FSMO-Rollen von totem Windows-Domänencontroller übernehmen

13

Ich habe andere Fragen und Dokumente dazu gesehen, aber es gibt einige Dinge, die mich immer noch verwirren. Hier sind die Dokumente und Fragen, die ich gesehen habe:

Die Umgebung enthält zwei Windows-Server und zahlreiche Clients. Der Domänencontroller ist Windows 2003 SP2, auf dem Windows 2000 Native AD ausgeführt wird. Der andere Server (überhaupt kein DC) ist Windows 2000 SP4 (auf dem sich ein Dienstprogramm zur Virenprüfung befindet).

Ergebnisse von netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Ergebnisse von dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Hier sind meine Fragen (entschuldigen Sie, wenn es sich um Anfängerfragen handelt):

  • Sind die Rollen von den Rollen aufgelistet netdom query fsmo, die ich an anderer Stelle gesehen habe? Ist der Domänenrollenbesitzer beispielsweise derselbe wie der Domänennamen-Master ? Ist der RID-Pool-Manager mit der RID- Rolle identisch ?
  • Was sind die schlimmen Dinge, die passieren könnten, wenn ich eine dieser Rollen übernehme?
  • Werden die Benutzer es bemerken?
  • Diese Einrichtung hat lange gedauert und die Menschen haben mehr oder weniger normal funktioniert. Wird die Besetzung der PDC-Rolle dies ändern?
  • Einige dieser Dokumente sagen schwerwiegende Konsequenzen voraus, wenn alle Rollen auf einem Domänencontroller liegen. Ist es bei einem Kundenstamm von nicht mehr als 20 und vielleicht weniger als 10 Tagen ein echtes Problem, alle Rollen in einem DC zu haben?
  • Gibt es irgendwelche Einschränkungen bei der Durchführung des von Microsoft empfohlenen Bereinigungsprozesses, um den alten Domänencontroller aus Active Directory zu entfernen?

Auch - eine fast tangentiale Frage - wenn ich die Domäne auf ein Windows 2003 AD (jetzt oder in der Zukunft) aktualisiere, ändert sich dadurch etwas an der Belegung der FSMO-Rollen?

PS: Ich vermute, dass die DNS-Probleme damit zu tun haben, dass versucht wurde, ein Nicht-Microsoft-DNS zu verwenden, das das dynamische DNS von Microsoft nicht unterstützt. Ich denke, dass ein Windows-DNS ausgeführt wird, habe es aber noch nicht auf ordnungsgemäße Funktion überprüft und eingerichtet.

Mei
quelle
2
Wo ist dein Backup? Was ist Ihr Disaster Recovery-Plan?
mailq
Bah. Ich habe dieses Setup geerbt - ich versuche nur aufzuräumen.
Mei
6
Das System geerbt. Aha. Wurde der Sysadmin vor der Katastrophe getötet? Oder wegen der Katastrophe?
mailq
1
@ David Backups sollten ganz oben auf Ihrer Liste stehen. Sie haben dort ein Kartenhaus und brauchen einen Plan, um wieder zum Laufen zu kommen, wenn er abstürzt.
Voretaq7
1
@David Auf einem Windows 2000-Server wird keine aktuelle und wirksame Windows-Antivirensoftware ausgeführt. Im Jahr 2012 ist die einzige legitime Verwendung von Windows 2000 in einer Produktionsumgebung ein Honigtopf .
Skyhawk

Antworten:

14

Sind die in der netdom query fsmo aufgelisteten Rollen die gleichen, die ich an anderer Stelle gesehen habe? Ist der Domänenrollenbesitzer beispielsweise derselbe wie der Domänennamen-Master? Ist der RID-Pool-Manager mit der RID-Rolle identisch?

Ja genau. Ich bin mir nicht sicher, warum die Namen in dieser bestimmten Anzeige leicht abweichen.

Was sind die schlimmen Dinge, die passieren könnten, wenn ich eine dieser Rollen übernehme?

Die Beschlagnahme selbst? Nicht viel. Die meisten potenziellen Probleme, vor denen gewarnt wird, sind das Wiedereinschalten des alten DC, nachdem seine Rolle übernommen wurde - und selbst dann gibt es da draußen viel Hysterie, wenn nicht viel Risiko. Es braucht einige ziemlich seltsame Szenarien, um irgendetwas mit einem Anfall zu brechen, anstatt eine Rolle zu übertragen. Lassen Sie uns die Rollen und die potenziellen Risiken kurz erläutern:

  • Schemamaster: Hier wird jeder ziemlich nervös, aber es zu brechen ist kein sehr wahrscheinliches Szenario. Die Dokumentation besagt, dass Sie den alten Schema-Master niemals wieder einschalten sollten, nachdem Sie die Rolle übernommen haben, die ich als Alarmist bezeichne. Der alte Server wird über den Rollenwechsel informiert und gibt die Rolle sofort wieder frei. Das potenzielle Risiko besteht darin, dass vor der Replikation von anderen Domänencontrollern auf dem alten Server andere, widersprüchliche Schemaänderungen vorgenommen werden, wenn Änderungen am neuen Schemamaster vorgenommen werden, der alte Schemamaster online geschaltet wird. Diese Situation ist unwahrscheinlich, würde aber Ihre Domain zerstören.

  • Master benennen: Wie beim Schemamaster müssen Sie Änderungen am alten Domänencontroller vornehmen (in diesem Fall eine neue Domäne in der Gesamtstruktur erstellen), nachdem Sie dessen Rolle übernommen haben, aber bevor Sie Kenntnis von der Belegung erhalten.

  • PDC Emulator: Kein Risiko, es ist nicht verantwortlich für alles, wo Sie Abweichungen riskieren.

  • RID-Master: Sie benötigen eine durcheinandergebrachte Replikationsstruktur, um diese zu durchbrechen. Stellen Sie sich vor, Sie haben zwei Domänencontroller. ein alter RID-Master, der seine Rolle nicht kennt, wurde ergriffen, und ein neuer RID-Master. In dieser Situation müssen Sie genügend Objekte erstellen, um den RID-Pool auf beiden zu erschöpfen (sie werden in 500 Sekunden ausgegeben), und beide müssen sich überlappende Pools zuweisen. Erstellen Sie Objekte mit identischen RIDs, schließen Sie die Domänencontroller erneut an und beobachten Sie, wie sich die Apokalypse entfaltet.

  • Infrastructure Master: Ehrlich gesagt, haben wahrscheinlich 50% der Domains auf der Welt überhaupt keinen funktionierenden Infrastructure Master, da er auf einem GC nicht funktioniert. In jedem Fall können Sie es nicht mit Beschlagnahme brechen.

Werden die Benutzer es bemerken?

Sie sollten nicht.

Diese Einrichtung hat lange gedauert und die Menschen haben mehr oder weniger normal funktioniert. Wird die Besetzung der PDC-Rolle dies ändern?

Nein. Bei einem einzelnen DC wird keine der Funktionen des PDC übersehen, es sei denn, Ihr Nicht-PDC-DC kann die Zeit nicht mit der gewünschten Quelle synchronisieren (dem fehlenden PDC).

Moreso:

  • Sie werden den Schema Master nur vermissen, wenn Sie versuchen, das Schema zu aktualisieren
  • Sie werden den Naming Master nur vermissen, wenn Sie versuchen, eine neue Domäne in der Gesamtstruktur zu erstellen
  • Sie werden den RID-Master nur vermissen, wenn Sie zu viele Objekte erstellen und den RID-Pool Ihres Domänencontrollers ausschöpfen (dies ist wahrscheinlich die wahrscheinlichste Ursache, wenn Sie einfach so weitermachen wie bisher).
  • Sie werden den Infrastructure Master nur für globale Kataloggruppenaktualisierungen in einer Gesamtstruktur mit mehreren Domänen verpassen

Einige dieser Dokumente sagen schwerwiegende Konsequenzen voraus, wenn alle Rollen auf einem Domänencontroller liegen. Ist es bei einem Kundenstamm von nicht mehr als 20 und vielleicht weniger als 10 Tagen ein echtes Problem, alle Rollen in einem DC zu haben?

Nein - aber hol ein zweites DC. Sie möchten nicht, dass Ihr einziger DC ausfällt.

Gibt es irgendwelche Einschränkungen bei der Durchführung des von Microsoft empfohlenen Bereinigungsprozesses, um den alten Domänencontroller aus Active Directory zu entfernen?

Ja - sei vorsichtig. Aber schärfen Sie Ihre ntdsutilMesser und reißen Sie die alten Daten heraus - zusätzlicher Müll hilft der Wartbarkeit der Domain nicht.

Shane Madden
quelle
7
+1 - Nachdem Sie die von Microsoft beschriebene Metadatenbereinigung ausgeführt haben, musste ich in den DNS-Bereich wechseln und viele alte A- und SRV-Einträge, die auf den fehlenden Domänencontroller verweisen, manuell löschen. Möglicherweise müssen Sie dies auch tun.
Mark Henderson
6

Ihr aktuelles Setup (ohne funktionierende Betriebsmaster) ist eine gefährliche und nicht unterstützte Konfiguration, die so schnell wie möglich behoben werden muss. Wenn der fehlende Server tot und begraben ist, ist die Übernahme der FSMO-Rollen ein notwendiger Schritt, um den normalen Betrieb wieder aufzunehmen.

