Catturare i ruoli di FSMO dal controller di dominio Windows morto

13

Ho visto altre domande e documenti su come farlo, ma ci sono alcune cose che ancora mi confondono. Ecco i documenti e le domande che ho visto:

L'ambiente contiene due server Windows e numerosi client. Il controller di dominio è Windows 2003 SP2 in esecuzione con un AD nativo di Windows 2000. L'altro server (non un controller di dominio) è Windows 2000 SP4 (ospita un'utilità di controllo dei virus).

Risultati da netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Risultati da dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Ecco le mie domande (scusami se sono troppe domande per principianti):

  • I ruoli sono elencati dagli netdom query fsmostessi che ho visto elencati altrove? Ad esempio, il proprietario del ruolo di dominio è uguale al master dei nomi di dominio ? È RID Pool Manager lo stesso del RID ruolo?
  • Quali sono le cose brutte che potrebbero accadere se cogliessi uno di questi ruoli?
  • Gli utenti noteranno?
  • Questa impostazione è in atto da molto tempo e le persone hanno funzionato più o meno normalmente; cogliere il ruolo del PDC cambierà questo?
  • Alcuni di questi documenti prevedono terribili conseguenze per avere tutti i ruoli in un DC. Con una base clienti non superiore a 20 - e forse meno di 10 quasi tutti i giorni - avere tutti i ruoli su un controller di dominio è un vero problema?
  • Esistono avvertenze per eseguire il processo di pulizia consigliato da Microsoft per rimuovere il vecchio controller di dominio da Active Directory?

Inoltre, una domanda quasi tangenziale, se aggiornassi il dominio a un Windows 2003 AD (ora o in futuro) questo cambierebbe qualcosa nel sequestro dei ruoli di FSMO?

PS: sospetto che i problemi DNS abbiano a che fare con il tentativo di utilizzare un DNS non Microsoft che non supporta il DNS dinamico di Microsoft; Penso che ci sia un DNS di Windows in esecuzione ma non l'ho ancora verificato per il corretto funzionamento e la configurazione.

windows-server-2003  active-directory  domain-controller 
Mei
fonte
2
Dov'è il tuo backup? Qual è il tuo piano di ripristino di emergenza?
mailq
Bah. Ho ereditato questa configurazione: sto solo cercando di ripulire.
Mei, il
6
Ereditato dal sistema. Aha. L'amministratore di sistema è stato ucciso prima del disastro? O a causa del disastro?
mailq
1
I backup di @david dovrebbero essere in cima alla lista. Hai un castello di carte lì e hai bisogno di un piano per rialzarti e correre di nuovo se si blocca.
voretaq7,
1
@David Nessun software antivirus Windows attuale ed efficace verrà eseguito su un server Windows 2000. Nel 2012, l'unico uso legittimo per Windows 2000 in un ambiente di produzione è come honeypot .
Skyhawk il

Risposte:

14

I ruoli elencati nella query netdom fsmo sono gli stessi che ho visto elencati altrove? Ad esempio, il proprietario del ruolo Dominio è lo stesso del Domain Naming Master? RID Pool Manager è uguale al ruolo RID?

Si, esattamente. Non so perché abbiano nomi leggermente diversi in quel particolare display.

Quali sono le cose brutte che potrebbero accadere se cogliessi uno di questi ruoli?

Il sequestro stesso? Non molto. La maggior parte dei potenziali problemi di cui si avverte riguarda la riaccensione della vecchia DC dopo che è stato preso il suo ruolo - e anche allora, c'è molta isteria là fuori per non molti rischi; ci vogliono alcuni scenari piuttosto strani per rompere qualsiasi cosa con un attacco invece di un trasferimento di un ruolo. Per andare su una tangente per un momento, esaminiamo i ruoli e i rischi potenziali:

  • Schema Master: Questo rende tutti piuttosto nervosi, ma romperlo non è uno scenario terribilmente probabile. La documentazione dice che non dovresti mai riaccendere il vecchio Schema Master dopo aver preso il ruolo, che io chiamo allarmista. Il vecchio server verrà informato del cambio di ruolo e non appena lo sarà, abbandonerà il ruolo. Il potenziale rischio qui è se vengono apportate modifiche al nuovo schema master, quindi il vecchio schema schema viene portato in linea, quindi prima che si replica dagli altri controller di dominio , vengono apportate modifiche allo schema diverse, in conflitto, sul vecchio server. Questa situazione è improbabile, ma distruggerebbe il tuo dominio.

