Recovery 2016 mit Windows Backup

[Thomas Maggnussen 2]

Hallo zusammen, 

 

ich bin beim halbjährlichen Desaster-Test Szenario d.h. es handelt sich hierbei um eine . Testrücksicherung

 

Daher versuche ich einen Windows 2016 DC aus einem Backup wiederherzustellen. Das Backup vom Server wurde mit der Windows-Server Sicherung durchgeführt. 

Die Wiederherstellung hat auch funktioniert aber das Active Directory ist nicht funktionsfähig:

 

Alle ADS-Verwaltungsprogramme starten nicht mehr:

 

"Es konnte aufgrund des folgenden Problems keine Namensinformationen gefunden werden:
Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden."

 

Der einzige Unterschiede sind:

 

- Es gab eine neue Netzwerkkarte wodurch die IP Adresse usw. wieder neu eingetragen wurden

- Das Testsystem besitzt kein "echtes" Gateway sondern sitz in einem abgeschlossenen Netzwerk

 

Pings werden alle aufgelöst. Pin auf domäne.local gibt auch die Adresse des DC zurück. Die DNS IP Adresse habe ich mal sicherheitshalber auf ::1 gestellt. 

 

DCDIAG liefert den ersten Fehler beim Advertising:

 

Server wird getestet: Default-First-Site-Name\Domäne
Schwerwiegender FEhler: FEhler beim Aufrufen von DSGetDcName (Domäne): 1355

Der Server wurde vom Locator nicht gefunden. 

 

Es müsste sich demnach um ein DNS Problem handeln, aber wie, wenn es 1:1 die DNS Einträge sind und der Server seine alte IP-Adresse hat. Auch wird das Netzwerk als "Öffentliches Netzwerk" geschaltet. 

 

Bin ich auf den richtigen weg wenn ich sage:

 

- Ich müsste den alten Netzwerkadapter (der nicht mehr existiert) mal hardcore aus der Registry rausschmeisen?

- Will oder braucht er dringend ein Gateway das tatsächlich existiert und antwortet?

 

Bzgl. DNS habe ich schon verschiedenes laut google ausprobiert:

Alle Zonen gelöscht und noch einmal neu anlegen lassen. Allerdings fehlen dann ein paar Einträge die beim ursprünglichen DNS Server vorhanden waren. 

 

Oder habe ich beim rücksichern etwas falsch gemacht und muss erst mit der Verzeichnisdienstwiederherstellung arbeiten?

Oder gibt es einen Befehl den DNS Server neu zu installieren so wie es passiert, wenn der Dienst ADS d.h. der Server zu einem ADS-Server wird. 

 

Vielen Dank für Feedback. Vielleicht hat ja schon mal jemand einen 2016er Server per Windows Sicherung zurück gesichert. 

 

Danke

Thomas

- 

 

 

[Nobbyaushb 1.464]

Moin,

 

nach einem Restore muss der DC (der einzige oder einer von mehreren?) im abgesicherten Mode booten, Auswahl habe ich gerade nicht im Kopf, müsste was stehen von Verzeichniswiederherstellung.

 

;)

[Thomas Maggnussen 2]

Hallo Norbert, 

 

es ist der einzige DC. Es reicht also nicht den einfach zu Recovern? Okay, dann führe ich mal die Verzeichniswiederherstellung durch. 

[NilsK 2.918]

Moin,

 

nein, den abgesicherten Modus (genauer: DSRM) braucht man nur bei einem Authoritative Restore. Das ist hier ja gar nicht gegeben.

 

Mein Tipp wäre tatsächlich die neue Netzwerkkarte bzw. eigentlich eher die alte, die bei solchen Aktionen bisweilen noch in der Konfig "rumspukt". Die mal entfernen mit dem Geräte-Manager im Modus "show nonpresent devices".

 

Gruß, Nils

[Tektronix 21]

Hallo,

ohne antwortendes Gateway schaltet Windows gerne um auf öffentliches Netzwerk.

Wenn ich sowas mache, baue ich mir ganz gerne mit Lancom ein Gateway im passenden Bereich.

Wenn Du in der DNS Management Konsole schaust unter den einzelnen Zonen und dann rechtsklick Eigenschaften, unter Nameserver löst er sich selbst auf, oder steht da unbekannt?

