죽은 Windows 도메인 컨트롤러에서 FSMO 역할 확보

이 작업에 대한 다른 질문과 문서를 보았지만 여전히 혼란 스럽습니다. 내가 본 문서와 질문은 다음과 같습니다.

• 죽은 Windows 2003 도메인 컨트롤러 폐기
• Petri에서 FSMO 역할 포착
• NTDSUtil.exe를 사용하여 FSMO 역할을 도메인 컨트롤러로 전송 또는 압류 -Microsoft Knowledgebase
• Active Directory 도메인 관리자의 FSMO 배치 및 최적화 -Microsoft 기술 자료
• 실패한 도메인 컨트롤러 수준 내리기 후 Active Directory에서 데이터를 제거하는 방법

환경에는 두 개의 Windows 서버와 수많은 클라이언트가 있습니다. 도메인 컨트롤러는 Windows 2000 Native AD로 실행되는 Windows 2003 SP2입니다. 다른 서버 (DC가 아님)는 Windows 2000 SP4 (바이러스 검사 유틸리티를 호스팅하고 있음)입니다.

결과 netdom query fsmo:

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

결과 dcdiag:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

여기 내 질문이 있습니다 (초보 질문이 너무 많으면 용서하십시오).

• netdom query fsmo내가 본 것과 동일한 역할로 나열된 역할 이 다른 곳에 나열되어 있습니까? 예를 들어 도메인 역할 소유자 가 도메인 명명 마스터 와 동일 합니까? 가 RID 풀 관리자 는 AS 같은 RID 역할?
• 이러한 역할 중 하나를 탈취하면 발생할 수있는 나쁜 일은 무엇입니까?
• 사용자가 알 수 있습니까?
• 이 설정은 오랫동안 진행되어 왔으며 사람들은 다소 정상적으로 작동하고 있습니다. PDC 역할을 점유하면이를 변경할 것입니까?
• 이 문서 중 일부는 하나의 DC에서 모든 역할을 수행하는 데 따른 심각한 결과를 예측합니다. 20 개 이하, 아마도 10 일 이하의 클라이언트 기반으로 한 DC에서 모든 역할을 수행하는 것이 실제 문제입니까?
• Microsoft가 Active Directory에서 이전 DC를 제거하도록 권장하는 정리 프로세스를 수행 할 때주의해야 할 사항이 있습니까?

또한, 거의 실질적인 질문입니다. 도메인을 Windows 2003 AD (현재 또는 향후)로 업그레이드 한 경우 FSMO 역할을 압류 할 때이 점이 변경됩니까?

추신 : 나는 DNS 문제가 Microsoft의 동적 DNS를 지원하지 않는 Microsoft 이외의 DNS를 사용하려는 것과 관련이 있다고 생각합니다. Windows DNS가 실행되고 있다고 생각하지만 제대로 작동하고 설정되었는지 아직 감사하지 않았습니다.

netdom query fsmo에서 나열된 역할이 다른 곳에 나열된 것과 동일한 것입니까? 예를 들어 도메인 역할 소유자가 도메인 명명 마스터와 동일합니까? RID 풀 관리자가 RID 역할과 동일합니까?

예, 정확히 왜 특정 디스플레이에서 이름이 약간 다른지 잘 모르겠습니다.

이러한 역할 중 하나를 탈취하면 발생할 수있는 나쁜 일은 무엇입니까?

발작 자체? 하지 많은. 경고되는 잠재적 인 문제의 대부분은 오래된 DC가 역할을 잡은 후에 다시 켜는 것에 관한 것입니다. 그럼에도 불구하고 많은 위험이 없기 때문에 많은 히스테리가 있습니다. 역할을 양도하는 대신 발작으로 무언가를 깨 뜨리려면 꽤 이상한 시나리오가 필요합니다. 잠시 접하기 위해 역할과 잠재적 위험을 살펴 보겠습니다.

