blackvictory
Goto Top

DC gecrasht - Restore - herabstufen - aus Domäne - in Domäne - heraufstufen

Guten Abend Zusammen,

Standort A:
- StA-DC01 (DNS DHCP)
- StA-DC02 (DNS DHCP)

Standort B:
- StB-DC01 (DNS DHCP) FSMO
- StB-DC02 (DNS DHCP)

Beide Standorte sind mit VPN verbunden.


folgendes Problem.

- Backup über veeam hat in der VM einen Fehler erzeugt. BackupJob hängt fest.
- VM wurde nach 10 Stunden BackUp runtergefahren und kann aufgrund eines Fehler in der VHD nicht mehr gestartet werden
- über veeam wird die VM 2 Tage zuvor restored.

VM wurde ohne Netzwerk hochgefahren. die Rollen des DC wurden deinsalliert und der Server wurde herabgestuft.
VM wurde aus der Domäne genommen. Alle Einträge im DNS wurden auf den StA-DC02 geändert oder gelöscht.

mit ntdsutil: metadata cleanup wurde alle was den StA-DC01 angeht gelöscht.

der Server taucht auch nirgendmehr wo auf.

Nun habe ich den Server wieder in die Domäne genommen, die DC-Rolle wurde installiert. Keine Fehlermeldung.

Wenn ich jetzt aber als Admin-CMD repadmin /syncall eingebe kommt folgendes

---------------------------------
C:\Windows\system32>repadmin /syncall
RÜCKRUFMELDUNG: Fehler bei der Verbindungsherstellung mit Server 5d05d3b3-72d5-4
0ef-b78d-5663f4633be3._msdcs.toner24.local (Netzwerkfehler): 1722 (0x6ba):
Der RPC-Server ist nicht verfügbar.

SyncAll wurde mit einem schwerwiegenden Win32-Fehler beendet: 8440 (0x20f8):
Der für diesen Replikationsvorgang angegebene Namenskontext ist ungültig.

C:\Windows\system32>
-------------------------------

Wenn ich auf dem StA-DC01 ping StA-DC01 eingebe bekomme ich einen Ping.
Wenn ich auf dem StA-DC01 ping StA-DC02 eingebe bekomme ich einen Ping.
Wenn ich auf dem StA-DC01 ping StB-DC01 eingebe bekomme ich keinen Ping (Host kann nicht gefunden werden)
Wenn ich auf dem StA-DC01 ping StB-DC02 eingebe bekomme ich keinen Ping (Host kann nicht gefunden werden)

Wenn ich die IP direkt anpinge dann funktioniert es.

im DNS sind aber die Adressen klar hinterlegt und auch die Verweise stimmen.

Wenn ich nslookup öffne, dann wird als Standartserver der StA-DC02 Server angegeben, gibt egal auf welche Anfrage einen Fehler <Server> wurde von StA-DC01.company.local nicht gefunden: Server failed.

Hätte noch jemand einen Tipp ?

Danke schon mal und bis Morgen face-smile

Content-ID: 288544

Url: https://administrator.de/contentid/288544

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

emeriks
emeriks 16.11.2015 um 20:19:27 Uhr
Goto Top
Hi,
VM wurde ohne Netzwerk hochgefahren. die Rollen des DC wurden deinsalliert und der Server wurde herabgestuft.
VM wurde aus der Domäne genommen. Alle Einträge im DNS wurden auf den StA-DC02 geändert oder gelöscht.
Wenn Du das tatsächlich so gemacht hast, nur auf diesem DC und während er offline war (keine Verbindung zu den anderen DC) dann fang einfach nochmal von vorne an!
Stell die VM aus dem VEEAM Backup mit Stand von vor 2 Tagen wieder her, fahr sie normal hoch und gut ist. Der wiederhergestellte DC wird sich replizieren und alles schick.

Das Verfahren, so wie Du es ausgeführt hast, geht in keinem Fall. Entweder die Sicherung ist eine brauchbare, aktuelle DC-Sicherung, dann kannst Du sie "einfach" wiederherstellen, wenn es bloß um Desaster Recovery eines DC geht, und er wird sich selbst "wieder einreihen".

Wenn die Sicherung nicht brauchbar ist, dann musst Du den DC sowieso vollkommen neu aufziehen. Sprich zuerst auf den verbleibenden DC's alle Fragmente des alten DC's entfernen und erst dann eine neu installierte VM zum weiteren DC promoten.

Dazwischen gibt es nichts.

E.
BlackVictory
BlackVictory 17.11.2015 um 08:22:37 Uhr
Goto Top
ich habe die Sicherung 2 Tage zuvor wiederhergestellt.
bei dem Versuch eine Replizierung anzustoßen wurden mir Fehler gezeigt (ähnlich wie der oben).

Na gut, dann werde ich wohl einen neuen Server installieren müssen.
Gibt es ein Tool um die Fragmente des alten Servers zu entfernen oder geht das nur per Hand ?

Danke schon mal für die Hilfe face-smile

Gruß Wolfi
emeriks
emeriks 17.11.2015 um 08:46:57 Uhr
Goto Top
bei dem Versuch eine Replizierung anzustoßen wurden mir Fehler gezeigt (ähnlich wie der oben).
Da muss man eigentlich nichts anstoßen. Das geht von allein.

Na gut, dann werde ich wohl einen neuen Server installieren müssen.
Also hast Du doch nicht offline gearbeitet und die verbleibenden DC's haben das schon übernommen?

Gibt es ein Tool um die Fragmente des alten Servers zu entfernen oder geht das nur per Hand ?
Kennst Du ein Tool, welches man nicht von Hand bedient?
Windows hat dafür ntdsuitl.exe
LordXearo
LordXearo 17.11.2015 um 09:06:39 Uhr
Goto Top
Sollte man einen DC besser nie wiederherstellen und produktiv einsetzen? Dadurch sollte das AD inkonsistent werden, da die sequenznummern nicht mehr stimmen.
SlainteMhath
SlainteMhath 17.11.2015 um 09:12:09 Uhr
Goto Top
Moin,

grundsätzlich sollte man einen DC aus einer Multi-DC/Site Umgebgung niemals vom Image restoren, es sei den er ist dann der einzige DC der nach dem Restore in der Domain ist! (Fragt mal Google - da gibts tonnenweise Artikel zu dem Thema).

M.E sollte wie folgt vorgegangen werden:
1. "Kaputten" DC aus der Doimain entfernen, incl. metadata cleanup usw.
2. VM komplett löschen und neu anlagen
3. Windows neu installieren, NEUER Name, NEUE IP
4. Domain-join und dcpromo ausführen,

Dann sollte alles wieder iO sein.

lg,
Slainte
LordXearo
LordXearo 17.11.2015 um 09:20:29 Uhr
Goto Top
Bin der gleichen Meinung wie Slainte. Die vorgehensweise würde ich genauso machen.

Wir haben zwei DCs (beide VMs), wenn diese mal komplett gesichert werden, dann beide gleichzeitig. Dann könnte man auch nur beide wiederherstellen.
emeriks
emeriks 17.11.2015 um 09:32:37 Uhr
Goto Top
Ich bin jetzt davon ausgegangen, dass er nicht einfach so ein Image wiederhergestellt hat, sondern mit VEEAM eine DC-Sicherung und -Wiederherstellung.
Habe ich das was überlesen?
SlainteMhath
SlainteMhath 17.11.2015 um 09:49:46 Uhr
Goto Top
über veeam wird die VM 2 Tage zuvor restored.
Hört sich nach Image Restore an für mich face-smile Die nicht funktionierende Replikation danach spricht Bände face-smile

Ich versteh auch den ganze Aufwand nicht. Abgesehen vom metadata cleanup ist ein DC innerhalb 20 Minuten installiert, mit der Domäne verbunden und wieder am replizieren.
emeriks
emeriks 17.11.2015 um 10:22:57 Uhr
Goto Top
Jep.
BlackVictory
BlackVictory 18.11.2015 um 14:45:06 Uhr
Goto Top
So gemacht und alles bestens.

also bring tein BackUp eines DC eigentlich nichts, ausser man stellt alle DC´s einer Domaine wieder her ?
Dann spare ich mir den Speicherplatz :D
emeriks
emeriks 18.11.2015 um 14:49:52 Uhr
Goto Top
also bring tein BackUp eines DC eigentlich nichts, ausser man stellt alle DC´s einer Domaine wieder her ?
Das ist eine seltsame Schlussfolgerung.
Für Desaster Recovery eines von mehreren DC's einer Domäne muss es nicht sein. Wie schon beschrieben.
Wenn man nur genau einen DC pro Domäne hat, dann muss es sein.
Wenn man nur ausgewählte Objekte wiederherstellen können will, welche nicht (mehr) über den AD-Papierkorb wiederherstellbar sind, dann muss es sein.
Klassischer Unterschied zwischen Backup für Desaster Recovery und Backup für Daten-Versionierung.