O que precisa ser feito após uma falha no controlador de domínio?

20

Supondo que pelo menos dois controladores de domínio estivessem presentes no domínio, quais etapas precisam ser seguidas para tornar o Active Directory íntegro após uma falha no controlador de domínio?

Nic
fonte
Como você define "Crashed"? Apenas BSOD, ou está totalmente morto?
Mark Henderson
Totalmente morto. No meu caso, a fonte de alimentação e a placa-mãe falharam.
Nic
Eu achei este artigo muito útil também. funkytechguy.blogspot.co.za/2016/06/...

Respostas:

32

Etapa 0: tenha pelo menos dois controladores de domínio .
Se você tiver apenas um controlador de domínio e ele falhar de tal maneira que não possa recuperá-lo, seu domínio não existirá mais; sua única opção é criar um domínio completamente novo. Esse é um processo doloroso que envolve recriar usuários, reunir computadores e servidores clientes e até recriar todas as configurações de segurança que você já usou.


Se o servidor for absolutamente irrecuperável, como devido a uma falha de hardware que não pode ser facilmente reparada, eis aqui como proceder para removê-lo completamente do domínio. Depois que as funções do FSMO forem ocupadas, é fundamental que o servidor antigo nunca seja colocado online novamente. Considere seriamente limpar os discos rígidos para garantir que isso nunca aconteça.

  1. Determine quais servidores estavam mantendo as funções FSMO (Operações flexíveis de mestre único) para o domínio e a floresta. A Microsoft tem um ótimo artigo sobre como encontrar funções do FSMO .

  2. Quaisquer funções FSMO mantidas pelo servidor com falha devem ser capturadas em um controlador de domínio íntegro. Outro artigo da Microsoft para este.

  3. A função FSMO "Infraestrutura" é especial e é realmente especificada para cada partição de aplicativo. Se o servidor com falha mantinha o DNS, você precisará verificar se o registro em cada partição de aplicativo (DomainDnsZones, ForestDnsZones) foi atualizado. Melhor explicação aqui e correção oficial aqui .

  4. Execute uma limpeza de metadados para remover os restos do Active Directory. Excluindo metadados extintos do servidor .

  5. Inspecione "Usuários e Computadores do Active Directory" e "Sites e Serviços do Active Directory" para garantir que todas as entradas do servidor extinto foram removidas.

  6. Inspecione o DNS para encontrar entradas estáticas relacionadas ao servidor extinto e exclua-as, reatribua-as ou coloque um novo servidor no mesmo endereço.

  7. Se o servidor com falha foi um servidor DHCP autorizado, verifique se ele ainda está listado como servidor autorizado. Se sim, pode ser necessário usar o ADSI Edit para removê-lo da lista de raízes do DHCP.

(Edit 14-03-2010: adicionado comentário de Graeme sobre o passo 0)

Nic
fonte
Eu tive que descobrir tudo isso da maneira mais difícil, então espero que isso ajude alguém que acaba na minha posição.
Nic
Parece um fim de semana ruim, mas obrigado por compartilhar a ótima lista de verificação.
Gomibushi 14/03
Infelizmente eu estou muito familiarizado com estas etapas ...
5
+1, esta é uma ótima resposta. Você cobriu praticamente tudo. Eu adicionaria um "Passo 0" para aqueles que não tiveram que lidar com isso ... "Sempre tenha pelo menos 2 CDs". É assustador quantos ambientes existem por aí com apenas um.
ThatGraemeGuy
11
+1 para a resposta e também um voto positivo para o comentário de Graeme - mesmo que seja algo que deve ser dado como certo, ele também deve ser destacado.
Maximus Minimus 14/03