Merebut peran FSMO dari Windows Domain Controller yang mati

13

Saya telah melihat pertanyaan dan dokumen lain tentang melakukan ini, tetapi ada beberapa hal yang masih membingungkan saya. Berikut adalah dokumen dan pertanyaan yang pernah saya lihat:

Lingkungan berisi dua server Windows dan banyak klien. Pengontrol Domain adalah Windows 2003 SP2 yang berjalan dengan Windows 2000 Native AD. Server lain (bukan DC sama sekali) adalah Windows 2000 SP4 (ini hosting utilitas pemeriksaan virus).

Hasil dari netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Hasil dari dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Inilah pertanyaan saya (maafkan saya jika terlalu banyak pertanyaan pemula):

  • Apakah peran terdaftar dari netdom query fsmoyang sama yang saya lihat tercantum di tempat lain? Misalnya, apakah pemilik peran Domain sama dengan Master Penamaan Domain ? Apakah RID Pool Manager sama dengan peran RID ?
  • Apa hal buruk yang bisa terjadi jika saya mengambil salah satu dari peran ini?
  • Akankah pengguna memperhatikan?
  • Pengaturan ini telah berlangsung lama dan orang-orang telah berfungsi lebih atau kurang secara normal; Apakah merebut peran PDC akan mengubah ini?
  • Beberapa dari dokumen-dokumen ini memprediksi konsekuensi mengerikan untuk memiliki semua peran dalam satu DC. Dengan basis klien tidak lebih dari 20 - dan mungkin kurang dari 10 hari - apakah semua peran di satu DC merupakan masalah nyata?
  • Apakah ada peringatan untuk melakukan proses pembersihan yang direkomendasikan oleh Microsoft untuk menghapus DC lama dari Active Directory?

Juga - pertanyaan yang hampir tangensial - jika saya memutakhirkan domain ke Windows 2003 AD (sekarang atau di masa depan) apakah ini mengubah apa pun dalam perebutan peran FSMO?

PS: Saya menduga masalah DNS ada hubungannya dengan mencoba menggunakan DNS non-Microsoft yang tidak mendukung DNS Dinamis Microsoft; Saya pikir ada DNS Windows yang berjalan tetapi belum diaudit untuk berfungsi dengan benar dan mengaturnya.

Mei
sumber
2
Di mana cadangan Anda? Apa rencana pemulihan bencana Anda?
mailq
Bah Saya mewarisi pengaturan ini - Saya hanya mencoba untuk membersihkan.
Mei
6
Mewarisi sistem. Aha. Apakah sysadmin terbunuh sebelum bencana? Atau karena bencana?
mailq
1
Cadangan @david harus tinggi di daftar Anda. Anda punya rumah kartu di sana, dan perlu rencana untuk bangun & berjalan lagi jika datang runtuh.
voretaq7
1
@ David Tidak ada perangkat lunak antivirus Windows saat ini dan efektif yang akan berjalan pada server Windows 2000. Pada tahun 2012, satu-satunya penggunaan yang sah untuk Windows 2000 dalam lingkungan produksi adalah sebagai honeypot .
Skyhawk

Jawaban:

14

Apakah peran yang terdaftar dari permintaan netdom fsmo sama dengan yang saya lihat tercantum di tempat lain? Misalnya, apakah pemilik peran Domain sama dengan Master Penamaan Domain? Apakah RID Pool Manager sama dengan peran RID?

Ya persis. Tidak yakin mengapa mereka memiliki nama yang sedikit berbeda di layar khusus itu.

Apa hal buruk yang bisa terjadi jika saya mengambil salah satu dari peran ini?

Kejang itu sendiri? Tidak banyak. Sebagian besar masalah potensial yang diperingatkan adalah tentang menghidupkan kembali DC lama setelah perannya direbut - dan bahkan kemudian, ada banyak histeria di luar sana karena tidak banyak risiko; Dibutuhkan beberapa skenario yang cukup aneh untuk menghancurkan apa pun dengan kejang alih-alih alih peran. Untuk bersinggungan sebentar, mari kita membahas peran dan potensi risiko:

  • Skema Master: Yang satu ini membuat semua orang cukup gelisah, tetapi memecahnya bukanlah skenario yang sangat mungkin. Dokumentasi mengatakan bahwa Anda tidak boleh pernah menghidupkan Master Skema lama setelah mengambil peran, yang saya sebut alarmist. Server lama akan diberitahu tentang perubahan peran, dan segera setelah itu, ia akan melepaskan peran tersebut. Risiko potensial di sini adalah jika perubahan dilakukan pada master skema baru, maka master skema lama dibawa online, lalu sebelum ia mereplikasi dari DC lain , perubahan skema yang berbeda, bertentangan, dibuat di server lama. Situasi ini tidak mungkin, tetapi akan menghancurkan domain Anda.

