Skip to content

Domain Controller mit gespaltener Persönlichkeit

by Natanael Mignon on November 10th, 2011

Das ist wohl schon einigen Admins passiert, die ein FreeNAS installiert und in ihre Domäne aufgenommen haben: Im Dialog zum Domänenbeitritt wird ein „Hostname“ abgefragt – hier ist der Hostname für das FreeNAS gefragt, also der Name des Maschinenkontos im AD. Wer hier den Namen eines seiner DCs einträgt, überschreibt damit dessen Maschinenkonto.

Was ist die Folge? Es kann leicht unterschiedliche Varianten geben, je nachdem bei welchem DC der Vorgang ausgeführt wird und wie die Replikation läuft. Das Ergebnis dürfte fast immer sein, dass der betroffene Domain Controller plötzlich nicht mehr mit seinem eigenen AD sprechen kann. Seine Dienste, allen voran der Anmeldedienst, haben damit ernsthafte Probleme – und alles und jeder, der sich bei ihm authentifizieren möchte, ebenfalls. Da er als gleichberechtigter DC im DNS gefunden wird, ist binnen kürzester Zeit die gesamte Domäne betroffen und zu einem großen Teil handlungsunfähig. Das System sollte daher umgehend vom Netz getrennt (heruntergefahren) werden.

Ist die Zeit bis zum Erkennen der Situation kurz genug, kann man vielleicht noch einen anderen DC finden, der die Änderungen noch nicht repliziert hat. Dort muss umgehend die Inbound Replication unterbunden werden, um diesen Stand auch zu erhalten. Dann kann das betroffene Objekt authoritativ geschaltet und ausgehend repliziert werden. Ist aber die Änderung bereits durch alle Replikationsverbindungen gelaufen (was selbst bei weitverzweigten ADs innerhalb weniger Minuten bis Stunden der Fall sein dürfte), greift das Standardverfahren für einen Authoritative Restore gemäß Microsoft.

Der grobe Ablauf ist: Starten des betroffenen DCs im Verzeichnisdienstwiederherstellungsmodus (VWM), Wiederherstellen des AD Objektes aus der letzten Datensicherung – falls kein Object Restore verfügbar ist, Wiederherstellen z.B. des Objektes „Systemstate“ (Symantec Backup Exec mit Server 2003 R2). Am Ende NICHT neustarten. Aufruf von ntdsutil auf dem betroffenen DC im VWM:

ntdsutil:
> authoritative restore
> restore object „Distinguished Name des überschriebenen Maschinenkontos“
> quit
> quit

Damit ist nur genau das betroffenen Objekt als authoritativ markiert und wird nach dem jetzt durchzuführenden Reboot bei der wieder anlaufenden Replikation nicht durch die neuere Version der anderen DCs überschrieben, sondern umgekehrt. Die üblichen Anlaufschwierigkeiten bei der Replikation sind im Eventlog zu erwarten, nach wenigen Minuten sollten aber Positivmeldungen folgen, dass die Heraufstufung zum Domain Controller durchgeführt werden konnte.

No comments yet

Leave a Reply

You must be logged in to post a comment.