Jump to content
Sign in to follow this  
cyberjunk

Win2000 Domäne nach DC restore synchronisieren!?

Recommended Posts

ich hab das Problem, dass ich auf einem von zwei DC ein ein Backup in Form eines System-Partitions Images aufspieln musst, funktioniert alles wunderbar, nur scheinen er sich nun nicht so wirklich mit dem verbliebenden zu "synchronisieren", d.h. gegenseitiger Zugriff funktioniert nicht etc... das AD ist noch unterschiedlich, sind ein paar Änderungen im AD passiert seit dem Backup-Image termin, wie funktioniert das nun mit der synchronisieren? Der ausgefallene war/ist der PDC, die Änderungen sollten allerdings von dem von dem verbleibenden übernommen werden..

 

kann mir jemand ein paar tips geben?

thx ...

Share this post


Link to post
Share on other sites

hab bisher viel gefunden über authoritative restore im verzeichnisdienst-wiederherstellungsmodus

das scheint mir aber nicht das passende zu sein,

 

woran könnte das liegen, dass die server sich nicht mehr gegenseitig authentizifieren können? Das Backup ist vom 11.11, also etwa 2,5 Monate alt, ist ja nur ein System-Image (C:\..)und an der Installation hat sich soweit nichts geändert.

 

Also beide DCs starten einwandfrei, aber können sich nicht "verbinden", sprich "Zugriff verweigert" beim Versuch von einem den andren zu konfigurieren (Domänen Benutzer und Computerverwaltung) und beim Versuch eines Netzwerkzugriffs "\\servername" (Kontenname ungültig)

 

DNS, WINS replikation usw scheitern ebenfalls....

 

Ist wie gesagt ein System-Image, an dem gesagten Zeitpunkt 11.11 waren sie auch schon zusammen in der jetzigen Konfiguration in der Domäne...

Share this post


Link to post
Share on other sites

Da fällt mir eigentlich nur das Stichwort Tombstone Lifetime ein, standardmässig 60 Tage, das Backup ist also zu alt ...

http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/opsguide/part1/adogd03.mspx

Ein System-Image kümmert ein abgelaufenes Tombstone Lifetime nicht, ein Systemstate-Backup schon ...

Share this post


Link to post
Share on other sites

Hallo,

 

dass kann auch nicht funktionieren denn die Sicherung ist älter als 60 Tage und das ist das maximale alter den die NTDS.DIT haben darf (Stichwort: TombstoneLifetime).

Diese 60 Tage sind auch noch bei Windows Server 2003 und AUCH bei installieren des SP1.

 

Versuche mal das hier, diese Artikel basieren zwar auf 2003, funktionieren aber auch bei 2000:

 

http://technet2.microsoft.com/WindowsServer/en/Library/34c15446-b47f-4d51-8e4a-c14527060f901033.mspx

http://support.microsoft.com/kb/870695/de

http://support.microsoft.com/kb/887430/de

 

Falls diese Artikel Dir nicht weiter helfen, bleibt Dir nichts anderes übrig, wie Deinen DC zu demoten und wieder zu promoten.

Share this post


Link to post
Share on other sites

Hallöchen

 

erstmal vielen herzlichen Dank für die Antworten, diese 60 Tage Geschichte hab ich nun auch verstanden, schön dass man sowas immer vorher weiß ;)

 

bevor ich nun einige der Vorschläge hier durchführ, es besteht noch die Möglichkeiten über ein RecoveryProgramm Daten aus der alten Systempartition herzustellen, bringt es jetzt was die Verzeichnisse C:\winnt\sysvol und c:\winnt\ntds wiederherzustellen? (NTDS.DIT...)

 

Befürchte allerdings dass ich da gar nicht drauf zugreifen kann ohne Anmeldung am System etc, ist ja keine native NTFS filestructure in diesen Ordnern, oder könnt ich damit erfolg haben??

 

danke für weitere hilfen ;)

Share this post


Link to post
Share on other sites

brauche leider immernoch ein wenig Hilfe....

also der erste Tip, den RegistryKey "Allow Replication with Divergent and Corrupt Partner" zu setzen, brachte leider keine Änderung.

