none
Server plötzlich um ca. zwei Monate zurückgesetzt RRS feed

  • Allgemeine Diskussion

  • Hallo

    Heute hatte ich eine äusserst skurrile Situation mit einem 2008 R2 Kundenserver den wir nicht selber eingerichtet haben, sondern erst vor kurzem "geerbt" im Hinblick auf einen baldigen Ersatz durch neuen Server & aktuelles Server-OS. (Die Firma/Person welche den Server seinerzeit eingerichtet hat ist nicht mehr greifbar.)

    Der Hilferuf des Kunden ereilte mich am mittleren Nachmittag und lautete so:

    "Bis heute Mittag lief in unserer ERP-Software alles normal. Als ich nach dem Mittagessen weiterarbeiten wollte habe ich festgestellt, dass sämtliche Daten der letzten zwei Monate aus dem ERP verschwunden sind. Der Anbieter der ERP-Software hat eine Fernwartung gemacht und kann sich dies auch nicht erklären. Er hat nach einem BackUp gefragt, deswegen rufen wir jetzt an."

    Also mache ich ebenfalls eine Fernwartung auf den Server und stelle fest:

    Die ganze Kiste befindet sich auf dem Stand von Anfang Juni!

    Nicht nur die ERP-Software. Alles. Beispielsweise das Verzeichnis in dem ein tägliches BackUp der Datenbank geschrieben wird bevor wir es von dort wegbackuppen.

    Oder auch die Windows-Ereignisanzeige: Dort klaffte eine 2,5-Monatige Lücke zwischen dem Abend des 5.6. und heute Mittag, 12:50.

    Kurzum: Es sieht danach aus, wie wenn die Kiste heute Mittag zwischen 12 und 13 Uhr aus unerfindlichen Gründen eine komplette Systemwiederherstellung auf den Stand vom 5.6. gemacht hätte...

    Nur stellt sich mir hier die Frage, wie das überhaupt möglich gewesen sein soll. Zwar hängt an der Kiste tatsächlich noch eine externe HDD auf welche tägliche Vollsicherungen (mit der Windows Server Sicherung) gemacht werden, doch könnte man die m.E. aus der Ferne (mit WSS) gar nicht in einer solchen Vollständigkeit wiederherstellen, oder irre ich mich da?

    Einzig "plausible" Erklärung wäre daher auf den ersten Blick dass da zwischen 12 und 13 Uhr einer in den Serverraum marschiert ist, Windows RE gebooted hat und eine Recovery auf ein Abbild vom 5.6. durchgeführt hat... nur dass das eben auch nicht wirklich plausibel ist. (Zwar theoretisch denkbar, aber doch irgendwie sehr unwahrscheinlich...)

    Entweder bin ich total überarbeitet und blicke gar nicht mehr durch (wär nach dem pausenlosen Hochbetrieb dieses Jahr durchaus denkbar) oder das Ganze ist doch sehr mysteriös, oder?

    Bin gespannt auf eure Theorien.

    Donnerstag, 22. August 2019 19:44