Active Directory-Problem nach Disaster Recovery
Hallo,
nach einem notwendigen Disaster Recovery - einer vollständigen Wiederherstellung eines Win2012-DC aus einem per Symantec BackupExec erstellten Backup habe ich noch das Problem, dass das ActiveDirectory "nicht funktioniert".
Ein Zugriff auf die Server-Freigaben ist möglich, aber die netlogon-Freigabe wird nicht aktiviert und das AD ist auch nur teilweise verfügbar.
Nach intensiver Recherche, scheint der Fehler beim Reset des sog. RID-Pool zu liegen. Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".
DCDiag bringt folgenden Fehler:
rIDPreviousAllocationPool ist ungültig.
Der Server verfügt über alle FSMO-Rollen. Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.
Das Problem besteht aber grundsätzlich weiterhin. Der alte Server wird am neuen Server mittels "repadmin" noch als Replikationspartner aufgeführt. Replikation funktioniert aber nicht.
Ich suche nun auf diesem Weg die Hilfe eines "AD-Profis", da ich denke und hoffe, dass dieses Problem mit gezielten Eingriffen ins AD zu lösen sein sollte.
Vielen Dank für eine Rückmeldung!
Freundliche Grüße
Ralph Michels
nach einem notwendigen Disaster Recovery - einer vollständigen Wiederherstellung eines Win2012-DC aus einem per Symantec BackupExec erstellten Backup habe ich noch das Problem, dass das ActiveDirectory "nicht funktioniert".
Ein Zugriff auf die Server-Freigaben ist möglich, aber die netlogon-Freigabe wird nicht aktiviert und das AD ist auch nur teilweise verfügbar.
Nach intensiver Recherche, scheint der Fehler beim Reset des sog. RID-Pool zu liegen. Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".
DCDiag bringt folgenden Fehler:
- DsBind with RID Master was successful
- rIDAllocationPool is 1603 to 2102
rIDPreviousAllocationPool ist ungültig.
- rIDPreviousAllocationPool is 0 to 0
- rIDNextRID: 0
Der Server verfügt über alle FSMO-Rollen. Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.
Das Problem besteht aber grundsätzlich weiterhin. Der alte Server wird am neuen Server mittels "repadmin" noch als Replikationspartner aufgeführt. Replikation funktioniert aber nicht.
Ich suche nun auf diesem Weg die Hilfe eines "AD-Profis", da ich denke und hoffe, dass dieses Problem mit gezielten Eingriffen ins AD zu lösen sein sollte.
Vielen Dank für eine Rückmeldung!
Freundliche Grüße
Ralph Michels
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323715
Url: https://administrator.de/forum/active-directory-problem-nach-disaster-recovery-323715.html
Ausgedruckt am: 06.04.2025 um 19:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Spätestens diese Aktion hat ggf das AD komplett zerschossen.
Der alte DC hat doch null Peilung davon was in der zwischenzeit im AD verändert wurde. Da der "neue" ja nicht ansprechbar ist antwortet nur der Alte mit Daten und IDs aus der Vorzeit.....
Die Logeinträge wären mal hilfreich gewesen.
Hatte der DC auch mal alle FMSO gehabt und nun wieder? Ich würde fast drauf wetten Du verwaltest nicht das AD sondern den asbachuralt DC (schau mal nach auf welchem Du mit der MMX drauf bist)
War eine lokale Anmeldung auf dem wiederhergestellten DC und starten der AD MMC nicht möglich gewesen?
Oder habt ihr nur von der Adminworkstation versucht?
Gruß
Chonta
Ein alter - seit einem Jahr eigentlich inaktiver - DC wurde zwischenzeitlich wieder ins Netz gebracht.
Wie zum Geier kann man in einem AD einen seit einem Jahr inaktiven DC im AD haben? Etweder ein DC läuft oder wird aus der Domäne entfernt....Spätestens diese Aktion hat ggf das AD komplett zerschossen.
Der alte DC hat doch null Peilung davon was in der zwischenzeit im AD verändert wurde. Da der "neue" ja nicht ansprechbar ist antwortet nur der Alte mit Daten und IDs aus der Vorzeit.....
Replikation funktioniert aber nicht.
Kunststück.Die Logeinträge wären mal hilfreich gewesen.