 

Bin mir auch nicht ganz klar, wie ich den DC demoten soll, ein Versuch ergab "Zugriff verweigert", als er sich bei dem zweiten DC abmelden wollte, wie gesagt, der Zugriff funktioniert ja rein gar nicht ...

 

sprich, bin ich nicht eigentlich noch ne ebene tiefer als Replikationsfehler ... ?

 

Ereignisanzeige zeigt übrigens auf beiden DCs:

Dateireplikationsdienst - NtFrs - 13508

er Dateireplikationsdienst konnte die Replikation von SERVER nach ZDSSRV fr c:\winnt\sysvol\domain mit DNS-Namen server.zds.local nicht aktivieren. Es wird ein neuer Versuch gestartet.

Mgliche Ursachen fr diese Warnung sind:

 

[1] Der DNS-Name server.zds.local von diesem Computer konnte nicht ausgewertet werden.

[2] Der Dateireplikationsdienst wird auf server.zds.local nicht ausgefhrt.

[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domnencontrollern repliziert.

 

Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die besttigt, dass die Verbindung hergestellt wurde.

 

 

 

 

 

Ereignisanzeige auf dem nicht-gecrashten DC zusätzlich:

Directory Service - NTDS Replication - 1586

Der Prfpunktvorgang mit dem primren Domnencontroller wurde nicht einwandfrei durchgefhrt. Der Prfpunktvorgang wird in vier Stunden erneut durchgefhrt. Eine volle Synchronisation der Sicherheitsdatenbank mit Windows NT 3.5x/4.0-Domnencontrollern kann stattfinden, wenn dieser Computer zum primren Domnencontroller heraufgestuft wird, bevor der nchste Prfpunktvorgang durchgefhrt wird. Fehler: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.

Share this post


Link to post
Share on other sites

Also folgende Vorgänge würd ich nun durchführn, wäre nett wenn ihr mir dazu eure Meinung dazu sagen würdet.

 

b) Auf dem restored DC würde ich nun den verbliebenen DC aus der domäne löschen (würde vorgehen wie hier beschrieben...http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/opsguide/part2/adogdapb.mspx#E0FE0AA), um den restored DC anschließend als "einzigen" verbliebenen DC demoten zu können. (Solang es noch den 2ten DC in der Domäne gibt kann ich ja nich demoten.. haben ja keinen Zugriff aufeinander, die Domänen existieren ja praktisch parallel) Lieg ich da richtig? Damit müsste dann ja die gesamte unbrauchbare, wiederhergestellte AD Struktur und Domäne auf dem restored DC gelöscht werden.

 

b) Auf dem verbliebenen "korrekten" DC würd ich diesen zum Betriebsmaster der Domäne machen und den restored DC aus der Domäne entfernen, funktioniert das? (aktueller PDC is ja nicht mehr erreichbar ...) oder brauch ich ihn gar nicht zum betriebsmaster machen?

 

Anschließend könnt ich den domänenlosen restored "DC" wieder als "Backup"-DC in die verbliebene Domäne einfügen....

 

würdet ihr mir dazu raten? oder hab ich was übersehen ...

Share this post


Link to post
Share on other sites

hat funktioniert, allerdings hat schritt 1 genügt, per ntdsutil auf dem restored dc den andren entfernt, dann selber demotet und anschließend sofort wieder rein und voila .... ;)

kein wechsel von betriebsmaster etc nötig...

 

danke für die tips...

nun funktioniet halt exchange nimmer :(

das AD hat wohl noch die struktur (emails usw sind eingetragen) aber die services laufen nimmer und lässt sich auch nicht deinstallieren "keiner verbindung zum schemamaster...usw"..

Share this post


Link to post
Share on other sites

um Exchange zum laufen zu bringen musst ich doch noch den gecrashten dc nochmal rausnehmen, dem anderen mit ntdsutil alle "masterrechte" geben (RID, PDC, etc)

Anleitung nach:http://support.microsoft.com/kb/255504 (Übertragen/übernehmen von FSMO)

 

danach lief auch der exchange wieder an und dcdiag lief fehlerfrei auf beiden dcs durch

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...