none
Восстановление AD из образа... RRS feed

  • Вопрос

  • Есть поддомен вида sub.domen.ru с одним контроллером домена. Машина была конфискована нашими доблестными органами, пришлось восстанавливать из образа трёх дневной давности... Всё хорошо домен заработал все довольны.. а дальше вы наверное начинаете догадываться... Репликация не идёт,  никто с ним разговаривать не хочет... У них отличаются версии  USN, и соответственно  другие сервера не хотят принимать его...

    в логах ошибки

    Event ID:    1311
    Event ID:    1566

    В дсдиагах реплмунах говорит одно: The destination server is currently rejecting replication requests active directory 

    System stata с этого контроллера нет...

    Есть что посоветовать? Или валить поддомен чистить все упоминания  и поднимать новый,  заводя пользователей  и  компы, давать новые разрешения?
    25 апреля 2008 г. 11:36

Ответы

  • Итак финальная часть марлезонского балета)) Всё хорошо реплицируется! Решилось довольно своеобразно,  попытались создать дополнительный  контроллер домена  он создавался но выдал ошибку(к сожалению текст не записал)...  После чего толкнул  ручками репликацию  и всё свершилось))  Только  вот одна проблема  в оснастке сайтов  теперь светится второй контроллер домена,  но думаю это мы решим))

    Это конечно не универсальный способ решения таких проблем, но хоть что-то...
    Тем кто бэкапит всё акронисом это может вполне помочь...
    29 апреля 2008 г. 12:51

Все ответы

  • Возможно если с текущего контроллера выгрузить системстат и сделать автаритативное востановление и там указать более новый USN?
    25 апреля 2008 г. 12:18
  • Возможно поможет USN Rollback
    Перед этим ессно следует потренироваться и проверить всё на виртуальной машине
    25 апреля 2008 г. 12:26
  • Удалять и поднимать заново. Иначе вы можете усугубить ситуацию, пытаясь "обмануть" AD неподдерживаемыми методами. http://support.microsoft.com/kb/875495

     

    25 апреля 2008 г. 12:27
    Отвечающий
  • Чем образ снимался?

    Вообще говоря, резервное копирование AD включает в себя system state.

    USN и должен в данном случае отличаться, поскольку репликация не идет. USN это update sequence number, который просто показывает версию данных на контроллере. Если она отличается в меньшую сторону, то изменения реплицируются.

    Кстати, я так понимаю, везде Windows 2003 с последним сервис паком?

    Логи чьи процитированы? Убогого сервера или нормальных?
    25 апреля 2008 г. 12:31
    Модератор
  • Да знаю тупанул со систем статом...
    Образ снимался акронисом. К сожалению 2003 с последними сервис паками стоит  только в головном  офисе,  в  основном домене, в чаилд  доменах везде стоит 2000  с паследними апдейтами, переход только в планах стоит.
    Логи убого сервера... могу логи здоровых серверов привести, подскажите только какие именно?
    25 апреля 2008 г. 12:40
  • Прочитайте статью, которую предложил G14. Только внимательно и вдумчиво. От начала и до конца. Если в этом домене больше одного контроллера, то статья рассказывает что да как. Если нет, то Вам придется очень тяжело...

    У меня пока даже нет идей - насколько... =(

    Там правда про хотфикс что-то есть - тоже почитайте =)

    25 апреля 2008 г. 12:55
    Модератор
  • Признаться эту статью я уже наверно выучил наизусть, скоро как стих смогу рассказать)) А хотфикс просто для того чтобы он мне в логи сыпал о том что отличаются версии, это я к сожалению и без логов знаю...Только проблема в том что он действительно один... Причём он сейчас прекрасно работает и авторизует пользователей, который подключаются к эксченджу в основном домене и всё хорошо! Но! Я так понимаю через 30 дней это может кончиться? Типа глобальные каталоги давно не видя этот поддомен просто перестанут отдавать почту пользователям из него?
    Возможно если с текущего контроллера выгрузить системстат и сделать автаритативное востановление и там указать более новый USN?

    25 апреля 2008 г. 13:05
  • Саш, фикс только помогает детектировать USN Rollback. Не более. К тому же он для 2003.

    Здесь случай кардинально тяжелый: 2000 контроллер, нет реплик domain partition...

     

    Можно попытаться содрать system state с восстановленного из образа контроллера (восстановить образ на изолированном от сети сервере) и затем восстановить из этого бэкапа неавторитативно. После чего попробовать восстановить авторитативно только domain partition, но я крайне не рекомендую этого делать. Разве что в тестовой лаборатории чтобы поиграться.

     

    25 апреля 2008 г. 13:11
    Отвечающий
  • Можно попробовать. Еще можно попробовать поднять там (а можно в главном оффисе) таки второй контроллер и перенести на него все роли этого. Впрочем это вряд ли получится...

    25 апреля 2008 г. 13:12
    Модератор
  • G-14 может случится плохого давай попробуем представить самый плохой вариант я потеряю только чаилд домен, который я итак частично потерял... Если я ошибаюсь поправь меня?

    Поднятие второго контроллера тоже продумывалось только вот проблемка в том что если там его поднять, то о нём не узнает никак головной офис да и врядли получится это сделать, хозяин схемы и мастер наименования никак не узнает об этом... С другой стороны поднять его в офисе тоже не получиться rid и infrastructure поддомена соответственно в поддомене... Так что этот вариант был отброшен даже для обсуждения.


    Впринципе на данный момент всё хорошо, только вот если я захочу завести кому-нибудь новую почту, то это у меня не получится... Я легко получаю доступ ко всем ресурсам домена.
    25 апреля 2008 г. 13:49
  • 1. Я вообще не уверен, что ntdsutil даст восстановить авторитативно целиком партишен. Тем более, что это 2000 Server.

    2. Если представить самый плохой вариант - нужно представлять, что на некорректно восстановленном DC как минимум три партишена. Из которых как минимум два - forest-wide (Schema и Configuration). Схема партишен не может быть помечен как авторитативный, а вот конфиг...При любой ошибке будет затронут весь лес.

    3. MSFT совершенно не зря не практикует (и не рекомендует) описанный мной выше способ. Если бы все было просто - у нас бы уже была статья КВ, описывающая процесс.

    4. Что будет внутри GC после такого восстановления мне тоже не очень понятно и прогнозируемо.

     

    Вот такое бывало (с ходу нашел) при выполнении восстановления поддерживаемым способом. Что может вылезти при восстановлении неподдерживаемым я даже прогнозировать не возьмусь.

    25 апреля 2008 г. 14:24
    Отвечающий
  • Стоп я не хочу трогать схему и конфиг!  Я просто хочу попробовать восстановить dc=sub, dc=domain, dc=ru, я думаю это просто накрутит USN... Поидее это никак не должно затронуть остальной домен... 
    Чем выгруженный systemstate до снятия образа принципиально отличается от после восстановления?
    25 апреля 2008 г. 15:10
  • Вам придется восстанавливать Schema и Config партишены. Иначе они не пометятся как восстановленные и не просигналят партнерам по репликации, чтобы те сбросили свои данные о контроллере и не препятствовали репликации.

    Об остальном я писал выше.
    25 апреля 2008 г. 15:42
    Отвечающий
  • А если поднять там второй котроллер и начать между ними гонять репликацию, USN будет увеличиваться постепенно, и рано или поздно перерастёт тот который лежит на других серверах! Ведь как я понимаю основная загвозка что то что лежит более новое на других серваках оно не может попасть на него так как он единственный кто отвечает за этот домен, но они не захотят от него брать обновления пока не поймут что у него USN выше...
    25 апреля 2008 г. 15:52
  •  Le0n написано:
    А если поднять там второй котроллер и начать между ними гонять репликацию

    lol

    РыдалЪ. Вы не обижайтесь, вы очень креативный админ. НО я вам очень рекомендую - не увлекайтесь креативом, лучше потратьте это время на документацию: How Data Store works, How Replication works и How Replication topology works - бесподобные документы. Найдите их и прочтите. Smile

    25 апреля 2008 г. 16:00
    Отвечающий
  • За креативного админа спасибо, посмеялся от души)) Документы прекрасные только они мне не особо помогли, возможно невнимательно прочитал, чуть позже перечитаю. Зато возник такой вопрос, товарищи  как правильно  надо бэкапить контроллеры домена чтобы после того как контроллер падает его можно было максимально быстро восстановить? Снимать system state, а потом образ диска? Только убедительная просьба не давать ссылки на то как пользоваться ntbackupом. Просто у меня возник такой вопрос, вот типа говорят что из образа контроллер поднять нельзя, нужно ещё systemstate в режиме авторитативного востановления накатить, так почему нельзя залить образ, снять system state, перегрузиться и залить systemstate в режиме авторитативного восстановления?   
    28 апреля 2008 г. 11:37
  • Для восстановления AD на контроллере домена необходимо и достаточно иметь бэкап system state.

    Востанавливать  КД из образа диска - вообще забудьте про это.

    PS: по поводу остальных вопросов - все же перечитайте внимательно те статьи что вам подсказали.

    28 апреля 2008 г. 11:48
    Отвечающий
  • Тогда подскажите чем систем стайт снятый до снятия образа отличается от системстата после восстановления образа?
    28 апреля 2008 г. 12:05
  • Методом восстановления.

    В первом случае в режиме Active directory restore mode - правильно

    Во втором случае восстановление AD из образа и при этом контроллер домена "не знает" что его восстановили и не извещает об этом своих партнеров по репликации - неправильно

     

    28 апреля 2008 г. 12:12
    Отвечающий
  • Да нет же я же не предлагаю восстановить из образа и остановиться на этом. После этого выгружаем системстайт и загружаем его в режиме восстановления!вот чем этот систем стайт будет отличаться от систем сайта сделанного правильным путём?
    28 апреля 2008 г. 12:47
  • Да, системстейт, снятый после разворачивания образа на изолированном сервере, ничем не будет отличаться. Это ровно то же самое. ваша главная проблема - отсутствие партнеров для домэйн партишена. Об остальном я писал выше.

    28 апреля 2008 г. 14:56
    Отвечающий
    1. Так ну пункт номер раз мы установили, систем стайт всё-таки остаётся тот же если я просто восстанавливаю образ и не включая в сеть его снимаю.
    2. Встаёт второй вопрос что мне мешает теперь загрузиться в режиме восстановления ад и подсунуть этот образ?
    29 апреля 2008 г. 6:18
  •  Le0n написано:

    2.Встаёт второй вопрос что мне мешает теперь загрузиться в режиме восстановления ад и подсунуть этот образ?

    Перечитывайте внимательно все с самого начала, сколько можно одно и то же повторять то?
    29 апреля 2008 г. 6:51
    Отвечающий
  • Ладно подойдём с другой стороны, смогу ли я использовать систем стайт снятый после восстановления образа для поднятия нового контроллера домена?
    29 апреля 2008 г. 9:02
  • Итак финальная часть марлезонского балета)) Всё хорошо реплицируется! Решилось довольно своеобразно,  попытались создать дополнительный  контроллер домена  он создавался но выдал ошибку(к сожалению текст не записал)...  После чего толкнул  ручками репликацию  и всё свершилось))  Только  вот одна проблема  в оснастке сайтов  теперь светится второй контроллер домена,  но думаю это мы решим))

    Это конечно не универсальный способ решения таких проблем, но хоть что-то...
    Тем кто бэкапит всё акронисом это может вполне помочь...
    29 апреля 2008 г. 12:51