Neuaufsetzen des AD?
Moinsen zusammnen.
Leider habe ich mal wieder ein Problem und hoffe hier wie auch in der Vergangenheit auf professionelle Hilfe.
Zum Stand:
Ich habe in einer VSphere Testumgebung ca. 15 Server (MS 2012R2) laufen, die soweit auch ganz gut funktionieren.
Meine Probleme begannen mit der Integration von Ex2013.
Die Installation und Konfiguration lief MS üblich etwas schleppend (Abstürze, Abbrüche, usw.)
Letztendlich habe ich ihn aber dann doch noch zum laufen gebracht.
Nach einiger Zeit stellten sich dann die ersten Probleme ein. Es kam zu Berechtigungsproblemen und zeitweise war ein Zugriff gar nicht mehr möglich.
Aktueller Stand ist das ich intern per Outlook noch zugreifen kann, und manchmal die ECP Seite funktioniert, aber selbst da bei ein und demselben User mal in Englisch und mal in Deutsch....
Der Zugriff per OWA oder Android (mit diversen Programmen) ist gar nicht möglich.
Den Exchange habe ich inzwischen sicherlich an die zwanzig Mal installiert (teilweise sogar die VM gelöscht) und das AD soweit bereinigt wie ich etwas finden konnte.
Das ganze läuft inzwischen seit vielen Monaten, da mir die Zeit fehlte mich intensiver darum zu kümmern. Wie gesagt der Zugriff per Outlook läuft.
Ich habe inzwischen hunderte Foren und Tipps durchsucht um zu einer Lösung zu gelangen, aber nichts brachte den gewünschten Erfolg.
Soviel ist klar, es handelt sich anscheinend definitiv um ein Berechtigungsproblem im AD.
Daher möchte ich nun ein Szenario durchspielen, das AD komplett neu aufzusetzen.
Das Problem an der Sache ist, das ich wo der Kram schon mal hier stand, die Familienuser und privaten Dinge & Daten auch in der Farm untergebracht habe.
Um mir nicht den Unmut aller auf den Hals zu hetzen bin ich natürlich bestrebt so viel wie möglich in ein neues AD zu integrieren, ohne das "frische" AD gleich wieder zuzumüllen...
Außerdem muß das neue AD wieder den gleichen Namen erhalten, um nicht Monate mit dem Neuaufbau zu verbringen!
Mir geht es dabei auch gar nicht so sehr um Mails oder den FS. Mails sichere ich mir in eine pst und der Fileserver soll auch nicht gelöscht werden.
Vom Grundgedanken nehme ich alle Server aus der Domäne, baue diese neu auf, und füge die Server wieder hinzu. Das wichtigste ist natürlich das keine "ungewollten" Reste des alten AD zurück bleiben.
So, ich hoffe ich habe das soweit verständlich erklärt, und keine wichtigen Infos vergessen. Falls doch schreibt einfach, dann reiche ich umgehend nach.
Vielen Dank an alle schon mal jetzt für ihre konstruktiven Ideen!!
Viele Grüße
Thorsten
Leider habe ich mal wieder ein Problem und hoffe hier wie auch in der Vergangenheit auf professionelle Hilfe.
Zum Stand:
Ich habe in einer VSphere Testumgebung ca. 15 Server (MS 2012R2) laufen, die soweit auch ganz gut funktionieren.
Meine Probleme begannen mit der Integration von Ex2013.
Die Installation und Konfiguration lief MS üblich etwas schleppend (Abstürze, Abbrüche, usw.)
Letztendlich habe ich ihn aber dann doch noch zum laufen gebracht.
Nach einiger Zeit stellten sich dann die ersten Probleme ein. Es kam zu Berechtigungsproblemen und zeitweise war ein Zugriff gar nicht mehr möglich.
Aktueller Stand ist das ich intern per Outlook noch zugreifen kann, und manchmal die ECP Seite funktioniert, aber selbst da bei ein und demselben User mal in Englisch und mal in Deutsch....
Der Zugriff per OWA oder Android (mit diversen Programmen) ist gar nicht möglich.
