktionieren, wenn ein Replikationspartner nicht gefunden wird. Dann könnte man die ganze Ausfallsicherheit ja vergessen.

 

Da wird also noch was anderes im Busch sein.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Sehr seltsam. Irgendwo muss ich einen Fehler gemacht haben, aber so gravierend kann er eigentlich nicht sein.

Vielleicht liegts auch daran, dass ich ein älteres Backup verwendet habe.

 

Wie lösche ich den jetzt am Besten den alten Server aus der Replikation? Reicht es ihn aus Standorten und Diensten einfach zu entfernen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gibt es den alten Server denn sonst noch irgendwo im AD? Wenn nein, dann lösche ihn aus Standorte und Dienste. DNS Einträge kontrollieren und ihn dort auch manuell löschen, falls sich dort ein Eintrag findet.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Okay, Problem gelöst, auch wenn mir nicht so ganz klar ist, wie das passiert ist.

 

Live-System:

Arbeitet nach wie vor ohne Probleme und ohne meckern. Werde es jetzt nochmal mit aktuellen Backups replizieren und dann den alten Server über Standorte und Dienste löschen.

Auch wenn es nicht sein sollte, habe ich irgendwie Angst das Live-System neu zu starten, nicht das er dann das selbe Problem hat.

 

Test-System:

Ich fasse es nochmal zusammen inkl. Problemlösung (auch wenn ich nicht 100%ig sicher bin dass es ausschließlich die Maßnahme war)

 

Der Windows 2016 Server wurde zurückgesichert. Eingesetztes Sicherungssystem Windows-Backup.

Dieser Katalogserver stufte sich nicht mehr hoch und stellte auch das AD nicht mehr zur Verfügung "Es konnte keine Verbindung zur Domäne hergestellt werden". Als folge davon konnte keine ADS-Anwendung mehr gestartet werden (Active Directory Benutzer- und Computer, Standorte-und Dienste etc).

Die Protokolle beschrieben dass die Erstsyncronisation nicht abgeschlossen werden konnte, da der alte Katalog-Server nicht kontaktiert werden konnte. Der neue Server hatte aber von Anfang an alle FSMO Rollen.

 

Der alte Katalog-Server wurde zurückgesichert. Auch dort konnte er keine Verbindung zur Domäne herstellen.

Ich führte anschließend auf dem 2016 Schritte mit "DFSRMIG" aus. Der Server stufte sich wieder hoch und alles war gut.

 

Fazit:

Keine Ahnung warum sich auf einmal kein Server mehr als Katalog-Server sah. Die Übertragung der FSMO Rollen war bereits vollzogen und beide Server liefen noch 2 Wochen gemeinsam. Der alte Server wurde dann herabgestuft und abgeschaltet.

 

Nach meinen Verständniss, suchte der neue Server beim Neustart dann noch einmal seinen Partner auf um sich bestätigen zu lassen. Im Life-System war unter Standorte und Dienste der alte Server auch noch gelistet: Vermutung: Die übertragung der FSMO lief durch, jedoch wurde der alte Server nicht aus der Replikations entfernt und ebenfalls noch als Katalogserver gelistet. Warum er dann nicht sagte, ich bin jetzt einfach der Chef weiß ich nicht.

 

Über den Befehle "DFSRMIG" löschte ich den Migrationsstatus und die Replikationspartner. Danach stufte sich der Server hoch und auch unter Standorte war der alte nicht mehr gelistet.

 

Im letzten Schritt wurde der Exchange zurück gesichert. Anmeldung, Domänenanzeige etc. funktionierten.

Lediglich Zugriff auf das Interface dauert noch an. Das liegt aber denke ich an der ältern Hardware der Testumgebung und an der Kapazitätsgrenze. Die Exchange Konsole Verbindet sich normal mit den Server, somit denke ich, kann ich den Thread schließen.

 

Wie immer Herzlichen Dank für die Tolle untestützung!!

 

Empfehle jedem ein Desaster Recovery der wichtigesten Systeme in einer Testumgebung. Hier lief auch alles normal aber im Falle eines Desasterbackups wäre ich ins Schwitzen gekomme.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

deinem letzten Satz stimme ich vollständig zu, den Mutmaßungen darüber nicht.

 

Du solltest im Produktionssystem prüfen, ob wirklich alles OK ist. Nach einem Recovery sollte jedenfalls kein DFSRMig erforderlich sein. Abgesehen von Verzögerungen beim ersten Start muss das AD auch bei einem einzeln zurückgesicherten DC natürlich starten, ebenso wie nach dem Ausfall von DCs, wenn nur noch einer arbeitet.

Also: Eventlogs aller DCs prüfen, dcdiag, Replikation usw. Netzwerkkonfigurationen aller DCs prüfen. Durchaus auch einzelne DCs neu starten (nicht mehrere gleichzeitig, es geht ja ums Testen) und sehen, was passiert und ob sich ggf. beim Startvorgang Fehler oder Meldungen auftun.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×