Захват ролей FSMO от Контроллера домена глухих окон
Ваша задача должна работать в интерактивном режиме. Можно работать at.exe /interactive или расписание с schtasks.exe, как описано здесь.
Роли, перечисленные в netdom query fsmo, совпадают с теми, которые я видел в других местах? Например, является ли владелец роли домена тем же, что и хозяин именования доменов? Диспетчер пула RID совпадает с ролью RID?
Да, именно так. Не уверен, почему их имена немного отличаются в этом конкретном изображении.
Какие плохие вещи могут произойти, если я возьму на себя одну из этих ролей?
Сам захват? Не много. Большинство потенциальных проблем, о которых предупреждают, связаны с повторным включением старого DC после того, как его роль была захвачена - и даже тогда существует много истерии из-за небольшого риска; нужны довольно странные сценарии, чтобы сломать что-либо с захватом вместо передачи роли. Чтобы перейти на мгновение по касательной, давайте рассмотрим роли и потенциальные риски:
Мастер схемы: Это заставляет всех нервничать, но взломать его - маловероятный сценарий. В документации говорится, что вы никогда не должны снова включать старый Schema Master после захвата роли, что я называю паникером. Старый сервер будет проинформирован об изменении роли, и как только это произойдет, он откажется от роли. Потенциальный риск здесь заключается в том, что в новый хозяин схемы вносятся изменения, затем старый хозяин схемы переводится в оперативный режим, а затем до того, как он реплицируется с других контроллеров домена , различные, конфликтующие изменения схемы вносятся в старый сервер. Эта ситуация маловероятна, но приведет к разрушению вашего домена.
Мастер именования: То же, что и с мастером схемы, вам нужно будет внести изменения (в этом случае создать новый домен в лесу) на старом контроллере домена, после захвата своей роли, но до того, как он узнает об изъятии.
Эмулятор PDC: Никакого риска, он не несет ответственности ни за что, если вы рискуете расхождением.
Мастер RID: Вам понадобится испорченная структура репликации, чтобы сломать это один - представьте, что у вас есть 2 ДЦ; был занят старый мастер RID, который не знает своей роли, и новый мастер RID. В этой ситуации вам нужно будет создать достаточно объектов, чтобы исчерпать пул RID на обоих (их раздают по 500), и попросить их обоих назначить себе перекрывающиеся пулы. Создавайте объекты с идентичными RID, повторно подключайте контроллеры доменов и наблюдайте, как разворачивается апокалипсис.
Мастер инфраструктуры: Честно говоря, вероятно, у 50% доменов в мире вообще нет работающего мастера инфраструктуры, поскольку у него нет работать, когда он находится на GC. В любом слючае, вы не можете сломать его захватом.
Заметят ли пользователи?
Не должны.
Такая установка существует уже давно, и люди работают более или менее нормально; собирается ли захват роли PDC изменить это?
Нет. С одним контроллером домена никакая из функций PDC не упускается, за исключением того, что, возможно, ваш контроллер домена, не являющийся PDC, не может синхронизировать время с источником, который он хочет (отсутствующий PDC).
Moreso:
- Мастер схемы будет пропущен только при попытке обновить схему
- Мастер именования будет пропущен только при попытке создать новый домен в лесу
- Мастер RID будет пропущен только тогда, когда вы создать слишком много объектов и исчерпать пул RID вашего контроллера домена (вероятно, вы столкнетесь с этим, если продолжите работать как есть)
- You ' Я пропущу только Infrastructure Master для обновлений группы глобального каталога в многодоменном лесу
. Некоторые из этих документов предсказывают ужасные последствия для всех ролей на одном DC. С клиентской базой не более 20 - а в большинстве случаев, возможно, менее 10 - является ли наличие всех ролей на одном DC реальной проблемой?
Нет, но получите второй DC. Вы же не хотите, чтобы ваш единственный контроллер домена вышел из строя.
Есть ли какие-либо предостережения при выполнении процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?
Да, будьте осторожны. Но заточите свои ножи ntdsutil и вырвите старые данные - лишний мусор там не помогает поддерживать домен.
Нет, но получите второй DC. Вы же не хотите, чтобы ваш единственный контроллер домена вышел из строя.
Есть ли какие-либо предостережения при выполнении процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?
Да, будьте осторожны. Но заточите свои ножи ntdsutil и вырвите старые данные - лишний мусор там не помогает поддерживать домен.
Нет, но получите второй DC. Вы же не хотите, чтобы ваш единственный контроллер домена вышел из строя.
Есть ли какие-либо предостережения при выполнении процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?
Да, будьте осторожны. Но заточите свои ножи ntdsutil и вырвите старые данные - лишний мусор там не помогает поддерживать домен.
Есть ли какие-либо предостережения при выполнении процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?
Да, будьте осторожны. Но заточите свои ножи ntdsutil и вырвите старые данные - лишний мусор там не помогает поддерживать домен.
Есть ли какие-либо предостережения при выполнении процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?
Да, будьте осторожны. Но заточите свои ножи ntdsutil и вырвите старые данные - лишний мусор там не помогает поддерживать домен.
Да, займись этими ролями. Вы - колебание мощности / зависание системы / солнечная вспышка вдали от катастрофы.
Это маловероятно, но пользователи могут заметить, если изменения учетной записи, кэшированные на их локальных машинах, не соответствуют AD.
Вы никогда не должны иметь только один DC. Минимум два, и по одному в каждом удаленном офисе. Если вы хотите использовать виртуальные машины (IMHO), они предназначены только для дополнения физических ящиков. И это только после того, как вы прочтете об использовании виртуальных машин в качестве контроллеров домена.
Я предпочитаю, чтобы все контроллеры домена были GC. Это мое личное предпочтение, но это означает, что полная копия содержимого AD хранится на каждом DC с этой ролью. Если у вас два контроллера домена, но только один из них является сборщиком мусора, а этот умирает, я думаю, вы так же облажались, как если бы у вас был только один контроллер домена.
Ваш эмулятор основного контроллера домена будет получать весь трафик от устаревших систем ( "системы" имеется в виду машины, приложения и службы, такие как SQL Server 2000); поставьте его на оборудование.
Не обязательно плохо, что на одном контроллере домена есть все роли, ЕСЛИ у вас есть другие контроллеры домена и ваша репликация исправна.
Если нет действительно веской причины, вам обязательно следует используйте Microsoft DNS для внутреннего разрешения имен.
Исправьте вашу среду, а затем обновите. Вы не рисуете тонущую лодку. В то время как вы это делаете, серьезно подумайте о том, чтобы перейти к 2008 году. 2003 находится в режиме жизнеобеспечения.
См. Также: Что нужно сделать после сбоя контроллера домена? и Как получить еще один DC задействует все роли, когда первый DC больше не доступен
Текущая настройка (без работающих мастеров операций) является опасной и неподдерживаемая конфигурация, которую необходимо исправить как можно скорее. Если пропавший сервер мертв и похоронен, захват ролей FSMO является необходимым шагом на пути к возобновлению нормальной работы.
Ответы на ваш конкретный вопрос:
- Да, названия ролей с одинаковыми названиями, которые вы упоминаете, означают одно и то же. .
- Плохие вещи могут произойти, если вы захватите роль, а затем попытаетесь воскресить пропавший сервер, на котором она раньше была. Перед захватом ролей убедитесь, что он мертв и похоронен.
- Пользователи вряд ли заметят какие-либо новые проблемы в результате захвата ролей FSMO.
- Неспособность захватить роль вызовет проблемы в долгосрочной перспективе. Принятие роли сразу же после отказа ее бывшего владельца не вызовет проблем.
- На самом деле, для малых предприятий с 10-20 пользователями обычным явлением является один сервер со всеми ролями FSMO и Exchange и Sharepoint. Это не создает трудноразрешимых проблем с производительностью, если сервер был указан правильно, но сайт гарантированно потерпит простой в случае отказа единственного сервера. Лучше всего иметь как минимум два контроллера домена на домен, даже если один из них представляет собой сервер Atom D525 стоимостью менее 500 долларов в шасси 1U.
- Не особенно, но любое обслуживание сервера включает в себя как минимум некоторый риск. Как всегда, прежде чем продолжить, убедитесь, что у вас есть полные и протестированные резервные копии и план восстановления.
- Это не должно быть проблемой, если вы сначала захватите роли FSMO, затем обновите функциональный уровень домена.
- Нет веских причин для использования стороннего DNS-сервера для разрешения домена в среде Active Directory. Вам необходимо подготовить и реализовать план миграции ваших внутренних служб DNS на контроллеры домена.
Вы указали, что у вас есть «утилита проверки на вирусы», работающая на сервере Windows 2000. Конечно, вы знаете, что Windows 2000 сама по себе является «утилитой для сбора вирусов» со многими известными уязвимостями и отсутствием доступных обновлений безопасности. Немедленно удалите этот сервер.
Вам необходимо подготовить и реализовать план миграции ваших внутренних служб DNS на контроллеры домена.Вы указали, что у вас есть «утилита проверки на вирусы», работающая на сервере Windows 2000. Конечно, вы знаете, что Windows 2000 сама по себе является «утилитой для сбора вирусов» со многими известными уязвимостями и отсутствием доступных обновлений безопасности. Немедленно удалите этот сервер.
Вам необходимо подготовить и реализовать план миграции ваших внутренних служб DNS на контроллеры домена.Вы указали, что у вас есть «утилита проверки на вирусы», работающая на сервере Windows 2000. Конечно, вы знаете, что Windows 2000 сама по себе является «утилитой для сбора вирусов» со многими известными уязвимостями и отсутствием доступных обновлений безопасности. Немедленно удалите этот сервер.