6
Nicht autorisierende Active Directory Wiederherstellung auf zusätzlichem Domain-Controller mit Exchange 2010
Hallo,
mir fällt gerade ein massiver Designfehler auf die Füsse. Die Situation ist wie folgt:
- Server 1 (Windows 2003 SBS): AD, DNS, DHCP, Exchange deaktiviert
- Server 2 (Windows 2008 R2): zusätzlicher DC, Exchange 2010
Ein Blick zurück:
Der Server 1 wurde zuletzt Virtualisiert und der Server 2 komplett neu auf dem Virtualisierungsserver installiert.
Anschließend hatten wir den Exchange 2003 vom Server 1 zum Exchange 2010 des Servers 2 migriert. Vor etwa zwei Monaten wurde der Server 2 auf ein weiteres Virtualisierungssystem verschoben (Backup/Recovery über VMWare Backupsoftware).
Alles lief soweit ganz gut, doch seit gestern gibt es einige Probleme. Meine Analyse ergab, dass durch das Verschieben des Servers 2 ein USN-Rollback aufgetreten ist und sich dadurch der Server 2 nicht mehr repliziert.
Um nun das Problem des USB-Rollbacks auf dem Server 2 zu beheben, muss ich ihn herabstufen und erneut zum DC heraufstufen. Dummerweise müsste ich dazu den Exchange 2010 der auf dem Server 2 läuft komplett deinstallieren, was ich gerne umgehen möchte.
Könnte ich das Problem umgehen, in dem ich eine nicht-autorisierte Wiederherstellung der Domäne auf dem Server 2 durchführe?
Hier noch ein paar Links:
- http://www.faq-o-matic.net/2011/02/28/darf-man-einen-domnencontroller-v ...
- http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensiche ...
- http://daily-it.blogspot.de/2006/12/demote-domain-controller-running.ht ...
- http://support.microsoft.com/kb/875495/en-us
- http://www.frickelsoft.net/blog/?p=148 (What Is The InvocationID?)
- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung
Vielen Dank im Voraus
mir fällt gerade ein massiver Designfehler auf die Füsse. Die Situation ist wie folgt:
- Server 1 (Windows 2003 SBS): AD, DNS, DHCP, Exchange deaktiviert
- Server 2 (Windows 2008 R2): zusätzlicher DC, Exchange 2010
Ein Blick zurück:
Der Server 1 wurde zuletzt Virtualisiert und der Server 2 komplett neu auf dem Virtualisierungsserver installiert.
Anschließend hatten wir den Exchange 2003 vom Server 1 zum Exchange 2010 des Servers 2 migriert. Vor etwa zwei Monaten wurde der Server 2 auf ein weiteres Virtualisierungssystem verschoben (Backup/Recovery über VMWare Backupsoftware).
Alles lief soweit ganz gut, doch seit gestern gibt es einige Probleme. Meine Analyse ergab, dass durch das Verschieben des Servers 2 ein USN-Rollback aufgetreten ist und sich dadurch der Server 2 nicht mehr repliziert.
Um nun das Problem des USB-Rollbacks auf dem Server 2 zu beheben, muss ich ihn herabstufen und erneut zum DC heraufstufen. Dummerweise müsste ich dazu den Exchange 2010 der auf dem Server 2 läuft komplett deinstallieren, was ich gerne umgehen möchte.
Könnte ich das Problem umgehen, in dem ich eine nicht-autorisierte Wiederherstellung der Domäne auf dem Server 2 durchführe?
Hier noch ein paar Links:
- http://www.faq-o-matic.net/2011/02/28/darf-man-einen-domnencontroller-v ...
- http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensiche ...
- http://daily-it.blogspot.de/2006/12/demote-domain-controller-running.ht ...
- http://support.microsoft.com/kb/875495/en-us
- http://www.frickelsoft.net/blog/?p=148 (What Is The InvocationID?)
- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung
Vielen Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192107
Url: https://administrator.de/contentid/192107
Printed on: April 20, 2024 at 06:04 o'clock
6 Comments
Latest comment
Hallo.
Also durch Verschieben eines Server tritt das USN-Rollbackproblem nicht auf. Da muss schon etwas anderes geschehen sein. Restore aus einem Image ect.
Was wurde also genau gemacht. Und nein, ein demoten eines DC mit installiertem Exchange wird ziemlich sicher in die Hose gehen.
LG Günther
dass durch das Verschieben des Servers 2 ein USN-Rollback aufgetreten ist und sich dadurch der Server 2 nicht mehr repliziert.
Also durch Verschieben eines Server tritt das USN-Rollbackproblem nicht auf. Da muss schon etwas anderes geschehen sein. Restore aus einem Image ect.
Was wurde also genau gemacht. Und nein, ein demoten eines DC mit installiertem Exchange wird ziemlich sicher in die Hose gehen.
LG Günther
Hallo Günther,
meine Kollegen hatten den Server 2 auf dem einem Virtualisierungsserver mit "PHD - Backup für VMWare" gesichert und ebenfalls darüber den Server 2 auf dem neuen Virtualisierungsserver wiederhergestellt. PHD arbeitet mit Images. Da mein Kollege nicht da ist, kann ich nicht fragen, ob der Server 2 während der Wiederherstellung auf dem alten Virtualisierungsserver weiterlief oder nicht.
Gibt es noch eine Möglichkeit, auf dem Server 2 eine neue Invocation ID zu erzeugen? Im Netz steht, dass einige Backupprogramme dies bei der Wiederherstellung des Systemstatus automatisch eine neue Invocation ID erzeugen.
meine Kollegen hatten den Server 2 auf dem einem Virtualisierungsserver mit "PHD - Backup für VMWare" gesichert und ebenfalls darüber den Server 2 auf dem neuen Virtualisierungsserver wiederhergestellt. PHD arbeitet mit Images. Da mein Kollege nicht da ist, kann ich nicht fragen, ob der Server 2 während der Wiederherstellung auf dem alten Virtualisierungsserver weiterlief oder nicht.
Gibt es noch eine Möglichkeit, auf dem Server 2 eine neue Invocation ID zu erzeugen? Im Netz steht, dass einige Backupprogramme dies bei der Wiederherstellung des Systemstatus automatisch eine neue Invocation ID erzeugen.
Ich habe einen wirklichen guten Beitrag gefunden, der meine Idee mit einem Systemstate-Recover bestärkt.
- http://www.mbormann.de/default.htm?/tips/USN-Rollback-ausgehebelt.htm
- Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" starten
- regedit
- HKLM\System\CCS\Services\NTDS\Parameters
- "Database restored from backup" Wert=1
- Server neustarten
- mit repadmin /showreps die invocationID prüfen
Das ganze werde ich heute Abend mal ausprobieren und euch das Ergebnis wissen lassen. Vorher werde ich den Server mit Backup Exec sichern
- http://www.mbormann.de/default.htm?/tips/USN-Rollback-ausgehebelt.htm
- Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" starten
- regedit
- HKLM\System\CCS\Services\NTDS\Parameters
- "Database restored from backup" Wert=1
- Server neustarten
- mit repadmin /showreps die invocationID prüfen
Das ganze werde ich heute Abend mal ausprobieren und euch das Ergebnis wissen lassen. Vorher werde ich den Server mit Backup Exec sichern
Hallo.
Gut meine Vermutung stimmte also. Und jetzt weißt du auch, warum Images nicht als Backup taugen.
LG Günther
PHD arbeitet mit Images
Gut meine Vermutung stimmte also. Und jetzt weißt du auch, warum Images nicht als Backup taugen.
LG Günther
Yapp...das habe ich nun an einem praktischen Beispiel erfahren.
So, endlich geschafft. Hier die Lösung:
Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" gestartet
- regedit
- HKLM\System\CurentControlSet\Services\NTDS\Parameters
- "Database restored from backup" Wert auf 1 setzen
- Schlüssel „Dsa Not Writable“ mit wenn Wert dword:00000004 komplett löschen
- Server neustarten
- Logfile "Directory Service", Microsoft-Windows-ActiveDirectory_DomainService, Ereignis-ID: 1394
"Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet."
Problem behoben. Der Dienst "Anmeldedienst" ist ebenfalls automatisch beim Serverneustart gestartet!
- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung
Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" gestartet
- regedit
- HKLM\System\CurentControlSet\Services\NTDS\Parameters
- "Database restored from backup" Wert auf 1 setzen
- Schlüssel „Dsa Not Writable“ mit wenn Wert dword:00000004 komplett löschen
- Server neustarten
- Logfile "Directory Service", Microsoft-Windows-ActiveDirectory_DomainService, Ereignis-ID: 1394
"Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet."
Problem behoben. Der Dienst "Anmeldedienst" ist ebenfalls automatisch beim Serverneustart gestartet!
- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung
