windows 2008 r2 AD melegtartalékolása

Microsoft Windows

Tudomásom szerint létrehoztam egy meleg tartalékot, ami jelenleg nem működik.
környezet:
1. fő tartománykiszolgáló szerepkör
win2008 r2 AD 1.1.1. IP tartományon
A dns az AD-ba integrálva

2. Tartományvezérlő meglévő tartományon szerepkör
win2008r2 AD 1.1.2 IP tartományon
A dns az AD-ba integrálva

Látszólag minden rendben, a a címtár replikálódik a két kiszolgáló között, nem látni különösebb anomáliákat.

De !!!
Ha a főkiszolgáló hálózati kapcsolatát megszüntetem, vagy kikapcsolom akkor a másik kiszolgáló nem veszi át a feladatokat nem szolgáltatja a címtárat. A tartalékot megnézve, abban a pillanatban nem is látja a tartományt. Nem értem, tudomásom szerint át kellene vennie a kiszolgálást, vagy nem ér az egész semmit. windoww 2003-assal működött, igaz ott egy IP tartományon voltak (ez nem lehet hatással szerintem). Normál esetben a tartomány normálisan működik.
Mit nézzek meg a kapcsolatoknál ?, mit lyen ötletetek van ?

Köszönöm a segítséget.

  • 9569 megtekintés

( trey | 2015. 02. 08., v – 10:59 )

Mi nem "látja" a tartományt? A kliensek? DHCP-ben beállítottad, hogy terjessze a másik DC szervert mint DNS szervert? Ha nem DHCP van, akkor fixen megadtad a klienseken mindkét DNS szervert? Ha az elsődleges DNS kiesik, a feloldás nyilván lassabb lesz valamivel.

A "melegtartalékolás" szó ide szerintem nem való. Ez az AD tervezett működése (mármint nem egy, hanem több DC kiszolgálód van), itt semmiféle tartalékról nincs szó.

--
trey @ gépház

Annyiban értettem meleg tartalékolásnak, hogy ha egy tartomány vezérlő kiszáll, akkor a másik átveszi a feladatokat. Ez valóban az AD működés sajátja.

A kliensekig nem szükséges eljutnom szerintem, mert a második tartományvezérlő elveszti a kapcsolatot a címtárral, ahogy a főkiszolgálóval megszakad a kapcsolat. Nekem ez a furcsa. Hogyan vegye át a terjesztést ha még maga sem látja. Egyébként a munkaállomásokon beállításra kerültek a második tartományvezérlő címe is, és a dhcp kiszolgálón is.

Sajnos valóban voltak a teszt során nem megfelelt bejegyzések. Összefüggés van a két kiszolgáló hibáinál.

A főkiszolgálón és a további tartományvezérlőn:

sysvol megosztási hiba:

Alapobjektum leírása: "tartományvezérlői fiókobjektum"
Értékobjektum attribútumneve: frsComputerReferenceBL
Értékobjektum leírása: "SYSVOL FRS-tagobjektum"

A replikációs szoláltatásoknál is feltűnik a hiba.
Hibaablak tartalam:domain (sysvol Share)
nem sikerült replikálni a tagságviszony-objektumot a helyi tartományvezérlőre.

Hú de szuper, ha esetleg van valami ötleted szívesen fogadom, köszönöm.

"ha egy tartomány vezérlő kiszáll, akkor a másik átveszi a feladatokat" - az AD nem így működik, ez zavaróan pontatlan így.

"tartományvezérlő elveszti a kapcsolatot a címtárral" - ezt hogyan kell érteni? Egy AD-ben a tartományvezérlő saját maga a címtár. Mi a tünet/hibaüzenet?

"még maga sem látja" - ezt miből látod?

Üdv,
Marci

Nem gondoltam fogalmi kérdésekkel különösen foglalkozni, de úgy látom nem vagyok érthető, nem jól fogalamzom.

Én úgy gondolom, hogy mindkét tartományvezérlőnek címtárral kell rendelkeznie, melyek egymást frissítve tartják "naprakészen az objektumokat, beállításokat, stb...) Na most jelenleg ha a főkiszolgáló nem elérhető, akkor a másik tartományvezérlő nem lát címtárat, nincs kapcsolat a saját címtárával. Normális működésnél a tartományvezérlő átveszi a feladatokat, és ha rendbe jön a főkiszolgáló, akkor majd a változásokat szinkronizálja a másik dc-vel.

A tünetre, és hibára akkor gondolok, amikor a kiszolgálókezelő ablakban ki szeretném bontani a címtárat,és nem lehet mert "nincs kapcsolat" hiba fogad.

Mi van DNS szervernek beállítva a második gépen?
Mit mond egy nslookup a domain FQDN-re?

"a kiszolgálókezelő ablakban ki szeretném bontani a címtárat,és nem lehet mert "nincs kapcsolat" hiba fogad."
Ez nem jelenti azt, hogy nem működik a címtárad. Csak annyit jelent, hogy nem tud hozzákapcsolódni a management eszköz,
aminek az oka akár az is lehet, hogy nem tudja feloldani a nevét!

Üdv,
Marci

Alant látod a dcdiag tartalmát.Mármint téma alján

Itt az nslookup eredmények:

Az elsőleg telepített főkiszolgálóról:

Kiszolgáló: win-8o133jvda7n.ze.t
Address: 1.1.1.82

Név: gc._msdcs.ze.T
Addresses: 1.1.6.71
1.1.1.81 már nem működik !!!
1.1.1.82

A másik kiszolgálóról indítva:

Kiszolgáló: A-domain.ze.t
Address: 1.1.6.71

Név: gc._msdcs.ze.T
Addresses: 1.1.1.82
1.1.1.81 már nem működik !!!
1.1.6.71

Az újabb szerver dns beállítása: 1.1.6.71-es első szerver.

napló:

Első szerver Hiba:
Ez a tartományvezérlő a SYSVOL megosztást már az elosztott fájlrendszer replikációs szolgáltatásával replikálja. A fájlreplikációs szolgáltatás nem SYSVOL tartalomkészlet replikálására már nem használható, ezért a szolgáltatás leállt. Az elosztott fájlrendszer replikációs szolgáltatása javasolt a replikálás elvégzésére mappáknál, a SYSVOL megosztásnál tartományvezérlőkön, illetve elosztott fájlrendszerbeli csatlakozási pontok céljainál.

Újabb szerver hiba:
Az elosztott fájlrendszer replikációs szolgáltatása inicializálta a SYSVOL mappát a(z) C:\Windows\SYSVOL\domain elérési úton, és a kezdeti replikáció végrehajtására vár. A replikált mappa az eredeti szinkronizációs állapotban marad mindaddig, amíg replikálása meg nem történik a(z) A-domain.ze.t partnerrel. Ha a kiszolgáló előléptetés alatt állt tartományi kiszolgálóvá, a tartományi kiszolgáló nem fog hirdetni és működni a probléma megoldásáig. A hiba oka lehet, hogy az adott partner szintén kezdeti szinkronizációs állapotban van, vagy ha megosztásmegsértés történt a kiszolgálóval vagy a szinkronpartnerrel. Ha az esemény a SYSVOL a fájlreplikációs szolgáltatásból (FRS) az elosztott fájlrendszer replikációs szolgáltatásába történő áttelepítése során következett be, a módosítások nem lesznek replikálva a probléma megoldásáig. Ennek eredményeképpen elképzelhető, hogy a kiszolgálón található SYSVOL mappa nem lesz szinkronban más tartományi kiszolgálókkal.

További információ:
Replikált mappa neve: SYSVOL Share
Replikált mappa azonosítója: A18052CF-1FE3-4000-8439-CB04B77261EC
Replikációs csoport neve: Domain System Volume
Replikációs csoport azonosítója: 88876C85-E864-4996-8A87-0015A591769E
Tag azonosítója: 169D69B0-9C51-4173-A528-0B557DD093F8
Írásvédett: 0

Ha az eddigieket jól fésülöm össze, akkor az újonnan telepített DC címe az 1.1.6.71, és az alábbi lista szerint elsődlegesen önmagára mutat:
1. 1.1.6.71
2. 1.1.1.82
3. 192.168.1.1
4. 192.168.1.2
Ha jól emlékszem (bocs ha tévedek), de az az ajánlott egy DC-n, hogy az elsődleges DNS szerver ne saját maga legyen, a másodlagos viszont már lehet saját maga is. https://abhijitw.wordpress.com/2012/03/03/best-practices-for-dns-client…

Faguriga legyek, ha értem, minek oda a 3. és 4.
Ha egyik DC sincs, akkor is adjon névfeloldást? És egyébként tudják azokat a címeket, amiket a DC-k tudnak?

Egyébként ezeket a varázslatos 1.1.x.x címet hogyan sikerült szülni?

Sikerült kipucolni szabályosan a rég megszűnt DC-t?

Üdv,
Marci

" ( mrceeka | 2015. február 9., hétfő - 15:39 )
"Az újabb szerver dns beállítása: 1.1.6.71-es első szerver."
És amikor próbából lehúztad-lekapcsoltad az első szervert, hogyan volt névfeloldása a másiknak?

Üdv,
Marci"

A első vagy főkiszolgáló a 10.1.6.71-es, a második kiszolgáló 10.1.1.82, és ami már megszűnés alatt áll az a 10.1.1.81-es. Én a második dc beállításait adtam meg, ahol a rangsorban második helyen áll saját maga. Az Ip-k a gyorsabb leírás miatt kitalált címek, de a különbségeket megmutatják. Mint mondtam terminál szerepkörben is működik az első és ha kell a második is. Amint a vékonyklienssel fellép a szerverre, további távoli asztal megnyitására, valamint putty alapú terminál használatára van lehetőség, és ezért kellenek a további dns címek, amik egyébként vastagkliens munkaállomásokon is be van állítva. Remélem feloldottam a legtöbb kérdőjelet.

A 10.1.1.81-es dc-t még nem sikerült kipucolnia a címtárból.

Oké, itt értettem félre: http://hup.hu/node/138591#comment-1835364
Akkor a DNS beállítás eleje OK a DC-ken.
"és ezért kellenek a további dns címek" - úgy érted, hogy ha az első vagy a második DNS szerver nem tudja feloldani, akkor majd a harmadik vagy a negyedik feloldja?

Üdv,
Marci

"Ha jól emlékszem (bocs ha tévedek), de az az ajánlott egy DC-n, hogy az elsődleges DNS szerver ne saját maga legyen, a másodlagos viszont már lehet saját maga is."

Annyiban egészíteném ki, hogy nekem az vált be, hogy az elsődleges DNS szerver saját maga a DC, de NEM a loopback címmel (127.0.0.1), hanem a saját IP címével. A másodlagos DNS szerver pedig a másik DC-n levő DNS szerver.

Ahogy itt a
második kommentben le van írva.

A következő szórakoztató:

"Even Microsoft engineers have been discussing this for over 11 years."

--
trey @ gépház

A szerepkör vizsgálatakor nem tetszik a dc-nek(a főkiszolgálót állítottam be én is így ideiglenesen) ha az első helyen áll saját maga. Nem észleltem működési zavarokat (igaz rövid időn belül visszaállítottam a sorrendet), de a naplóban hibaként, és figyelmeztetésként is szerepelt.

Viszont a tapasztalatom (és másoké is), hogy több problémát old meg így, mint amennyit okoz. Ha első helyen pl. a másik DC-n futó DNS szervert adod meg, akkor ha a másik szerver nem megy, a szerver akár fél órát is bootol fel és hiába van második helyen megadva saját maga, egy csomó szolgáltatás el sem indul.

Továbbá ilyen setup-ban - ki tudja miért - rendszeresen (1-2 havonta) eltűn(het)nek az SVR rekordok, amit csak egy netlogon service restart hoz csak rendbe.

Szóval a 10+ éves AD üzemeltetési tapasztalatom nekem azt mondja, hogy jobb ez így.

Másnak lehet más, ezzel nem egybevágó tapasztalata. De azt érdemes szem előtt tartani, hogy az ajánlások és a működések Windows verziónként eltérőek lehetnek.

--
trey @ gépház

Próbálom priorizálni a hiba megoldásához vezető feladatokat. Az elsődleges cél a 2. dc működésének helyreállítása. Mivel minden műveletet csak mentést követően vagyok hajlandó megtenni, elég időigényes, az ntdsutil használata sem kockázat mentes (bár mi az!)

Lehet ilyen hatása a 2. dc működésére a ki nem "gyomlált" 10.1.1.81-es nem működő szerver ?
A sysvol esetében is a hibaüzeneteknél mintha azt olvasnám, hogy az újabb szolgáltatás nem igényli a sysvol replikációját.
Találtam egy hibaüzenetet, mely a dns szerepkörrel függ össze és fontos lehet, azt még megosztanám veletek, amint odaérek. Valami olyasmit ír, hogy a kezdeti replikációs folyamatok nem fejeződtek be, ezért a DNS szerver működési szintje sem "százas", de majd ezt majd pontosan leírom. Ebből akár következhet a ki nem gyomlált szerver hatása is.

"A sysvol esetében is a hibaüzeneteknél mintha azt olvasnám, hogy az újabb szolgáltatás nem igényli a sysvol replikációját."
SYSVOL replikáció nélkül nincs működő DC.
A jelek szerint Neked nem sikerült a SYSVOL replikáció az új DC felé még egyszer sem.
E miatt úgy tűnik, hogy az új DC üzemképtelen, melynek számos következménye van, pl hogy nem működik rajta az AD integrált DNS szerver sem megfelelően.
Nem kizárt, hogy a háttérben az van, hogy az egyik DC NTFRS-sel, a másik meg DFS-R-el próbálja meg a replikációt, de ez csak feltételezés részemről.
Gyanúm az, hogy ezt a hibát valami olyan szándékos lépés idézte elő, amit még eddig nem ismertünk meg.
Mivel a neten ntfrs 13575-re kevés cikk van és AD hibaelhárításban kevés a tapasztalatod, javaslom, vedd fontolóra a szakértői terméktámogatás igénybe vételét.

Üdv,
Marci

"Lehet ilyen hatása a 2. dc működésére a ki nem "gyomlált" 10.1.1.81-es nem működő szerver ?"

Egy csomó hibaüzenetet adhat. Az ntdsutil egy elég biztos dolog, ha tudod mit csinálsz. Ha nem csináltál még ilyet, akkor nagyon utána kell olvasni. Ha az ntdsutil nem segít, akkor még ott az ADSIedit, de az már nagyon mély víz.

SYSVOL hiba esetén is van végső megoldás lehetőség, lehet újrainicializálni a BurFlags-ek használatával, de ez is olyan, hogy csak akkor, ha már minden kötél szakad.

Mielőtt bármit csinálsz, célszerű minden DC-ről (főleg az FSMO-kat tartalmazó(k)ról) legalább system state mentést csinálni, de én inkább az ASR és annak újabb megfelelői mentést javaslom.

Ekkor is tisztában kell lenni a visszaállítás módjaival (authoritative, nem authoritative AD restore, mikor melyik kell stb.).

Ha nagyon nem megy, akkor valóban célszerű szakember segítését kérni, pár kérdéses, hogy ezen az állapoton lehet-e javítást csinálni.

Az eredeti (DCpromo előtti) állapotról van a DC-kről mentés?

--
trey @ gépház

Vannak mentések, sőt van a teljes virtuális állományról is mentés, csak kb egy hónapos ami szóba jöhet, ahogy elnézem az első hibaüzeneteket. Egyéb adatmentések naprakészen vannak. Csak háááát.., a változásokat újraépíteni, sok meló na. Belátható időn belül még megpróbálom helyreállítani, vagy ..tatni, aztán ha nem sikerül, akkor visszatöltöm az egy hónappal ezelőtti teljes virtuális mentést, és a változásokat elkezdem visszarakni, beállítani, stb, elég sok meló. Hátha még sikerül gatyába rázni.

Arra gondoltam még, hogy ha a megfelelő címtárú környezetet elindítanám, készítenék egy teljes címtár mentést, és azt betölteném az aktuálisba. Ekkor kapnék egy régebbi címtárú, de minden más tekintetben aktuális állapotot, és ha kell még a második dc-t is újrarakom. A kérdés az, hogy a teljes szerepkört(AD,dns, dhcp távoli asztal, stb..,) szolgáltatást le tudom menteni ?

Ezeket ismerted és betartottad eddig? Csak mert olyan fura dolgokat írtál...
Tudod, hogyan kell egy AD-t visszatölteni?
https://technet.microsoft.com/en-us/library/dd723681(WS.10).aspx
https://technet.microsoft.com/en-us/library/d2cae85b-41ac-497f-8cd1-5fb…

Mielőtt komolyabb kár keletkezik, szerintem hívj szakembert.

Üdv,
Marci

Ezt nem értem: "Ezeket ismerted és betartottad eddig? "
Mire gondolsz ?

A fura dolgot a mentésekre érted, vagy az AD visszatöltési "ötletre".
Nem töltöttem vissza még AD-t. Nem volt szükség rá, ha kellett, egyszerűbbnek tűnt a teljes virtuális kép visszatöltése.
Mentések tekintetében bevallom azt gondoltam, hogy a teljes virtuális gép kimentésével ki tudom váltani. A beépített backup/restore ütemezett mentésénél többször hibára futott, nem volt túl stabil. (hibajelenség előttről beszélek, tehát normál, hibamentes működésnél). Komolyabb kár nem fog bekövetkezni, eddig sem volt.Megtanultam, hogy mentés nélkül, még egy állományt se helyezzek át. Volt, hogy a beépített virtuális kép(nem pillanatképes) tömörítésénél sérült meg a címtár.

Mondjuk kezdetnek erre:
"With virtual machine technology, certain requirements of Active Directory restore operations take on added significance. For example, if you restore a domain controller by using a copy of the virtual hard disk (VHD) file, you bypass the critical step of updating the database version of a domain controller after it has been restored. Replication will proceed with inappropriate tracking numbers, resulting in an inconsistent database among domain controller replicas. In most cases, this problem goes undetected by the replication system and no errors are reported, despite inconsistencies between domain controllers.

There is one supported way to perform backup and restore of a virtualized domain controller:
1. Run Windows Server Backup in the guest operating system. "

Nem szabad Windows Server 2008 AD-t visszatölteni image mentésből.

Olyasmit csinálsz, amivel tönkreteszed az Általad üzemeltetett környezetet. Szerintem _hívj szakembert_, a további károk minimalizálására és a következmények kivédésére.

Üdv,
Marci

DC mentésére - mivel az AD érzékeny dolog - nem lehet bármilyen mentést alkalmazni. AD-t menteni csak olyan mentőmegoldással lehet, ami konzisztens és megfelelő mentést tud csinálni a system state-ről. Hogy egy megoldás tud-e ilyet, az a mentőmegoldás dokumentációjában, illetve a Microsoft egyes oldalain feltüntetik.

Windows 2008-nál a snapshotolás, a virtuális gép elmentése nem jó megoldás.

Vagy a Windows saját backup-jával, vagy minősített backup megoldással kell menteni és visszaállítani is.

A visszaállításnál sem minden megoldás tud mondjuk authoritative visszaállítást csinálni. Pedig az fontos, ha olyan visszaállítást akarsz, hogy azt minden másik DC elfogadja irányadónak. Különben - nem authoritative - visszaállításkor az lesz a vége, hogy a meglevő DC lesz az erősebb és az rá fogja tolni a rossz állapotot a frissen visszaállított DC-re.

Ezekkel tisztában kell lenni.

--
trey @ gépház

Ne értsd félre, csak érteni szeretném, hogy miért.A vhd-k másolásánál történhet valami ?, vagy az időpont miatt ? A két (az összes)egyszerre-egymás után kikapcsolt állapotban lévő szerverek vhd állományairól készül egy másolat, majd ha esetleg szükséges , akkor előszedem , visszamásolom a helyükre, és indítom úgy, mint amikor kikapcsoltam mindet, majd ismét elindítottam. Egy szervert a többi mellett így visszaállítani, megértettem, hogy nem szabad, tilos.De ha az összes kikapcsoltnál megcsinálom ?
Ha azt veszem, akkor nem olyan mintha ki sem szabadna kapcsolni a dc-ket ? Mi a különbség ?

"Backup and Restore Considerations for Virtualized Domain Controllers

Backing up domain controllers is a critical requirement for any environment. Backups protect against data loss in the event of domain controller failure or administrative error. If such an event occurs, it is necessary to roll back the system state of the domain controller to a point in time before the failure or error. The supported method of restoring a domain controller to a healthy state is to use an Active Directory–compatible backup application, such as Windows Server Backup, to restore a system state backup that originated from the current installation of the domain controller. For more information about using Windows Server Backup with Active Directory Domain Services (AD DS), see the AD DS Backup and Recovery Step-by-Step Guide (http://go.microsoft.com/fwlink/?LinkId=138501).

With virtual machine technology, certain requirements of Active Directory restore operations take on added significance. For example, if you restore a domain controller by using a copy of the virtual hard disk (VHD) file, you bypass the critical step of updating the database version of a domain controller after it has been restored. Replication will proceed with inappropriate tracking numbers, resulting in an inconsistent database among domain controller replicas. In most cases, this problem goes undetected by the replication system and no errors are reported, despite inconsistencies between domain controllers.

There is one supported way to perform backup and restore of a virtualized domain controller:

Run Windows Server Backup in the guest operating system."

Backup and Restore Considerations for Virtualized Domain Controllers

--
trey @ gépház

Remélem nem estek ki a béketűrésből, hagy legyek nehézfejű egy kicsit, és használjalak ki benneteket.De komolyan köszi.
Ok, szerintem ezt értem. A legjobb és ajánlott ha a beépített backup-al mentjük a rendszerállapotot.Még az is van(bár visszatöltést nem végeztem vele).
De szerinted az hogy az összes kikapcsolt dc vhd-járól készítek egy másolatot, és esetleg később (5 perc múlva) visszamásolom azokat, az nem ugyanaz mintha 5 perc múltán elkezdem visszakapcsolni őket mindenfajta beavatkozás nélkül ?

Nem akarom már erőltetni ezt a kérdést, mert zsákutca. Van két dc virtualizáltan fix .vhd-kal. A dc-ket kikapcsolom, a 2 dc .vhd-át átmásolom egy-egy másik mappába. Elindítom a szervereket majd 10 perc múlva leállítom őket valami miatt. Visszamásolom a mappákból az eredeti helyre a 10 perce átmásolt két dc .vhd másolt alakját, és így indítom újra őket. De megértettem, ez nem járható út.

( mrceeka v | 2015. 02. 08., v – 18:09 )

"fő tartománykiszolgáló szerepkör", "Tartományvezérlő meglévő tartományon szerepkör"
Nem is értem ezeket a szerepköröket? Van ilyen a WS2008R2-ben? Csodálkoznék!
Más emlékek élnek bennem...

Üdv,
Marci

Igen van. A dcpromo indításánál lehet választani, hogy új tartomány, vagy meglévő tartomány tartományvezérlője szerepkört szeretnék. Én nem mondtam hogy a címtár nem működik, a főkiszolgálón(úgy is írtam, hogy fő tartományvezérlő) működik, csak a második tartományvezérlő nem tud önállóan szolgáltatni.

Az ott nem szerepkör valójában, csak a DCPROMO futtatásának módja.
Mire elkészül, a DC-k egyenrangúak lesznek (leszámítva a FSMO-t, de azt most hagyjuk).
Szóval egy domainben nincs elsődleges meg másodlagos DC, legalábbis a Windows NT Server 4.0-nál újabb környezetekben.

Üdv,
Marci

Részlet a hibanaplóból:

"Ez a kiszolgáló rendelkezik a műveleti főkiszolgáló szerepkörrel, de nem tartja azt érvényesnek. A műveleti főkiszolgálót tartalmazó partícióhoz a kiszolgáló replikálása sikertelen volt minden partnerrel a kiszolgáló újraindítása óta. A replikációs hibák miatt nem érvényesíthető ez a szerepkör."

De még ebbe is bele lehet kötni, mert magyarul van. Valóban a kiszolgáló kialakításánál van szerepe a szerepköröknek, illetve a szolgáltatásoknak,de ha úgy vesszük a kiszolgálás működés módja is egyfajta szerepkör. Én köszönöm az eddigi, és remélhetőleg a jövőbeli segítséget. A fogalmi pontosításokkal már nem fogok foglalkozni csak a probléma leírásával és, ha az nem egyértelmű akkor természetesen pontosítok és ismételten leírom remélhetőleg érthetőbben.

Ránéznétek ? Köszönöm

dcdiag "nem felelt meg" tartalma

Teszt indítása: FrsEvent

Figyelmeztetési és hibaesemények történtek az elmúlt 24 órában a

SYSVOL megosztása óta. A SYSVOL replikációjának sikertelensége

csoportházirenddel kapcsolatos problémákat okozhat.
......................... A-DOMAIN - nem felelt meg a teszten

(SystemLog)

Teszt indítása: VerifyReferences

A(z) A-DOMAIN tartományvezérlőhöz tartozó bizonyos objektumokkal

kapcsolatban probléma merült fel:
[1] Probléma: hiányzik a várt érték

Alapobjektum:

CN=A-DOMAIN,OU=Domain Controllers,DC=A,DC=t

Alapobjektum leírása: "Tartományvezérlői fiókobjektum"

Értékobjektum attribútumneve: frsComputerReferenceBL

Értékobjektum leírása: "SYSVOL FRS-tagobjektum"

Javasolt művelet: lásd a következő tudásbáziscikket: Q312862

......................... A-DOMAIN - nem felelt meg a teszten

Ez inkább group policy, a fenti hibák az érdekesebbek.

Esemény karakterlánca:

A Windows nem tudta alkalmazni a(z) Folder Redirection beállításokat. A(z) Folder Redirection beállításoknak saját naplófájljuk is lehet. Kattintson a "További információ" hivatkozásra.

Figyelmeztetési esemény történt. Eseményazonosító: 0x00000458

Létrehozás időpontja: 02/09/2015 09:00:13

Esemény karakterlánca:

A(z) Folder Redirection ügyféloldali csoportházirend-bővítmény legalább egy beállítást nem tudott alkalmazni, mert a változásokat a rendszer elindulása vagy a felhasználó bejelentkezése előtt fel kell dolgozni. A rendszer a következő rendszerindítás vagy bejelentkezés alkalmával kivárja, hogy befejeződjön a csoportházirend feldolgozása. Ez azt eredményezheti, hogy lassabban indul el a rendszer.

Figyelmeztetési esemény történt. Eseményazonosító: 0x00000458

( ncc1701 | 2015. 02. 09., h – 13:02 )

Én első körben átállítanám angolra, és a kapott hibaüzenetekre gúgliznék. A magyarral sokra nem mész.

Hogyne lehetne: http://www.microsoft.com/en-us/download/details.aspx?id=1246
Bár szerintem egy MUI nem fogja megváltoztatni az eventlog bejegyzések nyelvét.
Ha ez egy magyar nyelvű OS, akkor magyar nyelven fog naplózni is, függetlenül attól, hogy a UI mondjuk litván.
Ezen a problémán segít az event source, event ID és egyéb finomságok, mellyel a bejegyzés egyértelműen azonosítható.

Üdv,
Marci

( mrceeka v | 2015. 02. 10., k – 09:04 )

Mivel eléggé régen húzódik az ügy és úgy látom, elég idődet emészti fel, hadd ajánljam figyelmedbe a következő lehetőségeket:
-közösségi terméktámogatás: http://answers.microsoft.com, azon belül is: https://social.technet.microsoft.com/Forums/en-US/home?category=windows…
-szakértői támogatás: http://support.microsoft.com/oas. Ha elkezdesz ticketet nyitni, akkor még ingyenesen felajánlja a témában legrelevánsabb TechNet cikkeket. Fizetős szolgáltatásként tudsz hibajegyet nyitni, érdemes mérlegelni.

Üdv,
Marci
A Microsoftnál dolgozom.

Ne értsd félre, csak érteni szeretném, hogy miért.A vhd-k másolásánál történhet valami ?, vagy az időpont miatt ? A két (az összes)egyszerre-egymás után kikapcsolt állapotban lévő szerverek vhd állományairól készül egy másolat, majd ha esetleg szükséges , akkor előszedem , visszamásolom a helyükre, és indítom úgy, mint amikor kikapcsoltam mindet, majd ismét elindítottam. Egy szervert a többi mellett így visszaállítani, megértettem, hogy nem szabad, tilos.De ha az összes kikapcsoltnál megcsinálom ?
Ha azt veszem, akkor nem olyan mintha ki sem szabadna kapcsolni a dc-ket ? Mi a különbség ?

A sommás változat (magánvélemény): Pont annyi a különbség, mint egy fegyvert szabályosan tárolni vagy megtöltve az ovisok közt hagyni.
A rövid változat: A különbség az, hogy ez nem támogatott eljárás. Ami azt jelenti, hogy ne csináld így.
A hosszú változat:

Az AD DS BPA által hivatkozott cikk szerint:

The following are practices that you should follow when you deploy domain controllers on VMs. For more information about running domain controllers in Hyper-V and for special considerations for time synchronization and storage, see Running Domain Controllers in Hyper-V (http://go.microsoft.com/fwlink/?LinkID=139651).

Deployment considerations:
• Do not implement differencing-disk virtual hard disks (VHDs) on a VM that you are configuring as a domain controller. This makes it too easy to revert to a previous version, and it can potentially lead to update sequence number (USN) rollback and replication failures. Using differencing disks also decreases performance. For more information about USN rollback, see Appendix A: Virtualized Domain Controllers and Replication Issues (http://go.microsoft.com/fwlink/?LinkId=148266).
For more information about VHD types, see New Virtual Hard Disk Wizard (http://go.microsoft.com/fwlink/?LinkID=137279).
• Do not clone the installation of an operating system without using Sysprep.exe because the security identifier (SID) of the computer will not be updated. For more information about running the System Preparation tool (Sysprep), see "Using virtual hard disks" in Ways to deploy an operating system to a virtual machine (http://go.microsoft.com/fwlink/?LinkId=137100).
• Do not use copies of a VHD file that represents an already deployed domain controller to deploy additional domain controllers. This can potentially lead to a USN rollback and replication errors.

Operational considerations:
• Do not pause, stop, or store the saved state of a domain controller in a VM for time periods longer than the tombstone lifetime of the forest and then resume from the paused or saved state. This can lead to problems with lingering objects in your environment. To learn how to determine the tombstone lifetime for your forest, see Determine the Tombstone Lifetime for the Forest (http://go.microsoft.com/fwlink/?LinkId=137177).
• Do not copy or clone VHDs.
• Do not take or use a snapshot of a virtual domain controller.
• Do not use the Export feature on a VM that is running a domain controller.
• Do not restore a domain controller or attempt to roll back the contents of an Active Directory database by any means other than using a supported backup. For more information, see Backup and Restore Considerations for Virtualized Domain Controllers (http://go.microsoft.com/fwlink/?LinkId=148267).

Újdonság Számodra?

Üdv,
Marci

Értem, életveszélyes.A vhd rész megmondom őszintén újdonság, tudom hogy ez kevés, de egyszerűen nem gondoltam, így nem is néztem utána, hogy egy .vhd file-vel, egy állománnyal nem ildomos,nem lehet ilyen módon biztonsági másolatot készíteni. A snapshot-tal volt szerencsém régen, sikerült összefűznöm sikeresen idejében egy vhd állománnyá, isten őrizzen tőle. Ahogy olvasom a 2012-es hyper-v szerver sok más mellett már engedi, és tudja a klónozást, úgy hogy le sem kell állítani a vendég környezetet. Az az igazság, hogy a vhd kezelése így csalódás számomra egy kicsit. Ha belegondolok anno az acronis virtuális környezet mentését is visszafejve, megnézve nem egy .vhd állományt kaptam, hanem egy partíciókat tartalmazó rendszert. Köszönöm a segítséget, sokat tapasztaltam, tanultam tőletek. Hogy mire jutok arról azért beszámolok, mindig elkél a tapasztalat.

"A vhd rész megmondom őszintén újdonság" - kár, mert egy fentebb linkelt cikket másoltam be. Legalább bemásolva elolvastad. :) Maradt még bőven olvasnivaló, ajánlom figyelmedbe.

" Ahogy olvasom a 2012-es hyper-v szerver sok más mellett már engedi, és tudja a klónozást, úgy hogy le sem kell állítani a vendég környezetet." - attól még van mit olvasni ott is a DC-k mentéséről...

"a vhd kezelése így csalódás számomra egy kicsit." - semmi baj sincs a VHD kezeléssel. Egyszerűen a WS 2008 DC nincs felkészítve arra, hogy az idő visszafelé forogjon. Márpedig egy snapshotra való visszaálláskor ez történik.
De nyugodj meg, ezen kívül még jópár helyen okozhat ez gondot.

Nyilván nem tudom pontosan, milyen üzleti hatása van annak, ha a rendszeretek hasznavehetetlenné válik vagy csak úgy javítható, ha minden egyes PC-t végig kell látogatni, de ez nagy átlagban fájni szokott.
Érzésre az állásod/szakmai böcsületed forog kockán.

Erősen ajánlom, hogy _kérd_ _szakértő_ _segítségét_.
Akár hiszed, akár nem, szerintem most abban a helyzetben vagy.

Nem arról van szó, hogy ne lenne semmi esély arra, hogy Te megoldod a helyzetet. Arról van szó, hogy - ha nagy szerencséd is van - sokkal több fájdalommal, idővel: összességében költséggel fog járni az a megoldás, amit Te csinálsz.
Nem éri meg.

Üdv,
Marci