Återställa Active Directory

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Apr 2005

Återställa Active Directory

Går det att återställa Active Directory från en server som HAR varit domänkontrollant samt kört Active Directory? Om så är fallet, hur?

Problemet är att vi fick in en ny server som skulle ersätta den gamla som vid det här laget gick på knä. Den nya servern stoppades in som domänkontrollant (dcpromo) tillsammans med den gamla så allting replikerades mellan dessa och allt var frid och fröjd tills den gamla skulle plockas ner för gott.
Jag körde dcpromo igen på den gamla då och följde bara anvisningarna för att ta bort den. IP-nummer och hostnamn skulle flyttas över till nya servern och det var då allting började strula. Eftersom att den gamla servern nyligen plockats bort så fanns det namnet kvar i DNS-registret och jag blev tillfrågad om jag ändå ville byta. Tänkte inte så mycket på det utan godkände bara. Efter omstart så vägrade den släppa in något användarnamn från AD och lokal inloggning funkade inte.
Hittade då ett tips på Technet om att köra senaste fungerande konfigurationen och det sabbade allt. Den senaste fungerande var tydligen från precis innan jag körde dcpromo på nya servern. Så nu står jag här med två servrar som letar efter varandra men samtidigt borde båda ha kvar någon information om GPO-regler och alla användare i Active Directory och frågan är då om det går att återställa från det läget jag är i nu.

Jag vet att NTDS.dit-filen inte räcker men skulle det funka med en backup av "System State" och sedan köra dcpromo igen och återställa efteråt?

(Ja, jag vet att mer än en domänkontrollant är att rekommendera men det är svårt för mig att övertala chefen till att köpa in ytterligare en server för att säkra nätverket när det totalt sett består av 11 klienter)

Tacksam för svar.

Tillägg:
Kör jag dcpromo igen på nya servern så frågar den om den ska skriva över filerna i SYSVOL och NTDS. Det känns som att om man kunde få Windows att återanvända de gamla filerna istället för att skriva över dem så borde ju allt kring AD finnas kvar.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2011

Det låter som om du nått ett läge likvärdigt med tombstone-problematik.
Underligaste av allt är lokal inloggning inte skulle fungera, såvida du inte nyttjat USMT vid servermigrering (tror SBS migration tool bla. nyttjar denna).
Jag skulle börja med att ångra tillbakarullningen på den nya servern till "Last known good config" och sedan rensa ur metadata manuellt med ADSIEDIT från den för att bli av med den gamla servern.
SID:arna bör vara i sin ordning, dock har du ställt till det med DNS:en genom att ge den samma hostname som gamla (skulle jag aldrig rekommendera vid migrering), så DNS:en bör du också gå igenom manuellt och kolla av matchning.

Alternativt, om du har en full backup/bare metal backup (innan du demotade den med dcpromo) så kan du återställa gamla servern och börja om på nytt, jag skulle i ditt fall då läsa på "Swing migration" för att undvika just liknande problem som du har just nu.

Potentiellt nyttiga länkar:
http://technet.microsoft.com/sv-se/magazine/2007.09.tombstone...
http://swingmigration.itproexperts.com/

Lycka till.

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Apr 2005

Hur ångrar man en sådan sak på Windows 2008 Server då? Mig veterligen är "Last known good configuration" en enkelresa på servrar?

Trädvy Permalänk
Medlem
Plats
A.ROOT-SERVERS.NET
Registrerad
Jul 2001

Flyttade du över FSMO rollerna till den nya innan du körde dcpromo på den gamla?

Medlem #14

CISSP, MCT,MCITP, MCSE+Security, MCSE+Messaging, Inet+, Network+,MCT, MCP,CNA, CCA, CCNA, A+

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2011
Skrivet av Squall Leonhart:

Hur ångrar man en sådan sak på Windows 2008 Server då? Mig veterligen är "Last known good configuration" en enkelresa på servrar?

Du gör det inte med "System Restore" som på klientoperativ utan istället genom genom registerändringar:
http://blogs.technet.com/b/askcore/archive/2011/08/05/last-kn...

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Apr 2005

Jag tackar och bockar för svaren. Jag fick dock bita i det sura äpplet och återskapa allt från början. Tack och lov så är det bara ett 30-tal användare och de flesta GPO-reglerna är av estetisk sort såsom klassisk startmeny eller att senaste inloggningsnamnet inte ska stå kvar efter utloggning.

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Okt 2003

Tänkte också på FSMO. Glöm aldrig det. Har du inte alla 5 rollerna så blir det strul. Jag antar att du var forest root dc?

Chassi: Aerocool DS, PSU: Corsair AX750w, CPU: Intel 4670k, MB: Asus Maximus VII Hero CPU-Cooler:: Hyper 212, GPU: Zotac 1070 AMP Ram: Corsair Vengeanance 16GB, HD:s: Samsung 850 128gb, Crucial MX 100 256GB
Övrigt: HTPC - mITX Kit * HP Proliant Microserver Gen8 * Synology DS214+