13 votos

Asumir funciones FSMO de muertos Controlador de Dominio de Windows

He visto otras preguntas y documentos acerca de cómo hacerlo, pero hay algunas cosas que todavía me confundan. Aquí están los documentos y las preguntas que he visto:

El entorno contiene dos servidores de Windows y a numerosos clientes. El Controlador de Dominio de Windows 2003 SP2 en ejecución con un Nativo de Windows 2000 AD. El otro servidor (no CC) es Windows 2000 SP4 (alojamiento de un virus de la utilidad de comprobación).

Resultados de netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Resultados de dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Aquí están mis preguntas (que me perdonen si son demasiado principiante preguntas):

  • Son las funciones enumeradas de netdom query fsmo el mismo que he visto mencionados en otros lugares? Por ejemplo, es de Dominio propietario de función de la misma como Maestro de nombres de Dominio? Se DESHIZO de la Piscina Administrador de la misma como el DESHACERSE de papel?
  • ¿Cuáles son las cosas malas que podrían suceder si me apoderarse de uno de estos roles?
  • Los usuarios de aviso?
  • Esto ha estado sucediendo durante mucho tiempo y la gente ha estado funcionando más o menos normalmente; es apoderarse de la función PDC va a cambiar esto?
  • Algunos de estos documentos predecir consecuencias nefastas para tener todas las funciones en un DC. Con una base de clientes de no más de 20 - y quizás de menos de 10 la mayoría de los días - es tener todas las funciones de un controlador de dominio de un problema real?
  • Hay advertencias para realizar el proceso de limpieza recomendado por Microsoft para quitar la vieja DC de Active Directory?

También - casi tangencial pregunta - si yo fuera de actualizar el dominio a un Windows 2003 AD (ahora o en el futuro) ¿esto cambia nada en la incautación de las funciones FSMO?

PD: sospecho que el problema con el DNS tiene que ver con el intento de usar un DNS de Microsoft que no es compatible con Microsoft DNS Dinámico; creo que hay un DNS de Windows se ejecuta pero no auditados para el correcto funcionamiento y configurado todavía.

14voto

Shane Madden Puntos 81409

Son las funciones enumeradas de netdom query fsmo el mismo que he visto mencionados en otros lugares? Por ejemplo, es de Dominio papel de dueño de la misma como Maestro de nombres de Dominio? Está libre de la Piscina del Administrador de la misma como el RID papel?

Sí, exactamente. No sé por qué tienen los nombres ligeramente diferentes en que pantalla en particular.

¿Cuáles son las cosas malas que podrían suceder si me apoderarse de uno de estos roles?

El ataque en sí? No mucho. La mayoría de los posibles problemas que se advirtió acerca de acerca de la activación de la vieja DC de nuevo después de que su rol de apoderado - y aún así, hay un montón de histeria que hay para que no se mucho de riesgo; toma algunos bastante extraños escenarios de romper nada con un ataque en lugar de una transferencia de una función. Para ir por la tangente por un momento, vamos a ir sobre las funciones y los riesgos potenciales:

  • Maestro de esquema: Éste llega a todo el mundo bastante contorsionados, pero la ruptura no es muy probable. La documentación dice que usted debe nunca alguna vez alguna vez el viejo Maestro de Esquema de nuevo después de aprovechar el papel, que me llame alarmista. El viejo servidor será informado del cambio de función, y tan pronto como es, no voy a renunciar al papel. El potencial de riesgo aquí es que si se realizan cambios en el nuevo maestro de esquema, entonces el viejo maestro de esquema está en línea, a continuación, antes de la replica de los otros controladores de dominio, diferentes y contradictorios, se realizan cambios de esquema en el servidor antiguo. Esta situación es poco probable, pero podría destruir su dominio.

  • Maestro de nombres: el Mismo trato como con el maestro de Esquema, que había necesidad de hacer cambios (en este caso, crear un dominio nuevo en un bosque) en el viejo DC, después de tomar su papel pero antes de que llegue el conocimiento de la convulsión.

  • Emulador de PDC: No hay riesgo, no es responsable de nada, donde corre el riesgo de divergencia.

  • Maestro de RID: tendría un mal estado de la replicación de la estructura para romper este uno - imagina que tienes 2 DCs; un viejo maestro de RID que no sabe su papel ha sido tomada, y un nuevo maestro de RID. En esta situación, sería necesario crear objetos suficientes para agotar el grupo de RID en tanto (que son entregados en 500s), y ambos se asignan superposición de piscinas. Crear objetos con idéntico Rid, vuelva a conectar los controladores de dominio, y el reloj del apocalipsis se desarrollan.

  • Maestro de infraestructura: Honestamente, probablemente el 50% de los dominios en el mundo ni siquiera tienen un trabajo de Maestro de Infraestructura en todo, ya que no funciona cuando está sobre una mesa. En cualquier caso, no se puede romper con convulsiones.

Los usuarios de aviso?

Que no debe.

Esto ha estado sucediendo durante mucho tiempo y la gente ha estado funcionando más o menos normalmente; es apoderarse de la función PDC va a cambiar esto?

No. Con un único DC, ninguna de las funciones de la PDC se perdió en todos, excepto tal vez su no-PDC DC, siendo incapaz de sincronizar la hora con la fuente que se quiere (la falta PDC).

Moreso:

  • Usted sólo tendrá que perder el Maestro de Esquema cuando intenta actualizar el esquema
  • Usted sólo tendrá que perder el Maestro de nombres cuando intenta crear un nuevo dominio en el bosque
  • Usted sólo tendrá que perder el Maestro de RID cuando se crea demasiados objetos y agotar la DC DESHACERSE de la piscina (este es probablemente el más probable para que usted a ejecutar en caso de que usted acaba de seguir funcionando como es)
  • Usted sólo tendrá que perder el Maestro de Infraestructura de catálogo global del grupo de las actualizaciones en un multi-dominio del bosque

Algunos de estos documentos predecir consecuencias nefastas para tener todas las funciones en un DC. Con una base de clientes de no más de 20 - y quizás de menos de 10 la mayoría de los días - es tener todas las funciones de un controlador de dominio de un problema real?

No - pero conseguir un segundo DC. Usted no quiere tener a su sólo DC fallar.

Hay advertencias para realizar el proceso de limpieza recomendado por Microsoft para quitar la vieja DC de Active Directory?

Sí - tenga cuidado. Pero a enfocar su ntdsutil cuchillos y el desgaste de la edad de salida de datos extra de la basura en el que no hay ayudando al mantenimiento del dominio.

6voto

gWaldo Puntos 9177

Sí, apoderarse de los papeles. Eres una fluctuación de energía / caída del sistema / llamarada solar del desastre.

Es raro, pero los Usuarios pueden darse cuenta si cuenta los cambios en caché en sus máquinas locales no coincide con el ANUNCIO.

Usted nunca debería tener sólo uno de los DC. Mínimo de dos, y uno en cada oficina remota. Si desea usar máquinas virtuales, (en mi humilde opinión) son sólo para complementar la física cajas. Y que es sólo después de que usted ha leído hasta en el uso de VMs como los países en desarrollo.

Yo prefiero que todos los controladores de dominio se GCs. Este es mi preferencia personal, sino que significa que una copia completa de ANUNCIOS del contenido se almacena en cada DC con este papel. Si usted tiene dos controladores de dominio, pero sólo uno es un GC, y que uno de ellos muere, creo que ser tan jodido como si sólo hubiera uno DC.

Su Emulador de PDC se va a conseguir todo el tráfico procedente de los sistemas de legado ("sistemas" significado de las máquinas, aplicaciones y servicios, tales como SQL Server 2000), lo puso en el hardware.

No es necesariamente malo que uno DC tiene todos los papeles, SI tienes otros países en desarrollo y su replicación es saludable.

A menos que haya una muy buena razón, que sin duda debe utilizar Microsoft DNS de resolución de nombres interno.

Revisión de su entorno, luego de la actualización. No pintar un barco que se hunde. Mientras estás en ello, consideren seriamente la posibilidad de llegar a 2008. 2003 es en apoyo a la vida.

Ver también: Qué se debe hacer después de un Controlador de Dominio de colisión? y Cómo llevar a otro DC, con todos los papeles al primer controlador de dominio no está disponible

6voto

Skyhawk Puntos 12386

Su configuración actual (con falta de funcionamiento de los maestros de operaciones) es un peligroso y no se admite la configuración que necesita ser solucionado a la brevedad posible. Si el servidor que falta es muerto y enterrado, apoderándose de las funciones FSMO es un paso necesario para reanudar la operación normal.

Las respuestas a su pregunta específica:

  1. Sí, el nombre similar papel de los títulos que usted menciona, todos significan lo mismo.
  2. Mal están las cosas probable que ocurra si usted asumir una función y, a continuación, posteriormente, tratar de resucitar el servidor que falta que solía tener. Por favor, asegúrese de que está muerto y enterrado antes de la incautación de papeles.
  3. Los usuarios son poco probable que note los nuevos problemas como resultado de la incautación de las funciones FSMO.
  4. Falla de aprovechar el papel que va a causar problemas a largo plazo. Aprovechando el papel inmediatamente después del fracaso de su anterior titular no va a causar problemas.
  5. Como cuestión de hecho, es común para las pequeñas empresas con 10 a 20 usuarios para tener un servidor con todas las funciones FSMO y Exchange y Sharepoint. Esto no crea intratables problemas de rendimiento si el servidor se ha especificado correctamente, pero el sitio está garantizada a sufrir el tiempo de inactividad si el único servidor falla. Lo mejor es tener al menos dos controladores de dominio por dominio, incluso si uno de ellos es un sub-$500 Atom D525 de servidor en un chasis de 1U.
  6. No especialmente, pero cualquier servidor de mantenimiento lleva al menos un cierto riesgo. Como siempre, asegúrese de que usted tiene completo y probado copias de seguridad y un plan de recuperación antes de continuar.
  7. Esto no debería ser un problema siempre que asumir las funciones FSMO en primer lugar, a continuación, actualizar el nivel funcional del dominio.
  8. No hay ninguna buena razón para usar un DNS de Microsoft para la resolución de dominios dentro de un entorno de Active Directory. Usted necesita para preparar e implementar un plan para migrar tu DNS interno de los servicios a su controlador de dominio(s).

Usted ha indicado que tiene un "virus de la utilidad de comprobación" que se ejecuta en un servidor de Windows 2000. Seguramente usted es consciente de que Windows 2000 es una "virus de la recogida de utilidad" con muchas vulnerabilidades conocidas y no hay actualizaciones de seguridad disponibles. Retirarse este servidor inmediatamente.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: