131455
Oct 16, 2017
1046
13
0
Wie ist der korrekte Sicherungsvorgang von DCs und insbesondere der Restore Vorgang. Beim Abbau einer Childdomäne
Hallo,
wie haben eine Domäne mit 1 Domänencontroller 2008 R2 (Masterdomäne) . Dann gibt es einen Domänencontroller mit Server 2003 R2 (Childdomäne)
Wie sichert man diese. Beide sind virtuell. Macht man hier einen AD Sicherung ? Oder fährt man diese DC`s einfach komplett runter , und macht einen Fullbackup.
Dann möchten wir die Childdomäne deinstallieren. Ist ja einfach per DC Promo / demoten. Was ist , wenn hier etwas schief geht. Wie ist der correcte Restore Vorgang (Am besten Whitepaper Microsoft).
Die DC`s replizieren auf 2 Niederlassungen zusätzlich mit Read Only DC`s
Gruss
Rainer
wie haben eine Domäne mit 1 Domänencontroller 2008 R2 (Masterdomäne) . Dann gibt es einen Domänencontroller mit Server 2003 R2 (Childdomäne)
Wie sichert man diese. Beide sind virtuell. Macht man hier einen AD Sicherung ? Oder fährt man diese DC`s einfach komplett runter , und macht einen Fullbackup.
Dann möchten wir die Childdomäne deinstallieren. Ist ja einfach per DC Promo / demoten. Was ist , wenn hier etwas schief geht. Wie ist der correcte Restore Vorgang (Am besten Whitepaper Microsoft).
Die DC`s replizieren auf 2 Niederlassungen zusätzlich mit Read Only DC`s
Gruss
Rainer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 351846
Url: https://administrator.de/contentid/351846
Printed on: April 19, 2024 at 12:04 o'clock
13 Comments
Latest comment
Hi,
wenn es rein um die Sicherung der Domänen geht:
Für das Entfernen einer kompletten Domäne:
E.
wenn es rein um die Sicherung der Domänen geht:
- für jede Domäne von einem DC dieser Domäne eine Sicherung des Systemstatus erstellen
Für das Entfernen einer kompletten Domäne:
- für jede Domäne von einem DC dieser Domäne eine Sicherung des Systemstatus erstellen
- danach die DC's dieser Domäne der Reihe nach demoten (Replikation abwarten!)
E.
Hallo,
ja im Endeffekt , wenn man die wiederherstellen muesste. Waere es der Nonautorative Restore , wie ich das verstehe.
Gruss
Rainer
ja im Endeffekt , wenn man die wiederherstellen muesste. Waere es der Nonautorative Restore , wie ich das verstehe.
Gruss
Rainer
Jain.
Eine nicht autorisierende Wiederherstellung macht nur Sinn, wenn man in einer funktionierenden Domäne, in welcher es noch weitere DC mit aktuellem Datenbestand gibt, einen DC komplett wiederherstellen muss. Dann würde der DC seine eigenen, wiederhergestellten Replikate der einzelnen Partitionen ganz normal mit den anderen DC's abgleichen.
Wenn man aber eine Domäne oder einen DC entfernt hat (genauso wie wenn man andere Objekte gelöscht hätte) und das soll wieder rückgängig gemacht werden, dann muss man die entsprechenden Objekte wiederherstellen, in dem man (mindestens) den Systemstatus eines DC mit der entsprechenden Partition von einem Backup vor der Löschung wiederherstellt. Wenn man das aber nicht autorisierend tut, also keine Objekte als autorisierend kennzeichnet, und die Löschung ist nicht länger her als die Tombstobe Lifetime, dann würde der wiederhergestellte DC sofort von den anderen DC mitgeteilt bekommen "diese Objekte sind gelöscht" und würde diese ebenfalls sofort wieder als gelöscht kennzeichnen. Hier muss man autorisierend wiederherstellen (nur die betreffenden Objekte), damit die anderen DC gesagt bekommen, dass der Stand des wiederhergestellten DC maßgebend ist (einmalig, nur für die nächste Replikation geltend). Dann würden die betreffenden Objekte, welche man für die autorisierende Wiederherstellung bestimmt hat, auch auf den übrigen DC "wiederhergestellt" werden, sprich, deren Tombstones würden wieder entfernt und deren DN restauriert werden.
Eine nicht autorisierende Wiederherstellung macht nur Sinn, wenn man in einer funktionierenden Domäne, in welcher es noch weitere DC mit aktuellem Datenbestand gibt, einen DC komplett wiederherstellen muss. Dann würde der DC seine eigenen, wiederhergestellten Replikate der einzelnen Partitionen ganz normal mit den anderen DC's abgleichen.
Wenn man aber eine Domäne oder einen DC entfernt hat (genauso wie wenn man andere Objekte gelöscht hätte) und das soll wieder rückgängig gemacht werden, dann muss man die entsprechenden Objekte wiederherstellen, in dem man (mindestens) den Systemstatus eines DC mit der entsprechenden Partition von einem Backup vor der Löschung wiederherstellt. Wenn man das aber nicht autorisierend tut, also keine Objekte als autorisierend kennzeichnet, und die Löschung ist nicht länger her als die Tombstobe Lifetime, dann würde der wiederhergestellte DC sofort von den anderen DC mitgeteilt bekommen "diese Objekte sind gelöscht" und würde diese ebenfalls sofort wieder als gelöscht kennzeichnen. Hier muss man autorisierend wiederherstellen (nur die betreffenden Objekte), damit die anderen DC gesagt bekommen, dass der Stand des wiederhergestellten DC maßgebend ist (einmalig, nur für die nächste Replikation geltend). Dann würden die betreffenden Objekte, welche man für die autorisierende Wiederherstellung bestimmt hat, auch auf den übrigen DC "wiederhergestellt" werden, sprich, deren Tombstones würden wieder entfernt und deren DN restauriert werden.
Hallo,
ok danke. Das heisst Nichtautorisierend . Er gleicht sich einfach wieder mit anderen Ab. Autorisierend. Hallo, ich der der Master.
Was ich habe zeahlt . Und er repliziert runter auf alle anderen.
Gruss
Rainer
ok danke. Das heisst Nichtautorisierend . Er gleicht sich einfach wieder mit anderen Ab. Autorisierend. Hallo, ich der der Master.
Was ich habe zeahlt . Und er repliziert runter auf alle anderen.
Gruss
Rainer
Das heisst Nichtautorisierend . Er gleicht sich einfach wieder mit anderen Ab.
Ja.Autorisierend. Hallo, ich der der Master. Was ich habe zeahlt . Und er repliziert runter auf alle anderen.
Ja, aber nur jene Objekte, welche explizit dafür gekennzeichnet werden. Sprich deren USN angehoben wurde.
ok. In unserem Fall , wäre es die Childdomäne USN ?`
Gruss
Rainer
Gruss
Rainer
Hä?
Hallo,
konnte eben noch ein Video finden.
https://www.youtube.com/watch?v=PRgP9Qt6UDE
Bei 7:33 sieht man , wie er einen Subtree wieder herstellt.
Ein Subtree müsste ja dann nach ADSIEDIT auch unsere Subdomaine sein.
Wäre dann in der Commandozeile
Authorativer restore: restore subtree "DC=test,DC=contoso,DC=local"
correct ?
Gruss und Danke
Rainer
konnte eben noch ein Video finden.
https://www.youtube.com/watch?v=PRgP9Qt6UDE
Bei 7:33 sieht man , wie er einen Subtree wieder herstellt.
Ein Subtree müsste ja dann nach ADSIEDIT auch unsere Subdomaine sein.
Wäre dann in der Commandozeile
Authorativer restore: restore subtree "DC=test,DC=contoso,DC=local"
correct ?
Gruss und Danke
Rainer
Habe mir das Video jetzt nicht angesehen.
Aber eine Domäne ist nicht einfach ein "Subtree" des Forest. Da hängt noch mehr dran. Vor allem die Konfiguration in der Configuration Partition.
Aber eine Domäne ist nicht einfach ein "Subtree" des Forest. Da hängt noch mehr dran. Vor allem die Konfiguration in der Configuration Partition.
Hallo,
ok. ich schaue mal ob ich dazu was finde. Childdomän restore wird man wohl wenig finden.
neulich geschaut. Ich schaue nochmals.
gruss
Rainer
ok. ich schaue mal ob ich dazu was finde. Childdomän restore wird man wohl wenig finden.
neulich geschaut. Ich schaue nochmals.
gruss
Rainer
Hallo,
der Vorgang bisher wäre ja
- Backup/Snapshot DC`s, Sicherung des Systemstatus
- Shutdown DC`s
- Server der Masterdomäne bleibt unten
- Snapshot + Fullbackup
- Starten Sie DC`s neu
- Childdomäne entfernen
- Bei fehlgeschlagenem entfernen der Childdomäne
- Wiederherstellung DC der Child und Masterdomäne
- DC der Domäne starten als "autorativ" . Mit ist nur nich klar , wie man hier einen Befehl gibt , das die Childdomäne Autorativ sein soll ? Offener Punkt -> Müsste das in Testumgebung durchspielen.
Kurzform:
Text von emeriks (Level4)
Kurzform:
wenn es rein um die Sicherung der Domänen geht:
1.für jede Domäne von einem DC dieser Domäne eine Sicherung des Systemstatus erstellen
Für das Entfernen einer kompletten Domäne:
1.für jede Domäne von einem DC dieser Domäne eine Sicherung des Systemstatus erstellen
2.danach die DC's dieser Domäne der Reihe nach Demoten (Replikation abwarten!)
Restore ist hier aber nur notwendig, wenn man hinter merkt, dass diese Domäne doch noch benötigt wird. Wenn es "bloß" zu Schwierigkeiten beim Demoten der DC kommt, insbesondere des letzten DC einer Domäne, dann muss man nicht Wiederherstellen.
Dann geht man einfach den Weg des "harten" Entfernens von DC's und Domänen aus dem AD
(Metadata Cleanup).
Anleitung:
http://www.isaacoben.com/2009/07/04/how-to-remove-child-domain-and-othe ...
Gruss
Rainer
der Vorgang bisher wäre ja
- Backup/Snapshot DC`s, Sicherung des Systemstatus
- Shutdown DC`s
- Server der Masterdomäne bleibt unten
- Snapshot + Fullbackup
- Starten Sie DC`s neu
- Childdomäne entfernen
- Bei fehlgeschlagenem entfernen der Childdomäne
- Wiederherstellung DC der Child und Masterdomäne
- DC der Domäne starten als "autorativ" . Mit ist nur nich klar , wie man hier einen Befehl gibt , das die Childdomäne Autorativ sein soll ? Offener Punkt -> Müsste das in Testumgebung durchspielen.
Kurzform:
Text von emeriks (Level4)
Kurzform:
wenn es rein um die Sicherung der Domänen geht:
1.für jede Domäne von einem DC dieser Domäne eine Sicherung des Systemstatus erstellen
Für das Entfernen einer kompletten Domäne:
1.für jede Domäne von einem DC dieser Domäne eine Sicherung des Systemstatus erstellen
2.danach die DC's dieser Domäne der Reihe nach Demoten (Replikation abwarten!)
Restore ist hier aber nur notwendig, wenn man hinter merkt, dass diese Domäne doch noch benötigt wird. Wenn es "bloß" zu Schwierigkeiten beim Demoten der DC kommt, insbesondere des letzten DC einer Domäne, dann muss man nicht Wiederherstellen.
Dann geht man einfach den Weg des "harten" Entfernens von DC's und Domänen aus dem AD
(Metadata Cleanup).
Anleitung:
http://www.isaacoben.com/2009/07/04/how-to-remove-child-domain-and-othe ...
Gruss
Rainer
Hallo Rainer,
wenn Du schon meinen Text komplett übernimmst, dann wäre es doch nett, wenn Du diesen eindeutig als Zitat kennzeichnest.
E.
wenn Du schon meinen Text komplett übernimmst, dann wäre es doch nett, wenn Du diesen eindeutig als Zitat kennzeichnest.
E.
Hallo,
ja sorry. Text ist ja ersichtlich oben.
Gruss
Ralf
ja sorry. Text ist ja ersichtlich oben.
Gruss
Ralf
