Widziałem inne pytania i dokumenty na ten temat, ale są pewne rzeczy, które wciąż mnie mylą. Oto dokumenty i pytania, które widziałem:
- Wycofaj kontroler domeny Dead Windows 2003
- Przechwytywanie ról FSMO od Petri
- Użycie NTDSUtil.exe do przeniesienia lub przejęcia ról FSMO do kontrolera domeny - Microsoft Knowledgebase
- Umieszczenie i optymalizacja FSMO w kontrolerach domen Active Directory - Baza wiedzy Microsoft
- Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny
Środowisko zawiera dwa serwery Windows i wielu klientów. Kontrolerem domeny jest system Windows 2003 z dodatkiem SP2 z macierzystą usługą Windows 2000 AD. Drugi serwer (wcale nie DC) to Windows 2000 SP4 (hostuje narzędzie do sprawdzania wirusów).
Wyniki z netdom query fsmo
:
Schema owner missing.office.local
Domain role owner myself.office.local
PDC role missing.office.local
RID pool manager missing.office.local
Infrastructure owner missing.office.local
The command completed successfully.
Wyniki z dcdiag
:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site\MYSELF
Starting test: Connectivity
The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
resolved, the server name (MYSELF.office.local) resolved to the IP
address (192.168.9.101) and was pingable. Check that the IP address
is registered correctly with the DNS server.
......................... MYSELF failed test Connectivity
Doing primary tests
Testing server: Default-First-Site\MYSELF
Skipping all tests, because server MYSELF is
not responding to directory service requests
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : office
Starting test: CrossRefValidation
......................... office passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... office passed test CheckSDRefDom
Running enterprise tests on : office.local
Starting test: Intersite
......................... office.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... office.local failed test FsmoCheck
Oto moje pytania (przepraszam, jeśli to zbyt wiele pytań dla początkujących):
- Czy role wymienione
netdom query fsmo
na tych samych, które widziałem, wymieniono gdzie indziej? Na przykład, czy właściciel roli domeny jest taki sam jak wzorzec nazw domen ? Czy RID Pool Manager jest taki sam jak rola RID ? - Jakie są złe rzeczy, które mogą się zdarzyć, jeśli przejdę jedną z tych ról?
- Czy użytkownicy zauważą?
- Ta konfiguracja trwa już od dłuższego czasu, a ludzie funkcjonują mniej więcej normalnie; czy przejęcie roli PDC to zmieni?
- Niektóre z tych dokumentów przewidują tragiczne konsekwencje posiadania wszystkich ról na jednym DC. Z bazą klientów nie większą niż 20 - a być może krótszą niż 10 większości dni - czy posiadanie wszystkich ról na jednym DC jest prawdziwym problemem?
- Czy istnieją jakieś zastrzeżenia dotyczące wykonywania procedury czyszczenia zalecanej przez Microsoft w celu usunięcia starego kontrolera domeny z usługi Active Directory?
Także - prawie styczne pytanie - gdybym uaktualnił domenę do Windows 2003 AD (teraz lub w przyszłości) czy to coś zmieni w przejmowaniu ról FSMO?
PS: Podejrzewam, że problemy z DNS związane są z próbą użycia DNS innego niż Microsoft, który nie obsługiwał Dynamic DNS firmy Microsoft; Myślę, że działa DNS systemu Windows, ale jeszcze go nie sprawdziłem pod kątem poprawnego działania i konfiguracji.
Odpowiedzi:
Tak, dokładnie. Nie jestem pewien, dlaczego mają te nazwy nieco inne na tym konkretnym ekranie.
Sam napad? Nie dużo. Większość potencjalnych problemów, o których się ostrzega, polega na ponownym włączeniu starego DC po przejęciu jego roli - i nawet wtedy istnieje wiele histerii z powodu niewielkiego ryzyka; Potrzeba dość dziwnych scenariuszy, aby przerwać coś za pomocą zajęcia zamiast przeniesienia roli. Aby przejść przez chwilę do stycznej, przejrzyjmy role i potencjalne ryzyko:
Schema Master: Ten sprawia, że wszyscy są dość trzęsący się, ale złamanie go nie jest strasznie prawdopodobnym scenariuszem. Dokumentacja mówi, że nigdy nie powinieneś nigdy włączać starego mistrza schematu po przejściu roli, którą nazywam alarmistą. Stary serwer zostanie poinformowany o zmianie roli, a gdy tylko zostanie, zrezygnuje z roli. Potencjalnym ryzykiem jest to, że jeśli zostaną wprowadzone zmiany w nowym wzorcu schematu, wówczas stary wzorzec schematu zostanie przełączony do trybu online, a następnie, zanim zostanie zreplikowany z innych kontrolerów domeny , na starym serwerze zostaną wprowadzone inne, sprzeczne ze sobą zmiany schematu. Ta sytuacja jest mało prawdopodobna, ale zniszczy Twoją domenę.
Naming Master: Tak samo jak w Master Schema, musisz wprowadzić zmiany (w tym przypadku utworzyć nową domenę w lesie) na starym DC, po przejęciu jego roli, ale zanim dowie się o przejęciu.
Emulator PDC: bez ryzyka, nie jest odpowiedzialny za nic, co grozi rozbieżnością.
RID Master: Potrzebujesz uszkodzonej struktury replikacji, aby ją złamać - wyobraź sobie, że masz 2 kontrolery domeny; stary wzorzec RID, który nie wie, że jego rola została przejęta, i nowy wzorzec RID. W tej sytuacji trzeba utworzyć wystarczającą liczbę obiektów, aby wyczerpać pulę RID na obu (są one rozdawane w ciągu 500 sekund), a obie powinny przypisać sobie nakładające się pule. Twórz obiekty o identycznych identyfikatorach RID, podłącz ponownie kontrolery domeny i obserwuj, jak rozwija się apokalipsa.
Mistrz infrastruktury: Szczerze mówiąc, prawdopodobnie 50% domen na świecie w ogóle nie ma działającego Mistrza infrastruktury, ponieważ nie działa, gdy jest na GC. W każdym razie nie można go złamać za pomocą zajęcia.
Oni nie powinni.
Nie. W przypadku pojedynczego kontrolera domeny w ogóle nie brakuje żadnej funkcji kontrolera PDC, z wyjątkiem tego, że kontroler DC inny niż PDC nie jest w stanie zsynchronizować czasu ze źródłem, którego chce (brakującym kontrolerem PDC).
Bardziej:
Nie - ale zdobądź drugie DC. Nie chcesz, aby twój jedyny awaria DC.
Tak - bądź ostrożny. Ale wyostrz swoje
ntdsutil
noże i wyrwij stare dane - dodatkowe śmieci nie pomagają w utrzymaniu domeny.źródło
Twoja obecna konfiguracja (bez funkcjonujących wzorców operacji) jest niebezpieczną i nieobsługiwaną konfiguracją, którą należy jak najszybciej naprawić. Jeśli brakujący serwer jest martwy i zakopany, przejęcie ról FSMO jest niezbędnym krokiem w kierunku wznowienia normalnej pracy.
Odpowiedzi na twoje konkretne pytanie:
Wskazałeś, że masz „narzędzie do sprawdzania wirusów” uruchomione na serwerze Windows 2000. Na pewno zdajesz sobie sprawę, że sam system Windows 2000 to „narzędzie do gromadzenia wirusów” z wieloma znanymi lukami i brakiem dostępnych aktualizacji zabezpieczeń. Wycofaj ten serwer natychmiast.
źródło
Tak, wykorzystaj te role. Jesteś fluktuacją zasilania / zawiesza się system / rozbłysk słoneczny z dala od katastrofy.
Jest to mało prawdopodobne, ale użytkownicy mogą zauważyć, że zmiany kont zapisane w pamięci podręcznej na ich lokalnych komputerach nie pasują do AD.
Nigdy nie powinieneś mieć tylko jednego DC. Dwa minimum i po jednym w każdym zdalnym biurze. Jeśli chcesz używać maszyn wirtualnych, (IMHO) mają one jedynie uzupełniać fizyczne pudełka. I to dopiero po przeczytaniu na temat używania maszyn wirtualnych jako kontrolerów domeny.
Wolę, aby wszystkie DC były GC. To moje osobiste preferencje, ale oznacza to, że pełna kopia treści AD jest przechowywana na każdym DC z tą rolą. Jeśli masz dwa DC, ale tylko jeden jest GC, a ten umiera, myślę, że jesteś tak wkręcony, jakbyś miał tylko jedno DC.
Twój emulator PDC będzie pobierał cały ruch ze starszych systemów („systemy” oznacza maszyny, aplikacje i usługi, takie jak SQL Server 2000); włóż to na sprzęt.
Nie musi być złe, że jeden kontroler domeny ma wszystkie role, JEŻELI masz inne kontrolery domeny i replikacja jest sprawna.
O ile nie ma naprawdę dobrego powodu, zdecydowanie powinieneś użyć Microsoft DNS do wewnętrznego rozpoznawania nazw.
Napraw swoje środowisko, a następnie zaktualizuj. Nie malujesz tonącej łodzi. W tym momencie zdecydowanie rozważ dotarcie do roku 2008. 2003 dotyczy podtrzymywania życia.
Zobacz także: Co należy zrobić po awarii kontrolera domeny? oraz Jak wprowadzić kolejnego DC ze wszystkimi rolami, gdy pierwszy DC nie jest już dostępny
źródło