我已经看到了有关这样做的其他问题和文件,但有些东西仍然让我感到困惑。 这里是我见过的文件和问题:
该环境包含两个Windows服务器和众多的客户端。 域控制器是与Windows 2000本机AD一起运行的Windows 2003 SP2。 另一台服务器(根本不是DC)是Windows 2000 SP4(它正在托pipe一个病毒检查工具)。
netdom query fsmo
结果netdom query fsmo
:
Schema owner missing.office.local Domain role owner myself.office.local PDC role missing.office.local RID pool manager missing.office.local Infrastructure owner missing.office.local The command completed successfully.
来自dcdiag
结果:
Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site\MYSELF Starting test: Connectivity The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc Although the Guid DNS name (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be resolved, the server name (MYSELF.office.local) resolved to the IP address (192.168.9.101) and was pingable. Check that the IP address is registered correctly with the DNS server. ......................... MYSELF failed test Connectivity Doing primary tests Testing server: Default-First-Site\MYSELF Skipping all tests, because server MYSELF is not responding to directory service requests Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : office Starting test: CrossRefValidation ......................... office passed test CrossRefValidation Starting test: CheckSDRefDom ......................... office passed test CheckSDRefDom Running enterprise tests on : office.local Starting test: Intersite ......................... office.local passed test Intersite Starting test: FsmoCheck Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355 A Primary Domain Controller could not be located. The server holding the PDC role is down. ......................... office.local failed test FsmoCheck
这是我的问题(如果他们太多的初学者问题,请原谅我):
netdom query fsmo
列出的angular色是我见过其他地方列出的相同的? 例如, 域名angular色所有者是否与域名命名主pipe相同? RID池pipe理器是否与RIDangular色相同? 另外 – 一个几乎相当的问题 – 如果我将域名升级到Windows 2003 AD(现在或将来),这是否会改变FSMOangular色的获取?
PS:我怀疑DNS问题与尝试使用不支持Microsoft的dynamicDNS的非Microsoft DNS有关; 我认为有一个Windows DNS运行,但没有审计它的正常运作,并设置尚未。
从netdom查询fsmo列出的angular色是我见过其他地方列出的相同的? 例如,域名angular色所有者是否与域名命名主pipe相同? RID池pipe理器是否与RIDangular色相同?
对,就是这样。 不知道为什么他们在这个特定的显示器上的名字略有不同。
如果我抓住这些angular色之一,会发生什么坏事?
缉获本身? 不是很多。 大部分被警告的潜在问题都是关于旧的DC在被占领之后重新开始 – 即便如此,还是有很多的歇斯底里,因为没有太多的风险。 它需要一些非常奇怪的场景来打破任何东西,而不是转移一个angular色。 切一会儿,让我们来看看angular色和潜在的风险:
模式大师:这个让每个人都很惊悚,但是打破它并不是一个非常可能的情况。 该文件说,你应该永远不要再把旧的架构师重新扣上angular色,我称之为危言耸听。 旧的服务器将被通知angular色改变,并且一旦它将放弃angular色。 这样做的潜在风险是,如果对新的模式主机进行更改,则旧的模式主机将联机,然后在从其他数据中心复制之前 ,在旧的服务器上执行不同的,冲突的模式更改。 这种情况不太可能,但会破坏你的域名。
命名大师:与架构大师相同,您需要在旧DC上进行更改(在这种情况下,在林中创build一个新域),在获取其angular色之前,但在获知该发现之前。
PDC模拟器:没有风险,对任何冒险分歧都不负任何责任。
RID Master:你需要一个混乱的复制结构来打破这个 – 假设你有2个DC; 一个不知道自己angular色的老RID主人已经被抓住了,还有一个新的RID主人。 在这种情况下,您需要创build足够的对象来耗尽RID池(它们在500年内发放),并让它们自己分配重叠的池。 创build具有相同RID的对象,重新连接域控制器,并观察启示录展开。
基础架构师:老实说,世界上大约50%的领域根本就没有一个可以工作的基础架构师,因为它在GC上不工作。 在任何情况下,你都不能用癫痫发作来分解它。
用户会注意到吗?
他们不应该。
这个组织已经有很长时间了,人们正常运转起来, 正在抓住PDC的angular色去改变这个?
不,对于单个DC,根本没有任何PDC的function,除非您的非PDC DC无法与其想要的源(缺失的PDC)同步时间。
Moreso:
这些文件中的一些预测了在一个DC上担任所有angular色的可怕后果。 如果客户群不超过20个,也许不到10个,那么在一个区域中担任所有angular色是一个真正的问题?
没有 – 但得到第二个DC。 你不想让你唯一的DC失败。
是否有任何警告执行由Microsoft推荐的清除过程从Active Directory中删除旧的DC?
是的 – 小心点 但是,削尖你的ntdsutil
刀,撕掉旧的数据 – 在那里额外的垃圾没有帮助域的可维护性。
您当前的设置(没有正常运行的主设备)是一种危险且不受支持的configuration,需要尽快进行修复。 如果丢失的服务器已经死亡并且被埋没,夺取FSMOangular色是恢复正常操作的必要步骤。
解答您的具体问题:
您已经指出您在Windows 2000服务器上运行“病毒检查实用程序”。 当然你知道,Windows 2000本身是一个“病毒收集工具”,有许多已知的漏洞,没有可用的安全更新。 立即淘汰此服务器。
是的,抓住这些angular色。 你是一个电力波动/系统挂/太阳耀斑远离灾难。
这是不太可能的,但用户可能会注意到,如果在本地机器上caching的帐户更改与AD不匹配。
你永远不应该只有一个DC。 两个最小,每个远程办公室一个。 如果你想使用虚拟机,(恕我直言)他们只是补充物理盒子。 这只是你阅读了使用虚拟机作为DC之后。
我更喜欢所有的DC都是GC。 这是我个人的偏好,但这意味着AD的内容的完整副本存储在每个具有此angular色的DC上。 如果你有两个DC,但是只有一个是GC,而且那个DC死了,我想你会变得像是只有一个DC一样。
您的PDC仿真器将获得来自传统系统(“系统”意味着机器,应用程序和服务,如SQL Server 2000)的所有stream量; 把它放在硬件上。
如果你有其他DC,并且你的复制是健康的,那么一个DC有所有angular色并不一定是坏事。
除非有一个很好的理由,否则你肯定应该使用Microsoft DNS进行内部名称parsing。
修复您的环境,然后升级。 你不要画一艘正在沉没的船。 当你在这里,强烈考虑到2008年。生命支持。
另请参见: 域控制器崩溃后需要做什么? 以及当第一个DC不再可用时如何将所有angular色带到另一个DC