AD-Problem nach Wiederherstellung.
Fehler beim Neustart. Ereigniskennung: 2103. AD funktioniert aber.
Hallo zusammen,
letztens ist bei mir ein Server ausgefallen auf Grund eines Hardwaredefekts. Dieser war ein WS2003 DC incl. FSMO und Exchange. Wiederhergestellt wurde der Server mit einem mit einem Image. Was nicht gerade Datenbankfreundlich ist.
Ne aktuelle Systemstate-Sicherung hab ich leider nicht, da diese mittlerweile mit den Korrupten Files überschrieben wurden. Murphy lässt Grüssen.
Im Netzwerk sind zwei DC's vorhanden, in einer Domäne.
Ich hab soweit wieder alles am laufen. Jedoch wird beim Systemstart folgendes Ereignis im Eventlog angezeigt:
Ereignistyp: Fehler
Ereignisquelle: NTDS General
Ereigniskategorie: Dienststeuerung
Ereigniskennung: 2103
Beschreibung:
Die Active Directory-Datenbank wurde mit Hilfe eines nicht unterstützen Wiederherstellungsvorgangs wiederhergestellt.
Solange dieser Zustand besteht, können keine Benutzer durch das Active Directory angemeldet werden. Aus diesem Grund wird der Anmeldedienst angehalten...
Der Anmeldedienst wird schlafen gelegt, lässt sich aber manuell starten. In dem Fall funktioniert AD einwandfrei. Auch die Replikation mit dem anderen DC läuft reibungslos in beiden Richtungen.
Ein Integritätstest der NTDS.DIT läuft ohne Fehler durch. Ich hab auch ne Reparatur mit NTDSUTIL drüberlaufen lassen, hat aber auch nichts genutzt. DCDIAG läuft, soweit der Anmeldedienst gestartet wurde, auch Fehlerfrei durch.
Nächster Schritt wäre:
-FSMO entziehen, mit dcpromo zum member machen
-AD wieder installieren, replizieren lassen, FSMO wieder zuweisen.
Davor hab ich ehrlich gesagt ein wenig Bammel. Ich kann mir nicht vorstellen das gerade vom Exchange eine solche "Operation" spurlos hingenommen wird.
Vielleicht hat noch jemand eine Idee wie ich den Fehler anders weg bekomme. Jedenfalls wäre ich dankbar.
Wie dem auch sei,
wünsch ein schönes WE.
mfg
Antos
Hallo zusammen,
letztens ist bei mir ein Server ausgefallen auf Grund eines Hardwaredefekts. Dieser war ein WS2003 DC incl. FSMO und Exchange. Wiederhergestellt wurde der Server mit einem mit einem Image. Was nicht gerade Datenbankfreundlich ist.
Ne aktuelle Systemstate-Sicherung hab ich leider nicht, da diese mittlerweile mit den Korrupten Files überschrieben wurden. Murphy lässt Grüssen.
Im Netzwerk sind zwei DC's vorhanden, in einer Domäne.
Ich hab soweit wieder alles am laufen. Jedoch wird beim Systemstart folgendes Ereignis im Eventlog angezeigt:
Ereignistyp: Fehler
Ereignisquelle: NTDS General
Ereigniskategorie: Dienststeuerung
Ereigniskennung: 2103
Beschreibung:
Die Active Directory-Datenbank wurde mit Hilfe eines nicht unterstützen Wiederherstellungsvorgangs wiederhergestellt.
Solange dieser Zustand besteht, können keine Benutzer durch das Active Directory angemeldet werden. Aus diesem Grund wird der Anmeldedienst angehalten...
Der Anmeldedienst wird schlafen gelegt, lässt sich aber manuell starten. In dem Fall funktioniert AD einwandfrei. Auch die Replikation mit dem anderen DC läuft reibungslos in beiden Richtungen.
