pa-peter
Goto Top

Hyper V Bedienerfehler für DC Gast - Prüfpunkt zurückgesetzt

Hallo zusammen,

letzte Nacht hatte sich hier der DC bzw das AD verabschiedet - BlueScreen mit 0CX00002e2!
Es handelt sich um einen Server2019 auf einem Server2019 HyperV Hostsystem.
Nun begab es sich, dass ich bei den Versuchen die Kiste wieder ans Laufen zu bekommen, diese auf den letzten Snapshot (der halt 10 Monate alt war) zurück gesetzt habe.
Zunächst blieb der Fehler mit dem AD.
Nachdem ich dann Datum und Uhrzeit auf den Folgetag des Snapshots verändert hatte, startete der Rechner wieder durch.
Soweit so gut.
Leider war der Snapshot aus einer Zeit, in der der Rechner noch nicht produktiv war!
D.h. keine angelegten Benutzer mehr, keine angelegten Computer mehr, alle GPOs weg etc

Wir haben nur rund 15 Clients, 6 Server (2 Hosts, 4 Gäste) und maximal 10 Benutzer im System...
...jedoch läuft auch ein Exchange Server.
Somit ist mir nicht klar, was passiert, wenn ich den Exchange Server wieder anschalte?

Nun ist stumpf die Frage, ob jemand von Euch eine Idee hat, ob es die Möglichkeit gibt, das AD (und/oder DHCP + DNS) noch irgendwie wieder herzustellen?
Es ist ein Snapshot von heute vorhanden - bin mir jedoch nicht sicher, welcher Datenstand darin ist.
Oder gibt es eine andere Möglichkeit, die Benutzer (speziell Exchange) wieder mit kleinstmöglichem Kollateralschaden anzulegen?

Ich habe schon einiges gelesen, aber bin nicht schlau daraus geworden face-sad

Ein Backup ist leider nicht wirklich vorhanden - das stand noch auf dem Zettel für die Umsetzung und ist leider bis jetzt noch nicht in die Tat umgesetzt werden.
Es gibt aktuell lediglich Backups der Daten - nicht der Maschinen face-sad

Es wäre echt toll, wenn hier jemand helfen könnte.

Danke & Gruß
Peter

Content-ID: 649517

Url: https://administrator.de/forum/hyper-v-bedienerfehler-fuer-dc-gast-pruefpunkt-zurueckgesetzt-649517.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

PA-Peter
PA-Peter 07.02.2021 um 17:04:00 Uhr
Goto Top
Ach so: der Exchange-Server ist somit leider -aus Sicht des DC- auch kein Domänenmitglied! face-sad
wiesi200
wiesi200 07.02.2021 um 17:08:51 Uhr
Goto Top
Hallo,

mal ganz ehrlich. Was hast du mit dem Snapshot von heute schon zu verlieren? Im schlimmsten Fall geht der auch nicht. Und dann kannst du mal versuchen den Fehler zu reparieren. Dafür gibt es ja ein paar Änderungen.

Aber trotzdem den aktuellen Stand mal sichern. Schadet nie.

Übrigens würde ich snapshots nicht so lange halten.
PA-Peter
PA-Peter 07.02.2021 um 17:20:46 Uhr
Goto Top
Danke für Deinen Post.
Ich hatte ja diverse Versuche gestartet, im laufenden System die AD Datenbank wieder ans Laufen zu bringen...
...alles endete immer wieder im beschriebenen Bluescreen mit 0CX00002e2.
Erst der alte Snapshot in Kombination mit dem verstellen der Systemzeit ließ die Kiste wieder durch starten.
Habe den Stand jetzt auch mal exportiert - auch wenn das nicht viel bringt.
Keine Ahnung, wie und ob das mit der Vertrauensstellung des Exchange-Servers fixen lässt?
PA-Peter
PA-Peter 07.02.2021 um 17:54:02 Uhr
Goto Top
Zitat von @PA-Peter:

Erst der alte Snapshot in Kombination mit dem verstellen der Systemzeit ließ die Kiste wieder durch starten.
Habe den Stand jetzt auch mal exportiert - auch wenn das nicht viel bringt.
Keine Ahnung, wie und ob das mit der Vertrauensstellung des Exchange-Servers fixen lässt?

Und so bleibt es - der Snapshot hat den alten Stand.
Ich habe keine Ahnung, warum die Kiste beim zurücksetzen (ich bin fest davon überzeugt, dass ich auf "Prüfpunkt erzeugen und anwenden" geklickt habe), keinen Snapshot mit Stand heute morgen gespeichert hat face-sad

So ein Mist face-sad
beidermachtvongreyscull
beidermachtvongreyscull 07.02.2021 aktualisiert um 18:37:28 Uhr
Goto Top
Guten Abend,

also ich würde folgendes tun:

Es gibt eine kostenlose Version von Veeam Backup & Rescue. Ich würde die benutzen, um die Exchange Datenbank(en) zu mounten und die Postfächer zu sichern (zumindest deren Inhalt). Im Netz findest Du brauchbare Anleitungen, wie das gemacht wird.

Dann setze die Domäne und den Exchange neu auf.

Ich fürchte, dass da so viel defekt gegangen ist, dass selbst wenn Du sie wieder lauffähig bekämst, die Folgefehler nicht mehr in den Griff bekommst.
Nur ein DC ist eine schwierige Sache, vorallem, wenn er selbst virtuell ist und der HyperV ebenfalls Mitglied der Domäne ist.

Ich rate immer, dann zusätzlich einen physischen daneben zu stellen. Sicher ist sicher.
Auch der Hyper-V kann allergisch reagieren, wenn die Domäne futsch ist.

Falls Dein Hyper-V Mitglied in der Domäne war, stelle sicher, dass Du lokale Adminkennwörter aller Maschinen hast.

Ich drück die Daumen.

Gruß
bdmvg
keine-ahnung
keine-ahnung 07.02.2021 aktualisiert um 19:00:33 Uhr
Goto Top
@beidermachtvongreyscull

Es gibt eine kostenlose Version von Veeam Backup & Rescue. Ich würde die benutzen, um die Exchange Datenbank(en) zu mounten und die Postfächer zu sichern

Sicher, dass das funktioniert? Am MX autorisierst Du Dich ja auch gegen den DC, und der ist ebenso Matsche wie die komplette Domäne? Ohne 2. DC, backup und snapshot gibt es da aus meiner laienhaften Sicht eigentlich nix mehr, was man machen könnte. Ausser das Konstrukt von Null wieder aufzubauen.

Verzeichnisdienst-Wiederherstellungs-Modus ist ja jetzt auch nicht mehr machbar ...

@PA-Peter

Es gibt aktuell lediglich Backups der Daten

Ein Hoffnungsschimmer ... auch die MX-Datenbanken?

LG, Thomas
PA-Peter
PA-Peter 07.02.2021 um 19:20:01 Uhr
Goto Top
^^Zitat von @keine-ahnung:

@PA-Peter

Es gibt aktuell lediglich Backups der Daten

Ein Hoffnungsschimmer ... auch die MX-Datenbanken?

Jein, die Maschine „läuft“ aber auch noch. Also im Moment nicht, aber sie liegt auf den gleichen Host.
Da habe ich noch nichts gecheckt - aber Du hast vermutlich Recht: habe noch nicht darüber nachgedacht, dass hier ganz sicher Authentifizierungsprobleme auftreten werden 😱
PA-Peter
PA-Peter 07.02.2021 um 19:24:06 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:

Guten Abend,

also ich würde folgendes tun:

Es gibt eine kostenlose Version von Veeam Backup & Rescue. Ich würde die benutzen, um die Exchange Datenbank(en) zu mounten und die Postfächer zu sichern (zumindest deren Inhalt). Im Netz findest Du brauchbare Anleitungen, wie das gemacht wird.

Dann setze die Domäne und den Exchange neu auf.

Ich fürchte, dass da so viel defekt gegangen ist, dass selbst wenn Du sie wieder lauffähig bekämst, die Folgefehler nicht mehr in den Griff bekommst.
Nur ein DC ist eine schwierige Sache, vorallem, wenn er selbst virtuell ist und der HyperV ebenfalls Mitglied der Domäne ist.

Oh, oh, düstere Aussichten...

Falls Dein Hyper-V Mitglied in der Domäne war, stelle sicher, dass Du lokale Adminkennwörter aller Maschinen hast.

Das ist, zum Glück, das kleinste Problem.
Aber ja: die beiden Hostrechner sind beide Domänenmitglieder!

Ich drück die Daumen.

Danke
PA-Peter
PA-Peter 07.02.2021 um 19:26:16 Uhr
Goto Top
Zitat von @keine-ahnung:

Verzeichnisdienst-Wiederherstellungs-Modus ist ja jetzt auch nicht mehr machbar ...

Eben weil das ja gescheitert war, habe ich überhaupt das mit dem Snapshot getan...
...ich ärgere mich immens über mich selbst, dass ich nicht weiter getestet habe 😤
PA-Peter
PA-Peter 07.02.2021 um 19:30:00 Uhr
Goto Top
Gerade bei Exchange war ich eigentlich optimistisch, da hier ja vorhandene Postfächer, die keine Kontoverknüpfung mehr haben, „neuen“ Konten zuweisen lassen...
keine-ahnung
keine-ahnung 07.02.2021 um 20:12:31 Uhr
Goto Top
@PA-Peter

"da hier ja vorhandene Postfächer, die keine Kontoverknüpfung mehr haben, „neuen“ Konten zuweisen lassen"

Man kann sicher die EDB in *.pst konvertieren und die dann via Outlook in einen "neuen" Exchange migrieren ... ich bezweifel nur, dass man die Teile geöffnet bekommt ohne autorisierenden DC.

LG, Thomas
Vision2015
Vision2015 07.02.2021 um 21:03:36 Uhr
Goto Top
Moin...

die EDBs können in pst gewandelt werden...

was ist mit dem Snapshot von heute?

Frank
MysticFoxDE
MysticFoxDE 07.02.2021 um 23:21:18 Uhr
Goto Top
Moin Peter,
das hört sich zwar leicht Haarig an, ist jedoch zu meistern.
Als erstes musst du schauen, dass dein DC wieder sauber Läuft.
Als nächstes den Exchange einfach erneut in die Domäne hängen.
Danach das Exchange Setup folgend erneut ausführen.
setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema
und
setup.exe /IAcceptExchangeServerLicenseTerms /PrepareDomain
Anliessend die Benutzer im AD neu anlegen und die alten/verwaisten Postfächer aus dem Exchange mit den neuen Benutzer verknüpfen.

https://docs.microsoft.com/de-de/exchange/recipients/disconnected-mailbo ...

Grüsse aus BaWü
Alex
beidermachtvongreyscull
beidermachtvongreyscull 08.02.2021 um 05:51:40 Uhr
Goto Top
Das Problem ist meines Wissens, dass der Exchange entscheidende Teile seiner Konfiguration im AD speichert.

Du riskierst, dass der Exchange bei "leerem" AD diese Postfächer in der DB nicht erkennen wird, geschweige denn die DB überhaupt einhängen wird.

Noch hast Du eine DB, die intakt sein dürfte.
beidermachtvongreyscull
beidermachtvongreyscull 08.02.2021 um 09:20:06 Uhr
Goto Top
Zitat von @keine-ahnung:

@beidermachtvongreyscull

Es gibt eine kostenlose Version von Veeam Backup & Rescue. Ich würde die benutzen, um die Exchange Datenbank(en) zu mounten und die Postfächer zu sichern

Sicher, dass das funktioniert? Am MX autorisierst Du Dich ja auch gegen den DC, und der ist ebenso Matsche wie die komplette Domäne? Ohne 2. DC, backup und snapshot gibt es da aus meiner laienhaften Sicht eigentlich nix mehr, was man machen könnte. Ausser das Konstrukt von Null wieder aufzubauen.

Ja. Es handelt sich um eine Offline-Sicherung des MX bzw. der korrespondierenden VHDX. Die EDB-Dateien lassen sich offline mounten. Dazu bedarf es nicht zwingend eines lauffähigen MXers sondern nur dem geeigneten Stand der DB. Es wäre eine Art Ultima Ratio im Lichte des Vorschlags von @MysticFoxDE, der durchaus funktionieren kann, sofern AD und MX sich da noch mal auf einander zubewegen.

Ich kann nur nicht einschätzen, wie es mit "Trümmern" oder ungewollten Daten im AD aussieht.

VG
Andreas
MysticFoxDE
MysticFoxDE 08.02.2021 um 17:39:48 Uhr
Goto Top
Moin beidermachtvongreyscull,

Zitat von @beidermachtvongreyscull:
Du riskierst, dass der Exchange bei "leerem" AD diese Postfächer in der DB nicht erkennen wird, geschweige denn die DB überhaupt einhängen wird.

Hier sollte der folgende Artikel vom guten Franky helfen.
https://www.frankysweb.de/exchange-2016-wiederherstellung-einer-datenban ...

Noch hast Du eine DB, die intakt sein dürfte.

Diese sollte natürlich vor jeglichen weiteren Aktion mindestens einmal gesichert werden.

Grüsse aus BaWü

Alex
keine-ahnung
keine-ahnung 08.02.2021 um 18:02:26 Uhr
Goto Top
Moin nochmal,

@MysticFoxDE

Hier sollte der folgende Artikel vom guten Franky helfen

Sieht gut aus - mich deucht aber, dass auf dem Bildchen mit der Strukturübersicht ein DC rumwerkelt ...?

LG, Thomas
MysticFoxDE
MysticFoxDE 08.02.2021 aktualisiert um 19:10:08 Uhr
Goto Top
Moin Thomas,

Zitat von @keine-ahnung:
Sieht gut aus - mich deucht aber, dass auf dem Bildchen mit der Strukturübersicht ein DC rumwerkelt ...?

das hängt bestimmt damit zusammen, dass Franky beim erstellen des betreffenden Beitrags, nicht 1:1 von dem Szenario des TO's ausgegangen ist. 🙃
Dennoch passt dieses Vorgehen auch bei den vorliegenden Fall, es kommt lediglich auf die richtige Reihenfolge an.

Zur Sicherheit sollte sofort nach dem mounten der DB die Hintergrundwartung noch deaktiviert werden, dann werden aus der DB auch keine Daten durch automatische Bereinigunsprozesse gelöscht.
wartung


Grüsse aus BaWü
Alex
PA-Peter
PA-Peter 08.02.2021 um 19:13:04 Uhr
Goto Top
Danke.
Da werde ich mich gleich mal ran begeben.
DC läuft wieder, AD steht!
Habe die Vertrauensstellung der meisten Clients und der anderen Server wiederherstellen können.
Zum Glück sind Drucker, Freigaben und die Datenbanken alle stressfrei vorhanden - da gab es keinen Stress.
Lediglich der Exchange-Server ist übrig geblieben.
Bin nun mal gespannt, ob ich den nach Deinen Tipps wieder ans Laufen bekomme.

Danke schon mal. Melde mich dann noch mal.

Gruß
Peter
MysticFoxDE
MysticFoxDE 08.02.2021 um 19:49:12 Uhr
Goto Top
Moin Peter,

der folgende Artikel könnte auch hilfreich sein.
https://msexchangeguru.com/2016/03/30/disconnected-mailboxes/

Gruss Alex
MysticFoxDE
MysticFoxDE 08.02.2021 um 19:55:47 Uhr
Goto Top
Moin Peter,
nochmals zur Reihenfolge.
(Backup erstellen)
Zuerst den alten Exchange wieder in die Domäne hängen.

Danach das Setup wie oben beschrieben mit setup.exe /PrepareSchema und /PrepareDomain ausführen.

Als nächstes wie vom Franky beschrieben die DB wieder einbinden.
https://www.frankysweb.de/exchange-2016-wiederherstellung-einer-datenban ...

Und danach wie in dem zuletzt geposteten Link die Postfächer wieder neu mit den Benutzer Verheiraten.
https://msexchangeguru.com/2016/03/30/disconnected-mailboxes/

Und schon müsste der Exchange wieder flitzen. 😁

Wenn nicht dann helfen wir gerne nach. 🙃

Gruss Alex
keine-ahnung
keine-ahnung 08.02.2021 um 20:09:35 Uhr
Goto Top
@PA-Peter

DC läuft wieder, AD steht!

Lass uns nicht völlig doof sterben - wie wurde dieses Wunder bewirkt? [Bitte beeilen mit einer Antwort - s. mein Avatar!]

@MysticFoxDE

Ist schon verrückt, was so alles geht. Also ... wenn man weiss, wie face-smile ! Ich gehöre leider nicht zur Gruppe der Auserwählten ...

LG, Thomas
MysticFoxDE
MysticFoxDE 08.02.2021 um 20:28:38 Uhr
Goto Top
Moin Thomas,

Zitat von @keine-ahnung:
@MysticFoxDE

Ist schon verrückt, was so alles geht. Also ... wenn man weiss, wie face-smile ! Ich gehöre leider nicht zur Gruppe der Auserwählten ...

Jeder hat so seine Tricks und auch du kennst eine Menge und hast diese so wie ich es sehe, auch schon vorbildlich und haufenweise geteilt.

[Bitte beeilen mit einer Antwort - s. mein Avatar!]
Ist der krumme IT-Buckel eigentlich eine Voraussetzung für Level 5?
(Hab auch schon einen 🙃)

Grüsse aus BaWü

Alex
PA-Peter
PA-Peter 08.02.2021 um 22:04:20 Uhr
Goto Top
Alles händisch wieder hin gebastelt. Jeden Rechner per „Test-ComputerSecureChannel -repair“ wieder aufgenommen. User und Gruppen angelegt. Freigabeberechtigungen angepasst.
Da der „Admin“ ja auch schon im alten Snapshot vorhanden war, war die Konfig von Print-, File- und Datenbankservern noch da und lief auch direkt wieder stressfrei.
Sagen wir es mal so: Glück im Unglück!
Interessanterweise funktionieren die Freigaben auf den NAS auch noch. Habe die NASs beide wieder ins AD aufgenommen. Die speziellen Freigaben waren alle noch da...
...vielleicht speichert QNAP hier keine SID bei Benutzern und -gruppen, sondern nur die Namen in Klartext?

Ärgerlich sind die ganzen GPOs - die muss ich noch neu machen 😞

Und halt die schwebende Angst, dass ich den Exchange nicht rein bekomme. Das werden wir morgen dann sehen...
PA-Peter
PA-Peter 09.02.2021 um 11:22:13 Uhr
Goto Top
Zitat von @MysticFoxDE:
Als nächstes den Exchange einfach erneut in die Domäne hängen.
Danach das Exchange Setup folgend erneut ausführen.
setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema
und
setup.exe /IAcceptExchangeServerLicenseTerms /PrepareDomain

PrepareSchema ist sauber durch gelaufen.
PrepareDomain verlangt jedoch, dass vorher PrepareAD durchgeführt wird.
Hattest Du das bewusst weg gelassen?
MysticFoxDE
MysticFoxDE 09.02.2021 um 12:19:04 Uhr
Goto Top
Moin Peter,

Zitat von @PA-Peter:
PrepareDomain verlangt jedoch, dass vorher PrepareAD durchgeführt wird.

das mit ist PrepareAD ist vollkommen korrekt, habe ich nur vergessen, sorry.

Gruss Alex
PA-Peter
PA-Peter 09.02.2021 um 16:28:29 Uhr
Goto Top
Nun läuft gerade /PrepareDomain...
...drückt die Daumen face-wink
MysticFoxDE
MysticFoxDE 09.02.2021 um 16:40:46 Uhr
Goto Top
Wird schon nichts schief gehen. 🙏
keine-ahnung
keine-ahnung 09.02.2021 um 19:17:40 Uhr
Goto Top
@MysticFoxDE

Ist der krumme IT-Buckel eigentlich eine Voraussetzung für Level 5?

Ist kein IT-Buckel ... viel schlimmer face-wink

LG, Thomas
PA-Peter
PA-Peter 11.02.2021 um 16:48:11 Uhr
Goto Top
Leider ist es (bislang) nicht gut verlaufen.
Die Vorbereitungen sind alle drei sauber durch gelaufen.
Trotzdem startet der Exchange nicht mehr.

Kurze Übersicht über die Fehler:
"No Suitable Directory Servers Found in Forest xxx.lokal Site Default-First-Site-Name and connected Sites"

Sehr oft der Fehler: "Microsoft Exchange Information Store %%2414" im Eventlog

Im Grunde genommen verstehe ich aus dem Eventlog, dass irgendwo ein Topologie-Fehler vorliegt...
...habe schon ne Menge Recherche betrieben und einige Kleinigkeiten gefunden und behoben.
Aber irgendwie ist hier im AD noch der Wurm drin face-sad
PA-Peter
PA-Peter 11.02.2021 um 18:25:39 Uhr
Goto Top
P.S. der Klassiker:
DC GPO und die Rechte für Exchange-Server auf "Verwalten von Überwachung- und Sicherheitsprotokollen" ist gesetzt.
Der Exchange-Server ist auch Mitglied in der Gruppe Exchange-Server.

--> dies ist bei 99% aller Websuchen das Ergebnis, welches angeblich das Problem lösen soll. Offenbar ist eben das aber nicht die Ursache in meiner Situation face-sad
Vision2015
Vision2015 11.02.2021 um 20:06:22 Uhr
Goto Top
moin...

startet der Exchange Active Directory Topology Service ?
Datum Uhrzeit richtig?
Net time \\ADServerName /Set
hat die DB ein Dirty Shutdown?
schon mal versucht, mit einer neuen DB zu starten?
IPV6 an?
DCDIAG Fehler?

Frank
PA-Peter
PA-Peter 12.02.2021 aktualisiert um 09:45:07 Uhr
Goto Top
Zitat von @Vision2015:
startet der Exchange Active Directory Topology Service ?
Ja, ist gestartet

Datum Uhrzeit richtig?
Net time \\ADServerName /Set
Ja, w32time referenziert auf den DC - das ist sauber!

hat die DB ein Dirty Shutdown?
Schwer zu sagen. Wie verhält sich der Exchange Server, wenn auf einmal das AD im Eimer ist?

schon mal versucht, mit einer neuen DB zu starten?
Noch nicht getestet. Werde ich mich gleich mal dran geben...

IPV6 an?
Ja - ist an!

DCDIAG Fehler?
Jein - nur beim SYSTEMLOG meldet er einen Fehler. Hier waren ja einige NETLOGON Fehler enthalten, da bei den Stationen ja erst wieder die Vertrauensstellung hergestellt werden musst. Die war der einzige Test, den er nicht besteht.

Danke Dir!
PA-Peter
PA-Peter 12.02.2021 um 11:08:56 Uhr
Goto Top
Zitat von @Vision2015:
hat die DB ein Dirty Shutdown?
Schwer zu sagen. Wie verhält sich der Exchange Server, wenn auf einmal das AD im Eimer ist?

Gerade mal mit ESEUTIL gecheckt.
Checking database integrity.

The database is not up-to-date. This operation may find that
this database is corrupt because data from the log files has
yet to be placed in the database.

To ensure the database is up-to-date please use the 'Recovery' operation.  

Operation terminated with error -550 (JET_errDatabaseDirtyShutdown, Database was not shutdown cleanly. Recovery must first be run to properly complete database operations for the previous shutdown.) after 37.860 seconds.

Starte mal ein Recovery...
PA-Peter
PA-Peter 12.02.2021 um 13:19:30 Uhr
Goto Top
Soft-Recovery lief stressfrei durch, Datenbank ist nun im Clean-Shutdown und die Integrität ist auch OK.

Topologie- und AD-Access-Fehler bleiben leider bestehen face-sad
Vision2015
Vision2015 12.02.2021 um 13:28:55 Uhr
Goto Top
moin...


Zitat von @PA-Peter:

Soft-Recovery lief stressfrei durch, Datenbank ist nun im Clean-Shutdown und die Integrität ist auch OK.
klasse... dachte ich mir es doch, das eine hat nix mit dem anderen zu tun face-smile


Topologie- und AD-Access-Fehler bleiben leider bestehen face-sad
und die wären genau welche...
Sorry meine g-kugel ist zur politur wech...

Frank
Vision2015
Vision2015 12.02.2021 um 13:33:53 Uhr
Goto Top
Moin....
Nachtrag....

Ein Backup ist leider nicht wirklich vorhanden - das stand noch auf dem Zettel für die Umsetzung und ist leider bis jetzt noch nicht in die Tat umgesetzt werden.
ich hoffe das hast du als erstes erledigt.... jetzt wird alles gesichert......oder???????? sach jetzt bloß nich NEIN!
Es gibt aktuell lediglich Backups der Daten - nicht der Maschinen
der Exchange DB?

von was reden wir eigentlich? 10...100...1000 konten im Exchange?

Frank
PA-Peter
PA-Peter 12.02.2021 um 14:03:09 Uhr
Goto Top
Hi,

es sind "nur" 10 Konten in Summe...
...also wirklich Small-Business - aber trotzdem wichtig für eine so kleine Bude wie uns hier.

Die Backup-Lösung ab jetzt ist die regelmäßige Komplettsicherung der VMs.
Unabhängig davon überlege ich, den zweiten Server 2019, der z.Zt. lediglich als Fileserver läuft, ebenfalls zum Domänencontroller zu machen um wenigstens das AD sicherer gegen Ausfälle zu machen.

Zu den Fehlern:
Weiterhin wie oben beschrieben:
"No Suitable Directory Servers Found in Forest xxx.lokal Site Default-First-Site-Name and connected Sites"

Sehr oft der Fehler:
"Microsoft Exchange Information Store %%2414" im Eventlog
PA-Peter
PA-Peter 12.02.2021 um 15:02:00 Uhr
Goto Top
Die Exchange Management Shell startet übrigens auch nicht - klar, keine Verbindung zum Exchange-Server.

Folgende Meldungen:
New-PSSession : [server2.xxx.lokal] Beim Verbinden mit dem Remoteserver "server2.xxx.lokal" ist folgender Fehler  
aufgetreten: Der WinRM-Client kann die Anforderung nicht verarbeiten. Der Inhaltstyp der HTTP-Antwort vom Zielcomputer
kann nicht ermittelt werden. Der Inhaltstyp fehlt oder ist ungültig. Weitere Informationen finden Sie im Hilfethema
"about_Remote_Troubleshooting".  
In Zeile:1 Zeichen:1
+ New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Micr ...  
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
   gTransportException
    + FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed
WARNUNG: Am Active Directory-Standort Default-First-Site-Name sind keine Exchange-Server verfügbar. Es wird eine
Verbindung zu einem Exchange-Server an einem anderen Active Directory-Standort hergestellt.
_AutoDiscoverAndConnect : Es sind an keinem Active Directory-Standort Exchange-Server verfügbar. Es kann keine
Verbindung zu Remote-PowerShell auf einem Computer hergestellt werden, auf dem nur die Verwaltungstools-Rolle
installiert ist.
In C:\Program Files\Microsoft\Exchange Server\V15\bin\ConnectFunctions.ps1:45 Zeichen:4
+             _AutoDiscoverAndConnect $credential $Forest -useWIA:$useW ...
+             ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,_AutoDiscoverAndConnect
Da muss doch noch irgendwo ein Fehler im AD liegen?? Ich finde ihn nur nicht face-sad
Vision2015
Vision2015 12.02.2021 um 15:11:42 Uhr
Goto Top
Zitat von @PA-Peter:
Moin...

Hi,

es sind "nur" 10 Konten in Summe...
...also wirklich Small-Business - aber trotzdem wichtig für eine so kleine Bude wie uns hier.
es geht nicht um Klein oder Groß.... sondern was geht am schnellsten....

Die Backup-Lösung ab jetzt ist die regelmäßige Komplettsicherung der VMs.
Unabhängig davon überlege ich, den zweiten Server 2019, der z.Zt. lediglich als Fileserver läuft, ebenfalls zum Domänencontroller zu machen um wenigstens das AD sicherer gegen Ausfälle zu machen.

Zu den Fehlern:
Weiterhin wie oben beschrieben:
"No Suitable Directory Servers Found in Forest xxx.lokal Site Default-First-Site-Name and connected Sites"
schon das geprüft?

Sehr oft der Fehler:
"Microsoft Exchange Information Store %%2414" im Eventlog
da müssen mehr Fehler sein.....

Frank
Vision2015
Vision2015 12.02.2021 um 15:29:47 Uhr
Goto Top
moin...
noch mal ich...

starte den DC mal neu... warte 15 Minuten, und mach ein
repadmin /syncall /AePdq

auf dem DC.
dann auf dem DC
setup /Preparead /IAcceptExchangeServerLicenseTerms
von der Exchange ISO

Frank
PA-Peter
PA-Peter 12.02.2021 um 15:38:14 Uhr
Goto Top
Zitat von @Vision2015:
"No Suitable Directory Servers Found in Forest xxx.lokal Site Default-First-Site-Name and connected Sites"
schon das geprüft?
Ja, genau das habe ich schon recht früh heraus gefunden und gefixt...

"Microsoft Exchange Information Store %%2414" im Eventlog
da müssen mehr Fehler sein.....

Habe noch einige Warnungen gefunden - hatte ich bislang wohl überblättert, da ich auf Fehler fixiert war:
The Mailbox Replication service was unable to determine the set of active mailbox databases on a mailbox server.
Mailbox server: server2.rieck.lokal
Error: MapiExceptionNetworkError: Unable to make admin interface connection to server. (hr=0x80040115, ec=-2147221227)
Vision2015
Vision2015 12.02.2021 um 15:44:17 Uhr
Goto Top
blöde frage....

>Windows Settings->Security Settings->Local Policies->Security Options

Enable "User Account Control: Admin Approval Mode for the Built-in Administrator account"   
hast du gemacht an dc und exchange?

was für fehler hast du auf dem dc?

Frank
PA-Peter
PA-Peter 12.02.2021 aktualisiert um 16:00:00 Uhr
Goto Top
Zitat von @Vision2015:
blöde frage....

>Windows Settings->Security Settings->Local Policies->Security Options
> 
> Enable "User Account Control: Admin Approval Mode for the Built-in Administrator account"   
hast du gemacht an dc und exchange?
War am Exchange deaktiviert - am DC aktiviert.

was für fehler hast du auf dem dc?

Der ist Fehlerfrei. Es gibt lediglich vereinzelte SChannel Warnungen (heute um 9:57 zuletzt):
Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .

Ich werde gleich mal Deine o.a. Schritte am DC testen. DC startet gerade neu...
Vision2015
Vision2015 12.02.2021 um 16:01:27 Uhr
Goto Top
moin....
Zitat von @PA-Peter:

Zitat von @Vision2015:
blöde frage....

>Windows Settings->Security Settings->Local Policies->Security Options
>> 
>> Enable "User Account Control: Admin Approval Mode for the Built-in Administrator account"   
hast du gemacht an dc und exchange?
War am Exchange deaktiviert - am DC aktiviert.
hmmmmmmmmmmmmpf.....
Flüchtigkeitsfehler... mach das an... und Reboot

was für fehler hast du auf dem dc?

Der ist Fehlerfrei. Es gibt lediglich vereinzelte SChannel Warnungen (heute um 9:57 zuletzt):
Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .

Ich werde gleich mal Deine o.a. Schritte am DC testen. DC startet gerade neu...
ok

Frank
PA-Peter
PA-Peter 12.02.2021 um 16:23:16 Uhr
Goto Top
Zitat von @PA-Peter:
Der ist Fehlerfrei. Es gibt lediglich vereinzelte SChannel Warnungen (heute um 9:57 zuletzt):
Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .

Beim Neustart gibt es dann doch vereinzelte Fehler - bin mir nicht sicher über die Relevanz derer:
Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.
 
 Verzeichnisinstanz: NTDS
Eine Sekunde später steht aber, dass der ADSW nun erfolgreich gestartet sei und Anforderungen annehmen würde.
Weitere Fehlermeldung:
Der DFS-Replikationsdienst konnte keine Verbindung mit dem Domänencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim nächsten Konfigurationsabfragezyklus, der in 60 Minuten eintritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Domänendienste- oder DNS-Probleme verursacht werden.   
Weitere Informationen:  
Fehler: 160
Exakt 5min später steht drin, dass der DFSR nun erfolgreich die Verbindung hergestellt hat.

Somit war das für mich eigentlich nicht nennenswert.

Hie die Antwort vom REPADMIN:
C:\Users\Administrator>repadmin /syncall /AePdq
Alle NCs auf server1 werden synchronisiert.
Partition wird synchronisiert: DC=ForestDnsZones,DC=rieck,DC=lokal
SyncAll wurde ohne Fehler beendet.

Partition wird synchronisiert: DC=DomainDnsZones,DC=rieck,DC=lokal
SyncAll wurde ohne Fehler beendet.

Partition wird synchronisiert: CN=Schema,CN=Configuration,DC=rieck,DC=lokal
SyncAll wurde ohne Fehler beendet.

Partition wird synchronisiert: CN=Configuration,DC=rieck,DC=lokal
SyncAll wurde ohne Fehler beendet.

Partition wird synchronisiert: DC=rieck,DC=lokal
SyncAll wurde ohne Fehler beendet.

Starte nun mal am DC das prepareAD (lief schon zwei mal am Exchange).
PA-Peter
PA-Peter 12.02.2021 um 16:40:12 Uhr
Goto Top
Starte nun mal am DC das prepareAD (lief schon zwei mal am Exchange).

Auch das ist nun durch gelaufen.
Es gibt ein paar Fehler im MSExchange-Management:
Die Beschreibung für die Ereignis-ID "6" aus der Quelle "MSExchange CmdletLogs" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.  
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert: 
Remove-ServiceEndpoint
-DomainController "server1.rieck.lokal" -Identity "Windows Live Calendar"  
xxx.lokal/Users/Administrator
Local-Exchange Management Console-Unknown
7224 ExSetup.exe
Sowie:
Die Beschreibung für die Ereignis-ID "4027" aus der Quelle "MSExchange ADAccess" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.  

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert: 
ExSetup.exe
7224
Get Servers for rieck.lokal
TopologyClientTcpEndpoint (localhost)
3
System.ServiceModel.EndpointNotFoundException: Es konnte keine Verbindung mit "net.tcp://localhost:890/Microsoft.Exchange.Directory.TopologyService" hergestellt werden. Der Verbindungsversuch hat für einen Zeitraum von 00:00:02.0474358 angedauert. TCP-Fehlercode 10061: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 127.0.0.1:890.  ---> System.Net.Sockets.SocketException: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 127.0.0.1:890  

Interessanterweise bin ich während dessen aus der RDP Session vom Exchange geflogen und dieser steht nun munter auf "Windows wird vorbereitet - schalten Sie den Computer nicht aus". Ob es da einen Zusammenhang mit dem Setup gab 🤔
Vision2015
Vision2015 12.02.2021 um 16:50:37 Uhr
Goto Top
moin...

Interessanterweise bin ich während dessen aus der RDP Session vom Exchange geflogen und dieser steht nun munter auf "Windows wird vorbereitet - schalten Sie den Computer nicht aus". Ob es da einen Zusammenhang mit dem Setup gab 🤔

lass mal laufen...

Admin Approval Mode ist aber jetzt auf dem Exchange an... oder?
Frank
PA-Peter
PA-Peter 12.02.2021 um 16:52:39 Uhr
Goto Top
Ja.
Das ist aber ne reine Sicherheitsthematik - oder soll es da einen Zusammenhang mit den Problemen geben?
Vision2015
Vision2015 12.02.2021 um 16:54:28 Uhr
Goto Top
Zitat von @PA-Peter:

Ja.
Das ist aber ne reine Sicherheitsthematik - oder soll es da einen Zusammenhang mit den Problemen geben?
ja.... dein admin auf dem exchange hat nicht alle rechte.....


Frank
PA-Peter
PA-Peter 12.02.2021 um 17:13:09 Uhr
Goto Top
Wow, OK, da hätte ich jetzt mal so keinen direkten Zusammenhang gesehen...
...den Schalter hatte ich eher als "Option für Klickfaule" gesehen.

Leider ist der Fehler am Exchange unverändert face-sad
No Suitable Directory Servers Found in Forest  
sowie:
The Mailbox Replication service was unable to determine the set of active mailbox databases on a mailbox server.
Ebenso immer noch der %%2414

face-sad
PA-Peter
PA-Peter 12.02.2021 um 17:18:25 Uhr
Goto Top
So langsam komme ich nach einer Woche an meine Belastungsgrenze mit dem Mist face-sad
Ob da wer ist, wer Bock hat, sich das mal via Remote anzuschauen?
Vision2015
Vision2015 12.02.2021 um 17:35:55 Uhr
Goto Top
Zitat von @PA-Peter:

So langsam komme ich nach einer Woche an meine Belastungsgrenze mit dem Mist face-sad
Ob da wer ist, wer Bock hat, sich das mal via Remote anzuschauen?
hast Post...

Frank
PA-Peter
PA-Peter 14.02.2021 um 18:06:47 Uhr
Goto Top
Kurze Info für die Runde:
Wir haben es leider nicht hin bekommen. Aktuell läuft die Neuinstallation auf ner neuen Maschine.
Datenverlust gibt es zum Glück keinen - Datenbank ist safe.

Danke an Euch alle, speziell an Frank, für die Hilfe!
beidermachtvongreyscull
beidermachtvongreyscull 14.02.2021 um 18:20:20 Uhr
Goto Top
Danke für die Info.

Es kann eben sehr schwierig sein, die Folgefehler allesamt einzufangen.

Die Erfahrung hat mir gezeigt, dass das sogar für die Spezis vom MS-Support gilt.

Lösen die nämlich ein Problem und schaffen dadurch ein neues, muss man nen neuen Fall aufmachen.

Gruß
bdmvg
PA-Peter
PA-Peter 16.02.2021 um 23:06:43 Uhr
Goto Top
Die Neuinstallation ist dann auch nun gelungen. 10 Tage keine Mails 😳
Wir hängen an Sophos-Central-Mail dran. Bin mal gespannt, ob die noch alle rein kommen, oder ob da was auf der Strecke bleibt...
PA-Peter
PA-Peter 18.02.2021 um 16:24:05 Uhr
Goto Top
...und es ist leider Einiges auf der Strecke geblieben 😭
Sophos Central macht wohl 5 Zustellversuche und lehnt die Mails dann ab...
...vom 7.2. ca. 2:00 bis ca. 13.2. sind alle eingegangenen Mails offenbar weg. Stehen noch nicht mal im Nachrichtenverlauf 😭 Hier kann man nur die Mails sehen, die eh in der Quarantäne gelandet sind...
...aber die brauche ich nicht so wirklich 🤪
Einige Mails (eben, die abgewiesenen) steht noch unter "In Zustellwarteschlange", werden offenbar jedoch nicht zugestellt.
Einträge sehen wie folgt aus:
In Zustellwarteschlange	Inbound	Feb. 10, 2021 3:47 vorm.	<invalid address>	p*@r*.com	Mail delivery failed: returning message to sender
Habe noch nicht mit unserem SOPHOS Partner gesprochen, jedoch hatte ich seinerzeit eigenmächtig die Einrichtung übernommen, da ich nicht den Eindruck hatte, dass die Jungs sooooo viel schlauer sind als ich 😉 Sie wissen halt schneller, wo sie schauen müssen, wenn sie etwas suchen.
Eine brauchbare Doku seitens Sophos für den Fall, dass der Mail-Server für eine Zeit von X-Tagen offline ist, habe ich auf die Schnelle nicht gefunden 🙄 Aber vielleicht suche ich auch falsch? 🤔