emjott
Goto Top

Nicht autorisierende Active Directory Wiederherstellung auf zusätzlichem Domain-Controller mit Exchange 2010

Hallo,

mir fällt gerade ein massiver Designfehler auf die Füsse. Die Situation ist wie folgt:
- Server 1 (Windows 2003 SBS): AD, DNS, DHCP, Exchange deaktiviert
- Server 2 (Windows 2008 R2): zusätzlicher DC, Exchange 2010

Ein Blick zurück:
Der Server 1 wurde zuletzt Virtualisiert und der Server 2 komplett neu auf dem Virtualisierungsserver installiert.
Anschließend hatten wir den Exchange 2003 vom Server 1 zum Exchange 2010 des Servers 2 migriert. Vor etwa zwei Monaten wurde der Server 2 auf ein weiteres Virtualisierungssystem verschoben (Backup/Recovery über VMWare Backupsoftware).
Alles lief soweit ganz gut, doch seit gestern gibt es einige Probleme. Meine Analyse ergab, dass durch das Verschieben des Servers 2 ein USN-Rollback aufgetreten ist und sich dadurch der Server 2 nicht mehr repliziert.

Um nun das Problem des USB-Rollbacks auf dem Server 2 zu beheben, muss ich ihn herabstufen und erneut zum DC heraufstufen. Dummerweise müsste ich dazu den Exchange 2010 der auf dem Server 2 läuft komplett deinstallieren, was ich gerne umgehen möchte.

Könnte ich das Problem umgehen, in dem ich eine nicht-autorisierte Wiederherstellung der Domäne auf dem Server 2 durchführe?

Hier noch ein paar Links:
- http://www.faq-o-matic.net/2011/02/28/darf-man-einen-domnencontroller-v ...
- http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensiche ...
- http://daily-it.blogspot.de/2006/12/demote-domain-controller-running.ht ...
- http://support.microsoft.com/kb/875495/en-us
- http://www.frickelsoft.net/blog/?p=148 (What Is The InvocationID?)
- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung

Vielen Dank im Voraus face-smile

Content-ID: 192107

Url: https://administrator.de/forum/nicht-autorisierende-active-directory-wiederherstellung-auf-zusaetzlichem-domain-controller-mit-exchange-2010-192107.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

GuentherH
GuentherH 02.10.2012 um 13:17:26 Uhr
Goto Top
Hallo.

dass durch das Verschieben des Servers 2 ein USN-Rollback aufgetreten ist und sich dadurch der Server 2 nicht mehr repliziert.

Also durch Verschieben eines Server tritt das USN-Rollbackproblem nicht auf. Da muss schon etwas anderes geschehen sein. Restore aus einem Image ect.

Was wurde also genau gemacht. Und nein, ein demoten eines DC mit installiertem Exchange wird ziemlich sicher in die Hose gehen.

LG Günther
emjott
emjott 02.10.2012 um 13:36:13 Uhr
Goto Top
Hallo Günther,

meine Kollegen hatten den Server 2 auf dem einem Virtualisierungsserver mit "PHD - Backup für VMWare" gesichert und ebenfalls darüber den Server 2 auf dem neuen Virtualisierungsserver wiederhergestellt. PHD arbeitet mit Images. Da mein Kollege nicht da ist, kann ich nicht fragen, ob der Server 2 während der Wiederherstellung auf dem alten Virtualisierungsserver weiterlief oder nicht.

Gibt es noch eine Möglichkeit, auf dem Server 2 eine neue Invocation ID zu erzeugen? Im Netz steht, dass einige Backupprogramme dies bei der Wiederherstellung des Systemstatus automatisch eine neue Invocation ID erzeugen.
emjott
emjott 02.10.2012 um 14:07:36 Uhr
Goto Top
Ich habe einen wirklichen guten Beitrag gefunden, der meine Idee mit einem Systemstate-Recover bestärkt.
- http://www.mbormann.de/default.htm?/tips/USN-Rollback-ausgehebelt.htm
- Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" starten
- regedit
- HKLM\System\CCS\Services\NTDS\Parameters
- "Database restored from backup" Wert=1
- Server neustarten
- mit repadmin /showreps die invocationID prüfen

Das ganze werde ich heute Abend mal ausprobieren und euch das Ergebnis wissen lassen. Vorher werde ich den Server mit Backup Exec sichern face-wink
GuentherH
GuentherH 02.10.2012 um 14:29:51 Uhr
Goto Top
Hallo.

PHD arbeitet mit Images

Gut meine Vermutung stimmte also. Und jetzt weißt du auch, warum Images nicht als Backup taugen.

LG Günther
emjott
emjott 02.10.2012 um 20:52:35 Uhr
Goto Top
Yapp...das habe ich nun an einem praktischen Beispiel erfahren.
emjott
emjott 02.10.2012 aktualisiert um 22:33:51 Uhr
Goto Top
So, endlich geschafft. Hier die Lösung:

Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" gestartet
- regedit
- HKLM\System\CurentControlSet\Services\NTDS\Parameters
- "Database restored from backup" Wert auf 1 setzen
- Schlüssel „Dsa Not Writable“ mit wenn Wert dword:00000004 komplett löschen
- Server neustarten
- Logfile "Directory Service", Microsoft-Windows-ActiveDirectory_DomainService, Ereignis-ID: 1394
"Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet."

Problem behoben. Der Dienst "Anmeldedienst" ist ebenfalls automatisch beim Serverneustart gestartet!

- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung