117471
Goto Top

AD - gelöschte Exchange-Server wieder herstellen

Ich habe in meinem ActiveDirectory leider Gottes die Computerobjekte von zwei Exchange-Servern (virtuelle Maschinen) gelöscht und das erst 10 Tage später bemerkt.

Da ich parallel dazu gerade ein paar Backupprogramme evaluiere, gibt es kein funktionierendes Backup.

Die Computerobjekt konnte ich wieder herstellen (https://technet.microsoft.com/en-us/library/dd379509%28v=ws.10%29.aspx), ebenso die beiden bei HyperV üblichen darunterliegenden Einträge (CN=Windows Virtual Machine...)

Im AD werden die Computer auch wieder angezeigt, allerdings sind in den Eigenschaften alle Felder unter dem Reiter "Betriebssystem" leer.

Eine Anmeldung auf den virtuellen Maschinen funktioniert nach wie vor nicht. Als Fehlermeldung kommt: "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung".

Das ist wohl ziemlich eindeutig - die virtuelle Maschine wird nicht mit dem AD-Computerkonto assoziiert.

Da ich mir aber ziemlich sicher bin, dass korrekte Objekt wieder hergestellt zu haben wundere ich mich schon "irgendwie", warum das der Fall ist. Die GUID und die Sid haben sich ja leztendlich nicht geändert?!?


Wie bekomme ich das denn wieder geradegezupft?

1. Überlegung: Die VM "irgendwie" aus der Domäne kegeln und wieder in der Domäne hinzufügen. Das scheitert daran, dass:
  • der Domänenbeitritt die lokale Anmeldemöglichkeit deaktiviert
  • ich mich mit den Domänendaten zwar im abgesicherten Modus anmelden kann, dort aber nicht die Domäne verlassen kann

2. Überlegung: "Irgendwie" doch noch einmal überprüfen, ob GUID und Sid wirklich stimmen und diese via ldp.exe korrigieren
  • Ist das wirklich zielführend?
  • Wie bekomme ich die Daten im abgesicherten Modus ausgelesen

3. Überlegung: Die VM im abgesicherten Modus starten und via Offline-Domänenbeitritt noch einmal in die Domäne schubsen (laut https://technet.microsoft.com/de-de/library/offline-domain-join-djoin-st ... ist das auch auf bestehenden Konten möglich)
  • Funktioniert das auch im abgesicherten Modus

4. "Irgendwie" im abgesicherten Modus auf den VM die lokale Anmeldung reaktivien und die VMs dann sauber aus der Domäne heben
  • Dazu findet man recht wenig. Frei nach dem Motto: "Ich könnte es Dir sagen, die Richtlinien hier im Forum verbieten es aber..."

Content-Key: 300112

Url: https://administrator.de/contentid/300112

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: agowa338
agowa338 26.03.2016 aktualisiert um 02:48:51 Uhr
Goto Top
Habt ihr für 1. also die Deaktivierung der lokalen Anmeldung eine Richtlinie? Normalerweise muss für lokale Benutzer ja nur ".\" vor den Namen geschrieben werden.
Als nächstes hoffe ich, du hast zumindest jetzt ein funktionierendes Backup des fehlerhaften Zustands, bevor mit irgendwelchen Reparaturversuchen angefangen hast...

Abschließend ist es nicht gut, wenn du zuerst die VM aus der Domäne nimmst, weil hierbei das Computerkonto gelöscht wird, das kann funktionieren muss aber nicht, weil u. a. bei einem Rejoin die Sid erneut vergeben wird. Besser ist hier den Befehl "Reset-ComputerMachinePasswort" in einer Administrativen PowerShell auszuführen, damit z. B. die SID identisch bleibt.
Sollte hierbei ein Zugriff verweigert auftreten, sind folgende Parameter noch erforderlich:
Reset-ComputerMachinePassword -Server DC01 -Credential $(Get-Credential)

Sollte bei dir die lokale Anmeldung wirklich nicht möglich sein, gibt es ja immer noch den Umweg über die DaRT-CD zum Kennwort Zurücksetzen.

P. S. Ich liebe den Active Directory Papierkorb face-wink
Mitglied: 117471
117471 26.03.2016 um 08:27:02 Uhr
Goto Top
Mit .\Admimistrator erhalte ich die Fehlermeldung, dass die Zugangsdaten falsch sind.

Es existieren keine eigenen Richtlinien.

Das Reset-ComputerMachinePassword gegen den DC kann eigentlich nicht erfolgreich sein, da der Server ja jeden Kontakt mit der Domäne verweigert - oder?


Die Server brachial aus der Domäne zu reißen ist nur eine Idee. Vielleicht gibt es noch eine andere Möglichkeit?
Mitglied: 114757
114757 26.03.2016 um 08:58:47 Uhr
Goto Top
Zitat von @117471:
Das Reset-ComputerMachinePassword gegen den DC kann eigentlich nicht erfolgreich sein, da der Server ja jeden Kontakt mit der Domäne verweigert - oder?
Doch:
Theorie hinter Reset-ComputerMachinePassword

Gruß jodel32
Mitglied: 117471
117471 26.03.2016 um 09:09:18 Uhr
Goto Top
Nein, mit dem Befehl bin ich nicht weitergekommen. Ich habe jetzt aber ein anderes lokales Passwort setzen können: Abgesicherter Modus gebootet, mit Domänendaten angemeldet, Administrator in der lokalen Benutzerverwaltung angeklickt und neues Kennwort gesetzt.

Jetzt komme ich zumindest erst einmal wieder auf die Maschinen drauf.

Aus der Domäne komme ich aber trotzdem nicht raus: Auf der einen VM läuft eine Zertifizierungsstelle (...auf deren Inhalt ich gut und gerne verzichten kann, das war mal ein Test).

Ohne Verbindung zur Domäne bekomme ich die jedoch nicht entfernt (Eieruhr)...

Im Grunde genommen reicht es mir, die beiden Server noch einmal "sauber" in die Domäne zu bekommen damit ich das Exchange deinstallieren kann. Danach schmeiße ich die VMs und den Exchange weg und schwöre, dass ich die Rechnernamen nie wieder neu vergeben werde face-smile
Mitglied: 114757
114757 26.03.2016 aktualisiert um 09:20:52 Uhr
Goto Top
Wenn das Computerobjekt des Servers im AD existiert resette es mal in der MMC und zur Verwendung des PS CMDlets benötigst du lediglich lokale Adminrechte auf dem Server, die du ja jetzt wieder hast. Das muss funktionieren, ansonsten wurde noch mehr gelöscht bzw. nicht alles wiederhergestellt.
Ansonsten den Exchange manuell aus dem AD tilgen
Exchange 2013 aus dem Active Directory löschen
Mitglied: 117471
117471 26.03.2016 um 09:49:42 Uhr
Goto Top
Exchange 2010

Ich gucke mir das mal an und poste gerne nachher meine Erfahrungen face-smile
Mitglied: 117471
117471 26.03.2016 um 20:12:35 Uhr
Goto Top
Nachdem ich den Server erfolgreich aus dem AD entfernen und wieder ins AD eingefügt habe, habe ich die gleiche Fehlermeldung bekommen: "Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung".

Ich habe mich entschieden, das AD und die Exchange-Server aufzugeben.

Ist ja eh' nur ein Testnetz (gewesen).