14
Active Directory-Problem nach Disaster Recovery
Hallo,
nach einem notwendigen Disaster Recovery - einer vollständigen Wiederherstellung eines Win2012-DC aus einem per Symantec BackupExec erstellten Backup habe ich noch das Problem, dass das ActiveDirectory "nicht funktioniert".
Ein Zugriff auf die Server-Freigaben ist möglich, aber die netlogon-Freigabe wird nicht aktiviert und das AD ist auch nur teilweise verfügbar.
Nach intensiver Recherche, scheint der Fehler beim Reset des sog. RID-Pool zu liegen. Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".
DCDiag bringt folgenden Fehler:
rIDPreviousAllocationPool ist ungültig.
Der Server verfügt über alle FSMO-Rollen. Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.
Das Problem besteht aber grundsätzlich weiterhin. Der alte Server wird am neuen Server mittels "repadmin" noch als Replikationspartner aufgeführt. Replikation funktioniert aber nicht.
Ich suche nun auf diesem Weg die Hilfe eines "AD-Profis", da ich denke und hoffe, dass dieses Problem mit gezielten Eingriffen ins AD zu lösen sein sollte.
Vielen Dank für eine Rückmeldung!
Freundliche Grüße
Ralph Michels
nach einem notwendigen Disaster Recovery - einer vollständigen Wiederherstellung eines Win2012-DC aus einem per Symantec BackupExec erstellten Backup habe ich noch das Problem, dass das ActiveDirectory "nicht funktioniert".
Ein Zugriff auf die Server-Freigaben ist möglich, aber die netlogon-Freigabe wird nicht aktiviert und das AD ist auch nur teilweise verfügbar.
Nach intensiver Recherche, scheint der Fehler beim Reset des sog. RID-Pool zu liegen. Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".
DCDiag bringt folgenden Fehler:
- DsBind with RID Master was successful
- rIDAllocationPool is 1603 to 2102
rIDPreviousAllocationPool ist ungültig.
- rIDPreviousAllocationPool is 0 to 0
- rIDNextRID: 0
Der Server verfügt über alle FSMO-Rollen. Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.
Das Problem besteht aber grundsätzlich weiterhin. Der alte Server wird am neuen Server mittels "repadmin" noch als Replikationspartner aufgeführt. Replikation funktioniert aber nicht.
Ich suche nun auf diesem Weg die Hilfe eines "AD-Profis", da ich denke und hoffe, dass dieses Problem mit gezielten Eingriffen ins AD zu lösen sein sollte.
Vielen Dank für eine Rückmeldung!
Freundliche Grüße
Ralph Michels
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323715
Url: https://administrator.de/forum/active-directory-problem-nach-disaster-recovery-323715.html
Ausgedruckt am: 06.04.2025 um 19:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Spätestens diese Aktion hat ggf das AD komplett zerschossen.
Der alte DC hat doch null Peilung davon was in der zwischenzeit im AD verändert wurde. Da der "neue" ja nicht ansprechbar ist antwortet nur der Alte mit Daten und IDs aus der Vorzeit.....
Die Logeinträge wären mal hilfreich gewesen.
Hatte der DC auch mal alle FMSO gehabt und nun wieder? Ich würde fast drauf wetten Du verwaltest nicht das AD sondern den asbachuralt DC (schau mal nach auf welchem Du mit der MMX drauf bist)
War eine lokale Anmeldung auf dem wiederhergestellten DC und starten der AD MMC nicht möglich gewesen?
Oder habt ihr nur von der Adminworkstation versucht?
Gruß
Chonta
Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Wie zum Geier kann man in einem AD einen seit einem Jahr inaktiven DC im AD haben? Etweder ein DC läuft oder wird aus der Domäne entfernt....Spätestens diese Aktion hat ggf das AD komplett zerschossen.
Der alte DC hat doch null Peilung davon was in der zwischenzeit im AD verändert wurde. Da der "neue" ja nicht ansprechbar ist antwortet nur der Alte mit Daten und IDs aus der Vorzeit.....
Replikation funktioniert aber nicht.
Kunststück.Die Logeinträge wären mal hilfreich gewesen.
Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".
Und was sagt MS was man machen soll?DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.Hatte der DC auch mal alle FMSO gehabt und nun wieder? Ich würde fast drauf wetten Du verwaltest nicht das AD sondern den asbachuralt DC (schau mal nach auf welchem Du mit der MMX drauf bist)
War eine lokale Anmeldung auf dem wiederhergestellten DC und starten der AD MMC nicht möglich gewesen?
Oder habt ihr nur von der Adminworkstation versucht?
und das AD ist auch nur teilweise verfügbar.
Wie Teilweise?aber die netlogon-Freigabe wird nicht aktiviert
Was sagen den Die logs warum er nicht will?Gruß
Chonta
.. und als Ergänzung zum Beitrag von Chonta.
Zuerst den inaktiven DC komplett aus dem AD entfernen. Herunterstufen wird nicht mehr gehen, er muss mit ziemlicher Sicherheit manuell entfernt werden.
Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.
LG Günther
Zuerst den inaktiven DC komplett aus dem AD entfernen. Herunterstufen wird nicht mehr gehen, er muss mit ziemlicher Sicherheit manuell entfernt werden.
Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.
LG Günther
Hi,
@RalphMichels
Und noch viel wichtiger: Lass die Finger davon! Hol Dir Profis ins Haus. Bei allem Respekt: Du hast keine Ahnung davon und wirst alles nur noch schlimmer machen! Anders kann ich mir Dein Vorgehen nicht erklären.
E.
Zuerst den inaktiven DC komplett aus dem AD entfernen. Herunterstufen wird nicht mehr gehen, er muss mit ziemlicher Sicherheit manuell entfernt werden.
Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.
Auch das wird nicht reichen. Er muss den Restore des DC's wiederholen.Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.
@RalphMichels
Und noch viel wichtiger: Lass die Finger davon! Hol Dir Profis ins Haus. Bei allem Respekt: Du hast keine Ahnung davon und wirst alles nur noch schlimmer machen! Anders kann ich mir Dein Vorgehen nicht erklären.
E.
Hier hast du einen Artikel dazu.
https://www.pcreview.co.uk/threads/rid-pool-corrupt-after-restore.144815 ...
Als erstes, trenne den alten DC vom Netz und spiel das Backup nochmal neu zurück.
Dann geh auf den DC und führe repadmin /showreps aus.
Wenn hier Replikationspartner angezeigt werden, schau ob du ntdsutil ausführen kannst.
Mach einen Metadata Cleanup und entferne eventuelle Referenzen auf den/die alten DC vom Netz.
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ...
Das sollte evtl. reichen damit der RID Master wieder startet.
Wenn nicht, schau dir mal diese Artikel zu den RID Values an, eventuell kannst du mit ADSIEdit was rausfinden.
https://support.microsoft.com/de-de/kb/305475
http://www.faq-o-matic.net/2012/09/10/der-rid-pool-und-seine-bedeutung/
Behalte aber auf jeden Fall dein Backup, damit du wieder auf den Stand vor den Reperaturen zurück kommen kannst.
https://www.pcreview.co.uk/threads/rid-pool-corrupt-after-restore.144815 ...
Als erstes, trenne den alten DC vom Netz und spiel das Backup nochmal neu zurück.
Dann geh auf den DC und führe repadmin /showreps aus.
Wenn hier Replikationspartner angezeigt werden, schau ob du ntdsutil ausführen kannst.
Mach einen Metadata Cleanup und entferne eventuelle Referenzen auf den/die alten DC vom Netz.
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ...
Das sollte evtl. reichen damit der RID Master wieder startet.
Wenn nicht, schau dir mal diese Artikel zu den RID Values an, eventuell kannst du mit ADSIEdit was rausfinden.
https://support.microsoft.com/de-de/kb/305475
http://www.faq-o-matic.net/2012/09/10/der-rid-pool-und-seine-bedeutung/
Behalte aber auf jeden Fall dein Backup, damit du wieder auf den Stand vor den Reperaturen zurück kommen kannst.
@rzlbrnft
Bevor wir ihm hier solche Tips geben, müssten wir ja erst mal ein paar Infos über sein AD bekommen. Wieviele DC's sonst noch, DNS-Server usw.
Und warum die Wiederherstellung seiner Meinung nach notwendig war.
Bevor wir ihm hier solche Tips geben, müssten wir ja erst mal ein paar Infos über sein AD bekommen. Wieviele DC's sonst noch, DNS-Server usw.
Und warum die Wiederherstellung seiner Meinung nach notwendig war.
Sorry, aber nein, das ist nicht zielführend.
Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.
Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.
Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
Sorry, aber nein, das ist nicht zielführend.
Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Na eben! Wir wissen es doch nicht. Lass ihn das doch erst mal schreiben. Bis dahin können gut gemeinte Tips imns Blaue hinein alles noch verschlimmern.Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.
Korrekt. Aber würdest Du jemanden weiterhin Auto fahren lassen, der Dir meldet: "Ich habe dann mal versuchsweise die Beachtung der Vorfahrt ausgeschaltet. Irgendwie hat das der andere nicht verstanden. Und die Autos haben es auch nicht so ganz überlebt. Komisch. Irgendwas stimmt da nicht."Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
Wenn es beim Nachbarn brennt, dann empfehle ich ihm schon mal, die Feuerwehr zu rufen. Gut - ich kann ihm auch zeigen, wie er es mit Brunnen und Eimer allein versuchen kann. Ob ich aber dabei gut fühle, ist eine andere Sache.
Hallo rzlbrnft,
Danke für die konkrete und konstruktive Info!
repadmin /showreps wurde schon vor dem Starten des alten DC´s ausgeführt.
Dort war der alte DC noch referenziert.
Alle FSMO-Rollen liegen beim neuen DC.
Ohne laufenden alten DC konnte man z.B. die MMC "Active Directory-Benutzer und -Computer" nicht starten... Meldung: "... Domäne nicht gefunden.."
Nach Start des alten DC war das wieder möglich und zwar auf beiden DC´s.
Ein testweise angelegter User erscheint in beiden MMCs.
Das Backup ist natürlich noch vorhanden und könnte wieder zurückgespielt werden.
Den Artikel
hatte ich recherchiert und gelesen und er hat mich auf diese "Spur" gebracht.
Die Ausgabe von repadmin /showreps hat mir dann aufgezeigt, dass der neue Server u.U. versucht, mit dem alten zu replizieren.
Natürlich ist es nicht i.O., dass der alte DC noch im AD vorhanden war - da ist wohl ein Fehler passiert.
Die Domäne sollte lediglich eine DC haben. Der "neue" sollte den "alten" ersetzen - der letzte Schritt, nämlich den alten DC aus der Domäne zu entfernen, wurde offensichtlich nicht durchgeführt...
Gerade weil ich kein AD-Profi bin, suche ich hier Hilfe
Ich bin gerade auf der Suche und auch schon in telefonischem Kontakt mit einem AD-Profi, da ich mir nicht sicher war/bin, ob ich durch das manuelle Entfernen des alten DC das Problem nicht noch verschärfe...
Ich werde das mal alles vorsichtig antesten
Dankeschön!
PS: Der betreffende Server steht bei einem Kunden. Der DC musste wiederhergestellt werden, da ein Trojaner diesen DC verschlüsselt hatte und auch gleich das Admin-Kennwort geändert hat...
Frag mich bitte nicht, wie das überhaupt möglich sein konnte. Ich weiß es leider nicht und konnte es auch noch nicht nachvollziehen.
Gruß Ralph
Danke für die konkrete und konstruktive Info!
repadmin /showreps wurde schon vor dem Starten des alten DC´s ausgeführt.
Dort war der alte DC noch referenziert.
Alle FSMO-Rollen liegen beim neuen DC.
Ohne laufenden alten DC konnte man z.B. die MMC "Active Directory-Benutzer und -Computer" nicht starten... Meldung: "... Domäne nicht gefunden.."
Nach Start des alten DC war das wieder möglich und zwar auf beiden DC´s.
Ein testweise angelegter User erscheint in beiden MMCs.
Das Backup ist natürlich noch vorhanden und könnte wieder zurückgespielt werden.
Den Artikel
hatte ich recherchiert und gelesen und er hat mich auf diese "Spur" gebracht.
Die Ausgabe von repadmin /showreps hat mir dann aufgezeigt, dass der neue Server u.U. versucht, mit dem alten zu replizieren.
Natürlich ist es nicht i.O., dass der alte DC noch im AD vorhanden war - da ist wohl ein Fehler passiert.
Die Domäne sollte lediglich eine DC haben. Der "neue" sollte den "alten" ersetzen - der letzte Schritt, nämlich den alten DC aus der Domäne zu entfernen, wurde offensichtlich nicht durchgeführt...
Gerade weil ich kein AD-Profi bin, suche ich hier Hilfe
Ich bin gerade auf der Suche und auch schon in telefonischem Kontakt mit einem AD-Profi, da ich mir nicht sicher war/bin, ob ich durch das manuelle Entfernen des alten DC das Problem nicht noch verschärfe...
Ich werde das mal alles vorsichtig antesten
Dankeschön!
PS: Der betreffende Server steht bei einem Kunden. Der DC musste wiederhergestellt werden, da ein Trojaner diesen DC verschlüsselt hatte und auch gleich das Admin-Kennwort geändert hat...
Frag mich bitte nicht, wie das überhaupt möglich sein konnte. Ich weiß es leider nicht und konnte es auch noch nicht nachvollziehen.
Gruß Ralph
@emeriks
Du kannst mich gerne direkt ansprechen, du musst nicht die 3. Person verwenden.
Gründe für die Wiederherstellung: s. Kommentar zum vorigen Post..
Gruß Ralph
Du kannst mich gerne direkt ansprechen, du musst nicht die 3. Person verwenden.
Gründe für die Wiederherstellung: s. Kommentar zum vorigen Post..
Gruß Ralph
@rzlbrnft
Zum Zeitpunkt, als ich das DR gemacht habe, war mir leider nicht bewusst, dass es im AD noch einen zweiten DC gibt.
Der sollte dort eigentlich nicht mehr vorhanden sein...
Danke.
Zum Zeitpunkt, als ich das DR gemacht habe, war mir leider nicht bewusst, dass es im AD noch einen zweiten DC gibt.
Der sollte dort eigentlich nicht mehr vorhanden sein...
Danke.
@emeriks:
Ich habe den Fall hier im Forum geschildert, um evtl. freundlicherweise Hilfe zu bekommen.
Um bei Deinen Bildern zu bleiben:
Wenn ich deinen Post lese, dann komme ich mir gerade nicht vor, als wärst du von der "Feuerwehr", sondern gehörst zur staunenden umstehenden Menge, die sich anschaut, wie schöne Farben das Feuer hat...
Nichts für ungut, aber konstruktiv ist anders!
Gruß
Ich habe den Fall hier im Forum geschildert, um evtl. freundlicherweise Hilfe zu bekommen.
Um bei Deinen Bildern zu bleiben:
Wenn ich deinen Post lese, dann komme ich mir gerade nicht vor, als wärst du von der "Feuerwehr", sondern gehörst zur staunenden umstehenden Menge, die sich anschaut, wie schöne Farben das Feuer hat...
Nichts für ungut, aber konstruktiv ist anders!
Gruß
Nach Start des alten DC war das wieder möglich und zwar auf beiden DC´s.
Und auf welchem DC warst Du gelandet? Wenn man die MMC auf ServerX öffnet kann man aber auch mit ServerY verbundne sein und diesen einsehen.Ein testweise angelegter User erscheint in beiden MMCs.
Juhu AD änderungen.... Es ist egal wo dieMMC geöffnet ist, entscheident ist mit welchem Server die MMX verbunden ist!Domäne nicht gefunden.."
Vermutlich ein DNS Problem, lief der DNS Server überhaupt? Hatte der "neue" DC noch den alten DC als DNS Server eingetragen?Dort war der alte DC noch referenziert.
Logo,. wenn der andere DC NIE aus runtergestuft und entfernt wurde. Und das ist das entscheidende Problem an der ganzen Sache!Das Backup ist natürlich noch vorhanden und könnte wieder zurückgespielt werden.
Na dann ma go.Meckern die anderen Server und Clients nicht ?
ob ich durch das manuelle Entfernen des alten DC das Problem nicht noch verschärfe...
Kommt drauf an, was da noch dran hängt und ob jetzt eine Replikation erfolgt zwischen den beiden und ob der alte DC sich Die Daen vom neuen geholt hat oder umgekehrt.Kommen ja kaum Rückinfos von Dir.
Gruß
Chonta
@RalphMichels
Du kannst mich gerne direkt ansprechen, du musst nicht die 3. Person verwenden.
Mit Verlaub, das habe ich stets getan. Jedoch wenn ich @rzlbrnft antworte, dann bist Du nun mal nur die 3. Person. Das ist ein "Problem" der Sprache.Wenn ich deinen Post lese, dann komme ich mir gerade nicht vor, als wärst du von der "Feuerwehr", sondern gehörst zur staunenden umstehenden Menge, die sich anschaut, wie schöne Farben das Feuer hat...
Nein, ganz sicher nicht, denn ich habe Dir doch gesagt, dass Du die Feuerwehr holen sollst, und nicht versucht, Dir was von Brunnen und Eimer zu erzählen. Und selber löschen kann ich nicht, dafür ist der Tatort zu weit entfernt. Leben zu retten, geht nun mal vor.Nichts für ungut, aber konstruktiv ist anders!
Das ist dann Ansichts- oder Verständnissache.
Hallo,
nur so als Anmerkung: Wurde das Disaster Recovery eigentlich auf der gleichen Hardware (MAC-Adressen usw.) durchgeführt?
Gruß,
Jörg
nur so als Anmerkung: Wurde das Disaster Recovery eigentlich auf der gleichen Hardware (MAC-Adressen usw.) durchgeführt?
Gruß,
Jörg
