13
AD Backup DC zurück setzen?
Hi Leute.
Hatte letztens ein Problem mit dem AD DC. Diesen setzte ich mit Acronis wieder zurück und alles war gut. Kurz darauf war das Problem wieder da. Hat er sich wohl vom AD Backup DC geholt. Also gleiches Spiel nochmal nur diesmal mit abgeschaltetem AD Backup DC. Alles ok.
Heute dachte ich mir so den AD Backup DC zurück zu setzen aber ich bekomme es nicht hin. Mit dcpromo kann man entweder angeben das es der letzte DC ist dann meckert er aber rum das es noch einen anderen gibt und bricht ab. Oder man sagt es ist nicht der letzte DC dann bricht er aber auch ab da keine Verbindung zum letzten hergestellt werden kann.
Logischer Weise habe ich das Netzwerk heraus gezogen um den ersten DC zu schützen.
Es sind beides MS Server 2008.
Wie würdet ihr vorgehen?
LG Maddoc
Hatte letztens ein Problem mit dem AD DC. Diesen setzte ich mit Acronis wieder zurück und alles war gut. Kurz darauf war das Problem wieder da. Hat er sich wohl vom AD Backup DC geholt. Also gleiches Spiel nochmal nur diesmal mit abgeschaltetem AD Backup DC. Alles ok.
Heute dachte ich mir so den AD Backup DC zurück zu setzen aber ich bekomme es nicht hin. Mit dcpromo kann man entweder angeben das es der letzte DC ist dann meckert er aber rum das es noch einen anderen gibt und bricht ab. Oder man sagt es ist nicht der letzte DC dann bricht er aber auch ab da keine Verbindung zum letzten hergestellt werden kann.
Logischer Weise habe ich das Netzwerk heraus gezogen um den ersten DC zu schützen.
Es sind beides MS Server 2008.
Wie würdet ihr vorgehen?
LG Maddoc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 246775
Url: https://administrator.de/contentid/246775
Printed on: April 23, 2024 at 19:04 o'clock
13 Comments
Latest comment
Wie wäre es damit, das Netzwerk ordentlich zu reparieren und nicht nur bisschen hier und da sinnlos zurück zu backuppen (spätestens, wenn das Netzwerk wieder da ist gibt es sowieso einen inkonsistenten Zustand.)
Netzwerk läuft seit 14 Tagen einwandfrei. Ganz ohne Inkonsistenz. Aber danke das du dir sorgen machst.
Hallo,
seid Server 2000 gibt es keine Haupt und Backup Domaincontroller! Alle Domaincontroller sind gleichberechtigt. Nur DC mit FMSO und GC haben eine Sonderstellung.
Ich hoffe Du hast keine Imagesicherung gemacht bzw machst keine.
Sicher das das AD zwischen den beiden DC fehlerfrei repliziert wird?
Gruß
Chonta
seid Server 2000 gibt es keine Haupt und Backup Domaincontroller! Alle Domaincontroller sind gleichberechtigt. Nur DC mit FMSO und GC haben eine Sonderstellung.
Ich hoffe Du hast keine Imagesicherung gemacht bzw machst keine.
Sicher das das AD zwischen den beiden DC fehlerfrei repliziert wird?
Gruß
Chonta
Wenn du in der letzten Zeit 2x den AD zurück setzen musstest scheint ja doch nicht alles einwandfrei zu sein? Oder ist das eine neue Art der ABM?
2x? Wie kommst du darauf? Lief seit dem ich ihn aufgesetzt habe ohne eine Störung. Dank Tipps von hier hab ich mir aber die Admins in der AD versaut und es nicht wieder in Urzustand bekommen. Wie gesagt. Backup eingespielt und nun läufts wieder wie davor.
Frage bleibt immernoch. Was mache ich mit dem 2. DC das er nicht wieder "seinen Stand der AD" an den Sauberen DC schickt.. Komplett neu installieren wäre ja übertrieben. Möchte quasi den DC wieder zurück stufen und neu als zweiten einrichten.
Frage bleibt immernoch. Was mache ich mit dem 2. DC das er nicht wieder "seinen Stand der AD" an den Sauberen DC schickt.. Komplett neu installieren wäre ja übertrieben. Möchte quasi den DC wieder zurück stufen und neu als zweiten einrichten.
Moin,
bevor irgendwas "probierst" lies dir folgende Technetartikel durch.
Einfach so ein Image eines DCs zurückspielen kann schnell das AD samt Exchange zerstören. Aber ist in dem Link beschrieben.
Gruß,
Dani
bevor irgendwas "probierst" lies dir folgende Technetartikel durch.
Einfach so ein Image eines DCs zurückspielen kann schnell das AD samt Exchange zerstören. Aber ist in dem Link beschrieben.
Gruß,
Dani
1
Hallo,
also wenn dein zweiter DC imme rnoch aus ist, dann ist dein AD immer noch im Arsch, nur mal so.
Da der AD Stand auf dem zweiten "aktueller ist" wrden dessen Einstellungen auf dem anderen repliziert und dann knallt es.
Die Frage ist warum der andere ein zerschossenes AD hat?
Wenn man ein richtiges AD Backup zurückspielt um ein zerschossenes AD gradezurücken, werden grob gesagt die Aktualitäts-IDs der AD Objekte raufgesetzt und sind damit das neueste vom neuen und alle anderen DC ziehen sich das neueste vom neuen dank Replikation.
Wenn DU aber ein Image von wein nicht wan mit Status Asbach Uralt einspielst dann ist das defekte AD von wem auch immer das neueste und tada der Asbach DC will das nueste und Peng.
Du kannst und willst die Replikation der DCs nicht verhindern Du musst nur mit deiner Backupstrategie dafür sorgen, das es möglich ist auch ein defektes AD mit einer sauberen Sicherung zu retten.
Gruß
Chonta
also wenn dein zweiter DC imme rnoch aus ist, dann ist dein AD immer noch im Arsch, nur mal so.
Da der AD Stand auf dem zweiten "aktueller ist" wrden dessen Einstellungen auf dem anderen repliziert und dann knallt es.
Die Frage ist warum der andere ein zerschossenes AD hat?
Wenn man ein richtiges AD Backup zurückspielt um ein zerschossenes AD gradezurücken, werden grob gesagt die Aktualitäts-IDs der AD Objekte raufgesetzt und sind damit das neueste vom neuen und alle anderen DC ziehen sich das neueste vom neuen dank Replikation.
Wenn DU aber ein Image von wein nicht wan mit Status Asbach Uralt einspielst dann ist das defekte AD von wem auch immer das neueste und tada der Asbach DC will das nueste und Peng.
Du kannst und willst die Replikation der DCs nicht verhindern Du musst nur mit deiner Backupstrategie dafür sorgen, das es möglich ist auch ein defektes AD mit einer sauberen Sicherung zu retten.
Gruß
Chonta
1
Das Backup habe ich mittels Acronis Backup & Recovery gemacht. Das Image war ca eine Woche alt gewesen. Wie gesagt. Alles ist gut. Die Domäne arbeitet wie sie soll. Der DC arbeitet als AD mit Freigaben. Mehr auch nicht. Im Grunde ist ja der wiederhergestellte erste DC am aktuellsten da der zweite seit zwei Wochen vom Netz ist. Normal müsste der zweite die saubere AD vom ersten bekommen sobald ich ihn wieder ins Netz nehme. Habe nur keine Lust wenn ers doch nicht mach wieder von vorne zu beginnen. Daher möchte ich beim zweiten, wie schon oft geschrieben und noch nie ne Antwort dazu bekommen, die AD entfernen und wieder hinzufügen sodass er die sauberen Daten vom ersten DC bekommt. Wäre schön wenn ihr anstatt auf dem Recovery von mir herum zu hacken was ja absolut null Probleme im Nachhinein macht lieber sagt wie ich das Problem beim zweite DC löse.
Hallo,
da der DC den Du hast keine Verbindung zur Domäne hat, kannst Du den auch nicht mit dcpromo runterstufen, weil dazu muss der in der Domäne sein.
Du kannst den also nur mit Gewalt aus der Domäne entfernen, die Domäne bereinigen und den Serve rneu aufsetzen. (Umbedingt mit anderem Namen)
Welcher der beiden DC hat den eigendlich die FMSO? Liegen die zum teil bei dem der nicht am Netz ist? Das kann bald zum Problem führen.
Auch wenn der DC jetzt lange nicht am Netz war, aber z.B. trozdem eingeschaltet war können seine AD Objekte trozdem die "neueren" für das AD sein bzw er kann was haben das der andere DC nie hatte und bügelt das dan wieder rein.
Wenn Du den anderen DC nicht nue aufsetzen willst, dann mach ein richtiges Baclkup und mache eine von MS vorgeschriebene Autorative AD wiederherstellung.
Vorher kannst Du vom System ein Offlineimage machen. Um sicher zu gehen, da dein zweiter DC eh nen Schuß weg hat.
Wenn die vorgeschriebene Wiederherstellung läuft ist es egal was der zwiete DC für Infos hat, die werden übergebügelt.
Probleme können aber dennoch Objeckte die nie auf dem jetzt laufenden DC waren sein, die aber der nicht am Netz DC kennt.
Gerade bei einer Imagerücksicherung kann sowas passieren, vor allem Wenn das Image älter war.
Weil Jedes AD Objekt hat eine eindeutige ID und mit diesen ID arbeitet das AD, wenn nun der eine DC hinter ID 1 Objekt y hat und der andere Objckt z dann knallt es.
Lange Rede kurzer Sinn, wenn Du es sauber willst, neu aufsetzen und aus der Domäne werfen.
Wenn Du es evtl 2x mahen willst, dann die Sache mit dem richtgen Backup usw.
Aber check erstmal den anderen DC warum der das AD zerschießt. Defekte Datenbank vom AD aufgrund von RAM, HDD, Controllerfehlern z.B.
Dateisystemfehler logishcer weise auch checken. Und das bevor Du neu aufsetzt oder die Rückspielorgie machst.
Das so oft auf deinem Backup rumreiten sollte Dir hoffentlich klar gemacht haben, das Du was anderes brauchst.
Gruß
Chonta
da der DC den Du hast keine Verbindung zur Domäne hat, kannst Du den auch nicht mit dcpromo runterstufen, weil dazu muss der in der Domäne sein.
Du kannst den also nur mit Gewalt aus der Domäne entfernen, die Domäne bereinigen und den Serve rneu aufsetzen. (Umbedingt mit anderem Namen)
Welcher der beiden DC hat den eigendlich die FMSO? Liegen die zum teil bei dem der nicht am Netz ist? Das kann bald zum Problem führen.
Auch wenn der DC jetzt lange nicht am Netz war, aber z.B. trozdem eingeschaltet war können seine AD Objekte trozdem die "neueren" für das AD sein bzw er kann was haben das der andere DC nie hatte und bügelt das dan wieder rein.
Wenn Du den anderen DC nicht nue aufsetzen willst, dann mach ein richtiges Baclkup und mache eine von MS vorgeschriebene Autorative AD wiederherstellung.
Vorher kannst Du vom System ein Offlineimage machen. Um sicher zu gehen, da dein zweiter DC eh nen Schuß weg hat.
Wenn die vorgeschriebene Wiederherstellung läuft ist es egal was der zwiete DC für Infos hat, die werden übergebügelt.
Probleme können aber dennoch Objeckte die nie auf dem jetzt laufenden DC waren sein, die aber der nicht am Netz DC kennt.
Gerade bei einer Imagerücksicherung kann sowas passieren, vor allem Wenn das Image älter war.
Weil Jedes AD Objekt hat eine eindeutige ID und mit diesen ID arbeitet das AD, wenn nun der eine DC hinter ID 1 Objekt y hat und der andere Objckt z dann knallt es.
Lange Rede kurzer Sinn, wenn Du es sauber willst, neu aufsetzen und aus der Domäne werfen.
Wenn Du es evtl 2x mahen willst, dann die Sache mit dem richtgen Backup usw.
Aber check erstmal den anderen DC warum der das AD zerschießt. Defekte Datenbank vom AD aufgrund von RAM, HDD, Controllerfehlern z.B.
Dateisystemfehler logishcer weise auch checken. Und das bevor Du neu aufsetzt oder die Rückspielorgie machst.
Das so oft auf deinem Backup rumreiten sollte Dir hoffentlich klar gemacht haben, das Du was anderes brauchst.
Gruß
Chonta
Hi. Danke für deine Ausführungen. Die AD war nicht defekt. Hatte nur einen Rat auf gruppenrichtlinien.de befolgt und alle Admins von den Clients verbannt. Keine lokalen Admins mehr und auch der Domänenadmin war weg auf den Clients. Die Gruppe Administratoren war leer auf den Clients. Was ich auch versuchte ich bekam es nicht wieder hin gebügelt. Also nahm ich das Backup was ca 14 Tage alt war und recoverte es. Logo musste ich dann jeden Client erneut in die Domäne Joinen. Und um auf den Clients wieder Admins drauf zu bekommen war auch ein heiden Spaß gewesen. Egal. Lauft wieder alles wie gewohnt.
Der zweite DC steht im Keller und ist gefühlte 15 Jahre alt und ist seit dem Recovern des ersten DC ausgeschaltet. Dort wurde nur der Server installiert und alle Rollen wie beim ersten DC. AD, DNS und DHCP. Dann noch die AD vom ersten geholt und gut war es. Seit dem steht er unberührt im Keller. Alles was mit der Domäne und dem Netzwerk zu tun hatte lief über den ersten DC. Also FMSO alles über den ersten DC.
Ok. Zurück zum Problem.
