Toon posts:

HOWTO: 2000 - Overblijvende domeincontroller herstellen

Pagina: 1
Acties:
  • 4.334 views sinds 30-01-2008

zaterdag 14 februari 2004 20:46

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

Topicstarter
(overleden)

HOWTO: Windows 2000 Active Directory op een overblijvende domeincontroller herstellen

Inleiding


Howto Windows 2000 Active Directory op een overblijvende domeincontroller herstellen.

Het kan zomaar ineens gebeuren. In je Active directory organisatie houdt zomaar de domeincontroller er mee op die een of meerdere FSMO (Flexible Single Master Operations) rollen houdt.

Als je een volledige backup van deze server hebt zijn er verschillende manieren om deze server te herstellen.

In deze howto gaan we in onze testkeuken een domeincontroller herstellen die zich bevindt in een organisatie met een enkel domein met twee domeincontrollers waarvan '2KSVR', de eerste domeincontroller, alle FSMO-rollen bezit en de 'Global catalog server' is voor de organisatie. Plotseling valt de harde schijf van '2KSVR' onherstelbaar uit. We hebben geen backup.

De overgebleven domeincontroller zal de afwezigheid van deze server vrij snel opmerken en een diversiteit van foutmeldingen gaan geven. De meeste zijn ook terug te vinden in de 'Event Viewer', te bereiken via : 'Start > Control panel > Administrative tools'. We zullen op '2KSVR2', de overgebleven domeincontroller, het een en ander moeten doen om het domein weer correct te laten functioneren.
Als de dns-zones 'Active directory integrated' waren, zal in de meeste gevallen de overgebleven domeincontroller zichzelf na verloop van tijd of bij een reboot grotendeels herstellen.
Dit is geheel aan de gesteldheid van het domein voor de crash. Als er fouten voorkwamen in de 'event logs' voor de crash, bestaat de kans dat dit niet plaats zal vinden.

Op de tweede domaincontroller '2KSVR2' is DNS geinstalleerd en draaide op het moment van de crash de dns-zone van disaster.recovery als 'Standard Secondary zone'
In een toekomstige Howto kom ik terug op handmatig configureren van DNS voor Active Directory.

Als je bij een willekeurige stap van deze howto tegen problemen of foutmeldingen aanloopt, start de server even opnieuw op en probeer het opnieuw. Je kan het beste op Google, met de GoT-zoekmachine of opde Microsoft website zoeken naar een oplossing als de operatie dan nog niet uitgevoerd kan worden..
Benodigdheden :

  • Een mega grote dosis pech
  • Een alleen overgebleven Windows 2000 domeincontroller.
  • De Windows 2000 installatiecd.
  • De Bestanden van het Service Pack wat op de server is geinstalleerd.
  • Het wachtwoord van de 'Administrator' account of een ander lid van de 'Enterprise Admins' groep in de organisatie waarop geen restricties actief zijn. Een ander account kan deze operatie niet voltooien.
  • De mogelijkheid de server enkele malen te herstarten. Voer deze procedure uit vanaf de console. Maak in een productie omgeving een duidelijke planning voor het geval er toch iets fout gaat. Informeer gebruikers om dataverlies en misverstanden over netwerktoegang tot een minimum te beperken.
« ·^

De FSMO rollen van Active Directory


De vijf FSMO rollen zoals zojuist genoemd zijn taken die maar door een server in een domein of organisatie verricht kunnen worden. Hieronder vind je een korte omschrijving van de verschillende rollen :
Organisatie FSMO's :

  • Domain Naming Master - Deze zorgt ervoor dat de domeinnamen binnen de organisatie uniek blijven. Enkel op deze domeincontroller is het mogelijk een domein compleet uit de Active Directory te verwijderen. Deze rol is per organisatie eenmaal aanwezig.
  • Schema Master - Beheert wijzigingen aan het schema voor de hele organisatie. Deze rol is eveneens uniek in de organisatie.

Domein FSMO's :

  • PDC emulator - Emuleert voor pre- Windows 2000 computers de in Windows NT domeinen aanwezige Primaire Domein Controller.
  • RID Master - De Relative ID Master beheert de SID-pools binnen het domein. SID's zijn aan ieder object toegewezen unieke beveiligingscodes. De afwezigheid bemoeilijkt het creeren van objecten in het domein.
  • Infrastructure Master - Verantwoordelijk voor het doorgeven van wijzigingen aan objecten in het domein naar andere domeinen in de organisatie.


Meer informatie over de FSMO rollen is op de website van Microsoft te vinden :


Een andere belangrijke rol in een domein heeft de 'Global Catalog' server. Deze bevat een beperkte kopie van objecten in de organisatie en alle
objecten van het domein waarin deze zich bevindt en wordt onder andere gebruikt om aanmeldingen te verwerken. Een gevolg van het wegvallen van de
'global catalog' betekent onder andere dat enkel 'Administrators' zich nog mogen aanmelden. Een domein/organisatie kan meerdere global catalog servers hebben.
Dit kan in grotere netwerken het aanmelden versnellen. Omdat deze servers veel informatie over de gehele organisatie bevatten kan dit wel veel dataverkeer veroorzaken.

Microsoft adviseert om optimale replicatie tussen domeincontrollers te bewerkstelligen de 'Infrastructure Master' FSMO-rol niet aan een 'Global Catalog' toe te wijzen.
Voor optimale performance wordt aangeraden de 'PDC' en de 'RID Master' op dezelfde server onder te brengen. De 'Domain Naming Master' kan het beste op een 'Global Catalog' ondergebracht worden.

Met de onderstaande stappen kan je achterhalen waar de FSMO rollen zich op dit moment bevinden. Als je een rol wil verplaatsen vanaf een domeincontroller welke zich nog in het netwerk bevindt, kan je middels onderstaande stappen deze klus klaren :

Locatie van de domein FSMO's bekijken


Aan welke servers de rollen PDC Emulator, RID Master en Infrastructure Master zijn toegewezen vind je in het scherm 'Active Directory Users and Computers' via 'Start > Control panel > Administrative tools'. Met een rechtermuisklik selecteren we de optie 'Operations Masters'.

Fig. 1:
check domain FSMO


Het venster 'FSMO Masters' opent. Je ziet dat de huidige operations-master off-line is en de rol niet overgedragen kan worden. Als echte Tweaker merk je natuurlijk direct op dat je wel op het knopje 'Change' kan klikken en doet dit ook :

Fig. 2:
FSMO domain master


Er wordt gevraagd of je zeker weet wat dat de rol wilt overhevelen. Als je 'Yes' klikt krijg je figuur 4 te zien.

Fig. 3:
transfer verify


De operatie wordt afgebroken omdat de huidige FSMO houder '2KSVR' niet bereikbaar is.

Fig. 4:
transfer aborted

Locatie van de 'Schema Master' bekijken


De 'Schema Master' van een organisatie is met de MMC (Microsoft Management Console) snap-in 'Active Directory Schema' te vinden. Deze is niet standaard als snelkoppeling onder 'Administrative tools' beschikbaar. Je kan deze als volgt handmatig zichtbaar maken :

Klik op 'Start > Uitvoeren'. Type hier 'mmc' en klik 'Ok'

Fig. 5:
start run mmc


Een leeg MMC verschijnt. Start het creeren van de snap-in door 'CTRL+M' te toetsen of 'Console > Add/remove snap-in' te klikken.

Fig. 6:
create mmc


Het 'Add/remove snap-in' venster opent. Klik hier op 'Add'

Fig. 7:
add snap-in


Klik in dit venster op 'Active directory Schema', gevolgd door 'Ok' en 'Close'
Als deze snap-in niet beschikbaar is heb je waarschijnlijk de 'administration tools' niet geïnstalleerd. Je kan deze installeren door het bestand 'adminpak.msi' uit te voeren. Dit staat in de map C:\WINNT\System32\. Je kan ook volstaan met het commando 'regsvr32 schmmgmt.dll'. Het bestand zou al in de eerder genoemde map moeten staan.

