Jump to content

DomainController Restored, keine FSMORollen mehr


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Miteinander,

 

ich habe einmal folgende frage und hoffe das ihr mir da weiterhelfen könnt.

 

Ich habe einmal Testweise versucht in unserer VM Umgebung eine Rücksicherung des DomainControllers (wo alle FSMO Rollen hält) gemacht.

 

Gestern Abend alle gesichert mit veeam und dann den einen von beiden DomainControllern in ner abgeschotteten Umgebung Rückgesichert und gestartet.

 

Als Netzwerk habe ich einen Switch ohne Uplink Adapter erstellt und verbunden, jedoch kommt sobald ich mich am DC anmelde beim Start von das das 

 

keine Namensinformationen gefunden wurden und die angegebene Domäne ist nicht vorhanden.

 

Im Eventlog steht dieser Server besitzt die FSMO rollen die jedoch nicht als gültig eingestuft wurden ....

 

DCDIAG mault auch wurde kein Zeitserver gefunden, kein Global Cataloge usw.

 

Ich verstehe gar nicht warum sich der Server nicht mehr für nen DC hält nur weil er seinen Kollegen DC2 nicht findet stellt er alles ein?

 

DNS habe ich geprüft Auflösung geht alles, der Server hat sich selber als DNS eingetragen in der Netzwerkkarte.

 

Hoffe hier weis einer rat, würde gerne verstehen wollen warum das so ist

 

Im Anhang mal nen FotoUnbenannt.thumb.jpg.14cabb47fea18389f44c0a118e50c23d.jpg

 

 

 

Link zu diesem Kommentar

Moin,

 

je nach Umgebung kann es eben erforderlich sein, die Konfiguration eines DCs nach dem Recovery anzupassen. Das ist völlig normal. Ein Forest Restore ist ganz gewiss keine Plug-&-Play-Angelegenheit. Nicht umsonst empfiehlt man, die nötigen Schritte regelmäßig zu erproben und zu dokumentieren. Welche das sind, kann wiederum von der Situation abhängen - welche Teile der Umgebung sind wiederhergestellt worden, was funktioniert noch? Da sollte man sich genügend Zeit nehmen.

 

Gruß, Nils

 

Link zu diesem Kommentar

HI,

 

Es kann doch aber nicht sein das jetzt gar nix mehr Läuft, da weis man ja gar nicht wo man anfangen soll?!

 

Im Internet habe ich das gefunden, ist da was drann?

 

 

 

Zitat

 

Es _gab_ eine Änderung im Code, ich weiß nur nicht, ob es zwischen 2003
R2 und 2008 oder 2003 und 2003 R2 war - jedenfalls wurden die
Bedingungen, die zum Weiterführen des Starts führten, gelockert. Ein
Requirement war glaub' ich, dass er den Config-NC von einem anderen DC
replizieren können muss, bevor es weitergeht - falls nicht, wartet er
einen Timeout ab. Wenn noch etwas Zeit ist, schau' ich nochmal rein.


 

...
Zitat

Du kannst diese Prüfung abschalten, wenn du nur zwei DCs hast und weißt,
was du tust(tm). Es gibt einen Registrierungsschlüssel, der die Prüfung
unterdrückt und den FSMO-Rolleninhaber zwingt, seine Rollen bei jedem
Boot als "noch aktuell" anzusehen. Wenn du nach Best Practice verfährst
und bei Rolenverschiebungen (seize, als "erzwingen"), den vorherigen DC
nie mehr online nimmst und ihn plättest, passiert da nichts.

 

Link zu diesem Kommentar

Moin,

 

in aller Regel bekommt man das so konfiguriert, dass das AD nutzbar und von da aus ein weiterer Restore möglich ist. Was da genau zu tun ist, ist anhand der vorliegenden Informationen schwer zu beurteilen und möglicherweise für ein Forum zu aufwändig. Bezüglich des DNS etwa kann es durchaus sein, dass eine Art Deadlock vorliegt: Die DNS-Daten stehen im AD, aber das AD kann nicht angesprochen werden, weil DNS keine Antwort gibt. Außerdem kann es natürlich sein, dass die Sicherung einen "Hau" hat.

 

Nicht zuletzt aus solche Gründen empfehle ich immer, vom AD mindestens zwei Sicherungen zu machen, davon eine per Systemstate. Damit hat man im Zweifel eine Sicherung, die auch von Microsoft unterstützt wird. Da es sich  um einen Test  handelt, würde ich  jetzt:

  1. eine zusätzliche Sicherung per Systemstate einrichten
  2. das AD im "Normalbetrieb" auf korrekte Funktion und Konfig überprüfen
  3. die Veeam-Sicherung noch mal genau prüfen
  4. ein Recovery-Szenario entwerfen
  5. das Recovery mit den neuen, möglicherweise korrigierten Konfigurationen neu testen, mit beiden Methoden (Veeam und Systemstate)

Gruß, Nils

 

Link zu diesem Kommentar

Hi,

 

der Server ist ne VM und ich restore den auf nem anderen ESXI Host.

 

Was ich aber jetzt herausgefunden habe ist, in Veeam kann man Application Aweare Backup einstellen, so das dort ein VSS Provider info an den DC wenn er gesnaptshot wird.

Schalte ich das ab und mache ein backup dann läuft der Server und das AD (Backup ist dann aber wohl inkonsistent).

 

Das ganze muss irgentwas mit dem Thema USN Rollback oder so zu tun haben.

 

Wie ist das, gibt es ein Flag was man auslesen kann wo man erkennt das der DC ein USN Rollback hat und deswegen alles einstellt?

 

Grüße

Link zu diesem Kommentar

 

Hallo,

 

ich beschäftige mich momentan mit dem Thema und hätte mal eine Frage.

 

Wenn ich einen nicht authorativen restore mache, muss der wiederhergestellte DC den anderen doch sagen das er aus ner Sicherung

restored wurde? Ansonsten replizieren die doch nicht bzw. es gibt probleme mit doppelten Sids usw.

Das lese ich doch überall, USN Rollback usw.

Im authorativen fahre ich ja erstmal in den Wiederherstellungsmodus beim nicht authorativen, boote ich direkt ins Windows?

 

 

Ich lese das hier so, nimm dein gemachtes Image vom ausgefallenen DC, mounte es auf einen ESXI Host und starte die VM, alles läuft wieder.

 

 

 

Grüße

 

Link zu diesem Kommentar

Moin,

 

bitte wärme keine uralten Threads wieder auf! Eröffne einen neuen.

 

@Mods, bitte abtrennen.

 

Inhaltlich: Ein Non-authoritative Restore braucht man eigentlich nie, es ist  nur von theoretischem Wert. In der Praxis geht es schneller, einen DC  neu zu installieren, sofern noch weitere laufen.

 

[Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]
https://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/

 

Gruß, Nils

 

 

Link zu diesem Kommentar
vor 21 Minuten schrieb NilsK:

Moin,

 

bitte wärme keine uralten Threads wieder auf! Eröffne einen neuen.

 

@Mods, bitte abtrennen.

 

Inhaltlich: Ein Non-authoritative Restore braucht man eigentlich nie, es ist  nur von theoretischem Wert. In der Praxis geht es schneller, einen DC  neu zu installieren, sofern noch weitere laufen.

 

[Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]
https://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/

 

Gruß, Nils

 

 

 

 

Danke

 

Link zu diesem Kommentar

Hallo,

 

das reicht jetzt an Verwirrung, die Du stiftest. Erste und letzte Verwarnung.

"Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen."

 

Ich schlage vor, Du liest die Nutzungsbedingungen sorgfältig durch und beachtest Hinweise und Meldungen, die das MCSEboard.de ausgibt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...