Ölü Windows Etki Alanı Denetleyicisi'nden FSMO rollerini alma

13

Bunu yapmayla ilgili başka sorular ve belgeler gördüm, ancak beni şaşırtan bazı şeyler var. İşte gördüğüm belgeler ve sorular:

Ortam iki Windows sunucusu ve çok sayıda istemci içerir. Etki Alanı Denetleyicisi, Windows 2000 Yerel AD ile çalışan Windows 2003 SP2'dir. Diğer sunucu (DC değil) Windows 2000 SP4'tür (bir virüs kontrol yardımcı programı barındırmaktadır).

Sonuçları netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Sonuçları dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

İşte sorularım (yeni başlayanlar için çok fazla soru varsa affedersiniz):

  • netdom query fsmoGördüğüm rollerden başka bir yerde listelenen roller var mı? Örneğin, Etki Alanı rolü sahibi Etki Alanı Adlandırma Yöneticisi ile aynı mı? Mı RID Havuzu Müdürü aynı RID rolü?
  • Bu rollerden birini ele geçirirsem olabilecek kötü şeyler nelerdir?
  • Kullanıcılar fark eder mi?
  • Bu kurulum uzun zamandır devam ediyor ve insanlar az çok normal çalışıyor; PDC rolünü ele geçirmek bunu değiştirecek mi?
  • Bu belgelerin bazıları, tüm rollerin tek bir DC'de bulunmasının olumsuz sonuçlarını öngörmektedir. 20'den fazla olmayan ve belki de en fazla 10 günden daha az bir müşteri tabanıyla, bir DC'deki tüm rollere sahip olmak gerçek bir problem midir?
  • Eski DC'yi Active Directory'den kaldırmak için Microsoft tarafından önerilen temizleme işlemini gerçekleştirmeye yönelik uyarılar var mı?

Ayrıca - neredeyse teğetsel bir soru - eğer bir Windows 2003 AD'ye (şimdi veya gelecekte) yükseltme yapsaydım, bu FSMO rollerinin ele geçirilmesinde bir şey değiştirir mi?

Not: DNS sorunlarının Microsoft'un Dinamik DNS'sini desteklemeyen Microsoft dışı bir DNS kullanmaya çalıştığından şüpheleniyorum; Çalışan bir Windows DNS olduğunu düşünüyorum, ancak düzgün çalışması ve kurulumu için henüz denetlemedim.

windows-server-2003  active-directory  domain-controller 
Mei
kaynak
2
Yedeklemeniz nerede? Olağanüstü durum kurtarma planınız nedir?
mailq
Bah. Bu düzeni miras aldım - sadece temizlemeye çalışıyorum.
Mei
6
Sistemi devralındı. Aha. Sisadmin felaketten önce mi öldürüldü? Yoksa felaket yüzünden mi?
mailq
1
@david yedeklemeleri listenizde yüksek olmalıdır. Orada bir kart eviniz var ve çöktüğünde tekrar kalkmak ve tekrar çalıştırmak için bir plana ihtiyacınız var.
voretaq7
1
@David Windows 2000 sunucusunda geçerli ve etkili bir Windows virüsten koruma yazılımı çalışmaz. 2012 yılında, bir üretim ortamında Windows 2000 için tek meşru kullanım bir bal küpüdür .
Skyhawk

Yanıtlar:

14

Netdom sorgusu fsmo'da listelenen roller, başka bir yerde listelenen gördüklerimizle aynı mı? Örneğin, Etki Alanı rolü sahibi Etki Alanı Adlandırma Yöneticisi ile aynı mı? RID Pool Manager, RID rolüyle aynı mı?

Evet kesinlikle. Belirli bir ekranda isimlerin neden biraz farklı olduklarından emin değilim.

Bu rollerden birini ele geçirirsem olabilecek kötü şeyler nelerdir?

Nöbetin kendisi mi? Çok değil. Uyarılan potansiyel sorunların çoğu, eski DC'nin rolünü ele geçirdikten sonra tekrar açmakla ilgilidir - ve o zaman bile, çok fazla risk için çok fazla histeri vardır; bir rolün aktarılması yerine bir nöbetle her şeyi kırmak oldukça garip senaryolar gerektirir. Bir anlığına teğet devam etmek için rolleri ve potansiyel riskleri gözden geçirelim:

  • Schema Master: Bu herkesi oldukça seğiriyor, ama onu kırmak çok olası bir senaryo değil. Belgeler, alarmist dediğim rolü ele geçirdikten sonra eski Şema Yöneticisi'ni asla tekrar açmamanız gerektiğini söylüyor. Eski sunucu rol değişikliği hakkında bilgilendirilecek ve en kısa sürede rolü bırakacaktır. Buradaki potansiyel risk, yeni şema yöneticisinde değişiklik yapılması, eski şema yöneticisinin çevrimiçi duruma getirilmesi, daha sonra diğer DC'lerden çoğaltılmadan önce , eski sunucuda farklı, çakışan şema değişiklikleri yapılmasıdır. Bu durum olası değildir, ancak alan adınızı yok eder.

  • Adlandırma Yöneticisi: Şema yöneticisi ile aynı anlaşma, rolünü ele geçirdikten sonra, ancak nöbet hakkında bilgi edinmeden önce eski DC'de değişiklikler yapmanız gerekir (bu durumda ormanda yeni bir etki alanı oluşturmanız gerekir).

  • PDC Öykünücüsü: Risk yok, farklılaşma riskiniz olan hiçbir şeyden sorumlu değildir.

  • RID Master: Bunu kırmak için dağınık bir çoğaltma yapısına ihtiyacınız olacak - 2 DC'niz olduğunu hayal edin; rolünü bilmeyen eski bir RID yöneticisi ve yeni bir RID yöneticisi. Bu durumda, RID havuzunu her ikisinde de (500'lerde dağıtılır) tüketmek için yeterli nesne oluşturmanız ve her ikisinin de çakışan havuzlar atamasını sağlamanız gerekir. Aynı RID'lere sahip nesneler oluşturun, etki alanı denetleyicilerini yeniden bağlayın ve kıyametin açılmasını izleyin.

  • Altyapı Yöneticisi: Dürüst olmak gerekirse, dünyadaki alan adlarının muhtemelen% 50'sinde çalışan bir Altyapı Yöneticisi bile yoktur, çünkü bir GC'de çalışmaz. Her durumda, nöbetle kıramazsınız.

Kullanıcılar fark eder mi?

Yapmamalılar.

Bu kurulum uzun zamandır devam ediyor ve insanlar az çok normal çalışıyor; PDC rolünü ele geçirmek bunu değiştirecek mi?

Hayır. Tek bir DC ile, PDC olmayan DC'nizin istediği kaynakla (eksik PDC) zamanı senkronize edememesi dışında, PDC'nin işlevlerinden hiçbiri kaçırılmaz.

Daha çok:

  • Şema Yöneticisi'ni yalnızca şemayı güncellemeye çalıştığınızda özleyeceksiniz
  • Adlandırma Yöneticisi'ni yalnızca ormanda yeni bir etki alanı oluşturmaya çalıştığınızda özleyeceksiniz
  • RID Master'ı yalnızca çok fazla nesne oluşturduğunuzda ve DC'nizin RID havuzunu tükettiğinizde kaçırırsınız (bu, muhtemelen olduğu gibi çalışmaya devam ederseniz, muhtemelen bu olasılıkla karşılaşmanızdır)
  • Çok alanlı bir ormanda yalnızca global katalog grubu güncellemeleri için Altyapı Yöneticisi'ni kaçırırsınız

Bu belgelerin bazıları, tüm rollerin tek bir DC'de bulunmasının olumsuz sonuçlarını öngörmektedir. 20'den fazla olmayan ve belki de en fazla 10 günden daha az bir müşteri tabanıyla, bir DC'deki tüm rollere sahip olmak gerçek bir problem midir?

Hayır - ama ikinci bir DC alın. Tek DC'nizin arızalanmasını istemezsiniz.

Eski DC'yi Active Directory'den kaldırmak için Microsoft tarafından önerilen temizleme işlemini gerçekleştirmeye yönelik uyarılar var mı?

Evet - dikkatli ol. Ancak ntdsutilbıçaklarınızı keskinleştirin ve eski verileri yırtın - orada ekstra önemsiz alanın korunmasına yardımcı olmuyor.

Shane Madden
kaynak
7
+1 - Meta veri temizliğini Microsoft tarafından açıklanan şekilde çalıştırdıktan sonra, kendimi DNS'ye girmek ve eksik DC'yi gösteren çok sayıda eski A ve SRV kaydını el ile silmek zorunda buldum , bu yüzden bunu da yapmanız gerekebilir.
Mark Henderson
6

Geçerli kurulumunuz (işleyen işlem yöneticisi olmadan), mümkün olan en kısa sürede giderilmesi gereken tehlikeli ve desteklenmeyen bir yapılandırmadır. Eksik sunucu ölmüş ve gömülmüşse, FSMO rollerini yakalamak normal çalışmaya devam etmek için gerekli bir adımdır.

