Apreender funções FSMO do controlador de domínio do Windows morto

13

Eu já vi outras perguntas e documentos sobre isso, mas ainda há algumas coisas que ainda me confundem. Aqui estão os documentos e as perguntas que vi:

O ambiente contém dois servidores Windows e vários clientes. O controlador de domínio é o Windows 2003 SP2 em execução com um Windows NT Native AD. O outro servidor (não um DC em tudo) é o Windows 2000 SP4 (ele hospeda um utilitário de verificação de vírus).

Resultados de netdom query fsmo :

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Resultados de dcdiag :

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Aqui estão minhas perguntas (me perdoem se forem perguntas demais para iniciantes):

  • As funções listadas de netdom query fsmo são as mesmas que eu vi listadas em outro lugar? Por exemplo, Domínio da função de domínio é o mesmo que Domínio de nomeação de domínio ? O RID Pool Manager é o mesmo que a função RID ?
  • Quais são as coisas ruins que poderiam acontecer se eu assumir uma dessas funções?
  • Os usuários notarão?
  • Essa configuração já dura há muito tempo e as pessoas vêm funcionando mais ou menos normalmente; está aproveitando o papel do PDC vai mudar isso?
  • Alguns desses documentos prevêem conseqüências terríveis para ter todos os papéis em um DC. Com uma base de clientes de no máximo 20 - e talvez menos de 10 na maioria dos dias - ter todos os papéis em um DC é um problema real?
  • Há alguma ressalva em executar o processo de limpeza recomendado pela Microsoft para remover o DC antigo do Active Directory?

Além disso - uma questão quase tangencial - se eu fosse atualizar o domínio para um Windows 2003 AD (agora ou no futuro) isso altera alguma coisa na captura de funções de FSMO?

PS: Eu suspeito que os problemas de DNS tenham a ver com a tentativa de usar um DNS não-Microsoft que não suportava o DNS dinâmico da Microsoft; Acho que há um DNS do Windows em execução, mas não o auditei para o funcionamento adequado e configurado ainda.

    
por Mei 30.12.2011 / 01:24

3 respostas

14

Are the roles listed from netdom query fsmo the same ones I've seen listed elsewhere? For example, is Domain role owner the same as Domain Naming Master? Is RID Pool Manager the same as the RID role?

Sim, exatamente. Não sei por que eles têm os nomes um pouco diferentes nessa exibição em particular.

What are the bad things that could happen if I seize one of these roles?

A convulsão em si? Não muito. A maioria dos possíveis problemas que são avisados é sobre como voltar a ligar o antigo DC depois de ter seu papel apreendido - e, mesmo assim, há muita histeria por aí, não por muito risco; são necessários cenários bastante estranhos para quebrar qualquer coisa com uma convulsão em vez de uma transferência de um papel. Para ir em uma tangente por um momento, vamos repassar os papéis e os riscos potenciais:

  • Mestre de Esquema: Este deixa todo mundo muito nervoso, mas quebrá-lo não é um cenário muito provável. A documentação diz que você nunca deve ligar o antigo mestre de esquema novamente depois de assumir o papel, que eu chamo de alarmista. O servidor antigo será informado da mudança de função e, assim que for, renunciará à função. O risco potencial aqui é se as alterações forem feitas no novo mestre de esquema e, em seguida, o antigo mestre de esquema for colocado online e, em seguida, antes de ser replicado dos outros DCs , alterações de esquema diferentes e conflitantes serão feitas no servidor antigo. Esta situação é improvável, mas destruiria seu domínio.

  • Naming Master: Da mesma forma que com o Schema master, você precisaria fazer alterações (nesse caso, criar um novo domínio na floresta) no antigo DC, depois de assumir sua função, mas antes de obter conhecimento da convulsão.

  • Emulador de PDC: Sem risco, não é responsável por nada em que você se arrisque a divergência.

  • RID Master: Você precisaria de uma estrutura de replicação desarrumada para quebrar essa - imagine que você tenha 2 DCs; um antigo mestre de RID que não conhece o seu papel foi apreendido e um novo mestre de RID. Nessa situação, você precisaria criar objetos suficientes para esgotar o pool de RIDs em ambos (eles são distribuídos em 500s) e fazer com que ambos atribuíssem pools de sobreposição. Crie objetos com RIDs idênticos, reconecte os controladores de domínio e observe o apocalipse se desdobrar.

  • Mestre de infra-estrutura: Honestamente, provavelmente 50% dos domínios no mundo não têm sequer um mestre de infra-estrutura funcional, pois não funciona quando está em um GC. Em qualquer caso, você não pode quebrá-lo com apreensão.

Will users notice?

Eles não deveriam.

This set up has been going for a long time and people have been functioning more or less normally; is seizing the PDC role going to change this?

Não. Com um único controlador de domínio, nenhuma das funções do PDC são perdidas, exceto talvez seu non-PDC DC sendo incapaz de sincronizar o tempo com a fonte que deseja (o PDC ausente).

