Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nicht autorisierende Active Directory Wiederherstellung auf zusätzlichem Domain-Controller mit Exchange 2010

Frage Microsoft Windows Server

Mitglied: emjott

emjott (Level 2) - Jetzt verbinden

02.10.2012, aktualisiert 22:33 Uhr, 3817 Aufrufe, 6 Kommentare

Hallo,

mir fällt gerade ein massiver Designfehler auf die Füsse. Die Situation ist wie folgt:
- Server 1 (Windows 2003 SBS): AD, DNS, DHCP, Exchange deaktiviert
- Server 2 (Windows 2008 R2): zusätzlicher DC, Exchange 2010

Ein Blick zurück:
Der Server 1 wurde zuletzt Virtualisiert und der Server 2 komplett neu auf dem Virtualisierungsserver installiert.
Anschließend hatten wir den Exchange 2003 vom Server 1 zum Exchange 2010 des Servers 2 migriert. Vor etwa zwei Monaten wurde der Server 2 auf ein weiteres Virtualisierungssystem verschoben (Backup/Recovery über VMWare Backupsoftware).
Alles lief soweit ganz gut, doch seit gestern gibt es einige Probleme. Meine Analyse ergab, dass durch das Verschieben des Servers 2 ein USN-Rollback aufgetreten ist und sich dadurch der Server 2 nicht mehr repliziert.

Um nun das Problem des USB-Rollbacks auf dem Server 2 zu beheben, muss ich ihn herabstufen und erneut zum DC heraufstufen. Dummerweise müsste ich dazu den Exchange 2010 der auf dem Server 2 läuft komplett deinstallieren, was ich gerne umgehen möchte.

Könnte ich das Problem umgehen, in dem ich eine nicht-autorisierte Wiederherstellung der Domäne auf dem Server 2 durchführe?

Hier noch ein paar Links:
- http://www.faq-o-matic.net/2011/02/28/darf-man-einen-domnencontroller-v ...
- http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensiche ...
- http://daily-it.blogspot.de/2006/12/demote-domain-controller-running.ht ...
- http://support.microsoft.com/kb/875495/en-us
- http://www.frickelsoft.net/blog/?p=148 (What Is The InvocationID?)
- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung

Vielen Dank im Voraus
Mitglied: GuentherH
02.10.2012 um 13:17 Uhr
Hallo.

dass durch das Verschieben des Servers 2 ein USN-Rollback aufgetreten ist und sich dadurch der Server 2 nicht mehr repliziert.

Also durch Verschieben eines Server tritt das USN-Rollbackproblem nicht auf. Da muss schon etwas anderes geschehen sein. Restore aus einem Image ect.

Was wurde also genau gemacht. Und nein, ein demoten eines DC mit installiertem Exchange wird ziemlich sicher in die Hose gehen.

LG Günther
Bitte warten ..
Mitglied: emjott
02.10.2012 um 13:36 Uhr
Hallo Günther,

meine Kollegen hatten den Server 2 auf dem einem Virtualisierungsserver mit "PHD - Backup für VMWare" gesichert und ebenfalls darüber den Server 2 auf dem neuen Virtualisierungsserver wiederhergestellt. PHD arbeitet mit Images. Da mein Kollege nicht da ist, kann ich nicht fragen, ob der Server 2 während der Wiederherstellung auf dem alten Virtualisierungsserver weiterlief oder nicht.

Gibt es noch eine Möglichkeit, auf dem Server 2 eine neue Invocation ID zu erzeugen? Im Netz steht, dass einige Backupprogramme dies bei der Wiederherstellung des Systemstatus automatisch eine neue Invocation ID erzeugen.
Bitte warten ..
Mitglied: emjott
02.10.2012 um 14:07 Uhr
Ich habe einen wirklichen guten Beitrag gefunden, der meine Idee mit einem Systemstate-Recover bestärkt.
- http://www.mbormann.de/default.htm?/tips/USN-Rollback-ausgehebelt.htm
- Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" starten
- regedit
- HKLM\System\CCS\Services\NTDS\Parameters
- "Database restored from backup" Wert=1
- Server neustarten
- mit repadmin /showreps die invocationID prüfen

Das ganze werde ich heute Abend mal ausprobieren und euch das Ergebnis wissen lassen. Vorher werde ich den Server mit Backup Exec sichern
Bitte warten ..
Mitglied: GuentherH
02.10.2012 um 14:29 Uhr
Hallo.

PHD arbeitet mit Images

Gut meine Vermutung stimmte also. Und jetzt weißt du auch, warum Images nicht als Backup taugen.

LG Günther
Bitte warten ..
Mitglied: emjott
02.10.2012 um 20:52 Uhr
Yapp...das habe ich nun an einem praktischen Beispiel erfahren.
Bitte warten ..
Mitglied: emjott
02.10.2012, aktualisiert um 22:33 Uhr
So, endlich geschafft. Hier die Lösung:

Server 2 im Modus "Verzeichnisdienstwiederherstellung Domänencontroller" gestartet
- regedit
- HKLM\System\CurentControlSet\Services\NTDS\Parameters
- "Database restored from backup" Wert auf 1 setzen
- Schlüssel „Dsa Not Writable“ mit wenn Wert dword:00000004 komplett löschen
- Server neustarten
- Logfile "Directory Service", Microsoft-Windows-ActiveDirectory_DomainService, Ereignis-ID: 1394
"Alle Probleme, die Aktualisierungen der Active Directory-Domänendienste-Datenbank verhinderten, wurden behoben. Neue Aktualisierungen der Active Directory-Domänendienste-Datenbank sind erfolgreich. Der Netzwerkanmeldedienst wird neu gestartet."

Problem behoben. Der Dienst "Anmeldedienst" ist ebenfalls automatisch beim Serverneustart gestartet!

- http://adfordummiez.com/?p=48 (USN-rollback) Die NOTLösung
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Location Parameter Active Directory Domain Controller 2012 (4)

Frage von dcdave zum Thema Windows Server ...

Windows Server
gelöst Domain Controller Wiederherstellung mittels Veeam (9)

Frage von agowa338 zum Thema Windows Server ...

Windows Server
gelöst Active Directory Domain Default User Profile (for Windows 8.1) (4)

Frage von adm2015 zum Thema Windows Server ...

Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...