Den Exchange habe ich inzwischen sicherlich an die zwanzig Mal installiert (teilweise sogar die VM gelöscht) und das AD soweit bereinigt wie ich etwas finden konnte.
Das ganze läuft inzwischen seit vielen Monaten, da mir die Zeit fehlte mich intensiver darum zu kümmern. Wie gesagt der Zugriff per Outlook läuft.
Ich habe inzwischen hunderte Foren und Tipps durchsucht um zu einer Lösung zu gelangen, aber nichts brachte den gewünschten Erfolg.
Soviel ist klar, es handelt sich anscheinend definitiv um ein Berechtigungsproblem im AD.
Daher möchte ich nun ein Szenario durchspielen, das AD komplett neu aufzusetzen.
Das Problem an der Sache ist, das ich wo der Kram schon mal hier stand, die Familienuser und privaten Dinge & Daten auch in der Farm untergebracht habe.
Um mir nicht den Unmut aller auf den Hals zu hetzen bin ich natürlich bestrebt so viel wie möglich in ein neues AD zu integrieren, ohne das "frische" AD gleich wieder zuzumüllen...
Außerdem muß das neue AD wieder den gleichen Namen erhalten, um nicht Monate mit dem Neuaufbau zu verbringen!
Mir geht es dabei auch gar nicht so sehr um Mails oder den FS. Mails sichere ich mir in eine pst und der Fileserver soll auch nicht gelöscht werden.
Vom Grundgedanken nehme ich alle Server aus der Domäne, baue diese neu auf, und füge die Server wieder hinzu. Das wichtigste ist natürlich das keine "ungewollten" Reste des alten AD zurück bleiben.
So, ich hoffe ich habe das soweit verständlich erklärt, und keine wichtigen Infos vergessen. Falls doch schreibt einfach, dann reiche ich umgehend nach.
Vielen Dank an alle schon mal jetzt für ihre konstruktiven Ideen!!
Viele Grüße
Thorsten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 268370
Url: https://administrator.de/forum/neuaufsetzen-des-ad-268370.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
21 Kommentare
Neuester Kommentar
Moin,
LG, Thomas
Die Installation und Konfiguration lief MS üblich etwas schleppend (Abstürze, Abbrüche, usw.)
????Außerdem muß das neue AD wieder den gleichen Namen erhalten, um nicht Monate mit dem Neuaufbau zu verbringen!
Wie Du das Ding nennst, ist völlig egal - ein neues AD wäre ein neues AD. Auch wenn alt und neu Max Müller heissen ...LG, Thomas
Zitat von @ThMusch:
Ich arbeite seit 20 Jahren mit MS Produkten, seit über 10 professionell, und wie (sagen wir mal) VIELE die in diesem Bereich
nicht nur Hobbymäßig unterwegs sind, entsteht doch oft eine große Frustration wenn Programme die viel Geld kosten
mit teilweise vielen Bugs und Problemen behaftet sind.
Ich arbeite seit 20 Jahren mit MS Produkten, seit über 10 professionell, und wie (sagen wir mal) VIELE die in diesem Bereich
nicht nur Hobbymäßig unterwegs sind, entsteht doch oft eine große Frustration wenn Programme die viel Geld kosten
mit teilweise vielen Bugs und Problemen behaftet sind.
Meine Erfahrung ist, man sollte nicht ohne Plan an den Standard Berechtigungen rumschrauben, denn dann kann man sich ein System ganz schnell schießen. Das ist aber bei Linux und Konsorten noch viel drastischer als bei Microsoft. Ein Exchange 2013 den ich in der Firma eines Bekannten aufgesetzt habe läuft seither problemlos, weil eben keiner an den Berechtigungen rumschraubt.
Wenn du ein bisschen genauer beschreiben würdest was dein Problem mit der jetzigen Domäne ist könnte dir vielleicht geholfen werden ohne das du gleich alles einstampfst.
Hallo Thorsten,
lass den Kopf nicht hängen, auch wenn du bereits viel Zeit investiert hast!
Mich würde als aller erstes interessieren, welches CU dein Exchange 2013 aufweist?
