Defekten DC aus Backup wiederherstellen

Alle Antworten

• 

  

  0

  Anmelden

  Hi,

  DSRM - Directory Service Recovery Mode -> F8 beim Start

  Solange ein 2ter DC vorhanden ist stellt sich die Frage:
  MUSS genau dieser DC wieder hergestellt werden? Ja? Dann Recover
  Nein? Weg damit, einfach nen neuen isntallieren, den alten per
  ntdsutil metadata cleanup rauswerfen

  2003:
  Erst blanko installieren, dann DSRM, dann ntbackup systemstate restore

  2008:
  einfach von CD booten -> Recovern
  2008 ist per default immer non-auth. Bei 2008 muss man den auth
  restore manuell mit "ntdsutil restore subtree" selber initiieren.
  Per Default wird dann die Versionsnummer um 100000 erhöht.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  GPO Tool:    www.reg2xml.com - Registry Export File Converter
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Sonntag, 16. Januar 2011 18:22

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Servus,

  wenn mehrere DCs existieren, was der Fall sein sollte, würde ich einen "reinen" DC nicht wiederherstellen,
  sondern den defekten aus den Metadaten entfernen und einen neuen DC zur Domäne hinzufügen.

  [LDAP://Yusufs.Directory.Blog/ - Einen Server mit rücksichern des System State zum DC stufen]
  http://blog.dikmenoglu.de/Einen+Server+Mit+R%c3%bccksichern+Des+System+State+Zum+DC+Stufen.aspx

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Sonntag, 16. Januar 2011 18:29

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Salve,

  > 2008 ist per default immer non-auth. Bei 2008 muss man den auth
  > restore manuell mit "ntdsutil restore subtree" selber initiieren.
  > Per Default wird dann die Versionsnummer um 100000 erhöht.

  das ist aber schon seit Windows 2000 so.

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Sonntag, 16. Januar 2011 18:36

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hi,

  Am 16.01.2011 19:36, schrieb Yusuf Dikmenoglu [MVP]:

  das ist aber schon seit Windows 2000 so.

  In 2000/2003 kannst du aber das AuthRestore über ntbackup
  in der GUI definieren, im Gegensazt zu 2008.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  GPO Tool:    www.reg2xml.com - Registry Export File Converter
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Sonntag, 16. Januar 2011 19:23

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Servus,

  > Solange ein 2ter DC vorhanden ist stellt sich die Frage:
  > MUSS genau dieser DC wieder hergestellt werden? Ja? Dann Recover
  > Nein? Weg damit, einfach nen neuen isntallieren, den alten per
  > ntdsutil metadata cleanup rauswerfen

  Die Frage scheint berechtigt und wir haben sie uns kürzlich gestellt, nachdem ein W2K8r2 Server nach dem Einbau eines neues HBAs nur noch in die Wiederherstellungskonsole gebootet ist. Eine Onboard Sicherung mittels Windows Server Sicherung hatten wir nicht, letztlich hat dann die Option "Letzte als funktionierend bekannte Konfiguration" den Server nach dem Umbau wieder zum alten HBA doch noch zum Starten bewegen können BTW: Was bewirkt diese Option eigentlich? Es hat dieses mal zum ersten mal überhaupt funktioniert. Dieser Server war aber kein Domänen Controller aber diese Erfahrung hat uns doch dazu gebracht unser Backup Konzept zu überarbeiten. Wäre es in so einem Fall wirklich sinnvoll, den DC in die Tonne zu treten und einen neuen hochzuziehen? Mit all den Drumherum, DNS, WINS, ggf RootCA etc?

  > 2003:
  > Erst blanko installieren, dann DSRM, dann ntbackup systemstate restore

  Wie verhält sich das dann mit Computernamen und IP Adresse? Kann ich da für die "Blanko Installation" nehmen was kommt und wird das dann beim Einspielen des System-State auf die ursprünglichen Namen, IP-Adressen etc umgestellt? Werden mit dem System-State auch Dienste wie DNS, WINS, RootCA zurückgesichert? Bei dem von Yusuf geposteten Artikel scheint zwar das AD und eine ggf installierte RootCA im System-State enthalten zu sein aber DNS und WINS nicht. WINS wäre nicht so tragisch aber DNS stelle ich mir schon heikel vor. Wenn ich jetzt ein komplettes Backup des Systems habe, könnte ich mir damit nicht an der ein oder anderen Stelle eine Menge Ärger einsparen?

  > 2008:
  > einfach von CD booten -> Recovern
  > 2008 ist per default immer non-auth. Bei 2008 muss man den auth
  > restore manuell mit "ntdsutil restore subtree" selber initiieren.
  > Per Default wird dann die Versionsnummer um 100000 erhöht.

  Das klingt wohl nach dem, wie ich mir das vorstelle. Sehr schön. Die unter 2003 gepostete Variante wird sich in naher Zukunft eh in Luft auflösen, da derzeit die DCs auf 2008r2 aktualisiert werden. Aber nochmal zurück zum DNS. Dieser würde ja ebenfalls auf den Stand des Backups zurückfallen. Gibt es hier nicht das gleiche Problem wie mit dem Active Directory und der Aktualität der USN Sequenznummern? Hat DNS nicht einen ähnlichen Mechanismus um festzustellen, welcher DNS jetzt die aktuellsten Daten hat?

  Thx & Bye Tom

  Sonntag, 16. Januar 2011 19:56

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Servus,

  >[LDAP://Yusufs.Directory.Blog/ - Einen Server mit rücksichern des System State zum DC stufen]
  >http://blog.dikmenoglu.de/Einen+Server+Mit+R%c3%bccksichern+Des+System+State+Zum+DC+Stufen.aspx

  Ah, das hätt ich mal vorher lesen sollen. Sorry Mark und Asche auf mein Haupt, damit sind schon einige Fragen beantwortet. Dieser Artikel betrifft sowohl 2003 wie auch 2008r2 DCs? Mark hat erwähnt, dass 2008r2 DCs in der Recovery Konsole mit dem Einspielen des System-States automatisch nicht authoritativ hergestellt werden. Damit bezieht der Server doch automatisch die aktuellsten Daten von einem anderen DC auch wenn dein Artikel im Prinzip von einer Domäne mit nur einen Domänen Controller ausgeht?

  Wenn jetzt bei Server 2008r2 nicht nur der System-State sondern die gesamte Systempartition inklusive System-State wieder hergestellt wird, sollten dann doch die in deinem Artikel als fehlende Komponenten (AD MMC Snap-Ins, DNS, WINS etc) ebenfalls wieder zurückgesichert werden. Oder ist diese Vorgehensweise auch unter 2008r2 nicht zu empfehlen?

  Thx & Bye Tom

  Sonntag, 16. Januar 2011 20:09

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  Am 16.01.2011 20:56, schrieb Thomas Pronto Wildgruber:

  "Letzte als funktionierend bekannte Konfiguration" [...] BTW: Was
  bewirkt diese Option eigentlich?

  Das CurrentControlSet ist das ControlSet001. Es wird nur als CCS
  in der Reg gemapped, genau wie beim HKCU, der ja der HK_Users\SID ist.

  Ändert man die Konfig zB durch Treiber installation wird vorher
  ein Backup im ControlSet002 erstellt.
  Dieses läd er nun bei "Letze als
  bekannt ..."

  Unter NT4 war das wesentlich häufiger nötig, denn da waren die Treiber
  schon nah an "Müll".

  Wäre es in so einem Fall wirklich sinnvoll, den DC in die Tonne zu
  treten und einen neuen hochzuziehen? Mit all den Drumherum, DNS,
  WINS,

  Ja. Die Daten liegen doch eh im AD redundant.
   > ggf RootCA etc?

  CA ist ein Sonderfall, wenn du diese nicht extra aus der Zertstelle
  heraus gesichert hast, dann solltest du über Recover statt neu ganz
  massiv nachdenken.

  Wie verhält sich das dann mit Computernamen und IP Adresse?

  Warum ist es wohl der SYSTEMSTATUS mit allem drum und dran? ;-)

  Kann ich  da für die "Blanko Installation" nehmen was kommt

  Nein, nicht kann, sondern muss.
  Du wirst keinen Enterprise auf ner Standard herstellen können.

  und wird das dann  beim Einspielen des System-State auf die
  ursprünglichen Namen, IP-Adressen etc umgestellt?