Und unter abgehörte Adressen nehme ich eigentlich auch die statusfreie IPv6 Adresse raus.

[djmaker 95]

Hast Du das den Netzwerktyp mal auf "privat" umgestellt und dann neu gestartet? Dann sollte das Netzwerk automatisch auf "Domänennetzwerk" umstellen.

[Thomas Maggnussen 2]

@Newbie: 

Ja der Namesserver wird unter der Zone korrekt aufgelöst

 

@djmager: Er stellt nach einem Neustart wieder auf Öffentliches Netzwerk um.

 

Verstehe es nicht so ganz dass es anscheinend so kompliziert ist. Einen 08er habe ich bei dem Test hin und her und auf verschiedenen Maschinen zurückgesichert. War nie ein Problem. 

 

Vielleicht liegts echt am Gateway, was aber echt saudoof wäre.

 

Aber jetzt erstmal einen Guten Rutsch euch allen. Vielleicht habe ich im neuen Jahr ja mehr glück ;-)

[Nobbyaushb 1.464]

Lies dich mal hier ein:

 

http://www.msxfaq.de/windows/netzwerk/network_location_awareness.htm

 

;)

[Thomas Maggnussen 2]

Ahhh verdammt... der Fehler liegt in der Replikation:

 

Ich habe den Backupserver mit dem laufenden Verglichen: 

 

Der Backup konnte die Erstyncronisation nicht abschliesen. Es gab einen alten DC. Dem neuen habe ich aber alle Rollen übertragen, die ADS auf den alten Deinstalliert und ihn aus der Domäne genommen.

 

Bei der Übertragung der FSMO Rollen gab es seinerzeit aber einen Fehler den ich durch einen KB Artikel aber beheben konnte. 

 

Ich denke es ist beim Backup jetzt so: Der Server startet neu, sucht den alten DC, findet ihn nicht und startet sein ADS nicht. 

 

Der laufende funktioniert ohne Probleme nur - habe ich das Problem dann beim nächsten Neustart?

 

Der Alte Server hing damals noch 4 Woche im Netz, warum die Replikation nicht durchgelaufen ist - keine Ahnung. 

 

Unter Standorte und Dienste steht der alte Server tatsächlich drin. Wenn ich dort die Replikation deaktiviere dürfte das Problem bei nem Neustart doch nicht mehr auftreten oder? Zudem hat er auch noch immer das Häckchen "Globaler Katalogserver". Wenn ich das und die Replikation entferne müsste er sich doch dann als einziger DC ansehen oder?

 

Die query fsmo Rollen bzw. befehle zeigen alle den neuen Server an auch sonst funktioniert alles (ADS, DNS, Clientanmeldungen etc.)

bearbeitet 31. Dezember 2017 von Thomas Maggnussen

[Sunny61 806]

Wenn Du im AD, egal wo, noch den alten DC irgendwo stehen hast, dann gehört der raus. Und zwar ohne wenn und aber.

 

Wo steht denn im alten Backup noch der alte DC drin? Oder vermutest Du das nur? Oder steht der alte DC noch als alternativer DNS drin? Wenn ja, raus damit.

[NilsK 2.918]

Moin,

 

Ich denke es ist beim Backup jetzt so: Der Server startet neu, sucht den alten DC, findet ihn nicht und startet sein ADS nicht.

 

nein, das würde nicht passieren. Zu beobachten wäre eine deutliche Verzögerung, aber natürlich hört das AD nicht auf zu funktionieren, wenn ein Replikationspartner nicht gefunden wird. Dann könnte man die ganze Ausfallsicherheit ja vergessen.

 

Da wird also noch was anderes im Busch sein.

 

Gruß, Nils

[Thomas Maggnussen 2]

Sehr seltsam. Irgendwo muss ich einen Fehler gemacht haben, aber so gravierend kann er eigentlich nicht sein.

Vielleicht liegts auch daran, dass ich ein älteres Backup verwendet habe.

 

Wie lösche ich den jetzt am Besten den alten Server aus der Replikation? Reicht es ihn aus Standorten und Diensten einfach zu entfernen?

[Sunny61 806]

Gibt es den alten Server denn sonst noch irgendwo im AD? Wenn nein, dann lösche ihn aus Standorte und Dienste. DNS Einträge kontrollieren und ihn dort auch manuell löschen, falls sich dort ein Eintrag findet.

[Thomas Maggnussen 2]

Okay, Problem gelöst, auch wenn mir nicht so ganz klar ist, wie das passiert ist.

 

Live-System:

Arbeitet nach wie vor ohne Probleme und ohne meckern. Werde es jetzt nochmal mit aktuellen Backups replizieren und dann den alten Server über Standorte und Dienste löschen.

Auch wenn es nicht sein sollte, habe ich irgendwie Angst das Live-System neu zu starten, nicht das er dann das selbe Problem hat.

 

Test-System:

Ich fasse es nochmal zusammen inkl. Problemlösung (auch wenn ich nicht 100%ig sicher bin dass es ausschließlich die Maßnahme war)

 

Der Windows 2016 Server wurde zurückgesichert. Eingesetztes Sicherungssystem Windows-Backup.

Dieser Katalogserver stufte sich nicht mehr hoch und stellte auch das AD nicht mehr zur Verfügung "Es konnte keine Verbindung zur Domäne hergestellt werden". Als folge davon konnte keine ADS-Anwendung mehr gestartet werden (Active Directory Benutzer- und Computer, Standorte-und Dienste etc).

Die Protokolle beschrieben dass die Erstsyncronisation nicht abgeschlossen werden konnte, da der alte Katalog-Server nicht kontaktiert werden konnte. Der neue Server hatte aber von Anfang an alle FSMO Rollen.

 

Der alte Katalog-Server wurde zurückgesichert. Auch dort konnte er keine Verbindung zur Domäne herstellen.

Ich führte anschließend auf dem 2016 Schritte mit "DFSRMIG" aus. Der Server stufte sich wieder hoch und alles war gut.

 

Fazit:

Keine Ahnung warum sich auf einmal kein Server mehr als Katalog-Server sah. Die Übertragung der FSMO Rollen war bereits vollzogen und beide Server liefen noch 2 Wochen gemeinsam. Der alte Server wurde dann herabgestuft und abgeschaltet.

 

Nach meinen Verständniss, suchte der neue Server beim Neustart dann noch einmal seinen Partner auf um sich bestätigen zu lassen. Im Life-System war unter Standorte und Dienste der alte Server auch noch gelistet: Vermutung: Die übertragung der FSMO lief durch, jedoch wurde der alte Server nicht aus der Replikations entfernt und ebenfalls noch als Katalogserver gelistet. Warum er dann nicht sagte, ich bin jetzt einfach der Chef weiß ich nicht.

 

Über den Befehle "DFSRMIG" löschte ich den Migrationsstatus und die Replikationspartner. Danach stufte sich der Server hoch und auch unter Standorte war der alte nicht mehr gelistet.

 

Im letzten Schritt wurde der Exchange zurück gesichert. Anmeldung, Domänenanzeige etc. funktionierten.

Lediglich Zugriff auf das Interface dauert noch an. Das liegt aber denke ich an der ältern Hardware der Testumgebung und an der Kapazitätsgrenze. Die Exchange Konsole Verbindet sich normal mit den Server, somit denke ich, kann ich den Thread schließen.

 

Wie immer Herzlichen Dank für die Tolle untestützung!!

 

Empfehle jedem ein Desaster Recovery der wichtigesten Systeme in einer Testumgebung. Hier lief auch alles normal aber im Falle eines Desasterbackups wäre ich ins Schwitzen gekomme.

[NilsK 2.918]

Moin,

 

deinem letzten Satz stimme ich vollständig zu, den Mutmaßungen darüber nicht.

 

Du solltest im Produktionssystem prüfen, ob wirklich alles OK ist. Nach einem Recovery sollte jedenfalls kein DFSRMig erforderlich sein. Abgesehen von Verzögerungen beim ersten Start muss das AD auch bei einem einzeln zurückgesicherten DC natürlich starten, ebenso wie nach dem Ausfall von DCs, wenn nur noch einer arbeitet.

Also: Eventlogs aller DCs prüfen, dcdiag, Replikation usw. Netzwerkkonfigurationen aller DCs prüfen. Durchaus auch einzelne DCs neu starten (nicht mehrere gleichzeitig, es geht ja ums Testen) und sehen, was passiert und ob sich ggf. beim Startvorgang Fehler oder Meldungen auftun.

 

Gruß, Nils