Fig. 8:
choose snap-in


Je hebt nu succesvol een MMC gemaakt en de snap-in 'Active Directory Schema' hieraan toegevoegd.Gebruik deze snap-in niet zonder verregaande kennis van het schema. Een enkele kleine foutieve wijziging op de verkeerde plaats kan fatale gevolgen hebben voor je hele domein/organisatie !!!
Je wilt nu enkel weten welke server de 'Schema Master' is, en met een rechtermuisklik selecteer je 'Operations Master'

Fig. 9:
schema master check


Het 'Schema Master' scherm komt tevoorschijn. Hier is het eveneens niet mogelijk om de rol over te hevelen omdat de huidige houder niet beschikbaar is. Het knopje is wel aanwezig. En omdat een tweaker zich niet twee keer aan dezelfde steen stoot bedwingen we dit keer de nieuwschierigheid en klikken op 'Cancel' om het venster te sluiten.

Je kan het venster nu op de gebruikelijke wijze sluiten. Er wordt gevraagd of je het huidige console op wilt slaan. Geheel naar eigen keuze kan je dit wel of niet doen. Vooral gemakkelijk als je vaker met de snap-in werkt.

Fig. 10:
schema master

Domain Naming Master bekijken


De 'Domain Naming Master' vind je in 'Active Directory Domains and Trusts'. Via 'Start > Control panel > Administrative tools' te bereiken. Klik met de rechter muisknop op 'Operations Master'

Fig. 11:
DN master


Het nu verschenen venster laat zien waar de rol zich op dit moment bevindt. De oude weggevallen '2KSVR' in dit geval. Hier is het transferknopje wel uitgeschakeld. Klik dus op 'close' om dit venster te sluiten.

Fig. 12:
change DN master

De FSMO rollen gelokaliseerd


Je weet nu waar de rollen zich bevinden. Dit is erg nuttig als je niet zeker wist waar de rollen zich bevonden voordat je begon met het lezen van dit kookboek en er voor de crash meer dan twee domeincontrollers waren.

« ·^

Aan de slag ...


Als je bovenstaande goed hebt gelezen en begrepen kan je beginnen aan de herstelklus.
Maak een volledige backup (liefst met twee verschillende programma's) en verifieer dat deze succesvol was/waren alvorens verder te gaan.

Stap 1: DNS herstellen


Domeincontroller '2KSVR2' was op het moment van de crash secundaire dns-server voor het domein 'Disaster.Recovery'. Nu de primaire server definitief uitgeschakeld is bestaat de primaire server niet meer. Met een paar handelingen gaan we deze server primair maken voor deze zone.

Meer algemene informatie over dns vind je in de door mutsje gemaakte howto Windows2000 : DNS tips en uitleg.

We gaan dit deel van het herstelproces beginnen in de mmc snap-in 'DNS', welke je kan openen middels 'Start > Control panel > Administrative tools'.

Fig. 13:
dns mmc open


Als in dit scherm de oude server nog aanwezig is, kan je deze door middel van een rechtermuisklik op de naam en het selecteren van de optie 'Delete' verwijderen. Met een rechtermuisklik op de dns-zone voor 'Disaster.Recovery' selecteer je 'Properties' en ziet figuur 14.

Fig. 14:
dns mmc


De eigenschappen van de dns-server zijn verdeeld over vijf tabbladen. We zullen deze een voor een doorlopen en de benodigde wijzigingen aanbrengen.

Klik op de knop 'Change'.

Fig. 15:
zone tab general before


Je krijgt nu een venster te zien waarin je het type zone op mag geven. In dit geval is gekozen voor een 'Standard Primary' zone. Als je graag in AD geintegreerde dns wilt draaien kan je de zone op dit moment omzetten. Hier kies ik 'Standard primary' en 'Ok' om verder te gaan.

Fig. 16:
dns zone type


Je keert nu terug naar het tabblad 'General'. Dit ziet er na het wijzigen van het zone type iets anders uit.Je hebt nu de mogelijkheid om dynamische dns updates toe te staan. Dit scheelt veel werk bij het onderhouden van je dns zone. Nu kiezen we voor 'Yes' zodat Active Directory straks de benodigde records kan creeren en updaten.

Fig. 17:
zone tab general after


Op dit tabblad kan je de 'Primary Server' aanpassen als hier de naam van de oude server nog vermeld wordt.

Fig. 18:
zone tab SOA


Het volgend tabblad is 'Name servers'. Selecteer hier de oude server en klik op 'Remove'.

