我看过其他关于这样做的问题和文档,但有些事情仍然让我感到困惑。以下是我看过的文档和问题:
- 淘汰已失效的 Windows 2003 域控制器
- 夺取 FSMO 角色来自 Petri
- 使用 NTDSUtil.exe 将 FSMO 角色转移或夺取到域控制器- 微软知识库
- Active Directory 域控制器上的 FSMO 放置和优化- 微软知识库
- 域控制器降级失败后如何删除 Active Directory 中的数据
该环境包含两台 Windows 服务器和众多客户端。域控制器是运行 Windows 2000 Native AD 的 Windows 2003 SP2。另一台服务器(根本不是 DC)是 Windows 2000 SP4(它托管病毒检查实用程序)。
由于。。。导致的结果netdom query fsmo:
Schema owner missing.office.local
Domain role owner myself.office.local
PDC role missing.office.local
RID pool manager missing.office.local
Infrastructure owner missing.office.local
The command completed successfully.
由于。。。导致的结果dcdiag:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site\MYSELF
Starting test: Connectivity
The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
resolved, the server name (MYSELF.office.local) resolved to the IP
address (192.168.9.101) and was pingable. Check that the IP address
is registered correctly with the DNS server.
......................... MYSELF failed test Connectivity
Doing primary tests
Testing server: Default-First-Site\MYSELF
Skipping all tests, because server MYSELF is
not responding to directory service requests
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : office
Starting test: CrossRefValidation
......................... office passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... office passed test CheckSDRefDom
Running enterprise tests on : office.local
Starting test: Intersite
......................... office.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... office.local failed test FsmoCheck
以下是我的问题(如果其中有太多是初学者的问题,请原谅):
- 列出的职位是否与
netdom query fsmo我在其他地方看到的职位相同?例如,域角色所有者和...一样域名命名大师? 是RID 池管理器RID Pool Manager和消除角色? - 如果我担任其中一个角色,可能会发生哪些不好的事情?
- 用户会注意到吗?
- 这种制度已经实行了很长时间,人们也或多或少地正常运作;夺取 PDC 的角色会改变这种状况吗?
- 其中一些文档预测将所有角色放在一个 DC 上会产生严重后果。如果客户群不超过 20 个(大多数情况下可能不到 10 个),将所有角色放在一个 DC 上真的会是个问题吗?
- 执行 Microsoft 建议的清理过程以从 Active Directory 中删除旧 DC 时,有哪些注意事项?
另外 - 一个几乎无关紧要的问题 - 如果我将域升级到 Windows 2003 AD(现在或将来)这会对 FSMO 角色的夺取产生任何变化吗?
附言:我怀疑 DNS 问题与尝试使用不支持 Microsoft 动态 DNS 的非 Microsoft DNS 有关;我认为正在运行 Windows DNS,但尚未审核其是否正常运行并进行设置。
答案1
netdom query fsmo 中列出的角色是否与我在其他地方看到的角色相同?例如,域角色所有者是否与域命名主机相同?RID 池管理器是否与 RID 角色相同?
是的,确实如此。不知道为什么他们在那个特定的展示中的名字略有不同。
如果我担任其中一个角色,可能会发生哪些不好的事情?
扣押本身?影响不大。大多数被警告的潜在问题都是关于在旧的 DC 被扣押后重新开启它 - 即使这样,人们仍然会因为没有太多风险而歇斯底里;只有一些非常奇怪的情况才会破坏任何东西,扣押而不是转移角色。暂时离题一下,让我们来看看角色和潜在风险:
模式主控:这个让每个人都很紧张,但打破它并不是一个非常可能发生的情况。文档说,在夺取角色后,你永远不应该重新打开旧的模式主控,我认为这是危言耸听。旧服务器将被告知角色变更,一旦发生,它将放弃该角色。这里的潜在风险是,如果对新的模式主控进行了更改,那么旧的模式主控将上线,然后在从其他 DC 复制之前,旧服务器上进行了不同的、有冲突的架构更改。这种情况不太可能发生,但会破坏您的域。
命名主机:与架构主机相同,您需要在夺取其角色之后但在了解夺取情况之前,对旧 DC 进行更改(在本例中,在林中创建一个新域)。
PDC 模拟器:没有风险,对于任何可能造成分歧的风险,它概不负责。
RID 主机:您需要一个混乱的复制结构才能打破这一点 - 想象一下您有 2 个 DC;一个不知道其角色已被占用的旧 RID 主机和一个新的 RID 主机。在这种情况下,您需要创建足够的对象来耗尽两者的 RID 池(它们以 500 个为单位分发),并让它们都为自己分配重叠池。创建具有相同 RID 的对象,重新连接域控制器,然后观察大灾难的展开。
基础设施主控:说实话,世界上可能有 50% 的域名根本没有可用的基础设施主控,因为它在 GC 上时无法工作。无论如何,您都无法通过扣押来破坏它。
用户会注意到吗?
他们不应该。
这种制度已经实行了很长时间,人们也或多或少地正常运作;夺取 PDC 的角色会改变这种状况吗?
不。使用单个 DC,根本不会错过 PDC 的任何功能,除非您的非 PDC DC 无法与其想要的源(丢失的 PDC)同步时间。
更甚的是:
- 只有在尝试更新架构时,您才会错过架构大师
- 只有在您尝试在林中创建新域时,才会错过命名主机
- 只有当您创建太多对象并耗尽 DC 的 RID 池时,您才会错过 RID Master(如果您继续按原样运行,这可能是您最有可能遇到的情况)
- 您只会错过多域林中全局目录组更新的基础设施主机
其中一些文档预测将所有角色放在一个 DC 上会产生严重后果。如果客户群不超过 20 个(大多数情况下可能不到 10 个),将所有角色放在一个 DC 上真的会是个问题吗?
不,但要获得第二个 DC。您不希望唯一的 DC 出现故障。
执行 Microsoft 建议的清理过程以从 Active Directory 中删除旧 DC 时,有哪些注意事项?
是的 - 要小心。但要磨刀ntdsutil霍霍,删除旧数据 - 多余的垃圾对域的可维护性没有帮助。
答案2
您当前的设置(没有正常运行的操作主机)是一种危险且不受支持的配置,需要尽快进行补救。如果丢失的服务器已死机并被埋没,则夺取 FSMO 角色是恢复正常运行的必要步骤。
针对您的具体问题的答案:
- 是的,您提到的这些名称相似的角色头衔都意味着同一个意思。
- 如果您夺取了一个角色,然后试图复活曾经拥有该角色的消失的服务器,那么可能会发生不好的事情。在夺取角色之前,请确保该服务器已经消失并被埋葬。
- 用户不太可能注意到夺取 FSMO 角色所带来的任何新问题。
- 未能夺取这一角色将造成长期问题。在前任担任者失败后及时夺取这一角色则不会造成问题。
- 事实上,拥有 10-20 个用户的小型企业通常拥有一台具有所有 FSMO 角色的服务器和交换和Sharepoint。如果服务器指定正确,这不会造成难以解决的性能问题,但如果唯一的服务器发生故障,则站点肯定会停机。每个域最好至少有两个域控制器,即使其中一个是 1U 机箱中售价低于 500 美元的 Atom D525 服务器。
- 不是特别,但是任何服务器维护至少存在一定风险。与往常一样,在继续操作之前,请确保您拥有完整且经过测试的备份和恢复计划。
- 只要您首先夺取 FSMO 角色,然后升级域功能级别,这应该不是问题。
- 没有好的在 Active Directory 环境中使用非 Microsoft DNS 进行域解析的原因。您需要准备并实施一项计划,将内部 DNS 服务迁移到域控制器。
您指出,Windows 2000 服务器上运行着“病毒检查实用程序”。您肯定知道 Windows 2000 本身就是一个“病毒收集实用程序”,存在许多已知漏洞,且没有可用的安全更新。立即停用此服务器。
答案3
是的,抓住这些角色。你离灾难只有一步之遥:电力波动/系统挂起/太阳耀斑。
这不太可能,但用户可能会注意到其本地计算机上缓存的帐户更改与 AD 不匹配。
您永远不应该只有一个 DC。至少两个,每个远程办公室各一个。如果您想使用虚拟机,(恕我直言)它们只是对物理机箱的补充。而且只有在您阅读了有关使用虚拟机作为 DC 的内容后,才会这样做。
我更希望所有 DC 都是 GC。这是我的个人偏好,但这意味着 AD 内容的完整副本存储在具有此角色的每个 DC 上。如果您有两个 DC,但只有一个是 GC,并且这个 DC 死了,我认为您就会变得和只有一个 DC 一样糟糕。
您的 PDC 模拟器将获取来自旧系统(“系统”指机器、应用程序和服务,例如 SQL Server 2000)的所有流量;将其放在硬件上。
如果您有其他 DC 并且您的复制正常,那么一个 DC 拥有所有角色并不一定是坏事。
除非有一个真的有充分的理由,您绝对应该使用 Microsoft DNS 进行内部名称解析。
修复环境,然后升级。你不会为正在下沉的船涂漆。当你这样做时,强烈考虑进入 2008 年。2003 年正在维持生命。