Zum Inhalt springen

Win Server 2008 R2 Domain/AD/DNS-Problem


Empfohlene Beiträge

Geschrieben

Hallo allerseits,

ich habe hier eine etwas tricky Geschichte mit zwei Windows Servern 2008 R2 (im Folgenden nur: "Spiegelung" und "Ersatz").

Es gab dort wo ich bin am "PDC" (also dem ursprünglichen primären DC) einen Festplatten- oder Stromausfall (kann man jetzt auch nicht mehr nachvollziehen) und das Ende vom Lied war, dass nun der primäre DC, über den die Benutzeranmeldungen, Netzlaufwerkfreigaben und Skripte liefen, nicht mehr wiederherzustellen geht (Sicherung beschädigt, keine andere Sicherung vorhanden, es war kein RAID o. d. eingerichtet *kopfschüttel*).

Es existiert aber so etwas wie eine "Spiegelung", an der ich gerade dransitze. Nur das kann man keinen vollfunktionsfähigen DC nennen...

Auf "Spiegelung" ist ein AD mit Benutzern und Gruppen, es gibt eigene Gruppenrichtlinien und einen einfachen Dateiserver mit Freigaben sowie Zugriffsrechten für bestimmte Gruppen und Benutzer.

Es fehlt aber komischerweise der DNS-Server (warum, weiß ich nicht, kann ich jetzt auch nicht nachvollziehen, es gibt keine Doku).

Den DNS-Server kann man nun auf "Spiegelung" nicht einfach so als Rolle hinzufügen und die entsprechenden Zonen hinzufügen. Da bekomme ich nur die Meldung "... Es ist ein Serverfehler aufgetreten."

Es fehlen eben komplett die Sachen, die eigentlich angelegt werden, wenn man dcpromo.exe ausführt und dann den DNS-Server per Assistenten einrichtet (primäre Forward- und Reverse-Lookupzonen u. a.). Sprich: Die Domäne ist so über den alten DC nicht funktionsfähig.

"Ersatz" kann ich problemlos zum DC heraufstufen, die Domäne neu aufsetzen, wobei dann auch der DNS-Server sauber installiert wird und läuft. Habe auch schon mal einen PC aus einem anderen Raum erfolgreich als Mitglied in die Domäne hinzugefügt.

Folglich: "Spiegelung": AD mit eigenen Benutzern und Gruppen aber DNS kaputt; "Ersatz": AD ohne eigene Benutzer und Gruppen (nur die per default schon da waren), DNS OK.

Wie kriege ich den neuen Server so hin, dass alles wieder da ist, was vorher auf "PDC" da war?

Wollte mich an die von Microsoft empfohlene Herangehensweise der Migration über die Migrationstools heranwagen aber dafür müsste doch der DNS-Server funktionieren. Richtig?

Gibt es irgendwie doch noch eine Möglichkeit, den DNS-Server samt Einträgen auf "Spiegelung" sauber einzurichten?

Und als "Sahnehäupchen" dann einfach die Einstellungen auf "Ersatz" zu migrieren?

Wär euch ja sowas von dankbar für Tipps und Workarounds! :) Für Rückfragen stehe ich natürlich zur Verfügung.

Gruß (und entschuldigt bitte den langen Text),

Karol

Geschrieben
Wie ist die Spiegelung erstellt worden?

ohne ein dcdiag ist da schwer was zu sagen.

Die Spiegelung ist mit der Windows-Server-Sicherung erstellt worden. Allerdings ist da eher eine Spiegelung mit einem Vollbackup verwechselt worden, würde ich sagen. Bare-Metal-Recovery jede Nacht um 0:00 von einem auf ein Netzlaufwerk auf dem anderen Server.

Die vhd-Dateien vom defekten Server existieren noch und können mit einem entsprechenden Viewer eingesehen werden. Nur wird die Sicherung nicht erkannt, wenn man sie per Installations-CD versucht wiederherzustellen.

Soviel zur Sicherung.

Gesendet von meinem MB526 mit Tapatalk 2

Geschrieben
Bitte nicht mehr von PDC und BDC sprechen, das ist aus Zeiten von NT 4.0.

Seit W2K sind alle Domaincontroller gleichwertig, sie unterscheiden sich nur durch die FSMO-Rollen. Dein "PDC" hielt wohl alle FSMO-Rollen. Die sind nun im Eimer.

Somit musst du erst einmal einen Ersatzserver zum Träger der FSMO-Rollen machen.

Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms "Ntdsutil.exe"

OK, das wäre in dem Fall der Server "Ersatz". In dem Artikel steht, wenn ich mich nicht irre, dass der Server alle 5 FSMO-Rollen zugeteilt bekommt, sobald ich ihn per dcpromo.exe zum DC heraufstufe. Richtig?

