web-dev-qa-db-fra.com

Saisir les rôles FSMO du contrôleur de domaine de Windows Dead

J'ai vu d'autres questions et documents sur le faire, mais il y a des choses qui me confondent encore. Voici les documents et questions que j'ai vus:

L'environnement contient deux serveurs Windows et de nombreux clients. Le contrôleur de domaine est Windows 2003 SP2 en cours d'exécution avec une annonce native de Windows 2000. L'autre serveur (non A DC du tout) est Windows 2000 SP4 (il héberge un utilitaire de vérification des virus).

Résultats de netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

Résultats de dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The Host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

Voici mes questions (Pardonnez-moi si elles sont trop de questions débutantes):

  • Sont les rôles énumérés de netdom query fsmo Les mêmes que ceux que j'ai vus énumérés ailleurs? Par exemple, c'est propriétaire de rôle de domaine identique à Domaine Naming Master ? Est RID Pool Manager identique à la [~ # ~ # ~] RID [~ # ~] rôle?
  • Quelles sont les mauvaises choses qui pourraient arriver si je saisis l'un de ces rôles?
  • Les utilisateurs vont-ils remarquer?
  • Cette mise en place est passée depuis longtemps et les gens fonctionnent plus ou moins normalement; saisir le PDC jouer va-t-il changer cela?
  • Certains de ces documents prédisent des conséquences désastreuses à avoir tous les rôles sur un DC. Avec une clientèle de client de plus de 20 - et peut-être moins de 10 jours la plupart des jours - est de tous les rôles sur un DC un vrai problème?
  • Existe-t-il des mises en garde à effectuer le processus de nettoyage recommandé par Microsoft pour supprimer l'ancien DC de Active Directory?

Aussi - une question presque tangentielle - si j'étais mise à niveau dans le domaine vers une annonce de Windows 2003 (maintenant ou à l'avenir), cela change-t-il quelque chose dans la saisie des rôles de la FSMO?

PS: Je soupçonne que les problèmes DNS ont à faire avec essayer d'utiliser un DNS non Microsoft qui ne prenant pas en charge le DNS dynamique de Microsoft; Je pense qu'il y a une fenêtre DNS Windows en cours d'exécution, mais je ne l'audis pas au bon fonctionnement et à la mise en place.

windows-server-2003active-directorydomain-controller
13
Mei

Les rôles sont-ils énumérés de NetDom Query FSMO les mêmes que ceux que j'ai vus énumérés ailleurs? Par exemple, le propriétaire de domaine de domaine est-il identique à celui de Domain Naming Master? Est-ce que RID Pool Manager est la même chose que le rôle du RFD?

Oui, exactement. Je ne sais pas pourquoi ils ont les noms légèrement différents dans cet affichage particulier.

Quelles sont les mauvaises choses qui pourraient arriver si je saisis l'un de ces rôles?

La saisie elle-même? Pas beaucoup. La plupart des problèmes potentiels qui sont avertis sont quant à la transformation de l'ancien DC reculer après avoir eu son rôle saisi - et même à ce moment-là, il y a beaucoup d'hystérie pour pas beaucoup de risque ; il faut des scénarios assez étranges pour briser n'importe quoi avec une saisie au lieu d'un transfert d'un rôle. Pour aller sur une tangente pendant un moment, passons au-dessus des rôles et des risques potentiels:

  • Schema Master: Celui-ci obtient tout le monde jolie twitchy, mais la casserole n'est pas un scénario terriblement probable. La documentation indique que vous ne devriez jamais jamais tourner l'ancien maître de schéma après avoir saisi le rôle, que j'appelle alarmiste. L'ancien serveur sera informé du changement de rôle, et dès qu'il sera, cela abandonnera le rôle. Le risque potentiel ici est si des modifications sont apportées au nouveau Schema Master, puis l'ancien maître de schéma est amené en ligne, puis avant de se reproduire des autres DCS, des changements de schéma différents, conflictuels, sont effectués sur le Old Server. Cette situation est peu probable, mais détruirait votre domaine.

  • Noming Master: Même affaire que possible avec le maître Schema, vous devez apporter des modifications (dans ce cas, créer un nouveau domaine dans la forêt) sur l'ancien DC, après avoir saisi son rôle, mais avant qu'il ne connaisse la saisie de la saisie.

  • Emulateur PDC: Aucun risque, ce n'est pas responsable de quoi que vous risquiez votre divergence.

  • Débarras Maître: Vous auriez besoin d'une structure de réplication désespérée pour casser celui-ci - imaginez que vous avez 2 DCS; Un ancien maître débutant qui ne sait pas que son rôle a été saisi et un nouveau Maître débarrassé. Dans cette situation, vous auriez besoin de créer suffisamment d'objets pour épuiser la piscine ridée sur les deux (elles sont distribuées dans 500 ans) et les avoir à cesser de se chevaucher des piscines. Créez des objets avec des débris identiques, reconnectez les contrôleurs de domaine et regardez l'apocalypse se dérouler.

  • Infrastructure Master: Honnêtement, 50% des domaines dans le monde n'ont même pas de maître d'infrastructure de travail, car cela ne fonctionne pas quand c'est sur un GC. En tout cas, vous ne pouvez pas le casser avec la saisie.

Les utilisateurs vont-ils remarquer?

Ils ne devraient pas.

Cette mise en place est passée depuis longtemps et les gens fonctionnent plus ou moins normalement; saisir le PDC jouer va-t-il changer cela?

N ° avec un seul CC, aucune des fonctions du PDC===== est manquée du tout, à l'exception peut-être votre non-PDC DC étant incapable de synchroniser l'heure avec la source qu'elle veut (le PDC manquant).

D'autant plus:

  • Le maître Schema vous ne manquerez que lorsque vous essayez de mettre à jour le schéma.
  • Vous ne manquerez que le maître de nommage que lorsque vous essayez de créer un nouveau domaine dans la forêt.
  • Vous ne manquerez que le Master débarrassé que lorsque vous créez trop d'objets et vous échapperez à votre pool RID de votre DC (ceci est probablement le plus probable que vous puissiez rencontrer si vous continuez à courir)
  • Vous ne manquerez que le maître d'infrastructure pour les mises à jour du groupe de catalogues globales dans une forêt multi-domaine.

Certains de ces documents prédisent des conséquences désastreuses à avoir tous les rôles sur un DC. Avec une clientèle de client de plus de 20 - et peut-être moins de 10 jours la plupart des jours - est de tous les rôles sur un DC un vrai problème?

Non - mais obtenez une deuxième dc. Vous ne voulez pas avoir votre seul DC = échouer.

Existe-t-il des mises en garde à effectuer le processus de nettoyage recommandé par Microsoft pour supprimer l'ancien DC de Active Directory?

Oui, soyez prudent. Mais aiguisez vos couteaux ntdsutil Couteaux et déchirez les anciennes données de sortie - une indemnité supplémentaire dans la maintenance n'aide pas à la maintenabilité du domaine.

14
Shane Madden

Oui, saisir ces rôles. Vous êtes une fluctuation de la fluctuation/système de fluctuation/solaire de la catastrophe.

Il est improbable, mais les utilisateurs peuvent remarquer si les changements de compte mis en cache sur leurs machines locales ne correspondent pas à la publicité.

Vous ne devriez jamais avoir un seul CC. Deux minimum, et un à chaque bureau distant. Si vous souhaitez utiliser VMS (IMHO), ils ne sont que pour compléter les cases physiques. Et ce n'est qu'après avoir lu l'utilisation de VMS en tant que DCS.

Je préfère que tous les DC soient GCS. Ceci est ma préférence personnelle, mais cela signifie qu'une copie complète des contenus de l'AD est stockée sur chacun DC avec ce rôle. Si vous avez deux DCS, mais un seul est un GC, et celui-là meurt, je pense que vous deviendrez à peu près aussi vissé que si vous n'aviez qu'un seul DC.

Votre émulateur PDC va obtenir tout le trafic de systèmes hérités ("systèmes" signifie machines, applications et services, tels que SQL Server 2000); mettez-le sur le matériel.

Ce n'est pas nécessairement mauvais que l'un DC ait tous les rôles, si vous avez d'autres DCS et votre réplication est saine.

À moins qu'il y ait un vraiment bonne raison, vous devez absolument utiliser Microsoft DNS pour la résolution de nom interne.

Fixez votre environnement, puis mettez à niveau. Vous ne peignez pas un bateau de naufrage. Pendant que vous y êtes, envisagez fortement de vous rendre à 2008. 2003 est sur le soutien de la vie.

Voir aussi: Quels doivent être effectués après un accident de contrôleur de domaine? et Comment apporter un autre DC up avec tous les rôles lorsqueDC n'est plus disponible

6
gWaldo