none
Server 2012, DC, public network, VMWare RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    wir haben ein lästiges Phänomen mit unsere 2012R2 DC Server. Vielleicht hat das bereits jemand gelöst. Wir clonen täglich unsere beiden DC in der VMWare. Vor kurzem haben wir die beiden Clone in ein "internes Netz" gegeben und wollte sie hochfahren. Beide sind jedoch aus der Sicht von Windows in einem "public network" und lassen sich das nicht ausreden.

    NLA Dienst starten stoppen hilft nichts.

    Ich versteh ja, dass sich viele Fragen stellen könnten, aber die gleiche Vorgangsweise haben wir unter Windows 2008 bisher problemlos verwendet! 

    Chris

    Donnerstag, 6. Februar 2014 12:43
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 09.02.2014 09:25, schrieb chris__2012:

    In den letzten 8 Jahren hat sich im Bereich Virtualisierung extrem viel getan.

    Richtig. Aber die Art, wie DCs Daten replizieren und wie sie mit den USNs umgehen ist nie geändert worden.
    Wenn du deinen DC imaged, oder einen Snapshot erstellst, dann bekommt er das nicht mit. Er weiss nichts davon.

    Du must dir nur im Klaren sein, daß er als Restore für deine Produktiv Umgebung nur als SINGLE Server wieder ins Netzwerk gehen kann.
    Der Clone kennt weder Authoritative, noch Non-Authoritativ Restore.
    Er ist sich sicher, er war nie weg! Also wird er mit keinem anderen mehr synchron arbeiten, und die USNs abgleichen.

    MS selber geht mittlerweile davon aus, daß man pro Domäne immer nur einen DC wiederherstellen wird und alle anderen, die mal da waren entfernt und dann neue installiert. Da ist einfacher als 6 DCs zu restoren.

    Hyper-V 2012 R2 erlaubt Snapshots unter bestimmten Bedingungen, VMware jetzt auch, seit der neuesten Version, aber auch da gibt es eine Artikel auf faq-o-matic, den ich gerade nicht finde, wann das nicht geht.

    Snapshot/Cloning geht nur, wenn der DC das mitbekommt, sonst sind die USNs durcheinander.

    http://technet.microsoft.com/de-de/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx
    | Überlegungen zur Verwendung virtualisierter Domänencontroller
    | - Erstellen oder verwenden Sie keine Snapshots eines virtuellen
    | Domänencontrollers.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert -- Chris -- Montag, 24. Februar 2014 11:19
    Sonntag, 9. Februar 2014 13:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 11.02.2014 08:46, schrieb chris__2012:

    ich habe im google einige Hinweise gefunden, dass das Network anhand
    des Gateways erkannt wird.

    Jupp. In Vista war das ein richtiger Fehler, ein Vista Client ohne Gateway kann nicht in das AD integriert werden. Das Problem ist ab Win7 nicht mehr vorhanden. Die Erkennung/Definition/Widererkennung des Netzwerks bleibt aber eine Kombination von Subnetz und MAC Adresse des Gateways.

    Nur mal zum Test: Ändere mal die IP Adressen im Clone, ändert das was?
    Gut möglich, daß er sein "echtes" Netzwerk identifizieren will, aber es nicht kann, weil das ja nun mal nicht erreichbar ist.
    In der NetworkLocationAwareness ist es aber mit einer eindeutigen Kennung gespeichert.
    Ändere das Netz und es sollte ein neues werden, das dann auch erkannt wird. (So mein theoretischer Plan :-)

    *Zusatzfrage*: wie sag ich den dem einen funktionierden, dass der
    andere nicht mehr da ist?

    How to remove data in Active Directory after an unsuccessful domain controller demotion
    http://support.microsoft.com/kb/216498/en

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 24. Februar 2014 10:59
    • Als Antwort markiert -- Chris -- Montag, 24. Februar 2014 11:19
    Dienstag, 11. Februar 2014 11:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 10.02.2014 08:01, schrieb chris__2012:

    falls dir der Artikel noch unterkommt wäre sicher interessant.

    Wiedergefunden:

    http://www.faq-o-matic.net/2013/09/11/ist-active-directory-in-windows-server-2012-wirklich-virtualisierungsfest/

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert -- Chris -- Montag, 24. Februar 2014 11:19
    Donnerstag, 13. Februar 2014 15:56
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    • im Startbilschirm klicke auf Einstellungen/PC-Einstellungen ändern/Netzwerk/Verbindungen.
    • Klicke auf die Netzwerkverbindung, die Du ändern willst.
    • In Geräte und Inhalte suchen schaltest Du den Schalter auf "Ein".

    Ganz getreu der neuen Microsoft-Philosophie "Warum einfach, wenn's auch kompliziert geht." ...

    Bei den geclonten DCs hoffe ich, dass es sich nicht um eine produktive Umgebung handelt? Da gibt es viel zu viel, was man kaputtmachen kann, wenn die plötzlich in der realen Umgebung in Erscheinung treten!

    Viele Grüße
    Olaf

    Donnerstag, 6. Februar 2014 19:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Olaf

    danke für die rasche INFO. Leider komm ich mit den deutsch Einstellungen nicht klar. Kannst du mir bitte einen Screen shot schicken.

    Natürlich sind bei DC in einem eigenen isolierten LAN, so als würde man auf einer grünen Wiese beginnen. Daher ist es ja so unverständlich das es bei 2008 noch ging und bei 2012R2 nicht mehr.

    Meintest du diese Einstellungen?

    Chris

    Freitag, 7. Februar 2014 07:32
    |
  • Question
    Anmelden
    1
    Anmelden

    Nee - der Startscreen ist jener, welchen kein Administrator wirklich mag, einst als Metro bekannt.

    Bei Windows 8.1 sieht das in etwa gleich aus, deswegen hier nur ein Link zu einer entsprechenden Seite.

    Viele Grüße
    Olaf

    Freitag, 7. Februar 2014 15:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 06.02.2014 13:43, schrieb chris__2012:

    Wir clonen täglich unsere beiden DC in der VMWare.

    Das Konzept taugt nichts und funktioniert auch nicht. Cloning ist kein Backupersatz.
    Im Fehlerfall wirst du am Ende alle Clone bis auf einen wegwerfen und auf diesem alle anderen DCs per ntdsutil entfernen.
    Natürlich unter Verlust aller Änderungen, die auf den anderen DC schon stattgefunden haben.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 8. Februar 2014 09:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 08.02.2014 10:13, schrieb Mark Heitbrink [MVP]:

    Das Konzept taugt nichts und funktioniert auch nicht. Cloning ist kein Backupersatz.

    http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensicherung-taugen/

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 8. Februar 2014 09:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    danke für deine sehr interessante Info. Bitte nachfolgende Antwort nicht persönlich nehmen, sondern lediglich als Diskussionrude auffassen. Ich habe schon überlegt ob ich den Thread auf eine Diskussion ändere.

    Der Artikel ist interssant jedoch aus dem Jahr 2006. In den letzten 8 Jahren hat sich im Bereich Virtualisierung extrem viel getan. Sowohl bei VMWare als auch bei Mircorosoft. Inzwischen ist es kein Problem mehr eine Support bei MS aufzumachen, obwohl die Server auf einem VWMare laufen. Ich weiß nicht ob du die Möglichkeit hast, VMWare Server mit virtuellen MS Server in der Praxis zu testen. Es gibt dort Funktionen, die Server im Betrieb von einem Rechnenzentrum in ein anderes Rechenzentrum switchen lassen ohne das der User es im Betrieb merkt (geht lediglich 1 Ping verloren).

    Genau diese Technologie setzen wir täglich zusätzlich zu einem traditionellen Band Backup ein. Diese VMotion Switch Technik wird von vielen Unternehmen (auch für DC) weltweit seit ein paar Jahren problemlos verwendet.

