AD Server Wiederherstellen in Redundanter Umgebung
Hi Zusammen,
wir haben bei uns im Unternehmen 2 HyperV VMs Windows Server 2008R2 mit Active Directory
Beide laufen redundant als Master Slave.
Heute ist es passiert, das der Master sich aufgehangen hat und beim Booten einen Bluescreen zeigt.
Stop: 0x00000007B (Verweist auf Speicherproblem)
Scheinbar ist die Installation beschädigt, da chkdsk und RAM Diagnose nichts finden können.
Das verschieben der VM auf einen anderen HyperV Host hat auch keine Änderung gebracht.
Meine Frage ist:
Wir haben mehrere Prüfpunkte und Backups des AD Master Servers. Wenn wir diesen wiederherstellen, wie verhalten sich dann die 2 AD Server untereinander (es fehlen ca. 1 Woche Daten was nicht viel ist, vielleicht 1-2 Accounts) Wird der Slave auf den stand des Master Servers zurückgesetzt und "löscht" den Fortschritt den der Master nicht hat oder übernimmt der Master die Daten des Slaves?
Gibt es vielleicht noch eine elegantere Lösung die mir gerade nicht einfällt?
Liebe Grüße
Yell-ing
wir haben bei uns im Unternehmen 2 HyperV VMs Windows Server 2008R2 mit Active Directory
Beide laufen redundant als Master Slave.
Heute ist es passiert, das der Master sich aufgehangen hat und beim Booten einen Bluescreen zeigt.
Stop: 0x00000007B (Verweist auf Speicherproblem)
Scheinbar ist die Installation beschädigt, da chkdsk und RAM Diagnose nichts finden können.
Das verschieben der VM auf einen anderen HyperV Host hat auch keine Änderung gebracht.
Meine Frage ist:
Wir haben mehrere Prüfpunkte und Backups des AD Master Servers. Wenn wir diesen wiederherstellen, wie verhalten sich dann die 2 AD Server untereinander (es fehlen ca. 1 Woche Daten was nicht viel ist, vielleicht 1-2 Accounts) Wird der Slave auf den stand des Master Servers zurückgesetzt und "löscht" den Fortschritt den der Master nicht hat oder übernimmt der Master die Daten des Slaves?
Gibt es vielleicht noch eine elegantere Lösung die mir gerade nicht einfällt?
Liebe Grüße
Yell-ing
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351858
Url: https://administrator.de/forum/ad-server-wiederherstellen-in-redundanter-umgebung-351858.html
Ausgedruckt am: 27.04.2025 um 03:04 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
Master und Slave gibt es so nicht mehr beide DC sind gleich gestellt. Einer hat nur die FSMO Rollen inne. Haben beide den GC inne? Ich würde eine neue VM aufsetzten diese einbinden und als DC hochstufen und den alten DC per Adsi-Edit rausschmeißen. Wäre der sauberste Weg den ich kenne.
Reperaturinstallation übers Boot-Medium ausgeführt?
Aber ich warte mal noch auf die Ideen der anderen
Master und Slave gibt es so nicht mehr beide DC sind gleich gestellt. Einer hat nur die FSMO Rollen inne. Haben beide den GC inne? Ich würde eine neue VM aufsetzten diese einbinden und als DC hochstufen und den alten DC per Adsi-Edit rausschmeißen. Wäre der sauberste Weg den ich kenne.
Reperaturinstallation übers Boot-Medium ausgeführt?
Aber ich warte mal noch auf die Ideen der anderen
Wir machen das auch so. Überragen die FSMO Rollen an den sekundären DC und machen ihm zum primären DC, entfernen den defekten und installieren einen neuen DC. Beim wiederherstellen aus dem Backup kann glaube ich viel schief gehen. Das mache ich nur wenn beide DCs nicht mehr funktionieren.
Hi,
E.
Meine Frage ist:
Wir haben mehrere Prüfpunkte und Backups des AD Master Servers. Wenn wir diesen wiederherstellen, wie verhalten sich dann die 2 AD Server untereinander (es fehlen ca. 1 Woche Daten was nicht viel ist, vielleicht 1-2 Accounts) Wird der Slave auf den stand des Master Servers zurückgesetzt und "löscht" den Fortschritt den der Master nicht hat oder übernimmt der Master die Daten des Slaves?