Ein Integritätstest der NTDS.DIT läuft ohne Fehler durch. Ich hab auch ne Reparatur mit NTDSUTIL drüberlaufen lassen, hat aber auch nichts genutzt. DCDIAG läuft, soweit der Anmeldedienst gestartet wurde, auch Fehlerfrei durch.
Nächster Schritt wäre:
-FSMO entziehen, mit dcpromo zum member machen
-AD wieder installieren, replizieren lassen, FSMO wieder zuweisen.
Davor hab ich ehrlich gesagt ein wenig Bammel. Ich kann mir nicht vorstellen das gerade vom Exchange eine solche "Operation" spurlos hingenommen wird.
Vielleicht hat noch jemand eine Idee wie ich den Fehler anders weg bekomme. Jedenfalls wäre ich dankbar.
Wie dem auch sei,
wünsch ein schönes WE.
mfg
Antos
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93468
Url: https://administrator.de/forum/ad-problem-nach-wiederherstellung-93468.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
soweit mir bekannt ist das der einzige Weg dieses Problem zu lösen.
Das ist auch der Grund, warum Image-Sicherungen in Server-Umgebungen nicht wirklich zu gebrauchen sind (leidiges Disskussions-Thema, Siehe .ws Domäne - Eine Alternative zu .de und .com).
mfg, TZ
soweit mir bekannt ist das der einzige Weg dieses Problem zu lösen.
Das ist auch der Grund, warum Image-Sicherungen in Server-Umgebungen nicht wirklich zu gebrauchen sind (leidiges Disskussions-Thema, Siehe .ws Domäne - Eine Alternative zu .de und .com).
mfg, TZ
Hallo.
Du hast ein typischen USN Rollback-Problem, das eben bei einem unsachgemäßen Restore über eine Image Sicherung auftritt.
Schau mal hier dazu - http://support.microsoft.com/kb/875495
Sollte dies nicht klappen, dann wird es schwierig. Du kannst nämlich einen DC mit installiertem Exchange nicht so einfach aus der Domäne nehmen. Im Klartext heißt das:
- Exchange Datenbanken sichern, eventuell die einzelnen Postfächer exportieren
- Exchange komplette deinstallieren
- IIS komplett deinstallieren
- Serverrollen übertragen
- DC komplett aus der Domäne nehmen
- und dann eben der umgekehrte Weg.
Auf jeden Fall weißt du für die Zukunft, dass die Sicherung mehrerer DCs über Images nicht das Wahre ist.
LG Günther
Du hast ein typischen USN Rollback-Problem, das eben bei einem unsachgemäßen Restore über eine Image Sicherung auftritt.
Schau mal hier dazu - http://support.microsoft.com/kb/875495
Sollte dies nicht klappen, dann wird es schwierig. Du kannst nämlich einen DC mit installiertem Exchange nicht so einfach aus der Domäne nehmen. Im Klartext heißt das:
- Exchange Datenbanken sichern, eventuell die einzelnen Postfächer exportieren
- Exchange komplette deinstallieren
- IIS komplett deinstallieren
- Serverrollen übertragen
- DC komplett aus der Domäne nehmen
- und dann eben der umgekehrte Weg.
Auf jeden Fall weißt du für die Zukunft, dass die Sicherung mehrerer DCs über Images nicht das Wahre ist.
LG Günther
Hallo.
Damit meinte ich, dass, wenn auf einem DC ein Exchange installiert ist, dieser sich nicht einfach mit DCPROMO zum Memberserver herunterstufen läßt, sondern vorher der Exchange deinstalliert werden muss.
Prinzipiell richtig, aber dann musst du aber wahrscheinlich den DC manuelle aus dem AD entfernen.
Das Problem ist einfach, dass auf dem DC ein Exchange läuft. Ich an deiner Stelle würde auf jeden Fall das Szenario in einer virtuellen Umgebung testen, bevor es ans eingemachte geht.
Richtig. Mit dem Image alleine hast du ab 2 DCs eigentlich nur binären Schrott gesichert.
LG Günther
Wie meinst du das mit \"...nicht einfach aus der Domäne nehmen\"?
Damit meinte ich, dass, wenn auf einem DC ein Exchange installiert ist, dieser sich nicht einfach mit DCPROMO zum Memberserver herunterstufen läßt, sondern vorher der Exchange deinstalliert werden muss.
Worst Case kann ich statt dem deinstallieren/installieren genauso gut gleich komplett neu installieren
Prinzipiell richtig, aber dann musst du aber wahrscheinlich den DC manuelle aus dem AD entfernen.
Das Problem ist einfach, dass auf dem DC ein Exchange läuft. Ich an deiner Stelle würde auf jeden Fall das Szenario in einer virtuellen Umgebung testen, bevor es ans eingemachte geht.
Das mit der Imagesicherung eines DC\'s ist natürlich Schrott. Wird auch bestimmt nicht mehr passieren.
Richtig. Mit dem Image alleine hast du ab 2 DCs eigentlich nur binären Schrott gesichert.
LG Günther
Huhuu,
nicht nur "wahrscheinlich", sondern zwingend!
Der DC repliziert sich auch in diesem Fall nicht mehr ordnungsgemäß mit seinen Replikationspartnern. Demzufolge muss dann der DC durch die erzwungene Herabstufung herutnergestuft werden.
Dieses erreicht man, im dem auf dem DC der Befehl DCPROMO /FORCEREMOVAL ausgeführt wird.
Anschließend werden die AD-Informationen LOKAL vom DC entfernt, nicht aber aus den Metadaten des Active Directory. Die Metadaten müssen gesondert bereinigt werden, entweder mit NTDSUTIL oder ADSIEdit.
[How to remove data in Active Directory after an unsuccessful domain controller demotion]
http://support.microsoft.com/kb/216498/en-us
Zum Thema Imaging empfehle ich noch diesen Artikel:
[Yusuf`s Directory - Blog - Images als Sicherung ?]
http://blog.dikmenoglu.de/PermaLink,guid,19ee7392-2228-45d0-b6ab-5dd1e9 ...
Viele Grüße
Yusuf Dikmenoglu
Prinzipiell richtig, aber dann musst du aber wahrscheinlich den DC
manuelle aus dem AD entfernen.
manuelle aus dem AD entfernen.
nicht nur "wahrscheinlich", sondern zwingend!
Der DC repliziert sich auch in diesem Fall nicht mehr ordnungsgemäß mit seinen Replikationspartnern. Demzufolge muss dann der DC durch die erzwungene Herabstufung herutnergestuft werden.
Dieses erreicht man, im dem auf dem DC der Befehl DCPROMO /FORCEREMOVAL ausgeführt wird.
Anschließend werden die AD-Informationen LOKAL vom DC entfernt, nicht aber aus den Metadaten des Active Directory. Die Metadaten müssen gesondert bereinigt werden, entweder mit NTDSUTIL oder ADSIEdit.
[How to remove data in Active Directory after an unsuccessful domain controller demotion]
http://support.microsoft.com/kb/216498/en-us
Zum Thema Imaging empfehle ich noch diesen Artikel:
[Yusuf`s Directory - Blog - Images als Sicherung ?]
http://blog.dikmenoglu.de/PermaLink,guid,19ee7392-2228-45d0-b6ab-5dd1e9 ...
Viele Grüße
Yusuf Dikmenoglu
Im Falle einer Neuinstallation, kann/darf ich den selben Computernamen Verwenden?
Ja, aber nur wenn vorher die Metadaten des Active Directory bereinigt wurden (Kb 216498).
Natürlich sollten die SRV- sowie CNAME Records des geimageten DCs auch aus der Domänen-Forward Lookup Zone und aus der Zone "_msdcs.Root-Domäne" entfernt werden. Dann steht dem heraufstufen zum DC mit dem gleichen Computernamen nichts mehr im Weg.
Viele Grüße
Yusuf Dikmenoglu