Exchange NOTFALL - Server Ausfall
Diese Hinweise gelten NICHT für Single Server Umgebungen und Small Business. Hier ist in der Regel nur ein Restore des kompletten Servers möglich.
Hinweis: Das Löschen eines Benutzerkontos ist ähnlich einem gelöschten Benutzer. Daher können auch die Links auf Exchange NOTFALL - Benutzer gelöscht interessant sein.
Eine schwerer Ausfall ist natürlich der komplette Verlust des Exchange Servers. Hier sind aber ebenfalls drei Dinge zu unterscheiden:
- Computerkonto gelöscht
- Betriebssystem bzw. Exchange "defekt"
- Hardware Totalverlust
Für alle drei Optionen gibt es eigene Lösungswegen. Lesen Sie selbst
Computerkonto gelöscht
Seit Exchange 2000 werden die Exchange Dienste mit dem Konto "LocalSystem" gestartet. Das bedeutet aber auch, dass jeder Zugriff auf andere Ressourcen (z.B.: Active Directory oder andere Server) mit dem Konto des Computers erfolgt. Und da ihr Exchange Server nun mal Mitglied einer Domäne sein muss, um zu funktionieren, ist dies ein Konto im Active Directory. Vergleichen Sie ein Computerkonto einfach mit einem Benutzer. Beide müssen sich anmelden um Zugriff zu erhalten.
Wenn Sie nun das Computerkonto im Active Directory sperren oder Löschen, dann können die Dienste auf diesem Server keine Verbindung mehr zum Domaincontroller aufbauen und dessen Dienste nutzen. Exchange kann daher nicht mehr auf seine Konfiguration oder die Empfänger zugreifen. Damit ist die Funktion nicht mehr möglich.
Hinzu kommt, dass das Computerkonto von Exchange in verschiedenen Gruppen Mitglied ist und auf verschiedene Objekte berechtigt ist. Also müssen Sie die Funktion wieder herstellen. Dazu gibt es drei Optionen
- Restore des Computerkontos
Sie können über ein autoritatives Restore des Active Directory das Computerkonto wieder herstellen. Allerdings ist dies ein etwas umfangreicherer Prozess, den Sie vielleicht nur gegen wollen, wenn wirklich keine andere Lösung vorhanden ist. Schließlich müssen Sie dazu einen Domänencontroller zeitweilig "offline" nehmen, im Verzeichniswiederherstellungsmodus starten, Restaurieren, mit NTDSUTIL die USN der OU Hochsetzen und danach muss der Server diese Update wieder in das AD replizieren.
241594 How to perform an authoritative restore to a domain controller in Windows 200 - Undelete
Seit Windows 2003 können Sie aber einen "Löschbefehl" im Active Directory eine gewisse Zeit lang wieder "rückgängig" machen. Dieser Weg ist damit relativ einfach zu begehen, zumal des von Sysinternals mit "ADRestore" eine kleine Anwendung gibt, die diese Wiederherstellung vereinfacht.- 840001 How to restore deleted User accounts and their group memberships in Active Directory
- AdRestore v1.1
http://technet.microsoft.com/de-de/sysinternals/bb963906.aspx - Lazarus
http://www.ldapexplorer.com/de/lazarus.htm - Quest:Object: Restore für Active Directory
http://www.quest.com/object-restore-for-active-directory/
- Neuanlage
Wenn beides nicht geht, dann können Sie natürlich einfach ein neues Computerkonto mit dem gleichen Namen anlegen und den Exchange Server durchstarten. Der Server wird beim Hochfahren erkenne, dass es ein Computerkonto ohne Kennwort gibt, dieses für sich verwenden und das Kennwort ändern. Manchmal kann es aber auch erforderlich sein, den Server in eine Arbeitsgruppe und dann wieder neu in die Domäne aufzunehmen. Nun ist der Server schon mal wieder Teil ihrer Active Directory Umgebung. Aber natürlich hat er eine neue SID und keine Berechtigungen, die bislang auf das Computerkonto gebunden waren
Zudem haben alle drei Wege das Problem, dass danach zwar das Computerkonto wieder vorhanden und funktionstüchtig ist, aber die Gruppenmitgliedschaften natürlich nicht aktualisiert sind. Denn die Gruppenmitgliedschaften sind bei der Gruppe gepflegt und diese wurde ja nicht "restauriert". Das Feld "MemberOf" Beim Benutzer selbst ist hier nicht ausschlaggebend. Dazu gibt es in der TechNet auch ein eigenes Programm
The Groupadd.exe command-line utility reads the memberOf
attribute on a collection of Users in an OU and builds an .ldf file that
adds each restored User account to the security groups in each domain in the
forest.
Quelle: 840001 How to restore deleted User accounts and their group
memberships in Active Directory
Um nun diesen Missstand zu beseitigen ist der einfachste Weg die Installation von Exchange. Legen Sie einfach auf dem Exchange Server ihre CD ein und starten Sie das Setup. Das Setup erkennt, dass bereits ein Exchange installiert ist und bietet ihnen neben der Option "Entfernen" und "Andern" auch die Funktion einer Reparaturinstallation an. Und genau das müssen Sie nun ausführen. Das Setup korrigiert dabei dann alle fehlenden Einträge, Gruppenmitgliedschaften und Berechtigungen.
Nach all diesen Schritten, diversen Neustarts etc. sollten ihr Exchange Server wieder problemlos arbeiten.
Weitere Links
- Exchange NOTFALL - Serverausfall und Datenbank OK
- 840001 How to restore deleted User accounts and their group memberships in Active Directory
- 241594 How to perform an authoritative restore to a domain controller in Windows 2000
- Active Directory Recycle Bin Step-by-Step Guide
http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx - AdRestore
http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx
http://www.sysinternals.com/utilities/adrestore.html - Lazarus
http://www.ldapexplorer.com/de/lazarus.htm - Quest:Object: Restore für Active Directory
http://www.quest.com/object-restore-for-active-directory/ - Guarding Against Accidental Bulk Deletions in Active Directory
http://technet.microsoft.com/en-us/library/cc773347(WS.10).aspx - Script to Protect Organizational units (OUs) from Accidental
Deletion
http://go.microsoft.com/fwlink/?LinkId=162623 - Manually undeleting Objects in Active Directory
http://www.petri.co.il/manually-undeleting-objects-windows-active-directory-ad.htm - How to Search für Deleted Objects in Active Directory
http://www.petri.co.il/deleted-objects-in-active-directory.htm - Protect Objects in Windows Server 2003 Active Directory from
Accidental Deletion
http://www.petri.co.il/protect-windows-ad-obects-accidental-deletion-recovery.htm - Secure Active Directory Objects in Windows Server 2008/R2 ADUC
http://www.petri.co.il/secure-active-directory-objects-windows-server-2008r2.htm - Changing the Tombstone Lifetime Attribute in Active Directory
http://www.petri.co.il/changing_the_tombstone_lifetime_windows_ad.htm - Whitepaper "Wiederherstellung für Microsoft Exchange 2000 Server"
http://go.Microsoft.com/fwlink/?linkid=1714 - Windows Gruppen und Berechtigungen