DAG kaputt

1. offizieller Beitrag

    Moin,


    ich habe ein ernstes Problem mit unserer DAG und hoffe dass ich hier die richtigen Hinweise finden kann um das Problem wieder auf die Reihe zu bekommen.


    Einer unserer Server-Admins hat bemerkt dass das Computerkonto für unsere DAG nicht mehr im Active Directory existiert. Offensichtlich hat es "irgendjemand" gelöscht. Ich könnte ein neues Objekt anlegen - befürchte aber dass die weiteren Arbeiten die dann notwendig sind unsere produktive Exchange-Umgebung (12 Server, über 20.000 Mailboxen) gefährdet oder zumindest zweitweilig ausknockt.


    Wie schätzt ihr die Lage ein: kann ich einfach ein neues Computerkonto anlegen und Rechte vergeben ohne dass es im Exchange knirscht?


    Desweiteren finde ich im Event Log der Server seit einiger Zeit den Hinweis dass das Quorum Share nicht mehr erreichbar ist (Event ID 1564) . Es stellt sich heraus dass ein Admin auch die VM die das Quorum hielt gelöscht hat.


    Kann ich einfach ein neues Quorumshare auf einer anderen Maschine einrichten und dieses in die DAG-Konfiguration eintragenohne dass mein Exchange dabei Aussetzer bekommt? (set-dagavailabilitygroup -WitnessServer .... -WitnessDirectory).


    Interessant ist das die selbe Truppe die vermutlich das Computerobjekt eliminiert hat auch für das gelöschte Quorum verantwortlich ist.


    Vielen Dank für eure Antworten!


    Rolf

    2 Mal editiert, zuletzt von ElRolfo ()

    Ich habe halt ein wenig Bedenken dass meine Server kurz "husten" wenn ich an der DAG herumfummele. Ich kann das Share einfach eintragen ohne dass die Server sich daran stören (das im Moment eingetragene Share ist ja nicht mehr vorhanden und die Kisten laufen trotzdem)?


    Die DAG ist in der Tat eine "IP-less" DAG, die ohne CNG laufen kann. Danke für den Hinweis!

    Einmal editiert, zuletzt von ElRolfo ()

    Ich habe einen neuen Quorum eingerichtet, allen Exchange-Servern den Vollzugriff eingeräumt, auf der Maschine den "Exchange Trusted Subsystem" in die lokale Administratorengruppe eingetragen und das Witness-Share im Exchange umgestellt. Hat auf Anhieb funktioniert, ohne Husten oder andere Befindlichkeitsstörungen.

    Guten Tag,


    bei einem 12-Server Exchange Zoo mit 20.000 Mailboxen würde ich empfehlen einen Exchange-Profi das System im Nachgang noch mal prüfen zu lassen.

    Klingt für mich so, als wenn das System schon "wichtig" für das Unternehmen ist. Probleme können bei sowas auch noch Tage oder Wochen später oder beim nächsten Zyklus-Reboot für Updates etc. auftreten.


    Und ggf. wollt Ihr eure Zugriffsrechte mal prüfen. Jemand kann VM oder Computer-Konto löschen und hat offensichtlich kein Prüfung durchgeführt wozu VM oder Computer-Konto da waren.


    Besten Gruß

    • Offizieller Beitrag
    Zitat von ElRolfo

    Wie schätzt ihr die Lage ein: kann ich einfach ein neues Computerkonto anlegen und Rechte vergeben ohne dass es im Exchange knirscht?

    Mal abgesehen davon, dass ihr ja wohl gar kein fehlendes Computer-Konto habt: AD Papierkorb aktivieren und nutzen, lässt einen für diese Fälle ruhiger schlafen.


    Zitat von itNGO

    Und ggf. wollt Ihr eure Zugriffsrechte mal prüfen. Jemand kann VM oder Computer-Konto löschen und hat offensichtlich kein Prüfung durchgeführt wozu VM oder Computer-Konto da waren.

    Mit den wenigstens Berechtigungen zu arbeiten ist zwar immer eine gute Sache, schützt am Ende aber nicht davor, dass jemand Computer-Konten löscht, die er löschen darf und normalerweise auch soll.


    Fehler passieren auch den erfahrensten Leuten mal. Dafür braucht es dann Desaster Recovery Strategien, in diesem Fall reicht dann auch der AD-Papierkorb aus.