¿Qué debe hacerse después de un bloqueo del controlador de dominio?

20

Suponiendo que al menos dos controladores de dominio estuvieran presentes en el dominio para comenzar, ¿qué pasos se deben tomar para que Active Directory funcione correctamente después de un bloqueo del controlador de dominio?

Nic
fuente
¿Cómo se define "Crashed"? ¿Fue solo BSOD, o está totalmente muerto?
Mark Henderson
Totalmente muerto En mi caso, fallaron tanto la fuente de alimentación como la placa base.
Nic
También encontré que este artículo es muy útil. funkytechguy.blogspot.co.za/2016/06/…

Respuestas:

32

Paso 0: tener al menos dos controladores de dominio .
Si solo tiene un controlador de dominio y falla de tal manera que no puede recuperarlo, entonces su dominio ya no existe; Su única opción es crear un dominio completamente nuevo. Este es un proceso doloroso que implica volver a crear usuarios, volver a unir los equipos y servidores de los clientes e incluso recrear cada configuración de seguridad que haya utilizado.


Si el servidor es absolutamente irrecuperable, como debido a una falla de hardware que no se puede reparar fácilmente, entonces aquí se explica cómo purgarlo completamente del dominio. Una vez que se han tomado las funciones de FSMO, es fundamental que el servidor antiguo nunca vuelva a estar en línea. Considere seriamente limpiar los discos duros para asegurarse de que esto nunca suceda.

  1. Determine qué servidores tenían los roles FSMO (Operaciones de maestro único flexible) para el dominio y el bosque. Microsoft tiene un excelente artículo sobre cómo encontrar roles FSMO .

  2. Todos los roles FSMO que tenía el servidor bloqueado deberían ser confiscados en un controlador de dominio en buen estado. Otro artículo de Microsoft para este.

  3. El rol FSMO "Infraestructura" es especial, y en realidad se especifica para cada partición de aplicación. Si el servidor bloqueado contenía DNS, deberá verificar que el registro en cada partición de aplicación (DomainDnsZones, ForestDnsZones) se haya actualizado. Mejor explicación aquí y solución oficial aquí .

  4. Realice una limpieza de metadatos para eliminar los restos de Active Directory. Eliminar metadatos de servidor extintos .

  5. Inspeccione "Usuarios y equipos de Active Directory" y "Sitios y servicios de Active Directory" para asegurarse de que se hayan eliminado todas las entradas del servidor extinto.

  6. Inspeccione el DNS para encontrar las entradas estáticas relacionadas con el servidor extinto y elimínelas, reasignelas o coloque un nuevo servidor en la misma dirección.

  7. Si el servidor bloqueado era un servidor DHCP autorizado, verifique si todavía figura como un servidor autorizado. En caso afirmativo, es posible que deba usar ADSI Edit para eliminarlo de la lista de raíces DHCP.

(Editar 2010-03-14: Se agregó el comentario de Graeme sobre el paso 0)

Nic
fuente
Tenía que descubrir todo esto de la manera difícil, así que espero que esto pueda ayudar a alguien que termine en mi posición.
Nic
Suena como un fin de semana horrible, pero gracias por compartir la gran lista de verificación.
Gomibushi
Lamentablemente, estoy demasiado familiarizado con estos pasos ...
55
+1, esta es una gran respuesta. Has cubierto casi todo. Agregaría un "Paso 0" para aquellos que no han tenido que lidiar con esto ... "Siempre tenga al menos 2 CD". Da miedo cuántos entornos hay con solo uno.
ThatGraemeGuy
1
+1 por la respuesta, y también un voto positivo al comentario de Graeme, incluso si es algo que debe darse por sentado, también debe resaltarse.
Maximus Minimus