  • Naming Master: lo stesso accordo con il master Schema, dovresti apportare modifiche (in questo caso, creare un nuovo dominio nella foresta) sul vecchio controller di dominio, dopo aver acquisito il ruolo ma prima che venga a conoscenza del sequestro.

  • Emulatore PDC: nessun rischio, non è responsabile per qualsiasi cosa in cui si rischia la divergenza.

  • RID Master: Avresti bisogno di una struttura di replica incasinata per romperla - immagina di avere 2 DC; un vecchio master RID che non sa che il suo ruolo è stato sequestrato e un nuovo master RID. In questa situazione, dovresti creare abbastanza oggetti per esaurire il pool RID su entrambi (sono distribuiti in 500) e farli assegnare a entrambi i pool sovrapposti. Crea oggetti con RID identici, riconnetti i controller di dominio e osserva l'apocalisse svolgersi.

  • Infrastruttura Master: Onestamente, probabilmente il 50% dei domini nel mondo non ha nemmeno un Master Infrastruttura funzionante, dal momento che non funziona quando si trova su un GC. In ogni caso, non puoi romperlo con il sequestro.

Gli utenti noteranno?

Non dovrebbero.

Questa impostazione è in atto da molto tempo e le persone hanno funzionato più o meno normalmente; cogliere il ruolo del PDC cambierà questo?

No. Con un singolo controller di dominio, nessuna delle funzioni del PDC viene persa, tranne forse il DC non PDC non è in grado di sincronizzare il tempo con la sorgente che desidera (il PDC mancante).

dà fastidio solo:

  • Ti mancherà lo Schema Master solo quando proverai ad aggiornare lo schema
  • Ti mancherà il Naming Master solo quando proverai a creare un nuovo dominio nella foresta
  • Ti mancherà il Master RID solo quando crei troppi oggetti e esaurisci il pool RID del tuo DC (questo è probabilmente il più probabile che ti imbatterai se continui a correre così com'è)
  • Ti mancherà solo il Master Infrastruttura per gli aggiornamenti dei gruppi di catalogo globale in una foresta multidominio

Alcuni di questi documenti prevedono terribili conseguenze per avere tutti i ruoli in un DC. Con una base clienti non superiore a 20 - e forse meno di 10 quasi tutti i giorni - avere tutti i ruoli su un controller di dominio è un vero problema?

No, ma ottieni un secondo DC. Non vuoi avere il tuo unico errore DC.

Esistono avvertenze per eseguire il processo di pulizia consigliato da Microsoft per rimuovere il vecchio controller di dominio da Active Directory?

Sì, stai attento. Ma affila i tuoi ntdsutilcoltelli e strappa i vecchi dati - la spazzatura extra lì dentro non aiuta la manutenibilità del dominio.

Shane Madden
fonte
7
+1 - Dopo aver eseguito la pulizia dei metadati come descritto da Microsoft, mi sono ritrovato a dover accedere al DNS ed eliminare manualmente molti vecchi record A e SRV che puntavano al controller di dominio mancante, quindi potrebbe essere necessario farlo anche.
Mark Henderson
6

L'impostazione corrente (senza master operazioni funzionanti) è una configurazione pericolosa e non supportata che deve essere risolta al più presto. Se il server mancante è morto e sepolto, impossessarsi dei ruoli di FSMO è un passo necessario per riprendere il normale funzionamento.

Risposte alla tua domanda specifica:

  1. Sì, i titoli di ruolo con nomi simili citati significano tutti la stessa cosa.
  2. È probabile che accada qualcosa di brutto se si impadronisce di un ruolo e successivamente si tenta di resuscitare il server mancante che lo aveva precedentemente. Assicurati che sia morto e sepolto prima di impadronirsi dei ruoli.
  3. È improbabile che gli utenti notino nuovi problemi a seguito del sequestro dei ruoli di FSMO.
  4. La mancata acquisizione del ruolo causerà problemi a lungo termine. Cogliere rapidamente il ruolo dopo il fallimento del suo ex detentore non causerà problemi.
  5. È un dato di fatto, è comune per le piccole imprese con 10-20 utenti avere un singolo server con tutti i ruoli di FSMO e Exchange e Sharepoint. Ciò non crea problemi di prestazioni intrattabili se il server è stato specificato correttamente, ma è garantito che il sito subisca tempi di inattività in caso di errore del solo server. È meglio avere almeno due controller di dominio per dominio, anche se uno di questi è un server Atom D525 inferiore a $ 500 in uno chassis 1U.
  6. Non particolarmente, ma qualsiasi manutenzione del server comporta almeno alcuni rischi. Come sempre, assicurarsi di disporre di backup completi e testati e di un piano di ripristino prima di procedere.
  7. Questo non dovrebbe essere un problema finché si impadroniscono prima dei ruoli di FSMO, quindi si aggiorna il livello funzionale del dominio.
  8. Non esiste alcun motivo valido per utilizzare un DNS non Microsoft per la risoluzione del dominio in un ambiente Active Directory. È necessario preparare e implementare un piano per migrare i servizi DNS interni ai controller di dominio.

Hai indicato di disporre di un "programma di utilità per il controllo dei virus" in esecuzione su un server Windows 2000. Sicuramente sei consapevole che Windows 2000 stesso è una "utility per la raccolta di virus" con molte vulnerabilità note e nessun aggiornamento di sicurezza disponibile. Ritirare immediatamente questo server.

Skyhawk
fonte
Adoro l'osservazione "Utilità di raccolta virus"
gWaldo,
6

Sì, cogli quei ruoli. Sei una fluttuazione di potenza / blocco del sistema / brillamento solare lontano dal disastro.

È improbabile, ma gli utenti potrebbero notare se le modifiche all'account memorizzate nella cache sui loro computer locali non corrispondono a quelle di AD.

Non dovresti mai avere un solo DC. Due minimo e uno in ogni ufficio remoto. Se si desidera utilizzare le macchine virtuali, (IMHO) devono solo integrare le caselle fisiche. E questo è solo dopo aver letto sull'uso delle VM come controller di dominio.

Preferisco che tutti i controller di dominio siano GC. Questa è la mia preferenza personale, ma significa che una copia completa dei contenuti di AD viene archiviata su ogni controller di dominio con questo ruolo. Se hai due DC, ma solo uno è un GC, e quello muore, penso che diventi quasi fregato come se avessi solo un DC.

L'emulatore PDC otterrà tutto il traffico dai sistemi legacy ("sistemi" che significa macchine, applicazioni e servizi, come SQL Server 2000); metterlo su hardware.

Non è necessariamente negativo che un controller di dominio abbia tutti i ruoli, SE hai altri controller di dominio e la tua replica è integra.

A meno che non ci sia una veramente buona ragione, si dovrebbe assolutamente utilizzare Microsoft DNS per la risoluzione dei nomi interni.

Correggi il tuo ambiente, quindi esegui l'upgrade. Non dipingi una barca che affonda. Mentre ci sei, considera fortemente di arrivare al 2008. Il 2003 è per il supporto vitale.

Vedi anche: Cosa deve essere fatto dopo un arresto del controller di dominio? e Come far apparire un altro controller di dominio con tutti i ruoli quando il primo controller di dominio non è più disponibile

gWaldo
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.