SYSVOL umziehen
Hallo Ihr Lieben,
ich bin mal wieder dran eine OP am Herzen vorzubereiten und zu verstehen. Ausgangslage ist:
Domäne mit mehreren DCs mit Windows Server 2016:
- DC1 < hält alle FSMO Rollen (u.a. den PDC)
- DC2
- DC3
- DC4
usw.
Jetzt soll ich demnächst den SYSVOL-Ordner am DC01 umziehen und so sieht ganz grob mein Schlachtplan aus:
1. Dienst „DFS-Replikation“ stoppen
2. „C:\Windows\SYSVOL“ in „SYSVOLBAK“ umbenennen
3. „C:\Windows\SYSVOL“ neu anlegen
4. Datenträger in C:\Windows\SYSVOL einhängen und NTFS-Rechte setzten
5. Inhalt von „SYSVOLBAK“ in „C:\Windows\SYSVOL“ kopieren und NTFS-Rechte prüfen
6. Autoritative Synchronisation konfigurieren
7. Dienst „DFS-Replikation“ starten
Jetzt habe ich leider noch nicht so viel Erfahrung mit Netzwerken die mehrere DCs haben und habe jetzt ein paar Unsicherheiten bei denen Ihr mir eventuell helfen könnt:
1.) Ist das oben genannte Vorgehen überhaupt sinnvoll bzw. so machbar wie ich es mir vorstelle?
2.) Bei der Autoritative Synchronisation blicke nicht durch. Ich möchte, dass der DC01 nach dem starten des Dienstes (Schritt 7) seine Daten nicht pusht, sondern eventuelle Änderungen während seiner Downtime von den anderen DCs erhält. Insgesamt möchte ich vermeiden DFSR domänenweit anhalten zu müssen bzw. jeden DC anfassen zu müssen. Ist das überhaupt möglich oder bloß Wunschdenken?
Ich danke euch schon einmal für euren Input.
Grüße vom Uhli
ich bin mal wieder dran eine OP am Herzen vorzubereiten und zu verstehen. Ausgangslage ist:
Domäne mit mehreren DCs mit Windows Server 2016:
- DC1 < hält alle FSMO Rollen (u.a. den PDC)
- DC2
- DC3
- DC4
usw.
Jetzt soll ich demnächst den SYSVOL-Ordner am DC01 umziehen und so sieht ganz grob mein Schlachtplan aus:
1. Dienst „DFS-Replikation“ stoppen
2. „C:\Windows\SYSVOL“ in „SYSVOLBAK“ umbenennen
3. „C:\Windows\SYSVOL“ neu anlegen
4. Datenträger in C:\Windows\SYSVOL einhängen und NTFS-Rechte setzten
5. Inhalt von „SYSVOLBAK“ in „C:\Windows\SYSVOL“ kopieren und NTFS-Rechte prüfen
6. Autoritative Synchronisation konfigurieren
7. Dienst „DFS-Replikation“ starten
Jetzt habe ich leider noch nicht so viel Erfahrung mit Netzwerken die mehrere DCs haben und habe jetzt ein paar Unsicherheiten bei denen Ihr mir eventuell helfen könnt:
1.) Ist das oben genannte Vorgehen überhaupt sinnvoll bzw. so machbar wie ich es mir vorstelle?
2.) Bei der Autoritative Synchronisation blicke nicht durch. Ich möchte, dass der DC01 nach dem starten des Dienstes (Schritt 7) seine Daten nicht pusht, sondern eventuelle Änderungen während seiner Downtime von den anderen DCs erhält. Insgesamt möchte ich vermeiden DFSR domänenweit anhalten zu müssen bzw. jeden DC anfassen zu müssen. Ist das überhaupt möglich oder bloß Wunschdenken?
Ich danke euch schon einmal für euren Input.
Grüße vom Uhli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6084586769
Url: https://administrator.de/forum/sysvol-umziehen-6084586769.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
46 Kommentare
Neuester Kommentar
3. „C:\Windows\SYSVOL“ neu anlegen
4. Datenträger in C:\Windows\SYSVOL einhängen und NTFS-Rechte setzten
4. Datenträger in C:\Windows\SYSVOL einhängen und NTFS-Rechte setzten
Deine Beschreibung ist nicht ganz schlüssig!
Ich vermute, du möchtest ein externes
Laufwerk als Ordner
C:\windows\SYSVOL
einbinden?
Ich verstehe die "Umziehaktion" nicht so ganz. Es wird ein virtueller Datenträger nach C:\Windows\SYSVOL eingehängt oder was machst du genau? Wozu eigentlich? Was ist das Ziel des Ganzen?
Was deine Frage selbst angeht, du kannst die Replikation eingehend oder ausgehend stoppen nur DC1 und den anderen: DC Replikation
Was deine Frage selbst angeht, du kannst die Replikation eingehend oder ausgehend stoppen nur DC1 und den anderen: DC Replikation
Zitat von @Uhli90:
Entlasstung der Systemplatte zutun. Außerdem vermuten wir einen Defekt in den Systemplatten und wollen die kritischen Elemente da runter haben.
Entlasstung der Systemplatte zutun. Außerdem vermuten wir einen Defekt in den Systemplatten und wollen die kritischen Elemente da runter haben.
Nicht sicher, das da nicht ganz andere Maßnahmen notwendig sind??
Moin
genau.
Frank
Zitat von @MirkoKR:
Wenn du deine Rollen auf einen anderen DC mit anderer HW umziehst, dürfte sich dein "Problem" erledigt gaben
Wenn du deine Rollen auf einen anderen DC mit anderer HW umziehst, dürfte sich dein "Problem" erledigt gaben
genau.
Frank
Zitat von @Uhli90:
Über die Sinnhaftigkeit oder BestPractice können wir selbstverständlich auch diskutieren, aber bitte meine Frage dabei nicht aus den Augen verlieren. Dankeschön.
Über die Sinnhaftigkeit oder BestPractice können wir selbstverständlich auch diskutieren, aber bitte meine Frage dabei nicht aus den Augen verlieren. Dankeschön.
OK. Schon klar, das ich jetzt auch RAUS bin!
Willst du dein Netzerk dauerhaft aktiv halten, oder übermorgen Insolvenz anmelden?
.
Moin,
Meine zwei Cents: Lass die Finger weg von SYSVOL. Deine Frage war:
Meine klare Antwort (und auch die der Kollegen, wenn auch nicht so klar): Nein. Ein Fehler beim Rumfummeln am SYSVOL und Du zerschießt Dir die gesamte Domain. Deshalb auch unser aller Rat: Neuer DC auf neuem Blech, Rollen umziehen, alten rausnehmen und glücklich werden. Dabei würde ich den auch gleich auf eine VM umziehen.
Liebe Grüße
Erik
Zitat von @Uhli90:
Das ist natürlich einfacher, aber nicht meine Frage gewesen. Ich bin ja für jeden Tipp dankbar, aber jetzt nur Empfehlungen zu bekommen wie man es auch machen kann war nicht der Plan. Ich wollte eigentlich wissen ob es so machbar ist. Über die Sinnhaftigkeit oder BestPractice können wir selbstverständlich auch diskutieren, aber bitte meine Frage dabei nicht aus den Augen verlieren. Dankeschön.
Zitat von @MirkoKR:
Wenn du deine Rollen auf einen anderen DC mit anderer HW umziehst, dürfte sich dein "Problem" erledigt haben
Wenn du deine Rollen auf einen anderen DC mit anderer HW umziehst, dürfte sich dein "Problem" erledigt haben
Das ist natürlich einfacher, aber nicht meine Frage gewesen. Ich bin ja für jeden Tipp dankbar, aber jetzt nur Empfehlungen zu bekommen wie man es auch machen kann war nicht der Plan. Ich wollte eigentlich wissen ob es so machbar ist. Über die Sinnhaftigkeit oder BestPractice können wir selbstverständlich auch diskutieren, aber bitte meine Frage dabei nicht aus den Augen verlieren. Dankeschön.
Meine zwei Cents: Lass die Finger weg von SYSVOL. Deine Frage war:
Ist das oben genannte Vorgehen überhaupt sinnvoll bzw. so machbar wie ich es mir vorstelle?
Meine klare Antwort (und auch die der Kollegen, wenn auch nicht so klar): Nein. Ein Fehler beim Rumfummeln am SYSVOL und Du zerschießt Dir die gesamte Domain. Deshalb auch unser aller Rat: Neuer DC auf neuem Blech, Rollen umziehen, alten rausnehmen und glücklich werden. Dabei würde ich den auch gleich auf eine VM umziehen.
Liebe Grüße
Erik
Diese Anweisung kommt von deinem Chef und der hat genau welche Erfahrungen mit dem Wiederherstellen eines DCs? Das was er scheinbar fordert, ist kompletter Unsinn. Dieser Weg führt zu einer längeren Umsetzung und Erhöhung der Komplexität was direkt das Risiko eines Ausfalls impliziert.
Mal nebenbei, vielleicht eine doofe Frage, ihr habt eure DCs als Bare-Metall im Einsatz?
Mal nebenbei, vielleicht eine doofe Frage, ihr habt eure DCs als Bare-Metall im Einsatz?