Das mit der Autorative AD Wiederherstellung klingt recht kompliziert was man im Netz so ließt. Denke ich setze den gesamten Server neu auf. Schade das man nicht irgendwie die AD mit "Gewalt" entfernen kann. Oder würdest du probieren den zweiten AD erstmal ans Netzwerk zu hängen? Was spielt beim holen der AD beim zweiten DC eine Rolle außer das Datum?
Der zweite DC steht im Keller und ist gefühlte 15 Jahre alt und ist seit dem Recovern des ersten DC ausgeschaltet. Dort wurde nur der Server installiert und alle Rollen wie beim ersten DC. AD, DNS und DHCP. Dann noch die AD vom ersten geholt und gut war es. Seit dem steht er unberührt im Keller. Alles was mit der Domäne und dem Netzwerk zu tun hatte lief über den ersten DC. Also FMSO alles über den ersten DC.
Ok. Zurück zum Problem.
Das mit der Autorative AD Wiederherstellung klingt recht kompliziert was man im Netz so ließt. Denke ich setze den gesamten Server neu auf. Schade das man nicht irgendwie die AD mit "Gewalt" entfernen kann. Oder würdest du probieren den zweiten AD erstmal ans Netzwerk zu hängen? Was spielt beim holen der AD beim zweiten DC eine Rolle außer das Datum?
Guten Abend,
den Namen der Software habe ich entfernt. Verstößt gegen die Passwortregel im Forum.
Grüße,
Dani
den Namen der Software habe ich entfernt. Verstößt gegen die Passwortregel im Forum.
Denke ich setze den gesamten Server neu auf. Schade das man nicht irgendwie die AD mit "Gewalt" entfernen kann
Meta Cleanup hilft dir. Wir haben neulich durch einen Bug in VMWare einen DC verloren. Maschine gelöscht, Meta Cleanup durchgeführt, DC neu installiert und wieder in die Domäne aufgenommen.Was spielt beim holen der AD beim zweiten DC eine Rolle außer das Datum?
Die Transkationsnummern des ADs passen unter umständen nicht mehr zu anderen DCs (USN Rollback).Grüße,
Dani
Ok, Das sieht gut aus. Dank dir.
Da die AD ja nicht defekt war sondern nur eine Einstellung hatte welche ich nicht wollte würdest du den zweiten DC direkt ans Netz hängen oder mittels Meta Cleanup behandeln?
Da die AD ja nicht defekt war sondern nur eine Einstellung hatte welche ich nicht wollte würdest du den zweiten DC direkt ans Netz hängen oder mittels Meta Cleanup behandeln?
Hallo,
wenn man mit GPO rumspielt, sollte man wissen was man macht, vor allem wen man an den Administrationskonten rumspielt.
Du hättestz z.B. deine faq Änderungen entfernen können und dann mit einer GPO für Eingeschrängte Gruppen den domänenadministrator der lokalen Gruppe der Administratoren hinzufügen sollen.
Durch deine Änderung, wie auch immer die aussahen, hast Du vermutlich ähnliches gemacht und vergessen, das beim verwenden der Eingeschrängten Gruppen GPO alle Einstellungen der Gruppenmitgliedschaften der behandelten Gruppe überschrieben werden.
Und dann hättest Du als Admin nach einem ziehen der GPO auf den Clients auch wieder als Domänenadmin Adminrechte.
Das der zweite DC deinen ersten "lahmlegt" ist, weil der ein GPO Objckt hat das deine FAQ Einstellungen hat, dieses hat de zurückgesetzte nicht und will genau dieses haben, weil er es nicht hat, also wird das repliziert und die Clients holen sich per Gpupdate deine ich will keine Admins mehr Einstellungen.
Gruß
Chonta
wenn man mit GPO rumspielt, sollte man wissen was man macht, vor allem wen man an den Administrationskonten rumspielt.
Du hättestz z.B. deine faq Änderungen entfernen können und dann mit einer GPO für Eingeschrängte Gruppen den domänenadministrator der lokalen Gruppe der Administratoren hinzufügen sollen.
Durch deine Änderung, wie auch immer die aussahen, hast Du vermutlich ähnliches gemacht und vergessen, das beim verwenden der Eingeschrängten Gruppen GPO alle Einstellungen der Gruppenmitgliedschaften der behandelten Gruppe überschrieben werden.
Und dann hättest Du als Admin nach einem ziehen der GPO auf den Clients auch wieder als Domänenadmin Adminrechte.
Das der zweite DC deinen ersten "lahmlegt" ist, weil der ein GPO Objckt hat das deine FAQ Einstellungen hat, dieses hat de zurückgesetzte nicht und will genau dieses haben, weil er es nicht hat, also wird das repliziert und die Clients holen sich per Gpupdate deine ich will keine Admins mehr Einstellungen.
Gruß
Chonta
