Apreendendo funções FSMO de um controlador de domínio do Windows morto

13

Eu já vi outras perguntas e documentos sobre como fazer isso, mas há algumas coisas que ainda me confundem. Aqui estão os documentos e perguntas que eu já vi:

O ambiente contém dois servidores Windows e vários clientes. O controlador de domínio é o Windows 2003 SP2 em execução com um Windows 2000 Native AD. O outro servidor (nem um controlador de domínio) é o Windows 2000 SP4 (está hospedando um utilitário de verificação de vírus).

Resultados de netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Resultados de dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Aqui estão minhas perguntas (perdoe-me se houver muitas perguntas para iniciantes):

  • As funções listadas são netdom query fsmoas mesmas que eu já vi em outro lugar? Por exemplo, o proprietário da função de domínio é o mesmo que o mestre de nomeação de domínio ? O RID Pool Manager é igual à função RID ?
  • Quais são as coisas ruins que podem acontecer se eu assumir um desses papéis?
  • Os usuários notarão?
  • Essa configuração já existe há muito tempo e as pessoas estão funcionando mais ou menos normalmente; está aproveitando a função PDC vai mudar isso?
  • Alguns desses documentos preveem terríveis conseqüências em ter todas as funções em um CD. Com uma base de clientes de no máximo 20 - e talvez menos de 10 na maioria dos dias -, ter todas as funções em um CD é um problema real?
  • Existem algumas advertências para executar o processo de limpeza recomendado pela Microsoft para remover o controlador de domínio antigo do Active Directory?

Além disso - uma pergunta quase tangencial - se eu atualizasse o domínio para um Windows 2003 AD (agora ou no futuro), isso muda alguma coisa na tomada de funções do FSMO?

PS: Suspeito que os problemas de DNS estejam relacionados à tentativa de usar um DNS que não seja da Microsoft e que não suporte o DNS dinâmico da Microsoft; Penso que existe um DNS do Windows em execução, mas ainda não o auditei para o seu funcionamento e configuração.

windows-server-2003 active-directory domain-controller Mei
fonte
2
Onde está o seu backup? Qual é o seu plano de recuperação de desastres?
mailq
Bah. Eu herdei essa configuração - estou apenas tentando limpar.
Mei
6
Herdou o sistema. Aha. O administrador do sistema foi morto antes do desastre? Ou por causa do desastre?
mailq
1
Os backups do @david devem estar no topo da sua lista. Você tem um castelo de cartas lá e precisa de um plano para voltar a funcionar se ocorrer um colapso.
voretaq7
1
@ David Nenhum software antivírus atual e eficaz do Windows será executado em um servidor Windows 2000. No ano de 2012, o único uso legítimo do Windows 2000 em um ambiente de produção é como um honeypot .
Skyhawk

Respostas:

14

As funções listadas na consulta netdom fsmo são as mesmas que eu já vi listadas em outros lugares? Por exemplo, o proprietário da função de domínio é o mesmo que o mestre de nomeação de domínio? O RID Pool Manager é o mesmo que a função RID?

Sim, exatamente. Não sei por que eles têm nomes ligeiramente diferentes nessa exibição específica.

Quais são as coisas ruins que podem acontecer se eu assumir um desses papéis?

A apreensão em si? Não muito. A maioria dos problemas em potencial que são avisados ​​é sobre reativar o antigo DC depois que seu papel é assumido - e mesmo assim, há muita histeria por aí, sem muito risco; são necessários alguns cenários bastante estranhos para interromper qualquer coisa com uma apreensão, em vez de uma transferência de uma função. Para seguir em tangente por um momento, vamos examinar os papéis e os riscos potenciais:

  • Mestre do esquema: este deixa todo mundo bem nervoso, mas quebrá-lo não é um cenário muito provável. A documentação diz que você nunca deve ligar novamente o antigo mestre de esquema depois de assumir o cargo, que chamo de alarmista. O servidor antigo será informado da mudança de função e, assim que for, abandonará a função. O risco potencial aqui é que, se forem feitas alterações no novo mestre de esquema, o antigo mestre de esquema for colocado online e, antes de replicar dos outros controladores de domínio , alterações diferentes no conflito serão feitas no servidor antigo. Essa situação é improvável, mas destruiria seu domínio.

  • Mestre de nomeação: da mesma forma que o mestre de esquema, você precisaria fazer alterações (neste caso, criar um novo domínio na floresta) no antigo controlador de domínio, depois de assumir seu papel, mas antes de obter conhecimento da apreensão.

  • Emulador de PDC: Sem risco, não é responsável por nada em que haja risco de divergência.

  • Mestre do RID: Você precisaria de uma estrutura de replicação confusa para quebrar essa - imagine que você tenha 2 controladores de domínio; um antigo mestre do RID que não sabe sua função foi apreendido e um novo mestre do RID. Nessa situação, você precisa criar objetos suficientes para esgotar o pool RID em ambos (eles são distribuídos em 500s) e fazer com que ambos se atribuam a pools sobrepostos. Crie objetos com RIDs idênticos, reconecte os controladores de domínio e observe o apocalipse se desenrolar.

  • Mestre de infraestrutura: Honestamente, provavelmente 50% dos domínios do mundo nem sequer têm um Mestre de infraestrutura funcionando, pois não funciona quando está em um GC. De qualquer forma, você não pode quebrá-lo com convulsões.

Os usuários notarão?

Eles não deveriam.

Essa configuração já existe há muito tempo e as pessoas estão funcionando mais ou menos normalmente; está aproveitando a função PDC vai mudar isso?

Não. Com um único controlador de domínio, nenhuma das funções do PDC é perdida, exceto, talvez, que o seu DC não-PDC não consiga sincronizar o tempo com a fonte que deseja (o PDC ausente).

Mais:

  • Você só sentirá falta do Mestre de Esquemas ao tentar atualizar o esquema
  • Você só sentirá falta do mestre de nomeação ao tentar criar um novo domínio na floresta
  • Você só perderá o RID Master quando criar muitos objetos e esgotar o pool RID do seu controlador de domínio (provavelmente esse é o mais provável para você se deparar se continuar executando como está)
  • Você perderá apenas o mestre de infraestrutura para atualizações do grupo de catálogos globais em uma floresta de vários domínios

Alguns desses documentos preveem terríveis conseqüências em ter todas as funções em um CD. Com uma base de clientes de no máximo 20 - e talvez menos de 10 na maioria dos dias -, ter todas as funções em um CD é um problema real?

Não - mas consiga um segundo CD. Você não quer que seu único CD falhe.

Existem algumas advertências para executar o processo de limpeza recomendado pela Microsoft para remover o controlador de domínio antigo do Active Directory?

Sim - tenha cuidado. Mas afie suas ntdsutilfacas e remova os dados antigos - o lixo extra não ajuda a manutenção do domínio.

Shane Madden
fonte
7
+1 - Depois de executar a limpeza de metadados, conforme descrito pela Microsoft, eu tive que entrar no DNS e excluir manualmente muitos registros A e SRV antigos apontando para o controlador de domínio ausente, portanto, você pode precisar fazer isso também.
Mark Henderson
6

Sua configuração atual (sem mestres de operações em funcionamento) é uma configuração perigosa e sem suporte que precisa ser corrigida o mais rápido possível. Se o servidor ausente estiver morto e oculto, a tomada das funções FSMO é uma etapa necessária para retomar a operação normal.

Respostas para sua pergunta específica:

  1. Sim, os títulos de função com nomes semelhantes mencionados todos significam a mesma coisa.
  2. É provável que coisas ruins aconteçam se você assumir uma função e, posteriormente, tentar ressuscitar o servidor ausente que a possuía. Certifique-se de que ele esteja morto e enterrado antes de assumir funções.
  3. É improvável que os usuários percebam novos problemas como resultado da apreensão das funções da FSMO.
  4. A falha em assumir o cargo causará problemas a longo prazo. A tomada do papel imediatamente após a falha de seu ex-titular não causará problemas.
  5. De fato, é comum que pequenas empresas com 10 a 20 usuários tenham um único servidor com todas as funções FSMO e Exchange e Sharepoint. Isso não cria problemas intratáveis ​​de desempenho se o servidor tiver sido especificado corretamente, mas é garantido que o site sofra tempo de inatividade se o servidor único falhar. É melhor ter pelo menos dois controladores de domínio por domínio, mesmo que um deles seja um servidor Atom D525 abaixo de US $ 500 em um chassi de 1U.
  6. Não particularmente, mas qualquer manutenção do servidor acarreta pelo menos algum risco. Como sempre, verifique se você possui backups completos e testados e um plano de recuperação antes de continuar.
  7. Isso não deve ser um problema, desde que você ocupe primeiro as funções do FSMO e depois atualize o nível funcional do domínio.
  8. Não há um bom motivo para usar um DNS que não seja da Microsoft para resolução de domínio em um ambiente do Active Directory. Você precisa preparar e implementar um plano para migrar seus serviços DNS internos para seus controladores de domínio.

Você indicou que possui um "utilitário de verificação de vírus" em execução em um servidor Windows 2000. Certamente você sabe que o Windows 2000 é um "utilitário de coleta de vírus" com muitas vulnerabilidades conhecidas e nenhuma atualização de segurança disponível. Retire este servidor imediatamente.

Falcão do céu
fonte
Adoro a observação "Utilitário de coleta de vírus"
gWaldo 30/12/11
6

Sim, ocupe esses papéis. Você é uma flutuação de energia / interrupção do sistema / erupção solar longe de desastres.

É improvável, mas os usuários podem perceber se as alterações na conta armazenadas em cache em suas máquinas locais não correspondem ao AD.

Você nunca deve ter apenas um CD. Dois no mínimo e um em cada escritório remoto. Se você deseja usar VMs, (IMHO) elas servem apenas para complementar as caixas físicas. E isso é apenas depois de você ler sobre o uso de VMs como controladores de domínio.

Eu prefiro que todos os CDs sejam GCs. Essa é minha preferência pessoal, mas significa que uma cópia completa do conteúdo do AD é armazenada em cada controlador de domínio com essa função. Se você tem dois CDs, mas apenas um é um GC, e esse morre, acho que você fica tão ferrado como se tivesse apenas um CD.

O seu emulador de PDC obterá todo o tráfego de sistemas legados ("sistemas" que significam máquinas, aplicativos e serviços, como o SQL Server 2000); coloque no hardware.

Não é necessariamente ruim que um controlador de domínio tenha todas as funções, se você tiver outros controladores de domínio e sua replicação estiver íntegra.

A menos que haja um motivo realmente bom, você definitivamente deve usar o DNS da Microsoft para a resolução interna de nomes.

Corrija seu ambiente e atualize. Você não pinta um barco afundando. Enquanto você está nisso, considere fortemente chegar a 2008. 2003 está no suporte à vida.

Consulte também: O que precisa ser feito após uma falha no controlador de domínio? e Como criar outro CD com todas as funções quando o primeiro CD não estiver mais disponível

gWaldo
fonte