none
USN Rollback. Контроллер и Exchange на одной машине RRS feed

  • Вопрос

  • Да, я знаю, что контроллер и Exchange сервер нельзя поднимать на одной машине (теперь ещё и почему), но на момент разворачивания в среде не было другого выбора. В результате сбоя в системе виртуализации (virtualbox, но к вопросу не имеет отношения) произошёл откат сервера с Exchange (он же второй контроллер) на несколько дней. Имею отсутствие репликации между контроллерами. Почта пока работает.

    Google подсказывает, что dcpromo /forceremoval на сервере с Exchange делать никак нельзя.

    Вариант 2 - сделать backup System State средствами Windows и произвести восстановление. Только backup не делается - "неверно задан параметр".

    Вариант 3 - создать ещё один сервер с Windows. Выключить существующий Exchange. Ввести новый сервер в домен и установить на нём Exchange. Подключить харды от старого  почтовика и скопировать почтовые базы. Подключить базы на новом сервере.

    Уточнения, замечания и пожелания удачи приветствуются

     

    11 января 2012 г. 12:29

Ответы

  • В общем, мы это сделали. Кажется. С помощью этой статьи http://msexchangeguru.com/2011/02/27/move-exchange-to-a-member-server/

    С небольшим изменением - Exchange никуда не переустанавливали.

    1. Удалили службу сертификатов на сервере Exchange (далее - DC2) - ребут

    2. dcpromo /forceremoval на DC2 (с этого момента до выполнения пункта 5 по RDP на сервер не пускало!)

    3. Удаление метаданных с первого контроллера домена DC1 (удалить не дал, хотя учётная запись входила во все нужные группы - дал себе полные права на объект DC2 - удалил). Внимание - запоминаем группы, членом которых он являлся!

    4. Чистка DNS на DC1 и удаление DNS с DC2

    5. Ввод в домен DC2 под тем же именем - ребут

    6. На DC1 вводим DC2 в нужные группы (и переносим в OU Domain Controllers - не уверен, что это нужно)

    7. Через ADSIedit удаляем в свойствах сервера Exchange DC2 пустой UID.

    8. Проверяем возможность создания удаления ящиков, работу почты.

    9. У меня были пользователи, которых я создавал после USN Rollback - их почтовые ящики оказались отключёнными. Подключил через консоль Exchange - работает.

     

    Теперь нужно где-то поднять ещё один сервер Exchange и перенести на него пользователей. Потом нормально удалить DC2

    Ещё не работает Windows Backup. Отключали задание по расписанию. Сейчас пытаюсь создать по новой - только Администраторы и Операторы Архива могут бла-бла-бла. Пользователь в локальной группе Администраторы. Ладно, это уже мелочи.


    • Изменено GL-vim 24 января 2012 г. 7:54 добавил пункт
    • Помечено в качестве ответа Yuriy Lenchenkov 31 января 2012 г. 10:19
    24 января 2012 г. 7:45

Все ответы

  • Лучший способ для Вас - загрузить проблемный КД в режиме DSRM и произвести неполномочное восстановление AD.

    Вариант3 - даже не думайте.

    12 января 2012 г. 8:04
  • День добрый.

    Делаем бекап, System State и диска С живого доменного контроллера. До всех процедур.

    На первом домене проверяем роли и если надо, то перехватываем их. Делаем бекап, System State и диска С живого доменного контроллера. Все роли и GC должны быть рабочими.

    Копируем базы и логи, выключаем не работающий сервер Exchange или отключаем от сети.

    1. Система и название, и логические имена дисков, такие же как были на поврежденном.

    2. Setup /m:RecoverServer

    3. Копируем базы с логами по местам их расположения, как в бывшем сервере.

    4. Стартуем смотрим.

     

     


    MCITP. Знание - не уменьшает нашей глупости.



    12 января 2012 г. 8:09
    Модератор
  • Олег, Вы что такое пишите!

    У человека USN Rollback и ему в первую очередь необходимо решить именно эту проблему. А уже потом можно рассуждать как лучше разделить КД c Exchange. Возможные проблемы с exchange - это всего лишь симптоматика.

    12 января 2012 г. 8:36
  • Имевшиеся бекапы SystemState пропали, новые не делаются. Ошибка - "задан неверный праметр"

    12 января 2012 г. 9:47
  • Имевшиеся бекапы SystemState пропали, новые не делаются. Ошибка - "задан неверный праметр"

    Подробнее по ошибке можно?
    12 января 2012 г. 10:01
  • Снача бекап. Причем в разных вариантах.

    Что за зверь USN Rollback?

    Recivery USN Rollback.

    Еще один вариант востановления.


