redict
Goto Top

Exchange 2010 SP1 und PrepareAD. Stolperfallen?

Einen wunderschönen Sonntag Morgen wünsche ich.

Ich trage hier mal mein Problem vor, vielleicht hat ja schon mal jemand etwas ähnliches erlebt:

Folgende Grundkonfiguration:

3* Server 2008r2 Domain Controller in Single-Domain
1*Exchange 2010 SP1 auf 2008r2, extra Server (wir sind also beim aktuellen Count von 4, alles virtuelle Maschinen)

Ich arbeite noch nicht so lange in der dortigen Firma, kann also zwangsläufig nicht alle Fragen beantworten, daher entschuldige ich mich schon mal, falls ich nicht mit Informationen dienen kann.


Grundproblem ist der Exchange 2010, der vor meiner Zeit von Exchange 2007 migriert wurde. Und das meiner Meinung nach nicht gerade sehr ordentlich:

-Fehlende System-Postfächer
-Defekte Adressbücher
-Fehlermeldungen noch und nöcher, aber er funktioniert irgendwie
-generell sehr fragil, jede Arbeit dadran erfordert fast schon chirurgische Präzision
-uvm.

Ich habe die letzte Woche damit verbracht, erst einmal die groberen Fehler glatt zu ziehen, sprich Adressbücher, Verbindungsprobleme, IIS etc bereinigt, so weit, so stabil.

Nun komme ich heute zu dem Punkt, die Systemmailboxen wieder herzustellen. Diese sind wohl irgendwann aus dem AD gelöscht worden, inklusive der Sicherheitsgruppen im AD/Schema. Daraus folgt, das ich diese mit der Exchange SP1-Iso und einem setup.exe/prepareAD wieder hochziehen will.

Meine Frage dazu: Wenn ich das durchführe, kann es an irgendeiner Stelle großartig schief gehen? Oder stellt prepareAD wirklich nur genau diese AD-Accounts + Gruppen wieder her? Ich weiss nicht mal, ob beim damaligen Umzug ein prepareSchema bzw. prepareAD gemacht wurde, gehe aber im worst case davon aus, das dort mehr rumefrickelt wurde, als das mir lieb ist.

Ich würde die Fehlermeldungen ja ignorieren,da die Probleme exorbitant abgenommen haben, aber da in folge darauf auch noch auf Exchange 2013 (diesmal mit High availability) umgeschwenkt werden soll, wollte ich die Probleme möglichst reduzieren.

Ich danke schonmal im Voraus für eure Hilfe, vielleicht sieht ja jemand noch einen Denkfehler meinerseits.

Content-Key: 270348

Url: https://administrator.de/contentid/270348

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: Dani
Dani 26.04.2015 um 12:58:04 Uhr
Goto Top
Moin,
ich lege dir grundsätzlich lege ich dir den Aritkel nahe. Er geht auch auf die Thematik Replikation und Gesamtstruktur ein.

Wichtig ist, dass deine Domäne und Domain Controller sauber laufen. Sprich keine unvermeidbare Fehler in der Ereignisanzeige, Domänen und Gesamtstruktur ist auf dem entsprechenden Level, keine toten DCs im DNS-Server (Metadata Cleanup), etc...

Bevor du anfängst würde ich von allem eine Datensicherung erstellen. Sicher ist sicher... danach würde ich gleich auch Service Pack 3 aktualisieren und danach den aktuellen CU installieren.


Gruß,
Dani
Mitglied: redict
redict 26.04.2015 um 13:24:24 Uhr
Goto Top
Mhhh, die DC sind alle schon recht glücklich, haben vor 4 Wochen erst eine komplette Bereinigung erfahren.

Der Punkt mit dem toten DC ist gut, da steckte wirklich noch einer drin (der auch Schema-Master war und nie umgestellt wurde, die aktuelle Replikation läuft aber auf die Live-DCs).

Meine Idee wäre nun, die Replikation auf einen Backup-DC einzuschränken und diesem die Inbound-/Outbound-Replikation wegzunehmen. (Also das prepareAD nur auf den Backup-DC schreibt). Irgendwelche Einwände? Liesse sich das danach trotzdem mit dem Originalzustand des PDC weiter betreiben?