Herausfinden kannst du das über mehrere Wege (in der Hoffnung das einer davon zuverlässig funktioniert):
ECP / Server - Registerkarte Server und dort den Server aus der Liste auswählen. Auf der rechten Seite findest du die Build-Nummer.
SHELL / Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion / auch dort wird die Build-Nummer angezeigt.
lass den Kopf nicht hängen, auch wenn du bereits viel Zeit investiert hast!
Mich würde als aller erstes interessieren, welches CU dein Exchange 2013 aufweist?
Herausfinden kannst du das über mehrere Wege (in der Hoffnung das einer davon zuverlässig funktioniert):
ECP / Server - Registerkarte Server und dort den Server aus der Liste auswählen. Auf der rechten Seite findest du die Build-Nummer.
SHELL / Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion / auch dort wird die Build-Nummer angezeigt.
Guten Morgen
was hast du den für einen VMware Host ? bei 15 x 2012r2 incl. Exchange 2013 sollte da ja schon ordentliche Hardware verbaut sein...
Du schreibst es wäre eine Testumgebung ? ist wohl doch Produktiv
wenn deine EX2013 Installation Mist macht, liegt es in der Regel an der Hardware bzw. am DC etc...
hast du alle MS Updates etc.. und die AD Schemaerweiterungen sauber installiert ?
hast du eine Datensicherung des kompletten Forests inkl. der Domain ?
wie viele DCs?
geht deine Active Directory Replikation noch ?
wenn nach einer fehlerhaften Schemaerweiterung (also dein Setup) kein kompletter Forest Restore vorgenommen wurde- hättest du dir alle Neu- Installationen knicken können... das wohl wird nix mehr..
was sagen den die div. Logfiles zu deinen Fehlern ?
lg
V
was hast du den für einen VMware Host ? bei 15 x 2012r2 incl. Exchange 2013 sollte da ja schon ordentliche Hardware verbaut sein...
Du schreibst es wäre eine Testumgebung ? ist wohl doch Produktiv
wenn deine EX2013 Installation Mist macht, liegt es in der Regel an der Hardware bzw. am DC etc...
hast du alle MS Updates etc.. und die AD Schemaerweiterungen sauber installiert ?
hast du eine Datensicherung des kompletten Forests inkl. der Domain ?
wie viele DCs?
geht deine Active Directory Replikation noch ?
wenn nach einer fehlerhaften Schemaerweiterung (also dein Setup) kein kompletter Forest Restore vorgenommen wurde- hättest du dir alle Neu- Installationen knicken können... das wohl wird nix mehr..
was sagen den die div. Logfiles zu deinen Fehlern ?
lg
V
Guten Morgen Thorsten,
also ehrlich gesagt, die meisten Probleme hast du dir wohl selbst erzeugt - Abstürze bei der Installation? (Defekte Hardware oder Miskonfiguration - daran trägt MS keine Schuld)
Daneben: Derzeit ist das CU8 aktuell, Versionsnummer irgendwas um 1074 (nagel mich nicht fest, aber einige Schritte) - wenn du natürlich am IIS rumdok... (sorry Thomas) ohne eine entsprechende Wissensbasis zu haben - wird dir das immer und immer wieder passieren. Eigentlich(!) gibt es dafür aber auch gar keinen Grund.
Kein Backup -> Verwerflich.
Wie sieht es denn mit den Platten aus? Was für eine SAN/Was für Platten - Was für Werte? Woher die HW und wofür dieses "Testsystem" (oder ist das nur eine Analogie für "ich brauch Hilfe und möchte nicht unbedingt ganz schlecht da stehen")
Grüße und schöne Ostern.
PS: Ist das AD erstmal ruiniert bzw der Exchange noch dazu und du fängst an neu zu machen - fang es von vorne an und investier besser mehr Zeit in die Planung, gerade ein Gespann von zweistelligen Server VMs zieht man ja nicht von heut auf morgen neu hoch.
also ehrlich gesagt, die meisten Probleme hast du dir wohl selbst erzeugt - Abstürze bei der Installation? (Defekte Hardware oder Miskonfiguration - daran trägt MS keine Schuld)
Daneben: Derzeit ist das CU8 aktuell, Versionsnummer irgendwas um 1074 (nagel mich nicht fest, aber einige Schritte) - wenn du natürlich am IIS rumdok... (sorry Thomas) ohne eine entsprechende Wissensbasis zu haben - wird dir das immer und immer wieder passieren. Eigentlich(!) gibt es dafür aber auch gar keinen Grund.
Kein Backup -> Verwerflich.
Wie sieht es denn mit den Platten aus? Was für eine SAN/Was für Platten - Was für Werte? Woher die HW und wofür dieses "Testsystem" (oder ist das nur eine Analogie für "ich brauch Hilfe und möchte nicht unbedingt ganz schlecht da stehen")
Grüße und schöne Ostern.
PS: Ist das AD erstmal ruiniert bzw der Exchange noch dazu und du fängst an neu zu machen - fang es von vorne an und investier besser mehr Zeit in die Planung, gerade ein Gespann von zweistelligen Server VMs zieht man ja nicht von heut auf morgen neu hoch.
Hallo ThMusch,
du solltest dringend die CU für den Exchange installieren! Das Build 516.32 ist vom 03.12.2012. Damit lassen sich sicherlich schon einige der Probleme lösen.
Zitat von @ThMusch:
Moin zusammen.
Erstmal vielen Dank für die rege Beteiligung. Dann will ich mal ein paar Antworten produzieren...
Der Exchange ist Version 15.0 (Build 516.32)
Updatetechnisch sind alle Server auf aktuellen Stand. Sowohl WSUS als auch Online (ja, dort kommt es immer wieder mal zu
Unterschieden!!!) sagen alle Updates verbaut!
na ja... der Exchange ist wohl nicht Up 2 Date Moin zusammen.
Erstmal vielen Dank für die rege Beteiligung. Dann will ich mal ein paar Antworten produzieren...
Der Exchange ist Version 15.0 (Build 516.32)
Updatetechnisch sind alle Server auf aktuellen Stand. Sowohl WSUS als auch Online (ja, dort kommt es immer wieder mal zu
Unterschieden!!!) sagen alle Updates verbaut!
Der VMWare Server ist ein IBM x3650M2 mit SAN
8x 3GHz CPU und 128GB RAM
Ein bisschen mehr "Dampf" ist immer schön, aber dafür sollte das schon reichen. Der Server kommt so gut wie
nie an seine Limits!
Der DC ist auch ein 2012R2 mit Domänenfunktionsebene 20012R2 und der einzige in der Domäne. Die Schemaerweiterung war
eine der Dinge die wirklich komplett sauber durchgelaufen sind.
Eine Sicherung habe ich nicht, da Plattenplatz zwar günstiger geworden ist, aber leider immer noch nicht auf Bäumen
wächst....
wenn morgen alles hinfällig sein könnte... 1 x Raid Error im SAN .... etc... etc...
Unabhängig davon das die Schemaerweiterung sauber durchgelaufen ist, habe ich nachdem sich herausstellte das es um ein
Rechteproblem im AD handeln könnte diverse Male per ADSI Edit die Einträge des Ex im AD nach Vorgabe diverser
Whitepapers gelöscht jedoch immer ohne Erfolg.
In den Logfiles ist nichts konkretes zu dem Problem zu finden. Natürlich sind Einträge da, aber die haben meiner Meinung
nach nichts damit zu tun. Wenn ich nach etwas konkretem suchen soll sag bescheid!!
Soweit erstmal...
Rechteproblem im AD handeln könnte diverse Male per ADSI Edit die Einträge des Ex im AD nach Vorgabe diverser
Whitepapers gelöscht jedoch immer ohne Erfolg.
In den Logfiles ist nichts konkretes zu dem Problem zu finden. Natürlich sind Einträge da, aber die haben meiner Meinung
nach nichts damit zu tun. Wenn ich nach etwas konkretem suchen soll sag bescheid!!
Soweit erstmal...
lg
V
Hallo Thorsten,
wenn die Config zu beginn sch... war, wird sie durch ein Update nicht besser - siehe oben: Tabula Rasa und von vorne. Du hast irgendwas - entschuldige für die Ausdrucksweise - herumgepfuscht - und das wird dann auch durch das Update nicht komplett auf Null gesetzt.
Daher: Zurück auf 0, ordentlich planen oder ggf. eben die Sache mit der Professionalität nochmals überdenken. (Alleine die Aussage 10 Jahre Probleme mit MS lässt einem da doch etwas bedenken gegenüber spüren - was setzt du denn hauptsächlich ein? )
Grüße
wenn die Config zu beginn sch... war, wird sie durch ein Update nicht besser - siehe oben: Tabula Rasa und von vorne. Du hast irgendwas - entschuldige für die Ausdrucksweise - herumgepfuscht - und das wird dann auch durch das Update nicht komplett auf Null gesetzt.
Daher: Zurück auf 0, ordentlich planen oder ggf. eben die Sache mit der Professionalität nochmals überdenken. (Alleine die Aussage 10 Jahre Probleme mit MS lässt einem da doch etwas bedenken gegenüber spüren - was setzt du denn hauptsächlich ein? )
Grüße
Hallo ThMusch,
vielen Dank für die Aktualisierung des Exchange Servers. Da ich den 500-er Fehler nach einem Update auf einem Exchange-Server schon einmal verzeichnen konnte, weiß auch auch Abhilfe dazu:
social.technet.microsoft.com-fehler500
Die Lösung findest du in dem Post vom 03. September 2013.
Wenn du Hilfe benötigst, gib Bescheid.
vielen Dank für die Aktualisierung des Exchange Servers. Da ich den 500-er Fehler nach einem Update auf einem Exchange-Server schon einmal verzeichnen konnte, weiß auch auch Abhilfe dazu:
social.technet.microsoft.com-fehler500
Die Lösung findest du in dem Post vom 03. September 2013.
Wenn du Hilfe benötigst, gib Bescheid.
Zitat von @ThMusch:
Hallo.
@sokraTonis: Da ist mir wohl einiges durch die Lappen gegangen. Das CU kommt (näheres siehe unten)
@Vision2015: Das die CU gefehlt haben habe ich auch inzwischen bemerkt, ist sicherlich jedem schon mal passiert.
Das dir bei meiner Hardware schlecht wird bedaure ich sehr, aber woher nimmst du dir das Recht über meine HW zu urteilen,
oder die Sinnhaftigkeit dieses Posts zu beurteilen???
Es gibt halt Leute die nicht im Lotto gewonnen haben, und sich ein System bauen aus dem was sie haben. Mal ganz abgesehen davon
das du überhaupt keine Ahnung hast, wie meine konkrete Konfig aussieht was Storage, Controller Platten, Raid usw. usw.
angeht.
Mir schwillt echt der Kamm wenn welche daher kommen, nicht einen einzigen konkreten Tip oder Lösungsansatz beisteuern, aber
die Sachen schlecht reden.
Wenn jemand nichts sagen kann (oder will) einfach Post überspringen und gut ist...
es geht nur darum, das du kein Backup hast... bzw. dir leisten magst... kannst etc...Hallo.
@sokraTonis: Da ist mir wohl einiges durch die Lappen gegangen. Das CU kommt (näheres siehe unten)
@Vision2015: Das die CU gefehlt haben habe ich auch inzwischen bemerkt, ist sicherlich jedem schon mal passiert.
Das dir bei meiner Hardware schlecht wird bedaure ich sehr, aber woher nimmst du dir das Recht über meine HW zu urteilen,
oder die Sinnhaftigkeit dieses Posts zu beurteilen???
Es gibt halt Leute die nicht im Lotto gewonnen haben, und sich ein System bauen aus dem was sie haben. Mal ganz abgesehen davon
das du überhaupt keine Ahnung hast, wie meine konkrete Konfig aussieht was Storage, Controller Platten, Raid usw. usw.
angeht.
Mir schwillt echt der Kamm wenn welche daher kommen, nicht einen einzigen konkreten Tip oder Lösungsansatz beisteuern, aber
die Sachen schlecht reden.
Wenn jemand nichts sagen kann (oder will) einfach Post überspringen und gut ist...
Natürlich haben wir keine Ahnung, wie deine Konkrete Konfig aussieht- wohl aber wie eine IBM x3650M2 aussieht... und du wurdest eben schon einmal nach deiner hardware config
genauer befragt...
Sorry- Aber das ist ein Administratoren Forum... Es wundert eben den einen oder anderen Administrator,wenn er liest- das man für Backup etc.. entweder im Lotto gewinnen sollte- bzw.
darauf warten das Hdd´s auf Bäumen wachsen..
Noch mal, es macht echt keinen sinn - so ein System zu haben, aber kein System Backup...
So, nun wieder zum Thema:
Nachdem ich mir die Anforderungen von MS bezüglich CU8 zu Gemüte geführt habe, und diese erfüllt waren habe
ich mich frohen Mutes an das Update gewagt.
Zu meiner großen Freude lief dies auch ohne einen Fehler durch, aber dann.....
Seither geht mal so gar nichts mehr
Im Einzelnen:
1. Zugriff p. ECP / nach der Anmeldung Fehler 500 mit Fehlercode 0x00000000
2. Zugriff p. OWA / siehe ECP
3. Zugriff p. EMS / diverse Meldungen über fehlenden Zugriff
4. Zugriff p. Outlook / Abfrage von Username/Kennwort, popt aber gleich wieder hoch / keine Verbindung
Ich suche bereits nach Ansätzen, aber bin noch nicht so wirklich fündig geworden.
Sollte dies Phänomen jemand kennen bzw schon mal gelöst haben, immer her damit.
Gruß
Zertifikat geändert oder die Standard Berechtigungsgruppen?
Ist mir auch schon passiert bei nem bekannten, gegen Änderungen in dem Bereich ist Exchange 2013 allergisch.
Was du an Fehlern aufzählst sind allesamt Fehler der IIS Seiten die Exchange bei der Installation erstellt.
Auch der Outlook Fehler kommt normalerweise von fehlerhaften Zertifikaten oder SSL Einstellungen.
Falls du das nicht hinbekommst, nimm ADSI Edit zum löschen aller Verweise auf den Exchange und setz nur die Exchange VM neu auf.
Dazu gibts in Google reichlich Infomaterial.
Ist mir auch schon passiert bei nem bekannten, gegen Änderungen in dem Bereich ist Exchange 2013 allergisch.
Was du an Fehlern aufzählst sind allesamt Fehler der IIS Seiten die Exchange bei der Installation erstellt.
Auch der Outlook Fehler kommt normalerweise von fehlerhaften Zertifikaten oder SSL Einstellungen.
Falls du das nicht hinbekommst, nimm ADSI Edit zum löschen aller Verweise auf den Exchange und setz nur die Exchange VM neu auf.
Dazu gibts in Google reichlich Infomaterial.
Kannst du denn auf die Exchange Powershell zugreifen?
Ansonsten hilft dir der Post vielleicht weiter.
Exchange 2013 OWA ECP weiße Seite
Ansonsten hilft dir der Post vielleicht weiter.
Exchange 2013 OWA ECP weiße Seite
Zitat von @ThMusch:
Das einzige Problem was ich noch habe ist der Zugriff per Android über ActiveSync, aber da google ich mich derzeit noch
durch.
Das einzige Problem was ich noch habe ist der Zugriff per Android über ActiveSync, aber da google ich mich derzeit noch
durch.
Hierzu ein Tip. Der User darf nicht für die lokale Anmeldung am Exchange gesperrt sein. War bei uns mal ein Problem.
Man kann im AD ja festlegen an welchen Computern sich ein Anwender anmelden darf. Wenn der Exchange nicht dabei ist, klappt auch kein Active Sync.
Und eine ab Ex2010 typische Eigenheit, der User darf kein Domain Admin sein.
http://serverfault.com/questions/620434/allow-activesync-to-former-doma ...
Ich hab das ganze bei nem bekannten installiert, bei dem mussten wir das Postfach sogar neu erstellen nachdem wir ihn aus der Admin Gruppe entfernt haben, vorher wollte keine Synchronisation klappen.