4
DC gestorben, Ersatz-DC schlecht eingerichtet. Server neu aufsetzen, aber wie?
Betreue ein Netzwerk, dass so einiges an Fehladministration hinter sich hat.
Guten Tag,
ich habe hier ein ausgeprägtes Problem mit meinem mir neuerdings anvertrauten Netzwerk:
Das Netzwerk hatte mal einen DC mit Win 2000 SP4 als OS.
Im Sommer diesen Jahres ist der DC "defekt" geworden und im Zuge dessen wurde vom damaligen "Administrator" eine normale Wokstation mit Win2k3 R2 bespielt und als Ersatz-DC in die Infrastruktur eingepflegt.
Leider hat dieser Administrator das ganze sehr stümperlich getan und viele Dinge vergessen, wie FSMO-Rollen, Globaler Katalog und was sonst noch dazu gehört umzuswitchen.
Es kann mir leider auch niemand fachkundige Auskunft darüber geben, was genau am ehemaligen DC kaputt gegangen ist - ich habe bisher nur eine defekte Festplatte in einem RAID 5 Array ausfindig machen können, das erzwingt jedoch nicht, dass man einen zweiten DC auf so übertrieben weise stümpferhaft installiert. Da aber das Win2000 auf dem ehemaligen DC scheinbar neu "drüber" installiert wurde, sind alle Domänen relevanten Daten weg - ich komme zu dieser Vermutung, da u.A. noch nicht mal die Treiber für das HP Bandlaufwerk installiert wurden. Im ürbigen war bis vor kurzem noch ein andere Administrator hier für 3 Wochen tätig...daher bin ich wirklich verwirrt und weiss nicht so genau wer egtl was getan hat....
Soviel zur vorgeschichte.
Wie dem auch sei: um das Netzwerk wieder in normale Bahnen zu lenken, will ich auf der Server-HW den "primären" DC aufsetzen und zum laufen bringen. Die Frage ist nur, wie ich das nicht stümpferhaft anstelle, sondern schön sauber über die Bühne bringe, ohne das dabei Einstellungen oder Daten aus der Domäne verloren gehen.
Also hier mein bisheriger Ablaufsplan:
- auf der HW Windows Server 2003 R2 installieren mit dem vorherigen Servernamen
- ich wähle "als ersten DC installieren" aus - dabei befindet sich der Server in eine getrennten LAN umgebung, damit der Ersatz-DC nichts davon mitbekommt und so die Clients auch nichts davon mitbekommen, da diese produktiv arbeiten. (im Ersatz-DC ist der Name des ehemaligen DC eingetragen und ich befürchte Konflikte, sollte dieser wieder online gehen mit einem anderen OS (ehemals win2k, nun win2k3 r2)- oder ist das unbegründet?)
- anschließend würde ich die Nutzdaten mit robocopy und /MIR von dem Ersatz DC auf den neu aufgesetzten DC übertragen
- und nun stellt sich mir die Frage, wie ich z.B. das Active Directory nun rüber bekomme bzw. was genau muss denn noch übertragen werden, damit der Ersatz-DC ausgeschaltet werden kann und der neu aufgesetzte DC alles übernimmt. (ja ich weiss in Produktivumgebungen sollten mind. 2DC vorhanden sein, später kommt noch ein zweiter replikations DC hinzu, aber mit passender HW und entsprechend korrekt ins Netzwerk eingepflegt)
Für Hilfe jeglicher Art bin ich sehr dankbar - vielleicht hat jemand zufällig eine ähnlich erfahrung gemacht und kann darauß berichten?
Sollte mein Plan auf Grund einer mir nicht bekannten Tatsache völlig unausführbar sein, freue ich mich natürlich über anregungen, wie dies denn zu bewältigen sei.
mfg
Guten Tag,
ich habe hier ein ausgeprägtes Problem mit meinem mir neuerdings anvertrauten Netzwerk:
Das Netzwerk hatte mal einen DC mit Win 2000 SP4 als OS.
Im Sommer diesen Jahres ist der DC "defekt" geworden und im Zuge dessen wurde vom damaligen "Administrator" eine normale Wokstation mit Win2k3 R2 bespielt und als Ersatz-DC in die Infrastruktur eingepflegt.
Leider hat dieser Administrator das ganze sehr stümperlich getan und viele Dinge vergessen, wie FSMO-Rollen, Globaler Katalog und was sonst noch dazu gehört umzuswitchen.
Es kann mir leider auch niemand fachkundige Auskunft darüber geben, was genau am ehemaligen DC kaputt gegangen ist - ich habe bisher nur eine defekte Festplatte in einem RAID 5 Array ausfindig machen können, das erzwingt jedoch nicht, dass man einen zweiten DC auf so übertrieben weise stümpferhaft installiert. Da aber das Win2000 auf dem ehemaligen DC scheinbar neu "drüber" installiert wurde, sind alle Domänen relevanten Daten weg - ich komme zu dieser Vermutung, da u.A. noch nicht mal die Treiber für das HP Bandlaufwerk installiert wurden. Im ürbigen war bis vor kurzem noch ein andere Administrator hier für 3 Wochen tätig...daher bin ich wirklich verwirrt und weiss nicht so genau wer egtl was getan hat....
Soviel zur vorgeschichte.
Wie dem auch sei: um das Netzwerk wieder in normale Bahnen zu lenken, will ich auf der Server-HW den "primären" DC aufsetzen und zum laufen bringen. Die Frage ist nur, wie ich das nicht stümpferhaft anstelle, sondern schön sauber über die Bühne bringe, ohne das dabei Einstellungen oder Daten aus der Domäne verloren gehen.
Also hier mein bisheriger Ablaufsplan:
- auf der HW Windows Server 2003 R2 installieren mit dem vorherigen Servernamen
- ich wähle "als ersten DC installieren" aus - dabei befindet sich der Server in eine getrennten LAN umgebung, damit der Ersatz-DC nichts davon mitbekommt und so die Clients auch nichts davon mitbekommen, da diese produktiv arbeiten. (im Ersatz-DC ist der Name des ehemaligen DC eingetragen und ich befürchte Konflikte, sollte dieser wieder online gehen mit einem anderen OS (ehemals win2k, nun win2k3 r2)- oder ist das unbegründet?)
- anschließend würde ich die Nutzdaten mit robocopy und /MIR von dem Ersatz DC auf den neu aufgesetzten DC übertragen
- und nun stellt sich mir die Frage, wie ich z.B. das Active Directory nun rüber bekomme bzw. was genau muss denn noch übertragen werden, damit der Ersatz-DC ausgeschaltet werden kann und der neu aufgesetzte DC alles übernimmt. (ja ich weiss in Produktivumgebungen sollten mind. 2DC vorhanden sein, später kommt noch ein zweiter replikations DC hinzu, aber mit passender HW und entsprechend korrekt ins Netzwerk eingepflegt)
Für Hilfe jeglicher Art bin ich sehr dankbar - vielleicht hat jemand zufällig eine ähnlich erfahrung gemacht und kann darauß berichten?
Sollte mein Plan auf Grund einer mir nicht bekannten Tatsache völlig unausführbar sein, freue ich mich natürlich über anregungen, wie dies denn zu bewältigen sei.
mfg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125097
Url: https://administrator.de/contentid/125097
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
4 Kommentare
Neuester Kommentar
Also was ich bis jetzt lesen konnte waren.
du hast nen "ersatz DC" der auf einer ehemaligen Workstation läuft, und einen "eigentlich primären" DC, der aber komplett geplättet wurde und nicht richtig installiert wurde.
Die Administratoren vor haben schindluder getrieben, das hab ich wohl auch gelesen.
Auch wenn meine MCSA Schulung schon ein bissel weit weg ist, versuche ich mal aufzulisten was mir dazu einfällt.
1. den Pri. DC einrichten, ganz normal, mit Domänennamen etc.
2. den Sec. DC : AD-Sicherung anstossen (läuft über die Eingabeaufforderung soweit ich weis, sollte auch irgendwo in meinem 70-291er Buch drinstehen, ich find es aber nicht -.- )
3. die Sicherung nehmen und auf dem eingerichteten Pri. DC wiederherstellen.
Als ergebnis sollten sowohl Struktur des AD als auch Globaler Katalog etc. wieder hergestellt werden.
du hast nen "ersatz DC" der auf einer ehemaligen Workstation läuft, und einen "eigentlich primären" DC, der aber komplett geplättet wurde und nicht richtig installiert wurde.
Die Administratoren vor haben schindluder getrieben, das hab ich wohl auch gelesen.
Auch wenn meine MCSA Schulung schon ein bissel weit weg ist, versuche ich mal aufzulisten was mir dazu einfällt.
1. den Pri. DC einrichten, ganz normal, mit Domänennamen etc.
2. den Sec. DC : AD-Sicherung anstossen (läuft über die Eingabeaufforderung soweit ich weis, sollte auch irgendwo in meinem 70-291er Buch drinstehen, ich find es aber nicht -.- )
3. die Sicherung nehmen und auf dem eingerichteten Pri. DC wiederherstellen.
Als ergebnis sollten sowohl Struktur des AD als auch Globaler Katalog etc. wieder hergestellt werden.
hallo 
Ich stelle mir die Frage, ob es denn nicht einfacher und geschickter wäre, erst einmal den jetzigen DC so weit zu fixen, dass du problemlos einen zweiten DC dazuinstallieren kannst.
Also checke erst einmal die Fehler des "Workstation-DCs" ab. Wenn z.B. die FSMO-Rollen nicht korrekt übertragen wurden und der alte DC auch nicht mehr funktioniert, dann lässt sich das Übertragen im Notfall auch mit ntdsutil erzwingen.