    MCITP. Знание - не уменьшает нашей глупости.
    12 января 2012 г. 11:06
    Модератор
  • В логах две записи об ошибках
    Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы IVssAsync::QueryStatus.. hr = 0x800706ba, Сервер RPC недоступен.

    Операция архивации, начатая в "2012‎-‎01‎-‎12T17:00:12.119150000Z", завершилась с ошибкой. Код ошибки: "2155347997" (Операция прервана до завершения.). Чтобы найти причину ошибки, просмотрите описание события и повторите операцию после устранения проблемы.

    13 января 2012 г. 6:38
  • Снача бекап. Причем в разных вариантах.

    Что за зверь USN Rollback?

    Recivery USN Rollback.

    Еще один вариант востановления.


    MCITP. Знание - не уменьшает нашей глупости.
    Вторая и третья ссылки идентичны. Там есть один непонятный момент - Use ONLY images that have NEVER been booted after creation. Что это означает в моём случае? (могу только сделать образ диска уже с USN)
    13 января 2012 г. 6:43
  • У вас другого выхода нет. Создайте копию вашего контроллера и в виртуальной машине без подключения к локальной сети проводите процедуру востановления. Хуже не будет.

    Востановили, протестировали, что все работает. Добавили еще один контроллер в тестовой среде проверили репликации, востановили Exchange в тестовой среде. Выключили промышленные сервера, дали доступ в сеть серверам из тестовой сети. Переустановли системы на бывших промышленных серверах добавили в существующую инфраструкту. Установили дополнительный Exchange, переесли ящики и роли на промышленные сервера. Понизили и удалили из инфраструктуры тестовые сервера. Все.  


    MCITP. Знание - не уменьшает нашей глупости.
    13 января 2012 г. 7:03
    Модератор
  • В логах две записи об ошибках
    Ошибка теневого копирования тома: Непредвиденная ошибка при вызове подпрограммы IVssAsync::QueryStatus.. hr = 0x800706ba, Сервер RPC недоступен.
     

    Операция архивации, начатая в "2012‎-‎01‎-‎12T17:00:12.119150000Z", завершилась с ошибкой. Код ошибки: "2155347997" (Операция прервана до завершения.). Чтобы найти причину ошибки, просмотрите описание события и повторите операцию после устранения проблемы.

    Нужно больше информации по ошибке. Надо смотреть в лог файлах. У вас проблемный КД на какой ос поднят?

    Как крайний вариант:

    Принудительное понижение отжившего свое КД - http://support.microsoft.com/kb/332199/ru
    Чистка AD после принудительного понижения - http://support.microsoft.com/kb/216498/ru

    • Предложено в качестве ответа less__58 16 января 2012 г. 18:12
    13 января 2012 г. 8:31
  • Логи Windows Backup пустые. Система на Windows 2008 R2. КД понижать нельзя, т.к. на нём Exchage.

    13 января 2012 г. 8:41
  • 1. Логи Windows Backup пустые. Система на Windows 2008 R2.

    2. КД понижать нельзя, т.к. на нём Exchage.

    1. Журналы Backup_Error-XXXX.log и Backup-XXXX.log располагаются в папке C:\Windows\Logs\WindowsServerBackup. Хоть что-то должно быть.

    2. Не слышал об этом. Если это на самом деле так, то остается 2 варианта:

      1) Решать проблему с созданием systemstate и делать неполномочное восстановление;

      2) Постепенно перевести exchange на другой сервер и после понизить проблемный КД с последующей чисткой AD.

    13 января 2012 г. 10:04
  • Логи есть, но все файлы пустые

    Понижать с, повышать до КД сервер с Exchange нельзя - об это где-то на технете читал. По ссылке  человек попробовал - ему предложили заплатить Майкам за помощь. Постепенно переносить - не вариант. У меня ведь два контроллера, а репликации нет. Новый сервер ничего не должен знать о проблемном КД 

    13 января 2012 г. 10:15
  • 1. По ссылке  человек попробовал - ему предложили заплатить ....

    2. Постепенно переносить - не вариант. У меня ведь два контроллера, а репликации нет. Новый сервер ничего не должен знать о проблемном КД 

    1. Здесь не увидел ни одной ссылки на официальный источник, говорящий о неизбежных проблемах при понижении КД, установленного на одной ОС с Exchange.

    Проблемы у TC были из-за оставшихся следов удаленного КД в AD со всеми вытекающими для Exchange.

    2. Вы находитесь не в той ситуации, чтобы выбирать лучшее из хорошего.

    Все возможные варианты для выхода из ситуации Вам уже описали - дальше уже решать Вам.

    15 января 2012 г. 12:02
  • 1. Здесь не увидел ни одной ссылки на официальный источник, говорящий о неизбежных проблемах при понижении КД, установленного на одной ОС с Exchange.

    Проблемы у TC были из-за оставшихся следов удаленного КД в AD со всеми вытекающими для Exchange.