Datensicherung ist schon vorhanden.
Mitglied: Dani
Dani 26.04.2015 aktualisiert um 13:50:15 Uhr
Goto Top
Meine Idee wäre nun, die Replikation auf einen Backup-DC einzuschränken und diesem die Inbound-/Outbound-Replikation wegzunehmen. (Also das prepareAD nur auf den Backup-DC schreibt).
Was möchtest du damit erreichen?

Der Exchange-Server interessiert sich wenig für den Domain-Controller. Exchange arbeitet ausschließlich mit Hilfe des Global Catalog. Sollte da etwas schief gehen, bleibt dir nur das Backup. Sind alle drei Domain Controllers auch GC und DNS-Server?


Gruß,
Dani
Mitglied: redict
redict 26.04.2015 um 16:58:04 Uhr
Goto Top
Nein, nur 2 sind GC, der BackupDC nicht. Was würde passieren, wenn ich den BackupDC zum GC machen würde und diesen in Exchange als GC eintrage? Habe hier leider nicht wirklich die Möglichkeit, das praktisch zu testen, da aktive Umgebung :/

Gruß
Mitglied: Dani
Dani 26.04.2015 um 17:09:00 Uhr
Goto Top
Backup DC? Gibt es schon lange nicht mehr.... es gibt noch für diverse Zwecke die Rolle PDC-Emulator. Die hat aber mit deinem Begriff "Backup DC" gar nichts zu tun.

Was würde passieren, wenn ich den BackupDC zum GC machen würde und diesen in Exchange als GC eintrage?
Ich frage nochmal, was möchtest du damit erreichen? Wie hilft dir deine Idee weiter? Ich würde einfach das Service Pack 3 installieren. Wenn bei Vorbereitung oder Installation etwas schief geht, wird mit Rollback durchgeführt. Das trifft natürlich beim Schema nicht zu. Die Schemaversion stimmt aber?

Habe hier leider nicht wirklich die Möglichkeit, das praktisch zu testen, da aktive Umgebung :/
Wenn dir das zu stressig wird und/oder dir unsicher bist, wie du vorzugehen hast, beauftrage ein Systemhaus. Erklär den Sachverhalt deinem Chef und steh dazu. Bisher ist noch kein ITler wegen Ehrlichkeit gestorben...


Gruß,
Dani
Mitglied: redict
redict 26.04.2015 um 19:22:55 Uhr
Goto Top
Ok, das mit dem Systemhaus kommt bedingt durch Geschäftsvorgänge nicht in Frage. SP3-Update klingt zwar ganz gut, würde aber auch das prepareAD mit beinhalten, sprich ich hätte keinen Gewinn gegenüber der jetzigen Situation. (bis auf das Update)

Das der Backup-DC per se nicht mehr existiert, sehe ich jetzt mal der Nomenklatur geschuldet, nennen wir meinen "Backup-DC" also DomainController-der-Weg-kann-und-nicht-weiter-auffällt-wenn-er-weg-ist.(DCdWkunwawewi ;) ).

Scheinbar bleibt mir nichts anderes übrig, als das prepareAD laufen zu lassen und im schlimmsten Fall dann ein Backup anzuwerfen.
Mitglied: Dani
Lösung Dani 26.04.2015 aktualisiert um 20:45:59 Uhr
Goto Top
Ok, das mit dem Systemhaus kommt bedingt durch Geschäftsvorgänge nicht in Frage.
Die Antwort kannte ich bisher nicht... notier ich mir in mein Spüchebuch. face-wink

SP3-Update klingt zwar ganz gut, würde aber auch das prepareAD mit beinhalten, sprich ich hätte keinen Gewinn gegenüber der jetzigen Situation. (bis auf das Update)
Puh, da müssen wir an den Grundlagen noch "hart" arbeiten. Aktuell bewegst du dich mit SP1 außerhalb der Supportmatrix. Service Pack 1 & 2 sind bereits End of Life. Daher mein Vorschlag gleich auf SP3 zu aktualisieren.

Scheinbar bleibt mir nichts anderes übrig, als das prepareAD laufen zu lassen und im schlimmsten Fall dann ein Backup anzuwerfen.
Bitte danach ein Recovery anwerfen - Backup macht es nicht einfacher. Wie gesagt, wenn die Ereignisprotokolle von Domain Controllers, Exchange-Server sauber sind, die Befehle dcdiag, Repadmin, ADBPA, Schemaversion passt, Domänenfunktionslevel, Gesamtstrukturfunktionsebene, etc... sauber durchlaufen, hast du nichts zu befürchten. Alternativ gibt's Tools wie Active Directory Replication Status Tool. Höchstens du hast uns noch etwas verheimlicht.


Gruß,
Dani
Mitglied: redict
redict 26.04.2015 um 19:48:58 Uhr
Goto Top
> Ok, das mit dem Systemhaus kommt bedingt durch Geschäftsvorgänge nicht in Frage.
Die Antwort kannte ich bisher nicht... notier ich mir in mein Spüchebuch. face-wink
Kannte ich bis zum ersten hören auch noch nicht.

> SP3-Update klingt zwar ganz gut, würde aber auch das prepareAD mit beinhalten, sprich ich hätte keinen Gewinn
gegenüber der jetzigen Situation. (bis auf das Update)
Puh, da müssen wir an den Grundlagen noch "hart" arbeiten. Aktuell bewegst du dich mit SP1 außerhalb der
Supportmatrix. Service Pack 1 & 2 sind bereits End of Life. Daher mein Vorschlag gleich auf SP3 zu aktualisieren.
Meine Begeisterung bei der Ansicht war viel größer....der Umzug war nur halbherzig vollzogen worden.

> Scheinbar bleibt mir nichts anderes übrig, als das prepareAD laufen zu lassen und im schlimmsten Fall dann ein Backup
anzuwerfen.
Bitte danach ein Recovery anwerfen - Backup macht es nicht einfacher. Wie gesagt, wenn die Ereignisprotokolle von Domain
Controllers, Exchange-Server sauber sind, die Befehle dcdiag, Repadmin, ADBPA, Schemaversion passt,
Domänenfunktionslevel, Gesamtstrukturfunktionsebene, etc... sauber durchlaufen, hast du nichts zu befürchten. Alternativ
gibt's Tools wie Active Directory Replication Status Tool.
Höchstens du hast uns noch etwas verheimlicht.
Wie gesagt, Replikation wurde heute noch von einer Altlast befreit, sollte also Fehlerfrei sein. Und die Protokolle vom Exchange sind in so weit nicht sauber, als das er kein AuditLog erstellen kann, da ja die Systempostfächer fehlen. Daher ja der ganze Aufwand/die ganze Fragerei
Gruß,
Dani
Gruß
Mitglied: Dani
Dani 26.04.2015 um 19:56:38 Uhr
Goto Top
sollte also Fehlerfrei sein
Für sollte würdest du bei mir jedes Mal 5€ in die Team-Kasse werfen müssen. Bei solchen elemantaren wichtigen Funktionen gibt es nur Ja oder Nein.

Und die Protokolle vom Exchange sind in so weit nicht sauber, als das er kein AuditLog erstellen kann, da ja die Systempostfächer fehlen. Daher ja der ganze Aufwand/die ganze Fragerei
Der Rest meiner Aufzählungen ist in Ordnung?


Gruß,
Dani
Mitglied: redict
redict 26.04.2015 um 20:45:42 Uhr
Goto Top
Zitat von @Dani:

> sollte also Fehlerfrei sein
Für sollte würdest du bei mir jedes Mal 5€ in die Team-Kasse werfen müssen. Bei solchen elemantaren
wichtigen Funktionen gibt es nur Ja oder Nein.
Ok, ich korrigiere mal meine Wortwahl: Nachdem ich heute morgen den toten DC komplett entfernt habe, ist mein Erwartungswert 1, das es fehlerfrei funktioniert.
Aber ich warte trotzdem noch den morgigen Tag ab, falls irgendein Nutzer mit Problemen diesbezüglich erscheint. Ich gehe aber nicht davon aus, also von daher sollte ;)


> Und die Protokolle vom Exchange sind in so weit nicht sauber, als das er kein AuditLog erstellen kann, da ja die
Systempostfächer fehlen. Daher ja der ganze Aufwand/die ganze Fragerei
Der Rest meiner Aufzählungen ist in Ordnung?
Jap, repadmin und dcdiag waren noch nie so glücklich wie heute (ich frage mich, ob da jemals einer drüber geschaut hat), Schemata passen, alles gut.
Aber da Pferde vor Apotheken ja bekanntlich Brechreiz bekommen, lass ich das noch 1 Tag so laufen wie es ist.