Zitat von @Uhli90:
Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Mich würde halt trotzdem interessieren ob mein Vorgehen gelingen kann.
Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Mich würde halt trotzdem interessieren ob mein Vorgehen gelingen kann.
Dann erübrigt sich jede Diskussion!
WENN mindestens einer deiner anderen DCs auf ANDERER HW läuft: Umziehen der Rollen und gut ists!
Wenn die auf dem selben Host virtualisiert sind: Neue HW und umziehen!
.
Hallo,
Gruß,
Peter
Zitat von @Uhli90:
Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Was meinst du wie lange ein defekt an eurem AD braucht um euer AD lahmzulegen? Insolvenzanmeldung dauert länger Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Mich würde halt trotzdem interessieren ob mein Vorgehen gelingen kann.
Genug Datensicherungen falls dein Vorgehen nun doch nicht gelingt?Gruß,
Peter
Okay, dein Chef ist also "unschuldig"
Den DC Tausch solltest du dann am besten so vornehmen:
So würde ich das machen.
Den DC Tausch solltest du dann am besten so vornehmen:
- Vollsicherung des "defekten" DCs oder zumindest des Volume das kritisch ist
- FSMO-Rollen auf anderen DC verschieben
- Server offline nehmen und AD-Objekt löschen
- HDD ausbauen, SSD rein, Windows Server xx installieren
- Server in die Domäne bringen
- DC Rolle hinzufügen
- FSMO-Rollen verschieben (optional)
So würde ich das machen.
Wenn, wie du schreibst. tatsächlich ein Hardware-Problem Ursprung deines Problems ist, macht es vielleicht Sinn, deinem Chef diesen Thread zum lesen zu geben...
Mehr Fach-Expertise kann er sich kaum wünschen ...
Je nachdem wo ihr zuhause seid, kann euch der eine oder ander Spezialist sogar vor Ort helfen??
Mehr Fach-Expertise kann er sich kaum wünschen ...
Je nachdem wo ihr zuhause seid, kann euch der eine oder ander Spezialist sogar vor Ort helfen??
Hallo,
Hatte nur viele Gimmicks und viele Asisstenten, welche aber ab SBS 2008/R2 immer weiter abnahmen und von MS Beerdigt wurden (zu recht).
Gruß,
Peter
Zitat von @Uhli90:
Mein Chef macht das vermutlich in 5min mit einem Finger in der Nase und der anderen Hand am Telefon.
Hat der eine Nasentastatur oder ists ein Nasentelefon? Oder Schreibt der ohne seine Hände zu bemühen? Mein Chef macht das vermutlich in 5min mit einem Finger in der Nase und der anderen Hand am Telefon.
Meine Erfahrungen habe ich größtenteils mit SBS gemacht.
Aber auch ein SBS war grundsätzlich ein DC, so wie ein Server 2022 auch nur ein DC sein kann.Hatte nur viele Gimmicks und viele Asisstenten, welche aber ab SBS 2008/R2 immer weiter abnahmen und von MS Beerdigt wurden (zu recht).
Also mit ganz keinen Netzwerken, meist mit nur einem DC. Jetzt hab ich es mit einem ganz anderen Kaliber zu tun
Ein AD ist ein AD, ein DC bleibt ein DC.Ein paar DCs laufen auf Bare-Metall, andere nicht.
Wie, die fahren auf Schienen und müssen nicht selbst laufen?Gruß,
Peter
Zitat von @Uhli90:
Ach, mein Chef ist im Urlaub und hat hier vor 15 Jahren ein riesiges RZ aus dem Boden gestampft.
Ach, mein Chef ist im Urlaub und hat hier vor 15 Jahren ein riesiges RZ aus dem Boden gestampft.
Dann solltest du den Thread vielleicht nicht zeigen - könnte nach hinten losgehen.,.
Andererseits... 15 Jahre? - da war alles noch anders ...
Natürlich :-P
Prinzipiell oK, aber hier gibts hier viele Admins, die nicht geundsäzlich Unrecht haben
Ich werde meine Lösung oder die Alternative hier jedenfalls noch vollständig nachreichen sollte Sie anklang finden.
Gruß
Viel Erfolg,!
Wenn das bei dir nicht der fall ist tut mir das sehr leid.
Bin [leider] EMRentner 😰Außerdem ist es nie falsch Fragen zu stellen um Dinge besser zu verstehen.
Jow! Bleib Dabei!Mein Chef würde eventuell sagen wenn er diesen Thread liest: "Ein Haufen Angsthasen die empfehlen die Assistenten zu benutzen anstatt einfach hier und da einen Schnitt mit dem Skalpell zu setzten." Denn man kann es so oder so sehen.
Prinzipiell oK, aber hier gibts hier viele Admins, die nicht geundsäzlich Unrecht haben
Ich werde meine Lösung oder die Alternative hier jedenfalls noch vollständig nachreichen sollte Sie anklang finden.
Gruß
Viel Erfolg,!
Moin...
@MirkoKR musst auch immer noch mal nachtreten? Aber Gottseidank kann ich ehrlich zu meinem Chef sein. Wenn das bei dir nicht der fall ist tut mir das sehr leid. Außerdem ist es nie falsch Fragen zu stellen um Dinge besser zu verstehen. Eigentlich wollte ich und sollte ich mich mit der Problematik DFS-R und SYSVOL auseinander setzten, aber das ging in diesem Thread schief.
nö... du hast die richtigen Antworten doch erhalten, wo ist dein Problem?
Mein Chef würde eventuell sagen wenn er diesen Thread liest: "Ein Haufen Angsthasen die empfehlen die Assistenten zu benutzen anstatt einfach hier und da einen Schnitt mit dem Skalpell zu setzten." Denn man kann es so oder so sehen.
dann würde ich zu deinem Chef sagen, du hast keine Ahnung! du machst dir umsonst mühe, und wenn das ein Kundensystem ist, würde das sogar unötige auf Kosten hinauslaufen! also das typische Schwarze Schaf der Gilde
Ich werde meine Lösung oder die Alternative hier jedenfalls noch vollständig nachreichen - sollte sie funktionieren.
wozu... es gibt doch schon die 20 Sekunden lösung!
aber gut, natürlich stärkt es dein ego, wenn du das hinbekommst, was ja grundsätzlich auch geht!
Eventuell wirst du ja auch später mal so gut wie dein Chef, und deine untertanen frohlocken, wie Toll du doch bist!
Gruß.
Frank
Zitat von @Uhli90:
Ach, mein Chef ist im Urlaub und hat hier vor 15 Jahren ein riesiges RZ aus dem Boden gestampft.
also ist dein Chef Maurer!Ach, mein Chef ist im Urlaub und hat hier vor 15 Jahren ein riesiges RZ aus dem Boden gestampft.
@MirkoKR musst auch immer noch mal nachtreten? Aber Gottseidank kann ich ehrlich zu meinem Chef sein. Wenn das bei dir nicht der fall ist tut mir das sehr leid. Außerdem ist es nie falsch Fragen zu stellen um Dinge besser zu verstehen. Eigentlich wollte ich und sollte ich mich mit der Problematik DFS-R und SYSVOL auseinander setzten, aber das ging in diesem Thread schief.
Mein Chef würde eventuell sagen wenn er diesen Thread liest: "Ein Haufen Angsthasen die empfehlen die Assistenten zu benutzen anstatt einfach hier und da einen Schnitt mit dem Skalpell zu setzten." Denn man kann es so oder so sehen.
Ich werde meine Lösung oder die Alternative hier jedenfalls noch vollständig nachreichen - sollte sie funktionieren.
aber gut, natürlich stärkt es dein ego, wenn du das hinbekommst, was ja grundsätzlich auch geht!
Eventuell wirst du ja auch später mal so gut wie dein Chef, und deine untertanen frohlocken, wie Toll du doch bist!
Gruß.
Frank
Hi
Bau deine SSDs in deinen Server. Binde diese in dein System ein mit nem extra Laufwerksbuchstaben.
Befolge die offizielle Anleitung von MS das SYSVol zu verschieben.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/r ...
Mach deinen Chef glücklich und setze einen symlink von C:\Windows\Sysvol auf dein neues Volume.
Fertig ist die Aufgabe.
Aber mal ehrlich wenn die Kiste eh schon ein Festplattenproblem hat, warum nicht die FSMO Rollen verschieben und dann HDDs raus
SSDs rein und das vorher erstellte Backup einspielen.
Dann schauen ob alles passt und
dann Rollen zurück auf den Server schieben.
Oder wie mehrfach und sinnvoller weise erwähnt, mach die Kiste komplett neu.
Rollen verschieben
Depromoten
Herunterfahren
Platten raus
Platten rein
Windows Server 20xx ISO via ILO oder so Mounten
Betriebssystem installieren
Treiber drauf
DC Rolle installieren
Rollen verschieben
Glücklich sein.
Man kann sich auch die Hose mit der Beißzange anziehen...
Mit freundlichen Grüßen Nemesis
Bau deine SSDs in deinen Server. Binde diese in dein System ein mit nem extra Laufwerksbuchstaben.
