none
W2012 R2 problema "nome principale di destinazione scorretto" RRS feed

  • Domanda

  • ciao,

    a seguito di un ripristino di un DC fatto con un import di una VM exportata 5 mesi fa
    (quindi entro il periodo del tombstone), non riesco più ad aggiungere gli utenti in dominio ai permessi delle cartelle condivise con il "nome principale di destinazione scorretto"
    il DNS non presenta nessun errore e risolve nomi e fqdn correttamente

    massimo


    martedì 28 luglio 2015 08:50

Risposte

Tutte le risposte

  • Ciao,vediamo se ho capito la situazione:

    - l'unico DC della rete è scoppiato 

    - tu hai preso fuori un'immaginde di 5 mesi fa

    - vuoi riagganciare i client a quel dc 

    scusa ma non funzionerà mai...il tempo di Tombstone è quello in cui un client agganciato ad un dominio va in disuso, od un server...se l'unico DC della rete salta e tu ripristini un'immagine di 5 mesi prima sai quanti toke si sono aggiornati sui client??

    Morale, è giusto che non funzioni. Devi disjoin  e rejoin tutti i client. 

    se ho capito male invece...spiega cosa  è successo.

    Ciao

    A.

    martedì 28 luglio 2015 11:24
    Moderatore
  • Il tombstone non centra nulla in questo caso, dato che è il tempo massimo, prima che un oggetto di active directory cancellato in precedenza, venga definitivamente, irreparabilmente e fisicamente eliminato  e tu non devi "rianimare" oggetti di AD cancellati ma recuperare un server!

    La procedura che vuoi attuare non corretta, devi partire in Directory Service Restore Mode e seguire le istruzioni

    To restore a previous version of a virtual domain controller VHD without system state data backup

    aggiungono che non sarebbe assolutamente (stato) il caso di accendere il server in modalità normale :

    Using the previous VHD, start the virtual domain controller in DSRM, as described in the previous section. Do not allow the domain controller to start in normal mode. If you miss the Windows Boot Manager screen and the domain controller begins to start in normal mode, turn off the virtual machine to prevent it from completing startup.

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    martedì 28 luglio 2015 16:12
    Moderatore
  • ragazzi, grazie dell'aiuto, mi è venuta in mente una procedura che avevo già fatto in passato
    ho levato il ruoto AD al DC e l'ho rimesso è andato tutto a posto in meno di un'ora
    tutto perfetto, AD, policy, utenze, cartelle condivise, stampanti condivise

    usando la funzione di reinstallazione del ruolo AD di 2012 R2

    grazie per i suggerimenti


    massimo
    martedì 28 luglio 2015 16:29
  • ne ho altri 3 di DC in sottoreti diverse, ho fatto rinascere il ruolo AD da un altro DC del dominio
    massimo
    martedì 28 luglio 2015 16:30
  • ne ho altri 3 di DC in sottoreti diverse, ho fatto rinascere il ruolo AD da un altro DC del dominio
    massimo

    Non l'avevi raccontata tutta... e rimane il fatto che hai avuto fortuna, il server non era quello con i ruoli FSMO!

    Sei riuscito a fare un demote senza avere errori? che lato B! Verifica bene in gestione eventi per non avere sorprese...

    Comincia a fare dei system state backup dei dc!


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    martedì 28 luglio 2015 17:48
    Moderatore
  • i 5 ruoli FSMO sono sul DC principale dal quale ho reinstallato il ruolo AD sul DC compromesso

    cmq la funzione di reinstallazione del ruolo AD in WS 2012 R2 funziona perfettamente
    l'avevo già utilizzata in un caso di tombstone da un altro Cliente che mi aveva fatto preparare un DC poi però per lungaggini varie me l'avevano fatto mettere in opera dopo tipo 8 mesi.... quando lo collegai alla rete ZAC! gli altri DC l'hanno "bannato" (anche qui la reinstallazione del ruolo AD aveva funzionato perfettamente)

    massimo

    mercoledì 29 luglio 2015 12:13
  • come si fanno questi system state bkup?


    massimo
    mercoledì 29 luglio 2015 12:14
  • opinione personale...ad oggi e da qualche anno a questa parte salvare solo il system state non ha più senso...visto il basso costo dello storage e la possibilità di lavorare in virtuale, tantovale salvare tutta la VM giornalmente e se salta ripristinarla completa...imho.

    A.

    mercoledì 29 luglio 2015 14:12
    Moderatore
  • come si fanno questi system state bkup?

    Backing Up Your Server nel link citato trovi le info sul system state.

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 29 luglio 2015 19:24
    Moderatore
  • opinione personale...ad oggi e da qualche anno a questa parte salvare solo il system state non ha più senso...visto il basso costo dello storage e la possibilità di lavorare in virtuale, tantovale salvare tutta la VM giornalmente e se salta ripristinarla completa...imho.

    A.

    Aggiungo

    Se si hanno dei Domain Controller (più di uno) nel proprio dominio ed uno di questi smette di funzionare, la procedura di ripristino sopracitata deve essere evitata (non lo dico io, vedi link sotto), il server ripristinato da vm, avrà un USN diverso generando vari problemi (replica, AD disallineata, sicurezza... etc). Per il backup e il recupero ci si dovrà attenere a ciò che consiglia Microsoft (system state backup, tool di terze parti che supportino il BK di AD, ma non snapshot o vm salvate...) 

    Se posso dare un consiglio personale a Massimo è di evitare tale modalità di recupero se ha più di DC!

    https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx#backup_and_restore_considerations_for_virtualized_domain_controllers
    Do not copy or clone VHD files of domain controllers instead of performing regular backups. If he VHD file is copied or cloned, it becomes stale. Then, if the VHD is started in normal mode, there might be a divergence of replication data in the forest. You should perform proper backup operations that are supported by Active Directory Domain Services (AD DS), such as using the Windows Server Backup feature.

    Do not use the Snapshot feature as a backup to restore a virtual machine that was configured as a domain controller. Problems will occur with replication when you revert the virtual machine to an earlier state. For more information, see USN and USN Rollback.

    https://support.microsoft.com/en-us/kb/888794#/en-us/kb/888794

    •An Active Directory domain controller requires regular system state backups to recover from user, hardware, software, or environmental problems.
    The default useful life of a system state backup is 60 or 180 days, depending on the operating system version and the service pack revision at play during the installation.
    This useful life is controlled by the tombstone lifetime attribute in Active Directory. At least one domain controller in every domain in the forest should be backed up every tombstone lifetime number of days.

    In a production environment, you should make system state backups from two different DCs on a daily basis
    ...


    http://www.vmware.com/files/pdf/Virtualizing_Windows_Active_Directory.pdf
    General Best Practice Guidelines
    As you proceed, keep these general best practices in mind:
    • Avoid snapshots or REDOs for domain controller virtual
    machines.
    • Do not suspend domain controller virtual machines for long
    periods.
    • Perform consistent and regular system state backups.
    • Never attempt to recover an Active Directory database from a
    backup copy of an old virtual disk.
    ...
    ...
    Note that Microsoft does not support using snapshots or disk
    imaging of any domain controller. You must perform system
    state data backups to protect the Active Directory database.
    Snapshots can potentially corrupt the Active Directory database
    without even committing or reverting back to the snapshot.
    (See Knowledge Base article: KB888794 on the Microsoft
    TechNet Web site.)


    https://dirteam.com/sander/wp-content/uploads/sites/2/2011/10/Backing-up-and-Restoring-Virtual-Domain-Controller-with-host-based-backup-solutions.pdf

    To make backups of virtual Domain Controllers, two supported ways exist:
     Use a host-based Active Directory-aware backup and restore program.
     Use an Active Directory-aware backup and restore program from within the Virtual Domain Controller. Using Windows Backup to perform a System State Backup within a guest falls under this category.

    https://social.technet.microsoft.com/Forums/it-IT/2291bae5-0d7a-4eec-9dc1-26904811731a/ripristino-domain-controller-virtuale?forum=virtualizzazioneit

    da questo forum

    ciao Gas

    ps:Con DC 2012 le cose sono leggermente migliorate PDC permettendo ("supportano" la clonazione  e mitigano i danni dei ripristini avventati da vm)





    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 29 luglio 2015 20:32
    Moderatore
  • Boh, guarda, personalmente di recovery di questo tipo ne ho fatti più di uno, certo su strutture piccole con 2-3 DC e non ho mai avuto particolari problemi, come non ho mai avuto problemi nel virtualizzare DC fisici (cosa anche quella sconsigliata) ma mai fatto una piega. Sicuramente in una struttura molto complessa lo eviterei, è anche vero che oggi come oggi se hai un minimo di ridondanza perchè di muoia un DC virtuale devi impegnarti parecchio. La gente sul DC ci tiene di tutto, se devi fare un ripristino del solo DC ci sta, se devi ripristinare tutto il server, dati, share ecc...ora che hai messo su sistema, ripristinato lo state e ricaricato tutto passano dei giorni. Ma questo fa sempre parte delle soluzioni del mio mondo dove nulla è mai perfettto e difficilmente trovo dei DC che fanno solo quello, in quel caso, una vm completa ti salva capra e cavoli. Ciao! A.
    mercoledì 29 luglio 2015 20:53
    Moderatore
  • Nessuno ha detto che devi fare SOLO il system state!

    1. System state bacKup: per il recupero di Active directory
    2. Bakcup tradizionale: per i dati
    3. Se hai più un dc DC, per non avereerrori USN Rollback, problemi di replica, evitare il ripristino della vm completa

    Invito vivamente a leggere i link prima di effettuare le manovre citate da Alessandro e poi decidere se Microsoft ha torto :)

    ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    giovedì 30 luglio 2015 06:33
    Moderatore