Fig. 19:
zone tab NS


In figuur 20 zie je 'WINS'. Vul hier de betreffende IP adressen in als deze service op je netwerk in gebruik is. Deze is nuttig voor pre Windows 2000 besturingssystemen.

Fig. 20:
zone tab WINS


Aangekomen bij het laatste item 'Zone Transfers' kan je aangeven of er andere servers een kopie van de zone mogen draaien. Vul hier de juiste ip-adressen in.

Fig. 21:
zone tab transfers


Herstart nu je dns-server :

Fig. 22:
dns restart


Je DNS zone zou nu weer naar behoren moeten werken. Herhaal deze procedure voor eventuele andere zones welke op de andere server draaiden.

De werking is te controleren door met bijvoorbeeld 'nslookup' een naam op te vragen. Of een FQDN (Fully Qualified Domain Name) te pingen.

De dns records van de oude server kan je het beste verwijderen nadat je dit gehele stappenplan hebt voltooid. Een groot aantal ervan zal omdat we 'Dynamic updates' hebben aangezet automatisch aangepast of verwijderd worden.

Stap 2: Domein tijdserver herstellen


De uitgevallen domeincontroller hield de pdc-rol. Deze is aangewezen als hoofd-tijdserver in het domein. Overige domeincontrollers synchroniseren met de server of met de domeincontrollers in bovengelegen domeinen in complexere structuren. Clients synchroniseren doorgaans de tijd met de domeincontroller welke de aanmelding verwerkt. Je zal dus een nieuwe externe tijdbron moeten authoriseren op deze server. Dit doe je met de 'Command Prompt' een venster dat lijkt op het vroeger veel gebruikte besturingssysteem Microsoft DOS. Het emuleert ook bepaalde functies hiervan. Wat het mogelijk maakt om oudere DOS programmas te gebruiken in de nieuwere OS'en. Ook is het nuttig voor vele beheerfuncties. Het is te bereiken via 'Start > Run'

Fig. 23:
start run


Type 'cmd' en klik 'Ok'. Deze commando prompt zul je in volgende stappen ook tegenkomen.

Fig. 24:
run 'cmd'


Op de commando prompt typ je 'net time /setsntp:ServerNaam' gevolgd door 'Enter' Waar in dit geval de tijdserver van Microsoft, 'time.microsoft.com', als 'ServerNaam' is gekozen. Uiteraard volstaat het adres van iedere tijdserver.

Fig. 25:
set sntp

Stap 3: De server 'Global Catalog' maken en replicatie Active
Directory verwijderen


Met het het uitvallen van de root-domaincontroller is ook de enige in het netwerk aanwezige 'Global Catalog' verdwenen. We gaan dus deze domeincontroller 'global catalog' maken. Dit doe je door de mmc snap-in 'Active Directory Sites and Services', onderdeel van het adminpak, te openen. Te vinden in het configuratiescherm onder 'Administrative tools'. Klap de opties open totdat je bij 'NTDS Settings' bent van de overgebleven server. Selecteer in het rechtermuisklik menu de optie 'Properties'

Fig. 26:
gc 1


In het nu geopende venster kan je de optie 'Global catalog' aanzetten. Klik 'OK' om terug te keren naar het vorige scherm. Herhaal deze procedure voor de oude domeincontroller. Schakel bij deze server 'global catalog' uit.

Fig. 27:
gc 2


In dit zelfde scherm zien we in het rechter vak de replicatieinstellingen. Verwijder deze met een rechtermuisklik gevolgd door 'delete' op beide servers.

Fig. 28:
replication paths

Stap 4: De FSMO's met het programma 'Ntdsutil' via de command-line gedwongen overnemen


De huidige houder van de vijf FSMO-rollen valt niet meer te benaderen. Een 'Secure transfer' kan zoals je gezien hebt in figuur 2 niet meer uitgevoerd worden. We zullen met behulp van het programma 'ntdsutil' de rollen geforceerd over moeten nemen. De vakterm hiervoor is 'Seize'. 'Ntdsutil' is op te roepen via de 'command prompt'. Type 'ntdsutil' gevolgd door 'Enter'.

Fig. 29:
ntdsutil


Door '?' of 'help' te typen in de meeste vensters kan je meer informatie en opties opvragen. Toets 'Enter' na ieder commando dat je intypt.

Als eerste gaan moet 'ntdsutil' verbinding maken met de domeincontroller. Om dit mogelijk te maken is het essentieel dat dns weer draait !

Type de volgende commandos :

  1. roles
  2. connections
  3. connect to server 2KSVR22 (vervangen door je eigen servernaam of 'localhost')


Je hebt zojuist 'ntdsutil' succesvol verbonden met Active Directory, gefeliciteerd !

Fig. 30:
ntdsutil connect

Domain Naming Master seize


Type 'exit' om de 'server connections' te verlaten en terug te keren naar de 'fsmo maintenance' prompt.

Als eerste gaan we de 'Domain Naming Master' seizen. Typ hiervoor 'seize domain naming master'.

Fig. 31:
seize dnm


Er verschijnt nu een popupvenster die om bevestiging vraagt. Klik hier op 'Yes'. Er wordt nu eerst nog geprobeerd om via de bekende protocollen een 'secure transfer' uit te voeren. Omdat de huidige houder niet bereikbaar is faalt ook deze poging en wordt de seize voortgezet. Als de seize succesvol is zal in het overzicht van rollen nu achter 'Domain' de naam van de overgebleven server vermeld worden. Dit venster is bij iedere seize hetzelfde. Hieronder zie je dit venster.

Fig. 32:
seize success

Schema Master seize


De volgende rol is de 'Schema Master'. Type hiervoor 'seize schema master'. Er verschijnt een dialoog. Bevestig deze met 'Yes'. De schema-rol is geseized.

Fig. 33:
start run

Infrastructure Master seize


Als derde seizen we de 'Infrastructure Master'. Type hiervoor 'seize infrastructure master'. De inmiddels bekende popup verschijnt. Klik 'yes' om te bevestigen en ook de infra-master is geseized.

Fig. 34:
infrastructure master seize

Relative ID Master seize


De laatste rol die je via de command prompt gaat seizen is de 'Relative ID Master'. Type hiervoor 'seize rid master'.

Fig. 35:
rid master seize


Een waarschuwing verschijnt dat de server niet gesynchroniseerd is met de andere servers in het netwerk. Logisch, aangezien de server net 'RID master' is geworden. Klik 'yes' om deze synchronisatie nu uit te voeren.

Fig. 36:
rid master synchronization

PDC Emulator seize

Om de 'PDC' te seizen moet je nu de server opnieuw opstarten.

Open 'Active Directory Users and Computers' en selecteer 'Operations Masters'

Fig. 37:
seize pdc 1


Selecteer het tabblad 'PDC' en klik 'Change'

Fig. 38:
seize pdc 2


Er wordt om bevestiging gevraagd. Klik op 'Yes'.

Fig. 39:
seize pdc 3


Er verschijnt een melding van toepassing indien het domein in 'Mixed Mode' opereert en het domein een of meerdere BDC's (Backup Domain Controller) met het besturinggsysteem Windows NT 4 bevat. Klik 'Ja' om verder te gaan.

Fig. 40:
seize pdc 4


De melding verschijnt dat de 'transfer' is mislukt. Je krijgt nu de mogelijkheid om de overname hiervan met 'Ok' te forceren, en hierbij de laatste FSMO-rol te seizen.

Fig. 41:
seize pdc 5


Nu komt de melding in beeld dat rol succesvol is overgenomen en klik je 'Ok' om het venster te sluiten.

Fig. 42:
start run

Stap 5: De verwijzingen in de AD database verwijderen


In de Active Directory database zijn nog vele verwijzingen aanwezig naar de oude domeincontroller. Deze gaan we met het programma 'ntdsutil' verwijderen.

Start 'ntdsutil'. Kies de optie 'Metadata cleanup'. Maak volgens de hierboven reeds beschreven procedure verbinding met de domeincontroller.
Zodra je die verbinding hebt gemaakt keer je terug naar de 'metadata cleanup' prompt.
Hier moet je het 'operation target' nu selecteren. In figuur 43 zijn de volgende commando's en hun output achtereenvolgens te zien zoals we deze in de testomgeving gebruiken. Selecteer hier uiteraard de opties die op jouw situatie van toepassing zijn.

