none
Domänencontroller in VM exportieren, löschen und dann wieder importieren RRS feed

  • Frage

  • Wenn ich nur ein DC habe ist es wohl kein Problem den zu exportieren, dann irgendwann die VM zu löschen und wieder zu importieren.

    Dachte das dies bei zwei DCs auch kein Problem ist, wenn beide ausgeschaltet werden, exportiert und dann wieder importiert werden. Pustekuchen... Da fehlte dann am DC der alle FSMO-Rollen hatte SYSVOL und NETLOGON.

    Hab ich vor einigen Tagen hier nachgefragt:

    https://social.technet.microsoft.com/Forums/de-DE/adacfeba-a616-41fb-9f53-53da398f02ff/zwei-domnencontroller-aus-produktivnetz-in-testnetz-berfhren-sysvol-und-netlogon-fehlen?forum=active_directoryde

    Leider bisher ohne Antwort.

    Gibt es eine Möglichkeit oder Trick das dies nicht passiert? Kann ja mal in der Zukunft sein das ein Hyper-V Server defekt ist und man dann umziehen muss. Okay, vielleicht erkennt ja der DC dann den anderen DC der auf einem anderen Hyper-V Server läuft und startet mit SYSVOL und NETLOGON.

    Erklärung, Artikel usw. wäre hilfreich, will mich mal für den Notfall gerüstet sein.

    Montag, 5. Oktober 2020 18:28

Alle Antworten

  • Moin,

    solange noch ein DC am Leben ist, werden weitere DCs nicht wiederhergestellt, sondern aus den Metadaten gelöscht (metadata cleanup) und einfach neu aufgebaut und repliziert. Falls ein gestorbener DC eine oder mehrere FSMO-Rollen inne hatte, kann und muss man sie "mit Gewalt" übertragen.

    Wenn Du nur einen DC hast, ist eine Sicherung per Export durchaus plausibel. Bei mehr als einem solltest Du denjenigen DC, der die FSMO-Rollen hält, mit einer geeigneten Backup-Software, zu Not Windows Server Backup, sichern.

    Ansonsten mal "forest restore" googlen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 5. Oktober 2020 19:30
  • Wenn beide DCs sauber beendet wurden und man diese dann exportiert sind die doch "am Leben" und in einem konsistenten Zustand.

    Ist es nicht Sinn einer Virtualisierung das man zwei VMs mit Domänencontroller von Hyper-V Server 1 exportiert und auf Hyper-V Server 2 wieder importieren darf bzw. sogar auf dem ursprünglichen Hyper-V Server wieder importiert?

    Ist doch übel wenn man mal den Hyper-V Server erneuern möchte, dort die ganzen VMs exportiert, Server ausschaltet, neuen Server nimmt und dann die VMs importiert und dann ganz dumm guckt weil der DC nicht startet.

    Hab jetzt nicht getestet ob man sicher ist, wenn der andere DC auf einem zweiten Hyper-V Server aktiv bleibt.

    Was lässt den nach einem Export wieder importierten DC glauben das da was gründlich schief gelaufen ist und stellt sein Dienst ein? Bei einem Import ist ja auch die Aktivierung noch vorhanden, sollte doch für den Client in der VM so aussehen als hätte sich nichts geändert. So direkt darf der DC ja auch nicht erfahren können das sich der Hyper-V Host geändert hat. Vielleicht sämtliche Integrationsdienste deaktivieren (Zeitsynchronisation sollte eh aus sein)? Bei der NIC die MAC-Adresse vorgeben und nicht dynamisch?

    Edit 05.10.2020 22:10 Uhr:

    https://social.technet.microsoft.com/Forums/de-DE/f67de730-6890-4f34-ac59-b1058b703e64/netlogon-freigabe-verschwunden?forum=active_directoryde

    Das ist wahrscheinlich das selbe "Problem". Wobei hier ja eine neue VM erzeugt wurde, da ist es logisch das die Aktivierung auch erneuert werden muss.

    Montag, 5. Oktober 2020 20:06
  • Nein, es ist der Sinn der Virtualisierung, dass man VMs ohne sie herunterzufahren auf einen anderen Host verschiebt.

    *Alle* DCs eines Forests im ausgeschalteten Zustand per Export und Import verschieben hat auch in meiner Praxis in 100% der Fälle einwandfrei funktioniert. Was immer da bei Dir schiefgelaufen ist, das liegt nicht in der Technologie selbst begründet, sondern in Deiner konkreten Implementierung.

    Es spielt bei modernen Betriebssystemen allerdings sehr wohl eine Rolle, *wie* Du den Import durchführst, sprich: ob Du die VM-ID beibehältst oder eine neue vergeben lässt. MAC-Adressen hingegen spielen keine Rolle. Daher ist mir Backup/Restore (mit einem unterstützten Programm) immer lieber als Export/Import.

    BTW: Ob die Aktivierung erhalten bleibt, hängt sehr davon ab, wie ähnlich die CPU des neuen Hosts der des alten ist.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 5. Oktober 2020 20:17
  • Hab mich jetzt mit der Firma verbunden und kopiere den Export von DC1 (der hält alle FSMO-Rollen) auf mein Windows 10 Pro auf die lokale Platte. Manchmal wünschte ich hätte ein 10G-Netzwerk und das NAS von dem aus ich jetzt kopiere wäre schneller. :-) Zum Testen sollte Hyper-V unter Windows 10 ja kein Problem darstellen, oder? Betriebssystem des DC1 ist Windows Server 2012 R2 und wurde vor einiger Zeit von Windows Server 2008 R2 auf 2012 R2 migriert. DC2 spiele ich nicht rein, der läuft unter Windows Server 2016 und wurde neu aufgesetzt.

    DC1 wird mit einem virtuellen Switch verbunden der keine Verbindung zum Produktivnetzwerk oder dem Host hat. D.h. der DC1 ist ganz alleine im Netzwerk. Netzwerk: 172.16.0.0/24.

    Hab dann beim Importieren "Virtuellen Computer direkt registrieren, vorhandene ID verwenden" gewählt. Dann ein Prüfpunkt gesetzt um nachher noch mal zum Anfang zurückkehren zu können.

    Nach Login fehlen die Freigaben SYSVOL und NETLOGON. Über Umkopieren und SysvolReady=1 das behoben.

    DC herunterfahren und wieder starten. Nach Login sind SYSVOL und NETLOGON da.

    DC wieder ausgeschaltet, Prüfpunkt gesetzt (damit ich da wieder zurück kann, um was zu testen) und jetzt die VM in ein anderes Verzeichnis exportiert. Wird ein wenig dauern...

    VM löschen und auch das Verzeichnis.

    Dann den vorherigen Import importieren: Virtuellen Computer direkt registrieren, vorhandene ID verwenden.

    Nach dem Starten der VM und Login fehlt wieder die Netzwerkfreigaben SYSVOL und NETLOGON. Über SysvolReady=1 sind die wieder da.

    Auch nach mehrmaligem Ausschalten, Einschalten und Login bleiben die Netzwerkfreigaben vorhanden.

    Montag, 5. Oktober 2020 21:21
  • Hallo ITProFromGermany,

    ist die Thematik abgeklärt?

    Wenn Dir die Tipps Dir weitergeholfen haben, markiere bitte die entsprechenden Beiträge, die zur Lösung geführt haben, als Antworten. Wenn Du eine andere Lösung gefunden hast, bitte teile sie der Community mit, sodass auch andere Benutzer davon profitieren können.

    Grüße,

    Mihaela 


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 30. Oktober 2020 07:55
    Moderator
  • Warum NETLOGON und SYSVOL weg sind, wenn ich beide DCs auf einem neuen Host importiere ist bisher ungeklärt. Ist nur ein DC vorhanden und der hat alle Betriebsrollen kein Problem.

    Denke mal Microsoft hat bei den DCs eine Erkennung dieser Situation eingebaut und diese starten dann erstmal ohne das AD und der Admin darf dann eingreifen?

    Wann das zum Tragen kommt interessiert mich weiterhin, mal sehen ob sich noch jemand meldet der das nachvollziehen kann.

    Freitag, 30. Oktober 2020 08:30