Kaputten DC (AD) reparieren
Hi,
ich suche ein paar Tips, was ich am besten mit einem kaputten Windows Server 2012R2 mache. Den hab ich geerbt und die Doku ist ähh... einigermaßen knapp... Den wollte ich upgraden. Ist ein kleines Netz, einziger DC und auf dem läuft von Telefonserverkram über Fileserver bis hin zu sonstwas alles mögliche, so ein "All-in-Wonder"-Server. Datensicherung ist getrennt in Daten und System, Daten-Datensicherung sieht erstmal ganz gut aus. Das System wird über ein Imagetool gesichert.
Da läuft ein ArcServe, das hat einen "SystemStateBackup" Job, der erzeugt irgendwie jeweils 2KB Daten. Kann man also vergessen.
Ich wollte erstmal Windows Server Backup über Server Manager Feature hinzufügen, damit ich ein Systemstate Backup machen kann, aber die Installation klappt nicht (kommt Fehler 0x800f0831). Hab dann paar der üblichen Kommandos gemacht, ich glaub, ich war bei sfc /scannow (hatte ich über Nacht laufen lassen) und konnte mich tags drauf nicht mehr mit RDP nicht mehr verbinden (nach dem Passwort kam nur ein schwarzer Bildschirm).
Dachte, der Server hängt und hab ihn gebootet. Beim reboot wurde ein chkdsk gemacht. Danach kommt irgendwas von "Windows Problem" (kann ich so schnell nicht lesen) und ein boot loop.
Gut, single DC, also BMR einspielen. Beim Start auch chkdsk und boot loop. Backup vom Vortag das gleiche. Das älteste ist so drei Wochen alt und hat das gleiche Problem. Da war das Windows Dateisystem also drei Wochen kaputt, das chkdsk macht es nur schlimmer und die Backupimages sind durchrotiert. Na Prima.
chkdsk beim boot abbrechen, Server startet. Windows Server Backup hinzufügen auch Fehler 0x800f0831. Immerhin kann man alle Benutzer, Computer usw aus dem AD sehen.
Ich habe leider keine einfache Möglichkeit für einen AD Export gefunden. Es gibt noch einen anderen Windows Server, nämlich den mit den Backups, aber da ne DC Rolle hinzuzufügen erscheint mir zu riskant, wer weiß, was das kaputte Windows dann an dem auch noch kaputt macht.
Jetzt würde ich vielleicht als Notnagel ein Samba DC aufsetzen in der Hoffnung, dass eine AD Replikation dahin klappt, dann hätte ich wenigstens die SIDs und so. Falls das nicht klappt, irgendwelche Scripte suchen, die AD User mit SID und vielleicht Gruppen exportieren kann.
Hat jemand eine bessere Idee oder Tips, was ich jetzt in dieser Sitation am besten mache?
ich suche ein paar Tips, was ich am besten mit einem kaputten Windows Server 2012R2 mache. Den hab ich geerbt und die Doku ist ähh... einigermaßen knapp... Den wollte ich upgraden. Ist ein kleines Netz, einziger DC und auf dem läuft von Telefonserverkram über Fileserver bis hin zu sonstwas alles mögliche, so ein "All-in-Wonder"-Server. Datensicherung ist getrennt in Daten und System, Daten-Datensicherung sieht erstmal ganz gut aus. Das System wird über ein Imagetool gesichert.
Da läuft ein ArcServe, das hat einen "SystemStateBackup" Job, der erzeugt irgendwie jeweils 2KB Daten. Kann man also vergessen.
Ich wollte erstmal Windows Server Backup über Server Manager Feature hinzufügen, damit ich ein Systemstate Backup machen kann, aber die Installation klappt nicht (kommt Fehler 0x800f0831). Hab dann paar der üblichen Kommandos gemacht, ich glaub, ich war bei sfc /scannow (hatte ich über Nacht laufen lassen) und konnte mich tags drauf nicht mehr mit RDP nicht mehr verbinden (nach dem Passwort kam nur ein schwarzer Bildschirm).
Dachte, der Server hängt und hab ihn gebootet. Beim reboot wurde ein chkdsk gemacht. Danach kommt irgendwas von "Windows Problem" (kann ich so schnell nicht lesen) und ein boot loop.
Gut, single DC, also BMR einspielen. Beim Start auch chkdsk und boot loop. Backup vom Vortag das gleiche. Das älteste ist so drei Wochen alt und hat das gleiche Problem. Da war das Windows Dateisystem also drei Wochen kaputt, das chkdsk macht es nur schlimmer und die Backupimages sind durchrotiert. Na Prima.
chkdsk beim boot abbrechen, Server startet. Windows Server Backup hinzufügen auch Fehler 0x800f0831. Immerhin kann man alle Benutzer, Computer usw aus dem AD sehen.
Ich habe leider keine einfache Möglichkeit für einen AD Export gefunden. Es gibt noch einen anderen Windows Server, nämlich den mit den Backups, aber da ne DC Rolle hinzuzufügen erscheint mir zu riskant, wer weiß, was das kaputte Windows dann an dem auch noch kaputt macht.
Jetzt würde ich vielleicht als Notnagel ein Samba DC aufsetzen in der Hoffnung, dass eine AD Replikation dahin klappt, dann hätte ich wenigstens die SIDs und so. Falls das nicht klappt, irgendwelche Scripte suchen, die AD User mit SID und vielleicht Gruppen exportieren kann.
Hat jemand eine bessere Idee oder Tips, was ich jetzt in dieser Sitation am besten mache?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7736101239
Url: https://administrator.de/en/kaputten-dc-ad-reparieren-7736101239.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
28 Kommentare
Neuester Kommentar
Moin,
was aus deinem Post nicht ganz klar wird: Wenn der DC über deinen Workaround bootet, laufen dann alle AD Dienste etc?
Falls ja: Zweiten DC aufsetzen, syncen lassen, Rollen migrieren.
Edit noch: Du kannst auch einen UCS aufsetzen und einen AD Takeover probieren.
was aus deinem Post nicht ganz klar wird: Wenn der DC über deinen Workaround bootet, laufen dann alle AD Dienste etc?
Falls ja: Zweiten DC aufsetzen, syncen lassen, Rollen migrieren.
Edit noch: Du kannst auch einen UCS aufsetzen und einen AD Takeover probieren.
Zitat von @lastcentral:
ps: Um Zeit zu sparen, gebe ich gleich selbst schon ein paar Antworten:
1) "Ein DC ist ein DC und sonst nichts, musst halt ein paar Server und Lizenzen mehr kaufen" - Ich weiß.
2) "Ein Imagebackup macht man nicht vom DC, das reicht nicht" - Ich weiß.
3) "Backups muss man täglich kontrollieren, am besten in eine isolierte VM in einem virtuellen Testnetz mit AD Clienten recovern und alles komplett durchtesten" - Ich weiß.
4) "Arcserve ist doch Schrott, nimm lieber XYZ" - Ich weiß.
5) "Server 2012R2 ist total alt, das ist alles Schrott" - Ich weiß.
6) "Wer keine Ahnung hat und Microsoft Blog XYZ nicht gelesen hat, der sollte da gar nichts anfassen" - Ich weiß
7) "Samba ist frickeln, kaufe mehr Windows Server" - Ich weiß.
ps: Um Zeit zu sparen, gebe ich gleich selbst schon ein paar Antworten:
1) "Ein DC ist ein DC und sonst nichts, musst halt ein paar Server und Lizenzen mehr kaufen" - Ich weiß.
2) "Ein Imagebackup macht man nicht vom DC, das reicht nicht" - Ich weiß.
3) "Backups muss man täglich kontrollieren, am besten in eine isolierte VM in einem virtuellen Testnetz mit AD Clienten recovern und alles komplett durchtesten" - Ich weiß.
4) "Arcserve ist doch Schrott, nimm lieber XYZ" - Ich weiß.
5) "Server 2012R2 ist total alt, das ist alles Schrott" - Ich weiß.
6) "Wer keine Ahnung hat und Microsoft Blog XYZ nicht gelesen hat, der sollte da gar nichts anfassen" - Ich weiß
7) "Samba ist frickeln, kaufe mehr Windows Server" - Ich weiß.
Ey, nimm den Leuten doch nicht den Spaß hier
Moin,
mal ne ganz extrem blöde Frage. Du schreibst, der einzige DC hängt im Dauerloop. Der ist also praktisch nicht da. Nur für mich zum Verständnis, Deine Idee ist jetzt einen, wie auch immer gearteten, zweiten DC zu installieren, in der Annahme, dass der kaputte DC immer mal wieder kleinste AD-Partikel irgendwohin repliziert, während er selbst Achterbahn fährt?
Mag ja aber sein, dass ich wieder mal etwas falsch verstanden habe
Gruß
mal ne ganz extrem blöde Frage. Du schreibst, der einzige DC hängt im Dauerloop. Der ist also praktisch nicht da. Nur für mich zum Verständnis, Deine Idee ist jetzt einen, wie auch immer gearteten, zweiten DC zu installieren, in der Annahme, dass der kaputte DC immer mal wieder kleinste AD-Partikel irgendwohin repliziert, während er selbst Achterbahn fährt?
Mag ja aber sein, dass ich wieder mal etwas falsch verstanden habe
Gruß
Hi,
um wieviel User/Systeme/Software geht es denn?
Neues System parallel aufsetzen und Daten rüber kopieren. Möglichst gar nichts mit dem alten verbinden.
Wir hatten auch ewig ein legacy Systeme mitlaufen weil und weil und....
Ein "ransomware-Dienstleister" hat uns dann ratis gezeigt, dass es auch ohne geht...
Sg Dirm
um wieviel User/Systeme/Software geht es denn?
Neues System parallel aufsetzen und Daten rüber kopieren. Möglichst gar nichts mit dem alten verbinden.
Wir hatten auch ewig ein legacy Systeme mitlaufen weil und weil und....
Ein "ransomware-Dienstleister" hat uns dann ratis gezeigt, dass es auch ohne geht...
Sg Dirm
Hi,
der Ansatz von @Tezzla wäre doch schon optimal.
Die Lizenz wäre erstmal nebensächlich, weil es doch nur um eine temporäre Installation ginge. Auch wenn Du natürlich langfristig dafür sorgen solltest, dass da ein 2. DC läuft, und sei es es nur nebenbein irgendwo als HyperV-VM.
Wenn Du den 2. DC hinbekommst, dann die FSMO übertragen, DNS, die DNS-Clients auf diesen 2. DC/DNS umstellen. Dann den 1. DC demoten, wenn geht. Wenn das nicht geht, dann könnte man den auch später noch "hart" entfernen.
So oder so hättest Du jetzt die Ruhe, Dich um die Wiederherstellung des Servers zu kümmern.
E.
der Ansatz von @Tezzla wäre doch schon optimal.
Die Lizenz wäre erstmal nebensächlich, weil es doch nur um eine temporäre Installation ginge. Auch wenn Du natürlich langfristig dafür sorgen solltest, dass da ein 2. DC läuft, und sei es es nur nebenbein irgendwo als HyperV-VM.
Wenn Du den 2. DC hinbekommst, dann die FSMO übertragen, DNS, die DNS-Clients auf diesen 2. DC/DNS umstellen. Dann den 1. DC demoten, wenn geht. Wenn das nicht geht, dann könnte man den auch später noch "hart" entfernen.
So oder so hättest Du jetzt die Ruhe, Dich um die Wiederherstellung des Servers zu kümmern.
E.
Ist der Fax/ISDN server AD integriert oder hat damit orgendwas zu tun?
Also einen alten Server auf ebay kaufen und neu machen. Wenn keine MS Lizenzen, dann mit Ubuntu oder sonstwas. Da bist du wohl schneller als mit Migration oder sonstigen Reparaturen.
Sind vll paar Wochen doppelbetrieb für die User, aber kann nur besser werden.
Für Fax und ISDN Alternative suchen bis, das alte stirbt.
Hatte früher auch eher Bedenken bei altsystemen, aber möglichst viel dokumentiert und dann neu aufsetzen. Wenns läuft, das alte Weg. Auch wenn user sagen, aber das war immer so... sie gewöhnen sich an neues.
Meine Meinung...
Sg Dirm
Also einen alten Server auf ebay kaufen und neu machen. Wenn keine MS Lizenzen, dann mit Ubuntu oder sonstwas. Da bist du wohl schneller als mit Migration oder sonstigen Reparaturen.
Sind vll paar Wochen doppelbetrieb für die User, aber kann nur besser werden.
Für Fax und ISDN Alternative suchen bis, das alte stirbt.
Hatte früher auch eher Bedenken bei altsystemen, aber möglichst viel dokumentiert und dann neu aufsetzen. Wenns läuft, das alte Weg. Auch wenn user sagen, aber das war immer so... sie gewöhnen sich an neues.
Meine Meinung...
Sg Dirm
Wenn der DC jetzt so läuft, dann migrier das AD auf eine neue Maschine mit Boardmitteln, Rollen verschieben etc. Ob du den dann wieder mit anderen Sachen zumüllst, sei mal dahin gestellt. Solange er ordentlich funktioniert ist die Kuh dann erstmal vom Eis.
Für den Parallelbetrieb gibt es ja die Testphase. Da muss gar kein Key eingegeben werden.
Für den Parallelbetrieb gibt es ja die Testphase. Da muss gar kein Key eingegeben werden.
N'Abend.
Fehlende Lizenzen für einen Windows Server sind hier nicht das Problem, die EVAL-Versionen laufen 180 Tage ohne Funktionseinschränkungen und lassen sich, wenn benötigt, mehrfach verlängern und/oder in eine reguläre Version konvertieren.
Spätestens bei der Promotion zum DC stellst du fest, ob das so klappen kann - wenn nicht, hast du auch nicht mehr kaputtgemacht. Versuch macht also kluch.
Viel Erfolg.
Cheers,
jsysde
Fehlende Lizenzen für einen Windows Server sind hier nicht das Problem, die EVAL-Versionen laufen 180 Tage ohne Funktionseinschränkungen und lassen sich, wenn benötigt, mehrfach verlängern und/oder in eine reguläre Version konvertieren.
Spätestens bei der Promotion zum DC stellst du fest, ob das so klappen kann - wenn nicht, hast du auch nicht mehr kaputtgemacht. Versuch macht also kluch.
Viel Erfolg.
Cheers,
jsysde
Den DNS-Clients solltest Du den alten DNS-Server komplett entfernen, weil Du diesen ja über kurz oder lang eh rausschmeißen wirst.
Ob Du das über DHCP machst oder manuell, bleibt Dir überlassen. Beachte bei DHCP, dass diese Änderung erst bei nächster Erneurung der Lease am Client ankommt. Wenn da also Standard 8 Tage als Leasedauer drin steht, dann müsstest Du bei allen standig durchlaufenden Clients bis zu 5 Tage warten, um sicherzugehen, dass diese die Lease erneuert haben. Oder Du sorgst dafür, dass alle DNS-Clients durchstarten. Oder löst auf allen ein ipconfig /renew aus.
Ob Du das über DHCP machst oder manuell, bleibt Dir überlassen. Beachte bei DHCP, dass diese Änderung erst bei nächster Erneurung der Lease am Client ankommt. Wenn da also Standard 8 Tage als Leasedauer drin steht, dann müsstest Du bei allen standig durchlaufenden Clients bis zu 5 Tage warten, um sicherzugehen, dass diese die Lease erneuert haben. Oder Du sorgst dafür, dass alle DNS-Clients durchstarten. Oder löst auf allen ein ipconfig /renew aus.
Hi,
wieso zu Geier erlaubt man, dass ein Server - gar ein DC - WSUS-Updates allein automatisch installiert und dann auch noch automatisch bootet?! Selbst schuld, sorry. Für sowas habe ich kein Verständnis.
Schemamaster ist unkititisch und nicht für die beschriebenen Probleme relevant.
Streng genommen braucht man für das Anmelden der Clients und Benutzer überhaupt keine der FSMO. Einzig der Gobal Catalog ist wichtig, wenn sich ein Benutzer zum ersten Mal an einem bestimmten Client anmeldet. (wenn er noch nie an diesem Client angemeldet war, kein lokales Profil vorhanden ist)
Ist der neue DC auch Global Catalog? Wenn nein --> aktivieren!
Dass der neue DC beim Neustart lange gebraucht hat, ist nicht ungewöhnlich, weil er zu diesem Zeiotpunkt der einzige laufende (startende) DC war, wenn ich das richtig verstanden habe. --> Inseleffekt
Der neue DC sollte sich selbst als 1. DNS-Server eingetragen haben. Und den alten DC/DNS würde ich ihm entfernen, weil dieser nicht mehr zuverlässig läuft.
Dann dem alten DC den neuen DC/DNS als 1. DNS-Server eintragen, sich selbst als 2.
Ich würde schnellstens einen dritten DC promoten (irgendwo als VM) und dann den alten DC demoten.
Dem 3. DC den 2. als 1. DNS-Server eintragen und sich selbst als 2.
E.
wieso zu Geier erlaubt man, dass ein Server - gar ein DC - WSUS-Updates allein automatisch installiert und dann auch noch automatisch bootet?! Selbst schuld, sorry. Für sowas habe ich kein Verständnis.
Schemamaster ist unkititisch und nicht für die beschriebenen Probleme relevant.
Streng genommen braucht man für das Anmelden der Clients und Benutzer überhaupt keine der FSMO. Einzig der Gobal Catalog ist wichtig, wenn sich ein Benutzer zum ersten Mal an einem bestimmten Client anmeldet. (wenn er noch nie an diesem Client angemeldet war, kein lokales Profil vorhanden ist)
Ist der neue DC auch Global Catalog? Wenn nein --> aktivieren!
Dass der neue DC beim Neustart lange gebraucht hat, ist nicht ungewöhnlich, weil er zu diesem Zeiotpunkt der einzige laufende (startende) DC war, wenn ich das richtig verstanden habe. --> Inseleffekt
Der neue DC sollte sich selbst als 1. DNS-Server eingetragen haben. Und den alten DC/DNS würde ich ihm entfernen, weil dieser nicht mehr zuverlässig läuft.
Dann dem alten DC den neuen DC/DNS als 1. DNS-Server eintragen, sich selbst als 2.
Ich würde schnellstens einen dritten DC promoten (irgendwo als VM) und dann den alten DC demoten.
Dem 3. DC den 2. als 1. DNS-Server eintragen und sich selbst als 2.
E.
Bzgl. SYSVOL
Du solltest dieses als erstes mal vom alten DC als Dateikopie sichern. Am besten mit Robocopy incl. Berechtigungen.
Egal wohin, Hauptsache auf einen anderen Server. Das könnte z.B. eine extra Freigabe auf dem neuen DC sein.
Damit hättest Du das NETLOGON-, sofern bei Euch da was drin ist, und das Policies-Verzeichnis als Kopie gesichert.
"gilt als ungeeignet"
Dass der neue DC so gemeldet wird ist im Sinne des von Dir Beschriebenen richtig. Ein DC betrachtet sich selbst als nicht voll funktionstüchtig, solange er nicht min. einmal das SYSVOL erfolgreich repliziert und danach automatisch die Freigaben "SYSVOL" und "NETLOGON" erstellt hat. (Diese Freigaben sollte man auf keinen Fall manuell erstellen!)
Die NTFRS-Einstellung blockiert absichtlich die Installation von Windows Server-Replikat-DCs
Der neue DC hat welche Server-Version?
Hat der alte DC das SYSVOL noch für NtFRS eingerichtet oder schon für DFS-R? Falls noch NtFRS, dann muss der neue DC entweder < Win2016 sein oder auf dem alten DC vor dem Promoten eines weiteren DC auf DFS-R umgestellt werden. Die Migrationsschritte dafür sind im o.g. Artikel verlinkt.
Du solltest dieses als erstes mal vom alten DC als Dateikopie sichern. Am besten mit Robocopy incl. Berechtigungen.
Egal wohin, Hauptsache auf einen anderen Server. Das könnte z.B. eine extra Freigabe auf dem neuen DC sein.
Damit hättest Du das NETLOGON-, sofern bei Euch da was drin ist, und das Policies-Verzeichnis als Kopie gesichert.
"gilt als ungeeignet"
Dass der neue DC so gemeldet wird ist im Sinne des von Dir Beschriebenen richtig. Ein DC betrachtet sich selbst als nicht voll funktionstüchtig, solange er nicht min. einmal das SYSVOL erfolgreich repliziert und danach automatisch die Freigaben "SYSVOL" und "NETLOGON" erstellt hat. (Diese Freigaben sollte man auf keinen Fall manuell erstellen!)
Die NTFRS-Einstellung blockiert absichtlich die Installation von Windows Server-Replikat-DCs
Der neue DC hat welche Server-Version?
Hat der alte DC das SYSVOL noch für NtFRS eingerichtet oder schon für DFS-R? Falls noch NtFRS, dann muss der neue DC entweder < Win2016 sein oder auf dem alten DC vor dem Promoten eines weiteren DC auf DFS-R umgestellt werden. Die Migrationsschritte dafür sind im o.g. Artikel verlinkt.