Exchange NOTFALL - Server Ausfall

Diese Hinweise gelten NICHT für Single Server Umgebungen und Small Business. Hier ist in der Regel nur ein Restore des kompletten Servers möglich.

Eine schwerer Ausfall ist natürlich der komplette Verlust des Exchange Servers. Hier sind aber ebenfalls drei Dinge zu unterscheiden:

  • Computerkonto gelöscht
  • Betriebssystem bzw. Exchange "defekt"
  • Hardware Totalverlust

Für alle drei Optionen gibt es eigene Lösungswegen. Lesen Sie selbst

Computerkonto gelöscht

Seit Exchange 2000 werden die Exchange Dienste mit dem Konto "LocalSystem" gestartet. Das bedeutet aber auch, dass jeder Zugriff auf andere Ressourcen (z.B.: Active Directory oder andere Server) mit dem Konto des Computers erfolgt. Und da ihr Exchange Server nun mal Mitglied einer Domäne sein muss, um zu funktionieren, ist dies ein Konto im Active Directory. Vergleichen Sie ein Computerkonto einfach mit einem Benutzer. Beide müssen sich anmelden um Zugriff zu erhalten.

Wenn Sie nun das Computerkonto im Active Directory sperren oder Löschen, dann können die Dienste auf diesem Server keine Verbindung mehr zum Domaincontroller aufbauen und dessen Dienste nutzen. Exchange kann daher nicht mehr auf seine Konfiguration oder die Empfänger zugreifen. Damit ist die Funktion nicht mehr möglich.

Hinzu kommt, dass das Computerkonto von Exchange in verschiedenen Gruppen Mitglied ist und auf verschiedene Objekte berechtigt ist. Also müssen Sie die Funktion wieder herstellen. Dazu gibt es drei Optionen

  • Restore des Computerkontos
    Sie können über ein autoritatives Restore des Active Directory das Computerkonto wieder herstellen. Allerdings ist dies ein etwas umfangreicherer Prozess, den Sie vielleicht nur gegen wollen, wenn wirklich keine andere Lösung vorhanden ist. Schließlich müssen Sie dazu einen Domänencontroller zeitweilig "offline" nehmen, im Verzeichniswiederherstellungsmodus starten, Restaurieren, mit NTDSUTIL die USN der OU Hochsetzen und danach muss der Server diese Update wieder in das AD replizieren.
    241594 How to perform an authoritative restore to a domain controller in Windows 200
  • Undelete
    Seit Windows 2003 können Sie aber einen "Löschbefehl" im Active Directory eine gewisse Zeit lang wieder "rückgängig" machen. Dieser Weg ist damit relativ einfach zu begehen, zumal des von Sysinternals mit "ADRestore" eine kleine Anwendung gibt, die diese Wiederherstellung vereinfacht.
  • Neuanlage
    Wenn beides nicht geht, dann können Sie natürlich einfach ein neues Computerkonto mit dem gleichen Namen anlegen und den Exchange Server durchstarten. Der Server wird beim Hochfahren erkenne, dass es ein Computerkonto ohne Kennwort gibt, dieses für sich verwenden und das Kennwort ändern. Manchmal kann es aber auch erforderlich sein, den Server in eine Arbeitsgruppe und dann wieder neu in die Domäne aufzunehmen. Nun ist der Server schon mal wieder Teil ihrer Active Directory Umgebung. Aber natürlich hat er eine neue SID und keine Berechtigungen, die bislang auf das Computerkonto gebunden waren

Zudem haben alle drei Wege das Problem, dass danach zwar das Computerkonto wieder vorhanden und funktionstüchtig ist, aber die Gruppenmitgliedschaften natürlich nicht aktualisiert sind. Denn die Gruppenmitgliedschaften sind bei der Gruppe gepflegt und diese wurde ja nicht "restauriert". Das Feld "MemberOf" Beim Benutzer selbst ist hier nicht ausschlaggebend. Dazu gibt es in der TechNet auch ein eigenes Programm

The Groupadd.exe command-line utility reads the memberOf attribute on a collection of users in an OU and builds an .ldf file that adds each restored user account to the security groups in each domain in the forest.
Quelle: 840001 How to restore deleted user accounts and their group memberships in Active Directory

Um nun diesen Missstand zu beseitigen ist der einfachste Weg die Installation von Exchange. Legen Sie einfach auf dem Exchange Server ihre CD ein und starten Sie das Setup. Das Setup erkennt, dass bereits ein Exchange installiert ist und bietet ihnen neben der Option "Entfernen" und "Andern" auch die Funktion einer Reparaturinstallation an. Und genau das müssen Sie nun ausführen. Das Setup korrigiert dabei dann alle fehlenden Einträge, Gruppenmitgliedschaften und Berechtigungen.

Nach all diesen Schritten, diversen Neustarts etc. sollten ihr Exchange Server wieder problemlos arbeiten.

Weitere Links