Nắm bắt vai trò FSMO từ Bộ điều khiển miền Windows đã chết

13

Tôi đã thấy các câu hỏi và tài liệu khác về việc này, nhưng có một số điều vẫn làm tôi bối rối. Dưới đây là các tài liệu và câu hỏi tôi đã xem:

Môi trường chứa hai máy chủ Windows và nhiều máy khách. Bộ điều khiển miền là Windows 2003 SP2 chạy với Windows 2000 Native AD. Máy chủ khác (hoàn toàn không phải là DC) là Windows 2000 SP4 (nó lưu trữ tiện ích kiểm tra vi rút).

Kết quả từ netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Kết quả từ dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Đây là câu hỏi của tôi (xin lỗi tôi nếu chúng có quá nhiều câu hỏi dành cho người mới bắt đầu):

  • Các vai trò được liệt kê từ netdom query fsmocùng một vai trò tôi đã thấy được liệt kê ở nơi khác? Ví dụ: chủ sở hữu vai trò tên miền có giống như Tên miền chính ? Là RID Pool quản lý giống như các RID vai trò?
  • Những điều tồi tệ có thể xảy ra nếu tôi nắm giữ một trong những vai trò này là gì?
  • Người dùng sẽ chú ý chứ?
  • Việc thiết lập này đã diễn ra trong một thời gian dài và mọi người đã hoạt động bình thường ít nhiều; Là nắm giữ vai trò PDC sẽ thay đổi điều này?
  • Một số tài liệu này dự đoán hậu quả thảm khốc khi có tất cả các vai trò trên một DC. Với cơ sở khách hàng không quá 20 - và có lẽ dưới 10 ngày hầu hết - có phải tất cả các vai trò trên một DC là một vấn đề thực sự?
  • Có bất kỳ sự cẩn thận nào để thực hiện quy trình dọn dẹp được Microsoft khuyến nghị để loại bỏ DC cũ khỏi Active Directory không?

Ngoài ra - một câu hỏi gần như tiếp tuyến - nếu tôi nâng cấp tên miền lên Windows 2003 AD (hiện tại hoặc trong tương lai) thì điều này có thay đổi gì trong việc nắm bắt vai trò của FSMO không?

PS: Tôi nghi ngờ các sự cố DNS phải thực hiện khi cố gắng sử dụng DNS không phải của Microsoft không hỗ trợ DNS động của Microsoft; Tôi nghĩ rằng có một DNS Windows đang chạy nhưng chưa kiểm tra nó để hoạt động đúng và chưa được thiết lập.

windows-server-2003  active-directory  domain-controller 
Mei
nguồn
2
Sao lưu của bạn ở đâu? Kế hoạch khắc phục thảm họa của bạn là gì?
mailq
Bah Tôi đã kế thừa thiết lập này - Tôi chỉ đang cố gắng dọn dẹp.
Mei
6
Kế thừa hệ thống. Aha. Là sysadmin bị giết trước thảm họa? Hay vì thảm họa?
mailq
1
Sao lưu @david nên cao trong danh sách của bạn. Bạn đã có một ngôi nhà thẻ ở đó, và cần một kế hoạch để đứng dậy và chạy lại nếu nó bị sập.
voretaq7
1
@David Không có phần mềm chống vi-rút Windows hiện tại và hiệu quả sẽ chạy trên máy chủ Windows 2000. Trong năm 2012, việc sử dụng hợp pháp duy nhất cho Windows 2000 trong môi trường sản xuất là dưới dạng honeypot .
Skyhawk

Câu trả lời:

14

Các vai trò được liệt kê từ fsmo truy vấn netdom có ​​giống với các vai trò tôi đã thấy được liệt kê ở nơi khác không? Ví dụ: chủ sở hữu vai trò tên miền có giống như Tên miền chính? RID Pool Manager có giống với vai trò RID không?

Đúng chính xác. Không chắc tại sao họ lại có những cái tên hơi khác nhau trong màn hình cụ thể đó.

Những điều tồi tệ có thể xảy ra nếu tôi nắm giữ một trong những vai trò này là gì?

Bản thân bị co giật? Không nhiều. Hầu hết các vấn đề tiềm năng được cảnh báo là về việc biến DC cũ trở lại sau khi vai trò của nó bị tịch thu - và thậm chí sau đó, có rất nhiều hiềm khích ngoài kia vì không có nhiều rủi ro; phải mất một số tình huống khá kỳ lạ để phá vỡ bất cứ điều gì với một cơn động kinh thay vì chuyển giao một vai trò. Để tiếp tục một thời gian, hãy xem xét vai trò và các rủi ro tiềm ẩn:

  • Schema Master: Điều này khiến mọi người khá bối rối, nhưng phá vỡ nó không phải là một kịch bản có khả năng khủng khiếp. Tài liệu nói rằng bạn không bao giờ nên bật Schema Master cũ trở lại sau khi nắm giữ vai trò, điều mà tôi gọi là báo động. Máy chủ cũ sẽ được thông báo về sự thay đổi vai trò và ngay khi có, nó sẽ từ bỏ vai trò đó. Rủi ro tiềm ẩn ở đây là nếu các thay đổi được thực hiện cho chủ lược đồ mới, thì chủ lược đồ cũ được đưa trực tuyến, sau đó trước khi sao chép từ các DC khác, các thay đổi lược đồ khác nhau, xung đột, được thực hiện trên máy chủ cũ. Tình huống này là không thể, nhưng sẽ phá hủy tên miền của bạn.

  • Đặt tên Master: Tương tự như với Schema master, bạn cần thực hiện các thay đổi (trong trường hợp này là tạo một miền mới trong rừng) trên DC cũ, sau khi nắm được vai trò của mình nhưng trước khi có được kiến ​​thức về việc thu giữ.

  • Trình giả lập PDC: Không có rủi ro, nó không chịu trách nhiệm cho bất kỳ điều gì mà bạn có nguy cơ phân kỳ.

  • RID Master: Bạn sẽ cần một cấu trúc sao chép lộn xộn để phá vỡ cấu trúc này - hãy tưởng tượng rằng bạn đã có 2 DC; một chủ RID cũ không biết vai trò của nó đã bị tịch thu và một chủ RID mới. Trong tình huống này, bạn cần tạo đủ các đối tượng để xả hết nhóm RID trên cả hai (chúng được phân phối trong 500 giây) và cả hai đều tự gán cho mình các nhóm chồng chéo. Tạo các đối tượng với các RID giống hệt nhau, kết nối lại các bộ điều khiển miền và xem ngày tận thế diễn ra.

  • Master Master về cơ sở hạ tầng: Thành thật mà nói, có thể 50% tên miền trên thế giới thậm chí không có Master Master về cơ sở hạ tầng, vì nó không hoạt động khi nó hoạt động trên một GC. Trong mọi trường hợp, bạn không thể phá vỡ nó bằng cơn động kinh.

Người dùng sẽ chú ý chứ?

Họ không nên.

Việc thiết lập này đã diễn ra trong một thời gian dài và mọi người đã hoạt động bình thường ít nhiều; Là nắm giữ vai trò PDC sẽ thay đổi điều này?

Không. Với một DC duy nhất, không có chức năng nào của PDC bị bỏ sót cả, ngoại trừ có thể DC không phải PDC của bạn không thể đồng bộ hóa thời gian với nguồn mà nó muốn (PDC bị thiếu).

Moreso:

  • Bạn sẽ chỉ nhớ Schema Master khi bạn cố cập nhật lược đồ
  • Bạn sẽ chỉ nhớ Naming Master khi bạn cố gắng tạo một miền mới trong rừng
  • Bạn sẽ chỉ nhớ RID Master khi bạn tạo quá nhiều đối tượng và làm cạn kiệt nhóm RID DC của bạn (đây có thể là khả năng cao nhất để bạn gặp phải nếu bạn cứ chạy như vậy)
  • Bạn sẽ chỉ bỏ lỡ Cơ sở hạ tầng để cập nhật nhóm danh mục toàn cầu trong một khu rừng đa miền

Một số tài liệu này dự đoán hậu quả thảm khốc khi có tất cả các vai trò trên một DC. Với cơ sở khách hàng không quá 20 - và có lẽ dưới 10 ngày hầu hết - có phải tất cả các vai trò trên một DC là một vấn đề thực sự?

Không - nhưng có được một DC thứ hai. Bạn không muốn có DC duy nhất của bạn thất bại.

Có bất kỳ sự cẩn thận nào để thực hiện quy trình dọn dẹp được Microsoft khuyến nghị để loại bỏ DC cũ khỏi Active Directory không?

Vâng - hãy cẩn thận. Nhưng mài ntdsutildao của bạn và xé dữ liệu cũ ra - thêm rác vào đó không giúp duy trì khả năng duy trì tên miền.

Shane Madden
nguồn
7
+1 - Sau khi bạn chạy dọn dẹp siêu dữ liệu như được mô tả bởi Microsoft, tôi thấy mình phải truy cập DNS và xóa thủ công rất nhiều bản ghi A và SRV cũ chỉ vào DC bị thiếu, do đó bạn cũng có thể cần phải làm điều đó.
Mark Henderson
6

Thiết lập hiện tại của bạn (không có chủ hoạt động chức năng) là một cấu hình nguy hiểm và không được hỗ trợ, cần được khắc phục càng sớm càng tốt. Nếu máy chủ mất tích đã chết và bị chôn vùi, việc nắm giữ các vai trò FSMO là một bước cần thiết để tiếp tục hoạt động bình thường.

Trả lời cho câu hỏi cụ thể của bạn:

  1. Vâng, các tiêu đề vai trò được đặt tên tương tự mà bạn đề cập đều có nghĩa tương tự.
  2. Điều tồi tệ có khả năng xảy ra nếu bạn nắm giữ một vai trò và sau đó cố gắng phục hồi máy chủ bị mất đã từng có. Hãy chắc chắn rằng nó đã chết và được chôn cất trước khi nắm giữ vai trò.
  3. Người dùng không có khả năng nhận thấy bất kỳ vấn đề mới nào do việc nắm giữ các vai trò FSMO.
  4. Không nắm được vai trò sẽ gây ra vấn đề trong thời gian dài. Nắm bắt vai trò kịp thời sau thất bại của người giữ cũ sẽ không gây ra vấn đề.
  5. Thực tế, thông thường, các doanh nghiệp nhỏ có 10-20 người dùng có một máy chủ duy nhất với tất cả các vai trò trao đổi FSMO Sharepoint. Điều này không tạo ra các vấn đề hiệu suất khó hiểu nếu máy chủ đã được chỉ định chính xác, nhưng trang web được đảm bảo chịu thời gian chết nếu máy chủ duy nhất bị lỗi. Tốt nhất là có ít nhất hai bộ điều khiển miền cho mỗi tên miền, ngay cả khi một trong số chúng là máy chủ Atom D525 trị giá $ 500 trong khung máy 1U.
  6. Không đặc biệt, nhưng bất kỳ bảo trì máy chủ đều mang ít nhất một số rủi ro. Như mọi khi, hãy đảm bảo rằng bạn có bản sao lưu đầy đủ và đã được kiểm tra cũng như kế hoạch khôi phục trước khi tiến hành.
  7. Đây không phải là vấn đề miễn là bạn nắm được vai trò FSMO trước, sau đó nâng cấp cấp chức năng miền.
  8. Không có tốt lý do để sử dụng một tổ chức phi Microsoft DNS cho độ phân giải miền trong một môi trường Active Directory. Bạn cần chuẩn bị và thực hiện kế hoạch di chuyển các dịch vụ DNS nội bộ của mình sang (các) bộ điều khiển miền.

Bạn đã chỉ ra rằng bạn có "tiện ích kiểm tra vi rút" đang chạy trên máy chủ Windows 2000. Chắc chắn bạn biết rằng chính Windows 2000 là một "tiện ích thu thập vi rút" với nhiều lỗ hổng đã biết và không có bản cập nhật bảo mật nào. Nghỉ hưu máy chủ này ngay lập tức.

Bầu trời
nguồn
Yêu nhận xét "Tiện ích thu thập vi-rút"
gWaldo
6

Vâng, nắm bắt những vai trò đó. Bạn là một biến động năng lượng / treo hệ thống / năng lượng mặt trời bùng phát từ thảm họa.

Không thể, nhưng Người dùng có thể nhận thấy nếu các thay đổi tài khoản được lưu trong bộ nhớ cache trên máy cục bộ của họ không khớp với AD.

Bạn không bao giờ nên chỉ có một DC. Hai tối thiểu, và một tại mỗi văn phòng từ xa. Nếu bạn muốn sử dụng máy ảo, (IMHO) chúng chỉ để bổ sung cho các hộp vật lý. Và đó chỉ là sau khi bạn đọc về việc sử dụng VM làm DC.

Tôi thích rằng tất cả các DC là GC. Đây là sở thích cá nhân của tôi, nhưng điều đó có nghĩa là một bản sao hoàn chỉnh nội dung của AD được lưu trữ trên mỗi DC với vai trò này. Nếu bạn có hai DC, nhưng chỉ có một là một GC và một DC chết, tôi nghĩ bạn sẽ trở nên tồi tệ như thể bạn chỉ có một DC.

Trình giả lập PDC của bạn sẽ nhận được tất cả lưu lượng truy cập từ các hệ thống cũ ("hệ thống" nghĩa là máy móc, ứng dụng và dịch vụ, chẳng hạn như SQL Server 2000); đặt nó trên phần cứng.

Không nhất thiết là xấu khi một DC có tất cả các vai trò, NẾU bạn có các DC khác và bản sao của bạn vẫn khỏe mạnh.

Trừ khi có một lý do thực sự tốt, bạn chắc chắn nên sử dụng Microsoft DNS để phân giải tên nội bộ.

Sửa môi trường của bạn, sau đó nâng cấp. Bạn không vẽ một chiếc thuyền đang chìm. Trong khi bạn đang ở đó, hãy cân nhắc mạnh mẽ đến năm 2008 2003 là hỗ trợ cuộc sống.

Xem thêm: Cần phải làm gì sau sự cố Bộ điều khiển miền? Cách đưa một DC khác lên với tất cả các vai trò khi DC đầu tiên không còn khả dụng

galdaldo
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.