Tomando roles FSMO del controlador de dominio de Windows muerto

13

He visto otras preguntas y documentos sobre hacer esto, pero hay algunas cosas que todavía me confunden. Aquí están los documentos y las preguntas que he visto:

El entorno contiene dos servidores de Windows y numerosos clientes. El controlador de dominio es Windows 2003 SP2 que se ejecuta con un Windows 2000 Native AD. El otro servidor (no un DC en absoluto) es Windows 2000 SP4 (aloja una utilidad de comprobación de virus).

Resultados de netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Resultados de dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Aquí están mis preguntas (disculpe si son demasiadas preguntas para principiantes):

  • ¿Están los roles enumerados de netdom query fsmolos mismos que he visto en otra parte? Por ejemplo, ¿el propietario de la función de dominio es lo mismo que Domain Naming Master ? ¿ RID Pool Manager es lo mismo que el rol RID ?
  • ¿Cuáles son las cosas malas que podrían pasar si tomo uno de estos roles?
  • ¿Los usuarios lo notarán?
  • Esta configuración ha estado funcionando durante mucho tiempo y las personas han estado funcionando más o menos normalmente; ¿tomar el rol de PDC va a cambiar esto?
  • Algunos de estos documentos predicen consecuencias nefastas al tener todos los roles en un DC. Con una base de clientes de no más de 20, y tal vez menos de 10 la mayoría de los días, ¿tener todos los roles en un DC es un problema real?
  • ¿Hay alguna advertencia para realizar el proceso de limpieza recomendado por Microsoft para eliminar el viejo DC de Active Directory?

Además, una pregunta casi tangencial, si me actualizaran el dominio a un Windows 2003 AD (ahora o en el futuro), ¿esto cambia algo en la toma de roles FSMO?

PD: Sospecho que los problemas de DNS tienen que ver con intentar usar un DNS que no sea de Microsoft que no sea compatible con el DNS dinámico de Microsoft; Creo que hay un DNS de Windows ejecutándose, pero aún no lo he auditado para que funcione correctamente y esté configurado.

windows-server-2003 active-directory domain-controller Mei
fuente
2
¿Dónde está tu respaldo? ¿Cuál es su plan de recuperación ante desastres?
mailq
Bah. Heredé esta configuración, solo estoy tratando de limpiar.
Mei
66
Heredado el sistema. Ajá. ¿Fue asesinado el administrador del sistema antes del desastre? ¿O por el desastre?
mailq
1
Las copias de seguridad de @david deben ocupar un lugar destacado en su lista. Tiene un castillo de naipes allí y necesita un plan para volver a funcionar si se cae.
voretaq7
1
@David Ningún software antivirus de Windows actual y efectivo se ejecutará en un servidor Windows 2000. En el año 2012, el único uso legítimo para Windows 2000 en un entorno de producción es como un honeypot .
Skyhawk

Respuestas:

14

¿Los roles enumerados en netdom query fsmo son los mismos que he visto en otra parte? Por ejemplo, ¿el propietario de la función de dominio es lo mismo que Domain Naming Master? ¿RID Pool Manager es lo mismo que el rol RID?

Sí exactamente. No estoy seguro de por qué tienen los nombres ligeramente diferentes en esa pantalla en particular.

¿Cuáles son las cosas malas que podrían pasar si tomo uno de estos roles?

La incautación en sí? No mucho. La mayoría de los posibles problemas sobre los que se advierte se trata de volver a encender el viejo DC después de que se haya asumido su rol, e incluso entonces, hay mucha histeria por ahí sin demasiado riesgo; Se necesitan algunos escenarios bastante extraños para romper cualquier cosa con una captura en lugar de una transferencia de un rol. Para ir a una tangente por un momento, repasemos los roles y los riesgos potenciales:

  • Maestro de esquemas: esto pone a todos bastante nerviosos, pero romperlo no es un escenario terriblemente probable. La documentación dice que nunca debe volver a encender el viejo Schema Master después de asumir el rol, al que llamo alarmista. El antiguo servidor será informado del cambio de rol, y tan pronto como lo sea, renunciará al rol. El riesgo potencial aquí es si se realizan cambios en el nuevo maestro de esquema, luego el viejo maestro de esquema se pone en línea y luego, antes de replicarse desde los otros DC , se realizan cambios de esquema diferentes y conflictivos en el servidor anterior. Esta situación es poco probable, pero destruiría su dominio.

  • Naming Master: el mismo trato que con el maestro de Schema, necesitaría hacer cambios (en este caso, crear un nuevo dominio en el bosque) en el viejo DC, después de asumir su rol pero antes de que tenga conocimiento de la incautación.

  • PDC Emulator: Sin riesgo, no es responsable de nada en lo que corras el riesgo de divergencia.

  • Maestro RID: Necesitarías una estructura de replicación desordenada para romper esto; imagina que tienes 2 CD; se ha confiscado un viejo maestro RID que no conoce su rol, y un nuevo maestro RID. En esta situación, necesitaría crear suficientes objetos para agotar el grupo RID en ambos (se entregan en 500) y hacer que ambos se asignen grupos superpuestos. Cree objetos con RID idénticos, vuelva a conectar los controladores de dominio y observe cómo se desarrolla el apocalipsis.

  • Maestro de Infraestructura: Honestamente, probablemente el 50% de los dominios en el mundo ni siquiera tienen un Maestro de Infraestructura en funcionamiento, ya que no funciona cuando está en un GC. En cualquier caso, no puedes romperlo con una convulsión.

¿Los usuarios lo notarán?

No deberian.

Esta configuración ha estado funcionando durante mucho tiempo y las personas han estado funcionando más o menos normalmente; ¿tomar el rol de PDC va a cambiar esto?

No. Con un solo DC, ninguna de las funciones del PDC se pierde en absoluto, excepto tal vez que su DC no PDC no puede sincronizar el tiempo con la fuente que desea (el PDC faltante).

Mas de:

  • Solo echará de menos el Schema Master cuando intente actualizar el esquema
  • Solo te perderás el Naming Master cuando intentes crear un nuevo dominio en el bosque
  • Solo extrañará el RID Master cuando cree demasiados objetos y agote el grupo RID de su DC (es probable que sea el más probable que se encuentre si sigue corriendo como está)
  • Solo se perderá el maestro de infraestructura para las actualizaciones del grupo de catálogo global en un bosque multidominio

Algunos de estos documentos predicen consecuencias nefastas al tener todos los roles en un DC. Con una base de clientes de no más de 20, y tal vez menos de 10 la mayoría de los días, ¿tener todos los roles en un DC es un problema real?

No, pero obtén un segundo DC. No desea que su único DC falle.

¿Hay alguna advertencia para realizar el proceso de limpieza recomendado por Microsoft para eliminar el viejo DC de Active Directory?

Sí, ten cuidado. Pero afile sus ntdsutilcuchillos y elimine los datos antiguos: la basura adicional allí no está ayudando a la mantenibilidad del dominio.

Shane Madden
fuente
77
+1: después de ejecutar la limpieza de metadatos según lo descrito por Microsoft, tuve que ingresar al DNS y eliminar manualmente una gran cantidad de registros A y SRV antiguos que apuntaban al DC que faltaba, por lo que es posible que también deba hacerlo.
Mark Henderson
6

Su configuración actual (sin maestros de operaciones en funcionamiento) es una configuración peligrosa y no compatible que debe remediarse lo antes posible. Si el servidor que falta está muerto y enterrado, tomar las funciones de FSMO es un paso necesario para reanudar el funcionamiento normal.

Respuestas a su pregunta específica:

  1. Sí, los títulos de roles con nombres similares que mencionas significan lo mismo.
  2. Es probable que sucedan cosas malas si toma un rol y luego intenta resucitar el servidor que faltaba que solía tenerlo. Asegúrese de que esté muerto y enterrado antes de tomar roles.
  3. Es poco probable que los usuarios noten nuevos problemas como resultado de tomar las funciones de FSMO.
  4. El incumplimiento del rol causará problemas a largo plazo. Asumir el rol inmediatamente después del fracaso de su antiguo titular no causará problemas.
  5. De hecho, es común que las pequeñas empresas con 10-20 usuarios tengan un único servidor con todas las funciones FSMO e Exchange y Sharepoint. Esto no crea problemas de rendimiento intratables si el servidor se ha especificado correctamente, pero se garantiza que el sitio sufrirá un tiempo de inactividad si falla el servidor único. Es mejor tener al menos dos controladores de dominio por dominio, incluso si uno de ellos es un servidor Atom D525 de menos de $ 500 en un chasis de 1U.
  6. No particularmente, pero cualquier mantenimiento del servidor conlleva al menos algún riesgo. Como siempre, asegúrese de tener copias de seguridad completas y probadas y un plan de recuperación antes de continuar.
  7. Esto no debería ser un problema, siempre y cuando tome las funciones FSMO primero y luego actualice el nivel funcional del dominio.
  8. No hay una buena razón para usar un DNS que no sea de Microsoft para la resolución de dominio dentro de un entorno de Active Directory. Debe preparar e implementar un plan para migrar sus servicios DNS internos a sus controladores de dominio.

Ha indicado que tiene una "utilidad de comprobación de virus" que se ejecuta en un servidor Windows 2000. Seguramente sabe que Windows 2000 es una "utilidad de recolección de virus" con muchas vulnerabilidades conocidas y sin actualizaciones de seguridad disponibles. Retirar este servidor de inmediato.

Skyhawk
fuente
Me encanta el comentario sobre la "utilidad de recolección de virus"
gWaldo
6

Sí, toma esos roles. Usted es una fluctuación de energía / caída del sistema / llamarada solar lejos del desastre.

Es poco probable, pero los usuarios pueden notar si los cambios de cuenta almacenados en caché en sus máquinas locales no coinciden con AD.

Nunca deberías tener solo un DC. Dos mínimo y uno en cada oficina remota. Si desea usar máquinas virtuales, (en mi humilde opinión) son solo para complementar las cajas físicas. Y eso es solo después de haber leído sobre el uso de máquinas virtuales como DC.

Prefiero que todos los DC sean GC. Esta es mi preferencia personal, pero significa que una copia completa del contenido de AD se almacena en cada DC con este rol. Si tienes dos DC, pero solo uno es un GC, y ese muere, creo que te vuelves tan jodido como si solo tuvieras un DC.

Su PDC Emulator obtendrá todo el tráfico de los sistemas heredados ("sistemas", es decir, máquinas, aplicaciones y servicios, como SQL Server 2000); ponlo en el hardware.

No es necesariamente malo que un DC tenga todos los roles, SI tiene otros DC y su replicación es saludable.

A menos que haya una muy buena razón, debería utilizar Microsoft DNS para resolución de nombres internos.

Arregle su entorno, luego actualice. No pintas un barco que se hunde. Mientras lo hace, considere la posibilidad de llegar a 2008. 2003 está en soporte vital.

Ver también: ¿Qué debe hacerse después de un bloqueo del controlador de dominio? y Cómo activar otro DC con todos los roles cuando el primer DC ya no está disponible

gWaldo
fuente