AD neu und replizieren

[Mr.X 10]

Kenn Ihr das ? CD rein Image gezogen und gut ist´s. Keine Sorge nicht wirklich !

Problem : Schlimmster Fall -> Image zurück auf MASTER und neu replizieren

Standort A Server2003 (Master+Rolleninhaber) und zweiter Domaincontr.

Standort B ebenfalls ein Server 2003

 

Wer kann mir helfen Windows zu überlisten ? Dieses tolle KCC macht was es will und

der Anmeldedienst bleibt auch irgendwann stehen. Da muß was nicht stimmen, leider

fehlt mir da noch was an Verständnis und ich brauch da mal so 1 2 3 etwas RAT ähhh

TAT.

 

Was macht so nen server eigentlich genau wenn man nach einem Totalausfall ein image

irgendwo herholt und der server dann sogar startet. Leider haben die restlichen Domaincontroller ja wohl weitergearbeitet in der zwischenzeit und es wurde der eine oder andere User angelegt... Wie ist das jetzt mit rauf und runterstufen übernahme von in der zwischenzeit angefallenen veränderungen im AD ? IST es möglich im TotalAusfallFall

das Masterimage z.B. Acronis von CD gestartet zurückzuspielen und Zwangsweise den

Server über das gesamte Netz incl. Standort B zu replizieren (Sysvol...).Wer hat mal

kann da mal eben schnell helfen und mich etwas schlauer machen ???

[woiza 10]

Wie alt ist denn das Image?

[Mr.X 10]

so ca. 14 tage alt

[grizzly999 11]

Normalerweise ist die Replikation nach dem zurückspeilen des Image ok, ABER: Du hast dann ein USN-Rollback-Problem. Lies mal den Artikel hier: Willkommen bei QITCON: Image-Technik und das USN-Rollback-Problem

 

Daher: Kein Image von einem DC ohne einen gesicherten Systemstatus zu haben.

 

grizzly999

[Mr.X 10]

Na toll - war ja zu erwarten - Habe unter anderem auch ne Sicherung aus Windows

heraus gemacht - sicherheitshalber - aber auch mit acronis. kann es sein das die imagesoftware das enigstens wie vorgeschrieben erledigt hat ? Wenn das so sein sollte,

wäre die nächste Frage ob dies nach dem vorherigem Start ohne Verz.wiederherst.

noch funktioniert und was macht man denn nun um das mit dem alten image versehene

Masterimage zwangsweise ersetztend über das netz zu senden ? kann ja ruhig sein das nachfolgende veränderungen der anderen DC´s da unberücksichtigt bleiben.

[grizzly999 11]

Nein, die Imagesoftware hat den Systemstatus nicht gesichert. Und wenn du den Rechner inzwischen wieder hochgefahren hast ( so war es ja wohl), dann hast du auch das USN-Rollback-Problem. D.h. alles, was nach dem Image auf dem geimagten DC geändert wurde ist für diesen Rechner verloren und bekommt er nie mehr wieder. Mit dem in meinem Artikel referierrten Hotfix bzw. SP1 solltest du auch die Fehlermeldungen im Log haben, die ich im Artikel aufgelistet habe.

Wenn dem so ist, hilft nur: Plattmachen und neu ausfetzen. No way 'round

 

grizzly999

[Velius 10]

Veränderungen die auf diesem DC gemacht wurden sind sicher im Eimer, ABER du könntest das hier befolgen:

 

Eine letzte Rettung ….

 

Falls man vor einem ausgefallenen DDC sitzt und anstelle einer richtigen Sicherung jetzt nur ein Image in peto hat, dann gibt es noch eine letzte Möglichkeit, dem Domänencontroller glaubhaft zu machen, man habe den Systemstatus aus einer früheren Sicherung zurückgespielt.

 

Achtung: Für das nachfolgend beschriebene Vorgehen darf das Image nur im Verzeichnisdienstwiederherstellungs-Modus (F8) gestartet werden. Auf keinen Fall normal starten. Wenn der DC normal startet und bei der Replikation das USN-Rollback-Problem hervorruft, war's das !!! Dann hilft auch diese Prozedur nichts mehr.

 

1. Image des Domämencontrollers im Verzeichnisdienstwiederherstellungs-Modus starten

2. Regedit.exe aufrufen und kontrollieren, ob der Wert "DSA Previous Restore Count" unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters vorhanden ist.

Wenn ja, dann den Eintrag im Wert nur notieren.

Wenn nein, nichts tun. Den Wert NICHT erstellen.

3. Erstellen des Wertes "Database restored from backup" unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

4. Datentyp: REG_DWORD; Wert=1

5. Den Domänencontroller normal starten.

Prüfen, ob sich der Wert, der unter Punkt 2) notiert wurde, sich um 1 erhöht hat

 

Der gesetzte Wert veranlasst den Domänencontroller, das Active Directory so zu behandeln, als ob es von einer ordnungsgemäßen Sicherung wiederhergestellt wurde und eine neue invocationID zu generieren.

 

Folgender Eintrag im Verzeichnisdienst-Log sollte dann vorhanden sein:

 

 

Solltest du den DC doch wie im fett markierten Teil normal hochgefahren haben, dann bügel das Image neu drüber und fahr die Kiste anschliessend im Wiederherstellungs Modus hoch und setz den Key, würde aber sicherheitshalber noch ein Sysstate Backup des/der anderen DC(s) machen vorher.