• Schema Master :이 방법은 모두에게 매우 어리석은 일이지만, 그것을 깨는 것은 끔찍한 시나리오는 아닙니다. 문서에 따르면 나는 당신이 역할을 잡은 후에는 이전 스키마 마스터를 다시 켜지 말아야한다고 말합니다. 기존 서버는 역할 변경에 대한 정보를 받게되며, 즉시 역할을 포기하게됩니다. 여기에서 잠재적 인 위험은 새 스키마 마스터가 변경되면 이전 스키마 마스터가 온라인 상태가 된 다음 다른 DC에서 복제하기 전에 기존 서버에서 서로 상충되는 스키마 변경이 수행된다는 것입니다. 이 상황은 거의 없지만 도메인을 파괴합니다.

• 이름 지정 마스터 : 스키마 마스터와 같은 방식으로 역할을 점유 한 후 압류에 대한 지식을 얻기 전에 이전 DC에서 변경 (이 경우 포리스트에서 새 도메인을 작성)해야합니다.

• PDC 에뮬레이터 : 위험이 없으며, 발산 위험이있는 부분에 대해서는 책임을지지 않습니다.

• RID Master :이 구조를 깨 뜨리려면 엉망인 복제 구조가 필요합니다. DC 2 개가 있다고 상상해보십시오. 역할을 알지 못하는 오래된 RID 마스터와 새로운 RID 마스터. 이 상황에서 RID 풀을 모두 소진 할 수있는 충분한 오브젝트를 작성해야하고 (500 대에서 유인) 두 오브젝트가 겹치는 풀을 지정하도록해야합니다. 동일한 RID를 사용하여 개체를 만들고 도메인 컨트롤러를 다시 연결 한 다음 묵시가 전개되는 것을보십시오.

• 인프라 마스터 : 솔직히 말하면 전 세계 도메인의 50 %가 GC에있을 때는 작동하지 않기 때문에 작동중인 인프라 마스터를 전혀 가지고 있지 않을 수도 있습니다. 어쨌든 발작으로 깰 수는 없습니다.

사용자가 알 수 있습니까?

그들은해서는 안됩니다.

이 설정은 오랫동안 진행되어 왔으며 사람들은 다소 정상적으로 작동하고 있습니다. PDC 역할을 점유하면이를 변경할 것입니까?

아닙니다. 단일 DC를 사용하면 PDC 이외의 DC가 원하는 소스 (시간이없는 PDC)와 시간을 동기화 할 수없는 경우를 제외하고 PDC의 기능을 전혀 놓치지 않습니다.

모레 :

• 스키마를 업데이트하려고 할 때만 스키마 마스터를 놓치게됩니다
• 포리스트에서 새 도메인을 만들려고 할 때 이름 지정 마스터 만 놓칠 수 있습니다
• 너무 많은 객체를 생성하고 DC의 RID 풀을 소진 할 때만 RID 마스터를 놓치게됩니다.
• 다중 도메인 포리스트에서 글로벌 카탈로그 그룹 업데이트를위한 Infrastructure Master 만 놓칠 수 있습니다.

이 문서 중 일부는 하나의 DC에서 모든 역할을 수행하는 데 따른 심각한 결과를 예측합니다. 20 개 이하, 아마도 10 일 이하의 클라이언트 기반으로 한 DC에서 모든 역할을 수행하는 것이 실제 문제입니까?

아니요-두 번째 DC를 받으십시오. 유일한 DC 고장을 원하지 않습니다.

Microsoft가 Active Directory에서 이전 DC를 제거하도록 권장하는 정리 프로세스를 수행 할 때주의해야 할 사항이 있습니까?

네 조심하세요 그러나 ntdsutil칼을 갈고 낡은 데이터를 찢어 버리십시오. 여분의 정크는 도메인의 유지 관리에 도움이되지 않습니다.

작동 마스터가없는 현재 설정은 위험하고 지원되지 않는 구성이므로 가능한 한 빨리 해결해야합니다. 누락 된 서버가 작동하지 않고 묻힌 경우 FSMO 역할을 확보하는 것이 정상적인 작업을 다시 시작하는 데 필요한 단계입니다.

