DC restaurieren

21/04/2008 - 12:52 von Urban | Report spam
Hallo,

ich beschàftige mich gerade mit einem Testscenario zum Restaurieren von AD.
Hintergrund ist der leider durchaus vorkommende Fall beim Neukunden auf einen
defekten DC mit einer àltlichen Sicherung zu treffen.

Ich habe also eine uralte NTbackupvollsicherung eines DC. Diese restauriere
ich über hier nicht nàher relevante umwege (HAL usw) in eine Hyper-V
Gastmaschine zum experimentieren.

Normal starten geht sowieso nicht ( reboot ), Abgesichert auch nicht.
Lediglich im Verzeichnisdienstwiederherstellen kommt man weiter und finden im
eventlog die erwarteten Eintràge, dass die das AD nicht gestartet werden kann
weil die Dateien nicht vorhanden sind. NTBackup weigert sich ob der uralten
Sicherung gleich, diese zurückzusichern. Um weiter zu kommen, kann man die
Rücksicherung wo anders hin machen und den Ordner NTDS dann hàndisch
kopieren. Mit ntdsutil kann man nun noch die Integritàt prüfen. Soweit alles
klar.
Natürlich làßt sich das AD immernoch nicht starten, da die Dateien ja viel
zu alt sind. Nun habe ich verschiedene Ansàtze:

1) Einfach mal das Datum des PC's àndern auf dem die Rücksicherung làuft. ->
Geht aber nicht, da im Hyper-V man das Gastdatum nicht einstellen kann.
Ändert man das Datum des Hostes, so startet der Gast garnicht erst.

2) Man entfernt das AD mit Gewalt. Das geht nur über den "ServerNT" Key.
Allerdings ist jetzt entweder das AD weg oder es müssen jetzt mühevoll die
Serverreste aus dem AD geschabt werden, so es denn noch einen zweien DC gibt.

3) Man findet einen anderen Weg in der ntds.dit das Datum zu aktualisieren
und lebt damit das bei einer restaurierung eben viele Änderung weg sind. Bei
mehr oder weniger statischen Netzen mit wenig Änderungen kann das immernoch
eine bessere Lösung sein als 4)

4) Platt machen und alles neu machen.

In meinem Testszenario habe ich noch einen zweiten DC. Somit wàre die
einfachste Möglichkeit, das Datum zu àndern und dann die Replication alles
weitere machen zu lassen.

Ich weis natürlich, das das alles nicht von Microsoft supportet ist - nur
nützt das im K-Fall beim Kunden meist nicht viel :-)

Urban
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
21/04/2008 - 13:18 | Warnen spam
Servus,

"Urban" wrote:
Ich habe also eine uralte NTbackupvollsicherung eines DC.



ganz übel. Dabei wird die Tombstone Lifetime (TSL) làngst überschritten
sein, die in den meisten Umgebungen 60 Tage betràgt. Die Tombstone Lifetime
(TSL) wird mit dem installieren des allerersten DCs in einer Gesamtstruktur
und zwar für alle Domànen festgelegt. Diese kann nicht pro Domàne
konfiguriert werden.
Natürlich kann der Wert der TSL manuell veràndert werden.
Die TSL betràgt unter:

- Windows 2000 (mit allen SPs) = 60 Tage
- Windows Server 2003 ohne SP = 60 Tage
- Windows Server 2003 mit Service Pack 1 = 180 Tage
- Windows Server 2003 R2 (mit SP1) = 60 Tage
- Windows Server 2003 mit Service Pack 2 = 180 Tage
- Windows Server 2003 R2 mit Service Pack 2 = 180 Tage
- Windows Server 2008 = 180 Tage

Kontrollieren kann man die TSL mit ADSIEdit unterhalb der Root-Domàne im
folgenden Container: "CN=Directory Services,CN=Windows
NT,CN=Services,CN=Configuration".

Dort findet man in den Eigenschaften des Containers das Attribut
"tombstoneLifetime". Ist dort ein Wert gesetzt, betràgt die TSL
den eingetragenen Wert in Tagen. Steht im Attribut als Wert hingegen
<Not Set>, so betràgt die TSL den Standardwert von 60 Tagen.

Wenn die Tombstone Lifetime abgelaufen ist, entstehen Lingering Objekts (zu
deutsch "herumlungernde Objekte").

[Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)
http://blog.dikmenoglu.de/PermaLink...7d599.aspx


1) Einfach mal das Datum des PC's àndern auf dem die Rücksicherung làuft. ->
Geht aber nicht, da im Hyper-V man das Gastdatum nicht einstellen kann.



Ich kann dir nur wàrmstens ans Herz legen, die von solch einer
Vorgehensweise zu distanzieren. Sonst holt dich die Realitàt ein und du hast
am Ende noch mehr Ärger (oder der Kunde).


2) Man entfernt das AD mit Gewalt. Das geht nur über den "ServerNT" Key.
Allerdings ist jetzt entweder das AD weg oder es müssen jetzt mühevoll die
Serverreste aus dem AD geschabt werden, so es denn noch einen zweien DC gibt.



Genau. Das wàre die vernünftigere Vorgehensweise.
Wenn auf einem DC die TSL abgelaufen ist, kannst du den DC mit DCPROMO
/FORCEREMOVAL herunterstufen. Dabei werden die AD-Informationen LOKAL auf dem
DC entfernt. Diesen DC musst du dann noch mit NTDSUTIL oder ADSIEdit hàndisch
aus dem AD entfernen, denn der DC kann sich schließlich nicht mehr
replizieren.

[Yusuf`s Directory - Blog - Das Active Directory gewaltsam vom DC entfernen
http://blog.dikmenoglu.de/PermaLink...4dcae.aspx


3) Man findet einen anderen Weg in der ntds.dit das Datum zu aktualisieren
und lebt damit das bei einer restaurierung eben viele Änderung weg sind.



Vergiss es. Der Kunde kommt um eine ordnungsgemàße SYSTEM STATE Sicherung
nicht herum. Alles andere ist Pfusch und wird mit einer lebenslangen
Haftstarfe bestraft. SCNR ;-)


4) Platt machen und alles neu machen.



Im schlimmsten Fall... ja.


In meinem Testszenario habe ich noch einen zweiten DC. Somit wàre die
einfachste Möglichkeit, das Datum zu àndern und dann die Replication alles
weitere machen zu lassen.



Nein, dass wàre es nicht. Der "àltere" DC müsste mit Gewalt (DCPROMO
/FORCEREMOVAL) heruntergestuft, dass AD bereinigt und anschließend wieder
hochgestuft werden. Dabei gilt es trotzdem zu kontrollieren, wie die TSL
überschritten werden konnte, wenn mehrere DCs existieren sollten. Ansonsten
taucht der Fehler sicher erneut auf.


Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen