Я видел другие вопросы и документы по этому поводу, но есть некоторые вещи, которые меня все еще смущают. Вот документы и вопросы, которые я видел:
Среда содержит два сервера Windows и множество клиентов. Контроллер домена - это Windows 2003 SP2, работающий с собственным AD Windows 2000. Другой сервер (совсем не DC) - это Windows 2000 SP4 (на нем размещена утилита проверки на вирусы).
Результаты из netdom query fsmo
:
Schema owner missing.office.local
Domain role owner myself.office.local
PDC role missing.office.local
RID pool manager missing.office.local
Infrastructure owner missing.office.local
The command completed successfully.
Результаты из dcdiag
:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site\MYSELF
Starting test: Connectivity
The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
resolved, the server name (MYSELF.office.local) resolved to the IP
address (192.168.9.101) and was pingable. Check that the IP address
is registered correctly with the DNS server.
......................... MYSELF failed test Connectivity
Doing primary tests
Testing server: Default-First-Site\MYSELF
Skipping all tests, because server MYSELF is
not responding to directory service requests
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : office
Starting test: CrossRefValidation
......................... office passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... office passed test CheckSDRefDom
Running enterprise tests on : office.local
Starting test: Intersite
......................... office.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... office.local failed test FsmoCheck
Вот мои вопросы (извините, если их слишком много для начинающих):
netdom query fsmo
те же, что я видел в других местах? Например, это Владелец роли домена такой же как Мастер именования доменов? Является Менеджер пула RID так же, как RID роль?Также - почти косвенный вопрос - если бы я обновил домен до Windows 2003 AD (сейчас или в будущем), изменит ли это что-нибудь в захвате ролей FSMO?
PS: Я подозреваю, что проблемы с DNS связаны с попыткой использовать DNS, отличный от Microsoft, который не поддерживает динамический DNS от Microsoft; Я думаю, что Windows DNS работает, но я еще не проверил его на предмет правильного функционирования и настройки.
Роли, перечисленные в netdom query fsmo, совпадают с теми, которые я видел в других местах? Например, является ли владелец роли домена тем же, что и хозяин именования доменов? Диспетчер пула RID совпадает с ролью RID?
Да, точно. Не уверен, почему у них немного разные имена на этом конкретном дисплее.
Что плохого может случиться, если я займусь одной из этих ролей?
Сам припадок? Не много. Большинство потенциальных проблем, о которых предупреждают, связаны с повторным включением старого DC после того, как его роль была захвачена - и даже тогда существует много истерии из-за небольшого риска; нужны довольно странные сценарии, чтобы сломать что-либо с захватом вместо передачи роли. Чтобы ненадолго остановиться, давайте рассмотрим роли и возможные риски:
Schema Master: Это заставляет всех сильно нервничать, но его нарушение - не очень вероятный сценарий. В документации говорится, что вы никогда не должны снова включать старый Schema Master после захвата роли, что я называю паникером. Старый сервер будет проинформирован об изменении роли, и как только это произойдет, он откажется от роли. Потенциальный риск здесь заключается в том, что в новый мастер схемы вносятся изменения, затем старый мастер схемы переводится в оперативный режим, а затем перед репликацией с других контроллеров домена, разные, конфликтующие, изменения схемы выполняются на старом сервере. Такая ситуация маловероятна, но разрушит ваш домен.
Мастер именования: то же самое, что и с мастером схемы, вам нужно будет внести изменения (в данном случае создать новый домен в лесу) на старом контроллере домена после захвата его роли, но до того, как он узнает о захвате.
Эмулятор PDC: Никакого риска, он не несет ответственности ни за что, если есть риск расхождения.