Wie übertrage ich denn dann die fehlenden Einstellungen auf den DNS-Server des alten DC ("Spiegelung")?

Ich werde morgen nochmal an "Spiegelung" dcdiag ausführen und dann die Ausgabe hier posten, wenn euch das weiterhilft.

Ich weiß es zwar nicht mehr genau aber beim Punkt Connectivity wurde die Überprüfung mit einem Error unterbrochen. Im Ereignisprotokoll der Serverrolle habe ich auch 27 Fehler, die alle etwas mit fehlenden Forward- und Reverse-Lookupzonen sowie LDAP-Problemen zu tun haben. Eine Detailierte Auflistung kann ich aber erst morgen posten.

Gruß

K.

Geschrieben (bearbeitet)

Also bis auf die beiden alten, von denen einer jetzt defekt ist, gibt es keinen weiteren DC.

Es sei denn, du meinst als weiteren den neuen Server, der als einziger DC in Betrieb genommen werden soll?

Auf diesem sind momentan nur das OS komplett, alle Treiber und alle Updates sowie Patches installiert. Außerdem noch ein paar Management-Tools vom Hersteller.

Wir hatten diesen vorher schon zum DC heraufgestuft in der Hoffnung, dass es weniger Aufwand machen würde.

Gestern hatte ich ihn wieder herabgestuft, weil das in der Migrationsanleitung so steht. Das macht aber wohl momentan noch keinen Sinn, weil ja der DC, der migriert werden soll, nicht richtig funktioniert.

Bearbeitet von OsKarol
Geschrieben

Ich bekomme eine Gänsehaut unter den Fußnägeln.

Bitte ziehe als erstes nur die FSMO-Rollen gemäß des vom Chief erwähnten KB-Artikels um (ab Absatz "Übertragen von FSMO-Funktionen").

Danach nimmst Du den zweiten Server und machst ihn ASAP wieder zum DC.

(so verstehe ich zumindest Deine Beschreibungen bis hier, daß Du wenigstens noch einen funktionierenden DC hast)

Geschrieben (bearbeitet)

Hmm, ich komme bei der ganzen Sache etwas in Erklärungsnöte :D, muss ich zugeben.

Also, der DC, der noch da ist, funktioniert nicht richtig.

Zumindest sagen das einige Fehler bei der Rolle Active Directory Domänendienste. Gestern hatte ich dann sicherheitshalber nochmal den Stand von letzter Woche wiederhergestellt, also zu dem Zeitpunkt, bevor ich die DNS-Serverrolle hinzugefügt habe.

Die Fehler waren also vor dem Handanlegen bereits da.

Meine Theorie ist (und diese kann leider keiner bestätigen, weil der Ansprechpartner nie Hand an "Spiegelung" (s. oben) gelegt hat), dass "Spiegelung" nie als FSMO-Träger gelaufen ist.

Das kann ich aber erst morgen bestätigen, nachdem ich dcdiag ausgeführt habe und eine Ausgabe erhalte. Da sollte dann auch dabei stehen, ob die 5 FSMO-Rollen übertragen sind.

Wenn nicht, kann man die so einfach von einem frischen DC übertragen?

Bearbeitet von OsKarol
Geschrieben

Ohne Dir jetzt zu nahe treten zu wollen: hast Du eine Ahnung von dem was Du gerade tust?

Aus Deiner Antwort entnehme ich, daß Du den KB-Artikel auch noch nicht gelesen hast.

Deinen bisherigen (für mich nebulösen) Angaben zufolge, denke ich, daß Du genau zwei Optionen hast:

* einen externen, guten und vermutlich teueren Dienstleister hinzuholen

oder

* beten, einen zweiten Server als DC heraufstufen, die FSMOs mit ntdsutil umziehen, noch mal beten und dann hoffen, daß alles wieder funktioniert

Sonst sagt der Volksmund: "alles neu macht der Mai" ;-)

Geschrieben

Es ist auch schwer hier eine technisch qualifizierte Aussage zu treffen, da einfach nicht genügend Informationen vorliegen.

Du musst hier mal klipp und klar sagen wie viele !aktive! (funktionsfähige) DCs vor der Störung in Betrieb waren.

- Ist es nur der nun von der Störung betroffene Server (also der mit dem Plattendefekt)?

Wenn ja, dann stellt sich die Frage was genau der Server mit der "Spiegelung" für eine Funktion haben sollte und was genau dort wie gespiegelt wird... das liest sich für mich wie ein Versuch einen "Klon" des Systems zu schaffen um ein Hardwaredefekt abfedern zu können, der jedoch nie getestet wurde.

Falls der als "Spiegelung" aber tatsächlich ein in der AD aktiver DC ist, lässt sich über diesen sicher irgendwie noch etwas retten.

Was wir auch nicht wissen ist ... was für eine Umgebung hängt da hinten dran? Wie viele User/Computer und andere Systeme sind betroffen? Je nachdem kann eine grüne Wiese auch sinn machen und dir die Möglichkeit geben frisch zu starten und Altlasten los zu werden.

Ich kann mich hier Tiro nur anschließen, es ist keine gute Idee mal eben verschiedene Lösungen "einfach nur zu testen" und drauf los zu basteln. Meine Empfehlung würde auch dahin gehen einen Dienstleister als Unterstützung einzukaufen.

Bitte nimm das geschriebene nicht persönlich, das ist nur eine objektive Einschätzung aus dem hier geschriebenen.

Gruß

paper

Geschrieben
Ohne Dir jetzt zu nahe treten zu wollen: hast Du eine Ahnung von dem was Du gerade tust?

Aus Deiner Antwort entnehme ich, daß Du den KB-Artikel auch noch nicht gelesen hast.

Deinen bisherigen (für mich nebulösen) Angaben zufolge, denke ich, daß Du genau zwei Optionen hast:

* einen externen, guten und vermutlich teueren Dienstleister hinzuholen

oder

* beten, einen zweiten Server als DC heraufstufen, die FSMOs mit ntdsutil umziehen, noch mal beten und dann hoffen, daß alles wieder funktioniert

Sonst sagt der Volksmund: "alles neu macht der Mai" ;-)

Ich werde da jetzt auch nicht mehr irgendwas ausprobieren, was funktioniert, wenn man vorher alles richtig konfiguriert hat. Das hilft mir hier wohl nicht weiter und verzögert unnötig die ganze "Reparatur".

Es läuft auch darauf hinaus, dass der DC und die Domäne mit allem, was dazu gehört, neu aufgesetzt wird.

Um ehrlich zu sein, ist das mein erster ernsthafter Einsatz an einem Windows Server-System und ich wurde ins kalte Wasser geworfen.

Ich möchte aus Datenschutzgründen nicht zu viel verraten aber diese Infos darf ich sicher herausgeben:

- Ich mache zusammen in einem Team IT-Support an Schulen

- Normalerweise gibt es an den Schulen im Schulnetz (nicht im Verwaltungsnetz!) keine Domäne und alles ist extrem simpel und übersichtlich aufgebaut, damit es auch jeder DAU sowie wir vom Support auch noch nachvollziehen können. Außerdem muss es günstig und schnell einzurichten gehen.

Der Kunde ist also eine größere Schule mit mehreren hundert PCs und eigentlich sollte die Serverlösung mit Domäne, Benutzern und Gruppen mit verschiedenen Zugriffsrechten auf Freigaben die ganze Verwaltung vereinfachen. Derjenige, der vorher das alles eingerichtet und administriert hat, ist vor einigen Jahren in Rente gegangen. Und der Nachfolger hat leider keine Ahnung.

Die Situation mit dem DC ist nicht das einzige, was in der vorhandenen Infrastruktur schlecht durchdacht und nicht dokumentiert wurde. Darauf möchte ich jetzt aber nicht mehr eingehen, sondern muss nach vorne schauen.

Ich versuche mich auch ganz vorsichtig auszudrücken und alles erst einmal nachzulesen, bevor ich etwas mache oder hier etwas poste. Ich bin ja auch nicht ganz so doof, wie es vlt. dem ein oder anderen vorkommt. ;)

Im Grunde genommen habe ich noch gar nichts getan, außer eine Sicherung zu erstellen und jetzt, nachdem ich gelernt habe, dass die Idee, den DC, der noch läuft, "wiederzubeleben" "für die Füße" ist.

Es geht schließlich auch nicht darum, dass ich das Ding in der Zukunft administriere, sondern lediglich wieder zum Laufen kriege, damit die Lehrer und Schüler ihren "Klausurmodus" verwenden, ein paar Gruppenrichtlinien das Herumspielen an der Konfiguration auf den Computern verhindern und alle Gruppen oder Klassen auf ihre Datenablagen zugreifen können.

So war es vorher. Nur wie genau das eingerichtet und realisiert wurde, hat sich keiner aufgeschrieben. Das ist auch nicht mein Problem.

Da wir der Dienstleister für die Schulen sind, ist es auch unsere Aufgabe, das so zu richten, wie wir und die Ansprechpartner vor Ort es für richtig, also günstig und praktikabel halten.

Ich hoffe, das reicht euch als Informationen. Ich weiß jetzt auch ehrlich gesagt nicht, ob es noch Sinn macht euch hier noch weitere technische Details zur Verfügung zu stellen.

Aber auf jeden Fall danke ich euch für Eure Hilfe und die Ratschläge!

Gruß,

K.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...