    Und genau solle beiden Clones der DC haben wir in ein isolierten Netz gegeben hochgefahren, und in dem isolierten Netz findert der MS Server nun kein korrektes Netz sondern glaub er befindet sich im "Public Network", daher die Frage im Forum. Mir ist klar, dass dieser Clone nur genau den Stand zum Zeitpunkt des erstellens hat. User Passwörter und Maschinen Passwörter könnten daher ca. 6 Stunden alt sein. Aber grundsätzlich sollte der Clone funktionieren, da kein Unterschied zur zweiten Maschine im Ausweichrechenzentrum besteht und der DC lauffähig sein.

    Wir führen auch jährlich ein Katastrophen Übung durch, und bisher vom 2012R2 mit 2008R2 ging es problemlos.

    Trotzdem danke für deine ausführlichen Artikel und bitte nichts persönlich nehmen (soll lediglich als Diskussionsgrundlage dienen).

    Chris

    Sonntag, 9. Februar 2014 08:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 09.02.2014 09:25, schrieb chris__2012:

    In den letzten 8 Jahren hat sich im Bereich Virtualisierung extrem viel getan.

    Richtig. Aber die Art, wie DCs Daten replizieren und wie sie mit den USNs umgehen ist nie geändert worden.
    Wenn du deinen DC imaged, oder einen Snapshot erstellst, dann bekommt er das nicht mit. Er weiss nichts davon.

    Du must dir nur im Klaren sein, daß er als Restore für deine Produktiv Umgebung nur als SINGLE Server wieder ins Netzwerk gehen kann.
    Der Clone kennt weder Authoritative, noch Non-Authoritativ Restore.
    Er ist sich sicher, er war nie weg! Also wird er mit keinem anderen mehr synchron arbeiten, und die USNs abgleichen.

    MS selber geht mittlerweile davon aus, daß man pro Domäne immer nur einen DC wiederherstellen wird und alle anderen, die mal da waren entfernt und dann neue installiert. Da ist einfacher als 6 DCs zu restoren.

    Hyper-V 2012 R2 erlaubt Snapshots unter bestimmten Bedingungen, VMware jetzt auch, seit der neuesten Version, aber auch da gibt es eine Artikel auf faq-o-matic, den ich gerade nicht finde, wann das nicht geht.

    Snapshot/Cloning geht nur, wenn der DC das mitbekommt, sonst sind die USNs durcheinander.

    http://technet.microsoft.com/de-de/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx
    | Überlegungen zur Verwendung virtualisierter Domänencontroller
    | - Erstellen oder verwenden Sie keine Snapshots eines virtuellen
    | Domänencontrollers.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert -- Chris -- Montag, 24. Februar 2014 11:19
    Sonntag, 9. Februar 2014 13:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 06.02.2014 13:43, schrieb chris__2012:

    Beide sind jedoch aus der Sicht von Windows in einem "public network" und lassen sich das nicht ausreden.

    - Wie sind die DNS Konfigurationen auf den DCs?
    -haben sie noch eine 2te Netzwerkkarte?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Sonntag, 9. Februar 2014 13:26
    |
  • Question
    Anmelden
    0
    Anmelden

    ja DNS sind auf beiden DC (AD integriert) drauf

    • Hyper-V 2012 R2 erlaubt Snapshots unter bestimmten Bedingungen, VMware jetzt auch, seit der neuesten Version, aber auch da gibt es eine Artikel auf faq-o-matic, den ich gerade nicht finde, wann das nicht geht.

    falls dir der Artikel noch unterkommt wäre sicher interessant.

    Danke für die INFOs

    Chris

    Montag, 10. Februar 2014 07:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 10.02.2014 08:01, schrieb chris__2012:

    ja DNS sind auf beiden DC (AD integriert) drauf

    Wie "fragen" sie sich?
    - jeder sich selbst?
    - Kreuzweise
    - oder bei jedem derselbe Pri und Sec?

    Bei 2 DCs würde "kreuzweise" definieren, damit jeder C beim Starten jemanden fragen kann, der das AD kennt, bevor das eigene hochgefahren wird. Was aber nur klappt, wenn sie "nacheinander" mal hoch/runtergrfahren werden. (Normale Konstellation, für Wartungsfenster wie Windows Updates)

    Ansonsten bevorzuge ich eine klare Hirarchie, was aber auch historisch bedingt ist.

    Hat einer der DCs noch eine 2te Netzwerkkarte?

    Tsch
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 10. Februar 2014 15:09
    |
  • Question
    Anmelden
    0
    Anmelden

    DNS:

    Server 1: an erster Stelle der andere Server2 und an zweiter Stelle 127.0.0.1

    Server2: an erster Stelle der andere Server1 und an zweiter Stelle 127.0.0.1

    keine zweite Netzwerkkarte

    zusatzinfo: IP6 hatten wir einmal disabled, da bei uns im Unternehmen noch keine IP6 Struktur aufgebaut wurde. Das habe wir aber jetzt vor kurzem wieder enabled.

    IP wurde mittels Key zur Gänze disabled

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters]
    "DisabledComponents"=dword:ffffffff

    ich habe im google einige Hinweise gefunden, dass das Network anhand des Gateways erkannt wird. Unsere Netzwerke haben daher ein Netzwerk vorgegaugelt, hat aber auch nicht geholfen. MS Server glaubt er ist im Public Network. Eigenartig? Unabhängig von den DC Problem. Die Infos waren sehr hilfreich für uns. Wird werden sie in künftig Notfall Szenarien berücksichtigen und vermutlich auch nur noch einen DC wiederherstellen.

    Zusatzfrage: wie sag ich den dem einen funktionierden, dass der andere nicht mehr da ist? dcpromo am anderen geht ja nicht wenn er nicht restored wird.

    Size Rolle kenne ich, aber das wird ja nicht reichen. 

    ntdsutil roles connections "connect to server ntsad1" quit "Seize PDC" "Seize RID master" "Seize infrastructure master" "Seize naming master" "Seize schema master"

    Chris

    Dienstag, 11. Februar 2014 07:46
    |
  • Question
    Anmelden
    0
    Anmelden
     
    > *Zusatzfrage*: wie sag ich den dem einen funktionierden, dass der andere
    > nicht mehr da ist? dcpromo am anderen geht ja nicht wenn er nicht
    > restored wird.
     
    Suchst Du mal nach "Metadata cleanup" :)
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    • Als Antwort vorgeschlagen Alex Pitulice Montag, 24. Februar 2014 10:59
    Dienstag, 11. Februar 2014 10:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 11.02.2014 08:46, schrieb chris__2012:

    ich habe im google einige Hinweise gefunden, dass das Network anhand
    des Gateways erkannt wird.

    Jupp. In Vista war das ein richtiger Fehler, ein Vista Client ohne Gateway kann nicht in das AD integriert werden. Das Problem ist ab Win7 nicht mehr vorhanden. Die Erkennung/Definition/Widererkennung des Netzwerks bleibt aber eine Kombination von Subnetz und MAC Adresse des Gateways.

    Nur mal zum Test: Ändere mal die IP Adressen im Clone, ändert das was?
    Gut möglich, daß er sein "echtes" Netzwerk identifizieren will, aber es nicht kann, weil das ja nun mal nicht erreichbar ist.
    In der NetworkLocationAwareness ist es aber mit einer eindeutigen Kennung gespeichert.
    Ändere das Netz und es sollte ein neues werden, das dann auch erkannt wird. (So mein theoretischer Plan :-)

    *Zusatzfrage*: wie sag ich den dem einen funktionierden, dass der
    andere nicht mehr da ist?

    How to remove data in Active Directory after an unsuccessful domain controller demotion
    http://support.microsoft.com/kb/216498/en

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 24. Februar 2014 10:59
    • Als Antwort markiert -- Chris -- Montag, 24. Februar 2014 11:19
    Dienstag, 11. Februar 2014 11:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 10.02.2014 08:01, schrieb chris__2012:

    falls dir der Artikel noch unterkommt wäre sicher interessant.

    Wiedergefunden:

    http://www.faq-o-matic.net/2013/09/11/ist-active-directory-in-windows-server-2012-wirklich-virtualisierungsfest/

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert -- Chris -- Montag, 24. Februar 2014 11:19
    Donnerstag, 13. Februar 2014 15:56
    |