Özel sorunuzun cevapları:

  1. Evet, bahsettiğiniz benzer şekilde adlandırılmış rol başlıkları aynı anlama gelir.
  2. Bir rolü ele geçirir ve daha sonra buna sahip olan eksik sunucuyu diriltmeye çalışırsanız, kötü şeyler olması muhtemeldir. Rolleri ele geçirmeden önce lütfen öldüğünden ve gömüldüğünden emin olun.
  3. Kullanıcıların FSMO rollerini ele geçirmesinin bir sonucu olarak yeni sorunları fark etmesi olası değildir.
  4. Rolün ele geçirilmemesi uzun vadede sorunlara neden olacaktır. Eski sahibinin başarısızlığından hemen sonra rolü ele geçirmek sorunlara neden olmaz.
  5. Nitekim, 10-20 kullanıcısı olan küçük işletmelerin tüm FSMO rollerine ve Exchange ve Sharepoint'e sahip tek bir sunucuya sahip olması yaygındır . Bu, sunucu doğru bir şekilde belirtildiyse inatçı performans sorunları oluşturmaz, ancak tek sunucu başarısız olursa sitenin kesinti süresi yaşayacağı garanti edilir. Bunlardan biri, 1U kasadaki 500 $ 'ın altında bir Atom D525 sunucusu olsa bile, etki alanı başına en az iki etki alanı denetleyicisine sahip olmak en iyisidir.
  6. Özellikle değil, ancak herhangi bir sunucu bakımı en azından bir miktar risk taşır. Her zaman olduğu gibi, devam etmeden önce tam ve test edilmiş yedeklere ve bir kurtarma planına sahip olduğunuzdan emin olun.
  7. Önce FSMO rollerini ele geçirip etki alanı işlev düzeyini yükselttiğiniz sürece bu bir sorun olmamalıdır.
  8. Active Directory ortamında etki alanı çözümlemesi için Microsoft dışı bir DNS kullanmanın iyi bir nedeni yoktur . Dahili DNS hizmetlerinizi etki alanı denetleyicilerinize taşımak için bir plan hazırlamanız ve uygulamanız gerekir.

Bir Windows 2000 sunucusunda çalışan bir "virüs denetleme yardımcı programı" olduğunu belirttiniz. Şüphesiz, Windows 2000'in kendisinin bilinen birçok güvenlik açığı bulunan ve güvenlik güncelleştirmesi bulunmayan bir "virüs toplama yardımcı programı" olduğunun farkındasınız. Bu sunucuyu derhal kullanımdan kaldırın.

Skyhawk
kaynak
"Virüs toplama aracı"
notunu seviyorum
6

Evet, bu rolleri ele geçirin. Felaketten uzakta bir güç dalgalanması / sistem asmak / güneş patlaması vardır.

Bu olası değildir, ancak kullanıcılar yerel makinelerinde önbelleğe alınan hesap değişikliklerinin AD ile eşleşmediğini fark edebilir.

Asla sadece bir DC'niz olmamalıdır. En az iki, her uzak ofiste bir tane. VM'leri kullanmak istiyorsanız, (IMHO) yalnızca fiziksel kutuları desteklemek içindir. Ve bu sadece VM'leri DC olarak kullanmayı okuduktan sonra olur.

Tüm DC'lerin GC olmasını tercih ederim. Bu benim kişisel tercihim, ancak AD içeriğinin tam bir kopyasının her DC'de bu rolle depolandığı anlamına geliyor. İki DC'niz varsa, ancak yalnızca bir tanesi bir GC'dir ve bu ölürse, sanırım sadece bir DC'niz varmış gibi vidalanmış olursunuz.

PDC Öykünücünüz eski sistemlerden (SQL Server 2000 gibi makineler, uygulamalar ve hizmetler anlamına gelen "sistemler") tüm trafiği alacaktır; donanıma koy.

Başka DC'leriniz varsa ve çoğaltmanız sağlıklıysa, bir DC'nin tüm rollere sahip olması her zaman kötü değildir.

Gerçekten iyi bir neden olmadıkça , dahili ad çözümlemesi için kesinlikle Microsoft DNS kullanmalısınız.

Ortamınızı düzeltin, ardından yükseltin. Batmakta olan bir tekneyi boyamazsınız. Siz oradayken, 2008'e gitmeyi kesinlikle düşünün. 2003 yaşam desteği ile ilgili.

Ayrıca bkz: Etki Alanı Denetleyicisi kilitlenmesinden sonra ne yapılması gerekir? ve İlk DC artık mevcut olmadığında başka bir DC'yi tüm rollere nasıl getirebilirsiniz?

gWaldo
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.