Der defekte DC wird sich anschließend ganz normal mit dem anderen DC abgleichen. Da verhält er sich dann genauso, als wäre er eine Woche ausgeschaltet gewesen.Wir haben mehrere Prüfpunkte und Backups des AD Master Servers. Wenn wir diesen wiederherstellen, wie verhalten sich dann die 2 AD Server untereinander (es fehlen ca. 1 Woche Daten was nicht viel ist, vielleicht 1-2 Accounts) Wird der Slave auf den stand des Master Servers zurückgesetzt und "löscht" den Fortschritt den der Master nicht hat oder übernimmt der Master die Daten des Slaves?
E.
Hey,
erstmal danke für euer Feedback.
Also das wiederherstellen des DC hat nicht funktioniert. Nachdem der Server wieder lief gab es ewig viele Replikationsfehler. Fehler wie "Der Ziel-Principal Name ist falsch" verhinderten, dass die 2 DCs sich replizieren. Leider kann ich auch das FSMO nicht an den 2. noch funktionierenden DC übergeben. Die Fehlermeldung besagt, das keine Verbindung zum DC 2 aufgebaut werden kann. (Die Server können sich gegenseitig pingen, scheint eine Vertrauensfrage zu sein)
Ich würde den DC jetzt also aus der Domäne entfernen wollen, neuaufsetzen und wieder hinzufügen. Problem, der defekte DC hat die FSMO Rollen.
Ich war mir nicht mehr sicher ob beide DCs ein GC waren, über "ldp" zeigt er allerdings den Wert "isGlobalCatalogReady: TRUE; " an.
Es sind also beide GC
Kann ich den defekten DC einfach aus der Domäne über Adsi-Edit entfernen ohne die Rollen zu übertragen?
Liebe Grüße
Yell-ing
erstmal danke für euer Feedback.
Also das wiederherstellen des DC hat nicht funktioniert. Nachdem der Server wieder lief gab es ewig viele Replikationsfehler. Fehler wie "Der Ziel-Principal Name ist falsch" verhinderten, dass die 2 DCs sich replizieren. Leider kann ich auch das FSMO nicht an den 2. noch funktionierenden DC übergeben. Die Fehlermeldung besagt, das keine Verbindung zum DC 2 aufgebaut werden kann. (Die Server können sich gegenseitig pingen, scheint eine Vertrauensfrage zu sein)
Ich würde den DC jetzt also aus der Domäne entfernen wollen, neuaufsetzen und wieder hinzufügen. Problem, der defekte DC hat die FSMO Rollen.
Ich war mir nicht mehr sicher ob beide DCs ein GC waren, über "ldp" zeigt er allerdings den Wert "isGlobalCatalogReady: TRUE; " an.
Es sind also beide GC
Kann ich den defekten DC einfach aus der Domäne über Adsi-Edit entfernen ohne die Rollen zu übertragen?
Liebe Grüße
Yell-ing
Ich würde den DC jetzt also aus der Domäne entfernen wollen, neuaufsetzen und wieder hinzufügen. Problem, der defekte DC hat die FSMO Rollen.
Das ist kein Problem.Schalte den defekten DC aus. Nie wieder anschalten!
Geh auf den 2. DC mit den MMC drauf und übetrage ihm alle 5 FSMO. Wenn er meckert, sag: "ja mach!".
Mach ihn auch zum GC, falls noch nicht gegeben.
Warte 15 min
Der verbleibende DC ist auch DNS-Server?
Dann erstmal versuchen, einen weiteren, neuen DC in die Domänen zu promoten. Wenn dieser voll funktionstüchtig ist, dann erst fortsetzen.
Danach, oder wenn das Promoten eines weiteren DC wegen des fehlenden, defekten nicht gehen sollte (sollte aber nicht der Fall sein), dann den defekten DC "hart" aus der Domäne entfernen. Entweder mit NTDSUTIL, oder mittels der MMC. Anleitungen gibt es im Web zuhauf.
Der Name des defekten DC darf solange nicht wieder im AD auftauchen, bis er aus dem AD entfernt wurde und das alle verbleibenden DC kapiert haben!