[grizzly999 11]

Ja, sollte gehen, aber Microsoft lässt sich nirgends darüber aus, ob da wirklich alles so läuft wie bei einer Systemstate-Rücksicherung. Was bleibt, ist die Hoffnung ;)

Oder falls man nach dem Image einen Systemstate gezogen hat, diesen .... , aber danach sieht es nicht aus.

 

 

grizzly999

[Velius 10]

Klar, das Ding platt machen und die Metadaten bereinigen ist sauberer (wenn man weiss wie vorgehen:D ).

[Mr.X 10]

Na ein bischen schlauer bin ich nun, es bleiben aber noch einige Unklarheiten.

 

Die Image Software True Image server V 8.0 der betroffene Server S2003 SP1.

Ja ich habe wohl mit der falschen CD eine rücksicherung gemacht und vermute

nun den grund zu kennen, warum die image software unter laufendem server unbedingt ein Notfallmedium erstellt hat (bootfähige CD). Es ist mir aber noch etwas schleierhaft, warum das gemacht wird, wenn der spezielle zur Wiederherstellung eines AD notwendige Teil dabei fehlt ??? Wie macht man denn die Sicherung fehlerfrei wenn selbst eine dafür speziell ausgelegte software jämmerlich versagt ??? geht das nur mit Boardmiiteln ?

 

Wo bekomme ich die notwendigen Infos um alles auf dem sauberen Weg zu erledigen ?

Metadaten...

[Daim 12]

Moin,

 

zusätzlich zu den Infos von Grizzly, Du kannst transaktionale Datenbanken wie es die AD-DB oder Exchange darstellt, nur online sichern, denn nur so bekommst Du mit, ob Fehler bei der Sicherung auftreten oder nicht.

Alles weitere siehe: Yusuf`s Directory - Blog - Images als Sicherung ?

 

Wie macht man denn die Sicherung fehlerfrei wenn selbst eine dafür speziell ausgelegte software jämmerlich versagt ??? geht das nur mit Boardmiiteln ?

 

Im dem Du Dir für Deine Umgebung das passende Backup-Konzept sowie Disaster Recovery Plan aufstellst.

Deinen geimageten DC installierst Du neu und löschst ihn händisch aus dem AD:

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

 

Windows Server 2003 Troubleshooting & Disaster Recovery

Windows 2000 Server Backup and Restore Solution

[Velius 10]

 

Die Image Software True Image server V 8.0 der betroffene Server S2003 SP1.

Ja ich habe wohl mit der falschen CD eine rücksicherung gemacht und vermute

nun den grund zu kennen, warum die image software unter laufendem server unbedingt ein Notfallmedium erstellt hat (bootfähige CD).

 

 

Die Boot-CD hat damit nicht viel zu tun. Die online Imaging Produkte von Symantec und Acronis konnten das bisher nicht (einen AD DC korrekt sichern), aber seit True Image 9.1 sollte das funktionieren, zumindest laut Hersteller.:wink2:

[Mr.X 10]

Ist mir zu hoch ! Jemand stellt eine Software her, die nur zur Datensicherung dient,

verspricht die einwandfreie Funktion mit 2003er Servern verkauft diese teuer und macht so elementare Fehler ???? Was A. dazu gesagt hat - schmunzel -Warum vertraust Du auf MS ??? Na ja - wird sich zeigen ob der SW Peter so einfach an andere geht - hähä !

Mein Vertrauen in A. ist dahin !

 

Gibt es Software die das aus Erfahrung richtig macht und sogar noch bezahlbar ist. Hat da jemand mal was ausgetestet - so in die Zukunft gedacht ???

 

Den Rest muß ich dann erstmal durcharbeiten - Vielleicht funktioniert mein Netz ja irgendwann wieder ! Aber erstmal Danke an alle. Aus Erfahrung wird man klug - bis zum nächsten Desaster jedenfalls.

[Velius 10]

Nun, es liegt in der Natur der Sache, dass dich der Hersteller der Software nicht drauf hinweisst "....W2K3 Server sichern schon, ABER Domänen Controller nicht.....", jdenfalls steht das nirgends dick und fett. Erst durch Erfahrung, ausgiebiges Recherchieren oder durch Ausbildung kann man diese Wissen erlangen, leider....

 

 

Gibt es Software die das aus Erfahrung richtig macht und sogar noch bezahlbar ist. Hat da jemand mal was ausgetestet - so in die Zukunft gedacht ???

 

Ja, das integrierte NTBackup von MS macht das ordentlich, nur hast du leider nicht den Vorteil eine 'schnellen', bare-metal Wiederherstellung des DCs. Du musst diesen erst neu installieren und das Backup einspielen. Allerdings seh ich das nicht als problematisch an, denn DCs sind an sich schon fehlertolerant designt - sobald du zwei oder mehrere hast, kann dem AD nicht viel passieren (ausser Fehlmanipulationen natürlich).

[Gulp 251]

Also mich hat mein BackUp Exec inkl. Disaster Recovery Option noch nie im Stich gelassen, bei der Sicherung von mehreren DC's inklusive AD geht es eben nicht mit einer Einzelplatzlösung, wie Acronis TrueImage Server 8.0.

 

Grüsse

 

Gulp