antos
Goto Top

AD-Problem nach Wiederherstellung.

Fehler beim Neustart. Ereigniskennung: 2103. AD funktioniert aber.

Hallo zusammen,

letztens ist bei mir ein Server ausgefallen auf Grund eines Hardwaredefekts. Dieser war ein WS2003 DC incl. FSMO und Exchange. Wiederhergestellt wurde der Server mit einem mit einem Image. Was nicht gerade Datenbankfreundlich ist.
Ne aktuelle Systemstate-Sicherung hab ich leider nicht, da diese mittlerweile mit den Korrupten Files überschrieben wurden. Murphy lässt Grüssen.
Im Netzwerk sind zwei DC's vorhanden, in einer Domäne.
Ich hab soweit wieder alles am laufen. Jedoch wird beim Systemstart folgendes Ereignis im Eventlog angezeigt:


Ereignistyp: Fehler
Ereignisquelle: NTDS General
Ereigniskategorie: Dienststeuerung
Ereigniskennung: 2103
Beschreibung:
Die Active Directory-Datenbank wurde mit Hilfe eines nicht unterstützen Wiederherstellungsvorgangs wiederhergestellt.

Solange dieser Zustand besteht, können keine Benutzer durch das Active Directory angemeldet werden. Aus diesem Grund wird der Anmeldedienst angehalten...

Der Anmeldedienst wird schlafen gelegt, lässt sich aber manuell starten. In dem Fall funktioniert AD einwandfrei. Auch die Replikation mit dem anderen DC läuft reibungslos in beiden Richtungen.
Ein Integritätstest der NTDS.DIT läuft ohne Fehler durch. Ich hab auch ne Reparatur mit NTDSUTIL drüberlaufen lassen, hat aber auch nichts genutzt. DCDIAG läuft, soweit der Anmeldedienst gestartet wurde, auch Fehlerfrei durch.
Nächster Schritt wäre:

-FSMO entziehen, mit dcpromo zum member machen
-AD wieder installieren, replizieren lassen, FSMO wieder zuweisen.

Davor hab ich ehrlich gesagt ein wenig Bammel. Ich kann mir nicht vorstellen das gerade vom Exchange eine solche "Operation" spurlos hingenommen wird.
Vielleicht hat noch jemand eine Idee wie ich den Fehler anders weg bekomme. Jedenfalls wäre ich dankbar.
Wie dem auch sei,
wünsch ein schönes WE.
mfg
Antos

Content-ID: 93468

Url: https://administrator.de/forum/ad-problem-nach-wiederherstellung-93468.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

25510
25510 03.08.2008 um 01:09:43 Uhr
Goto Top
Hi,

soweit mir bekannt ist das der einzige Weg dieses Problem zu lösen.
Das ist auch der Grund, warum Image-Sicherungen in Server-Umgebungen nicht wirklich zu gebrauchen sind (leidiges Disskussions-Thema, Siehe .ws Domäne - Eine Alternative zu .de und .com).

mfg, TZ
GuentherH
GuentherH 03.08.2008 um 11:03:11 Uhr
Goto Top
Hallo.

Du hast ein typischen USN Rollback-Problem, das eben bei einem unsachgemäßen Restore über eine Image Sicherung auftritt.

Schau mal hier dazu - http://support.microsoft.com/kb/875495

Sollte dies nicht klappen, dann wird es schwierig. Du kannst nämlich einen DC mit installiertem Exchange nicht so einfach aus der Domäne nehmen. Im Klartext heißt das:

- Exchange Datenbanken sichern, eventuell die einzelnen Postfächer exportieren
- Exchange komplette deinstallieren
- IIS komplett deinstallieren
- Serverrollen übertragen
- DC komplett aus der Domäne nehmen
- und dann eben der umgekehrte Weg.

Auf jeden Fall weißt du für die Zukunft, dass die Sicherung mehrerer DCs über Images nicht das Wahre ist.

LG Günther
Antos
Antos 03.08.2008 um 12:36:32 Uhr
Goto Top
Hi TZ Hi GuentherH,

ich denke auch das mir nichts anderes übrig bleibt.
Doch zu dem Szenario hätte ich noch ein paar fragen.

@GuentherH:
Wie meinst du das mit \"...nicht einfach aus der Domäne nehmen\"? In KB875495 wird das doch beschreiben. Die Tatsache das ein Exchange installiert ist lässt doch so ein Handeln dann gar nicht zu. Oder sollte man ein Versuch wagen?
Worst Case kann ich statt dem deinstallieren/installieren genauso gut gleich komplett neu installieren, dann weiß ich wenigstens das alles Sauber ist. Und wer braucht schon ein freies Wochenende.
Das mit der Imagesicherung eines DC\'s ist natürlich Schrott. Wird auch bestimmt nicht mehr passieren.
mfg
Antos
GuentherH
GuentherH 03.08.2008 um 21:58:20 Uhr
Goto Top
Hallo.

Wie meinst du das mit \"...nicht einfach aus der Domäne nehmen\"?

Damit meinte ich, dass, wenn auf einem DC ein Exchange installiert ist, dieser sich nicht einfach mit DCPROMO zum Memberserver herunterstufen läßt, sondern vorher der Exchange deinstalliert werden muss.

Worst Case kann ich statt dem deinstallieren/installieren genauso gut gleich komplett neu installieren

Prinzipiell richtig, aber dann musst du aber wahrscheinlich den DC manuelle aus dem AD entfernen.

Das Problem ist einfach, dass auf dem DC ein Exchange läuft. Ich an deiner Stelle würde auf jeden Fall das Szenario in einer virtuellen Umgebung testen, bevor es ans eingemachte geht.

Das mit der Imagesicherung eines DC\'s ist natürlich Schrott. Wird auch bestimmt nicht mehr passieren.

Richtig. Mit dem Image alleine hast du ab 2 DCs eigentlich nur binären Schrott gesichert.


LG Günther
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 04.08.2008 um 14:36:00 Uhr
Goto Top
Huhuu,

Prinzipiell richtig, aber dann musst du aber wahrscheinlich den DC
manuelle aus dem AD entfernen.

nicht nur "wahrscheinlich", sondern zwingend!
Der DC repliziert sich auch in diesem Fall nicht mehr ordnungsgemäß mit seinen Replikationspartnern. Demzufolge muss dann der DC durch die erzwungene Herabstufung herutnergestuft werden.

Dieses erreicht man, im dem auf dem DC der Befehl DCPROMO /FORCEREMOVAL ausgeführt wird.
Anschließend werden die AD-Informationen LOKAL vom DC entfernt, nicht aber aus den Metadaten des Active Directory. Die Metadaten müssen gesondert bereinigt werden, entweder mit NTDSUTIL oder ADSIEdit.

[How to remove data in Active Directory after an unsuccessful domain controller demotion]
http://support.microsoft.com/kb/216498/en-us


Zum Thema Imaging empfehle ich noch diesen Artikel:

[Yusuf`s Directory - Blog - Images als Sicherung ?]
http://blog.dikmenoglu.de/PermaLink,guid,19ee7392-2228-45d0-b6ab-5dd1e9 ...


Viele Grüße
Yusuf Dikmenoglu
Antos
Antos 05.08.2008 um 13:42:18 Uhr
Goto Top
Hi,

noch ne Frage.
Im Falle einer Neuinstallation, kann/darf ich den selben Computernamen Verwenden? Würde mir ne menge Arbeit ersparen!
mfg
Antos
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 05.08.2008 um 14:21:59 Uhr
Goto Top
Im Falle einer Neuinstallation, kann/darf ich den selben Computernamen Verwenden?

Ja, aber nur wenn vorher die Metadaten des Active Directory bereinigt wurden (Kb 216498).
Natürlich sollten die SRV- sowie CNAME Records des geimageten DCs auch aus der Domänen-Forward Lookup Zone und aus der Zone "_msdcs.Root-Domäne" entfernt werden. Dann steht dem heraufstufen zum DC mit dem gleichen Computernamen nichts mehr im Weg.


Viele Grüße
Yusuf Dikmenoglu
GuentherH
GuentherH 05.08.2008 um 14:43:10 Uhr
Goto Top
Hallo.

Der gleiche Name ist sogar zwingend notwendig, wenn du die Datenbanken des Exchange Server auf dem neuen Server verwenden willst.

LG Günther
Antos
Antos 10.08.2008 um 20:54:48 Uhr
Goto Top
Hallo zusammen,

also die Operation ist soweit erfolgreich abgeschlossen. Ein manuelles Entfernen war nicht nötig, da die Deinstallation sauber mit DCPROMO durchlief. Aber ich muß schon sagen, ist echt ne menge Arbeit. Gerade der Exchange. Die Vorbereitung ausgelassen hat mich das alles ca. 10 Stunden gekostet. Exchange hat noch ein paar kleine Wehwechen, aber nichts Wildes.
Für alle die dass noch vor sich haben:
1. Auf alle Fälle vorher einmal durchspielen. Virtuell oder auf anderer Hardware. Man stößt auf Probleme auf die man vorbereitet sein sollte, gerade dann wenn nur ein bestimmtes Zeitkontingent zur Verfügung steht.
2. Viel Kaffee und Geduld ist gefragt. Wer anfängt zu Pfuschen läuft auf.
3. Die ganzen KB's bei Microsoft und Co. vorher durcharbeiten.
4. Sich überlegen wie man das dem Chef verkauft, nachdem man das halbe Wochenende ruminstalliert hat und sich aus Benutzersicht nichts an der EDV verändert hat.
5. Image bei DC sind nicht gut. Wirklich nicht!

Jedenfalls Danke ich für eure Unterstützung!
mfg
Antos