So erzwingst du die Rollenübertragung:
In der Kommandozeile:
NTDSUTIL
roles
connections
connect to server (Name des Servers , der die Rolle(n) bekommen soll ohne .domain.de z.B. SERVER01)
quit
seize infrastructure master
seize naming master
seize pdc
seize rid master
seize schema master
netdom query fsmo
In der Kommandozeile:
NTDSUTIL
roles
connections
connect to server (Name des Servers , der die Rolle(n) bekommen soll ohne .domain.de z.B. SERVER01)
quit
seize infrastructure master
seize naming master
seize pdc
seize rid master
seize schema master
netdom query fsmo
Hi,
über NTDSUTIL lassen sich die Rollen leider nicht übertragen. Gibt nur eine Fehlermeldung. (Wie auf dem Pic zu sehen)
Auch über die MMC kamen die gleichen Meldungen.
Ich bin online darauf gestoßen, das die UDP Paketgröße dafür zu groß sein könnte und es über TCP funktionieren soll.
https://social.technet.microsoft.com/Forums/en-US/87e69465-ab45-423b-935 ...
über NTDSUTIL lassen sich die Rollen leider nicht übertragen. Gibt nur eine Fehlermeldung. (Wie auf dem Pic zu sehen)
Auch über die MMC kamen die gleichen Meldungen.
Ich bin online darauf gestoßen, das die UDP Paketgröße dafür zu groß sein könnte und es über TCP funktionieren soll.
https://social.technet.microsoft.com/Forums/en-US/87e69465-ab45-423b-935 ...
Ist der defekte DC ausgeschaltet? Und seine IP-Adresse hat kein anderes Gerät bekommen?
Ja er ist Offline und die IP ungenutzt.
Ich habe gerade festgestellt das die Übertragung trotzdem funktioniert hat.
Zumindest wenn ich netdom query fsmo eingeben zeigt er mir unter allen 5 Rollen jetzt den DC 2 an.
Ich hoffe das ist auch alles glatt gelaufen und hat nicht die Hälfte vergessen... :o
Ich habe gerade festgestellt das die Übertragung trotzdem funktioniert hat.
Zumindest wenn ich netdom query fsmo eingeben zeigt er mir unter allen 5 Rollen jetzt den DC 2 an.
Ich hoffe das ist auch alles glatt gelaufen und hat nicht die Hälfte vergessen... :o
Ich hoffe das ist auch alles glatt gelaufen und hat nicht die Hälfte vergessen... :o
Sowas gibts nicht. Entweder ein DC ist für eine FSMO maßgebend oder nicht. Die Daten der FSMO sind jetzt sowieso von Null an neu aufgebaut worden, weil er ja die Rollen nicht übertragen konnte. Das betrifft aber auch bloß den RID-Master. Alle anderen Rollen sind doch bloß "Anker".
Also es hat soweit alles geklappt und DC1(defekt) ist nun aus der Domäne raus.
Ich werde nun eine neue VM aufsetzen und ihn zum neuen DC machen.
Ich gebe dann noch mal Feedback.
Danke für eure Hilfe!
Ich werde nun eine neue VM aufsetzen und ihn zum neuen DC machen.
Ich gebe dann noch mal Feedback.
Danke für eure Hilfe!
Hi Leute,
also ich bin endlich dazu gekommen den DC neueinzurichten.
Nachdem der defekte DC überall entfernt wurde, habe ich einen neuen aufgesetzt und per dcpromo zum DC hochgestuft.
Mit der Replikation hat komplett alles funktioniert, keine Fehler oder sonstiges.
Der neue DC hat den Namen und die IP des alten. Auch das hat keine weiteren Probleme gebracht.
Viele Dank noch mal für eure Hilfe.
LG Yell-ing
also ich bin endlich dazu gekommen den DC neueinzurichten.
Nachdem der defekte DC überall entfernt wurde, habe ich einen neuen aufgesetzt und per dcpromo zum DC hochgestuft.
Mit der Replikation hat komplett alles funktioniert, keine Fehler oder sonstiges.
Der neue DC hat den Namen und die IP des alten. Auch das hat keine weiteren Probleme gebracht.
Viele Dank noch mal für eure Hilfe.
LG Yell-ing
