การยึดบทบาท FSMO จาก Windows Domain Controller ที่ไม่ทำงาน

13

ฉันเคยเห็นคำถามและเอกสารอื่นเกี่ยวกับการทำสิ่งนี้ แต่มีบางสิ่งที่ยังคงทำให้ฉันสับสน นี่คือเอกสารและคำถามที่ฉันได้เห็น:

สภาพแวดล้อมประกอบด้วยเซิร์ฟเวอร์ Windows สองเครื่องและไคลเอนต์จำนวนมาก ตัวควบคุมโดเมนคือ Windows 2003 SP2 ที่ทำงานพร้อมกับ Windows 2000 Native AD เซิร์ฟเวอร์อื่น (ไม่ใช่ DC เลย) คือ Windows 2000 SP4 (เป็นโฮสต์ของยูทิลิตี้ตรวจสอบไวรัส)

ผลลัพธ์จากnetdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

ผลลัพธ์จากdcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

นี่คือคำถามของฉัน (ให้อภัยฉันหากพวกเขามีคำถามเริ่มต้นมากเกินไป):

  • บทบาทมีการระบุไว้จากบทบาทnetdom query fsmoเดียวกับที่ฉันเคยเห็นในที่อื่นหรือไม่ ตัวอย่างเช่นเป็นเจ้าของบทบาทโดเมนเหมือนกับDomain Naming Masterหรือไม่ คือกรมชลประทานผู้จัดการสระว่ายน้ำเช่นเดียวกับกรมชลประทานบทบาท?
  • อะไรคือสิ่งที่ไม่ดีที่อาจเกิดขึ้นได้หากฉันยึดหนึ่งในบทบาทเหล่านี้
  • ผู้ใช้จะสังเกตเห็นหรือไม่
  • การตั้งค่านี้ดำเนินมาเป็นเวลานานและผู้คนทำงานได้ไม่มากก็น้อย กำลังยึดบทบาท PDC ที่จะเปลี่ยนแปลงสิ่งนี้หรือไม่
  • เอกสารเหล่านี้บางส่วนทำนายถึงผลกระทบร้ายแรงต่อการมีบทบาททั้งหมดใน DC หนึ่งอัน ด้วยฐานลูกค้าไม่เกิน 20 - และอาจน้อยกว่า 10 วันส่วนใหญ่ - การมีบทบาททั้งหมดใน DC หนึ่งรายการเป็นปัญหาจริงหรือไม่
  • มีคำเตือนในการดำเนินการกระบวนการล้างข้อมูลที่ Microsoft แนะนำให้นำ DC เก่าออกจาก Active Directory หรือไม่

ยิ่งไปกว่านั้น - คำถามที่ใกล้เคียง - ถ้าฉันอัพเกรดโดเมนเป็น Windows 2003 AD (ตอนนี้หรือในอนาคต) สิ่งนี้จะเปลี่ยนแปลงอะไรในการยึดบทบาท FSMO หรือไม่?

PS: ฉันสงสัยว่าปัญหา DNS เกี่ยวข้องกับการพยายามใช้ DNS ที่ไม่ใช่ของ Microsoft ที่ไม่สนับสนุน Dynamic DNS ของ Microsoft ฉันคิดว่ามี DNS Windows ทำงานอยู่ แต่ยังไม่ได้ตรวจสอบเพื่อการทำงานที่เหมาะสมและตั้งค่า

windows-server-2003  active-directory  domain-controller 
เหมย
แหล่งที่มา
2
สำรองของคุณอยู่ที่ไหน แผนการกู้คืนความเสียหายของคุณคืออะไร
mailq
Bah ฉันสืบทอดการตั้งค่านี้ - ฉันแค่พยายามทำความสะอาด
พ.ค.
6
สืบทอดระบบ เอเอชเอ ดูแลระบบถูกฆ่าตายก่อนเกิดภัยพิบัติหรือไม่? หรือเพราะภัยพิบัติ?
mailq
1
@david สำรองควรสูงในรายการของคุณ คุณมีบ้านการ์ดอยู่ที่นั่นแล้วและจำเป็นต้องวางแผนที่จะกลับมาทำงานอีกครั้งถ้ามันพัง
voretaq7
1
@David ไม่มีซอฟต์แวร์ป้องกันไวรัส Windows ปัจจุบันและมีประสิทธิภาพจะทำงานบนเซิร์ฟเวอร์ Windows 2000 ในปี 2012 เพียงการใช้ที่ถูกต้องสำหรับ Windows 2000 ในสภาพแวดล้อมการผลิตคือเป็นhoneypot
Skyhawk

คำตอบ:

14

บทบาทมีการระบุไว้จากการสืบค้น netdom fsmo กับบทบาทที่ฉันเคยเห็นในรายการอื่นหรือไม่ ตัวอย่างเช่นเป็นเจ้าของบทบาทโดเมนเหมือนกับ Domain Naming Master หรือไม่ RID Pool Manager เหมือนกับบทบาท RID หรือไม่

ใช่แล้ว ไม่แน่ใจว่าทำไมพวกเขาถึงมีชื่อต่างกันเล็กน้อยในหน้าจอนั้น

อะไรคือสิ่งที่ไม่ดีที่อาจเกิดขึ้นได้หากฉันยึดหนึ่งในบทบาทเหล่านี้

การยึดเอง? ไม่มาก. ปัญหาที่อาจเกิดขึ้นส่วนใหญ่ที่ได้รับการเตือนเกี่ยวกับการเปิด DC เก่ากลับมาหลังจากที่มีการยึดบทบาท - และถึงตอนนั้นก็มีฮิสทีเรียมากมายที่นั่นเพื่อไม่เสี่ยงมากนัก ต้องใช้สถานการณ์บางอย่างที่น่าแปลกใจที่จะทำลายทุกสิ่งด้วยการยึดแทนที่จะถ่ายโอนบทบาท เพื่อไปสัมผัสกันสักครู่ให้ไปดูบทบาทและความเสี่ยงที่อาจเกิดขึ้น:

  • Schema Master: อันนี้ทำให้ทุกคนค่อนข้างกระตุก แต่การทำลายมันไม่ใช่สถานการณ์ที่น่ากลัว เอกสารอธิบายว่าคุณไม่ควรเปิด Schema Master เก่าอีกต่อไปหลังจากยึดบทบาทซึ่งฉันเรียกว่าผู้ตื่นตกใจ เซิร์ฟเวอร์เก่าจะแจ้งให้ทราบถึงการเปลี่ยนแปลงบทบาทและทันทีที่มันเป็นเซิร์ฟเวอร์จะยกเลิกบทบาท ความเสี่ยงที่อาจเกิดขึ้นที่นี่คือถ้ามีการเปลี่ยนแปลงกับ schema master ใหม่ดังนั้น schema master เก่าจะถูกนำมาออนไลน์แล้วก่อนที่มันจะลอกเลียนแบบจาก DC อื่น ๆ ที่แตกต่างกันมีการเปลี่ยนแปลง schema บนเซิร์ฟเวอร์เก่า สถานการณ์นี้ไม่น่าเป็นไปได้ แต่จะทำลายโดเมนของคุณ

  • Naming Master: เช่นเดียวกับ Master Schema คุณจะต้องทำการเปลี่ยนแปลง (ในกรณีนี้สร้างโดเมนใหม่ในฟอเรสต์) บน DC เก่าหลังจากยึดบทบาท แต่ก่อนที่จะได้รับความรู้เกี่ยวกับการจับกุม

  • PDC Emulator: ไม่มีความเสี่ยงไม่รับผิดชอบต่อสิ่งที่คุณเสี่ยง

  • RID Master: คุณต้องการโครงสร้างการจำลองแบบที่ยุ่งเหยิงเพื่อทำลายอันนี้ - ลองจินตนาการว่าคุณมี DC 2 อัน; ต้นแบบ RID เก่าที่ไม่ทราบว่าบทบาทถูกยึดแล้วและ RID ต้นแบบใหม่ ในสถานการณ์นี้คุณจะต้องสร้างวัตถุให้มากพอที่จะหมด RID pool ทั้งสอง (พวกมันถูกแจกใน 500 วินาที) และให้พวกมันทั้งคู่กำหนดตัวเองทับซ้อนกัน สร้างวัตถุที่มี RID ที่เหมือนกันเชื่อมต่อตัวควบคุมโดเมนอีกครั้งและดู Apocalypse ที่เปิดออก

  • Infrastructure Master: ความจริงแล้วอาจเป็น 50% ของโดเมนในโลกที่ไม่ได้มี Infrastructure Master เลยเพราะมันไม่ทำงานเมื่ออยู่ใน GC ไม่ว่าในกรณีใดคุณไม่สามารถทำลายมันได้ด้วยการยึด

ผู้ใช้จะสังเกตเห็นหรือไม่

พวกเขาไม่ควร

การตั้งค่านี้ดำเนินมาเป็นเวลานานและผู้คนทำงานได้ไม่มากก็น้อย กำลังยึดบทบาท PDC ที่จะเปลี่ยนแปลงสิ่งนี้หรือไม่

ไม่ได้ด้วย DC เดี่ยวไม่มีฟังก์ชันใด ๆ ของ PDC เลยยกเว้นบางส่วนที่ไม่ใช่ PDC DC ของคุณไม่สามารถซิงค์เวลากับแหล่งที่มาที่ต้องการ (PDC ที่ขาดหายไป)

moreso:

  • คุณจะพลาด Schema Master เมื่อคุณพยายามอัพเดท Schema
  • คุณจะพลาด Naming Master เมื่อคุณพยายามสร้างโดเมนใหม่ในฟอเรสต์
  • คุณจะพลาด RID Master เมื่อคุณสร้างวัตถุมากเกินไปและทำให้หมด RID พูล DC ของคุณ (นี่น่าจะเป็นไปได้มากที่สุดที่คุณจะเจอหากคุณยังคงทำงานต่อไป)
  • คุณจะพลาด Infrastructure Master สำหรับการอัพเดทกลุ่มแคตตาล็อกทั่วโลกในฟอเรสต์หลายโดเมน

เอกสารเหล่านี้บางส่วนทำนายถึงผลกระทบร้ายแรงต่อการมีบทบาททั้งหมดใน DC หนึ่งอัน ด้วยฐานลูกค้าไม่เกิน 20 - และอาจน้อยกว่า 10 วันส่วนใหญ่ - การมีบทบาททั้งหมดใน DC หนึ่งรายการเป็นปัญหาจริงหรือไม่

ไม่ - แต่ได้ DC ที่สอง คุณไม่ต้องการให้ DC ของคุณล้มเหลวเท่านั้น

มีคำเตือนในการดำเนินการกระบวนการล้างข้อมูลที่ Microsoft แนะนำให้นำ DC เก่าออกจาก Active Directory หรือไม่

ใช่ - ระวังด้วย แต่ลับคมntdsutilมีดของคุณและฉีกข้อมูลเก่าออก - ขยะพิเศษในนั้นไม่ได้ช่วยบำรุงโดเมน

เชนหัวเสีย
แหล่งที่มา
7
+1 - หลังจากที่คุณเรียกใช้การล้างข้อมูลเมตาตามที่อธิบายโดย Microsoft ฉันพบว่าตัวเองต้องเข้าไปใน DNS และลบระเบียน A และ SRV เก่าที่ชี้ไปยัง DC ที่หายไปด้วยตนเองจำนวนมากดังนั้นคุณอาจต้องทำเช่นนั้น
Mark Henderson
6

การตั้งค่าปัจจุบันของคุณ (โดยไม่มีการดำเนินงานหลัก) เป็นการกำหนดค่าที่อันตรายและไม่ได้รับการสนับสนุนที่ต้องได้รับการแก้ไขโดยเร็วที่สุด หากเซิร์ฟเวอร์ที่หายไปนั้นเสียชีวิตและถูกฝังการยึดบทบาท FSMO เป็นขั้นตอนที่จำเป็นในการเริ่มการทำงานปกติต่อ

คำตอบสำหรับคำถามเฉพาะของคุณ:

  1. ใช่ชื่อบทบาทที่มีชื่อคล้ายกันที่คุณพูดถึงล้วนมีความหมายเหมือนกัน
  2. สิ่งที่ไม่ดีมีแนวโน้มที่จะเกิดขึ้นหากคุณยึดบทบาทจากนั้นลองพยายามเรียกคืนเซิร์ฟเวอร์ที่หายไปที่เคยมีมา โปรดตรวจสอบให้แน่ใจว่ามันตายแล้วและถูกฝังก่อนที่จะยึดบทบาท
  3. ผู้ใช้จะไม่สังเกตเห็นปัญหาใหม่ใด ๆ อันเป็นผลมาจากการยึดบทบาท FSMO
  4. ความล้มเหลวในการยึดบทบาทจะทำให้เกิดปัญหาในระยะยาว การยึดบทบาททันทีหลังจากความล้มเหลวของเจ้าของเดิมจะไม่ทำให้เกิดปัญหา
  5. ตามความเป็นจริงมันเป็นเรื่องธรรมดาสำหรับธุรกิจขนาดเล็กที่มีผู้ใช้ 10-20 คนที่จะมีเซิร์ฟเวอร์เดียวที่มีบทบาท FSMO และ Exchange และ Sharepoint ทั้งหมด สิ่งนี้ไม่ได้สร้างปัญหาเกี่ยวกับประสิทธิภาพการทำงานที่ทำให้เชื่องไม่ได้หากเซิร์ฟเวอร์ถูกระบุอย่างถูกต้อง แต่ไซต์นั้นรับประกันว่าจะหยุดทำงานหากเซิร์ฟเวอร์เดียวล้มเหลว เป็นการดีที่สุดที่จะมีตัวควบคุมโดเมนอย่างน้อยสองตัวต่อโดเมนแม้ว่าหนึ่งในนั้นคือเซิร์ฟเวอร์ Atom D525 ที่มีราคาต่ำกว่า $ 500 ในแชสซี 1U
  6. ไม่ได้โดยเฉพาะ แต่ใด ๆการบำรุงรักษาเซิร์ฟเวอร์มีความเสี่ยงอย่างน้อยบางส่วน เช่นเคยตรวจสอบให้แน่ใจว่าคุณมีการสำรองข้อมูลเต็มรูปแบบและผ่านการทดสอบและแผนการกู้คืนก่อนดำเนินการต่อ
  7. สิ่งนี้ไม่ควรเป็นปัญหาตราบใดที่คุณยึดบทบาท FSMO ก่อนแล้วจึงอัพเกรดระดับการทำงานของโดเมน
  8. ไม่มีเหตุผลที่ดีที่จะใช้ DNS ที่ไม่ใช่ของ Microsoft สำหรับการแก้ปัญหาโดเมนภายในสภาพแวดล้อมของ Active Directory คุณต้องจัดทำและดำเนินการตามแผนเพื่อโยกย้ายบริการ DNS ภายในของคุณไปยังตัวควบคุมโดเมนของคุณ