    2. Вы находитесь не в той ситуации, чтобы выбирать лучшее из хорошего.

    Все возможные варианты для выхода из ситуации Вам уже описали - дальше уже решать Вам.

    http://technet.microsoft.com/ru-ru/library/aa996719.aspx 
    Раздел Архитектура сервера каталогов подраздел Установка сервера Exchange Server 2010 на серверы каталогов - После установки сервера Exchange 2010 изменить его роль с рядового сервера на сервер каталогов или наоборот нельзя.

    У меня вопрос -  а что если мне удалить первый КД? Потом произвести захват ролей сервером с Exchange. Судя по журналу безопасности, он продолжает обрабатывать запросы на вход в сеть

    17 января 2012 г. 6:19
  • С первого КД сделайте офлайн копию и System state. Если System State невозможно, делайте оффлай бекап. Востанавливайте первый КД в виртуальной среде. 


    MCITP. Знание - не уменьшает нашей глупости.

    17 января 2012 г. 6:44
    Модератор
  • У меня вопрос -  а что если мне удалить первый КД? Потом произвести захват ролей сервером с Exchange. Судя по журналу безопасности, он продолжает обрабатывать запросы на вход в сеть

    Переносить FSMO роли на КД с USN Rollback - по-моему не очень удачная идея.

    Добивайте вариант с восстановлением из резервной копии. Пробуйте создать backup при кд подключенном к свичу но не к сети и снимите при этом с паузы netlogon.

    Вариант с dcpromo /forceremoveall не стоит сбрасывать со счетов. Можно воспроизвести подобный сценарий на виртуалках и разбиоаться с последствиями. Это в любом случае лучше чем оставлять ситуацию с USN Rollback на самотек.

    17 января 2012 г. 7:40
  • Добивайте вариант с восстановлением из резервной копии. Пробуйте создать backup при кд подключенном к свичу но не к сети и снимите при этом с паузы netlogon

    Вариант с dcpromo /forceremoveall не стоит сбрасывать со счетов. Можно воспроизвести подобный сценарий на виртуалках и разбиоаться с последствиями. Это в любом случае лучше чем оставлять ситуацию с USN Rollback на самотек.


    Backup с отключённым netlogon попробовал сегодня утром - пришлось делать reset сервера (повис)

    У нас со свободным местом на серверах плохо, а диски всё никак не привезут, так что сейчас в виртальной среде ничего не потестируешь - ресурсов нет.

    17 января 2012 г. 7:47

  • Backup с отключённым netlogon попробовал сегодня утром - пришлось делать reset сервера (повис)

    А с включенным netlogon пробовали?

    Лучше перенесите хотя бы КД с USN Rollback на виртуалку и начните пляски с бубном на нем. На продакш серверах лучше не экспериментировать.

    Как пробовали создавать резервную копию?

    Попробуйте wbadmin.exe start systemstatebackup -backupTarget:\\BACKUPSERVER\Backup_folder

    17 января 2012 г. 8:06
  • Как пробовали создавать резервную копию?

    Попробуйте wbadmin.exe start systemstatebackup -backupTarget:\\BACKUPSERVER\Backup_folder


    "Параметр задан неверно"
    17 января 2012 г. 9:25
  • Как пробовали создавать резервную копию?

    Попробуйте wbadmin.exe start systemstatebackup -backupTarget:\\BACKUPSERVER\Backup_folder


    "Параметр задан неверно"
    Странно. Вместо \\BACKUPSERVER\Backup_folder необходимо задавать реальную шару в сети.
    17 января 2012 г. 12:28
  • Как пробовали создавать резервную копию?

    Попробуйте wbadmin.exe start systemstatebackup -backupTarget:\\BACKUPSERVER\Backup_folder


    "Параметр задан неверно"
    Странно. Вместо \\BACKUPSERVER\Backup_folder необходимо задавать реальную шару в сети.

    Это ясно. Точной такой же "Параметр задан неверно" был и через графический интерфейс. Я упоминал ранее в теме - логи пустые. Буду пробовать первый совет Kovalenko_Oleg + чистка AD ручками
    17 января 2012 г. 12:31
  • 1. Попробуйте сделать бекап оффлайн бекап акроинисом КД без Echange, и востановить его в виртуальной среде без подключения к рабочей сети. Проведите его востановление.

    2. После тово как востановите его работу добавте к нему еще один и проверьте репликацию.

    3. Дальше востановление Exchange. Уже писал.

    В промышленной среде делать, только после задукументировных шагов и скриптов. Причем сделать надо столько раз, чтобы небыло затыков.


    MCITP. Знание - не уменьшает нашей глупости.
    17 января 2012 г. 12:46
    Модератор
  • 1. Попробуйте сделать бекап оффлайн бекап акроинисом КД без Echange, и востановить его в виртуальной среде без подключения к рабочей сети. Проведите его востановление.

    2. После тово как востановите его работу добавте к нему еще один и проверьте репликацию.

    3. Дальше востановление Exchange. Уже писал.

    А со вторым КД, который схватил usn rollback что делать? И чем Вам exchange то помешал. С ним как раз таки пока все в порядке.
    17 января 2012 г. 18:17

  • 1. Это ясно. Точной такой же "Параметр задан неверно" был и через графический интерфейс. 
    2. Буду пробовать первый совет Kovalenko_Oleg + чистка AD ручками

    1. раз, два

    2. Отлично, так держать. При больном AD лечите Exchange.

    Ваше упрямство просто поражает. На доп виртуалку у Вас ресурсов нет, а на сервер для переноса Exchange есть. Если уж Вас так страшит forceremoveall на КД с Exchange - добавляйте в организацию второй exchange server, переносите на него все роли, pf, mailbox с exchange сосуществующего с AD. Если все пройдет успешно осуществляйте деинсталляцию exchange, а вот уже после этого делайте forceremoveall + ручная чистка.

    17 января 2012 г. 18:41
  • Backup SystemState получился - ошибка Vbox'a тема на технете. Попробовали восстановиться по мануалу . После восстановления перестала работать owa (outlook работал) и нельзя было зайти по RDP. Произвели откат.

    19 января 2012 г. 6:59
  • 1. Попробовали восстановиться по мануалу .

    2. После восстановления перестала работать owa (outlook работал) и нельзя было зайти по RDP. Произвели откат.

    1. Ну так репликация после этого пошла?

    2. Явно проблемы с проверкой подлинности. Что в логах было при этом?

    19 января 2012 г. 7:18
  • В логах было уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. ИП-адрес клиента:...

    repadmin /showrepl конечный серверв наст. момент отвергает запросы на репликацию

    19 января 2012 г. 7:43
  • 1. В логах было уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. ИП-адрес клиента:...

    2. repadmin /showrepl конечный серверв наст. момент отвергает запросы на репликацию

    1. К восстановлению из systemstate это вряд ли имеет отношение.

    2. А в логах про восстановление из рез. копии что? netlogon стартовала? dcdiag /q с проблемного КД что показывает?

    19 января 2012 г. 8:27
  • netlogon не стартовала. repladmin запускался после ручного старта netlogon. Возможности что-то ещё посмотреть нет - вернули систему обратно.
    19 января 2012 г. 8:29
  • <blockquote>netlogon не стартовала. repladmin запускался после ручного старта netlogon. Возможности что-то ещё посмотреть нет - вернули систему обратно.</blockquote><br/>
    Опять снимки. :) Попробуйте снова провести восстановление в выходные например и внимательно изучить логи.
    Если неполномочное восстановление не поможет, остается использовать один из предложенных мной ранее вариантов.
    19 января 2012 г. 8:53
  • В общем, мы это сделали. Кажется. С помощью этой статьи http://msexchangeguru.com/2011/02/27/move-exchange-to-a-member-server/

    С небольшим изменением - Exchange никуда не переустанавливали.

    1. Удалили службу сертификатов на сервере Exchange (далее - DC2) - ребут

    2. dcpromo /forceremoval на DC2 (с этого момента до выполнения пункта 5 по RDP на сервер не пускало!)

    3. Удаление метаданных с первого контроллера домена DC1 (удалить не дал, хотя учётная запись входила во все нужные группы - дал себе полные права на объект DC2 - удалил). Внимание - запоминаем группы, членом которых он являлся!

    4. Чистка DNS на DC1 и удаление DNS с DC2

    5. Ввод в домен DC2 под тем же именем - ребут

    6. На DC1 вводим DC2 в нужные группы (и переносим в OU Domain Controllers - не уверен, что это нужно)

    7. Через ADSIedit удаляем в свойствах сервера Exchange DC2 пустой UID.

    8. Проверяем возможность создания удаления ящиков, работу почты.

    9. У меня были пользователи, которых я создавал после USN Rollback - их почтовые ящики оказались отключёнными. Подключил через консоль Exchange - работает.

     

    Теперь нужно где-то поднять ещё один сервер Exchange и перенести на него пользователей. Потом нормально удалить DC2

    Ещё не работает Windows Backup. Отключали задание по расписанию. Сейчас пытаюсь создать по новой - только Администраторы и Операторы Архива могут бла-бла-бла. Пользователь в локальной группе Администраторы. Ладно, это уже мелочи.


    • Изменено GL-vim 24 января 2012 г. 7:54 добавил пункт
    • Помечено в качестве ответа Yuriy Lenchenkov 31 января 2012 г. 10:19
    24 января 2012 г. 7:45