Frage Was muss nach dem Absturz eines Domänencontrollers getan werden?


Angenommen, mindestens zwei Domänencontroller waren in der Domäne vorhanden, um mit Active Directory zu beginnen, nachdem ein Domänencontroller abstürzt.


19
2018-03-14 16:05


Ursprung


Wie definierst du "Crashed"? War es nur BSOD, oder ist es tot? - Mark Henderson♦
Total tot. In meinem Fall ist sowohl das Netzteil als auch das Motherboard ausgefallen. - Nic
Ich fand diesen Artikel auch sehr nützlich. funkytechguy.blogspot.co.za/2016/06/...


Antworten:


Schritt 0: Mindestens zwei Domänencontroller haben.
Wenn Sie nur einen Domänencontroller haben und dieser so fehlschlägt, dass Sie ihn nicht wiederherstellen können, ist Ihre Domäne nicht mehr vorhanden. Ihre einzige Option besteht darin, eine komplett neue Domain zu erstellen. Dies ist ein mühsamer Prozess, der das erneute Erstellen von Benutzern, das erneute Verbinden mit Clientcomputern und Servern und das erneute Erstellen aller Sicherheitseinstellungen erfordert, die Sie je verwendet haben.


Wenn der Server absolut nicht wiederherstellbar ist, z. B. aufgrund eines Hardwarefehlers, der nicht einfach repariert werden kann, gehen Sie folgendermaßen vor, um ihn vollständig aus der Domäne zu entfernen. Sobald die FSMO-Rollen besetzt sind, ist es kritisch dass der alte Server nie wieder online gebracht wird. Überlegen Sie ernsthaft, die Festplatte zu wischen, um sicherzustellen, dass dies nie passieren kann.

  1. Stellen Sie fest, auf welchen Servern die Rollen FSMO (Flexible Single Master Operations) für die Domäne und die Gesamtstruktur ausgeführt wurden. Microsoft hat einen tollen Artikel dazu FSMO-Rollen finden.

  2. Alle FSMO-Rollen, die vom abgestürzten Server gehalten wurden, sollten auf einem fehlerfreien Domänencontroller erfasst werden. Ein weiterer Microsoft-Artikel für dieses.

  3. Die FSMO-Rolle "Infrastruktur" ist speziell und wird tatsächlich für jede Anwendungspartition angegeben. Wenn der abgestürzte Server DNS enthielt, müssen Sie sicherstellen, dass der Datensatz in jeder Anwendungspartition (DomainDnsZones, ForestDnsZones) aktualisiert wurde. Bessere Erklärung Hier und offizielle Festsetzung hier.

  4. Führen Sie eine Metadatenbereinigung durch, um Überreste aus Active Directory zu entfernen. Löschen von ausgefallenen Servermetadaten.

  5. Überprüfen Sie "Active Directory-Benutzer und -Computer" und "Active Directory-Standorte und -Dienste", um sicherzustellen, dass alle Einträge für den ausgestorbenen Server entfernt wurden.

  6. Untersuchen Sie DNS, um statische Einträge zu finden, die sich auf den ausgestorbenen Server beziehen, und löschen Sie sie entweder, weisen Sie sie neu zu, oder legen Sie einen neuen Server unter derselben Adresse ab.

  7. Wenn der abgestürzte Server ein autorisierter DHCP-Server ist, überprüfen Sie, ob er weiterhin als autorisierter Server aufgeführt ist. Wenn ja, müssen Sie möglicherweise ADSI Edit verwenden, um es aus der Liste der DHCP-Roots zu entfernen.

(Bearbeiten 2010-03-14: Graeme's Kommentar zu Schritt 0 hinzugefügt)


31
2018-03-14 16:24



Ich musste das alles auf die harte Tour herausfinden, also hoffentlich kann das jemand anderem helfen, der in meiner Position endet. - Nic
Es klingt wie ein beschissenes Wochenende, aber danke, dass du die großartige Checkliste geteilt hast. - Gomibushi
Leider kenne ich diese Schritte zu gut ...
+1, das ist eine großartige Antwort. Du hast so ziemlich alles abgedeckt. Ich würde einen "Schritt 0" für diejenigen hinzufügen, die sich nicht damit befassen mussten .... "Immer mindestens zwei DCs haben". Es ist beängstigend, wie viele Umgebungen es mit nur einem gibt. - ThatGraemeGuy
+1 für die Antwort, und auch ein Kommentar zu Graemes Kommentar - auch wenn es etwas Selbstverständliches ist, sollte es auch noch hervorgehoben werden. - Maximus Minimus