Saya telah melihat pertanyaan dan dokumen lain tentang melakukan ini, tetapi ada beberapa hal yang masih membingungkan saya. Berikut adalah dokumen dan pertanyaan yang pernah saya lihat:
- Pensiunan Pengontrol Domain Windows 2003 yang Mati
- Merebut Peran FSMO dari Petri
- Menggunakan NTDSUtil.exe untuk mentransfer atau merebut peran FSMO ke pengontrol domain - Microsoft Knowledgebase
- Penempatan dan optimisasi FSMO pada contollers domain Direktori Aktif - Microsoft Knowledgebase
- Cara menghapus data di Active Directory setelah penurunan pangkat pengontrol domain tidak berhasil
Lingkungan berisi dua server Windows dan banyak klien. Pengontrol Domain adalah Windows 2003 SP2 yang berjalan dengan Windows 2000 Native AD. Server lain (bukan DC sama sekali) adalah Windows 2000 SP4 (ini hosting utilitas pemeriksaan virus).
Hasil dari netdom query fsmo
:
Schema owner missing.office.local
Domain role owner myself.office.local
PDC role missing.office.local
RID pool manager missing.office.local
Infrastructure owner missing.office.local
The command completed successfully.
Hasil dari dcdiag
:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site\MYSELF
Starting test: Connectivity
The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
resolved, the server name (MYSELF.office.local) resolved to the IP
address (192.168.9.101) and was pingable. Check that the IP address
is registered correctly with the DNS server.
......................... MYSELF failed test Connectivity
Doing primary tests
Testing server: Default-First-Site\MYSELF
Skipping all tests, because server MYSELF is
not responding to directory service requests
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : office
Starting test: CrossRefValidation
......................... office passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... office passed test CheckSDRefDom
Running enterprise tests on : office.local
Starting test: Intersite
......................... office.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... office.local failed test FsmoCheck
Inilah pertanyaan saya (maafkan saya jika terlalu banyak pertanyaan pemula):
- Apakah peran terdaftar dari
netdom query fsmo
yang sama yang saya lihat tercantum di tempat lain? Misalnya, apakah pemilik peran Domain sama dengan Master Penamaan Domain ? Apakah RID Pool Manager sama dengan peran RID ? - Apa hal buruk yang bisa terjadi jika saya mengambil salah satu dari peran ini?
- Akankah pengguna memperhatikan?
- Pengaturan ini telah berlangsung lama dan orang-orang telah berfungsi lebih atau kurang secara normal; Apakah merebut peran PDC akan mengubah ini?
- Beberapa dari dokumen-dokumen ini memprediksi konsekuensi mengerikan untuk memiliki semua peran dalam satu DC. Dengan basis klien tidak lebih dari 20 - dan mungkin kurang dari 10 hari - apakah semua peran di satu DC merupakan masalah nyata?
- Apakah ada peringatan untuk melakukan proses pembersihan yang direkomendasikan oleh Microsoft untuk menghapus DC lama dari Active Directory?
Juga - pertanyaan yang hampir tangensial - jika saya memutakhirkan domain ke Windows 2003 AD (sekarang atau di masa depan) apakah ini mengubah apa pun dalam perebutan peran FSMO?
PS: Saya menduga masalah DNS ada hubungannya dengan mencoba menggunakan DNS non-Microsoft yang tidak mendukung DNS Dinamis Microsoft; Saya pikir ada DNS Windows yang berjalan tetapi belum diaudit untuk berfungsi dengan benar dan mengaturnya.
Jawaban:
Ya persis. Tidak yakin mengapa mereka memiliki nama yang sedikit berbeda di layar khusus itu.
Kejang itu sendiri? Tidak banyak. Sebagian besar masalah potensial yang diperingatkan adalah tentang menghidupkan kembali DC lama setelah perannya direbut - dan bahkan kemudian, ada banyak histeria di luar sana karena tidak banyak risiko; Dibutuhkan beberapa skenario yang cukup aneh untuk menghancurkan apa pun dengan kejang alih-alih alih peran. Untuk bersinggungan sebentar, mari kita membahas peran dan potensi risiko:
Skema Master: Yang satu ini membuat semua orang cukup gelisah, tetapi memecahnya bukanlah skenario yang sangat mungkin. Dokumentasi mengatakan bahwa Anda tidak boleh pernah menghidupkan Master Skema lama setelah mengambil peran, yang saya sebut alarmist. Server lama akan diberitahu tentang perubahan peran, dan segera setelah itu, ia akan melepaskan peran tersebut. Risiko potensial di sini adalah jika perubahan dilakukan pada master skema baru, maka master skema lama dibawa online, lalu sebelum ia mereplikasi dari DC lain , perubahan skema yang berbeda, bertentangan, dibuat di server lama. Situasi ini tidak mungkin, tetapi akan menghancurkan domain Anda.
Penamaan Master: Sama seperti master Skema, Anda harus membuat perubahan (dalam hal ini, membuat domain baru di hutan) di DC lama, setelah merebut perannya tetapi sebelum mendapat pengetahuan tentang kejang.
Emulator PDC: Tidak ada risiko, itu tidak bertanggung jawab atas apa pun di mana Anda berisiko divergensi.
Master RID: Anda perlu struktur replikasi yang berantakan untuk memecah yang satu ini - bayangkan Anda memiliki 2 DC; master RID lama yang tidak tahu perannya telah disita, dan master RID baru. Dalam situasi ini, Anda harus membuat objek yang cukup untuk menghabiskan kolam RID pada keduanya (mereka dibagikan dalam 500-an), dan minta mereka menetapkan sendiri tumpang tindih kolam. Buat objek dengan RID identik, sambungkan kembali pengontrol domain, dan saksikan kiamat terbuka.
Master Infrastruktur: Jujur, mungkin 50% domain di dunia bahkan tidak memiliki Master Infrastruktur yang berfungsi sama sekali, karena itu tidak berfungsi ketika sedang dalam GC. Bagaimanapun, Anda tidak dapat mematahkannya dengan kejang.
Seharusnya tidak.
Tidak. Dengan satu DC, tidak ada fungsi PDC yang terlewatkan sama sekali, kecuali mungkin DC non-PDC Anda tidak dapat menyinkronkan waktu dengan sumber yang diinginkannya (PDC yang hilang).
Lebih:
Tidak - tetapi dapatkan DC kedua. Anda tidak ingin DC Anda gagal.
Ya - hati-hati. Tapi pertajam
ntdsutil
pisau Anda dan sobek data lama - sampah tambahan di sana tidak membantu pemeliharaan domain.sumber
Pengaturan Anda saat ini (tanpa master operasi yang berfungsi) adalah konfigurasi berbahaya dan tidak didukung yang perlu segera diperbaiki. Jika server yang hilang sudah mati dan dikubur, merebut peran FSMO adalah langkah yang diperlukan untuk melanjutkan operasi normal.
Jawaban untuk pertanyaan spesifik Anda:
Anda telah mengindikasikan bahwa Anda memiliki "utilitas pemeriksaan virus" yang berjalan di server Windows 2000. Tentunya Anda sadar bahwa Windows 2000 itu sendiri adalah "utilitas pengumpul virus" dengan banyak kerentanan yang diketahui dan tidak ada pembaruan keamanan yang tersedia. Segera pensiunkan server ini.
sumber
Ya, rebut peran itu. Anda adalah fluktuasi daya / sistem hang / solar suar jauh dari bencana.
Ini tidak mungkin, tetapi Pengguna mungkin memperhatikan jika perubahan akun yang di-cache di mesin lokal mereka tidak cocok dengan AD.
Anda seharusnya tidak hanya memiliki satu DC. Dua minimum, dan satu di setiap kantor jauh. Jika Anda ingin menggunakan VM, (IMHO) mereka hanya untuk melengkapi kotak fisik. Dan itu hanya setelah Anda membaca tentang penggunaan VM sebagai DC.
Saya lebih suka bahwa semua DC menjadi GC. Ini adalah preferensi pribadi saya, tetapi itu berarti bahwa salinan lengkap konten AD disimpan pada setiap DC dengan peran ini. Jika Anda memiliki dua DC, tetapi hanya satu adalah GC, dan yang satu mati, saya pikir Anda menjadi hampir kacau seolah-olah Anda hanya memiliki satu DC.
Emulator PDC Anda akan mendapatkan semua lalu lintas dari sistem lawas ("sistem" yang berarti mesin, aplikasi, dan layanan, seperti SQL Server 2000); letakkan di perangkat keras.
Itu tidak selalu buruk bahwa satu DC memiliki semua peran, JIKA Anda memiliki DC lain dan replikasi Anda sehat.
Kecuali ada alasan yang sangat bagus, Anda harus menggunakan Microsoft DNS untuk resolusi nama internal.
Perbaiki lingkungan Anda, lalu tingkatkan. Anda tidak melukis perahu yang tenggelam. Sementara Anda berada di itu, sangat mempertimbangkan untuk tahun 2008. 2003 adalah dukungan hidup.
Lihat juga: Apa yang perlu dilakukan setelah kerusakan Domain Controller? dan Cara membawa DC lain dengan semua peran saat DC pertama tidak lagi tersedia
sumber