web-dev-qa-db-ja.com

デッドWindowsドメインコントローラーからのFSMOロールの強制

これを行うことについて他の質問やドキュメントを見ましたが、それでも私を混乱させるいくつかのことがあります。これが私が見たドキュメントと質問です:

この環境には、2つのWindowsサーバーと多数のクライアントが含まれています。ドメインコントローラーは、Windows 2000 SPで、Windows 2000ネイティブADで実行されます。他のサーバー(DCではない))はWindows 2000 SP4(ウイルスチェックユーティリティをホストしている)です。

から得られる結果 netdom query fsmo

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

dcdiagの結果:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The Host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

ここに私の質問があります(初心者の質問が多すぎる場合はご容赦ください):

  • netdom query fsmo他に記載されているのと同じものはありますか?たとえば、ドメインロールの所有者ドメインネーミングマスターと同じですか? RIDプールマネージャー[〜#〜] rid [〜#〜]役割?
  • これらの役割の1つを取得した場合に発生する可能性のある悪いことは何ですか?
  • ユーザーは気づきますか?
  • このセットアップは長い間行われており、人々は多かれ少なかれ正常に機能しています。 PDCの役割を獲得すると、これが変更されますか?
  • これらのドキュメントのいくつかは、1つのDCですべての役割を持つことの悲惨な結果を予測しています。 20を超えないクライアントベース(おそらく、ほとんどの場合10日未満)では、1つのDC=ですべての役割を果たしているのは本当の問題ですか?
  • 古いDCをActive Directoryから削除するためにMicrosoftが推奨するクリーンアッププロセスを実行する際の注意点はありますか?

また、ほぼ正接の質問です。ドメインをWindows 2003 ADにアップグレードした場合(現在または将来)、これによりFSMOの役割の強制が変更されますか?

PS:DNSの問題は、MicrosoftのダイナミックDNSをサポートしていないMicrosoft以外のDNSを使用しようとしたことに関係していると思います。 Windows DNSが実行されていると思いますが、適切に機能するように監査してまだ設定していません。

windows-server-2003active-directorydomain-controller
13
Mei

Netdomクエリfsmoからリストされたロールは、他の場所でリストされているのと同じですか?たとえば、ドメインの役割の所有者はドメイン名前付けマスターと同じですか? RIDプールマネージャーはRIDロールと同じですか?

はい、正確に。特定のディスプレイで名前が少し異なる理由がわかりません。

これらの役割の1つを取得した場合に発生する可能性のある悪いことは何ですか?

発作自体?あまりありません。警告される可能性のある問題のほとんどは、古いDCがその役割を奪取された後、再びオンにすることです。それでも、それほど多くのリスクがないため、そこには多くのヒステリーがあります。 ;役割を移すのではなく、差し押さえで何かを壊すには、かなり奇妙なシナリオが必要です。少しの間、接線に進むために、役割と潜在的なリスクについて見ていきましょう。

  • スキーママスター:これは誰もがかなりうんざりさせますが、それを壊すことは恐ろしいシナリオではありません。ドキュメントでは、私が警告者と呼んでいる役割を獲得した後は、決して古いスキーママスターをオンに戻してはならない、と言っています。古いサーバーには役割の変更が通知され、それが通知されるとすぐに、役割は放棄されます。ここでの潜在的なリスクは、新しいスキーママスターに変更が加えられた場合、古いスキーママスターがオンラインになり、次に他のDCから複製する前に、異なる、競合するスキーマ変更が古いサーバー。この状況は発生する可能性は低いですが、ドメインが破壊されます。

  • ネーミングマスター:スキーママスターと同じように、古いDCを変更(この場合はフォレストに新しいドメインを作成)する必要があります。その役割を獲得した後、それが差し押さえの知識を得る前にです。

  • PDCエミュレーター:リスクはありません。発散のリスクがある場所では責任がありません。

  • RIDマスター:これを壊すには、めちゃくちゃなレプリケーション構造が必要です。DCが2つあるとします。その役割を知らない古いRIDマスターが差し押さえられ、新しいRIDマスター。この状況では、両方でRIDプールを使い尽くすのに十分なオブジェクトを作成し(500秒で配布されます)、それらに重複するプールを両方に割り当てる必要があります。同一のRIDでオブジェクトを作成し、ドメインコントローラーを再接続して、黙示録が展開するのを観察します。

  • インフラストラクチャマスター:正直なところ、世界のドメインのおそらく50%には、GCを使用しているときは機能しないため、インフラストラクチャマスターがまったく機能していません。いずれにせよ、発作でそれを破ることはできません。

ユーザーは気づきますか?

彼らはすべきではない。

このセットアップは長い間行われており、人々は多かれ少なかれ正常に機能しています。 PDCの役割を獲得すると、これが変更されますか?

いいえ。DCが1つだけの場合、PDC=の機能はどれも見落とされません。ただし、非PDC DC必要なソース(欠落しているPDC)。

モレソ:

  • スキーマを更新しようとすると、スキーママスターが表示されなくなります
  • フォレスト内に新しいドメインを作成しようとすると、ネーミングマスターが欠落するだけです。
  • 作成するオブジェクトが多すぎてDCのRIDプールを使い果たした場合にのみ、RIDマスターを見落とすことになります(これは、そのまま実行し続けている場合に実行される可能性が最も高いでしょう)
  • マルチドメインフォレスト内のグローバルカタロググループの更新については、インフラストラクチャマスターのみを見逃します

これらのドキュメントのいくつかは、1つのDCですべての役割を持つことの悲惨な結果を予測しています。 20を超えないクライアントベース(おそらく、ほとんどの場合10日未満)では、1つのDC=ですべての役割を果たしているのは本当の問題ですか?

いいえ-2番目のDCを取得します。あなただけDC失敗する必要はありません。

古いDCをActive Directoryから削除するためにMicrosoftが推奨するクリーンアッププロセスを実行する際の注意点はありますか?

うん-注意してください。しかし、ntdsutilナイフを研ぎ、古いデータを引き裂きます-そこに余分なジャンクがあると、ドメインの保守性が向上しません。

14
Shane Madden

はい、それらの役割をつかみます。あなたは電力変動/システムハング/災害からの太陽フレアです。

可能性は低いですが、ローカルマシンにキャッシュされたアカウントの変更がADと一致しない場合、ユーザーは気付くことがあります。

DCを1つだけにすることはできません。最低2つ、各リモートオフィスに1つ。 VM(IMHO)を使用したい場合は、物理的なボックスを補足するだけです。そして、それは、DCとしてVMを使用することについて読んだ後でなければなりません。

すべてのDCがGCであることを好みます。これは私の個人的な好みですが、ADのコンテンツの完全なコピーが各DCにこの役割で保存されます。DCが2つあるが、1つだけがGCであり、1つが死んだら、DCが1つしかないのと同じくらいねじ込まれます。

PDCエミュレータは、レガシーシステム( "システム"はSQL Server 2000などのマシン、アプリケーション、およびサービスを意味します)からすべてのトラフィックを取得し、ハードウェアに配置します。

他のDCがあり、レプリケーションが正常な場合、1つのDCがすべての役割を持つことは必ずしも悪いことではありません。

本当に正当な理由がない限り、内部の名前解決には必ずMicrosoft DNSを使用する必要があります。

環境を修正してからアップグレードします。あなたは沈没船​​をペイントしません。あなたがそれをしている間、2008年に到達することを強く検討してください。2003年は生命維持にあります。

関連項目: ドメインコントローラーがクラッシュした後に行う必要があること および 別のDCを最初に起動したときにすべての役割で起動する方法DCは使用できなくなりました

6
gWaldo

現在のセットアップ(機能する操作マスターなし)は危険でサポートされていない構成であり、できるだけ早く修正する必要があります。行方不明のサーバーが死んで埋葬されている場合、FSMOの役割を強制することは、通常の操作を再開するために必要なステップです。

特定の質問への回答:

  1. はい、あなたが言及する同じような名前の役割のタイトルはすべて同じことを意味します。
  2. 役割を強制した後で、以前は役割を持っていた欠落していたサーバーを復活させようとすると、悪いことが起こりやすくなります。役割を獲得する前に、死んで埋葬されていることを確認してください。
  3. ユーザーは、FSMOの役割を強制した結果として、新しい問題に気付くことはほとんどありません。
  4. 役割を獲得できないと、長期的に問題が発生します。以前の所有者の失敗後すぐに役割を獲得することは問題を引き起こしません。
  5. 実際、ユーザー数が10〜20の小規模ビジネスでは、すべてのFSMOの役割を持つ単一のサーバーを使用するのが一般的ですand Exchange and Sharepoint。サーバーが正しく指定されていても、これによってパフォーマンスに問題が生じることはありませんが、唯一のサーバーに障害が発生した場合、サイトはダウンタイムを被ることが保証されています。ドメインの1つがサブ$ 500 Atom 1UシャーシのD525サーバー)であっても、ドメインごとに少なくとも2つのドメインコントローラーを用意することをお勧めします。
  6. 特にありませんが、anyサーバーのメンテナンスには、少なくともある程度のリスクがあります。いつものように、続行する前に、完全でテスト済みのバックアップと回復計画があることを確認してください。
  7. 最初にFSMOの役割を強制し、次にドメインの機能レベルをアップグレードする限り、これは問題にはなりません。
  8. Active Directory環境内のドメイン解決にMicrosoft以外のDNSを使用する必要はありませんgood理由はありません。内部DNSサービスをドメインコントローラーに移行する計画を準備して実装する必要があります。

Windows 2000サーバーで「ウイルスチェックユーティリティ」を実行しているとのことですが、 Windows 2000自体が「ウイルス収集ユーティリティ」であり、多くの既知の脆弱性があり、利用可能なセキュリティアップデートがないことはご存じでしょう。このサーバーをすぐに廃止します。

6
Skyhawk