Вилучення ролей FSMO з мертвого контролера домену Windows

13

Я бачив інші питання та документи щодо цього, але є деякі речі, які все ще мене бентежать. Ось документи та запитання, які я бачив:

Навколишнє середовище містить два сервери Windows та численні клієнти. Контролер домену - це Windows 2003 SP2, який працює з Windows 2000 Native AD. Інший сервер (зовсім не постійний струм) - це Windows 2000 SP4 (він розміщує утиліту для перевірки вірусів).

Результати netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Результати dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Ось мої запитання (вибачте мене, якщо їх занадто багато питань для початківців):

  • Чи перераховані ролі від netdom query fsmoтих самих, які я бачив, перераховані в іншому місці? Наприклад, чи є власник ролі домену таким же, як Master Nameing Master ? Чи менеджер пулу RID збігається з роллю RID ?
  • Які погані речі можуть статися, якщо я захоплю одну з цих ролей?
  • Чи помітять користувачі?
  • Цей настрій тривав давно, і люди функціонували більш-менш нормально; чи захоплення ролі PDC змінить це?
  • Деякі з цих документів передбачають страшні наслідки для виконання всіх ролей в одному постійному тоці. Якщо клієнтська база не більше 20 - а може, й менше 10 днів - чи справді проблема з усіма ролями в одному DC?
  • Чи є якісь застереження щодо виконання процесу очищення, рекомендованого Microsoft для видалення старого постійного струму з Active Directory?

Також - майже дотичне запитання - якщо я буду модернізувати домен до Windows 2003 AD (зараз чи в майбутньому), чи це щось змінить у захопленні ролей FSMO?

PS: Я підозрюю, що проблеми з DNS пов'язані із спробою використання DNS, що не належить Microsoft, яка не підтримувала Microsoft Dynamic DNS; Я думаю, що працює Windows DNS, але ще не перевіряли його на належне функціонування та налаштування.

windows-server-2003  active-directory  domain-controller 
Мей
джерело
2
Де ваша резервна копія? Який у вас план відновлення після катастроф?
mailq
Ба. Я успадкував цю установку - я просто намагаюся очистити.
Май
6
Успадкував систему. Ага. Чи загинув сисадмін до катастрофи? Або через катастрофу?
mailq
1
Резервні копії @david повинні бути у вашому списку. У вас там є будинок карт, і вам потрібен план, щоб знову встати і працювати, якщо він впаде.
voretaq7
1
@David На сервері Windows 2000 не працює жодне поточне та ефективне антивірусне програмне забезпечення Windows. У 2012 році єдине законне використання для Windows 2000 у виробничих умовах - це медовий горщик .
Skyhawk

Відповіді:

14

Чи вказані ролі, перелічені в запитух Netdom fsmo, ті ж, які я бачив, перераховані в іншому місці? Наприклад, чи є власник ролі домену таким же, як Master Nameing Master? Чи менеджер пулу RID збігається з роллю RID?

Так, саме. Не впевнений, чому вони мають імена дещо відрізняються на цьому конкретному екрані.

Які погані речі можуть статися, якщо я захоплю одну з цих ролей?

Сам випадок? Не багато. Більшість потенційних питань, про які попереджається, стосуються повернення старого постійного струму після того, як це було захоплено його роллю - і навіть тоді там багато істерії, що не має великого ризику; потрібні кілька досить дивних сценаріїв, щоб зламати щось із захопленням замість передачі ролі. Щоб на мить перейти по дотичній, давайте розберемося над ролями та потенційними ризиками:

  • Майстер схеми: Цей отримує всіх досить посміхнувшись, але його порушення - це не дуже імовірний сценарій. У документації йдеться про те, що після захоплення ролі, яку я називаю сигналістом, ніколи не слід повертати старого майстра схеми. Старий сервер буде проінформований про зміну ролі, і як тільки він відбудеться, він відмовиться від ролі. Потенційний ризик тут полягає в тому, що якщо вносяться зміни до нового ведучого схеми, то старий майстер схеми виводиться в Інтернет, то перед тим, як він реплікується з інших постійних токів , на старому сервері вносяться різні, суперечливі зміни схем. Ця ситуація навряд чи може знищити ваш домен.

  • Присвоєння імені майстру: Те саме, що і з майстром схеми, вам потрібно буде внести зміни (у цьому випадку створити новий домен у лісі) на старому DC, після того, як скористаєтесь його роллю, але до того, як отримаєте знання про вилучення.

  • Емулятор PDC: Не ризикуйте, він не несе відповідальності за те, що ви ризикуєте розходитись.

  • Мастер RID: Вам знадобиться заплутана структура реплікації, щоб зруйнувати цю - уявіть, що у вас є 2 постійного струму; був захоплений старий майстер RID, який не знає його ролі, і новий головний RID RID. У цій ситуації вам потрібно створити достатньо об'єктів, щоб вичерпати пул RID на обох (вони роздаються в 500-х роках), і вони обидва призначають собі перекриваються пули. Створіть об'єкти з однаковими RID, підключіть контролери домену та спостерігайте за розгортанням апокаліпсису.

  • Майстер інфраструктури: Чесно кажучи, напевно, 50% доменів у світі взагалі не мають працюючого майстра інфраструктури, оскільки він не працює, коли він працює в GC. У будь-якому випадку, ви не можете розірвати це з захопленням.

Чи помітять користувачі?

Вони не повинні.

Цей настрій тривав давно, і люди функціонували більш-менш нормально; чи захоплення ролі PDC змінить це?

Ні. За допомогою одного постійного струму жодна з функцій PDC взагалі не пропущена, за винятком того, що, можливо, ваш DC-PDC не може синхронізувати час з джерелом, яке він хоче (відсутній PDC).

Moreso:

  • Ви пропустите Мастер схеми лише при спробі оновити схему
  • Ви пропустите Майстра імен лише тоді, коли спробуєте створити новий домен у лісі
  • Ви пропустите Мастер RID лише тоді, коли створите занадто багато об'єктів і вичерпаєте пул RID вашого постійного струму (це, мабуть, найбільш ймовірно для вас, якщо ви просто продовжите працювати так, як є)
  • Ви будете пропускати майстра інфраструктури лише для оновлення глобальної групи каталогів у багатодоменному лісі

Деякі з цих документів передбачають страшні наслідки для виконання всіх ролей в одному постійному тоці. Якщо клієнтська база не більше 20 - а може, й менше 10 днів - чи справді проблема з усіма ролями в одному DC?

Ні - але отримайте другий постійний струм. Ви не хочете, щоб ваш єдиний DC вийшов з ладу.

Чи є якісь застереження щодо виконання процесу очищення, рекомендованого Microsoft для видалення старого постійного струму з Active Directory?

Так, будьте обережні. Але загострюйте свої ntdsutilножі та виривайте старі дані - зайвий сміття там не допомагає ремонтувати домен.

Шейн Медден
джерело
7
+1 - Після запуску очищення метаданих, як описано в Microsoft, я виявив, що мені потрібно зайти в DNS і видалити вручну багато старих записів A і SRV, що вказують на відсутній постійний струм, тому вам може знадобитися це зробити також.
Марк Хендерсон
6

Ваша поточна установка (без функціонуючих майстрів операцій) - це небезпечна та непідтримувана конфігурація, яку потрібно усунути якнайшвидше. Якщо зниклий сервер загинув і похований, захоплення ролей FSMO є необхідним кроком до відновлення нормальної роботи.

Відповіді на ваше конкретне запитання:

  1. Так, названі так само названі ролі, які ви згадуєте, означають те саме.
  2. Погані речі, ймовірно, трапляться, якщо ви скористаєтесь якоюсь роллю, а потім спробуйте воскресити відсутній сервер, який раніше був у нього. Будь ласка, переконайтесь, що він мертвий і похований перед тим, як захопити ролі.
  3. Користувачі навряд чи помітять якісь нові проблеми в результаті захоплення ролей FSMO.
  4. Невиконання ролі спричинить проблеми в довгостроковій перспективі. Оперативне захоплення ролі після відмови колишнього її власника не спричинить проблем.
  5. Власне кажучи, для малого бізнесу, який має 10-20 користувачів, зазвичай є єдиний сервер з усіма ролями FSMO та Exchange і Sharepoint. Це не створює проблем з продуктивністю, що не можна вирішити, якщо сервер був вказаний правильно, але гарантовано, що сайт зазнає простою, якщо єдиний сервер вийде з ладу. Найкраще мати щонайменше два контролери домену на домен, навіть якщо один з них є сервером At-D525 на рівні 500 доларів США в шасі 1U.
  6. Не особливо, але будь-яке обслуговування сервера несе в собі хоча б певний ризик. Як завжди, перед тим, як продовжувати, переконайтесь, що ви маєте повне та перевірене резервне копіювання та план відновлення.
  7. Це не повинно бути проблемою, якщо ви спочатку захопите ролі FSMO, а потім оновите функціональний рівень домену.
  8. Немає вагомих причин використовувати DNS, який не належить Microsoft, для вирішення домену в середовищі Active Directory. Потрібно підготувати та впровадити план міграції внутрішніх служб DNS до контролерів домену.

Ви вказали, що у вас є "утиліта перевірки вірусів", що працює на сервері Windows 2000. Напевно вам відомо, що Windows 2000 сама по собі є утилітою для збору вірусів з багатьма відомими вразливими місцями та оновленнями безпеки немає. Відправте цей сервер негайно.

Skyhawk
джерело
Любіть зауваження "Утиліта для збору вірусів"
gWaldo
6

Так, скористайтеся цими ролями. Ви коливання потужності / вивільнення системи / сонячного спалаху далеко від катастрофи.

Це малоймовірно, але користувачі можуть помітити, якщо зміни облікового запису, кешовані на локальних машинах, не відповідають AD.

У вас ніколи не повинно бути тільки одного постійного струму. Два мінімум і по одному в кожному віддаленому офісі. Якщо ви хочете використовувати VM, (IMHO) вони лише доповнюють фізичні поля. І це лише після того, як ви прочитали про використання VM в якості постійного струму.

Я вважаю за краще, щоб усі постійні джерела харчування були ГК. Це моє особисте вподобання, але це означає, що повна копія вмісту AD зберігається у кожному DC з цією роллю. Якщо у вас є два постійних струму, але тільки один - це GC, і той гине, я думаю, ви стаєте настільки ж накрученими, ніби у вас є тільки один постійний струм.

Ваш емулятор PDC збирається отримувати весь трафік із застарілих систем ("системи", тобто машини, програми та сервіси, такі як SQL Server 2000); поставити його на обладнання.

Не обов'язково погано, що в одного ДК є всі ролі, ЯКЩО у вас інші ДК, і ваша реплікація здорова.

Якщо немає справді вагомих причин, вам обов'язково слід використовувати Microsoft DNS для внутрішнього дозволу імен.

Виправте своє оточення, а потім оновіть. Ви не малюєте потопаючий човен. Поки ви перебуваєте на цьому, наполегливо подумайте про те, щоб прийти до 2008 року.

Дивіться також: Що потрібно зробити після виходу з ладу контролера домену? і Як підняти ще один DC з усіма ролями, коли перший DC більше не доступний

gWaldo
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.