Support-Tools installieren. DCDiag, NetDiag etc.
btw frage ich mich, wann diese Aktion stattgefunden hat. Eine Zeit lang funktioniert eine Domäne villeicht auch, wenn der Inhaber der Rollen nicht erreichbar ist. Aber irgendwann streikt das Netzwerk...
gruß
Hubert
Ich stelle mir die Frage, ob es denn nicht einfacher und geschickter wäre, erst einmal den jetzigen DC so weit zu fixen, dass du problemlos einen zweiten DC dazuinstallieren kannst.
Also checke erst einmal die Fehler des "Workstation-DCs" ab. Wenn z.B. die FSMO-Rollen nicht korrekt übertragen wurden und der alte DC auch nicht mehr funktioniert, dann lässt sich das Übertragen im Notfall auch mit ntdsutil erzwingen.
Support-Tools installieren. DCDiag, NetDiag etc.
btw frage ich mich, wann diese Aktion stattgefunden hat. Eine Zeit lang funktioniert eine Domäne villeicht auch, wenn der Inhaber der Rollen nicht erreichbar ist. Aber irgendwann streikt das Netzwerk...
gruß
Hubert
Hallo erst mal und danke für eure Antworten.
1. gut das mit der AD Sicherung werde ich halt mal googeln, wird sich schon finden lassen - gehört zur AD egtl auch die Gruppenrichtlinien?
2. ich habe bereits Support Tools auf dem "Workstation-DC" installiert und die sagen mir eben u.A. FSMO-Check failure usw...
Das mit dem fixen: habe ich meinem Chef auch vorgeschlagen, dass ich jetzt u.A. die FSMO-Rollen an den ersatz DC deligiere - als ich auf die Frage ob das denn eine 100%ig sichere Lösung sei nicht mit 100% sicher antworten konnte, hat er darauf verwiesen, dass das Netzwerk ja momentan läuft und es ja nicht so schlimm sein kann und somit der Eingriff nur ein unnötiges Sicherheitsrisiko wäre...(Komentar dazu verkneif ich mir mal)
und ja, ich frage mich auch wie das so lange gut gehen konnte ohne FSMO-Rolleninhaber...egtl erwarte ich jeden Morgen, dass das Netzwerk zusammenklappt und nichts mehr geht....
Na wie dem auch sei, also wird es reichen den Pri. DC als solchen einzurichten und dann die Sicherungen vom "Workstation-DC einzuspielen"
Hintergrund ist auch, dass der "Workstation-DC" möglichst unangetastet bleibt, da dieser ja (auch wenn mehr schlecht als recht) funktioniert.
1. gut das mit der AD Sicherung werde ich halt mal googeln, wird sich schon finden lassen - gehört zur AD egtl auch die Gruppenrichtlinien?
2. ich habe bereits Support Tools auf dem "Workstation-DC" installiert und die sagen mir eben u.A. FSMO-Check failure usw...
Das mit dem fixen: habe ich meinem Chef auch vorgeschlagen, dass ich jetzt u.A. die FSMO-Rollen an den ersatz DC deligiere - als ich auf die Frage ob das denn eine 100%ig sichere Lösung sei nicht mit 100% sicher antworten konnte, hat er darauf verwiesen, dass das Netzwerk ja momentan läuft und es ja nicht so schlimm sein kann und somit der Eingriff nur ein unnötiges Sicherheitsrisiko wäre...(Komentar dazu verkneif ich mir mal)
und ja, ich frage mich auch wie das so lange gut gehen konnte ohne FSMO-Rolleninhaber...egtl erwarte ich jeden Morgen, dass das Netzwerk zusammenklappt und nichts mehr geht....
Na wie dem auch sei, also wird es reichen den Pri. DC als solchen einzurichten und dann die Sicherungen vom "Workstation-DC einzuspielen"
Hintergrund ist auch, dass der "Workstation-DC" möglichst unangetastet bleibt, da dieser ja (auch wenn mehr schlecht als recht) funktioniert.
Hmm...
Ich glaube ehrlich gesagt nicht, dass das es funktionieren wird, wenn du das AD vom "WS-DC" sicherst und dann wieder auf dem neuen Server einspielst. Dadurch wirst du die Fehler schließlich nicht aus dem System bekommen. Die spielst mit du der Rücksicherung schließlich wieder ein...
Vielleicht könntest du versuchen, das AD so auf den neuen DC zu bringen, dann dort die Sachen zu fixen, den alten runterzufahren und durch den neuen ersetzen - wer sagt dir aber zu 100%, dass das funktionieren wird.
Wo gibts überhaupt "100%" ???
Ich glaube ehrlich gesagt nicht, dass das es funktionieren wird, wenn du das AD vom "WS-DC" sicherst und dann wieder auf dem neuen Server einspielst. Dadurch wirst du die Fehler schließlich nicht aus dem System bekommen. Die spielst mit du der Rücksicherung schließlich wieder ein...
Vielleicht könntest du versuchen, das AD so auf den neuen DC zu bringen, dann dort die Sachen zu fixen, den alten runterzufahren und durch den neuen ersetzen - wer sagt dir aber zu 100%, dass das funktionieren wird.
Wo gibts überhaupt "100%" ???
