Co należy zrobić po awarii kontrolera domeny?

20

Zakładając, że w domenie były co najmniej dwa kontrolery domeny, jakie kroki należy podjąć, aby usługa Active Directory była zdrowa po awarii kontrolera domeny?

active-directory domain-controller Nic
źródło
Jak definiujesz „Crashed”? Czy to tylko BSOD, czy całkowicie nie żyje?
Mark Henderson
Zupełnie martwy. W moim przypadku zarówno zasilacz, jak i płyta główna uległy awarii.
Nic
Uważam również, że ten artykuł jest bardzo przydatny. funkytechguy.blogspot.co.za/2016/06/…

Odpowiedzi:

32

Krok 0: Posiadaj co najmniej dwa kontrolery domeny .
Jeśli masz tylko jeden kontroler domeny, który zawiedzie w sposób uniemożliwiający jego odzyskanie, oznacza to, że domena już nie istnieje; jedyną opcją jest utworzenie całkowicie nowej domeny. Jest to bolesny proces, który polega na odtwarzaniu użytkowników, ponownym podłączaniu komputerów i serwerów klienckich, a nawet odtwarzaniu wszystkich ustawień zabezpieczeń, z których kiedykolwiek korzystałeś.

Jeśli serwer jest absolutnie nie do odzyskania, na przykład z powodu awarii sprzętu, którego nie można łatwo naprawić, oto jak całkowicie usunąć go z domeny. Gdy role FSMO zostały zajęte, jest krytyczna , że stary serwer nie jest sprowadzony w Internecie. Poważnie rozważ wyczyszczenie dysku twardego, aby mieć pewność, że tak się nigdy nie stanie.

  1. Określ, które serwery pełniły role FSMO (Flexible Single Master Operations) dla domeny i lasu. Microsoft ma świetny artykuł na temat znajdowania ról FSMO .

  2. Wszelkie role FSMO, które były sprawowane przez zawieszony serwer, powinny zostać przejęte na sprawnym kontrolerze domeny. Kolejny artykuł Microsoft na ten temat.

  3. Rola FSMO „Infrastruktura” jest wyjątkowa i jest faktycznie określona dla każdej partycji aplikacji. Jeśli serwer, który ulegał awarii, miał DNS, musisz sprawdzić, czy rekord na każdej partycji aplikacji (DomainDnsZones, ForestDnsZones) został zaktualizowany. Lepsze wyjaśnienie tutaj i oficjalna poprawka tutaj .

  4. Wykonaj czyszczenie metadanych, aby usunąć pozostałości z Active Directory. Usuwanie wymarłych metadanych serwera .

  5. Sprawdź „Użytkownicy i komputery Active Directory” oraz „Witryny i usługi Active Directory”, aby upewnić się, że wszystkie wpisy wymarłego serwera zostały usunięte.

  6. Sprawdź DNS, aby znaleźć wszelkie wpisy statyczne związane z wygasłym serwerem, albo usuń je, przypisz je lub umieść nowy serwer pod tym samym adresem.

  7. Jeśli serwer ulegający awarii był autoryzowanym serwerem DHCP, sprawdź, czy nadal znajduje się na liście autoryzowanych serwerów. Jeśli tak, może być konieczne użycie Edycji ADSI, aby usunąć go z listy katalogów głównych DHCP.

(Edytuj 2010-03-14: Dodano komentarz Graeme o kroku 0)

Nic
źródło
Musiałem się tego wszystkiego dowiedzieć na własnej skórze, więc mam nadzieję, że pomoże to komuś innemu, kto znajdzie się na mojej pozycji.
Nic
Brzmi jak gówniany weekend, ale dziękuję za udostępnienie świetnej listy kontrolnej.
Gomibushi
Niestety, zbyt dobrze znam te kroki ...
5
+1, to świetna odpowiedź. Pokryłeś prawie wszystko. Dodałbym „Krok 0” dla tych, którzy nie musieli sobie z tym poradzić… „Zawsze mają co najmniej 2 DC”. Przerażające jest to, ile środowisk istnieje tylko w jednym.
ThatGraemeGuy
1
+1 za odpowiedź, a także głos za komentarzem Graeme - nawet jeśli jest to coś, co należy uznać za coś oczywistego, powinno ono być nadal podświetlone.
Maximus Minimus