Mais:

  • Você só sentirá falta do mestre de esquema ao tentar atualizar o esquema
  • Você só sentirá falta do mestre de nomeação quando tentar criar um novo domínio na floresta
  • Você só sentirá falta do Mestre RID quando criar muitos objetos e esgotar o pool RID do seu DC (provavelmente é o mais provável para você se deparar se continuar correndo como está)
  • Você só sentirá falta do mestre de infra-estrutura para atualizações do grupo de catálogo global em uma floresta de vários domínios

Some of these documents predict dire consequences to having all roles on one DC. With a client base of no more than 20 - and perhaps less than 10 most days - is having all roles on one DC a real problem?

Não - mas receba um segundo CD. Você não quer que seu único CD falhe.

Are there any caveats to performing the cleanup process recommended by Microsoft to remove the old DC from Active Directory?

Sim - tenha cuidado. Mas afie suas facas ntdsutil e tire os dados antigos - o lixo extra não ajuda na manutenção do domínio.

    
por 30.12.2011 / 02:07
6

Sua configuração atual (sem mestres de operações em funcionamento) é uma configuração perigosa e sem suporte que precisa ser corrigida o mais rápido possível. Se o servidor ausente estiver morto e enterrado, a captura das funções de FSMO é um passo necessário para retomar a operação normal.

Respostas para sua pergunta específica:

  1. Sim, os títulos de papéis com nomes semelhantes que você menciona significam a mesma coisa.
  2. Coisas ruins provavelmente acontecerão se você assumir uma função e depois tentar ressuscitar o servidor ausente que costumava ter. Por favor, certifique-se de que está morto e enterrado antes de assumir papéis.
  3. É improvável que os usuários percebam novos problemas como resultado da captura das funções de FSMO.
  4. O não cumprimento da função causará problemas a longo prazo. Aproveitar o papel imediatamente após o fracasso do seu antigo detentor não causará problemas.
  5. Na verdade, é comum que as pequenas empresas com 10 a 20 usuários tenham um único servidor com todas as funções FSMO e Exchange e Sharepoint. Isso não criará problemas de desempenho intratáveis se o servidor tiver sido especificado corretamente, mas o site sofrerá downtime se o único servidor falhar. É melhor ter pelo menos dois controladores de domínio por domínio, mesmo se um deles for um servidor Atom D525 de menos de US $ 500 em um chassi de 1U.
  6. Não particularmente, mas qualquer manutenção do servidor carrega pelo menos algum risco. Como sempre, certifique-se de ter backups completos e testados e um plano de recuperação antes de continuar.
  7. Isso não deve ser um problema, desde que você aproveite primeiro as funções FSMO e atualize o nível funcional do domínio.
  8. Não há razão boa para usar um DNS não-Microsoft para a resolução de domínio em um ambiente do Active Directory. Você precisa preparar e implementar um plano para migrar seus serviços DNS internos para seu (s) controlador (es) de domínio.

Você indicou que tem um "utilitário de verificação de vírus" em execução em um servidor Windows 2000. Certamente você está ciente de que o Windows 2000 em si é um "utilitário de coleta de vírus" com muitas vulnerabilidades conhecidas e nenhuma atualização de segurança disponível. Apagar este servidor imediatamente.

    
por 30.12.2011 / 01:53
6

Sim, aproveite essas funções. Você é uma oscilação de energia / queda de sistema / explosão solar longe do desastre.

É improvável, mas os usuários podem perceber se as alterações na conta armazenadas em cache em suas máquinas locais não correspondem ao anúncio.

Você nunca deve ter apenas um CD. Dois no mínimo e um em cada escritório remoto. Se você quiser usar VMs, (IMHO) eles são apenas para complementar as caixas físicas. E isso é somente depois de você ter lido sobre o uso de VMs como DCs.

Eu prefiro que todos os CDs sejam GCs. Esta é minha preferência pessoal, mas significa que uma cópia completa do conteúdo do AD é armazenada em cada CD com essa função. Se você tem dois CDs, mas apenas um é um GC, e esse morre, eu acho que você se torna tão ferrugenta quanto se você tivesse apenas um CD.

Seu emulador de PDC obterá todo o tráfego de sistemas legados ("sistemas" que significam máquinas, aplicativos e serviços, como o SQL Server 2000); coloque em hardware.

Não é necessariamente ruim que um DC tenha todas as funções, se você tiver outros DCs e sua replicação for saudável.

A menos que haja um bom motivo, você definitivamente deve usar o DNS da Microsoft para a resolução interna de nomes.

Corrija seu ambiente e faça upgrade. Você não pinta um barco afundando. Enquanto você está nisso, considere strongmente chegar a 2008. 2003 está em suporte de vida.

Veja também: O que precisa ser feito depois que um controlador de domínio travar? e Como trazer outro DC para cima com todas as funções quando o primeiro DC não estiver mais disponível

    
por 30.12.2011 / 01:52