12
Domain-Controller verloren
Halle Leute,
stehe vor einem für mich nicht lösbarem Rätsel.
Unser Netzwerk hatte 2 Domain-Controller! Durch eine Neuanlage eines Users im für mich bekannten Master-DC ( physischer WIN 2008 R2), Dokumentation des vorherigen Admins nicht vorhanden, abgeschmiert. Durch eine fehlerhafte Sicherung konnte der Master-DC nicht wiederhergestellt worden werden.
Nun ist nur noch der zweite Domain-Controller - virtualisiert als WIN 2008R2 vorhanden! Der kann bekannte PC's, Server, Notebooks und Peripheriegeräte in der Domain zulassen.
Somit läuft erstmal wieder die Domain, aber will ich einen neuen User in die Domain heben, bringt der Server eine kryptische Meldung, das in der Gruppe, nicht Gruppe USER (Server vergeben), sondern eigene Verwaltungsgruppe XXX (Firmenname)-User wegen fehlender Informationen keine Anlage möglich ist!
Da ich bisher alle User,... auf dem Haupt-DC angelegt hatte, habe ich das Gefühl, das der zweite DC zwar die Domain versorgen kann, aber er nicht alle Informationen besitzt! Er scheint nur eine Kopie zu besitzen, die nicht alle Informationen enthält!
Kann das sein?
Ich mein erster ernsthafter Absturz ohne Möglichkeit auf eine Rücksicherung!!!!
Hat jemand eine Idee?
stehe vor einem für mich nicht lösbarem Rätsel.
Unser Netzwerk hatte 2 Domain-Controller! Durch eine Neuanlage eines Users im für mich bekannten Master-DC ( physischer WIN 2008 R2), Dokumentation des vorherigen Admins nicht vorhanden, abgeschmiert. Durch eine fehlerhafte Sicherung konnte der Master-DC nicht wiederhergestellt worden werden.
Nun ist nur noch der zweite Domain-Controller - virtualisiert als WIN 2008R2 vorhanden! Der kann bekannte PC's, Server, Notebooks und Peripheriegeräte in der Domain zulassen.
Somit läuft erstmal wieder die Domain, aber will ich einen neuen User in die Domain heben, bringt der Server eine kryptische Meldung, das in der Gruppe, nicht Gruppe USER (Server vergeben), sondern eigene Verwaltungsgruppe XXX (Firmenname)-User wegen fehlender Informationen keine Anlage möglich ist!
Da ich bisher alle User,... auf dem Haupt-DC angelegt hatte, habe ich das Gefühl, das der zweite DC zwar die Domain versorgen kann, aber er nicht alle Informationen besitzt! Er scheint nur eine Kopie zu besitzen, die nicht alle Informationen enthält!
Kann das sein?
Ich mein erster ernsthafter Absturz ohne Möglichkeit auf eine Rücksicherung!!!!
Hat jemand eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307265
Url: https://administrator.de/contentid/307265
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Hast du denn dem DC schon die FSMO Rollen übertragen?
///Edit: Schau hier mal. Stichwort seizing
http://blog.dikmenoglu.de/2009/08/die-fsmo-rollen-mit-der-ad-powershell ...
///Edit: Schau hier mal. Stichwort seizing
http://blog.dikmenoglu.de/2009/08/die-fsmo-rollen-mit-der-ad-powershell ...
Ja habe ich versucht! Es kommt die kryptische Meldung kann Informationen nicht abrufen!!!
Hallo,
Das ist keine Fehlermeldung. Entweder was vernünftiges als fehlermeldung hier rein stellen oder es ganz einfach lassen. Es gibt auch die Möglichkeit hier Bilder direkt rein zu stellen wenn du kein Kryptisch kannst....
Gruß,
Peter
Das ist keine Fehlermeldung. Entweder was vernünftiges als fehlermeldung hier rein stellen oder es ganz einfach lassen. Es gibt auch die Möglichkeit hier Bilder direkt rein zu stellen wenn du kein Kryptisch kannst....
Gruß,
Peter
Kryptisch sagt jetz gar nix aus.
Kannst du einen Screenshot posten?
https://www.petri.com/seizing_fsmo_roles
Kannst du einen Screenshot posten?
https://www.petri.com/seizing_fsmo_roles
Gibt es Tools, die das zwanghafte Übernehmen, nicht durch Windows ermöglichen?
Ja bin nun nach 8h-Lösungssuche zu Hause! Werden morgen früh die Fehlermeldung schicken! Danke soweit!
Hallo,
Gruß,
Peter
Zitat von @Motorsegler:
Gibt es Tools, die das zwanghafte Übernehmen, nicht durch Windows ermöglichen?
Wie meinen?!? Das ist jetzt für uns Kryptisch....Gibt es Tools, die das zwanghafte Übernehmen, nicht durch Windows ermöglichen?
Gruß,
Peter
Hi,
ich vermute, der verbleibende DC ist kein Global Catalog. Oder kein DNS-Server mehr vorhanden.
GC
Starte MMC "Active Directory Standorte und Dienste"
navigiere zum DC (Standort --> Server)
unterhalb des Servers "NTDS-Settings" --> Eigenschaften
Haken bei "Globaler Katalog"?
E.
ich vermute, der verbleibende DC ist kein Global Catalog. Oder kein DNS-Server mehr vorhanden.
- prüfen, ob DNS-Server vorhanden und ob die Clients/Server diesen benutzen
- prüfen, ob auf diesem DNS-Server die Zonen für die AD-Domäne vorhanden sind
- prüfen, ob der 2. DC auch GC ist
GC
Starte MMC "Active Directory Standorte und Dienste"
navigiere zum DC (Standort --> Server)
unterhalb des Servers "NTDS-Settings" --> Eigenschaften
Haken bei "Globaler Katalog"?
E.
Moin,
sag mal, was bedeutet, Durch eine fehlerhafte Sicherung konnte der Master-DC nicht wiederhergestellt worden werden!!!!
du hast doch nicht etwa bei 2 DC´s die Datensicherung vom Master einfach zurück georgelt ? das kann ja nix werden...
den hättest du besser schnell mal neu aufgestzt...
Frank
sag mal, was bedeutet, Durch eine fehlerhafte Sicherung konnte der Master-DC nicht wiederhergestellt worden werden!!!!
du hast doch nicht etwa bei 2 DC´s die Datensicherung vom Master einfach zurück georgelt ? das kann ja nix werden...
den hättest du besser schnell mal neu aufgestzt...
Frank
Moin,
Restore von einem DC in einem AD mit mehreren DC ist grundsätzlich keine gute Idee - Stichwort USN Rollback.
Lass doch bitte mal am verbleibenden DC ein dcdiag laufen, das sagt dir dann schon was nicht passt. Ggfs. hilft auch ein Blick in das Eventlog.
lg,
Slainte
Restore von einem DC in einem AD mit mehreren DC ist grundsätzlich keine gute Idee - Stichwort USN Rollback.
Lass doch bitte mal am verbleibenden DC ein dcdiag laufen, das sagt dir dann schon was nicht passt. Ggfs. hilft auch ein Blick in das Eventlog.
lg,
Slainte
Zitat von @Motorsegler:
Gibt es Tools, die das zwanghafte Übernehmen, nicht durch Windows ermöglichen?
Gibt es Tools, die das zwanghafte Übernehmen, nicht durch Windows ermöglichen?
Oha,
was auch immer du meinst
Daumen hoch für die Überschrift "verloren".
Na wo isser denn?
Magst du uns bitte ganz genau erklären welche Rollen die beiden haben und was du in welchen Schritten gemacht hast.
Restore von einem DC in einem AD mit mehreren DC ist grundsätzlich keine gute Idee - Stichwort USN Rollback.
Na ja, so pauschal ist diese Aussage natürlich falsch. Ein Laie sollte es in keinem Fall tun. Aber ansonsten ist es ein ganz normaler Vorgang, wenn man weiß, was man da tut und warum man es tun muss und vor allem wie.Viele glauben, dass der AD Papierkorb jetzt die authorisierenden Wiederherstellungen einzelner AD-Objekte über die Wiederherstellung eines DC-Systemstatus überflüssig macht und man den Backup doch nur noch für ein Desaster Recovery benötigt. Letzteres bei einem DC einfacher, wenn man in einer Umgebung mit mehreren DC's den defekten einfach entfernt, neu installiert und neu promotet.
Was ist aber, wenn jemand z.B. Attribute von hunderten Benutzern oder Gruppen geändert hat, z.B. Gruppenmitgliedschaften o.ä. Die bekommt man nur über eine authorisierenden Wiederherstellung wieder ins Land. Egal, wie man das macht, old school per Hand mit MS Bordmitteln oder mit irgendwelchen "schönen" Backup Programmen.