Befolge die offizielle Anleitung von MS das SYSVol zu verschieben.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/r ...
Mach deinen Chef glücklich und setze einen symlink von C:\Windows\Sysvol auf dein neues Volume.
Fertig ist die Aufgabe.
Aber mal ehrlich wenn die Kiste eh schon ein Festplattenproblem hat, warum nicht die FSMO Rollen verschieben und dann HDDs raus
SSDs rein und das vorher erstellte Backup einspielen.
Dann schauen ob alles passt und
dann Rollen zurück auf den Server schieben.
Oder wie mehrfach und sinnvoller weise erwähnt, mach die Kiste komplett neu.
Rollen verschieben
Depromoten
Herunterfahren
Platten raus
Platten rein
Windows Server 20xx ISO via ILO oder so Mounten
Betriebssystem installieren
Treiber drauf
DC Rolle installieren
Rollen verschieben
Glücklich sein.
Man kann sich auch die Hose mit der Beißzange anziehen...
Mit freundlichen Grüßen Nemesis
Moin,
Falsch. Egal wie viele DCs Du hast, Du hast nur ein SYSVOL. Klar, dieses eine SYSVOL ist auf allen DCs vorhanden. Aber es ist logisch eben nur eins und wird auf alle DCs repliziert. Zerschießt Du Dir das und das zerschossene verbreitet sich auf alle, dann hast Du massive Probleme auf allen DCs. Glaubst Du nicht? Ich habe das mehrfach so erlebt, weil ich als Dienstleister in genau solche Firmen gerufen wurde, die solche lustigen Experimente gemacht haben, wie Du sie vor hast. Du schreibst ja selbst, dass Du damit keine Erfahrung hast. Deshalb noch einmal mein dringender Rat: Lass es bleiben.
Liebe Grüße
Erik
Zitat von @Uhli90:
Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Mich würde halt trotzdem interessieren ob mein Vorgehen gelingen kann.
Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Mich würde halt trotzdem interessieren ob mein Vorgehen gelingen kann.
Falsch. Egal wie viele DCs Du hast, Du hast nur ein SYSVOL. Klar, dieses eine SYSVOL ist auf allen DCs vorhanden. Aber es ist logisch eben nur eins und wird auf alle DCs repliziert. Zerschießt Du Dir das und das zerschossene verbreitet sich auf alle, dann hast Du massive Probleme auf allen DCs. Glaubst Du nicht? Ich habe das mehrfach so erlebt, weil ich als Dienstleister in genau solche Firmen gerufen wurde, die solche lustigen Experimente gemacht haben, wie Du sie vor hast. Du schreibst ja selbst, dass Du damit keine Erfahrung hast. Deshalb noch einmal mein dringender Rat: Lass es bleiben.
Liebe Grüße
Erik
Zitat von @erikro:
Moin,
Falsch. Egal wie viele DCs Du hast, Du hast nur ein SYSVOL. Klar, dieses eine SYSVOL ist auf allen DCs vorhanden. Aber es ist logisch eben nur eins und wird auf alle DCs repliziert. Zerschießt Du Dir das und das zerschossene verbreitet sich auf alle, dann hast Du massive Probleme auf allen DCs. Glaubst Du nicht? Ich habe das mehrfach so erlebt, weil ich als Dienstleister in genau solche Firmen gerufen wurde, die solche lustigen Experimente gemacht haben, wie Du sie vor hast. Du schreibst ja selbst, dass Du damit keine Erfahrung hast. Deshalb noch einmal mein dringender Rat: Lass es bleiben.
Liebe Grüße
Erik
Dem kann ich mich nur anschließen.Moin,
Zitat von @Uhli90:
Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Mich würde halt trotzdem interessieren ob mein Vorgehen gelingen kann.
Grundsätzlich haben wir so viele DCs, dass da überhaupt nichts passieren kann - von wegen Insolvenz und so xD.
Mich würde halt trotzdem interessieren ob mein Vorgehen gelingen kann.
Falsch. Egal wie viele DCs Du hast, Du hast nur ein SYSVOL. Klar, dieses eine SYSVOL ist auf allen DCs vorhanden. Aber es ist logisch eben nur eins und wird auf alle DCs repliziert. Zerschießt Du Dir das und das zerschossene verbreitet sich auf alle, dann hast Du massive Probleme auf allen DCs. Glaubst Du nicht? Ich habe das mehrfach so erlebt, weil ich als Dienstleister in genau solche Firmen gerufen wurde, die solche lustigen Experimente gemacht haben, wie Du sie vor hast. Du schreibst ja selbst, dass Du damit keine Erfahrung hast. Deshalb noch einmal mein dringender Rat: Lass es bleiben.
