Извлечение ролей FSMO из мертвого контроллера домена Windows

13

Я видел другие вопросы и документы об этом, но есть некоторые вещи, которые все еще смущают меня. Вот документы и вопросы, которые я видел:

Среда содержит два сервера Windows и множество клиентов. Контроллер домена - это Windows 2003 SP2, работающая с Windows 2000 Native AD. Другой сервер (вообще не DC) - Windows 2000 SP4 (на нем установлена ​​утилита для проверки на вирусы).

Результаты от netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Результаты от dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Вот мои вопросы (извините, если они слишком много вопросов для начинающих):

  • Перечислены ли роли из netdom query fsmoтех же, что я видел, в другом месте? Например, владелец роли домена совпадает с владельцем имен доменов ? Является ли RID Pool Manager тем же, что и роль RID ?
  • Какие плохие вещи могут случиться, если я займу одну из этих ролей?
  • Заметят ли пользователи?
  • Эта установка продолжалась долгое время, и люди функционировали более или менее нормально; захват роли PDC изменит это?
  • Некоторые из этих документов предсказывают ужасные последствия для всех ролей на одном DC. С клиентской базой не более 20 - и, возможно, менее 10 - большинство дней - действительно ли наличие всех ролей на одном DC является реальной проблемой?
  • Существуют ли какие-либо предостережения относительно выполнения процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?

Кроме того, почти тангенциальный вопрос - если бы я обновил домен до Windows 2003 AD (сейчас или в будущем), это что-то меняет в захвате ролей FSMO?

PS: я подозреваю, что проблемы с DNS связаны с попыткой использовать DNS не от Microsoft, который не поддерживает Microsoft Dynamic DNS; Я думаю, что есть работающий DNS Windows, но еще не проверил его на правильное функционирование и настройку.

windows-server-2003 active-directory domain-controller Mei
источник
2
Где твоя резервная копия? Какой у вас план аварийного восстановления?
mailq
Ба. Я унаследовал эту настройку - я просто пытаюсь очистить.
Мэй
6
Унаследованная система. Ага. Был ли сисадмин убит до катастрофы? Или из-за катастрофы?
mailq
1
Резервные копии @david должны быть в вашем списке. У вас там карточный домик, и вам нужен план, чтобы снова заработать, если он рухнет.
voretaq7
1
@ Давид Никакое текущее и эффективное антивирусное программное обеспечение Windows не будет работать на сервере Windows 2000. В 2012 году единственное законное использование Windows 2000 в производственной среде - это приманка .
Skyhawk

Ответы:

14

Являются ли роли, перечисленные в запросе netdom fsmo, теми же, что я видел в других местах? Например, владелец роли домена совпадает с владельцем имен доменов? Является ли RID Pool Manager тем же, что и роль RID?

Да, точно. Не уверен, почему у них имена немного отличаются на этом конкретном дисплее.

Какие плохие вещи могут случиться, если я займу одну из этих ролей?

Сам захват? Не много. Большинство потенциальных проблем, о которых предупреждают, касаются включения старого контроллера домена после того, как его роль будет занята - и даже в этом случае существует много истерии из-за небольшого риска; нужны довольно странные сценарии, чтобы сломать что-либо с помощью захвата вместо передачи роли. Чтобы перейти к касательной на минуту, давайте рассмотрим роли и потенциальные риски:

  • Мастер Схемы: Это заставляет всех рассердиться, но сломать его - не очень вероятный сценарий. Документация гласит, что вам никогда не следует снова включать старый мастер схемы после использования роли, которую я называю паникером. Старый сервер будет проинформирован об изменении роли, и как только это произойдет, он откажется от роли. Потенциальный риск здесь заключается в том, что если в новый хозяин схемы вносятся изменения, то старый хозяин схемы переводится в оперативный режим , а затем до того, как он реплицируется с других контроллеров домена , на старом сервере вносятся другие конфликтующие изменения схемы. Такая ситуация маловероятна, но уничтожит ваш домен.

  • Мастер именования: То же самое, что и с мастером схемы, вам нужно будет внести изменения (в этом случае создать новый домен в лесу) на старом контроллере домена, после захвата его роли, но до того, как он узнает об этом.

  • Эмулятор PDC: Никакого риска, он не несет ответственности ни за что, если вы рискуете расхождением.

  • RID Master: Вам понадобится испорченная структура репликации, чтобы сломать эту - представьте, что у вас есть 2 DC; старый мастер RID, который не знает своей роли, был захвачен, и новый мастер RID. В этой ситуации вам нужно создать достаточно объектов, чтобы исчерпать пул RID в обоих (они раздаются по 500 с), и им обоим назначить перекрывающиеся пулы. Создайте объекты с одинаковыми RID, переподключите контроллеры домена и наблюдайте, как разворачивается апокалипсис.

  • Мастер инфраструктуры: Честно говоря, вероятно, 50% доменов в мире даже не имеют работающего Мастера инфраструктуры, так как он не работает, когда он находится в GC. В любом случае, вы не можете сломать это с захватом.

Заметят ли пользователи?

Они не должны.

Эта установка продолжалась долгое время, и люди функционировали более или менее нормально; захват роли PDC изменит это?

Нет. При использовании одного DC ни одна из функций PDC не пропускается вовсе, за исключением, может быть, вашего DC не-PDC, неспособного синхронизировать время с источником, который он хочет (отсутствующий PDC).

Тем более:

  • Вы пропустите мастер схемы только при попытке обновить схему
  • Вы пропустите мастер именования, только если попытаетесь создать новый домен в лесу.
  • Вы пропустите RID Master, только когда создадите слишком много объектов и исчерпаете пул RID вашего DC (вероятно, вы столкнетесь с этим, если будете продолжать работать как есть).
  • Вы пропустите только Infrastructure Master для обновлений групп глобального каталога в многодоменном лесу

Некоторые из этих документов предсказывают ужасные последствия для всех ролей на одном DC. С клиентской базой не более 20 - и, возможно, менее 10 - большинство дней - действительно ли наличие всех ролей на одном DC является реальной проблемой?

Нет, но получите второй DC. Вы не хотите, чтобы ваш единственный DC отказывал.

Существуют ли какие-либо предостережения относительно выполнения процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?

Да, будь осторожен. Но заточить свои ntdsutilножи и вырвать старые данные - дополнительный мусор не помогает в обслуживании домена.

Шейн Мэдден
источник
7
+1 - После того, как вы запустили очистку метаданных, как описано в Microsoft, я обнаружил, что должен зайти в DNS и вручную удалить много старых записей A и SRV, указывающих на отсутствующий DC, поэтому вам, возможно, придется это сделать.
Марк Хендерсон
6

Ваша текущая настройка (без действующих мастеров операций) представляет собой опасную и неподдерживаемую конфигурацию, которую необходимо исправить как можно скорее. Если отсутствующий сервер мертв и похоронен, захват ролей FSMO является необходимым шагом для возобновления нормальной работы.

Ответы на ваш конкретный вопрос:

  1. Да, названия ролей с одинаковыми именами, которые вы упоминаете, означают одно и то же.
  2. Плохие вещи могут произойти, если вы захватите роль, а затем попытаетесь воскресить отсутствующий сервер, на котором она была. Пожалуйста, убедитесь, что он мертв и похоронен, прежде чем захватывать роли.
  3. Пользователи вряд ли заметят какие-либо новые проблемы в результате захвата ролей FSMO.
  4. Неспособность захватить роль вызовет проблемы в долгосрочной перспективе. Незамедлительный захват роли после отказа ее бывшего владельца не вызовет проблем.
  5. На самом деле для малых предприятий с 10-20 пользователями характерно иметь один сервер со всеми ролями FSMO, а также Exchange и Sharepoint. Это не создает неразрешимых проблем с производительностью, если сервер был указан правильно, но сайт гарантированно будет страдать от простоев в случае отказа единственного сервера. Лучше всего иметь по крайней мере два контроллера домена на домен, даже если один из них является сервером Atom D525 стоимостью менее $ 500 в корпусе 1U.
  6. Не особенно, но любое обслуживание сервера несет по крайней мере некоторый риск. Как всегда, убедитесь, что у вас есть полные и проверенные резервные копии и план восстановления, прежде чем продолжить.
  7. Это не должно быть проблемой, если вы сначала захватите роли FSMO, а затем обновите функциональный уровень домена.
  8. Нет веских причин использовать DNS не от Microsoft для разрешения домена в среде Active Directory. Вам необходимо подготовить и реализовать план по переносу ваших внутренних служб DNS на контроллеры домена.

Вы указали, что на сервере Windows 2000 запущена «утилита проверки на вирусы». Конечно, вы знаете, что Windows 2000 сама по себе является «утилитой для сбора вирусов» со многими известными уязвимостями и отсутствующими обновлениями безопасности. Немедленно удалите этот сервер.

штурмовик типа "Скайхки"
источник
Люблю замечание "Утилита сбора вирусов"
gWaldo
6

Да, захватить эти роли. Вы - колебание мощности / зависание системы / солнечная вспышка вдали от катастрофы.

Это маловероятно, но пользователи могут заметить, что изменения учетной записи, кэшированные на их локальных компьютерах, не соответствуют AD.

У вас никогда не должно быть только одного DC. Два минимума и по одному в каждом удаленном офисе. Если вы хотите использовать виртуальные машины, (IMHO) они только дополняют физические блоки. И это только после того, как вы прочитали об использовании виртуальных машин в качестве контроллеров домена.

Я предпочитаю, чтобы все DC были GC. Это мое личное предпочтение, но это означает, что полная копия содержимого AD хранится на каждом DC с этой ролью. Если у вас есть два DC, но только один - это GC, и тот умирает, я думаю, вы становитесь таким же испорченным, как если бы у вас был только один DC.

Ваш эмулятор PDC будет получать весь трафик от устаревших систем («систем», то есть компьютеров, приложений и служб, таких как SQL Server 2000); поставь на железо.

Не обязательно плохо, что у одного DC есть все роли, ЕСЛИ у вас есть другие DC, и ваша репликация исправна.

Если нет действительно веской причины, вам определенно следует использовать Microsoft DNS для внутреннего разрешения имен.

Исправьте свою среду, затем обновите. Вы не рисуете тонущую лодку. Пока вы в этом, решительно подумайте о переходе на 2008 год. 2003 год на жизнеобеспечении.

Смотрите также: Что нужно сделать после сбоя контроллера домена? и Как создать другой DC со всеми ролями, когда первый DC больше не доступен

gWaldo
источник