Jump to content
Sign in to follow this  
igwadmin

DomainController Restored, keine FSMORollen mehr

Recommended Posts

Hallo Miteinander,

 

ich habe einmal folgende frage und hoffe das ihr mir da weiterhelfen könnt.

 

Ich habe einmal Testweise versucht in unserer VM Umgebung eine Rücksicherung des DomainControllers (wo alle FSMO Rollen hält) gemacht.

 

Gestern Abend alle gesichert mit veeam und dann den einen von beiden DomainControllern in ner abgeschotteten Umgebung Rückgesichert und gestartet.

 

Als Netzwerk habe ich einen Switch ohne Uplink Adapter erstellt und verbunden, jedoch kommt sobald ich mich am DC anmelde beim Start von das das 

 

keine Namensinformationen gefunden wurden und die angegebene Domäne ist nicht vorhanden.

 

Im Eventlog steht dieser Server besitzt die FSMO rollen die jedoch nicht als gültig eingestuft wurden ....

 

DCDIAG mault auch wurde kein Zeitserver gefunden, kein Global Cataloge usw.

 

Ich verstehe gar nicht warum sich der Server nicht mehr für nen DC hält nur weil er seinen Kollegen DC2 nicht findet stellt er alles ein?

 

DNS habe ich geprüft Auflösung geht alles, der Server hat sich selber als DNS eingetragen in der Netzwerkkarte.

 

Hoffe hier weis einer rat, würde gerne verstehen wollen warum das so ist

 

Im Anhang mal nen FotoUnbenannt.thumb.jpg.14cabb47fea18389f44c0a118e50c23d.jpg

 

 

 

Share this post


Link to post
Share on other sites

Letztens hatten wir das gleiche Thema hier, da lag es glaube ich daran daß das Gateway nicht erreichbar war aus der abgeschotteten Umgebung. GGF. mal eine Vm mit der IP des GW mit hochziehen oder einen kleinen Linux-Proxy nehmen.

Share this post


Link to post
Share on other sites

Moin,

 

je nach Umgebung kann es eben erforderlich sein, die Konfiguration eines DCs nach dem Recovery anzupassen. Das ist völlig normal. Ein Forest Restore ist ganz gewiss keine Plug-&-Play-Angelegenheit. Nicht umsonst empfiehlt man, die nötigen Schritte regelmäßig zu erproben und zu dokumentieren. Welche das sind, kann wiederum von der Situation abhängen - welche Teile der Umgebung sind wiederhergestellt worden, was funktioniert noch? Da sollte man sich genügend Zeit nehmen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

HI,

 

Es kann doch aber nicht sein das jetzt gar nix mehr Läuft, da weis man ja gar nicht wo man anfangen soll?!

 

Im Internet habe ich das gefunden, ist da was drann?

 

 

 

Zitat

 

Es _gab_ eine Änderung im Code, ich weiß nur nicht, ob es zwischen 2003
R2 und 2008 oder 2003 und 2003 R2 war - jedenfalls wurden die
Bedingungen, die zum Weiterführen des Starts führten, gelockert. Ein
Requirement war glaub' ich, dass er den Config-NC von einem anderen DC
replizieren können muss, bevor es weitergeht - falls nicht, wartet er
einen Timeout ab. Wenn noch etwas Zeit ist, schau' ich nochmal rein.


 

...
Zitat

Du kannst diese Prüfung abschalten, wenn du nur zwei DCs hast und weißt,
was du tust(tm). Es gibt einen Registrierungsschlüssel, der die Prüfung
unterdrückt und den FSMO-Rolleninhaber zwingt, seine Rollen bei jedem
Boot als "noch aktuell" anzusehen. Wenn du nach Best Practice verfährst
und bei Rolenverschiebungen (seize, als "erzwingen"), den vorherigen DC
nie mehr online nimmst und ihn plättest, passiert da nichts.

 

Share this post


Link to post
Share on other sites

Moin,

 

in aller Regel bekommt man das so konfiguriert, dass das AD nutzbar und von da aus ein weiterer Restore möglich ist. Was da genau zu tun ist, ist anhand der vorliegenden Informationen schwer zu beurteilen und möglicherweise für ein Forum zu aufwändig. Bezüglich des DNS etwa kann es durchaus sein, dass eine Art Deadlock vorliegt: Die DNS-Daten stehen im AD, aber das AD kann nicht angesprochen werden, weil DNS keine Antwort gibt. Außerdem kann es natürlich sein, dass die Sicherung einen "Hau" hat.

 

Nicht zuletzt aus solche Gründen empfehle ich immer, vom AD mindestens zwei Sicherungen zu machen, davon eine per Systemstate. Damit hat man im Zweifel eine Sicherung, die auch von Microsoft unterstützt wird. Da es sich  um einen Test  handelt, würde ich  jetzt:

  1. eine zusätzliche Sicherung per Systemstate einrichten
  2. das AD im "Normalbetrieb" auf korrekte Funktion und Konfig überprüfen
  3. die Veeam-Sicherung noch mal genau prüfen
  4. ein Recovery-Szenario entwerfen
  5. das Recovery mit den neuen, möglicherweise korrigierten Konfigurationen neu testen, mit beiden Methoden (Veeam und Systemstate)

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hi,

 

der Server ist ne VM und ich restore den auf nem anderen ESXI Host.

 

Was ich aber jetzt herausgefunden habe ist, in Veeam kann man Application Aweare Backup einstellen, so das dort ein VSS Provider info an den DC wenn er gesnaptshot wird.

Schalte ich das ab und mache ein backup dann läuft der Server und das AD (Backup ist dann aber wohl inkonsistent).

 

Das ganze muss irgentwas mit dem Thema USN Rollback oder so zu tun haben.

 

Wie ist das, gibt es ein Flag was man auslesen kann wo man erkennt das der DC ein USN Rollback hat und deswegen alles einstellt?

 

Grüße

Share this post


Link to post
Share on other sites

Ist denn die ESXI Version die gleiche wie von dem Quell ESXI ?

Hatte auch schon mal so ein Problem. Bei mir war das Problem, dass die Version des ESXI nicht die gleiche war, auf dem ich restored habe..

 

Restore doch mal auf dem Originalen ESXI. Richte hierzu ein Testnetzwerk ein, damit der dir nicht ins Livesystem spuckt..

 

 

 

Share this post


Link to post
Share on other sites

 

Hallo,

 

ich beschäftige mich momentan mit dem Thema und hätte mal eine Frage.

 

Wenn ich einen nicht authorativen restore mache, muss der wiederhergestellte DC den anderen doch sagen das er aus ner Sicherung

restored wurde? Ansonsten replizieren die doch nicht bzw. es gibt probleme mit doppelten Sids usw.

Das lese ich doch überall, USN Rollback usw.

Im authorativen fahre ich ja erstmal in den Wiederherstellungsmodus beim nicht authorativen, boote ich direkt ins Windows?

 

 

Ich lese das hier so, nimm dein gemachtes Image vom ausgefallenen DC, mounte es auf einen ESXI Host und starte die VM, alles läuft wieder.

 

 

 

Grüße

 

Share this post


Link to post
Share on other sites

Moin,

 

bitte wärme keine uralten Threads wieder auf! Eröffne einen neuen.

 

@Mods, bitte abtrennen.

 

Inhaltlich: Ein Non-authoritative Restore braucht man eigentlich nie, es ist  nur von theoretischem Wert. In der Praxis geht es schneller, einen DC  neu zu installieren, sofern noch weitere laufen.

 

[Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]
https://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/

 

Gruß, Nils

 

 

Share this post


Link to post
Share on other sites
vor 21 Minuten schrieb NilsK:

Moin,

 

bitte wärme keine uralten Threads wieder auf! Eröffne einen neuen.

 

@Mods, bitte abtrennen.

 

Inhaltlich: Ein Non-authoritative Restore braucht man eigentlich nie, es ist  nur von theoretischem Wert. In der Praxis geht es schneller, einen DC  neu zu installieren, sofern noch weitere laufen.

 

[Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]
https://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/

 

Gruß, Nils

 

 

 

 

Danke

 

Share this post


Link to post
Share on other sites

Hallo,

 

das reicht jetzt an Verwirrung, die Du stiftest. Erste und letzte Verwarnung.

"Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen."

 

Ich schlage vor, Du liest die Nutzungsbedingungen sorgfältig durch und beachtest Hinweise und Meldungen, die das MCSEboard.de ausgibt.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...