คุณระบุว่าคุณมี "ยูทิลิตี้การตรวจสอบไวรัส" ทำงานอยู่บนเซิร์ฟเวอร์ Windows 2000 แน่นอนคุณทราบว่า Windows 2000 นั้นเป็น "โปรแกรมรวบรวมไวรัส" ที่มีช่องโหว่ที่รู้จักมากมายและไม่มีการปรับปรุงความปลอดภัย ออกจากเซิร์ฟเวอร์นี้ทันที

Skyhawk
แหล่งที่มา
รัก "Virus เก็บรวบรวมยูทิลิตี้" หมายเหตุ
gWaldo
6

ใช่ยึดบทบาทเหล่านั้น คุณมีความผันผวนของพลังงาน / ระบบแฮงค์ / เปลวไฟพลังงานแสงอาทิตย์ออกไปจากภัยพิบัติ

ไม่น่าเป็นไปได้ แต่ผู้ใช้อาจสังเกตเห็นว่าการเปลี่ยนแปลงบัญชีถูกแคชไว้ในเครื่องท้องถิ่นไม่ตรงกับโฆษณา

คุณไม่ควรมี DC เพียงอันเดียว สองขั้นต่ำและหนึ่งที่สำนักงานระยะไกลแต่ละแห่ง หากคุณต้องการใช้ VMs (IMHO) พวกเขาเป็นเพียงการเสริมกล่องทางกายภาพ และนั่นก็คือหลังจากที่คุณได้อ่านข้อมูลเกี่ยวกับการใช้ VMs เป็น DC

ฉันชอบ DCs ทั้งหมดที่เป็น GCs นี่เป็นความชอบส่วนตัวของฉัน แต่หมายความว่าสำเนาของเนื้อหาโฆษณาทั้งหมดจะถูกเก็บไว้ใน DC แต่ละอันด้วยบทบาทนี้ หากคุณมี DC สองตัว แต่มีเพียง GC ตัวเดียวเท่านั้นและอันนั้นก็ตายฉันคิดว่าคุณจะเมาจนราวกับว่าคุณมี DC เพียงอันเดียว

PDC Emulator ของคุณกำลังได้รับปริมาณข้อมูลทั้งหมดจากระบบดั้งเดิม ("ระบบ" หมายถึงเครื่องจักรแอปพลิเคชันและบริการเช่น SQL Server 2000) วางไว้บนฮาร์ดแวร์

ไม่จำเป็นว่าเป็นเรื่องดีที่หนึ่ง DC มีบทบาททั้งหมดหากคุณมี DC อื่น ๆ และการจำลองแบบของคุณแข็งแรง

หากไม่มีเหตุผลที่ดีจริงๆคุณควรใช้ Microsoft DNS สำหรับการแก้ไขชื่อภายใน

แก้ไขสภาวะแวดล้อมของคุณจากนั้นอัพเกรด คุณไม่ทาสีเรือที่กำลังจม ในขณะที่คุณอยู่ที่นี่ขอให้คุณพิจารณาอย่างจริงจังในปี 2008 2003 คือการช่วยเหลือชีวิต

ดูเพิ่มเติม: สิ่งที่ต้องทำหลังจาก Domain Controller ขัดข้อง และวิธีนำ DC อื่นมาใช้กับบทบาททั้งหมดเมื่อ DC แรกไม่สามารถใช้งานได้อีกต่อไป

gWaldo
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.