Ein Umstand der lt. MS-TechNet wohl in diesem Falle "vorkommen kann".
Und was sagt MS was man machen soll?DC wurde zwischenzeitlich wieder ins Netz gebracht.
Nach diesem Schritt konnte die Domäne wieder mit GUI-Tools "verwaltet" werden.Hatte der DC auch mal alle FMSO gehabt und nun wieder? Ich würde fast drauf wetten Du verwaltest nicht das AD sondern den asbachuralt DC (schau mal nach auf welchem Du mit der MMX drauf bist)
War eine lokale Anmeldung auf dem wiederhergestellten DC und starten der AD MMC nicht möglich gewesen?
Oder habt ihr nur von der Adminworkstation versucht?
und das AD ist auch nur teilweise verfügbar.
Wie Teilweise?aber die netlogon-Freigabe wird nicht aktiviert
Was sagen den Die logs warum er nicht will?Gruß
Chonta
Hi,
@RalphMichels
Und noch viel wichtiger: Lass die Finger davon! Hol Dir Profis ins Haus. Bei allem Respekt: Du hast keine Ahnung davon und wirst alles nur noch schlimmer machen! Anders kann ich mir Dein Vorgehen nicht erklären.
E.
Zuerst den inaktiven DC komplett aus dem AD entfernen. Herunterstufen wird nicht mehr gehen, er muss mit ziemlicher Sicherheit manuell entfernt werden.
Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.
Auch das wird nicht reichen. Er muss den Restore des DC's wiederholen.Erst dann und wirklich erst dann macht es Sinn sich mit den weiteren Problemen zu befassen.
@RalphMichels
Und noch viel wichtiger: Lass die Finger davon! Hol Dir Profis ins Haus. Bei allem Respekt: Du hast keine Ahnung davon und wirst alles nur noch schlimmer machen! Anders kann ich mir Dein Vorgehen nicht erklären.
E.
Hier hast du einen Artikel dazu.
https://www.pcreview.co.uk/threads/rid-pool-corrupt-after-restore.144815 ...
Als erstes, trenne den alten DC vom Netz und spiel das Backup nochmal neu zurück.
Dann geh auf den DC und führe repadmin /showreps aus.
Wenn hier Replikationspartner angezeigt werden, schau ob du ntdsutil ausführen kannst.
Mach einen Metadata Cleanup und entferne eventuelle Referenzen auf den/die alten DC vom Netz.
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ...
Das sollte evtl. reichen damit der RID Master wieder startet.
Wenn nicht, schau dir mal diese Artikel zu den RID Values an, eventuell kannst du mit ADSIEdit was rausfinden.
https://support.microsoft.com/de-de/kb/305475
http://www.faq-o-matic.net/2012/09/10/der-rid-pool-und-seine-bedeutung/
Behalte aber auf jeden Fall dein Backup, damit du wieder auf den Stand vor den Reperaturen zurück kommen kannst.
https://www.pcreview.co.uk/threads/rid-pool-corrupt-after-restore.144815 ...
Als erstes, trenne den alten DC vom Netz und spiel das Backup nochmal neu zurück.
Dann geh auf den DC und führe repadmin /showreps aus.
Wenn hier Replikationspartner angezeigt werden, schau ob du ntdsutil ausführen kannst.
Mach einen Metadata Cleanup und entferne eventuelle Referenzen auf den/die alten DC vom Netz.
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ...
Das sollte evtl. reichen damit der RID Master wieder startet.
Wenn nicht, schau dir mal diese Artikel zu den RID Values an, eventuell kannst du mit ADSIEdit was rausfinden.
https://support.microsoft.com/de-de/kb/305475
http://www.faq-o-matic.net/2012/09/10/der-rid-pool-und-seine-bedeutung/
Behalte aber auf jeden Fall dein Backup, damit du wieder auf den Stand vor den Reperaturen zurück kommen kannst.
@rzlbrnft
Bevor wir ihm hier solche Tips geben, müssten wir ja erst mal ein paar Infos über sein AD bekommen. Wieviele DC's sonst noch, DNS-Server usw.
Und warum die Wiederherstellung seiner Meinung nach notwendig war.
Bevor wir ihm hier solche Tips geben, müssten wir ja erst mal ein paar Infos über sein AD bekommen. Wieviele DC's sonst noch, DNS-Server usw.