RID Master: вам понадобится испорченная структура репликации, чтобы сломать эту - представьте, что у вас есть 2 DC; был занят старый мастер RID, который не знает своей роли, и новый мастер RID. В этой ситуации вам нужно будет создать достаточно объектов, чтобы исчерпать пул RID на обоих (их раздают по 500), и попросить их обоих назначить себе перекрывающиеся пулы. Создавайте объекты с идентичными RID, повторно подключайте контроллеры домена и наблюдайте, как разворачивается апокалипсис.
Мастер инфраструктуры: честно говоря, вероятно, в 50% доменов в мире вообще нет работающего мастера инфраструктуры, поскольку он не работает, когда находится на GC. В любом случае судороги его не сломать.
Заметят ли пользователи?
Они не должны.
Такая установка существует уже давно, и люди функционируют более или менее нормально; собирается ли захват роли PDC изменить это?
Нет. При использовании одного контроллера домена ни одна из функций основного контроллера домена не теряется, за исключением того, что, возможно, ваш контроллер домена, не являющийся контроллером домена, не может синхронизировать время с источником, который он хочет (отсутствующий основной контроллер домена).
Тем более:
Некоторые из этих документов предсказывают ужасные последствия для всех ролей на одном DC. С клиентской базой не более 20 - а в большинстве случаев, возможно, менее 10 - является ли реальной проблемой наличие всех ролей на одном DC?
Нет, но получите второй DC. Вы же не хотите, чтобы ваш единственный DC вышел из строя.
Есть ли какие-либо предостережения при выполнении процесса очистки, рекомендованного Microsoft для удаления старого контроллера домена из Active Directory?
Ага - будь осторожен. Но заточите свой ntdsutil
ножами и вырвите старые данные - лишний хлам не помогает поддерживать домен.
Да, захватите эти роли. Вы - колебание мощности / зависание системы / солнечная вспышка вдали от катастрофы.
Это маловероятно, но пользователи могут заметить, если изменения учетной записи, кэшированные на их локальных машинах, не соответствуют AD.
У вас никогда не должно быть только одного DC. Минимум два, и по одному в каждом удаленном офисе. Если вы хотите использовать виртуальные машины (IMHO), они предназначены только для дополнения физических ящиков. И это только после того, как вы прочтете об использовании виртуальных машин в качестве контроллеров домена.
Я предпочитаю, чтобы все DC были GC. Это мое личное предпочтение, но это означает, что полная копия содержимого AD хранится на каждом DC с этой ролью. Если у вас есть два контроллера домена, но только один из них является сборщиком мусора, а этот умирает, я думаю, вы будете в таком положении, как если бы у вас был только один контроллер домена.
Ваш эмулятор PDC будет получать весь трафик от устаревших систем («системы», означающие машины, приложения и службы, такие как SQL Server 2000); поставил на железо.
Не обязательно плохо, что на одном контроллере домена есть все роли, ЕСЛИ у вас есть другие контроллеры домена и ваша репликация работает нормально.
Если нет действительно веская причина, вам обязательно следует использовать Microsoft DNS для внутреннего разрешения имен.
Исправьте свою среду, а затем обновите. Вы не рисуете тонущую лодку. Пока вы это делаете, серьезно подумайте о том, чтобы перейти к 2008 году. 2003 год находится на системе жизнеобеспечения.
Смотрите также: Что нужно делать после сбоя контроллера домена? и Как подключить еще один DC со всеми ролями, когда первый DC больше не доступен
Ваша текущая настройка (без работающих мастеров операций) представляет собой опасную и неподдерживаемую конфигурацию, которую необходимо исправить как можно скорее. Если отсутствующий сервер мертв и похоронен, захват ролей FSMO является необходимым шагом на пути к возобновлению нормальной работы.
Ответы на ваш конкретный вопрос:
Вы указали, что у вас есть «утилита проверки на вирусы», работающая на сервере Windows 2000. Наверняка вам известно, что Windows 2000 сама по себе является «утилитой для сбора вирусов» со многими известными уязвимостями и отсутствием доступных обновлений безопасности. Немедленно удалите этот сервер.