那些遇到过的问题

从死的 Windows 域控制器中获取 FSMO 角色

Mei*_*Mei 13 windows-server-2003 active-directory domain-controller

我看过其他关于这样做的问题和文件,但有些事情仍然让我感到困惑。以下是我看到的文件和问题:

该环境包含两台 Windows 服务器和众多客户端。域控制器是运行 Windows 2000 Native AD 的 Windows 2003 SP2。另一台服务器(根本不是 DC)是 Windows 2000 SP4(它托管病毒检查实用程序)。

结果来自netdom query fsmo

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.
Run Code Online (Sandbox Code Playgroud)

结果来自dcdiag

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck
Run Code Online (Sandbox Code Playgroud)

这是我的问题(如果初学者问题太多,请原谅我):

  • 列出的角色是否netdom query fsmo与我在其他地方看到的相同?例如,域角色所有者是否与域命名大师相同?是RID池管理器一样的RID角色?
  • 如果我担任这些角色之一,可能会发生什么坏事?
  • 用户会注意到吗?
  • 这种设置已经进行了很长时间,人们或多或少地正常运作;夺取 PDC 角色会改变这一点吗?
  • 其中一些文件预测了将所有角色都放在一个 DC 上的可怕后果。客户群不超过 20 个——大多数情况下可能不到 10 个——在一个 DC 上拥有所有角色是一个真正的问题吗?
  • 执行 Microsoft 推荐的清理过程以从 Active Directory 中删除旧 DC 时是否有任何注意事项?

另外 - 一个几乎切中要害的问题 - 如果我将域升级到 Windows 2003 AD(现在或将来),这是否会改变获取 FSMO 角色的任何内容?

PS:我怀疑 DNS 问题与尝试使用不支持 Microsoft 动态 DNS 的非 Microsoft DNS 有关;我认为有一个 Windows DNS 正在运行,但尚未对其进行审核以确保其正常运行并进行设置。

Sha*_*den 14

netdom 查询 fsmo 中列出的角色是否与我在其他地方看到的相同?例如,域角色所有者是否与域命名管理员相同?RID 池管理器是否与 RID 角色相同?

对,就是这样。不知道为什么他们在那个特定的显示器上的名字略有不同。

如果我担任这些角色之一,可能会发生什么坏事?

癫痫发作本身?不是很多。被警告的大多数潜在问题都是关于在旧 DC 的角色被占领后重新启动它 - 即使那样,那里也有很多歇斯底里的人,因为风险不大;需要一些非常奇怪的场景才能通过癫痫发作而不是角色转移来打破任何东西。暂时先说一下,让我们回顾一下角色和潜在风险:

  • Schema Master:这个让每个人都非常紧张,但打破它的可能性不大。文档说你永远不应该在抓住这个角色后重新打开旧的 Schema Master,我称之为危言耸听。旧服务器将收到角色更改的通知,一旦发生,它就会放弃角色。这里的潜在风险是,如果对新架构主机进行更改,则旧架构主机联机,然后在从其他 DC 复制之前,在旧服务器上进行不同的、冲突的架构更改。这种情况不太可能发生,但会破坏您的域。

  • 命名主机:与架构主机相同,您需要在旧 DC 上进行更改(在这种情况下,在林中创建一个新域),在获取其角色之后但在它获得捕获知识之前。

  • PDC 模拟器:没有风险,它不对您有分歧风险的任何事情负责。

  • RID Master:你需要一个混乱的复制结构来破坏这个结构——假设你有 2 个 DC;一个不知道其角色的旧 RID 主控已被占用,以及一个新的 RID 主控。在这种情况下,您需要创建足够的对象来耗尽两者上的 RID 池(它们在 500 秒内分发),并让它们都分配给自己重叠的池。创建具有相同 RID 的对象,重新连接域控制器,然后观察末日的展开。

  • Infrastructure Master:老实说,世界上可能有 50% 的域甚至根本没有可用的 Infrastructure Master,因为它在 GC 上不起作用。无论如何,你不能用癫痫发作来打破它。

用户会注意到吗?

他们不应该。

这种设置已经进行了很长时间,人们或多或少地正常运作;夺取 PDC 角色会改变这一点吗?

不会。对于单个 DC,根本不会丢失 PDC 的任何功能,除非您的非 PDC DC 无法与它想要的源(丢失的 PDC)同步时间。

更多:

  • 当您尝试更新架构时,您只会错过 Schema Master
  • 当您尝试在林中创建新域时,您只会错过命名大师
  • 当您创建太多对象并耗尽 DC 的 RID 池时,您只会错过 RID Master(如果您继续按原样运行,这可能是您最有可能遇到的)
  • 您只会错过多域林中全局编录组更新的基础结构主机

其中一些文件预测了将所有角色都放在一个 DC 上的可怕后果。客户群不超过 20 个——大多数情况下可能不到 10 个——在一个 DC 上拥有所有角色是一个真正的问题吗?

不 - 但获得第二个 DC。您不想让唯一的 DC 失败。

执行 Microsoft 推荐的清理过程以从 Active Directory 中删除旧 DC 时是否有任何注意事项?

是的 - 小心。但是磨砺你的ntdsutil刀子并撕掉旧数据 - 那里的额外垃圾无助于域的可维护性。

  • +1 - 按照 Microsoft 的描述运行元数据清理后,我发现自己必须进入 DNS 并手动删除大量指向缺失 DC 的旧 A 和 SRV 记录,因此您可能需要这样做好。 (7认同)

gWa*_*ldo 6

是的,抓住这些角色。你是远离灾难的电源波动/系统挂起/太阳耀斑。

这不太可能,但用户可能会注意到本地计算机上缓存的帐户更改是否与 AD 不匹配。

你永远不应该只有一个 DC。最少两个,每个远程办公室一个。如果你想使用虚拟机,(恕我直言)它们只是作为物理盒子的补充。这只是在您阅读了将 VM 用作 DC 之后。

我更喜欢所有的 DC 都是 GC。这是我个人的偏好,但这意味着在每个具有此角色的 DC 上都存储了 AD 内容的完整副本。如果你有两个 DC,但只有一个是 GC,而那一个死了,我认为你会变得像只有一个 DC 一样糟糕。

您的 PDC 模拟器将从旧系统(“系统”意味着机器、应用程序和服务,例如 SQL Server 2000)获取所有流量;把它放在硬件上。

一个 DC 拥有所有角色并不一定是坏事,如果您有其他 DC 并且您的复制是健康的。

除非有一个真正好的理由,你一定要使用Microsoft DNS进行内部名称解析。

修复您的环境,然后升级。你不会画一艘正在下沉的船。当你在做的时候,强烈考虑到 2008 年。2003 年是生命支持。

另请参阅:域控制器崩溃后需要做什么?以及如何在第一个 DC 不再可用时启动具有所有角色的另一个 DC

Sky*_*awk 6

您当前的设置(没有正常运行的操作主机)是一种危险且不受支持的配置,需要尽快修复。如果丢失的服务器已死亡并被掩埋,则获取 FSMO 角色是恢复正常运行的必要步骤。

回答您的具体问题:

  1. 是的,你提到的同名角色头衔都是同一个意思。
  2. 如果您抓住一个角色,然后尝试恢复曾经拥有该角色的丢失服务器,则可能会发生坏事。在抢占角色之前,请确保它已死亡并被掩埋。
  3. 由于占用 FSMO 角色,用户不太可能注意到任何新问题。
  4. 从长远来看,未能抓住这一角色将导致问题。在其前任持有人失败后立即夺取该角色不会造成问题。
  5. 事实上,对于拥有 10 到 20 个用户的小型企业来说,拥有一台包含所有 FSMO 角色以及ExchangeSharepoint 的服务器是很常见的。如果服务器被正确指定,这不会造成难以处理的性能问题,但如果唯一服务器出现故障,该站点肯定会停机。最好每个域至少有两个域控制器,即使其中一个是 1U 机箱中低于 500 美元的 Atom D525 服务器。
  6. 不是特别的,但任何服务器维护至少都会带来一些风险。与往常一样,在继续之前,请确保您拥有完整且经过测试的备份和恢复计划。
  7. 只要你先抢占FSMO角色,然后升级域功能级别,这应该不是问题。
  8. 没有充分理由在 Active Directory 环境中使用非 Microsoft DNS 进行域解析。您需要准备并实施将内部 DNS 服务迁移到域控制器的计划。

您已指出您在 Windows 2000 服务器上运行了“病毒检查实用程序”。您肯定知道 Windows 2000 本身是一个“病毒收集实用程序”,具有许多已知漏洞并且没有可用的安全更新。立即停用此服务器。

归档时间:

查看次数:

43472 次

最近记录:

13 年,8 月 前
域控制器崩溃后需要做什么? 20
当第一个 DC 不再可用时,如何使用所有角色启动另一个 DC 4
更多相关链接
相关归档
Windows Server 2003 中的 $hf_mig$ 目录是什么? 8
处理活动目录/交换中的名称更改 5
将 DNS 从一个提供商迁移到另一个提供商时缓存更新 5
Active Directory 帐户已锁定,每 60 秒从 Exchange 尝试一次 5
用于 Web 身份验证的 Active Directory:扩展到 100 万用户? 3
使用 AD 对 Linux 进行身份验证的当前最佳实践 (2013) 3
带有 Active Directory 的 SSSD 站点 3
双直流授时 1
限制特定 OU 访问 Active Directory 文件夹 1
创建一个备份域控制器,但不希望它做任何事情 -2
难疑归档
如何在 MySQL 中显示用户的权限? 107
当源文件不存在时,如何让“cp”命令不触发错误? 84
将 linux 进程的内存转储到文件 70
_default_ VirtualHost 在 443 端口重叠,第一个优先 69
在 Bash 中,通配符扩展是否保证有序? 65
如何从客户端测试 LDAP 连接 61
保留 32 位 Microsoft Windows 桌面操作系统的充分理由 58
Route 53 不允许添加 DKIM 密钥,因为长度太长 57
服务启动请求重复太快,拒绝启动限制 55
灰名单仍然是防止垃圾邮件的有效方法吗? 52