Przechwytywanie ról FSMO z martwego kontrolera domeny Windows

13

Widziałem inne pytania i dokumenty na ten temat, ale są pewne rzeczy, które wciąż mnie mylą. Oto dokumenty i pytania, które widziałem:

Środowisko zawiera dwa serwery Windows i wielu klientów. Kontrolerem domeny jest system Windows 2003 z dodatkiem SP2 z macierzystą usługą Windows 2000 AD. Drugi serwer (wcale nie DC) to Windows 2000 SP4 (hostuje narzędzie do sprawdzania wirusów).

Wyniki z netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Wyniki z dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Oto moje pytania (przepraszam, jeśli to zbyt wiele pytań dla początkujących):

  • Czy role wymienione netdom query fsmona tych samych, które widziałem, wymieniono gdzie indziej? Na przykład, czy właściciel roli domeny jest taki sam jak wzorzec nazw domen ? Czy RID Pool Manager jest taki sam jak rola RID ?
  • Jakie są złe rzeczy, które mogą się zdarzyć, jeśli przejdę jedną z tych ról?
  • Czy użytkownicy zauważą?
  • Ta konfiguracja trwa już od dłuższego czasu, a ludzie funkcjonują mniej więcej normalnie; czy przejęcie roli PDC to zmieni?
  • Niektóre z tych dokumentów przewidują tragiczne konsekwencje posiadania wszystkich ról na jednym DC. Z bazą klientów nie większą niż 20 - a być może krótszą niż 10 większości dni - czy posiadanie wszystkich ról na jednym DC jest prawdziwym problemem?
  • Czy istnieją jakieś zastrzeżenia dotyczące wykonywania procedury czyszczenia zalecanej przez Microsoft w celu usunięcia starego kontrolera domeny z usługi Active Directory?

Także - prawie styczne pytanie - gdybym uaktualnił domenę do Windows 2003 AD (teraz lub w przyszłości) czy to coś zmieni w przejmowaniu ról FSMO?

PS: Podejrzewam, że problemy z DNS związane są z próbą użycia DNS innego niż Microsoft, który nie obsługiwał Dynamic DNS firmy Microsoft; Myślę, że działa DNS systemu Windows, ale jeszcze go nie sprawdziłem pod kątem poprawnego działania i konfiguracji.

Mei
źródło
2
Gdzie jest twoja kopia zapasowa? Jaki jest twój plan odzyskiwania po awarii?
mailq
Bah. Odziedziczyłem tę konfigurację - staram się tylko posprzątać.
Mei
6
Odziedziczył system. Aha. Czy sysadmin został zabity przed katastrofą? A może z powodu katastrofy?
mailq
1
Kopie zapasowe @david powinny znajdować się wysoko na liście. Masz tam domek z kart i potrzebujesz planu, aby znów zacząć działać, jeśli się zawiedzie.
voretaq7,
1
@David Na serwerze z systemem Windows 2000 nie będzie działać aktualne i skuteczne oprogramowanie antywirusowe Windows. W 2012 roku jedynym uzasadnionym zastosowaniem systemu Windows 2000 w środowisku produkcyjnym jest honeypot .
Skyhawk

Odpowiedzi:

14

Czy role wymienione w zapytaniu netdom fsmo są takie same, jak te, które widziałem wymienione gdzie indziej? Na przykład, czy właściciel roli domeny jest taki sam jak wzorzec nazw domen? Czy RID Pool Manager jest taki sam jak rola RID?

Tak, dokładnie. Nie jestem pewien, dlaczego mają te nazwy nieco inne na tym konkretnym ekranie.

Jakie są złe rzeczy, które mogą się zdarzyć, jeśli przejdę jedną z tych ról?

Sam napad? Nie dużo. Większość potencjalnych problemów, o których się ostrzega, polega na ponownym włączeniu starego DC po przejęciu jego roli - i nawet wtedy istnieje wiele histerii z powodu niewielkiego ryzyka; Potrzeba dość dziwnych scenariuszy, aby przerwać coś za pomocą zajęcia zamiast przeniesienia roli. Aby przejść przez chwilę do stycznej, przejrzyjmy role i potencjalne ryzyko:

  • Schema Master: Ten sprawia, że ​​wszyscy są dość trzęsący się, ale złamanie go nie jest strasznie prawdopodobnym scenariuszem. Dokumentacja mówi, że nigdy nie powinieneś nigdy włączać starego mistrza schematu po przejściu roli, którą nazywam alarmistą. Stary serwer zostanie poinformowany o zmianie roli, a gdy tylko zostanie, zrezygnuje z roli. Potencjalnym ryzykiem jest to, że jeśli zostaną wprowadzone zmiany w nowym wzorcu schematu, wówczas stary wzorzec schematu zostanie przełączony do trybu online, a następnie, zanim zostanie zreplikowany z innych kontrolerów domeny , na starym serwerze zostaną wprowadzone inne, sprzeczne ze sobą zmiany schematu. Ta sytuacja jest mało prawdopodobna, ale zniszczy Twoją domenę.

  • Naming Master: Tak samo jak w Master Schema, musisz wprowadzić zmiany (w tym przypadku utworzyć nową domenę w lesie) na starym DC, po przejęciu jego roli, ale zanim dowie się o przejęciu.

  • Emulator PDC: bez ryzyka, nie jest odpowiedzialny za nic, co grozi rozbieżnością.

  • RID Master: Potrzebujesz uszkodzonej struktury replikacji, aby ją złamać - wyobraź sobie, że masz 2 kontrolery domeny; stary wzorzec RID, który nie wie, że jego rola została przejęta, i nowy wzorzec RID. W tej sytuacji trzeba utworzyć wystarczającą liczbę obiektów, aby wyczerpać pulę RID na obu (są one rozdawane w ciągu 500 sekund), a obie powinny przypisać sobie nakładające się pule. Twórz obiekty o identycznych identyfikatorach RID, podłącz ponownie kontrolery domeny i obserwuj, jak rozwija się apokalipsa.

  • Mistrz infrastruktury: Szczerze mówiąc, prawdopodobnie 50% domen na świecie w ogóle nie ma działającego Mistrza infrastruktury, ponieważ nie działa, gdy jest na GC. W każdym razie nie można go złamać za pomocą zajęcia.

Czy użytkownicy zauważą?

Oni nie powinni.

Ta konfiguracja trwa już od dłuższego czasu, a ludzie funkcjonują mniej więcej normalnie; czy przejęcie roli PDC to zmieni?

Nie. W przypadku pojedynczego kontrolera domeny w ogóle nie brakuje żadnej funkcji kontrolera PDC, z wyjątkiem tego, że kontroler DC inny niż PDC nie jest w stanie zsynchronizować czasu ze źródłem, którego chce (brakującym kontrolerem PDC).

Bardziej:

  • Będziesz tęsknił za Mistrzem schematu tylko podczas próby aktualizacji schematu
  • Tęsknisz za Naming Master tylko przy próbie utworzenia nowej domeny w lesie
  • Tęsknisz za RID Master tylko wtedy, gdy utworzysz zbyt wiele obiektów i wyczerpiesz pulę RID swojego DC (jest to prawdopodobnie najbardziej prawdopodobne, że natkniesz się, jeśli będziesz nadal działał tak, jak jest)
  • Brakuje tylko wzorca infrastruktury do aktualizacji grup katalogów globalnych w lesie z wieloma domenami

Niektóre z tych dokumentów przewidują tragiczne konsekwencje posiadania wszystkich ról na jednym DC. Z bazą klientów nie większą niż 20 - a być może krótszą niż 10 większości dni - czy posiadanie wszystkich ról na jednym DC jest prawdziwym problemem?

Nie - ale zdobądź drugie DC. Nie chcesz, aby twój jedyny awaria DC.

Czy istnieją jakieś zastrzeżenia dotyczące wykonywania procedury czyszczenia zalecanej przez Microsoft w celu usunięcia starego kontrolera domeny z usługi Active Directory?

Tak - bądź ostrożny. Ale wyostrz swoje ntdsutilnoże i wyrwij stare dane - dodatkowe śmieci nie pomagają w utrzymaniu domeny.

Shane Madden
źródło
7
+1 - po uruchomieniu czyszczenia metadanych zgodnie z opisem firmy Microsoft stwierdziłam, że muszę wejść do DNS i ręcznie usunąć wiele starych rekordów A i SRV wskazujących na brakujący kontroler domeny, więc być może trzeba to zrobić.
Mark Henderson
6

Twoja obecna konfiguracja (bez funkcjonujących wzorców operacji) jest niebezpieczną i nieobsługiwaną konfiguracją, którą należy jak najszybciej naprawić. Jeśli brakujący serwer jest martwy i zakopany, przejęcie ról FSMO jest niezbędnym krokiem w kierunku wznowienia normalnej pracy.

Odpowiedzi na twoje konkretne pytanie:

  1. Tak, wspomniane tytuły ról o podobnych nazwach oznaczają to samo.
  2. Złe rzeczy mogą się zdarzyć, jeśli przejmiesz rolę, a następnie spróbujesz wskrzesić brakujący serwer, który ją miał. Przed przejęciem ról upewnij się, że jest martwy i pochowany.
  3. Użytkownicy prawdopodobnie nie zauważą żadnych nowych problemów w wyniku przejęcia ról FSMO.
  4. Brak przejęcia roli spowoduje problemy w perspektywie długoterminowej. Przejęcie roli niezwłocznie po upadku poprzedniego właściciela nie spowoduje problemów.
  5. W rzeczywistości małe firmy z 10–20 użytkownikami mają jeden serwer ze wszystkimi rolami FSMO oraz Exchange i Sharepoint. Nie powoduje to nierozwiązywalnych problemów z wydajnością, jeśli serwer został poprawnie określony, ale gwarantujemy, że witryna ulegnie przestojom, jeśli serwer ulegnie awarii. Najlepiej jest mieć co najmniej dwa kontrolery domeny na domenę, nawet jeśli jeden z nich to serwer Atom D525 o wartości poniżej 500 USD w obudowie 1U.
  6. Nie szczególnie, ale każda konserwacja serwera niesie ze sobą co najmniej pewne ryzyko. Jak zawsze, przed kontynuowaniem upewnij się, że masz pełne i przetestowane kopie zapasowe oraz plan odzyskiwania.
  7. Nie powinno to stanowić problemu, jeśli najpierw przejmiesz role FSMO, a następnie uaktualnisz poziom funkcjonalności domeny.
  8. Nie ma dobrego powodu, aby używać DNS firmy innej niż Microsoft do rozpoznawania domen w środowisku Active Directory. Musisz przygotować i wdrożyć plan migracji wewnętrznych usług DNS do kontrolerów domeny.

Wskazałeś, że masz „narzędzie do sprawdzania wirusów” uruchomione na serwerze Windows 2000. Na pewno zdajesz sobie sprawę, że sam system Windows 2000 to „narzędzie do gromadzenia wirusów” z wieloma znanymi lukami i brakiem dostępnych aktualizacji zabezpieczeń. Wycofaj ten serwer natychmiast.

Podniebny Jastrząb
źródło
Uwielbiam uwagę „Narzędzie do gromadzenia wirusów”
gWaldo,
6

Tak, wykorzystaj te role. Jesteś fluktuacją zasilania / zawiesza się system / rozbłysk słoneczny z dala od katastrofy.

Jest to mało prawdopodobne, ale użytkownicy mogą zauważyć, że zmiany kont zapisane w pamięci podręcznej na ich lokalnych komputerach nie pasują do AD.

Nigdy nie powinieneś mieć tylko jednego DC. Dwa minimum i po jednym w każdym zdalnym biurze. Jeśli chcesz używać maszyn wirtualnych, (IMHO) mają one jedynie uzupełniać fizyczne pudełka. I to dopiero po przeczytaniu na temat używania maszyn wirtualnych jako kontrolerów domeny.

Wolę, aby wszystkie DC były GC. To moje osobiste preferencje, ale oznacza to, że pełna kopia treści AD jest przechowywana na każdym DC z tą rolą. Jeśli masz dwa DC, ale tylko jeden jest GC, a ten umiera, myślę, że jesteś tak wkręcony, jakbyś miał tylko jedno DC.

Twój emulator PDC będzie pobierał cały ruch ze starszych systemów („systemy” oznacza maszyny, aplikacje i usługi, takie jak SQL Server 2000); włóż to na sprzęt.

Nie musi być złe, że jeden kontroler domeny ma wszystkie role, JEŻELI masz inne kontrolery domeny i replikacja jest sprawna.

O ile nie ma naprawdę dobrego powodu, zdecydowanie powinieneś użyć Microsoft DNS do wewnętrznego rozpoznawania nazw.

Napraw swoje środowisko, a następnie zaktualizuj. Nie malujesz tonącej łodzi. W tym momencie zdecydowanie rozważ dotarcie do roku 2008. 2003 dotyczy podtrzymywania życia.

Zobacz także: Co należy zrobić po awarii kontrolera domeny? oraz Jak wprowadzić kolejnego DC ze wszystkimi rolami, gdy pierwszy DC nie jest już dostępny

gWaldo
źródło