Como nos recuperamos de um Domínio AD que agora não está respondendo como um DC?

Navegue suas respostas
1

O Windows Server 2012 é o ambiente de servidor principal. Todas as máquinas estão localizadas em uma sala de servidores que atende a um laboratório de testes de rede. Há mais de 400 servidores no laboratório, a maioria dos quais é virtualizada, e nos fornece uma faixa de trabalho de 3500 a 4000 máquinas a serem usadas pelo laboratório de testes.

cenário: Nosso backup CC caiu cerca de um mês atrás e ninguém percebeu, já que o administrador anterior tinha acabado de sair e nosso novo funcionário de infraestrutura estava aprendendo nossa rede no local. O controlador de domínio teve falha de hardware e é uma perda completa.

Nosso PDC começou a ter problemas de replicação e, eventualmente, nos deu uma mensagem de que ele se declarava inválido por não ter completado o papel de gerenciar os DCs. Esta tarefa não pôde ser validada (duh!).

Cerca de uma semana atrás, nós executamos um script do Powershell para adicionar 400 máquinas ao AD / Domain. Cerca de 25% do caminho, o script parou de reconhecer o PDC como o controlador de domínio. Desde então, não podemos adicionar máquinas ao domínio, estamos ficando sem tempo de cache nos outros clientes para que eles estejam logados em um domínio sem PDC real.

Não foi possível remover o controlador de domínio danificado do PDC, não é possível fazer o backup do AD e migrar os dados por causa disso.

O que fizemos até agora

  • Criamos dois novos CDs a partir do zero.
  • O PDC original agora está desconectado do laboratório enquanto tentamos fazer com que o novo substitua.

Problemas

  • Não é possível fazer backup de nossos GPOs e não podemos exportar nossa lista de anúncios.
  • Não podemos rebaixar o PDC original, com erros.

Existe uma maneira de evitar a reconstrução total do nosso anúncio do zero?

Existem opções para recuperar nossos GPOs sem recriá-los manualmente?

dados do dcdiag

Depois de executar dcdiag , todos os testes, exceto CheckSDRefDom , falharam. Todos os testes dependentes do LDAP falharam com LDAP Error 0x3a (58) . FMSO verifica com sucesso. O DNS não respondeu e não foi informado, mesmo que o serviço tenha sido iniciado.

Acho que aceitaremos a sugestão de Mathius e consideraremos isso como uma oportunidade para reformular e aprender.

    
por Greg Mason 26.11.2013 / 21:51

2 respostas

3

Tenho medo de parecer elitista e paternalista, mas a partir das informações que você forneceu e da maneira como você redigiu sua pergunta, acho que a solução mais viável a longo prazo é

  • Crie um novo domínio em uma nova floresta com um novo FQDN em um servidor "novo" (recém-instalado)
  • Desassociar todos os clientes do domínio existente
  • Reinicie e junte-se ao novo domínio
  • Reinstale o sistema operacional nos controladores de domínio existentes
  • Instale o AD DS nos servidores e junte-se ao novo domínio
  • Use esta oportunidade para revisitar sua compreensão do Active Directory, o que é e como funciona

A Microsoft publicou vários guias para abordar o design e a implantação do Active Directory. Vale a pena mencionar:

O Guia de design do AD DS no TechNet
O Guia dos Serviços de Domínio do Active Directory da Série de Guia de Planejamento e Infraestrutura da Microsoft

Boa sorte!

Faz backup dos seus GPOs:

De suas atualizações recentes, parece que o AD DS não está atualmente em operação, portanto, aqui está uma solução de backup e recuperação de último recurso do GPO, não incluindo Links e Filtros WMI.

Um Objeto de Diretiva de Grupo consiste em duas partes, um Contêiner de Diretiva de Grupo e um Modelo de Diretiva de Grupo.

O Contêiner é um objeto no diretório ativo que contém os links da Diretiva de Grupo que são usados para aplicar o GPO fornecido a uma determinada UO. Se o DSA estiver indisponível para você neste ponto, você não poderá recuperá-los. sem montar e explorar uma cópia offline de seu banco de dados NTDS (não tão fácil quanto possa parecer).

O Template, por outro lado, contém a carne e as batatas do GPO, todas as configurações, o nome, as informações da versão e assim por diante, e é armazenado na pasta SYSVOL no sistema de arquivos.
Com a configuração padrão, você poderá encontrar todas as suas GPTs em C:\Windows\SYSVOL\domain\policies\ . Com um backup em nível de arquivo das GPTs, você poderá recriar os GPOs no novo domínio, de preferência usando o PowerShell, conforme demonstrado abaixo: 

$gptBackupFilePath = "C:\backup\policies\"
$ServerName = $env:COMPUTERNAME

Import-Module GroupPolicy

$GPTs = Get-ChildItem $gptBackupFilePath -Directory |Where-Object {$_.Name -imatch "^\{([0123456789abcdef-]){36}\}$"}

foreach($GPT in $GPTs)
{
    if("{31B2F340-016D-11D2-945F-00C04FB984F9}" -eq $GPT.Name.ToUpper())
    {
        Write-Host "Skipping Default Domain Policy "
    }

    if("{6AC1786C-016F-11D2-945F-00C04FB984F9}" -eq $GPT.Name.ToUpper())
    {
        Write-Host "Skipping Default Domain Controllers Policy "
    }
    $GPTPath = $GPT.FullName
    $GPOName = (Get-Content (Join-Path $GPTPath "GPT.ini") |Where-Object {$_ -match "^displayName="}).Substring(12) |Select -First 1
    if(-not($GPOName))
    {
        Write-Warning "Unable to read GPO name from $GPTPath"
        continue
    }

    $newGPO = New-GPO -Name $GPOName -Server $ServerName
    if(-not($?))
    {
        Write-Warning "Unable to create new GPO $GPOName"
        continue
    }

    $GPOGuid = $newGPO.Id.ToString()

    $Destination = Get-Item ("C:\Windows\SYSVOL\domain\policies\{" + $GPOGuid + "}")
    if(-not(Test-Path $Destination))
    {
        Write-Warning "Unable to access new GPT for GPO $GPOName"
        continue
    }

    Get-ChildItem -Path $GPTPath -Recurse -Exclude @("gpt.ini") |Copy-Item -Destination $($_.FullName -replace $GPTPath,$DestinationPath.FullName) -Force
    if($?)
    {
        Write-Host "Successfully recreated GPO $GPOName as $GPOGuid"
    }
}

Duvido que esta seja uma solução suportada e, ao contrário de uma importação regular de GPO com tabelas de migração, você precisará apropriar-se manualmente de outras URLs específicas de caminhos de UNC.

O exemplo acima deve ser executado em um Controlador de Domínio em sua nova floresta com $gptBackupFilePath alterado para a pasta que contém o conteúdo de [..] \ policies no antigo Controlador de Domínio

A única resposta atual a essas perguntas , sugerindo que você perdeu o Controlador de Domínio que atualmente possui o Mestre RID O papel FSMO, e esgotou o pool RID atual, está com toda a probabilidade inteiramente correto, e você pode muito bem ser capaz de recuperar a floresta do estado atual.

Minha recomendação para começar do zero não é uma resposta goto padrão fácil, mas uma cuidadosamente escolhida, baseada na experiência pessoal com a Recuperação de desastres do AD e, mais importante, na limpeza após esforços desastrosos de recuperação de desastres de outras pessoas .

Se você não entender completamente o que esperar de um ambiente saudável do Active Directory e por tentativa e erro, faça o que foi solicitado (captura de FSMO, limpeza de metadados etc.), problemas subjacentes não resolvidos pode ainda estar presente - mas muito indescritível e, portanto, oculto para o olho destreinado.

Qualquer inconsistência introduzida durante os últimos 30 ou 60 dias pode não se manifestar aqui e agora, mas se e quando acontecer - você vai desejar que você tenha começado do zero quando teve a oportunidade

    
por 26.11.2013 / 22:15
4

Meu palpite é que o servidor inativo era o Mestre do RID .

Os controladores de domínio alocam SIDS exclusivos usando um pool de IDs relativos (RIDS). Um controlador de domínio em um domínio, o mestre de RID, é responsável por dar pools exclusivos para cada controlador de domínio. Quando um controlador de domínio fica sem RIDs, ele não pode criar mais entidades de segurança.

Nesse caso, adicionar mais controladores de domínio não ajuda em nada.

PARA CORRIGIR, você precisa aproveitar o papel do Mestre RID em um DC funcionando. Importante: Depois de ter assumido o papel, não deixe o antigo mestre RID de volta online ! Isso pode levar a problemas.

Como um aparte, a resposta sugerindo a criação de um novo domínio é um trabalho muito maior do que parece. Entre outras coisas, você deve agora configurar cada serviço em cada servidor com uma nova conta de serviço, o que pode significar definir nomes e permissões principais de serviço. Agora você deve recriar seu sistema de mensagens, possivelmente exigindo uma exportação e importação de todas as caixas de correio. Achatamento de uma floresta AD é uma opção de completo-último recurso, só pode ser feito depois de ter esgotado outras opções!

Além disso, sugiro que espere alguns dias antes de aceitar uma resposta aqui - não aceite apenas a primeira apresentada.

    
por 26.11.2013 / 23:31

Tags

A separação de VLAN é necessária para várias redes? Removendo fitas presas de uma unidade de fita / biblioteca