Jump to content

AD neu und replizieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Kenn Ihr das ? CD rein Image gezogen und gut ist´s. Keine Sorge nicht wirklich !

Problem : Schlimmster Fall -> Image zurück auf MASTER und neu replizieren

Standort A Server2003 (Master+Rolleninhaber) und zweiter Domaincontr.

Standort B ebenfalls ein Server 2003

 

Wer kann mir helfen Windows zu überlisten ? Dieses tolle KCC macht was es will und

der Anmeldedienst bleibt auch irgendwann stehen. Da muß was nicht stimmen, leider

fehlt mir da noch was an Verständnis und ich brauch da mal so 1 2 3 etwas RAT ähhh

TAT.

 

Was macht so nen server eigentlich genau wenn man nach einem Totalausfall ein image

irgendwo herholt und der server dann sogar startet. Leider haben die restlichen Domaincontroller ja wohl weitergearbeitet in der zwischenzeit und es wurde der eine oder andere User angelegt... Wie ist das jetzt mit rauf und runterstufen übernahme von in der zwischenzeit angefallenen veränderungen im AD ? IST es möglich im TotalAusfallFall

das Masterimage z.B. Acronis von CD gestartet zurückzuspielen und Zwangsweise den

Server über das gesamte Netz incl. Standort B zu replizieren (Sysvol...).Wer hat mal

kann da mal eben schnell helfen und mich etwas schlauer machen ???

Link zu diesem Kommentar

Na toll - war ja zu erwarten - Habe unter anderem auch ne Sicherung aus Windows

heraus gemacht - sicherheitshalber - aber auch mit acronis. kann es sein das die imagesoftware das enigstens wie vorgeschrieben erledigt hat ? Wenn das so sein sollte,

wäre die nächste Frage ob dies nach dem vorherigem Start ohne Verz.wiederherst.

noch funktioniert und was macht man denn nun um das mit dem alten image versehene

Masterimage zwangsweise ersetztend über das netz zu senden ? kann ja ruhig sein das nachfolgende veränderungen der anderen DC´s da unberücksichtigt bleiben.

Link zu diesem Kommentar

Nein, die Imagesoftware hat den Systemstatus nicht gesichert. Und wenn du den Rechner inzwischen wieder hochgefahren hast ( so war es ja wohl), dann hast du auch das USN-Rollback-Problem. D.h. alles, was nach dem Image auf dem geimagten DC geändert wurde ist für diesen Rechner verloren und bekommt er nie mehr wieder. Mit dem in meinem Artikel referierrten Hotfix bzw. SP1 solltest du auch die Fehlermeldungen im Log haben, die ich im Artikel aufgelistet habe.

Wenn dem so ist, hilft nur: Plattmachen und neu ausfetzen. No way 'round

 

grizzly999

Link zu diesem Kommentar

Veränderungen die auf diesem DC gemacht wurden sind sicher im Eimer, ABER du könntest das hier befolgen:

 

Eine letzte Rettung ….

 

Falls man vor einem ausgefallenen DDC sitzt und anstelle einer richtigen Sicherung jetzt nur ein Image in peto hat, dann gibt es noch eine letzte Möglichkeit, dem Domänencontroller glaubhaft zu machen, man habe den Systemstatus aus einer früheren Sicherung zurückgespielt.

 

Achtung: Für das nachfolgend beschriebene Vorgehen darf das Image nur im Verzeichnisdienstwiederherstellungs-Modus (F8) gestartet werden. Auf keinen Fall normal starten. Wenn der DC normal startet und bei der Replikation das USN-Rollback-Problem hervorruft, war's das !!! Dann hilft auch diese Prozedur nichts mehr.

 

1. Image des Domämencontrollers im Verzeichnisdienstwiederherstellungs-Modus starten

2. Regedit.exe aufrufen und kontrollieren, ob der Wert "DSA Previous Restore Count" unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters vorhanden ist.

Wenn ja, dann den Eintrag im Wert nur notieren.

Wenn nein, nichts tun. Den Wert NICHT erstellen.

3. Erstellen des Wertes "Database restored from backup" unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

4. Datentyp: REG_DWORD; Wert=1

5. Den Domänencontroller normal starten.

Prüfen, ob sich der Wert, der unter Punkt 2) notiert wurde, sich um 1 erhöht hat

 

Der gesetzte Wert veranlasst den Domänencontroller, das Active Directory so zu behandeln, als ob es von einer ordnungsgemäßen Sicherung wiederhergestellt wurde und eine neue invocationID zu generieren.

 

Folgender Eintrag im Verzeichnisdienst-Log sollte dann vorhanden sein:

 

 

Solltest du den DC doch wie im fett markierten Teil normal hochgefahren haben, dann bügel das Image neu drüber und fahr die Kiste anschliessend im Wiederherstellungs Modus hoch und setz den Key, würde aber sicherheitshalber noch ein Sysstate Backup des/der anderen DC(s) machen vorher.

Link zu diesem Kommentar

Na ein bischen schlauer bin ich nun, es bleiben aber noch einige Unklarheiten.

 

Die Image Software True Image server V 8.0 der betroffene Server S2003 SP1.

Ja ich habe wohl mit der falschen CD eine rücksicherung gemacht und vermute

nun den grund zu kennen, warum die image software unter laufendem server unbedingt ein Notfallmedium erstellt hat (bootfähige CD). Es ist mir aber noch etwas schleierhaft, warum das gemacht wird, wenn der spezielle zur Wiederherstellung eines AD notwendige Teil dabei fehlt ??? Wie macht man denn die Sicherung fehlerfrei wenn selbst eine dafür speziell ausgelegte software jämmerlich versagt ??? geht das nur mit Boardmiiteln ?

 

Wo bekomme ich die notwendigen Infos um alles auf dem sauberen Weg zu erledigen ?

Metadaten...

Link zu diesem Kommentar

Moin,

 

zusätzlich zu den Infos von Grizzly, Du kannst transaktionale Datenbanken wie es die AD-DB oder Exchange darstellt, nur online sichern, denn nur so bekommst Du mit, ob Fehler bei der Sicherung auftreten oder nicht.

Alles weitere siehe: Yusuf`s Directory - Blog - Images als Sicherung ?

 

Wie macht man denn die Sicherung fehlerfrei wenn selbst eine dafür speziell ausgelegte software jämmerlich versagt ??? geht das nur mit Boardmiiteln ?

 

Im dem Du Dir für Deine Umgebung das passende Backup-Konzept sowie Disaster Recovery Plan aufstellst.

Deinen geimageten DC installierst Du neu und löschst ihn händisch aus dem AD:

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

 

Windows Server 2003 Troubleshooting & Disaster Recovery

Windows 2000 Server Backup and Restore Solution

Link zu diesem Kommentar

 

Die Image Software True Image server V 8.0 der betroffene Server S2003 SP1.

Ja ich habe wohl mit der falschen CD eine rücksicherung gemacht und vermute

nun den grund zu kennen, warum die image software unter laufendem server unbedingt ein Notfallmedium erstellt hat (bootfähige CD).

 

 

Die Boot-CD hat damit nicht viel zu tun. Die online Imaging Produkte von Symantec und Acronis konnten das bisher nicht (einen AD DC korrekt sichern), aber seit True Image 9.1 sollte das funktionieren, zumindest laut Hersteller.:wink2:

Link zu diesem Kommentar

Ist mir zu hoch ! Jemand stellt eine Software her, die nur zur Datensicherung dient,

verspricht die einwandfreie Funktion mit 2003er Servern verkauft diese teuer und macht so elementare Fehler ???? Was A. dazu gesagt hat - schmunzel -Warum vertraust Du auf MS ??? Na ja - wird sich zeigen ob der SW Peter so einfach an andere geht - hähä !

Mein Vertrauen in A. ist dahin !

 

Gibt es Software die das aus Erfahrung richtig macht und sogar noch bezahlbar ist. Hat da jemand mal was ausgetestet - so in die Zukunft gedacht ???

 

Den Rest muß ich dann erstmal durcharbeiten - Vielleicht funktioniert mein Netz ja irgendwann wieder ! Aber erstmal Danke an alle. Aus Erfahrung wird man klug - bis zum nächsten Desaster jedenfalls.

Link zu diesem Kommentar

Nun, es liegt in der Natur der Sache, dass dich der Hersteller der Software nicht drauf hinweisst "....W2K3 Server sichern schon, ABER Domänen Controller nicht.....", jdenfalls steht das nirgends dick und fett. Erst durch Erfahrung, ausgiebiges Recherchieren oder durch Ausbildung kann man diese Wissen erlangen, leider....

 

 

Gibt es Software die das aus Erfahrung richtig macht und sogar noch bezahlbar ist. Hat da jemand mal was ausgetestet - so in die Zukunft gedacht ???

 

Ja, das integrierte NTBackup von MS macht das ordentlich, nur hast du leider nicht den Vorteil eine 'schnellen', bare-metal Wiederherstellung des DCs. Du musst diesen erst neu installieren und das Backup einspielen. Allerdings seh ich das nicht als problematisch an, denn DCs sind an sich schon fehlertolerant designt - sobald du zwei oder mehrere hast, kann dem AD nicht viel passieren (ausser Fehlmanipulationen natürlich).

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...