특정 질문에 대한 답변 :

1. 예, 언급 한 비슷한 이름의 역할 제목은 모두 같은 의미입니다.
2. 역할을 점유 한 다음 그 역할을했던 누락 된 서버를 부활 시키려고하면 나쁜 일이 발생할 수 있습니다. 역할을 점유하기 전에 죽었는지 묻 었는지 확인하십시오.
3. 사용자는 FSMO 역할을 점유 한 결과 새로운 문제를 발견하지 못할 것입니다.
4. 역할을 포착하지 못하면 장기적으로 문제가 발생합니다. 이전 보유자가 실패한 후 즉시 역할을 확보해도 문제가 발생하지 않습니다.
5. 실제로 10-20 명의 사용자를 보유한 소규모 기업에서는 모든 FSMO 역할 과 Exchange 및 Sharepoint 가있는 단일 서버를 사용하는 것이 일반적입니다 . 서버가 올바르게 지정된 경우 성능에 문제가 발생하지 않지만 단독 서버에 장애가 발생하면 사이트가 다운 타임을 당할 수 있습니다. 도메인 당 하나 이상의 도메인 컨트롤러가 1U 섀시에있는 500 달러 미만의 Atom D525 서버 인 경우에도 도메인 당 두 개 이상의 도메인 컨트롤러를 사용하는 것이 가장 좋습니다.
6. 하지 특히, 그러나 어떤 서버 유지 보수는 적어도 몇 가지 위험을 운반합니다. 항상 그렇듯이 계속 진행하기 전에 전체 백업 및 테스트 된 백업과 복구 계획이 있는지 확인하십시오.
7. FSMO 역할을 먼저 잡고 도메인 기능 수준을 업그레이드하는 한 문제가되지 않습니다.
8. 더 없다 좋은의 Active Directory 환경에서 도메인 확인을 위해 타사 DNS를 사용하는 이유는. 내부 DNS 서비스를 도메인 컨트롤러로 마이그레이션하기위한 계획을 준비하고 구현해야합니다.

Windows 2000 서버에서 "바이러스 검사 유틸리티"가 실행 중임을 나타냅니다. 확실히 Windows 2000 자체는 알려진 많은 취약점이 있으며 사용 가능한 보안 업데이트가없는 "바이러스 수집 유틸리티"라는 것을 알고 있습니다. 이 서버를 즉시 폐기하십시오.

예, 그 역할을 수행하십시오. 재난으로부터 전력 변동 / 시스템 정지 / 태양 플레어가 떨어져 있습니다.

가능하지는 않지만 로컬 컴퓨터에서 캐시 된 계정 변경 사항이 AD와 일치하지 않는 경우 사용자가 알 수 있습니다.

DC는 하나만 있으면 안됩니다. 각 원격 사무실마다 최소 2 개씩. VM (IMHO)을 사용하려는 경우 물리적 상자 만 보완해야합니다. 그리고 이것은 VM을 DC로 사용하는 것을 읽은 후에 만 ​​가능합니다.

모든 DC가 GC 인 것을 선호합니다. 이것은 제가 개인적으로 선호하는 것이지만, AD의 모든 내용이이 역할을 가진 각 DC에 저장됩니다. 두 개의 DC가 있지만 하나만 GC이고 그 중 하나만 죽으면 마치 하나의 DC 만있는 것처럼 거의 나사가된다고 생각합니다.

PDC 에뮬레이터는 레거시 시스템 (SQL Server 2000과 같은 시스템, 응용 프로그램 및 서비스를 의미하는 "시스템")에서 모든 트래픽을 가져옵니다. 하드웨어에 넣습니다.

다른 DC가 있고 복제가 정상이라면 하나의 DC가 모든 역할을 갖는 것이 반드시 나쁘지는 않습니다.

이 아니라면 정말 좋은 이유는, 당신은 확실히 내부 이름 확인을 위해 마이크로 소프트 DNS를 사용해야합니다.

환경을 수정 한 다음 업그레이드하십시오. 당신은 침몰 보트를 페인트하지 않습니다. 당신이 그것에있는 동안, 2008 년에 도착하는 것을 강력하게 고려하십시오. 2003 년은 생명 유지에 있습니다.

도메인 컨트롤러 충돌 후 수행해야 할 작업 도 참조하십시오 . 그리고 첫번째 DC를 더 이상 사용할 때 모든 역할과 다른 DC를 가져 오지 방법