  1. select operation target
  2. list sites
  3. select site 0
  4. list domains in site
  5. select domain 0
  6. list servers in site
  7. select server 0

Je hebt nu de server '2KSVR' geselecteerd als 'operation target'. Type nu 'quit' om terug te keren naar de 'metadata cleanup' prompt.

Type nu het commando 'remove selected server'.

Fig. 43:
metadata target


Er verschijnt een venster waarin gevraagd wordt of je zeker weet dat je de verwijzingen uit de Active Directory database wilt verwijderen. Klik hier 'Yes'.

Fig. 44:
metadata confirm


Er verschijnt nu de melding dat de opruiming voltooid is.

Fig. 45:
metadata remove succes

Stap 6: De server uit de Active Directory Site verwijderen


Enkele stappen verwijderd van de volledige recovery kun je nu het serverobject uit de site verwijderen. Open hiervoor 'Active Directory Sites and Services'. Met een rechtermuisklik op de servernaam selecteer je 'Delete' om de server te verwijderen.

Fig. 46:
delete from site


Je wordt gevraagd je actie te bevestigen. Klik op 'Yes' om verder te gaan.

Fig. 47:
confirm site delete


Nadat je hebt bevestigd wordt het object verwijderd. Hierdoor blijft in dit geval '2KSVR2' als enige over in de site.

Fig. 48:
start run

Stap 7: Handmatig server-object uit Active Directory verwijderen


Het laatste dat overblijft is het computerobject van de server. Je hebt reeds alle verwijzingen hiernaar ongedaan gemaakt en kunt het nu met behulp van het programma 'adsiedit' zonder problemen verwijderen uit de Active Directory.

Om het programma te installeren kopieer je de bestanden 'adsiedit.dll' en 'adsiedit.msc' uit het archiefbestand 'support.cab', te vinden in de directory 'SUPPORT\TOOLS' op de Windows installatie-cd naar de map 'System32' welke zich in de Windows-directory 'WINNT' op de harde schijf bevindt.

Open nu een 'command prompt' en type daar 'regsvr32 adsiedit.dll'

Fig. 49:
register adsiedit dll


Voer nu vanaf de opdrachtprompt 'adsiedit.msc' uit. Pas op wat je doet met 'adsiedit'. Een verkeerd object verwijderen kan catastrofale gevolgen hebben !

Fig. 50:
start adsiedit


Selecteer de server in de adsi-editor. In deze howto is de server in een andere OU geplaatst. Selecteer met een rechtermuisklik 'Delete' om het object te verwijderen.

Fig. 51:
delete object


Je moet deze actie bevestigen. Klik op 'Ok' om het verwijderen voort te zetten.

Fig. 52:
confirm delete object


Enkel nog bevestigen dat alles in de 'container', het serverobject, gewist mag worden door 'Ok' te klikken voltooit deze kookcursus 'Disaster Recovery'

Fig. 53:
confirm delete sub-items


Stap 8: Het herstelproces voltooid


Nadat je al deze handelingen hebt uitgevoerd is het tijd om de server opnieuw op te starten. Je zal eventueel netwerkverbindingen en dergelijke nog moeten verwijderen. Net als snelkoppelingen op bijvoorbeeld het bureaublad naar de oude server.
Als er Exchange of andere Active Directory geintegreerde software aanwezig is, en je wenst deze eveneens te herstellen, kan je nu de betreffende 'disaster recovery' procedure beginnen. Meer informatie is te vinden op de support site van de betreffende leverancier.

« ·^

Thanks to


Deze Howto is gemaakt door sanfranjake.
Op- of aanmerkingen en suggesties kan je doorgeven aan de WOS moderators.

Mocht er op enig moment een foutmelding optreden kan je wellicht met de gegeven foutmelding een oplossing zoeken op Google, de GoT-zoekmachine of de Microsoft website.

« ·^

Lijst met figuren

« ·^

Inhoudsopgave


[ Voor 255% gewijzigd door sanfranjake op 23-12-2005 12:58 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Dit topic is gesloten.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq