9
Repliziertes AD und NTBACKUP
Herausforderung mit einem fast komplett undokumentierten Netzwerk...
Hallo miteinander,
im Firmennetzwerk gab es einen E2k3 auf einen W2k3, welcher gleichzeitig auch DC war (kein SBS). (Diesen Rechner gibt es noch, jedoch ohne E2k3 und nicht mehr als DC, nur noch als "normaler" Member.)
Zusätzlich gibt es einen W2k3 als DC sowie einen W2k8 mit E2k7. Leider ist nirgends dokumentiert, wie er den Umzug vollzogen hat.
Diverse Probleme (OAB, OOF, etc) sind schon erfolgreich gelöst worden, jedoch hänge ich grad an folgender Stelle fest:
Laut ADSI und dem Analyser vom E2k7 gibt es noch eine "Erste administrative Gruppe" CN=Erste administrative Gruppe,CN=Administrative Groups,CN=xxx,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=xxx.
Bei diversen Recherchen kam heraus, daß ich den kompletten Eintrag mittels ADSI löschen soll.
Klingt logisch und macht auch Sinn, aber ich möchte zur Sicherheit vorher das AD sichern, Systemstate mittels NTBACKUP direkt auf dem DC ohne E2k7 durchgeführt.
Wenn ich den Eintrag lösche und es geht schief, und ich spiele das Backup auf dem DC wieder ein, beißt es sich nicht mit der Replikation mit dem anderen DC?
Offene Frage also:
1. Können alle Einträge unterhalb von CN=Erste administrative Gruppe,CN=Administrative Groups,CN=xxx,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=xxx gelöscht werden? (def. kein E2k3 und kein OL2003 mehr im Einsatz!) gelöscht werden?
2. Wie funktioniert das Restore vom Systemstate, wenn 2 DC's vorhanden sind?
Grüße, Oli
im Firmennetzwerk gab es einen E2k3 auf einen W2k3, welcher gleichzeitig auch DC war (kein SBS). (Diesen Rechner gibt es noch, jedoch ohne E2k3 und nicht mehr als DC, nur noch als "normaler" Member.)
Zusätzlich gibt es einen W2k3 als DC sowie einen W2k8 mit E2k7. Leider ist nirgends dokumentiert, wie er den Umzug vollzogen hat.
Diverse Probleme (OAB, OOF, etc) sind schon erfolgreich gelöst worden, jedoch hänge ich grad an folgender Stelle fest:
Laut ADSI und dem Analyser vom E2k7 gibt es noch eine "Erste administrative Gruppe" CN=Erste administrative Gruppe,CN=Administrative Groups,CN=xxx,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=xxx.
Bei diversen Recherchen kam heraus, daß ich den kompletten Eintrag mittels ADSI löschen soll.
Klingt logisch und macht auch Sinn, aber ich möchte zur Sicherheit vorher das AD sichern, Systemstate mittels NTBACKUP direkt auf dem DC ohne E2k7 durchgeführt.
Wenn ich den Eintrag lösche und es geht schief, und ich spiele das Backup auf dem DC wieder ein, beißt es sich nicht mit der Replikation mit dem anderen DC?
Offene Frage also:
1. Können alle Einträge unterhalb von CN=Erste administrative Gruppe,CN=Administrative Groups,CN=xxx,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=xxx gelöscht werden? (def. kein E2k3 und kein OL2003 mehr im Einsatz!) gelöscht werden?
2. Wie funktioniert das Restore vom Systemstate, wenn 2 DC's vorhanden sind?
Grüße, Oli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 143979
Url: https://administrator.de/contentid/143979
Printed on: April 19, 2024 at 16:04 o'clock
9 Comments
Latest comment
Dein Backup wäre wirkungslos da die anderen Server die AD Datenbank wieder ändern und den gelöschten Eintrag wieder setzen.
Du mußt in den AD Recoverymodus starten und einen "authoritative restore" durchführen damit dieser DC seine Änderungen nach dem hochfahren
repliziert. Mußte ich zum Glück noch nie machen.
Du mußt in den AD Recoverymodus starten und einen "authoritative restore" durchführen damit dieser DC seine Änderungen nach dem hochfahren
repliziert. Mußte ich zum Glück noch nie machen.
Vielen Dank für die prompte Antwort!
Aber genau das ist doch das, was ich will
Ich lösche den Eintrag mittels ADSI. Da die DC's sich untereinander replizieren, ist diese Änderung im gesamten AD verteilt.
Wenn ich nun z.B. feststellte, daß der Exchange nicht mehr arbeitet und ich dann das erstellte Backup einspiele, dann sollte der Eintrag sich wieder replizieren, als wenn ich keine Änderung gemacht habe.
d.h. also, wenn ich das Systemstate gesichert gesichert habe und es schiefgeht, muß ich den DC im AD Recoverymodus hochfahren, einen authoritative restore durchführen und alles sollte so sein wie früher?
Aber genau das ist doch das, was ich will
Ich lösche den Eintrag mittels ADSI. Da die DC's sich untereinander replizieren, ist diese Änderung im gesamten AD verteilt.
Wenn ich nun z.B. feststellte, daß der Exchange nicht mehr arbeitet und ich dann das erstellte Backup einspiele, dann sollte der Eintrag sich wieder replizieren, als wenn ich keine Änderung gemacht habe.
d.h. also, wenn ich das Systemstate gesichert gesichert habe und es schiefgeht, muß ich den DC im AD Recoverymodus hochfahren, einen authoritative restore durchführen und alles sollte so sein wie früher?
dann repliziert der DC, nach dem normalen Reboot, und Repliziert die Änderungen (wieder den gelöschten Eintrag) an die anderen DCs.
ok, gibt es dann eine andere Möglichkeit, die Änderung am AD vorzunehmen und ggf. wieder zurückzuspielen?
Möchte ungern die komplette Domain oder den Exchange neu aufsetzen, falls was dabei schiefgeht?
Bzw. andere Idee:
Was passiert, wenn ich den DC ohne Exchange runterfahre, die Änderung am AD vornehme, feststelle, es funktioniert nicht und dann den DC wieder hochfahre? Welche Änderung wird dann repliziert?
Möchte ungern die komplette Domain oder den Exchange neu aufsetzen, falls was dabei schiefgeht?
Bzw. andere Idee:
Was passiert, wenn ich den DC ohne Exchange runterfahre, die Änderung am AD vornehme, feststelle, es funktioniert nicht und dann den DC wieder hochfahre? Welche Änderung wird dann repliziert?
die Änderung wird repliziert. Es nützt nichts den anderen DC herunterzufahren. Du kannst doch mit NTBackup den Systemstate sichern
und im Notfall wieder zurückspielen. Danach mußt Du wie oben den DC hochfahren und den "authoritative restore" durchführen
damit dieser dann Repliziert.
und im Notfall wieder zurückspielen. Danach mußt Du wie oben den DC hochfahren und den "authoritative restore" durchführen
damit dieser dann Repliziert.
also das Backup vom DC mit Exchange machen, dann den DC ohne Exchange runterfahren, Änderungen vornehmen und testen, wenn alles funktioniert, einfach den DC ohne Exchange hochfahren, sollte wider aller Erwartungen die Änderung nicht funktionieren, Backup zurückspielen auf dem DC mit Exchange und dann den DC ohne Exchange wieder hochfahren?
Stimmt, würde mehr Sinn machen.
Hast du bereits die Erfahrung gemacht mittels ADSI den Zweig "Erste administrative Gruppe" löschen oder ist die Info falsch, die ich bisher gefunden habe?
Stimmt, würde mehr Sinn machen.
Hast du bereits die Erfahrung gemacht mittels ADSI den Zweig "Erste administrative Gruppe" löschen oder ist die Info falsch, die ich bisher gefunden habe?
wir haben auch schon über ADSI Einträge gelöscht. Aber es schein mit das Du nicht sicher bist wie Du alles machen musst. Suche im Internet nach
authoritativen restore und wenn alles klar ist kannst Du den Eintrag löschen.
authoritativen restore und wenn alles klar ist kannst Du den Eintrag löschen.
Vielen Dank für das richtige Stichwort.
Eine letzte Frage habe ich noch bzgl. des authoritativen restores:
Reicht es, wenn ich CN=Erste administrative Gruppe,CN=Administrative Groups,CN=xxx,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=xxx. bei der Wiederherstellung auswähle/angebe oder muß ich die 4 "Unterpunkte" (Advanced Security, Folder Hierarchies, Routing Groups, Server) auch manuell restoren?
Eine letzte Frage habe ich noch bzgl. des authoritativen restores:
Reicht es, wenn ich CN=Erste administrative Gruppe,CN=Administrative Groups,CN=xxx,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=xxx. bei der Wiederherstellung auswähle/angebe oder muß ich die 4 "Unterpunkte" (Advanced Security, Folder Hierarchies, Routing Groups, Server) auch manuell restoren?
alle müssen wiederhergestellt werden
