5
Active Directory funktioniert nach Image Wiederherstellung nicht mehr. (Server 2008)
Hallo zusammen.
Ich habe ein riesen Problem.
Habe 2x Win 2003 DC und einen Win 2008 DC, der nun alle FSMO-rollen und den global catalog hat.
Leider ist der Server nach einem Windows Update nicht mehr hochgefahren. Nach einem halben Tag Fehlersuche
habe ich mich entschieden das True Image (Acronis) zurückzuspielen.
Das hat auch funktioniert - nur der ADS funktioniert nicht mehr.
Ich habe ebenfalls mit ntdsutil die komplette Microsoft Anleitung zum reparieren und defragmentieren der ADS-Datenbank durchgemacht. - Ohne Erfolg.
Beim starten des Server gibt es eine Fehlermeldung im Ereignisprotokoll:
Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt.
Solange dieser Zustand besteht, können keine Benutzer über die Active Directory-Domänendienste angemeldet werden. Aus diesem Grund wird der Netzwerkanmeldedienst angehalten.
Benutzeraktion
Weitere Informationen finden Sie in vorherigen Ereignisprotokollen.
Wenn ich versuche die FSMO-Rollen oder den Betriebsmaster wieder auf den alten 2003 zu übertragen heißt es:
"Die Betriebsmasterfunktion konnte nicht übertragen werden. Ursache:
Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar."
Hat jemand noch einen Tipp für mich? Ich komm nicht mehr weiter...
Grüße und danke im voraus.
Ich habe ein riesen Problem.
Habe 2x Win 2003 DC und einen Win 2008 DC, der nun alle FSMO-rollen und den global catalog hat.
Leider ist der Server nach einem Windows Update nicht mehr hochgefahren. Nach einem halben Tag Fehlersuche
habe ich mich entschieden das True Image (Acronis) zurückzuspielen.
Das hat auch funktioniert - nur der ADS funktioniert nicht mehr.
Ich habe ebenfalls mit ntdsutil die komplette Microsoft Anleitung zum reparieren und defragmentieren der ADS-Datenbank durchgemacht. - Ohne Erfolg.
Beim starten des Server gibt es eine Fehlermeldung im Ereignisprotokoll:
Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt.
Solange dieser Zustand besteht, können keine Benutzer über die Active Directory-Domänendienste angemeldet werden. Aus diesem Grund wird der Netzwerkanmeldedienst angehalten.
Benutzeraktion
Weitere Informationen finden Sie in vorherigen Ereignisprotokollen.
Wenn ich versuche die FSMO-Rollen oder den Betriebsmaster wieder auf den alten 2003 zu übertragen heißt es:
"Die Betriebsmasterfunktion konnte nicht übertragen werden. Ursache:
Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar."
Hat jemand noch einen Tipp für mich? Ich komm nicht mehr weiter...
Grüße und danke im voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 107855
Url: https://administrator.de/contentid/107855
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
5 Kommentare
Neuester Kommentar
Servus,
so bitter es ist, aber lass dir das "Imaging" von einem DC eine Lehre sein.
Siehe auch:
[Yusufs Directory Blog - Images als Sicherung?]
http://blog.dikmenoglu.de/PermaLink,guid,19ee7392-2228-45d0-b6ab-5dd1e9 ...
Dir bleibt nichts anderes übrig, als den Server "mit Gewalt" aus dem AD zu entfernen.
Wenn du den Server NICHT neu installieren möchtest und nur die AD-Informationen lokal vom
2008er DC entfernen willst, führe auf dem 2008er DC das DCPROMO /FORCEREMOVAL aus und folge dem Assistenten.
Falls du aber den Server ohnehin neu installieren möchtest, brauchst du diesen Schritt nicht auszuführen.
Die DC-Informationen in den Metadaten des AD bleiben jedoch so oder so erhalten.
Das bedeutet, du musst im zweiten Schritt die "Leiche" mit NTDSUTIL oder ADSIEdit aus dem AD entfernen.
Dabei hilft dir der folgende und die weiterführenden Links.
[Yusufs Directory Blog - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/PermaLink,guid,ef1f7835-9836-4b8c-9ea0-bef1aa ...
Dann musst du mit NTDSUTIL die FSMO-Rollen auf einen bestehenden 2003er DC "seizen",
Lies dazu diesen Artikel:
[Yusufs Directory Blog - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54c ...
Auf den beiden bestehenden 2003er DCs solltest du noch den globalen Katalog aktivieren.
Weiterhin sollte auf allen DCs das DNS installiert sein und die Forward Lookup Zone sollte AD-integriert gespeichert sein.
Viele Grüße
Yusuf dikmenoglu
so bitter es ist, aber lass dir das "Imaging" von einem DC eine Lehre sein.
Siehe auch:
[Yusufs Directory Blog - Images als Sicherung?]
http://blog.dikmenoglu.de/PermaLink,guid,19ee7392-2228-45d0-b6ab-5dd1e9 ...
Dir bleibt nichts anderes übrig, als den Server "mit Gewalt" aus dem AD zu entfernen.
Wenn du den Server NICHT neu installieren möchtest und nur die AD-Informationen lokal vom
2008er DC entfernen willst, führe auf dem 2008er DC das DCPROMO /FORCEREMOVAL aus und folge dem Assistenten.
Falls du aber den Server ohnehin neu installieren möchtest, brauchst du diesen Schritt nicht auszuführen.
Die DC-Informationen in den Metadaten des AD bleiben jedoch so oder so erhalten.
Das bedeutet, du musst im zweiten Schritt die "Leiche" mit NTDSUTIL oder ADSIEdit aus dem AD entfernen.
Dabei hilft dir der folgende und die weiterführenden Links.
[Yusufs Directory Blog - Das Active Directory gewaltsam vom DC entfernen]
http://blog.dikmenoglu.de/PermaLink,guid,ef1f7835-9836-4b8c-9ea0-bef1aa ...
Dann musst du mit NTDSUTIL die FSMO-Rollen auf einen bestehenden 2003er DC "seizen",
Lies dazu diesen Artikel:
[Yusufs Directory Blog - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54c ...
Auf den beiden bestehenden 2003er DCs solltest du noch den globalen Katalog aktivieren.
Weiterhin sollte auf allen DCs das DNS installiert sein und die Forward Lookup Zone sollte AD-integriert gespeichert sein.
Viele Grüße
Yusuf dikmenoglu
WOW!
Selten so eine ausführliche und verständliche Anleitung gelesen, Respekt.
Nur noch als kleinen Hinweis für die Zukunft:
Wenn man mit Acronis sichert, sollte man vorher das AD mit ntbackup packen... dann kann man sich sehr viel Zeit beim Wiederherstellen sparen.
Lonesome Walker
Selten so eine ausführliche und verständliche Anleitung gelesen, Respekt.
Nur noch als kleinen Hinweis für die Zukunft:
Wenn man mit Acronis sichert, sollte man vorher das AD mit ntbackup packen... dann kann man sich sehr viel Zeit beim Wiederherstellen sparen.
Lonesome Walker
Hallo zusammen,
Sehr gut... Danke für die Links und diesen Beitrag!
...Das ändert meine Sichtweise über das Imaging von DC's enorm...
Hab mir mal die weiterführenden Links angeschaut.
@lsw: Bitte erst lesen, dann hauen
s.u.
Genau wie LSW schon bemerkt hat, war ich bis jetzt davon überzeugt, dass die Sicherung des Systemstatus vollkommen ausreichen würde. (und danach die Sicherung mit Acronis)
Ich bin leider der "irrigen Annahme erlegen", dass z.B. Acronis ein "vollkommen konsistenten" Stand von Festplatten erstellt und dann diesen super sichert.
Sobald man mehrere DCs mit ihren FSMO Rollen, einen Exchange Server, SQL Server etc. hat, wird es schon komplexer mit der Sicherungsstrategie und -noch viel wichtiger- mit der "Rücksicherungsstrategie".
Wenn man mal ehrlich ist: Wie viele Admins testen regelmäßig eine Desaster Recovery? (obwohl jeder sich darüber bewusst sein sollte, dass es eigentlich unabdingbar ist...?! Hand aufs Herz: Ich teste, ob die Sicherung sich zurückspielen lässt... und nicht die komplette Funktionsweise...)
Bisher habe ich die Acronissicherungen als "Vereinfachung" meiner Backupstrategie neben der Onlinesicherung der Datenbestände (sprich: Exchange Datenbanken & Postfächer, SQL Server, Systemstatus etc...) gesehen.
Nur so wie ich das hier herausgelesen habe, würde Folgendes bei einem Totalhardwarecrash eines DC's (oder eines Exchange) definitiv nicht klappen:
1. Neue Hardware bzw Ersatzteile beschaffen
2. Acronisbackup zurückspielen
3. Systemstatus zurückspielen.
4. Freuen und weiterarbeiten... (bis man bemerkt, dass dann doch irgendwas nicht geht )
Stimmt ihr mir da zu, oder verstehe ich das nicht ganz richtig?
Es wäre mal interessant zu wissen, was bei so einem Ausfall und mehreren DC's zu tun wäre? Ich stell mir vor, dass die Rücksicherung des Systemstatus alleine nicht ausreichen würde, da die AD Inhalte bei den DCs unterschiedlich sind?!?
@lsw: So... jetzt darfst mich prügeln und auseinandernehmen
Gruß
Markus
Sehr gut... Danke für die Links und diesen Beitrag!
...Das ändert meine Sichtweise über das Imaging von DC's enorm...
Hab mir mal die weiterführenden Links angeschaut.
@lsw: Bitte erst lesen, dann hauen
s.u.Genau wie LSW schon bemerkt hat, war ich bis jetzt davon überzeugt, dass die Sicherung des Systemstatus vollkommen ausreichen würde. (und danach die Sicherung mit Acronis)
Ich bin leider der "irrigen Annahme erlegen", dass z.B. Acronis ein "vollkommen konsistenten" Stand von Festplatten erstellt und dann diesen super sichert.
Sobald man mehrere DCs mit ihren FSMO Rollen, einen Exchange Server, SQL Server etc. hat, wird es schon komplexer mit der Sicherungsstrategie und -noch viel wichtiger- mit der "Rücksicherungsstrategie".
Wenn man mal ehrlich ist: Wie viele Admins testen regelmäßig eine Desaster Recovery? (obwohl jeder sich darüber bewusst sein sollte, dass es eigentlich unabdingbar ist...?! Hand aufs Herz: Ich teste, ob die Sicherung sich zurückspielen lässt... und nicht die komplette Funktionsweise...)
Bisher habe ich die Acronissicherungen als "Vereinfachung" meiner Backupstrategie neben der Onlinesicherung der Datenbestände (sprich: Exchange Datenbanken & Postfächer, SQL Server, Systemstatus etc...) gesehen.
Nur so wie ich das hier herausgelesen habe, würde Folgendes bei einem Totalhardwarecrash eines DC's (oder eines Exchange) definitiv nicht klappen:
1. Neue Hardware bzw Ersatzteile beschaffen
2. Acronisbackup zurückspielen
3. Systemstatus zurückspielen.
4. Freuen und weiterarbeiten... (bis man bemerkt, dass dann doch irgendwas nicht geht
)Stimmt ihr mir da zu, oder verstehe ich das nicht ganz richtig?
Es wäre mal interessant zu wissen, was bei so einem Ausfall und mehreren DC's zu tun wäre? Ich stell mir vor, dass die Rücksicherung des Systemstatus alleine nicht ausreichen würde, da die AD Inhalte bei den DCs unterschiedlich sind?!?
@lsw: So... jetzt darfst mich prügeln und auseinandernehmen
Gruß
Markus
Mach ich doch gleich mal...
Also, den Systemstatus spielt man nicht einfach so zurück, sondern man extrahiert daraus die Daten des AD's und dann importiert man diese wieder...
(wo habe ich dazu nochmal das idiotensichere Tutorial gelesen...? Ist wirklich ganz einfach...)
Desaster Recovery ist mit Acronis bei entsprechender Vorpräparierung des Imaging-Vorganges mehr als nur einfach...
Man darf nur nicht vergessen, sich seine eigenen Start-/Stop-Batches zu schreiben, um wirklich ein sehr flexibles Backup zu haben, welches man später auch "relativ" hardware-unabhängig wiederherstellen kann...
Beispiel:
3x DC (mit Printserver, Fileserver, etc...), 1x Exchange, 2x MS-SQL -> egal welcher Service/Server ausfällt, maximale Downtime 3 Stunden
Voraussetzung hierzu ist mind. 1x exakt gleiche Hardware vor Ort, Backup2Disk (NAS/SAN/CD/DVD).
Das sollte für jede kleine/mittelständische Firma reichen (wobei 3x DC da schon fragwürdig ist, aber es soll ja auch Aussenstellen geben...)
Lonesome Walker
Hallo Yusuf,
vielen Dank für die ausführliche erklärung.
Ich habe dem alten DC alle Rollen per "seize..." gegeben.
Den 2008er habe ich neu aufgesetzt, weil da garnichts mehr ging.
DNS Server ist auf dem 1. DC und dem 2. DC installiert und läuft. (Auch mit AD-gespeichert).
Aber wenn ich mit den Workstations nslookup auf die server IP mache kommt:
nslookup 192.168.50.23
Server: UnKnown
Adress: 192.168.50.23
*** 192.168.50.23 wurde von UnKnown nicht gefunden: Non-existent domain
Wenn ich den Server namen anspreche:
nslookup server1
Server: UnKnown
Adress: 192.168.50.23
Name: server1.domain.intra
Adress: 192.168.50.23
das selbe passiert ebenfalls wenn ich nslookup auf den 2. DNS server mache...
Hat jemand eine Idee?
vielen Dank für die ausführliche erklärung.
Ich habe dem alten DC alle Rollen per "seize..." gegeben.
Den 2008er habe ich neu aufgesetzt, weil da garnichts mehr ging.
DNS Server ist auf dem 1. DC und dem 2. DC installiert und läuft. (Auch mit AD-gespeichert).
Aber wenn ich mit den Workstations nslookup auf die server IP mache kommt:
nslookup 192.168.50.23
Server: UnKnown
Adress: 192.168.50.23
*** 192.168.50.23 wurde von UnKnown nicht gefunden: Non-existent domain
Wenn ich den Server namen anspreche:
nslookup server1
Server: UnKnown
Adress: 192.168.50.23
Name: server1.domain.intra
Adress: 192.168.50.23
das selbe passiert ebenfalls wenn ich nslookup auf den 2. DNS server mache...
Hat jemand eine Idee?