Und warum die Wiederherstellung seiner Meinung nach notwendig war.
Sorry, aber nein, das ist nicht zielführend.
Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.
Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.
Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
Sorry, aber nein, das ist nicht zielführend.
Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Na eben! Wir wissen es doch nicht. Lass ihn das doch erst mal schreiben. Bis dahin können gut gemeinte Tips imns Blaue hinein alles noch verschlimmern.Wer mehr als einen aktiven DC hat, macht kein Disaster Recovery, ganz einfach.
Man kann ihm durchaus ein bisschen Ahnung zugestehen, auch wenn er mit dem reaktivieren des zweiten DCs Mist gebaut hat.
Korrekt. Aber würdest Du jemanden weiterhin Auto fahren lassen, der Dir meldet: "Ich habe dann mal versuchsweise die Beachtung der Vorfahrt ausgeschaltet. Irgendwie hat das der andere nicht verstanden. Und die Autos haben es auch nicht so ganz überlebt. Komisch. Irgendwas stimmt da nicht."Desweiteren sollen diese Threads auch Leuten helfen die ähnliche Probleme und danach googlen, da helfen Posts wie "lass den Profi ran das kannst du nicht" keinem weiter.
Wenn es beim Nachbarn brennt, dann empfehle ich ihm schon mal, die Feuerwehr zu rufen. Gut - ich kann ihm auch zeigen, wie er es mit Brunnen und Eimer allein versuchen kann. Ob ich aber dabei gut fühle, ist eine andere Sache.Nach Start des alten DC war das wieder möglich und zwar auf beiden DC´s.
Und auf welchem DC warst Du gelandet? Wenn man die MMC auf ServerX öffnet kann man aber auch mit ServerY verbundne sein und diesen einsehen.Ein testweise angelegter User erscheint in beiden MMCs.
Juhu AD änderungen.... Es ist egal wo dieMMC geöffnet ist, entscheident ist mit welchem Server die MMX verbunden ist!Domäne nicht gefunden.."
Vermutlich ein DNS Problem, lief der DNS Server überhaupt? Hatte der "neue" DC noch den alten DC als DNS Server eingetragen?Dort war der alte DC noch referenziert.
Logo,. wenn der andere DC NIE aus runtergestuft und entfernt wurde. Und das ist das entscheidende Problem an der ganzen Sache!Das Backup ist natürlich noch vorhanden und könnte wieder zurückgespielt werden.
Na dann ma go.Meckern die anderen Server und Clients nicht ?
ob ich durch das manuelle Entfernen des alten DC das Problem nicht noch verschärfe...
Kommt drauf an, was da noch dran hängt und ob jetzt eine Replikation erfolgt zwischen den beiden und ob der alte DC sich Die Daen vom neuen geholt hat oder umgekehrt.Kommen ja kaum Rückinfos von Dir.
Gruß
Chonta
@RalphMichels
Du kannst mich gerne direkt ansprechen, du musst nicht die 3. Person verwenden.
Mit Verlaub, das habe ich stets getan. Jedoch wenn ich @rzlbrnft antworte, dann bist Du nun mal nur die 3. Person. Das ist ein "Problem" der Sprache.Wenn ich deinen Post lese, dann komme ich mir gerade nicht vor, als wärst du von der "Feuerwehr", sondern gehörst zur staunenden umstehenden Menge, die sich anschaut, wie schöne Farben das Feuer hat...
Nein, ganz sicher nicht, denn ich habe Dir doch gesagt, dass Du die Feuerwehr holen sollst, und nicht versucht, Dir was von Brunnen und Eimer zu erzählen. Und selber löschen kann ich nicht, dafür ist der Tatort zu weit entfernt. Leben zu retten, geht nun mal vor.Nichts für ungut, aber konstruktiv ist anders!
Das ist dann Ansichts- oder Verständnissache.
Hallo,
nur so als Anmerkung: Wurde das Disaster Recovery eigentlich auf der gleichen Hardware (MAC-Adressen usw.) durchgeführt?
Gruß,
Jörg
nur so als Anmerkung: Wurde das Disaster Recovery eigentlich auf der gleichen Hardware (MAC-Adressen usw.) durchgeführt?
Gruß,
Jörg