Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

GELÖST

Replikation einer defekten AD auf 2. DC

Mitglied: RAMbrand

RAMbrand (Level 1) - Jetzt verbinden

30.04.2007, aktualisiert 02.05.2007, 5771 Aufrufe, 4 Kommentare

Hallo,

wir haben von OS/2 auf Windows 2003 Serverumfeld umgestellt. Da wir noch Erfahrungen und Wissen hierzu sammeln, kommen immer wieder Fragen auf - vor allem von unserem Revisor für Datenschutz - auf die wir erstmal anhand der Dokumentation und Sekundärliteratur keine Antwort finden.

Hier ist nun das Thema Ausfallsicherheit der Domäne.

Wir setzen in unserem Netz ca. 40 Server ein, in einer Domäne. In der Domäne haben wir den DC und mehrere DCs als Backup.

Jetzt wurde darüber diskutiert, was passiert, wenn der Primary DC seine AD zerschiesst. Da er ja die AD mit den Backup-DCs repliziert, stellt sich hier die Frage, wie intelligent ist das Replikationsverfahren.

Erkennt es eine schadhafte AD? Wird immer die komplette AD repliziert, oder nur das Delta?

Wir wollen natürlich ausschliessen, dass eine defekte AD am Primary-DC uns die komplette Domäne abschiesst Ist nur die Frage, ist das mit den Boardmitteln von Win 2003 Standard gegeben?

Vielen Dank im voraus,

Markus Haupt
Mitglied: 45114
LÖSUNG 30.04.2007, aktualisiert 09.03.2014
Hallo Markus,
nun zum Thema Ausfallsicherheit Active Directory würde ich grundsätzlich mein primäres Augenmerk auf die Sicherung und Wiederherstellung des Active Directory richten da ein "zerschießen der Datenbank" im Normalbetrieb mehr als unwahrscheinlich ist.

Grundsätzliches zum Einstieg:
Das AD arbeitet nicht wie NT mit einer Single-Master sondern mit einer Multi-Master Replikation d.h. jeder Server der zum AD hochgestuft wurde hält eine Schreibbare kopie der Datenbank und repliziert änderungen an alle seine kollegen.
Ab Domänenfunktionsebene 2000 replizieren die Server nur änderungen - ab 2003 kamen nochmals verbesserungen in bezug auf Replikation des Globalen Katalogs.
Die Replikationsverbindungen werden automatisch generiert und müssen normalerweise nicht angepasst werden.

Die wahrscheinlichkeit dass eine Domänenauthentifizierung aufgrund einer "zerschossen" (es gibt eigentlich im normalen betrieb nur eine möglichkeit das das passiert: Sabotage mit Schema-Admin Rechten! (das AD von Server 2003 enthält x features die in kombination mit dem File Replication Service genau das verhindern sollen und können...)
Auch gibt es mechanismen die bei der replikation die itegrität der AD-Datenbank sicherstellen.

D.h. man sollte sich in erster Linie gedanken um den Restore von irrtümlicherweise gelöschten Objekten machen.
Fällt ein normaler DC (keine FSMO Rollen) aus irgendeinem Grund aus so ist es das allereinfachste einen neuen Server 2003 zum DC heraufzustufen und den alten nie wieder in Betrieb zu nehmen. Der neue Repliziert dann mit den noch vorhandenen Servern und alles ist wieder ok.

Fällt ein "primärer DC" (so bezeichne ich jetzt mal den / die Server der in deiner Domäne die FSMO Rollen hält) aus so muss zusätzlich auch noch die entsprechende Rolle (RID-master, infrastruktur master, pdc-emulator - in jeder einzelnen domäne der gesamtstruktur bzw schemamaster, domänennamensmaster nur einmal pro Domain tree) auf einen anderen DC übertragen werden. Das geht in den meisten fällen über die AD Gui tools.
In harten fällen ist das kommandozeilentool fsutil in der lage das verschieben einer rolle zu erzwingen und unabhängig von der funktionsfähigkeit des alten "Role-holders" die rolle einem noch funktionstüchtigen DC zuzuweisen. (Achtung - den alten nach so einer aktion nie wieder starten sonst krachts).
Dies bezeichnet man als non Authoritative Restore.

Werden mehrere Objekte aus dem AD mit entsprechender berechtigung fälschlicherweise gelöscht so ist (von einigen tools die über tombstone lifetime arbeiten und meist käuflich erworben werden müssen einmal abgesehen) meist ein sogenannter authoritative restore nötig der ebenfalls über das Tool fsutil möglich ist.
Dazu wird ein DC im "AD Repair mode" gebootet und eine Sicherung der Datenbank wieder eingespielt. Da nach dem neustart aber der zeitstempel der rücksicherung sofort dazu führen würde das die objekte wieder gelöscht werden werden die RID der objekte um 100000 nach oben gesetzt was dazu führt das die objekte nach einem normalen Start des DC wieder mit den Anderen repliziert werden.
ACHTUNG: Für die Sicherung würde ich das Win-Backupprogramm empfehlen. Es muss eine Systemstate sicherung gemacht werden. Es reicht nicht die datenbankdatei zu sichern!!!

Noch ein wichtiger hinweis: niemals ein image von dc's machen! Das wird in keinem fall ein brauchbares ergebnis bei einer rücksicherung liefern - führt nur zu vielen fehlermeldungen auf allen dcs....


Ich hoffe dir ein wenig geholfen zu haben....

Viele Grüße aus Nürnberg
Friedrich G.
Bitte warten ..
Mitglied: datasearch
LÖSUNG 30.04.2007, aktualisiert 09.03.2014
Wirklich sehr gut beschrieben. Allerdings sollte man ntdsutil nutzen

Was man vieleicht auch noch dazu schreiben könnte, die AD Datenbank ohne Schema-Rechte Strukturweit zu beschädigen ist normalerweise nicht möglich. Es kann aber zu ausfällen der Struktur kommen wenn zb. die DNS-Server ausfallen. Man sollte sehr großen Wert auf ein zuverlässiges DNS legen. Ein Ansatz ist die _msdcs.domain.... - Domain in einer extra AD-Partitionabzulegen. Diese kann mit den wichtigsten DC´s in der Domäne replizieren. Auf diesen Servern kannst du den DNS-Dienst zu Installieren und eine Auflösung der kritischen DNS-Records im fehlerfall sicherstellen. Dabei sollte man aber berücksichtigen das das wiederum Replikationstraffic verursacht wenn die Server ihre SVR Records aktualisieren.

Was man auch beachten sollte, das man mehr als nur einen Globalen Katalog im Netzwerk hat. Wenn kein GC mehr zur verfügung steht hast du ein Problem. Aber Achtung, die GC´s verursachen ziemlich viel Replikationstraffic. 2 GC´s bei sollten reichen. Ich verwende immer einen pro Standort und falls es nur einen Standort gibt, 2 Katalogserver an diesem.

Es gibt von MS auch ziemlich gute Papers wie man das AD ausfallsicher einrichten kann.
Bitte warten ..
Mitglied: 45114
02.05.2007 um 10:54 Uhr
@datasearch: danke! selbstverständlich ntdsutil... ;)

@all: sorry.
Bitte warten ..
Mitglied: RAMbrand
02.05.2007 um 11:01 Uhr
Danke an alle für die Info.

MfG,
Markus Haupt
Bitte warten ..
Ähnliche Inhalte
Windows Server
DC Replikation einseitig fehlerhaft
gelöst Frage von luklukWindows Server11 Kommentare

Hallo zusammen, ich habe 2 DCs mit je Windows Server 2008 an 2 getrennten Standorten, die per Punkt-zu-Punkt-Verbidndung miteinander ...

Windows Server
AD-Änderungen erst nach Replikation !?
gelöst Frage von RicoPausBWindows Server9 Kommentare

kurze angefragt Wenn ich am DC unserer Niederlassung Änderungen vornehme, wie z.B. Gruppenzugehörigkeiten oder Anpassungen an der GPO oder ...

DNS
Fehler bei der AD Replikation
Frage von Maik20DNS14 Kommentare

Hallo, ich experimentiere hier gerade mit meinen ersten "zweiten" DC. Ich habe beide anfang des Jahres eingerichtet und dann ...

Xenserver
Replikation 2 Xen Server?
Frage von Justin98Xenserver6 Kommentare

Ich habe einen XenServer aufgesetzt, mit mehreren Virtuellen Maschinen installiert. Um das Ausfalls Risiko nun zu Vermindern, möchte ich ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...