Liebe Grüße
Erik
Zitat von @Uhli90:
Ach, mein Chef ist im Urlaub und hat hier vor 15 Jahren ein riesiges RZ aus dem Boden gestampft.
...
Mein Chef würde eventuell sagen wenn er diesen Thread liest: "Ein Haufen Angsthasen die empfehlen die Assistenten zu benutzen anstatt einfach hier und da einen Schnitt mit dem Skalpell zu setzten." Denn man kann es so oder so sehen.
Ach, mein Chef ist im Urlaub und hat hier vor 15 Jahren ein riesiges RZ aus dem Boden gestampft.
...
Mein Chef würde eventuell sagen wenn er diesen Thread liest: "Ein Haufen Angsthasen die empfehlen die Assistenten zu benutzen anstatt einfach hier und da einen Schnitt mit dem Skalpell zu setzten." Denn man kann es so oder so sehen.
Ganz ehrlich? Das klingt genau wie die Sorte Chef, die man unbedingt vermeiden sollte.
Hab ich vor 13 Jahren selber durch. Ohne deinem Chef nahe treten zu wollen - das liest sich für mich: Großkotzig,Arrogant,Alles wissend und dann (am besten ungepatchte oder nicht mehr supportete) Systeme ohne ein "Rettungskonzept" für genau solche Fälle. Dokumentation oder eine Anleitung für solche Standardfälle ist meistens auch Fehlanzeige.
Da du vom SBS kommst hab ich ein tolles Beispiel für dich:
Wir hatten den Fall vor 13 oder 14 Jahren: Neue Domäne mit 2008er SBS. Der Hinweis von mir an Chef und "Senior Admin",dass man Clients (lt. MS Doku) per "http://connect" einbinden muss,weil das einfache aufnehmen in die Domäne nicht funktioniert und da mehr passiert,als nur die AD Einbindung wurde mit "Keine Experimente. Wir machen das schon immer so wie wir das machen" abgetan.
Folge waren ständige Probleme beim Kunden (Outlook verbindet nicht mit Exchange,OWA funktioniert nicht usw..), die aus Kundensicht ärgerlich sind und aus Chefsicht toll sind,weil sie Umsatz generieren.
Ich durfte das Problem nicht ansprechen und auch nicht beheben. Das Ganze zog sich durch sämtliche Bereiche der Firma: Ungepatchte veraltete Linuxserver mit Kundenwebseiten,ungeschulte Entwickler an CMS,usw.
Ich bin dann ein halbes Jahr später direkt gegangen,weil sich so etwas mit meiner Berufsethik nicht verträgt.
Da du schreibst
ich bin mal wieder dran eine OP am Herzen vorzubereiten und zu verstehen
bringt mich das zu der Annahme,dass du öfter solchen Mist zu tun bekommst.
Mein Rat an dich: Hör auf erfahrene Kollegen,anstatt deren Vorschläge als persönlichen Angriff zu werten und lass die Finger von Experimenten "am offenen Herzen",besonders wenn es um Kundensysteme oder kritische Infrastruktur geht.
Wir haben alle mal klein angefangen und haben den ein oder anderen vermeidbaren Fehler hinter uns.
Wenn ihr so viele DC habt, sollte es wirklich keinen Grund geben,kein Backup zu machen und die Rollen entsprechend zu verschieben und danach die fehlerhafte Kiste neu aufzusetzen.
Viele Grüße
Zitat von @TimmeyDD:
Ganz ehrlich? Das klingt genau wie die Sorte Chef, die man unbedingt vermeiden sollte.
ACK!
Windows macht vorsichtig Zu Recht.
Also ich kenne das nur unter Samba. Dort wird SYSVOL einfach per rsync repliziert. Kopieren sollte grundsätzlich also kein Problem sein.
Ich gebe den Kollegen hier aber völlig Recht, dass ich das (produktiv) niemals auf dem PCD-Master versuchen würde.
Es sollte ja nun wirklich keine große Sache sein, die Rollen zu verschieben, den Plattentausch im Anschluss vorzunehmen und zu schauen, ob die Replikation sauber läuft.
Ein bissl überrascht bin ich, dass in einem "großen" RZ die DCs offenbar noch auf Blech laufen...
Viele Grüße, commodity
Also ich kenne das nur unter Samba. Dort wird SYSVOL einfach per rsync repliziert. Kopieren sollte grundsätzlich also kein Problem sein.
Ich gebe den Kollegen hier aber völlig Recht, dass ich das (produktiv) niemals auf dem PCD-Master versuchen würde.
Es sollte ja nun wirklich keine große Sache sein, die Rollen zu verschieben, den Plattentausch im Anschluss vorzunehmen und zu schauen, ob die Replikation sauber läuft.
Ein bissl überrascht bin ich, dass in einem "großen" RZ die DCs offenbar noch auf Blech laufen...
Viele Grüße, commodity
nana, nicht gleich meckern. Die Kollegen helfen hier so gut sie können und Erfahrung ist genau der Schatz, den einige hier großzügig verteilen. Einer der Dir, wie Du weißt, ja noch fehlt.
Natürlich hast Du in der Sache auch Recht: Erfahrung macht auch träge und (unverzichtbar) viele Jahre Windows verunsichern viele. Frag auch mal hier, ob man Server (gar im KMU) auch nachts abschalten kann oder ob man zwingend im Unternehmen Serverhardware braucht Während der größte Hoster bei sich Gaming-Boards einbaut, kriegt hier noch jeder Klempner Supermicro. Man geht eben auf Sicherheit, auch weil man im Alltag eben (anders als dieser Hoster) keine eigene Abteilung hat, die sich nur mit der Beschaffung von Hardware beschäftigt. Und wenn es schief geht, den A.... hinhalten muss. Sicherheit prägt den Beruf und ist per se etwas sehr positives.
Dein Plan hingegen war Frickelei und die Kollegen können nicht erahnen, dass das mehr zu Testzwecken diente. So habe ich jedenfalls Deinen Ausgangspost nicht verstanden. Also: Bitte nicht meckern, sondern sich (noch) klarer ausdrücken. Und vielleicht selbst hier mehr beitragen. Auch das dient der allgemeinen Flexibilität.
In diesem Sinne: Schönes Wochenende!
Viele Grüße, commodity
Natürlich hast Du in der Sache auch Recht: Erfahrung macht auch träge und (unverzichtbar) viele Jahre Windows verunsichern viele. Frag auch mal hier, ob man Server (gar im KMU) auch nachts abschalten kann oder ob man zwingend im Unternehmen Serverhardware braucht Während der größte Hoster bei sich Gaming-Boards einbaut, kriegt hier noch jeder Klempner Supermicro. Man geht eben auf Sicherheit, auch weil man im Alltag eben (anders als dieser Hoster) keine eigene Abteilung hat, die sich nur mit der Beschaffung von Hardware beschäftigt. Und wenn es schief geht, den A.... hinhalten muss. Sicherheit prägt den Beruf und ist per se etwas sehr positives.
Dein Plan hingegen war Frickelei und die Kollegen können nicht erahnen, dass das mehr zu Testzwecken diente. So habe ich jedenfalls Deinen Ausgangspost nicht verstanden. Also: Bitte nicht meckern, sondern sich (noch) klarer ausdrücken. Und vielleicht selbst hier mehr beitragen. Auch das dient der allgemeinen Flexibilität.
In diesem Sinne: Schönes Wochenende!
Viele Grüße, commodity
Aber mal ehrlich wenn die Kiste eh schon ein Festplattenproblem hat, warum nicht die FSMO Rollen verschieben und dann HDDs raus
SSDs rein und das vorher erstellte Backup einspielen.
SSDs rein und das vorher erstellte Backup einspielen.
Wenn die Platten schon so klapprig sind, dann ist es der Rest auch.
DC restoren sollte man nie machen, wenn es noch andere DCs gibt.
Moin,
Das ist ein Mythos. Man kommt immer an die Maschinen ran, wenn der Virtualisierer läuft.
Liebe Grüße
Erik
Zitat von @Uhli90:
Zitat von @commodity:
Ein bissl überrascht bin ich, dass in einem "großen" RZ die DCs offenbar noch auf Blech laufen...
Die Virtualisierungs-Hosts sind teil der Domänen-Struktur. Da wäre es blöd, wenn alle DCs darauf als Gast laufen. Im schlimmsten falle ist man ausgesperrt und kommt an die Hosts nicht mehr ran.Ein bissl überrascht bin ich, dass in einem "großen" RZ die DCs offenbar noch auf Blech laufen...
Das ist ein Mythos. Man kommt immer an die Maschinen ran, wenn der Virtualisierer läuft.
Liebe Grüße
Erik
Die Virtualisierungs-Hosts sind teil der Domänen-Struktur.
Danke fürs Feedback und die Erläuterung! Verstanden Ist ja nicht meine Welt, aber (ins unreine gedacht) ich würde evtl. erwägen, einen kleinen separaten Host mit einem DC außerhalb der Domäne zu betreiben. Gibt ja auch andere Dienste, die man vielleicht nicht zwingend vom Überleben der Domäne abhängig haben will.
