yell-ing
Goto Top

AD Server Wiederherstellen in Redundanter Umgebung

Hi Zusammen,

wir haben bei uns im Unternehmen 2 HyperV VMs Windows Server 2008R2 mit Active Directory
Beide laufen redundant als Master Slave.
Heute ist es passiert, das der Master sich aufgehangen hat und beim Booten einen Bluescreen zeigt.

Stop: 0x00000007B (Verweist auf Speicherproblem)

Scheinbar ist die Installation beschädigt, da chkdsk und RAM Diagnose nichts finden können.
Das verschieben der VM auf einen anderen HyperV Host hat auch keine Änderung gebracht.

Meine Frage ist:
Wir haben mehrere Prüfpunkte und Backups des AD Master Servers. Wenn wir diesen wiederherstellen, wie verhalten sich dann die 2 AD Server untereinander (es fehlen ca. 1 Woche Daten was nicht viel ist, vielleicht 1-2 Accounts) Wird der Slave auf den stand des Master Servers zurückgesetzt und "löscht" den Fortschritt den der Master nicht hat oder übernimmt der Master die Daten des Slaves?

Gibt es vielleicht noch eine elegantere Lösung die mir gerade nicht einfällt?

Liebe Grüße
Yell-ing

Content-Key: 351858

Url: https://administrator.de/contentid/351858

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: niklasschaefer
niklasschaefer 16.10.2017 aktualisiert um 17:44:06 Uhr
Goto Top
Hallo,
Master und Slave gibt es so nicht mehr beide DC sind gleich gestellt. Einer hat nur die FSMO Rollen inne. Haben beide den GC inne? Ich würde eine neue VM aufsetzten diese einbinden und als DC hochstufen und den alten DC per Adsi-Edit rausschmeißen. Wäre der sauberste Weg den ich kenne.

Reperaturinstallation übers Boot-Medium ausgeführt?

Aber ich warte mal noch auf die Ideen der anderen
Mitglied: elix2k
Lösung elix2k 16.10.2017 um 18:24:37 Uhr
Goto Top
Wir machen das auch so. Überragen die FSMO Rollen an den sekundären DC und machen ihm zum primären DC, entfernen den defekten und installieren einen neuen DC. Beim wiederherstellen aus dem Backup kann glaube ich viel schief gehen. Das mache ich nur wenn beide DCs nicht mehr funktionieren.
Mitglied: emeriks
emeriks 17.10.2017 um 08:50:52 Uhr
Goto Top
Hi,
Meine Frage ist:
Wir haben mehrere Prüfpunkte und Backups des AD Master Servers. Wenn wir diesen wiederherstellen, wie verhalten sich dann die 2 AD Server untereinander (es fehlen ca. 1 Woche Daten was nicht viel ist, vielleicht 1-2 Accounts) Wird der Slave auf den stand des Master Servers zurückgesetzt und "löscht" den Fortschritt den der Master nicht hat oder übernimmt der Master die Daten des Slaves?
Der defekte DC wird sich anschließend ganz normal mit dem anderen DC abgleichen. Da verhält er sich dann genauso, als wäre er eine Woche ausgeschaltet gewesen.

E.
Mitglied: Yell-ing
Yell-ing 17.10.2017 um 14:40:45 Uhr
Goto Top
Hey,

erstmal danke für euer Feedback.
Also das wiederherstellen des DC hat nicht funktioniert. Nachdem der Server wieder lief gab es ewig viele Replikationsfehler. Fehler wie "Der Ziel-Principal Name ist falsch" verhinderten, dass die 2 DCs sich replizieren. Leider kann ich auch das FSMO nicht an den 2. noch funktionierenden DC übergeben. Die Fehlermeldung besagt, das keine Verbindung zum DC 2 aufgebaut werden kann. (Die Server können sich gegenseitig pingen, scheint eine Vertrauensfrage zu sein)

Ich würde den DC jetzt also aus der Domäne entfernen wollen, neuaufsetzen und wieder hinzufügen. Problem, der defekte DC hat die FSMO Rollen.

Ich war mir nicht mehr sicher ob beide DCs ein GC waren, über "ldp" zeigt er allerdings den Wert "isGlobalCatalogReady: TRUE; " an.
Es sind also beide GC

Kann ich den defekten DC einfach aus der Domäne über Adsi-Edit entfernen ohne die Rollen zu übertragen?

Liebe Grüße
Yell-ing
Mitglied: emeriks
emeriks 17.10.2017 aktualisiert um 15:13:37 Uhr
Goto Top
Ich würde den DC jetzt also aus der Domäne entfernen wollen, neuaufsetzen und wieder hinzufügen. Problem, der defekte DC hat die FSMO Rollen.
Das ist kein Problem.
Schalte den defekten DC aus. Nie wieder anschalten!
Geh auf den 2. DC mit den MMC drauf und übetrage ihm alle 5 FSMO. Wenn er meckert, sag: "ja mach!".
Mach ihn auch zum GC, falls noch nicht gegeben.
Warte 15 min

Der verbleibende DC ist auch DNS-Server?

Dann erstmal versuchen, einen weiteren, neuen DC in die Domänen zu promoten. Wenn dieser voll funktionstüchtig ist, dann erst fortsetzen.
Danach, oder wenn das Promoten eines weiteren DC wegen des fehlenden, defekten nicht gehen sollte (sollte aber nicht der Fall sein), dann den defekten DC "hart" aus der Domäne entfernen. Entweder mit NTDSUTIL, oder mittels der MMC. Anleitungen gibt es im Web zuhauf.

Der Name des defekten DC darf solange nicht wieder im AD auftauchen, bis er aus dem AD entfernt wurde und das alle verbleibenden DC kapiert haben!
Mitglied: elix2k
Lösung elix2k 17.10.2017 aktualisiert um 15:13:36 Uhr
Goto Top
So erzwingst du die Rollenübertragung:

In der Kommandozeile:

NTDSUTIL

roles

connections

connect to server (Name des Servers , der die Rolle(n) bekommen soll ohne .domain.de z.B. SERVER01)

quit

seize infrastructure master

seize naming master

seize pdc

seize rid master

seize schema master

netdom query fsmo
Mitglied: Yell-ing
Yell-ing 17.10.2017 um 16:13:52 Uhr
Goto Top
Hi,

über NTDSUTIL lassen sich die Rollen leider nicht übertragen. Gibt nur eine Fehlermeldung. (Wie auf dem Pic zu sehen)
Auch über die MMC kamen die gleichen Meldungen.

Ich bin online darauf gestoßen, das die UDP Paketgröße dafür zu groß sein könnte und es über TCP funktionieren soll.
https://social.technet.microsoft.com/Forums/en-US/87e69465-ab45-423b-935 ...
1
Mitglied: emeriks
emeriks 17.10.2017 um 16:17:45 Uhr
Goto Top
Ist der defekte DC ausgeschaltet? Und seine IP-Adresse hat kein anderes Gerät bekommen?
Mitglied: Yell-ing
Yell-ing 17.10.2017 um 16:20:22 Uhr
Goto Top
Ja er ist Offline und die IP ungenutzt.

Ich habe gerade festgestellt das die Übertragung trotzdem funktioniert hat.
Zumindest wenn ich netdom query fsmo eingeben zeigt er mir unter allen 5 Rollen jetzt den DC 2 an.
Ich hoffe das ist auch alles glatt gelaufen und hat nicht die Hälfte vergessen... :o
Mitglied: emeriks
emeriks 17.10.2017 um 16:31:49 Uhr
Goto Top
Ich hoffe das ist auch alles glatt gelaufen und hat nicht die Hälfte vergessen... :o
Sowas gibts nicht. Entweder ein DC ist für eine FSMO maßgebend oder nicht. Die Daten der FSMO sind jetzt sowieso von Null an neu aufgebaut worden, weil er ja die Rollen nicht übertragen konnte. Das betrifft aber auch bloß den RID-Master. Alle anderen Rollen sind doch bloß "Anker".
Mitglied: Yell-ing
Yell-ing 17.10.2017 um 20:15:09 Uhr
Goto Top
Also es hat soweit alles geklappt und DC1(defekt) ist nun aus der Domäne raus.
Ich werde nun eine neue VM aufsetzen und ihn zum neuen DC machen.

Ich gebe dann noch mal Feedback.

Danke für eure Hilfe!
Mitglied: Yell-ing
Yell-ing 20.10.2017 um 16:43:04 Uhr
Goto Top
Hi Leute,

also ich bin endlich dazu gekommen den DC neueinzurichten.
Nachdem der defekte DC überall entfernt wurde, habe ich einen neuen aufgesetzt und per dcpromo zum DC hochgestuft.
Mit der Replikation hat komplett alles funktioniert, keine Fehler oder sonstiges.
Der neue DC hat den Namen und die IP des alten. Auch das hat keine weiteren Probleme gebracht.

Viele Dank noch mal für eure Hilfe.

LG Yell-ing