ralphmichels
Goto Top

Active Directory-Problem nach Disaster Recovery

Hallo,
nach einem notwendigen Disaster Recovery - einer vollständigen Wiederherstellung eines Win2012-DC aus einem per Symantec BackupExec erstellten Backup habe ich noch das Problem, dass das ActiveDirectory "nicht funktioniert".
Ein Zugriff auf die Server-Freigaben ist möglich, aber die netlogon-Freigabe wird nicht aktiviert und das AD ist auch nur teilweise verfügbar.
Nach intensiver Recherche, scheint der Fehler beim Reset des sog. RID-Pool zu liegen. Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".

DCDiag bringt folgenden Fehler:

                    • DsBind with RID Master was successful
                    • rIDAllocationPool is 1603 to 2102
Der Domänendienst besitzt beschädigte Daten: Der Wert

rIDPreviousAllocationPool ist ungültig.

                    • rIDPreviousAllocationPool is 0 to 0
                    • rIDNextRID: 0
Keine RIDs zugewiesen. Weitere Informationen im Ereignisprotokoll.

Der Server verfügt über alle FSMO-Rollen. Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.

Das Problem besteht aber grundsätzlich weiterhin. Der alte Server wird am neuen Server mittels "repadmin" noch als Replikationspartner aufgeführt. Replikation funktioniert aber nicht.

Ich suche nun auf diesem Weg die Hilfe eines "AD-Profis", da ich denke und hoffe, dass dieses Problem mit gezielten Eingriffen ins AD zu lösen sein sollte.

Vielen Dank für eine Rückmeldung!

Freundliche Grüße
Ralph Michels

Content-ID: 323715

Url: https://administrator.de/forum/active-directory-problem-nach-disaster-recovery-323715.html

Ausgedruckt am: 06.04.2025 um 19:04 Uhr

Chonta
Chonta 13.12.2016 aktualisiert um 16:26:31 Uhr
Goto Top
Hallo,

Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Wie zum Geier kann man in einem AD einen seit einem Jahr inaktiven DC im AD haben? Etweder ein DC läuft oder wird aus der Domäne entfernt....
Spätestens diese Aktion hat ggf das AD komplett zerschossen.
Der alte DC hat doch null Peilung davon was in der zwischenzeit im AD verändert wurde. Da der "neue" ja nicht ansprechbar ist antwortet nur der Alte mit Daten und IDs aus der Vorzeit.....

Replikation funktioniert aber nicht.
Kunststück.

Die Logeinträge wären mal hilfreich gewesen.

Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".
Und was sagt MS was man machen soll?

DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.
Hatte der DC auch mal alle FMSO gehabt und nun wieder? Ich würde fast drauf wetten Du verwaltest nicht das AD sondern den asbachuralt DC (schau mal nach auf welchem Du mit der MMX drauf bist)

War eine lokale Anmeldung auf dem wiederhergestellten DC und starten der AD MMC nicht möglich gewesen?
Oder habt ihr nur von der Adminworkstation versucht?

und das AD ist auch nur teilweise verfügbar.
Wie Teilweise?

aber die netlogon-Freigabe wird nicht aktiviert
Was sagen den Die logs warum er nicht will?

Gruß

Chonta
GuentherH
GuentherH 13.12.2016 um 16:42:37 Uhr
Goto Top
.. und als Ergänzung zum Beitrag von Chonta.

Zuerst den inaktiven DC komplett aus dem AD entfernen. Herunterstufen wird nicht mehr gehen, er muss mit ziemlicher Sicherheit manuell entfernt werden.
Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.

LG Günther
emeriks
emeriks 13.12.2016 um 16:58:19 Uhr
Goto Top
Hi,
Zuerst den inaktiven DC komplett aus dem AD entfernen. Herunterstufen wird nicht mehr gehen, er muss mit ziemlicher Sicherheit manuell entfernt werden.
Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.
Auch das wird nicht reichen. Er muss den Restore des DC's wiederholen.

@RalphMichels
Und noch viel wichtiger: Lass die Finger davon! Hol Dir Profis ins Haus. Bei allem Respekt: Du hast keine Ahnung davon und wirst alles nur noch schlimmer machen! Anders kann ich mir Dein Vorgehen nicht erklären.

E.
rzlbrnft
rzlbrnft 14.12.2016 aktualisiert um 01:57:32 Uhr
Goto Top
Hier hast du einen Artikel dazu.
https://www.pcreview.co.uk/threads/rid-pool-corrupt-after-restore.144815 ...

Als erstes, trenne den alten DC vom Netz und spiel das Backup nochmal neu zurück.
Dann geh auf den DC und führe repadmin /showreps aus.

Wenn hier Replikationspartner angezeigt werden, schau ob du ntdsutil ausführen kannst.
Mach einen Metadata Cleanup und entferne eventuelle Referenzen auf den/die alten DC vom Netz.
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ...
Das sollte evtl. reichen damit der RID Master wieder startet.

Wenn nicht, schau dir mal diese Artikel zu den RID Values an, eventuell kannst du mit ADSIEdit was rausfinden.
https://support.microsoft.com/de-de/kb/305475
http://www.faq-o-matic.net/2012/09/10/der-rid-pool-und-seine-bedeutung/

Behalte aber auf jeden Fall dein Backup, damit du wieder auf den Stand vor den Reperaturen zurück kommen kannst.
emeriks
emeriks 14.12.2016 um 08:22:38 Uhr
Goto Top
@rzlbrnft
Bevor wir ihm hier solche Tips geben, müssten wir ja erst mal ein paar Infos über sein AD bekommen. Wieviele DC's sonst noch, DNS-Server usw.
Und warum die Wiederherstellung seiner Meinung nach notwendig war.
rzlbrnft
rzlbrnft 14.12.2016 aktualisiert um 09:38:09 Uhr
Goto Top
Sorry, aber nein, das ist nicht zielführend.

Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.

Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
emeriks
emeriks 14.12.2016 um 09:46:53 Uhr
Goto Top
Sorry, aber nein, das ist nicht zielführend.

Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Na eben! Wir wissen es doch nicht. Lass ihn das doch erst mal schreiben. Bis dahin können gut gemeinte Tips imns Blaue hinein alles noch verschlimmern.

Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.
Korrekt. Aber würdest Du jemanden weiterhin Auto fahren lassen, der Dir meldet: "Ich habe dann mal versuchsweise die Beachtung der Vorfahrt ausgeschaltet. Irgendwie hat das der andere nicht verstanden. Und die Autos haben es auch nicht so ganz überlebt. Komisch. Irgendwas stimmt da nicht."

Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
Wenn es beim Nachbarn brennt, dann empfehle ich ihm schon mal, die Feuerwehr zu rufen. Gut - ich kann ihm auch zeigen, wie er es mit Brunnen und Eimer allein versuchen kann. Ob ich aber dabei gut fühle, ist eine andere Sache.
RalphMichels
RalphMichels 14.12.2016 um 10:03:25 Uhr
Goto Top
Hallo rzlbrnft,
Danke für die konkrete und konstruktive Info!

repadmin /showreps wurde schon vor dem Starten des alten DC´s ausgeführt.
Dort war der alte DC noch referenziert.
Alle FSMO-Rollen liegen beim neuen DC.
Ohne laufenden alten DC konnte man z.B. die MMC "Active Directory-Benutzer und -Computer" nicht starten... Meldung: "... Domäne nicht gefunden.."
Nach Start des alten DC war das wieder möglich und zwar auf beiden DC´s.
Ein testweise angelegter User erscheint in beiden MMCs.
Das Backup ist natürlich noch vorhanden und könnte wieder zurückgespielt werden.
Den Artikel
hatte ich recherchiert und gelesen und er hat mich auf diese "Spur" gebracht.
Die Ausgabe von repadmin /showreps hat mir dann aufgezeigt, dass der neue Server u.U. versucht, mit dem alten zu replizieren.
Natürlich ist es nicht i.O., dass der alte DC noch im AD vorhanden war - da ist wohl ein Fehler passiert.
Die Domäne sollte lediglich eine DC haben. Der "neue" sollte den "alten" ersetzen - der letzte Schritt, nämlich den alten DC aus der Domäne zu entfernen, wurde offensichtlich nicht durchgeführt...

Gerade weil ich kein AD-Profi bin, suche ich hier Hilfe face-wink
Ich bin gerade auf der Suche und auch schon in telefonischem Kontakt mit einem AD-Profi, da ich mir nicht sicher war/bin, ob ich durch das manuelle Entfernen des alten DC das Problem nicht noch verschärfe...

Ich werde das mal alles vorsichtig antesten face-smile
Dankeschön!

PS: Der betreffende Server steht bei einem Kunden. Der DC musste wiederhergestellt werden, da ein Trojaner diesen DC verschlüsselt hatte und auch gleich das Admin-Kennwort geändert hat...
Frag mich bitte nicht, wie das überhaupt möglich sein konnte. Ich weiß es leider nicht und konnte es auch noch nicht nachvollziehen.

Gruß Ralph
RalphMichels
RalphMichels 14.12.2016 um 10:04:53 Uhr
Goto Top
@emeriks
Du kannst mich gerne direkt ansprechen, du musst nicht die 3. Person verwenden.
Gründe für die Wiederherstellung: s. Kommentar zum vorigen Post..

Gruß Ralph
RalphMichels
RalphMichels 14.12.2016 aktualisiert um 10:11:34 Uhr
Goto Top
@rzlbrnft
Zum Zeitpunkt, als ich das DR gemacht habe, war mir leider nicht bewusst, dass es im AD noch einen zweiten DC gibt.
Der sollte dort eigentlich nicht mehr vorhanden sein...
Danke.
RalphMichels
RalphMichels 14.12.2016 aktualisiert um 10:11:08 Uhr
Goto Top
@emeriks:
Ich habe den Fall hier im Forum geschildert, um evtl. freundlicherweise Hilfe zu bekommen.

Um bei Deinen Bildern zu bleiben:
Wenn ich deinen Post lese, dann komme ich mir gerade nicht vor, als wärst du von der "Feuerwehr", sondern gehörst zur staunenden umstehenden Menge, die sich anschaut, wie schöne Farben das Feuer hat...
Nichts für ungut, aber konstruktiv ist anders!
Gruß
Chonta
Chonta 14.12.2016 um 10:15:47 Uhr
Goto Top
Nach Start des alten DC war das wieder möglich und zwar auf beiden DC´s.
Und auf welchem DC warst Du gelandet? Wenn man die MMC auf ServerX öffnet kann man aber auch mit ServerY verbundne sein und diesen einsehen.

Ein testweise angelegter User erscheint in beiden MMCs.
Juhu AD änderungen.... Es ist egal wo dieMMC geöffnet ist, entscheident ist mit welchem Server die MMX verbunden ist!

Domäne nicht gefunden.."
Vermutlich ein DNS Problem, lief der DNS Server überhaupt? Hatte der "neue" DC noch den alten DC als DNS Server eingetragen?

Dort war der alte DC noch referenziert.
Logo,. wenn der andere DC NIE aus runtergestuft und entfernt wurde. Und das ist das entscheidende Problem an der ganzen Sache!

Das Backup ist natürlich noch vorhanden und könnte wieder zurückgespielt werden.
Na dann ma go.
Meckern die anderen Server und Clients nicht ?

ob ich durch das manuelle Entfernen des alten DC das Problem nicht noch verschärfe...
Kommt drauf an, was da noch dran hängt und ob jetzt eine Replikation erfolgt zwischen den beiden und ob der alte DC sich Die Daen vom neuen geholt hat oder umgekehrt.
Kommen ja kaum Rückinfos von Dir.

Gruß

Chonta
emeriks
emeriks 14.12.2016 aktualisiert um 10:38:05 Uhr
Goto Top
@RalphMichels
Du kannst mich gerne direkt ansprechen, du musst nicht die 3. Person verwenden.
Mit Verlaub, das habe ich stets getan. Jedoch wenn ich @rzlbrnft antworte, dann bist Du nun mal nur die 3. Person. Das ist ein "Problem" der Sprache.
Wenn ich deinen Post lese, dann komme ich mir gerade nicht vor, als wärst du von der "Feuerwehr", sondern gehörst zur staunenden umstehenden Menge, die sich anschaut, wie schöne Farben das Feuer hat...
Nein, ganz sicher nicht, denn ich habe Dir doch gesagt, dass Du die Feuerwehr holen sollst, und nicht versucht, Dir was von Brunnen und Eimer zu erzählen. Und selber löschen kann ich nicht, dafür ist der Tatort zu weit entfernt. Leben zu retten, geht nun mal vor.
Nichts für ungut, aber konstruktiv ist anders!
Das ist dann Ansichts- oder Verständnissache.
117471
117471 14.12.2016 um 22:55:49 Uhr
Goto Top
Hallo,

nur so als Anmerkung: Wurde das Disaster Recovery eigentlich auf der gleichen Hardware (MAC-Adressen usw.) durchgeführt?

Gruß,
Jörg