3
Wiederherstellung eines 2. Domänencontrollers
Hallo,
meine Frage betrifft eine Active-Directory-Domäne mit zwei Domänencontrollern (Windows Server 2008 R2). Auf Grund eines Festplattenproblems auf dem zweiten Domänencontroller möchte ich mit Bordmitteln von Windows Server 2008 („Windows-Server-Sicherung“) auf dem zweiten Domänencontroller nun ein Bare-Metal-Recovery mit Hilfe einer einige Wochen alten Sicherung durchführen. Beide Server waren nach Durchführung der damaligen Sicherung noch einige Tage in Betrieb, es hat also anschließend die gewöhnliche Replikation der Domänencontroller weiter stattgefunden. Meine Frage ist nun, ob ich den zweiten Domänencontroller gefahrlos auf eine älteren Stand zurücksetzen kann oder ob ich damit Gefahr laufe, Inkonsistenzen im AD zu erzeugen, insbesondere weil die Sicherung, die ich auf den zweiten DC zurückspielen möchte, ja einen etwas älteren Stand hat.
Vielleicht ist die Information noch wichtig, dass beide Domänencontroller den Typ „GC“ (Globaler Katalog) haben.
Viele Grüße,
Steffen
meine Frage betrifft eine Active-Directory-Domäne mit zwei Domänencontrollern (Windows Server 2008 R2). Auf Grund eines Festplattenproblems auf dem zweiten Domänencontroller möchte ich mit Bordmitteln von Windows Server 2008 („Windows-Server-Sicherung“) auf dem zweiten Domänencontroller nun ein Bare-Metal-Recovery mit Hilfe einer einige Wochen alten Sicherung durchführen. Beide Server waren nach Durchführung der damaligen Sicherung noch einige Tage in Betrieb, es hat also anschließend die gewöhnliche Replikation der Domänencontroller weiter stattgefunden. Meine Frage ist nun, ob ich den zweiten Domänencontroller gefahrlos auf eine älteren Stand zurücksetzen kann oder ob ich damit Gefahr laufe, Inkonsistenzen im AD zu erzeugen, insbesondere weil die Sicherung, die ich auf den zweiten DC zurückspielen möchte, ja einen etwas älteren Stand hat.
Vielleicht ist die Information noch wichtig, dass beide Domänencontroller den Typ „GC“ (Globaler Katalog) haben.
Viele Grüße,
Steffen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145172
Url: https://administrator.de/contentid/145172
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Servus,
wenn der Server nur die Rolle eines DCs wahrnimmt und keine weiteren Dienste zur Verfügung stellt,
kannst du den DC "mit Gewalt" aus den Metadaten des AD entfernen.
[LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Wenn du den Server dann neu installierst, kannst du anschließend den Server mit gleicher IP-Adresse und gleichem Computernamen
erneut zum DC stufen.
So lange du ein Backup verwendest das nicht älter als die Tombstone Lifetime ist, kannst du den DC rücksichern.
Ansonsten würden herumlungernde Objekte (Lingering Objects) entstehen. Nach der Rücksicherung bekommt der rückgesicherte
DC die Änderungen die seit der Sicherung durchgeführt wurden vom anderen DC repliziert.
[LDAP:Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx
Aber wenn ein DC crasht, bemüht man in der Regel nicht die Sicherung.
Viele Grüße
/ > Yusuf Dikmenoglu
wenn der Server nur die Rolle eines DCs wahrnimmt und keine weiteren Dienste zur Verfügung stellt,
kannst du den DC "mit Gewalt" aus den Metadaten des AD entfernen.
[LDAP:Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Wenn du den Server dann neu installierst, kannst du anschließend den Server mit gleicher IP-Adresse und gleichem Computernamen
erneut zum DC stufen.
So lange du ein Backup verwendest das nicht älter als die Tombstone Lifetime ist, kannst du den DC rücksichern.
Ansonsten würden herumlungernde Objekte (Lingering Objects) entstehen. Nach der Rücksicherung bekommt der rückgesicherte
DC die Änderungen die seit der Sicherung durchgeführt wurden vom anderen DC repliziert.
[LDAP:Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx
Aber wenn ein DC crasht, bemüht man in der Regel nicht die Sicherung.
Viele Grüße
/ > Yusuf Dikmenoglu
Hallo Yusuf,
vielen Dank für Deine Antwort.
Den Weg mit dem Neuinstallieren und erneuten Hinaufstufen habe ich schon mal gemacht, da weiß ich dass es funktioniert. In diesem Fall und da auf dem Server noch eine Reihe anderer Sachen laufen, wäre es mir lieber doch die Sicherung zu bemühen. Die Sicherung ist nicht älter als die TSL, die in unserem Fall 180 Tage betragen müsste.
Zur Sicherheit wollte ich die TSL überprüfen, allerdings finde ich in meinem ADSIEdit den in Deinem Artikel angegebenen Container nicht:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Root-Domäne
und das Überprüfen mit dsquery liefert eine Fehlermeldung "Eine Referenzauswertung wurde vom Server zurückgesendet".
Allerdings habe ich im Moment nur den testweise bereits offline zurückgespielten 2. DC zur Verfügung.
Viele Grüße,
Steffen
vielen Dank für Deine Antwort.
Den Weg mit dem Neuinstallieren und erneuten Hinaufstufen habe ich schon mal gemacht, da weiß ich dass es funktioniert. In diesem Fall und da auf dem Server noch eine Reihe anderer Sachen laufen, wäre es mir lieber doch die Sicherung zu bemühen. Die Sicherung ist nicht älter als die TSL, die in unserem Fall 180 Tage betragen müsste.
Zur Sicherheit wollte ich die TSL überprüfen, allerdings finde ich in meinem ADSIEdit den in Deinem Artikel angegebenen Container nicht:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Root-Domäne
und das Überprüfen mit dsquery liefert eine Fehlermeldung "Eine Referenzauswertung wurde vom Server zurückgesendet".
Allerdings habe ich im Moment nur den testweise bereits offline zurückgespielten 2. DC zur Verfügung.
Viele Grüße,
Steffen
Zitat von @huhu34:
Zur Sicherheit wollte ich die TSL überprüfen, allerdings finde ich in meinem ADSIEdit den in Deinem Artikel angegebenen
Container nicht:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Root-Domäne
und das Überprüfen mit dsquery liefert eine Fehlermeldung "Eine Referenzauswertung wurde vom Server
zurückgesendet".
Zur Sicherheit wollte ich die TSL überprüfen, allerdings finde ich in meinem ADSIEdit den in Deinem Artikel angegebenen
Container nicht:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Root-Domäne
und das Überprüfen mit dsquery liefert eine Fehlermeldung "Eine Referenzauswertung wurde vom Server
zurückgesendet".
Wie wäre es wenn du den LDAP-Pfad an deine Umgebung anpasst? Sprch: Du musst natürlich
das "DC=Root-Domäne" an deine Umgebung anpassen. Wenn also die Domäne "intra.contoso.com" lautet,
so würde dass dann so aussehen: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=intra,DC=contoso,DC=com
OK, du willst rücksichern. Dann funktioniert das so wie ich es in meiner ersten Antwort beschrieben habe.
Gruß, Yusuf