Antworten auf Ihre spezielle Frage:

  1. Ja, die gleichnamigen Rollentitel, die Sie alle erwähnen, bedeuten dasselbe.
  2. Es ist wahrscheinlich, dass schlechte Dinge passieren, wenn Sie eine Rolle übernehmen und anschließend versuchen, den fehlenden Server, auf dem er sich befand, wiederzubeleben. Bitte stellen Sie sicher, dass es tot und begraben ist, bevor Sie die Rollen übernehmen.
  3. Es ist unwahrscheinlich, dass Benutzer aufgrund der Übernahme der FSMO-Rollen neue Probleme bemerken.
  4. Das Versäumnis, die Rolle zu übernehmen, führt langfristig zu Problemen. Das sofortige Besetzen der Rolle nach dem Scheitern ihres früheren Inhabers verursacht keine Probleme.
  5. In der Tat ist es üblich, dass kleine Unternehmen mit 10 bis 20 Benutzern einen einzigen Server mit allen FSMO-Rollen sowie Exchange und Sharepoint haben. Dies führt nicht zu Problemen mit der Leistung, wenn der Server korrekt angegeben wurde. Es wird jedoch garantiert, dass die Site ausfällt, wenn der einzige Server ausfällt. Es empfiehlt sich, mindestens zwei Domänencontroller pro Domäne zu haben, auch wenn einer davon ein Atom D525-Server unter 500 USD in einem 1U-Gehäuse ist.
  6. Nicht besonders, aber jede Serverwartung birgt zumindest ein gewisses Risiko. Stellen Sie wie immer sicher, dass Sie über vollständige und getestete Sicherungen und einen Wiederherstellungsplan verfügen, bevor Sie fortfahren.
  7. Dies sollte kein Problem sein, solange Sie zuerst die FSMO-Rollen erfassen und dann die Domänenfunktionsebene aktualisieren.
  8. Es gibt keinen guten Grund, in einer Active Directory-Umgebung ein DNS eines anderen Herstellers als Microsoft für die Domänenauflösung zu verwenden. Sie müssen einen Plan vorbereiten und implementieren, um Ihre internen DNS-Dienste auf Ihre Domänencontroller zu migrieren.

Sie haben angegeben, dass auf einem Windows 2000-Server ein Dienstprogramm zur Virenprüfung ausgeführt wird. Sicher ist Ihnen bewusst, dass Windows 2000 selbst ein "Dienstprogramm zum Sammeln von Viren" mit vielen bekannten Sicherheitslücken ist und keine Sicherheitsupdates verfügbar sind. Schalten Sie diesen Server sofort aus.

Skyhawk
quelle
Ich
6

Ja, nutzen Sie diese Rollen. Sie sind eine Stromschwankung / System hängen / Sonneneruption vor einer Katastrophe.

Es ist unwahrscheinlich, aber Benutzer stellen möglicherweise fest, dass die auf ihren lokalen Computern zwischengespeicherten Kontoänderungen nicht mit AD übereinstimmen.

Sie sollten niemals nur einen DC haben. Mindestens zwei und eine in jedem Remote-Büro. Wenn Sie VMs verwenden möchten (IMHO), dienen sie nur zur Ergänzung der physischen Boxen. Und das erst, nachdem Sie sich über die Verwendung von VMs als DCs informiert haben.

Ich bevorzuge, dass alle DCs GCs sind. Dies ist meine persönliche Präferenz, bedeutet jedoch, dass auf jedem DC mit dieser Rolle eine vollständige Kopie des AD-Inhalts gespeichert wird. Wenn Sie zwei DCs haben, aber nur einer ein GC ist und dieser stirbt, werden Sie, glaube ich, fast so durcheinander, als hätten Sie nur einen DC.

Ihr PDC-Emulator empfängt den gesamten Datenverkehr von älteren Systemen ("Systeme", dh Maschinen, Anwendungen und Dienste wie SQL Server 2000). stelle es auf Hardware.

Es ist nicht unbedingt schlecht, dass ein Domänencontroller alle Rollen hat, WENN Sie andere Domänencontroller haben und Ihre Replikation fehlerfrei ist.

Es sei denn , es eine ist wirklich guten Grund, sollten Sie auf jeden Fall verwenden Microsoft DNS für die interne Namensauflösung.

Korrigieren Sie Ihre Umgebung und führen Sie dann ein Upgrade durch. Sie malen kein sinkendes Boot. Wenn Sie schon dabei sind, sollten Sie unbedingt überlegen, bis 2008 zu kommen. 2003 steht ganz im Zeichen der Lebenserhaltung.

Siehe auch: Was muss nach einem Domänencontroller-Absturz getan werden? und So rufen Sie einen anderen Domänencontroller mit allen Rollen auf, wenn der erste Domänencontroller nicht mehr verfügbar ist

gWaldo
quelle