AD - gelöschte Exchange-Server wieder herstellen

Mitglied: altmetaller

altmetaller (Level 4) - Jetzt verbinden

25.03.2016 um 23:50 Uhr, 1478 Aufrufe, 7 Kommentare

Ich habe in meinem ActiveDirectory leider Gottes die Computerobjekte von zwei Exchange-Servern (virtuelle Maschinen) gelöscht und das erst 10 Tage später bemerkt.

Da ich parallel dazu gerade ein paar Backupprogramme evaluiere, gibt es kein funktionierendes Backup.

Die Computerobjekt konnte ich wieder herstellen (https://technet.microsoft.com/en-us/library/dd379509%28v=ws.10%29.aspx), ebenso die beiden bei HyperV üblichen darunterliegenden Einträge (CN=Windows Virtual Machine...)

Im AD werden die Computer auch wieder angezeigt, allerdings sind in den Eigenschaften alle Felder unter dem Reiter "Betriebssystem" leer.

Eine Anmeldung auf den virtuellen Maschinen funktioniert nach wie vor nicht. Als Fehlermeldung kommt: "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung".

Das ist wohl ziemlich eindeutig - die virtuelle Maschine wird nicht mit dem AD-Computerkonto assoziiert.

Da ich mir aber ziemlich sicher bin, dass korrekte Objekt wieder hergestellt zu haben wundere ich mich schon "irgendwie", warum das der Fall ist. Die GUID und die Sid haben sich ja leztendlich nicht geändert?!?


Wie bekomme ich das denn wieder geradegezupft?

1. Überlegung: Die VM "irgendwie" aus der Domäne kegeln und wieder in der Domäne hinzufügen. Das scheitert daran, dass:
  • der Domänenbeitritt die lokale Anmeldemöglichkeit deaktiviert
  • ich mich mit den Domänendaten zwar im abgesicherten Modus anmelden kann, dort aber nicht die Domäne verlassen kann

2. Überlegung: "Irgendwie" doch noch einmal überprüfen, ob GUID und Sid wirklich stimmen und diese via ldp.exe korrigieren
  • Ist das wirklich zielführend?
  • Wie bekomme ich die Daten im abgesicherten Modus ausgelesen

3. Überlegung: Die VM im abgesicherten Modus starten und via Offline-Domänenbeitritt noch einmal in die Domäne schubsen (laut https://technet.microsoft.com/de-de/library/offline-domain-join-djoin-st ... ist das auch auf bestehenden Konten möglich)
  • Funktioniert das auch im abgesicherten Modus

4. "Irgendwie" im abgesicherten Modus auf den VM die lokale Anmeldung reaktivien und die VMs dann sauber aus der Domäne heben
  • Dazu findet man recht wenig. Frei nach dem Motto: "Ich könnte es Dir sagen, die Richtlinien hier im Forum verbieten es aber..."
Mitglied: agowa338
26.03.2016, aktualisiert um 02:48 Uhr
Habt ihr für 1. also die Deaktivierung der lokalen Anmeldung eine Richtlinie? Normalerweise muss für lokale Benutzer ja nur ".\" vor den Namen geschrieben werden.
Als nächstes hoffe ich, du hast zumindest jetzt ein funktionierendes Backup des fehlerhaften Zustands, bevor mit irgendwelchen Reparaturversuchen angefangen hast...

Abschließend ist es nicht gut, wenn du zuerst die VM aus der Domäne nimmst, weil hierbei das Computerkonto gelöscht wird, das kann funktionieren muss aber nicht, weil u. a. bei einem Rejoin die Sid erneut vergeben wird. Besser ist hier den Befehl "Reset-ComputerMachinePasswort" in einer Administrativen PowerShell auszuführen, damit z. B. die SID identisch bleibt.
Sollte hierbei ein Zugriff verweigert auftreten, sind folgende Parameter noch erforderlich:

Sollte bei dir die lokale Anmeldung wirklich nicht möglich sein, gibt es ja immer noch den Umweg über die DaRT-CD zum Kennwort Zurücksetzen.

P. S. Ich liebe den Active Directory Papierkorb ;-) face-wink
Bitte warten ..
Mitglied: altmetaller
26.03.2016 um 08:27 Uhr
Mit .\Admimistrator erhalte ich die Fehlermeldung, dass die Zugangsdaten falsch sind.

Es existieren keine eigenen Richtlinien.

Das Reset-ComputerMachinePassword gegen den DC kann eigentlich nicht erfolgreich sein, da der Server ja jeden Kontakt mit der Domäne verweigert - oder?


Die Server brachial aus der Domäne zu reißen ist nur eine Idee. Vielleicht gibt es noch eine andere Möglichkeit?
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
26.03.2016 um 08:58 Uhr
Zitat von @altmetaller:
Das Reset-ComputerMachinePassword gegen den DC kann eigentlich nicht erfolgreich sein, da der Server ja jeden Kontakt mit der Domäne verweigert - oder?
Doch:
https://www.administrator.de/forum/theorie-reset-computermachinepassword ...

Gruß jodel32
Bitte warten ..
Mitglied: altmetaller
26.03.2016 um 09:09 Uhr
Nein, mit dem Befehl bin ich nicht weitergekommen. Ich habe jetzt aber ein anderes lokales Passwort setzen können: Abgesicherter Modus gebootet, mit Domänendaten angemeldet, Administrator in der lokalen Benutzerverwaltung angeklickt und neues Kennwort gesetzt.

Jetzt komme ich zumindest erst einmal wieder auf die Maschinen drauf.

Aus der Domäne komme ich aber trotzdem nicht raus: Auf der einen VM läuft eine Zertifizierungsstelle (...auf deren Inhalt ich gut und gerne verzichten kann, das war mal ein Test).

Ohne Verbindung zur Domäne bekomme ich die jedoch nicht entfernt (Eieruhr)...

Im Grunde genommen reicht es mir, die beiden Server noch einmal "sauber" in die Domäne zu bekommen damit ich das Exchange deinstallieren kann. Danach schmeiße ich die VMs und den Exchange weg und schwöre, dass ich die Rechnernamen nie wieder neu vergeben werde :-) face-smile
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
26.03.2016, aktualisiert um 09:20 Uhr
Wenn das Computerobjekt des Servers im AD existiert resette es mal in der MMC und zur Verwendung des PS CMDlets benötigst du lediglich lokale Adminrechte auf dem Server, die du ja jetzt wieder hast. Das muss funktionieren, ansonsten wurde noch mehr gelöscht bzw. nicht alles wiederhergestellt.
Ansonsten den Exchange manuell aus dem AD tilgen
https://www.administrator.de/wissen/exchange-2013-active-directory-l&oum ...
Bitte warten ..
Mitglied: altmetaller
26.03.2016 um 09:49 Uhr
Exchange 2010

Ich gucke mir das mal an und poste gerne nachher meine Erfahrungen :-) face-smile
Bitte warten ..
Mitglied: altmetaller
26.03.2016 um 20:12 Uhr
Nachdem ich den Server erfolgreich aus dem AD entfernen und wieder ins AD eingefügt habe, habe ich die gleiche Fehlermeldung bekommen: "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung".

Ich habe mich entschieden, das AD und die Exchange-Server aufzugeben.

Ist ja eh' nur ein Testnetz (gewesen).
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 1 TagTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 21 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1012 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 11 StundenFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 10 StundenFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...