  Noch wichtiger: die SID wird wiederhergestellt.

  Werden mit dem System-State auch Dienste wie DNS,

  DNS, ja. Der ist ja nicht weg, der bleibt ja mit allen Daten
  im AD auf dem anderen DC erhalten.

  WINS,

  nein

  RootCA zurückgesichert?

  Würde ich nicht wetten, sollte aber sein.

  Gibt es hier nicht das gleiche Problem wie mit dem Active Directory
  und der Aktualität der USN Sequenznummern?

  Tja, jetzt kannst du mal überlegen, wieso das Authoritativ oder
  Non-Authoritativ geschehen kann.

  Entweder bestimmt nun dein DC, wie alles ausieht, oder er akzeptiert
  alles, was die anderen ihm sagen.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  GPO Tool:    www.reg2xml.com - Registry Export File Converter
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  • Als Antwort markiert Yusuf DikmenogluModerator Samstag, 22. Januar 2011 12:47

  Sonntag, 16. Januar 2011 20:17

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > Dieser Artikel betrifft sowohl 2003 wie auch 2008r2 DCs?

  Ja, die Vorgehensweise ist die selbe. Lediglich das Backup Programm unterscheidet sich.
  Unter Windows Server 2003 rufst du NTBACKUP und unter Windows Server 2008 wbadmin auf.

  > Damit bezieht der Server doch automatisch die aktuellsten Daten von einem anderen DC auch wenn
  > dein Artikel im Prinzip von einer Domäne mit nur einen Domänen Controller ausgeht?

  Meinen Artikel kannst bei einem einzelnen DC und auch bei mehreren DCs anwenden. So oder so es sind die gleichen Schritte.
  Aber ja, wenn du einen DC mit einem System State rücksicherst und es existieren noch weitere DCs in der Domäne,
  repliziert sich der rückgesicherte DC die AD-Daten ab dem Zeitpunkt der System state Sicherung.
  Die System State Sicherung darf aber nicht älter als die Tombstone-Lifetime sein.

  > Wenn jetzt bei Server 2008r2 nicht nur der System-State sondern die gesamte Systempartition inklusive System-State wieder hergestellt wird, sollten dann > doch die in deinem Artikel als fehlende Komponenten (AD MMC Snap-Ins, DNS, WINS etc) ebenfalls wieder zurückgesichert werden. Oder ist diese
  > Vorgehensweise auch unter 2008r2 nicht zu empfehlen?

  Erstmal werden bei der System State Sicherung unter Windows Server 2008/R2, die gleichen Komponenten gesichert wie unter Windows Server 2003.
  Die MMCs sind nicht Bestandteil des System States. Unter 2008/R2 werden die AD MMCs mit dem installieren der AD DS Rolle installiert und da diese Rolle auch bei einem Restore zwingend notwendig ist, hast du das MMC "Problem" nicht.
  

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  • Als Antwort markiert Yusuf DikmenogluModerator Samstag, 22. Januar 2011 12:47

  Sonntag, 16. Januar 2011 20:36

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Servus,

  > Erstmal werden bei der System State Sicherung unter Windows Server 2008/R2, die gleichen Komponenten gesichert wie unter Windows Server 2003.
  > Die MMCs sind nicht Bestandteil des System States. Unter 2008/R2 werden die AD MMCs mit dem installieren der AD DS Rolle installiert und da diese Rolle auch bei einem >Restore zwingend notwendig ist, hast du das MMC "Problem" nicht.

  Okay, dem ganzen Thread kann ich nun entnehmen, dass es auch unter 2008r2 möglich ist (bzw. nicht empfehlenswert) den gesamten DC aus einem Backup wieder herzustellen. Ich dachte mir das ganze eigentlich recht simpel. Ich lege regelmäßige Bare-Metal Sicherungen an (welche neben dem System State auch noch das Systemlaufwerk beinhaltet) und stelle im Katastrophen Fall diese Sicherung und das AD nicht autoritativ wieder her. Aber es hat den Anschein, dass ich um eine reguläre Neuinstallation des Betriebssystems nicht drumherum komme.

  Thx & Bye Tom

  Sonntag, 16. Januar 2011 20:48

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

   

  Ne, so auch wieder nicht. Wenn du eine *supportete* Bare Metal Sicherung neben einer *supporteten* System State Sicherung durchführst, dann kannst du einen DC so auch wiederherstellen. Das wichtigste bei einem Restore eines DCs ist, dass das System State supportet rückgesichert wird. Denn das entscheidende ist die invocationId. Was es damit auf sich hat, steht hier:

  [LDAP://Yusufs.Directory.Blog/ - Zwei wichtige IDs eines DCs: DC GUID und InvocationId]
  http://blog.dikmenoglu.de/Zwei+Wichtige+IDs+Eines+DCs+DC+GUID+Und+InvocationId.aspx

  Dann repliziert der rückgesicherte DC ab dem Zeitpunkt der Sicherung, die aktuellen AD-Daten von den anderen DCs. Das funktioniert. Wenn diese Vorgehensweise deinem "Restore-Prozess" entspricht und wenn die Wiederherstellungszeit für dich ok ist, dann kannst du so verfahren.

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Sonntag, 16. Januar 2011 21:17

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Servus,

  > Ne, so auch wieder nicht. Wenn du eine *supportete* Bare Metal Sicherung neben einer *supporteten* System State Sicherung
  > durchführst, dann kannst du einen DC so auch wiederherstellen. Das wichtigste bei einem Restore eines DCs ist, dass das
  > System State supportet rückgesichert wird. Denn das entscheidende ist die invocationId. Was es damit auf sich hat, steht hier:

  Jupp, ich meinte mit den hier verwendeten Sicherungsmethoden ausschließlich die Microsoft Onboard Sicherungsmethoden wie ntbackup bei Server 2003 oder die neue Variante wbadmin in 2008r2 (ist das in der GUI die selbe Variante?) . Ich möchte unser Backup Konzept dahingehend erweitern, dass alle (Windows Server) Systeme mit den eigenen Mitteln gesichert werden, eben deshalb um komplizierten Wiederherstellungsprozessen mit Third Party Sicherungen aus den Weg zu gehen. Diese Variante sollte die normale Sicherung wie wir sie seit dem Mittelalter schon praktizieren, nicht ersetzen aber ich dachte damit als Ergänzung eben genau diese von Microsoft supporteten Sicherungen mit in das Gesamtkonzept zu integrieren. Da wir eben derzeit größere Migrationsgeschichten laufen haben und kräftig an der bestehenden Infrastruktur rütteln, sind wir recht sensibilisiert darauf und haben uns mit den onboard Sicherungsmethoden beschäftigt. Da macht es Sinn, diese Überlegungen dann weiterhin langfristig in das Gesamtkonzept zu integrieren und zu dokumentieren.

  > [LDAP://Yusufs.Directory.Blog/ - Zwei wichtige IDs eines DCs: DC GUID und InvocationId]
  > http://blog.dikmenoglu.de/Zwei+Wichtige+IDs+Eines+DCs+DC+GUID+Und+InvocationId.aspx

  Nachdem was du alles mittlerweile in deinem Blog stehen hast, brauchst du dich um dein AD vermutlich keine Sorgen mehr machen ;-)

  Also, für den Fall, dass sich deine Ausführungen an der ein oder anderen Stelle hier im Thread doch noch ändern könnten, ich verwende hier ausschließlich die von Microsoft bereitgestellten Sicherungsprogramme ntbackup (2003) mit einer Gesamtsicherung inkl. System-State oder das Windows Server-Sicherungs Snap-In (2008r2) in der Bare-Metal Methode.

  Thx & Bye Tom

  Sonntag, 16. Januar 2011 21:45

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > In 2000/2003 kannst du aber das AuthRestore über ntbackup in der GUI definieren,

  So? Dann sag mal wo genau. Aber bevor du stundenlang rumsuchst, ein AuthRestore ging seit
  "eh und je" nur über NTDSUTIL.

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Sonntag, 16. Januar 2011 22:01

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hallo Yusuf,

   

  ähh - in 2008R2 kann ich beim Restore auswählen: "daten aus dem backup als

  autorisierend kennzeichnen" aktivieren...

   

   

  Oder sehe ich das falsch?

   

  LG

   

  Andy

   

   

   

  --

  Andy Wendel

  Senior Trainer & Consultant

  Traicen GmbH

  http://www.traicen.com

   

   

  ---

  Don´t dream your live - life your dreams!!! Senior Trainer & Consultant TraiCen GmbH http://www.traicen.com

  Montag, 17. Januar 2011 18:43

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Yusufs Aussage war auf den Server 2000/2003 bezogen. ;-)

  Gruß

  Martin

  Montag, 17. Januar 2011 19:00

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 16.01.2011 23:01, schrieb Yusuf Dikmenoglu [MVP]:

  So? Dann sag mal wo genau. [...]

  Ich falle jedesmal auf die Checkbox rein, aber die ist ja nur für
  die Dateien im SYSVol ... irgendwann werde ich vielleicht lernen,
  aber wozu? Wer hat denn noch 2003 :-)

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  GPO Tool:    www.reg2xml.com - Registry Export File Converter
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Montag, 17. Januar 2011 20:27

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Salve,

  es ist so wie Martin es geschrieben hat, die Rede war von 2000/2003.
  Aber gut das du es für 2008 R2 nochmals erwähnt hast. Denn vor lauter 2000 und 2003 vergaß ich zu erwähnen,
  das unter 2008 R2 im DSRM die erwähnte Option existiert.

  Wobei man um einzelne Objekte autoritativ wiederherzustellen, trotzdem zu NTDSUTIL zurückgreifen muss.

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Montag, 17. Januar 2011 20:33

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  >  irgendwann werde ich vielleicht lernen, aber wozu? Wer hat denn noch 2003 :-)

  So iss es mein Bub. Lass es sein und konzentriere dich auf 2008 R2.
  Alles was vorher war (bis noch auf 2008), ist nichts für *echte* Männer. ;-D

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Montag, 17. Januar 2011 20:35

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  > Nachdem was du alles mittlerweile in deinem Blog stehen hast, brauchst du dich um dein AD vermutlich keine Sorgen mehr machen ;-)

  Ach es ist doch mit allem so. Wenn man sich in einem Thema einigermaßen auskennt,
  weiß worauf es ankommt und alles einmal durchtestet, dann ist man doch gut gewappnet.

  > Also, für den Fall, dass sich deine Ausführungen an der ein oder anderen Stelle hier im Thread doch noch ändern könnten, ich
  > verwende hier ausschließlich die von Microsoft bereitgestellten Sicherungsprogramme ntbackup (2003) mit einer Gesamtsicherung > inkl. System-State oder das Windows Server-Sicherungs Snap-In (2008r2) in der Bare-Metal Methode.

  Na dann ist doch gut. Du kannst natürlich so verfahren. Wenn das bei euch so erprobt ist und es funktioniert, was will man mehr. Dann muss man nur darauf achten, dass die Sicherung regelmäßig auch *tatsächlich* durchgeführt wird.

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Montag, 17. Januar 2011 20:53

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Ich raffe es nicht.

  Windows Server 2008 R2 SP1

  Existierende Komplettsicherung (Systemstate, Bare Metal, alle Dateien ...)

  Löschen eines Benutzers

  Start im DSRM

  Wiederherstellen des Systemstates (egal ob mit wbadmin oder der GUI) - es endet immer in einem Neustart :-(

  Auf der Kommandozeile habe ich versucht es zu umgehen - keine Chance (kein Taskmanager, keine neue Eingabeaufforderung, kein ntdsutil aufrufbar; schließt man die Eingabeaufforderung mit wbadmin kann man nur noch ausschalten)

  Nach Neustart erneuter Versuch in DSRM zu booten -> gleich wieder Neustart (leider mit AD und der wiederhergestellte Benutzer ist auf Grund der Synchronisation natürlich wieder weg)

  Wie mache ich nun ein authoritative restore?

  Mittwoch, 30. November 2011 18:09

  Antworten

  |

  Zitieren