cyberjunk 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 ich hab das Problem, dass ich auf einem von zwei DC ein ein Backup in Form eines System-Partitions Images aufspieln musst, funktioniert alles wunderbar, nur scheinen er sich nun nicht so wirklich mit dem verbliebenden zu "synchronisieren", d.h. gegenseitiger Zugriff funktioniert nicht etc... das AD ist noch unterschiedlich, sind ein paar Änderungen im AD passiert seit dem Backup-Image termin, wie funktioniert das nun mit der synchronisieren? Der ausgefallene war/ist der PDC, die Änderungen sollten allerdings von dem von dem verbleibenden übernommen werden.. kann mir jemand ein paar tips geben? thx ... Zitieren Link zu diesem Kommentar
cyberjunk 10 Geschrieben 30. Januar 2006 Autor Melden Teilen Geschrieben 30. Januar 2006 hab bisher viel gefunden über authoritative restore im verzeichnisdienst-wiederherstellungsmodus das scheint mir aber nicht das passende zu sein, woran könnte das liegen, dass die server sich nicht mehr gegenseitig authentizifieren können? Das Backup ist vom 11.11, also etwa 2,5 Monate alt, ist ja nur ein System-Image (C:\..)und an der Installation hat sich soweit nichts geändert. Also beide DCs starten einwandfrei, aber können sich nicht "verbinden", sprich "Zugriff verweigert" beim Versuch von einem den andren zu konfigurieren (Domänen Benutzer und Computerverwaltung) und beim Versuch eines Netzwerkzugriffs "\\servername" (Kontenname ungültig) DNS, WINS replikation usw scheitern ebenfalls.... Ist wie gesagt ein System-Image, an dem gesagten Zeitpunkt 11.11 waren sie auch schon zusammen in der jetzigen Konfiguration in der Domäne... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Da fällt mir eigentlich nur das Stichwort Tombstone Lifetime ein, standardmässig 60 Tage, das Backup ist also zu alt ... http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/opsguide/part1/adogd03.mspx Ein System-Image kümmert ein abgelaufenes Tombstone Lifetime nicht, ein Systemstate-Backup schon ... Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Hallo, dass kann auch nicht funktionieren denn die Sicherung ist älter als 60 Tage und das ist das maximale alter den die NTDS.DIT haben darf (Stichwort: TombstoneLifetime). Diese 60 Tage sind auch noch bei Windows Server 2003 und AUCH bei installieren des SP1. Versuche mal das hier, diese Artikel basieren zwar auf 2003, funktionieren aber auch bei 2000: http://technet2.microsoft.com/WindowsServer/en/Library/34c15446-b47f-4d51-8e4a-c14527060f901033.mspx http://support.microsoft.com/kb/870695/de http://support.microsoft.com/kb/887430/de Falls diese Artikel Dir nicht weiter helfen, bleibt Dir nichts anderes übrig, wie Deinen DC zu demoten und wieder zu promoten. Zitieren Link zu diesem Kommentar
cyberjunk 10 Geschrieben 31. Januar 2006 Autor Melden Teilen Geschrieben 31. Januar 2006 Hallöchen erstmal vielen herzlichen Dank für die Antworten, diese 60 Tage Geschichte hab ich nun auch verstanden, schön dass man sowas immer vorher weiß ;) bevor ich nun einige der Vorschläge hier durchführ, es besteht noch die Möglichkeiten über ein RecoveryProgramm Daten aus der alten Systempartition herzustellen, bringt es jetzt was die Verzeichnisse C:\winnt\sysvol und c:\winnt\ntds wiederherzustellen? (NTDS.DIT...) Befürchte allerdings dass ich da gar nicht drauf zugreifen kann ohne Anmeldung am System etc, ist ja keine native NTFS filestructure in diesen Ordnern, oder könnt ich damit erfolg haben?? danke für weitere hilfen ;) Zitieren Link zu diesem Kommentar
cyberjunk 10 Geschrieben 31. Januar 2006 Autor Melden Teilen Geschrieben 31. Januar 2006 brauche leider immernoch ein wenig Hilfe.... also der erste Tip, den RegistryKey "Allow Replication with Divergent and Corrupt Partner" zu setzen, brachte leider keine Änderung. Bin mir auch nicht ganz klar, wie ich den DC demoten soll, ein Versuch ergab "Zugriff verweigert", als er sich bei dem zweiten DC abmelden wollte, wie gesagt, der Zugriff funktioniert ja rein gar nicht ... sprich, bin ich nicht eigentlich noch ne ebene tiefer als Replikationsfehler ... ? Ereignisanzeige zeigt übrigens auf beiden DCs: Dateireplikationsdienst - NtFrs - 13508 er Dateireplikationsdienst konnte die Replikation von SERVER nach ZDSSRV fr c:\winnt\sysvol\domain mit DNS-Namen server.zds.local nicht aktivieren. Es wird ein neuer Versuch gestartet. Mgliche Ursachen fr diese Warnung sind: [1] Der DNS-Name server.zds.local von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf server.zds.local nicht ausgefhrt. [3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domnencontrollern repliziert. Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die besttigt, dass die Verbindung hergestellt wurde. Ereignisanzeige auf dem nicht-gecrashten DC zusätzlich: Directory Service - NTDS Replication - 1586 Der Prfpunktvorgang mit dem primren Domnencontroller wurde nicht einwandfrei durchgefhrt. Der Prfpunktvorgang wird in vier Stunden erneut durchgefhrt. Eine volle Synchronisation der Sicherheitsdatenbank mit Windows NT 3.5x/4.0-Domnencontrollern kann stattfinden, wenn dieser Computer zum primren Domnencontroller heraufgestuft wird, bevor der nchste Prfpunktvorgang durchgefhrt wird. Fehler: Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort. Zitieren Link zu diesem Kommentar
cyberjunk 10 Geschrieben 31. Januar 2006 Autor Melden Teilen Geschrieben 31. Januar 2006 Also folgende Vorgänge würd ich nun durchführn, wäre nett wenn ihr mir dazu eure Meinung dazu sagen würdet. b) Auf dem restored DC würde ich nun den verbliebenen DC aus der domäne löschen (würde vorgehen wie hier beschrieben...http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/opsguide/part2/adogdapb.mspx#E0FE0AA), um den restored DC anschließend als "einzigen" verbliebenen DC demoten zu können. (Solang es noch den 2ten DC in der Domäne gibt kann ich ja nich demoten.. haben ja keinen Zugriff aufeinander, die Domänen existieren ja praktisch parallel) Lieg ich da richtig? Damit müsste dann ja die gesamte unbrauchbare, wiederhergestellte AD Struktur und Domäne auf dem restored DC gelöscht werden. b) Auf dem verbliebenen "korrekten" DC würd ich diesen zum Betriebsmaster der Domäne machen und den restored DC aus der Domäne entfernen, funktioniert das? (aktueller PDC is ja nicht mehr erreichbar ...) oder brauch ich ihn gar nicht zum betriebsmaster machen? Anschließend könnt ich den domänenlosen restored "DC" wieder als "Backup"-DC in die verbliebene Domäne einfügen.... würdet ihr mir dazu raten? oder hab ich was übersehen ... Zitieren Link zu diesem Kommentar
cyberjunk 10 Geschrieben 31. Januar 2006 Autor Melden Teilen Geschrieben 31. Januar 2006 hat funktioniert, allerdings hat schritt 1 genügt, per ntdsutil auf dem restored dc den andren entfernt, dann selber demotet und anschließend sofort wieder rein und voila .... ;) kein wechsel von betriebsmaster etc nötig... danke für die tips... nun funktioniet halt exchange nimmer :( das AD hat wohl noch die struktur (emails usw sind eingetragen) aber die services laufen nimmer und lässt sich auch nicht deinstallieren "keiner verbindung zum schemamaster...usw".. Zitieren Link zu diesem Kommentar
cyberjunk 10 Geschrieben 31. Januar 2006 Autor Melden Teilen Geschrieben 31. Januar 2006 um Exchange zum laufen zu bringen musst ich doch noch den gecrashten dc nochmal rausnehmen, dem anderen mit ntdsutil alle "masterrechte" geben (RID, PDC, etc) Anleitung nach:http://support.microsoft.com/kb/255504 (Übertragen/übernehmen von FSMO) danach lief auch der exchange wieder an und dcdiag lief fehlerfrei auf beiden dcs durch Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.