  • Penamaan Master: Sama seperti master Skema, Anda harus membuat perubahan (dalam hal ini, membuat domain baru di hutan) di DC lama, setelah merebut perannya tetapi sebelum mendapat pengetahuan tentang kejang.

  • Emulator PDC: Tidak ada risiko, itu tidak bertanggung jawab atas apa pun di mana Anda berisiko divergensi.

  • Master RID: Anda perlu struktur replikasi yang berantakan untuk memecah yang satu ini - bayangkan Anda memiliki 2 DC; master RID lama yang tidak tahu perannya telah disita, dan master RID baru. Dalam situasi ini, Anda harus membuat objek yang cukup untuk menghabiskan kolam RID pada keduanya (mereka dibagikan dalam 500-an), dan minta mereka menetapkan sendiri tumpang tindih kolam. Buat objek dengan RID identik, sambungkan kembali pengontrol domain, dan saksikan kiamat terbuka.

  • Master Infrastruktur: Jujur, mungkin 50% domain di dunia bahkan tidak memiliki Master Infrastruktur yang berfungsi sama sekali, karena itu tidak berfungsi ketika sedang dalam GC. Bagaimanapun, Anda tidak dapat mematahkannya dengan kejang.

Akankah pengguna memperhatikan?

Seharusnya tidak.

Pengaturan ini telah berlangsung lama dan orang-orang telah berfungsi lebih atau kurang secara normal; Apakah merebut peran PDC akan mengubah ini?

Tidak. Dengan satu DC, tidak ada fungsi PDC yang terlewatkan sama sekali, kecuali mungkin DC non-PDC Anda tidak dapat menyinkronkan waktu dengan sumber yang diinginkannya (PDC yang hilang).

Lebih:

  • Anda hanya akan melewatkan Skema Master ketika Anda mencoba memperbarui skema
  • Anda hanya akan kehilangan Master Penamaan ketika Anda mencoba membuat domain baru di hutan
  • Anda hanya akan melewatkan Master RID ketika Anda membuat terlalu banyak objek dan menghabiskan kumpulan RID DC Anda (ini mungkin yang paling mungkin bagi Anda untuk bertemu jika Anda terus berlari seperti apa adanya)
  • Anda hanya akan kehilangan Master Infrastruktur untuk pembaruan grup katalog global di hutan multi-domain

Beberapa dari dokumen-dokumen ini memprediksi konsekuensi mengerikan untuk memiliki semua peran dalam satu DC. Dengan basis klien tidak lebih dari 20 - dan mungkin kurang dari 10 hari - apakah semua peran di satu DC merupakan masalah nyata?

Tidak - tetapi dapatkan DC kedua. Anda tidak ingin DC Anda gagal.

Apakah ada peringatan untuk melakukan proses pembersihan yang direkomendasikan oleh Microsoft untuk menghapus DC lama dari Active Directory?

Ya - hati-hati. Tapi pertajam ntdsutilpisau Anda dan sobek data lama - sampah tambahan di sana tidak membantu pemeliharaan domain.

Shane Madden
sumber
7
+1 - Setelah Anda menjalankan pembersihan metadata seperti dijelaskan oleh Microsoft, saya mendapati diri saya harus masuk ke DNS dan secara manual menghapus banyak catatan A dan SRV lama yang menunjuk ke DC yang hilang, jadi Anda mungkin perlu melakukannya juga.
Mark Henderson
6

Pengaturan Anda saat ini (tanpa master operasi yang berfungsi) adalah konfigurasi berbahaya dan tidak didukung yang perlu segera diperbaiki. Jika server yang hilang sudah mati dan dikubur, merebut peran FSMO adalah langkah yang diperlukan untuk melanjutkan operasi normal.

Jawaban untuk pertanyaan spesifik Anda:

  1. Ya, judul peran dengan nama yang sama yang Anda sebutkan semuanya memiliki arti yang sama.
  2. Hal-hal buruk kemungkinan terjadi jika Anda mengambil peran dan kemudian mencoba untuk menghidupkan kembali server yang hilang yang dulu memilikinya. Harap pastikan itu sudah mati dan dikubur sebelum merebut peran.
  3. Pengguna sepertinya tidak akan melihat adanya masalah baru sebagai akibat dari perebutan peran FSMO.
  4. Kegagalan untuk mengambil peran akan menyebabkan masalah dalam jangka panjang. Merebut peran segera setelah kegagalan pemegang sebelumnya tidak akan menimbulkan masalah.
  5. Sebagai soal fakta, adalah umum untuk usaha kecil dengan 10-20 pengguna untuk memiliki satu server dengan semua peran FSMO dan Exchange dan Sharepoint. Ini tidak membuat masalah kinerja yang sulit dipecahkan jika server telah ditentukan dengan benar, tetapi situs dijamin akan mengalami downtime jika server tunggal gagal. Yang terbaik adalah memiliki setidaknya dua pengontrol domain per domain, bahkan jika salah satunya adalah server D525 Atom sub-$ 500 dalam sasis 1U.
  6. Tidak terutama, tetapi pemeliharaan server apa pun membawa setidaknya beberapa risiko. Seperti biasa, pastikan Anda memiliki cadangan lengkap dan teruji dan rencana pemulihan sebelum melanjutkan.
  7. Ini seharusnya tidak menjadi masalah selama Anda mengambil peran FSMO terlebih dahulu, kemudian tingkatkan tingkat fungsional domain.
  8. Tidak ada alasan yang baik untuk menggunakan DNS non-Microsoft untuk resolusi domain dalam lingkungan Active Directory. Anda perlu menyiapkan dan mengimplementasikan rencana untuk memigrasi layanan DNS internal Anda ke pengontrol domain Anda.

Anda telah mengindikasikan bahwa Anda memiliki "utilitas pemeriksaan virus" yang berjalan di server Windows 2000. Tentunya Anda sadar bahwa Windows 2000 itu sendiri adalah "utilitas pengumpul virus" dengan banyak kerentanan yang diketahui dan tidak ada pembaruan keamanan yang tersedia. Segera pensiunkan server ini.

Skyhawk
sumber
Cintai komentar "Utilitas pengumpul virus"
gWaldo
6

Ya, rebut peran itu. Anda adalah fluktuasi daya / sistem hang / solar suar jauh dari bencana.

Ini tidak mungkin, tetapi Pengguna mungkin memperhatikan jika perubahan akun yang di-cache di mesin lokal mereka tidak cocok dengan AD.

Anda seharusnya tidak hanya memiliki satu DC. Dua minimum, dan satu di setiap kantor jauh. Jika Anda ingin menggunakan VM, (IMHO) mereka hanya untuk melengkapi kotak fisik. Dan itu hanya setelah Anda membaca tentang penggunaan VM sebagai DC.

Saya lebih suka bahwa semua DC menjadi GC. Ini adalah preferensi pribadi saya, tetapi itu berarti bahwa salinan lengkap konten AD disimpan pada setiap DC dengan peran ini. Jika Anda memiliki dua DC, tetapi hanya satu adalah GC, dan yang satu mati, saya pikir Anda menjadi hampir kacau seolah-olah Anda hanya memiliki satu DC.

Emulator PDC Anda akan mendapatkan semua lalu lintas dari sistem lawas ("sistem" yang berarti mesin, aplikasi, dan layanan, seperti SQL Server 2000); letakkan di perangkat keras.

Itu tidak selalu buruk bahwa satu DC memiliki semua peran, JIKA Anda memiliki DC lain dan replikasi Anda sehat.

Kecuali ada alasan yang sangat bagus, Anda harus menggunakan Microsoft DNS untuk resolusi nama internal.

Perbaiki lingkungan Anda, lalu tingkatkan. Anda tidak melukis perahu yang tenggelam. Sementara Anda berada di itu, sangat mempertimbangkan untuk tahun 2008. 2003 adalah dukungan hidup.

Lihat juga: Apa yang perlu dilakukan setelah kerusakan Domain Controller? dan Cara membawa DC lain dengan semua peran saat DC pertama tidak lagi tersedia

gWaldo
sumber