Was ist nach einem Domänencontroller-Absturz zu tun?

20

Angenommen, zu Beginn waren mindestens zwei Domänencontroller in der Domäne vorhanden. Welche Schritte müssen unternommen werden, um Active Directory nach einem Absturz des Domänencontrollers funktionsfähig zu machen?

active-directory domain-controller Nic
quelle
Wie definieren Sie "abgestürzt"? Hat es nur BSOD oder ist es total tot?
Mark Henderson
Völlig tot. In meinem Fall sind sowohl das Netzteil als auch das Motherboard ausgefallen.
Nic
Ich fand diesen Artikel auch sehr nützlich. funkytechguy.blogspot.co.za/2016/06/…

Antworten:

32

Schritt 0: Mindestens zwei Domänencontroller .
Wenn Sie nur einen Domänencontroller haben und dieser so ausfällt, dass Sie ihn nicht wiederherstellen können, ist Ihre Domäne nicht mehr vorhanden. Sie können nur eine komplett neue Domain erstellen. Dies ist ein schmerzhafter Prozess, bei dem Benutzer neu erstellt, Clientcomputer und Server neu verbunden und sogar alle Sicherheitseinstellungen, die Sie jemals verwendet haben, neu erstellt werden.

Wenn der Server absolut nicht wiederherstellbar ist, z. B. aufgrund eines Hardwarefehlers, der nicht einfach repariert werden kann, können Sie ihn wie folgt vollständig aus der Domäne entfernen. Sobald die FSMO-Rollen belegt wurden, ist es wichtig, dass der alte Server niemals wieder online geschaltet wird. Erwägen Sie ernsthaft, die Festplatten zu löschen, um sicherzustellen, dass dies niemals passieren kann.

  1. Bestimmen Sie, welche Server die FSMO-Rollen (Flexible Single Master Operations) für die Domäne und die Gesamtstruktur innehatten. Microsoft hat einen großartigen Artikel zum Auffinden von FSMO-Rollen .

  2. Alle FSMO-Rollen, die vom abgestürzten Server gehalten wurden, sollten auf einem fehlerfreien Domänencontroller belegt werden. Ein weiterer Microsoft-Artikel zu diesem Thema.

  3. Die FSMO-Rolle "Infrastruktur" ist speziell und wird für jede Anwendungspartition angegeben. Wenn der abgestürzte Server über DNS verfügt, müssen Sie überprüfen, ob der Eintrag in jeder Anwendungspartition (DomainDnsZones, ForestDnsZones) aktualisiert wurde. Bessere Erklärung hier und offizielle Lösung hier .

  4. Führen Sie eine Metadatenbereinigung durch, um Reste aus Active Directory zu entfernen. Ausgestorbene Server-Metadaten löschen .

  5. Überprüfen Sie "Active Directory-Benutzer und -Computer" und "Active Directory-Standorte und -Dienste", um sicherzustellen, dass alle Einträge für den ausgestorbenen Server entfernt wurden.

  6. Untersuchen Sie DNS, um statische Einträge zu finden, die sich auf den ausgestorbenen Server beziehen, und löschen Sie sie, weisen Sie sie neu zu, oder legen Sie einen neuen Server an derselben Adresse ab.

  7. Wenn der abgestürzte Server ein autorisierter DHCP-Server war, überprüfen Sie, ob er noch als autorisierter Server aufgeführt ist. Wenn ja, müssen Sie möglicherweise ADSI Edit verwenden, um es aus der Liste der DHCP-Roots zu entfernen.

(Edit 2010-03-14: Graemes Kommentar zu Schritt 0 hinzugefügt)

Nic
quelle
Ich musste das alles auf die harte Tour herausfinden, also kann das hoffentlich jemand anderem helfen, der in meiner Position landet.
Nic
Klingt nach einem beschissenen Wochenende, aber danke, dass du die tolle Checkliste geteilt hast.
Gomibushi
Leider bin ich mit diesen Schritten zu vertraut ...
5
+1, das ist eine großartige Antwort. Sie haben so ziemlich alles abgedeckt. Ich würde eine "Stufe 0" für diejenigen hinzufügen, die sich damit nicht befassen mussten .... "Immer mindestens 2 DCs haben". Es ist beängstigend, wie viele Umgebungen es mit nur einer gibt.
ThatGraemeGuy
1
+1 für die Antwort und auch eine Aufwertung von Graemes Kommentar - auch wenn es etwas ist, das für selbstverständlich gehalten werden sollte, sollte es dennoch hervorgehoben werden.
Maximus Minimus