Jump to content
Andyhb75

Verlust der Vertrauensstellung eines DC´s

Recommended Posts

Also, ich habe ein sehr pikantes Problem.

Ich habe einen DC01 und eine DC02. Der DC02 ist der neue Server und ich habe eine Migration durchgeführt. Diese ist soweit auch super verlaufen. Nun habe ich wohl in geistiger Umnachtung das Computerkonto im AD des DC01 zerstört, da ich einen anderen Server an der Domäne angemeldet habe und ihm aus versehen den gleichen Namen gegeben habe (Tippfehler).
Nun hat der hinzugefügte Server das Computerkonto übernommen.

Am DC01 kann ich mich nun nicht mehr anmelden, da ich die Fehlermeldung "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung"
Ich habe den anderen Server aus der Domäne genommen und den Namen geändert.
Dann bin ich vorgegangen wie bei einem Client. Netzwerkstecker aus DC01 raus und versucht anzumelden, leider gleiche Fehlermeldung. Da er ja noch DC ist, habe ich auch kein lokales Konto, mit dem ich mich anmelden kann und ich muss ihn ja als Abschluss der Migration noch herunterstufen. was ich leider auch nicht mehr kann. Ich bin hier ziemlich am verzweifeln, weil ich nicht mehr weiter weiß und morgen, also am 6.12.2019 ist die Umstellung auf die neue EDV.

Hat vielleicht jemand eine heiße Idee, ich sehe den Wald vor lauter Bäumen nicht mehr.

Share this post


Link to post
Share on other sites

Wenn DC01 eh ausgeschaltet werden soll, wo ist das Problem? Runterfahren, Metadata Cleanup und fertig. Oder fehlt hier noch eine Info?

 

Anmelden sollte problemlos gehen, wenn Du den DC01 in ein isoliertes Netz steckst (kleiner Switch ohne Uplink). Dann kannst Du ggf. "umstöpseln" und per netdom resetpwd den Account im AD wieder aktivieren.

Share this post


Link to post
Share on other sites

Danke erst mal für die schnelle Antwort. Du meinst das Metadata Cleanup auf dem neuen Server, damit er nicht denkt, das es da noch den DC01 gibt und nach 180 Tagen sich "abschaltet"?
Wenn ja, wie macht man das.

Der alte DC ist auch Fileserver, ich muss an die Daten herankommen. Er ist befindet sich auf einem ESXi Server.
Gott sei dank befindet sich dort kein SQL Server drauf.

Ich kann ihn leider auch nicht in einem isoliertem Netzwerk anmelden, da der DC01 auch gleich sein defektes bzw. überschriebenes Computerkonto vom DC02 repiliziert hat. Er schaut in seine eigene AD Struktur und findet dort natürlich auch sein Computerkonto nicht.

Edited by Andyhb75

Share this post


Link to post
Share on other sites

Wenn das nur ein virtueller Filer ist, kannst Du die virtuelle Platte doch auch irgenwo anders einfach reinhängen... Und Metadata Cleanup ist im Netz hinreichend dokumentiert. "Abschalten" tut sich nach 180 Tagen gar nix.

 

Daß der schon repliziert hat - ok, das ist dann Pech :-)

Share this post


Link to post
Share on other sites

Ich bin gott sei dank auch so an die Daten rangekommen, ich habe in meiner Verzweiflung einfach nur versucht anstatt über den Namen, über die IP auf den Server zu gehen. Manchmal hat man ja ein Brett vorm Kopf und siehe da, ich konnte auf die Freigaben zugreifen. Das Problem schon mal gelöst.

Du hast recht, er schaltet sich nicht ab aber ich hatte schon mal genau das Problem. Domäne migriert und vergessen den alten Server herabzustufen. Ich hatte ihn dann ausgeschaltet und nach gut 180 Tagen hat der neue Server den DC nicht mehr gefunden. Gott sei dank gab es den alten Server noch. Hochgefahren, herabgestuft und gut war aber das war auch Herzrasen pur.

Share this post


Link to post
Share on other sites

"DC nicht gefunden" ist doch kein Problem, siehe Metadata Cleanup. Und per IP heißt "NTLM Authentifizierung"; ja das funktioniert gerne mal, wenn Kerberos nicht mehr geht...

Share this post


Link to post
Share on other sites

Ein anderer Weg wäre gewesen, das originale Computerkonto aus dem Backup zu restoren. 

Voraussetzung dafür ist, dass die Backup Software einen AD Agent mitbringt

Edited by Squire

Share this post


Link to post
Share on other sites

Abschluss der Migration? Heisst das, du willst nur noch DC02 laufen haben oder ist ein zweiter DC geplant? Wenn nicht -> Einplanen!

Und in Zukunft keine weiteren Dienste auf den DC's laufen lassen.

Share this post


Link to post
Share on other sites

Hallo Dukel, ja es soll der dc01 abgelöst werden, deswegen ist es auch nicht so wild, wenn er tot ist. Meine größte Sorge war, dass ich nicht mehr an die Daten ran komme, aber wenn man kurz raus geht, den Kopf freiblässt und dann das Brett vorm Kopf verschwindet, dann besinnt man sich auf die einfachsten Dinge und probiert das mal aus. Ich werde heute Abend mal Rückmeldung geben, wie es gelaufen ist

Share this post


Link to post
Share on other sites

Ja ich war gestern um 23h zuhause. Um 10h war ich beim Kunden, hab alles soweit in Betrieb genommen und bemerkt, das dieser kleine Fehler selbst die schön durchgelaufene Migration durcheinander gebracht hat. Ich hab dann kurzerhand den Server wieder runter gestuft und den AD komplett neu aufgesetzt bzw. die Domäne. Gut nun musste ich alle Clients wieder neu anbinden aber ich musste sowieso jeden Client ein mal anfassen. Das erschien mir weniger zeitaufwendig und weniger schweißtreibend, nachher war dann nur noch Fleißarbeit angesagt. Das nervigste war die Druckeranbindung (jeder Client einzelnd die Druckereinstellung machen), wenn ich eines hasse, dann sind es Drucker (und die mich :-))...........und es sind noch drei Nadeldrucker dabei gewesen, Arztpraxis halt. 
 

Im großen und ganzen hat nachher alles geklappt, ich hab enoch ein bis zwei Nacharbeiten aber das bleibt ja nicht aus.

 

Aber da sieht man mal, was so ein kleiner Fehler verursachen kann.

 

Um auf die Antwort mit der Rücksicherung zurück zu kommen, ich hatte eine Sicherung aber ich hatte aufgrund dessen, dass ich mich nicht mehr am Server anmelden konnte, keine Chance, das Computerkonto zurück zu sichern. Ich hätte eine komplett Wiederherstellung machen müssen, dies erschien mir genauso zeitaufwendig, wie der Schritt, alles neu zu machen.

Und gott sei dank kam ich ja noch an die Daten auf dem Fileserver ran.
 

Danke noch mal für die Tipps

Gab es nicht hier irgendwo mal einen Button, mit dem man das Thema als gelöst markieren kann?

Edited by Andyhb75

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...