none
Domäne Controller war langzeit Offline was ist zu beachten ? RRS feed

  • Frage

  • Hallo,

    wie schon im Titel beschrieben frage ich mich ob es etwas spezielles zu beachten gibt wenn ein Domäne Controller nach ca 3 Monaten wieder eingeschaltet wird.

    Meine Vorgehensweise wäre:

    1. Domäne Controller einschalten und ins Netzwerk bringen.
    2. Unter Standorte und Dienste auf den "Wieder in Betrieb" genommen DC Klicken und auf "Konfiguration auf ausgewählten DC replizieren"

    gibt es ggf. noch etwas was ich vergessen habe ?

    Mfg
    Patrick

    Donnerstag, 14. Oktober 2010 14:02

Antworten

  • > Standort A = SRV1 W2K8 SP2 DC (Erster DC)

    OK, wenn also die Gesamtstruktur mit diesem DC installiert wurde, beträgt die TSL 180 Tage.

    > das mit den Tombstones wenn ich es richtig verstanden habe kann doch nur zum Problem werden wenn der SRV2 zu den
    > Anderen DCs Repliziert nicht wenn ich auf diesen Repliziere oder ?

    Wenn ein DC nicht mindestens einmal während der TSL mit seinen Replikationspartnern eine AD-Replikation durchführt, verweigern die Replikationspatner mit dem veralteten DC schlichtweg die AD-Replikation. Aber das scheint ja bei dir nicht der Fall zu sein. Daher hast du gute Karten, den DC wieder ins Netzwerk integrieren zu können. 

    Auch wenn die TSL abgelaufen wäre könnte man den veralteten DC wieder integrieren, aber das erfordert zum einen, einen hohen administrativen Aufwand und zum anderen muss man wie immer in der IT, sich mit der Materie auskennen. Wie das funktionieren könnte, erfährst du hier:

    [LDAP://Yusufs.Directory.Blog/ - Lingering Objects (veraltete Objekte)]
    http://blog.dikmenoglu.de/Lingering+Objects+Veraltete+Objekte.aspx

    Viele Admins tuen sich aber einfacher und sind schneller, wenn sie den veralteten DC gewaltsam aus dem AD entfernen und neu hinzufügen.

    > ansonsten würde ich ggf. den DCs "Unsanft entfernen" da ja dcpromo wohl wegfällt.

    Genau, dann müsstest du auf dem DC das DCPROMO /FORCEREMOVAL ausführen um die AD-Informationen lokal vom DC zu entfernen und anschließend die Metadaten des AD bereinigen. Das alleinige Ausführen von DCPROMO zum Herunterstufen des DCs ist nicht möglich, da dazu der herunterzustufende DC sich ordnungsgemäß in der Domäne befinden muss, was bei einem veralteten DC nicht mehr der Fall wäre.

    [LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
    http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfernen.aspx

    [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
    http://blog.dikmenoglu.de/PermaLink,guid,63ce9507-2f65-4b3f-8709-1b21853167b3.aspx

    > "Generell habe ich zu diesem Thema kein Artikel gefunden wenn es hierzu Informationen in irgendeiner form gibt
    > wäre ich sehr dankbar und würde mir erstmal alles durchlesen und dann schauen ob noch fragen offen sind"

    Ich hoffe die Links in dieser Antwort von mir genügen fürs erste.

    Wie bereits geschrieben, im Idealfall verbindest du den DC mit dem Netzwerk und die AD-Replikation funktioniert. Falls nicht, hilft ein Blick ins Eventlog. ;-)


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    • Als Antwort markiert Patrick Kay Freitag, 15. Oktober 2010 06:01
    Donnerstag, 14. Oktober 2010 16:53
    Moderator

Alle Antworten

  • Servus,

    > wie schon im Titel beschrieben frage ich mich ob es etwas spezielles zu beachten gibt wenn ein Domäne Controller nach ca 3 Monaten wieder eingeschaltet wird.

    das kommt auf deine Tombstone-Lifetime an.

    [LDAP://Yusufs.Directory.Blog/ - Die Tombstone Lifetime]
    http://blog.dikmenoglu.de/Die+Tombstone+Lifetime.aspx

    > gibt es ggf. noch etwas was ich vergessen habe ?

    Nicht so schnell! Erzähl erst einmal mehr über deine Umgebung. Vor allem, unter welchem Serverbetriebssystem mit welchem Service Pack wurde der allererste DC, mit dem die Gesamtstruktur erstellt wurde, installiert?


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 14. Oktober 2010 14:10
    Moderator
  • Hallo Yusuf,

    Danke für die sehr schnelle Antwort!

    Standort A = SRV1 W2K8 SP2 DC (Erster DC)
                      SRV2 W2K8 SP2 DC (Langezeit aus)

    Standort B = SRV3 W2K8 SP2 DC

    Standorte und Dienste zwecks Replikation sind eingerichtet (Standort A <-> Standort B)

    das mit den Tombstones wenn ich es richtig verstanden habe kann doch nur zum Problem werden wenn der SRV2 zu den Anderen DCs Repliziert nicht wenn ich auf diesen Repliziere oder ? ansonsten würde ich ggf. den DCs "Unsanft entfernen" da ja dcpromo wohl wegfällt.

    "Generell habe ich zu diesem Thema kein Artikel gefunden wenn es hierzu Informationen in irgendeiner form gibt wäre ich sehr dankbar und würde mir erstmal alles durchlesen und dann schauen ob noch fragen offen sind"

    Danke
    Gruß
    Patrick

    Donnerstag, 14. Oktober 2010 15:12
  • > Standort A = SRV1 W2K8 SP2 DC (Erster DC)

    OK, wenn also die Gesamtstruktur mit diesem DC installiert wurde, beträgt die TSL 180 Tage.

    > das mit den Tombstones wenn ich es richtig verstanden habe kann doch nur zum Problem werden wenn der SRV2 zu den
    > Anderen DCs Repliziert nicht wenn ich auf diesen Repliziere oder ?

    Wenn ein DC nicht mindestens einmal während der TSL mit seinen Replikationspartnern eine AD-Replikation durchführt, verweigern die Replikationspatner mit dem veralteten DC schlichtweg die AD-Replikation. Aber das scheint ja bei dir nicht der Fall zu sein. Daher hast du gute Karten, den DC wieder ins Netzwerk integrieren zu können. 

    Auch wenn die TSL abgelaufen wäre könnte man den veralteten DC wieder integrieren, aber das erfordert zum einen, einen hohen administrativen Aufwand und zum anderen muss man wie immer in der IT, sich mit der Materie auskennen. Wie das funktionieren könnte, erfährst du hier:

    [LDAP://Yusufs.Directory.Blog/ - Lingering Objects (veraltete Objekte)]
    http://blog.dikmenoglu.de/Lingering+Objects+Veraltete+Objekte.aspx

    Viele Admins tuen sich aber einfacher und sind schneller, wenn sie den veralteten DC gewaltsam aus dem AD entfernen und neu hinzufügen.

    > ansonsten würde ich ggf. den DCs "Unsanft entfernen" da ja dcpromo wohl wegfällt.

    Genau, dann müsstest du auf dem DC das DCPROMO /FORCEREMOVAL ausführen um die AD-Informationen lokal vom DC zu entfernen und anschließend die Metadaten des AD bereinigen. Das alleinige Ausführen von DCPROMO zum Herunterstufen des DCs ist nicht möglich, da dazu der herunterzustufende DC sich ordnungsgemäß in der Domäne befinden muss, was bei einem veralteten DC nicht mehr der Fall wäre.

    [LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC entfernen]
    http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfernen.aspx

    [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
    http://blog.dikmenoglu.de/PermaLink,guid,63ce9507-2f65-4b3f-8709-1b21853167b3.aspx

    > "Generell habe ich zu diesem Thema kein Artikel gefunden wenn es hierzu Informationen in irgendeiner form gibt
    > wäre ich sehr dankbar und würde mir erstmal alles durchlesen und dann schauen ob noch fragen offen sind"

    Ich hoffe die Links in dieser Antwort von mir genügen fürs erste.

    Wie bereits geschrieben, im Idealfall verbindest du den DC mit dem Netzwerk und die AD-Replikation funktioniert. Falls nicht, hilft ein Blick ins Eventlog. ;-)


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    • Als Antwort markiert Patrick Kay Freitag, 15. Oktober 2010 06:01
    Donnerstag, 14. Oktober 2010 16:53
    Moderator
  • Vielen Dank alles geklärt!
    Freitag, 15. Oktober 2010 06:05
  • You are welcome!

    Wünsche ein schönes Wochenende.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Freitag, 15. Oktober 2010 07:33
    Moderator