Viele Grüße, commodity
Moin,
Was soll daran schwer sein? Jeder Virtualisierer, den ich kenne, bietet eine virtuelle Konsole an. Also im Ernstfall kann ich mich auf jeder virtuellen Maschine "lokal" über diese Konsole anmelden.
Und wenn die Domain weggeflogen ist, kann ich mich immer noch auf dem Virtualisierer mit meinen Zugangsdaten als Domain-Admin anmelden, vorausgesetzt, ich habe mich schon einmal angemeldet. Und selbst wenn keinerlei Domain-Creds im Cache des lokalen Speichers mehr vorhanden sein sollten, bleibt immer noch der lokale Admin des Virtualisierungshosts. Was soll daran schwer sein?
Da ist kein Risiko. Es geht immer und ohne Probleme, sofern die Admins wissen, was sie da tun.
Zum einen legt man sowas so redundant aus, dass die Wahrscheinlichkeit eines Totalausfalls gegen Null geht. Zum anderen, wenn tatsächlich mal die Virtualisierungsumgebung komplett wegbricht, habe ich ein ganz anderes Problem. In dem Moment nützt mir die Domain herzlich wenig, wenn alle meine Server nicht mehr da sind. Dann muss ich mich schleunigst darum bekümmern, dass die virtuelle Umgebung wieder läuft. Dann laufen auch die DCs wieder.
Es ist schlicht und ergreifend ein Mythos, dass es in irgend einer Weise ein Risiko sei, alle DCs zu virtualisieren.
BTW: Ich halte es allerdings für falsch, den Virtualisierer mit in die Domain aufzunehmen. Warum sollte man das tun?
Liebe Grüße
Erik
Zitat von @Uhli90:
Okay, jetzt bin ich aber gespannt. Gehört zwar nicht zum Thema, aber wenn du schon sowas in den Raum wirfst.
Also das es immer Mittel und Wege gibt ist mir klar, aber wenn das System richtig abgehärtet ist, ist es schonmal nicht so einfach.
Zitat von @erikro:
Das ist ein Mythos. Man kommt immer an die Maschinen ran, wenn der Virtualisierer läuft.
Liebe Grüße
Erik
Das ist ein Mythos. Man kommt immer an die Maschinen ran, wenn der Virtualisierer läuft.
Liebe Grüße
Erik
Okay, jetzt bin ich aber gespannt. Gehört zwar nicht zum Thema, aber wenn du schon sowas in den Raum wirfst.
Also das es immer Mittel und Wege gibt ist mir klar, aber wenn das System richtig abgehärtet ist, ist es schonmal nicht so einfach.
Was soll daran schwer sein? Jeder Virtualisierer, den ich kenne, bietet eine virtuelle Konsole an. Also im Ernstfall kann ich mich auf jeder virtuellen Maschine "lokal" über diese Konsole anmelden.
Und wenn die Domain weggeflogen ist, kann ich mich immer noch auf dem Virtualisierer mit meinen Zugangsdaten als Domain-Admin anmelden, vorausgesetzt, ich habe mich schon einmal angemeldet. Und selbst wenn keinerlei Domain-Creds im Cache des lokalen Speichers mehr vorhanden sein sollten, bleibt immer noch der lokale Admin des Virtualisierungshosts. Was soll daran schwer sein?
Also warum so ein Risiko eingehen?
Da ist kein Risiko. Es geht immer und ohne Probleme, sofern die Admins wissen, was sie da tun.
Ein-zwei Bleche laufen zu lassen tut einem großen Rechenzentrum nicht weh. Ach ja, wenn die Virtualisierer nicht laufen, dann läuft auch die Domain nicht, also warum soll das ein Mythos sein?
Zum einen legt man sowas so redundant aus, dass die Wahrscheinlichkeit eines Totalausfalls gegen Null geht. Zum anderen, wenn tatsächlich mal die Virtualisierungsumgebung komplett wegbricht, habe ich ein ganz anderes Problem. In dem Moment nützt mir die Domain herzlich wenig, wenn alle meine Server nicht mehr da sind. Dann muss ich mich schleunigst darum bekümmern, dass die virtuelle Umgebung wieder läuft. Dann laufen auch die DCs wieder.
Es ist schlicht und ergreifend ein Mythos, dass es in irgend einer Weise ein Risiko sei, alle DCs zu virtualisieren.
BTW: Ich halte es allerdings für falsch, den Virtualisierer mit in die Domain aufzunehmen. Warum sollte man das tun?
Liebe Grüße
Erik
Moin...
du machst mir Angst
Viele Grüße, commodity
Frank
du machst mir Angst
Viele Grüße, commodity
Frank