Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Replikation einer defekten AD auf 2. DC

Mitglied: RAMbrand

RAMbrand (Level 1) - Jetzt verbinden

30.04.2007, aktualisiert 02.05.2007, 5787 Aufrufe, 4 Kommentare

Hallo,

wir haben von OS/2 auf Windows 2003 Serverumfeld umgestellt. Da wir noch Erfahrungen und Wissen hierzu sammeln, kommen immer wieder Fragen auf - vor allem von unserem Revisor für Datenschutz - auf die wir erstmal anhand der Dokumentation und Sekundärliteratur keine Antwort finden.

Hier ist nun das Thema Ausfallsicherheit der Domäne.

Wir setzen in unserem Netz ca. 40 Server ein, in einer Domäne. In der Domäne haben wir den DC und mehrere DCs als Backup.

Jetzt wurde darüber diskutiert, was passiert, wenn der Primary DC seine AD zerschiesst. Da er ja die AD mit den Backup-DCs repliziert, stellt sich hier die Frage, wie intelligent ist das Replikationsverfahren.

Erkennt es eine schadhafte AD? Wird immer die komplette AD repliziert, oder nur das Delta?

Wir wollen natürlich ausschliessen, dass eine defekte AD am Primary-DC uns die komplette Domäne abschiesst Ist nur die Frage, ist das mit den Boardmitteln von Win 2003 Standard gegeben?

Vielen Dank im voraus,

Markus Haupt
Mitglied: 45114
LÖSUNG 30.04.2007, aktualisiert 09.03.2014
Hallo Markus,
nun zum Thema Ausfallsicherheit Active Directory würde ich grundsätzlich mein primäres Augenmerk auf die Sicherung und Wiederherstellung des Active Directory richten da ein "zerschießen der Datenbank" im Normalbetrieb mehr als unwahrscheinlich ist.

Grundsätzliches zum Einstieg:
Das AD arbeitet nicht wie NT mit einer Single-Master sondern mit einer Multi-Master Replikation d.h. jeder Server der zum AD hochgestuft wurde hält eine Schreibbare kopie der Datenbank und repliziert änderungen an alle seine kollegen.
Ab Domänenfunktionsebene 2000 replizieren die Server nur änderungen - ab 2003 kamen nochmals verbesserungen in bezug auf Replikation des Globalen Katalogs.
Die Replikationsverbindungen werden automatisch generiert und müssen normalerweise nicht angepasst werden.

Die wahrscheinlichkeit dass eine Domänenauthentifizierung aufgrund einer "zerschossen" (es gibt eigentlich im normalen betrieb nur eine möglichkeit das das passiert: Sabotage mit Schema-Admin Rechten! (das AD von Server 2003 enthält x features die in kombination mit dem File Replication Service genau das verhindern sollen und können...)
Auch gibt es mechanismen die bei der replikation die itegrität der AD-Datenbank sicherstellen.

D.h. man sollte sich in erster Linie gedanken um den Restore von irrtümlicherweise gelöschten Objekten machen.
Fällt ein normaler DC (keine FSMO Rollen) aus irgendeinem Grund aus so ist es das allereinfachste einen neuen Server 2003 zum DC heraufzustufen und den alten nie wieder in Betrieb zu nehmen. Der neue Repliziert dann mit den noch vorhandenen Servern und alles ist wieder ok.

Fällt ein "primärer DC" (so bezeichne ich jetzt mal den / die Server der in deiner Domäne die FSMO Rollen hält) aus so muss zusätzlich auch noch die entsprechende Rolle (RID-master, infrastruktur master, pdc-emulator - in jeder einzelnen domäne der gesamtstruktur bzw schemamaster, domänennamensmaster nur einmal pro Domain tree) auf einen anderen DC übertragen werden. Das geht in den meisten fällen über die AD Gui tools.
In harten fällen ist das kommandozeilentool fsutil in der lage das verschieben einer rolle zu erzwingen und unabhängig von der funktionsfähigkeit des alten "Role-holders" die rolle einem noch funktionstüchtigen DC zuzuweisen. (Achtung - den alten nach so einer aktion nie wieder starten sonst krachts).
Dies bezeichnet man als non Authoritative Restore.

Werden mehrere Objekte aus dem AD mit entsprechender berechtigung fälschlicherweise gelöscht so ist (von einigen tools die über tombstone lifetime arbeiten und meist käuflich erworben werden müssen einmal abgesehen) meist ein sogenannter authoritative restore nötig der ebenfalls über das Tool fsutil möglich ist.
Dazu wird ein DC im "AD Repair mode" gebootet und eine Sicherung der Datenbank wieder eingespielt. Da nach dem neustart aber der zeitstempel der rücksicherung sofort dazu führen würde das die objekte wieder gelöscht werden werden die RID der objekte um 100000 nach oben gesetzt was dazu führt das die objekte nach einem normalen Start des DC wieder mit den Anderen repliziert werden.
ACHTUNG: Für die Sicherung würde ich das Win-Backupprogramm empfehlen. Es muss eine Systemstate sicherung gemacht werden. Es reicht nicht die datenbankdatei zu sichern!!!

Noch ein wichtiger hinweis: niemals ein image von dc's machen! Das wird in keinem fall ein brauchbares ergebnis bei einer rücksicherung liefern - führt nur zu vielen fehlermeldungen auf allen dcs....


Ich hoffe dir ein wenig geholfen zu haben....

Viele Grüße aus Nürnberg
Friedrich G.
Bitte warten ..
Mitglied: datasearch
LÖSUNG 30.04.2007, aktualisiert 09.03.2014
Wirklich sehr gut beschrieben. Allerdings sollte man ntdsutil nutzen

Was man vieleicht auch noch dazu schreiben könnte, die AD Datenbank ohne Schema-Rechte Strukturweit zu beschädigen ist normalerweise nicht möglich. Es kann aber zu ausfällen der Struktur kommen wenn zb. die DNS-Server ausfallen. Man sollte sehr großen Wert auf ein zuverlässiges DNS legen. Ein Ansatz ist die _msdcs.domain.... - Domain in einer extra AD-Partitionabzulegen. Diese kann mit den wichtigsten DC´s in der Domäne replizieren. Auf diesen Servern kannst du den DNS-Dienst zu Installieren und eine Auflösung der kritischen DNS-Records im fehlerfall sicherstellen. Dabei sollte man aber berücksichtigen das das wiederum Replikationstraffic verursacht wenn die Server ihre SVR Records aktualisieren.

Was man auch beachten sollte, das man mehr als nur einen Globalen Katalog im Netzwerk hat. Wenn kein GC mehr zur verfügung steht hast du ein Problem. Aber Achtung, die GC´s verursachen ziemlich viel Replikationstraffic. 2 GC´s bei sollten reichen. Ich verwende immer einen pro Standort und falls es nur einen Standort gibt, 2 Katalogserver an diesem.

Es gibt von MS auch ziemlich gute Papers wie man das AD ausfallsicher einrichten kann.
Bitte warten ..
Mitglied: 45114
02.05.2007 um 10:54 Uhr
@datasearch: danke! selbstverständlich ntdsutil... ;)

@all: sorry.
Bitte warten ..
Mitglied: RAMbrand
02.05.2007 um 11:01 Uhr
Danke an alle für die Info.

MfG,
Markus Haupt
Bitte warten ..
Ähnliche Inhalte
Windows Server
DC Replikation einseitig fehlerhaft
gelöst Frage von luklukWindows Server11 Kommentare

Hallo zusammen, ich habe 2 DCs mit je Windows Server 2008 an 2 getrennten Standorten, die per Punkt-zu-Punkt-Verbidndung miteinander ...

Windows Server

AD-Änderungen erst nach Replikation !?

gelöst Frage von RicoPausBWindows Server9 Kommentare

kurze angefragt Wenn ich am DC unserer Niederlassung Änderungen vornehme, wie z.B. Gruppenzugehörigkeiten oder Anpassungen an der GPO oder ...

DNS

Fehler bei der AD Replikation

Frage von Maik20DNS14 Kommentare

Hallo, ich experimentiere hier gerade mit meinen ersten "zweiten" DC. Ich habe beide anfang des Jahres eingerichtet und dann ...

Xenserver

Replikation 2 Xen Server?

Frage von Justin98Xenserver6 Kommentare

Ich habe einen XenServer aufgesetzt, mit mehreren Virtuellen Maschinen installiert. Um das Ausfalls Risiko nun zu Vermindern, möchte ich ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement13 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android11 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...