Hallo Peter,
ich habe letztens mit einem ähnlichen Fall zu tun gehabt. Die Synch zwischen zwei DCs war durch einen Restore eines DC Snapshots dahin. Ich versuchs mal zu rekonstruieren, was ich alles gemacht hab.
- Den vermeintlich älteren DC mittels dcpromo forceremoval aus der Domäne genommen da normales dcpromo nicht mehr klappte. DC, DNS, FSMO etc lag alles beim verbleibenen DC.
- Mittels ntdsutil am verbliebenen DC die Reste des anderen entfernt http://www.petri.co.il/delete_failed_dcs_from_ad.htm
- Im DNS alles gelöscht, was an den alten DC erinnerte. Auch wenns oben in Anleitung steht, dran denken, bei „Standorte und Dienste“ alles raus zu putzen.
- Nach der Lektüre von http://support.microsoft.com/kb/875495/en-us über den enthaltenen Querverweis ("To restore a previous version of a virtual domain controller VHD without system state data backup" in this article…) folgende Anleitung abgearbeitet: http://technet.microsoft.com/en-us/library/dd363545(WS.10).aspx
- Anschließend blieb „nur“ noch der Netlogon Dienst beim Start stehen mit Event 2103, NTDS General, „Die Active Directory-Datenbank wurde mit Hilfe eines nicht unterstützen Wiederherstellungsvorgangs wiederhergestellt….blabla usw…“
- Da es nur noch diesen einen DC gab, hab ich abschließend noch das hier durchgeführt: http://exchangeserverpro.com/recovering-a-single-domain-controller-from-a-usn-rollback (Mit Snapshotsicherung der heruntergefahrenen VM, haha J )
- Anschließend liefs wieder.
Eigentlich wollt ich mal nen Blogeintrag drüber schreiben oder es wenigstens dokumentieren. Naja, so hab ichs jetzt mit google auch wieder zusammengesucht bekommen… ;)
Achtung, kein Anspruch auf Vollständigkeit und Richtigkeit!
Grüße
Kai
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Peter Schneider
Gesendet: Freitag, 25. Februar 2011 17:23
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: geistige umnachtung = usn rollback
hallo meinolf,
mir ist schon klar was du meinst, aber manchmal hast du es schon mit sehr sparsamen kunden zu tun und bist schon froh, wenn du uralte server auf neuer hardware konsolidieren kannst und wenigstens dann noch zwei server lizenzen rausschlagen kannst, damit endlich auch kein terminalserver mehr auf einem dc laufen muss. es müssen tausend funktionen umgesetzt werden, für möglichst wenig geld...naja, und dann lässt man sich halt zu solchen installationen breitschlagen. ich denke mal, dass so einige hier mit dieser "kundenproblematik" zu kämpfen haben...egal, mein problem löst das jetzt leider auch nicht mehr
grüsse
peter
Von: "Meinolf Weber" <mei_web@xxxxxx>
Gesendet: 25.02.2011 17:01:24
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: geistige umnachtung = usn rollback
Ich denke Nils meint diesen Artikel: http://support.microsoft.com/kb/216498
Deine Aussage „so einiges an software und datenbanken installiert“ macht mir ja irgendwie Angst, ein DC sollte nichts anderes machen als AD-DNS-GC und wenn’s denn sein muss DHCP, allerdings mit ein bisschen erweiterter Sicherheit. Alles andere, speziell SQL, Exchange, oder andere Server Rollen und Applikationen haben nichts auf einem DC verloren.
Mit freundlichen Grüssen
Meinolf Weber
[MVP-Directory Services]
From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of Peter Schneider
Sent: Friday, February 25, 2011 5:28 AM
To: adde@xxxxxxxxxxxxx
Subject: [adde] Re: geistige umnachtung = usn rollback
hi nils,
blöderweise habe ich ja im glauben, dass nur der alt-server probleme macht, schon so einiges an software und datenbanken installiert. aber die knowledge base schaue ich mir gleich nochmal an.
danke
Von: "Nils Kaczenski" <n.ka@xxxxxx>
Gesendet: 25.02.2011 14:08:48
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: geistige umnachtung = usn rollback
Wenn es jetzt nur noch den einen DC gibt, könntest du als einfachste Sofortlösung den letzten als funktionierend bekannten Snapshot wiederherstellen. Danach musst du dann die "Überreste" des alten DC aus dem AD entfernen. Die Knowledge Base hat Anleitungen dazu, suche nach "unsuccessful domain controller demotion".
Gruß, Nils
Am 25.02.2011 10:56, schrieb Peter Schneider:
hallo zusammen
asche auf mein haupt, ich hab einen riesen bock geschossen!
folgende situation:
ein alter (und schon mitgenommener) 2003er domaincontroller wurde zu einem neuen server 2008r2 in einer esx umgebung migriert. irgendwann im unverstand habe ich ein snapshot zurückgespielt und mir dabei wohl alles verbaut. die darauf folgenden probleme habe ich zuerst auf den alten server geschoben und war irgendwann froh, dass ich den 2003er runterstufen konnte und der 2008er alle rollen und den gc übernommen hatte.
tsja und jetzt wird der anmeldedienst auf dem neuen und inzwischen einzigen 2008er dc nach dem start angehalten. wenn ich den dienst fortsetze, funktioniert zwar alles…aber sauber ist das system damit ja nun nicht. da ich jetzt nur noch einen dc habe und eigentlich auch keinen weiteren benötige, bräuchte ich auch keine replizierung mehr, oder? kann ich nicht einfach diese usn-rollback-problematik umgehen, indem ich die alten replizierungen irgendwie aus dem system bekomme und der 2008er alleiniger dc ist? zwischenzeitlich habe ich einfach mal versucht den 2003er wieder hochzustufen, funktioniert fehlerfrei, aber das problem löst sich dadurch leider nicht.
für eine lösung wäre ich euch so dankbar!
peter
--
MVP Windows Server: Directory Services
www.kaczenski.de
Twitter: @Kaczenski
www.faq-o-matic.net
MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski
