INFORMATICS

The Best

Przełącznik języka

Zaproś mnie na KAWE

Jeżeli podoba Ci się strona i chcesz wspomóc projekt!

Postaw mi kawę na buycoffee.to

This Site

Płatnik

CMS

Hardware

Uncategorised

Emulators

Powershell

Storage Array

DNS

FORTINET

Antivirus program

Licznik

2.png9.png2.png5.png9.png9.png1.png
Today212
Yesterday812
This week5211
This month9341
Total2925991

Visitor Info

  • IP: 3.236.83.154
  • Browser: Unknown
  • Browser Version:
  • Operating System: Unknown

Who Is Online

6
Online

sobota, 15 czerwiec 2024 10:28

Naprawa - odzyskiwanie Active Directory

Gwiazdka nieaktywnaGwiazdka nieaktywnaGwiazdka nieaktywnaGwiazdka nieaktywnaGwiazdka nieaktywna
 

 

Przywracanie sprawności Active Directory po awarii serwera.

Windows 2000/2003 wykorzystują metodę wzorca operacji o nazwie FSMO (Flexible Single Master Operation)

FSMO ma pięć ról:

  • Schema master - Forest-wide and one per forest. - Jeden dla lasu
  • Domain naming master - Forest-wide and one per forest. Jeden dla lasu
  • RID master - Domain-specific and one for each domain. Jeden dla każdej domeny
  • PDC - PDC Emulator is domain-specific and one for each domain. Jeden dla każdej domeny
  • Infrastructure master - Domain-specific and one for each domain. Jeden dla każdej domeny

 

 

 

 

 

Administrator może tak skonfigurowac serwery by wszystkie 5 ról znajdowało się w jednym miejscu - na tym samy DC (Domain Controler) który został skonfigurowany przez Active Directory podczas procesu instalacji.

Istnieją jednak sytuacjie w których administrator chciałby przenieść jedną lub kilka ról FSMO Z DC na inny kontroler domeny.

Przeniesienie ról można wykonać online pod warunkiem, że serwery są sprawne. Jeżeli jednak jeden z serwerów ulegnie uszkodzeniu nastąpi utrata FSMO, która będzie prowadziła do nieprawidłowego działania całej domeny. Nieprawidłowe działanie domeny może objawiać się np. problemami z logowaniem, problemami z autentykacją.

Podobne prblemy mogą występować w momencie gdy jeden z kontrolerów przejdzie zostanie wyłączony lub np odepnie się od domeny.

Czy serwer może odpiąć się od domeny? Istnieje taki parametr jak tombstone-lifetime, który występuje w usłudze Active Direcotry.

Domyślna wartość Tombstone-Lifetime jest:

60 dni dla PDC pierwszego kontrolera zainstalowanego w lesie dla Windows Server 2003 SP1

180 dni dla kontrolera Windows Server 2003

Wartość tombstone-Lifetime można ustawiać ręcznie jednak nie zmienia się ona sama przy zmianie systemu operacyjnego.

Zmiane tombstone-Lifetime możemy wykonać za pomocą narzędzia adsiedit.msc

 

 

 

 

 

 

 

 

 

 

 

Usunięcie jednego z kontrolerów na czas dłuższy niż wpidany czas życia powoduje szereg problemów z związanych z nie prawidłową komunikacją się kontrolerów. Powstają wtedy między innymi tzw Lingering Objects (powracające) powstałe w wyniku odłączenia na czas dłuższy niż wpisany w parametrze Tombstone_Lifetime. Ponowne podłączenie takiego kontrolera do domeny spowodowało by że zmiany które zostały wprowadzone wcześniej zostały by cofnięte przez podłączony stary kontroler domeny. Jednak dzięki procesowi Garbage Collection nie powinny już istnieć.

Stan taki może wywołać jedna z poniższych przyczyn:

1Awaria serwera - naprawa przywrócenie go do działania z przekroczeniem czasu 60 dni

2Przywrócenie serwera z kopii zapasowej - starej kopii zapasowej sprzed czasu wyznaczonego atrybutem TombstoneLifetime

3Błędna konfiguracja synchronizacji czasu pomiędzy kontrolerami domeny - np skrócenie czasu z 60 dni do 6 dni.

4Duże obciążenie serwera a co za tym idzie spowolnienie komunikacji sieciowej.

5Zerwanie połączenia sieciwego odległych serwerów - zerwanie dłuższe niż wartość atrybutu TombstoneLifetime

Aby przeciwdziałać występowaniu niepożądanego efektu Lingering Objects zabezpieczono AD implementując mechanizm replikacji zmian obiektów z takiego serwera na pozostałe. Mechanizm ten nosi nazwę Strict Replication Consistency i konfigurowalny jest na każdym z kontrolerów. Konfigurację możemy wykonać za pomocą rejestru.

 

Przykład Konfiguracji Strict Replication Consistency:

Najlepiej przed dokonaniem zmian wykonać kopie zapasową rejestru. Wchodzimy do rejestru poprzez komendę regedit a następnie adytujemy klucz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

zmieniając jego stan możemy go włączyć lub wyłączyć Strict Replication Consistency (1 – „włączone”, 0 – „wyłączone”).

 

 

 

 

 

 

 

 

W naszym przypadku parametr jest domyślnie włączony czyli gdy zostanie wykreyte Lingering Objects próba replikacji z podejrzanego kontrolera próba ta zostanie zablokowana.

Gdy wykryjemy Lingering Objects przeglądając dzienniki zdarzeń musimy usunąć problem dzięki narządziu repadmin /removelingeringobjects ff. Zdarzenia związane z Lingering Objects mogą mieć następujące oznaczenai Event ID 1388, 1988, 2042.

Instrukcje kasowania znajdziemy tutaj

http://technet.microsoft.com/en-us/library/cc780362(v=ws.10).aspx

http://technet.microsoft.com/en-us/library/cc738018(v=ws.10).aspx

http://technet.microsoft.com/en-us/library/cc757610(v=ws.10).aspx

Do poradzenia sobie z problemem możemy również użyć komendy advisory_mode polecenia repadmin /removelingeringobjects  która nie wykona usuwania błędów a jedynie wykona log zapisany w dzienniku zdarzń.

Jeżeli z DC trzymającym role FSMO najlepszym sposobem jest jak najszybciej przeanalizować zaistniały problem i ponownie wprowadzić serwer w stan online - czyli prawidłowego działania.

Jeśłi DC stał się niewiarygodny najlepszym rozwiązaniem jest przeniesienie ról FSMO do kontrolera domenny który jest niezawodny. Należy zachować szczególną ostrożność przy przenoszeniu ról FSMO najlepiej wykonywac to tylko w przypadku gdy nie ma możliwości przywrócenia właściwości ról do środowiska. Przejęcie ról wykonujemy tolko w przypadku absolutnej konieczności.

Rola FSMO Konsekwencja utraty
Schema - Wzorzec schematu Schemat się nie aktualizuje. System działa niektóre jednostki mogą mieć problem z logowaniem się. Nie ma możliwości podłączenia kolejnego serwera do AD
Domain Naming - Wzorzec nazw domen DCPROMO nie zadziała pokaże uszkodzenie roli FSMO
RID - Wzorzec RID Najprawdopodobniej istniejące obiekty DC będa miały wystarczającą ilość nieużywanych RID chyba że organizacja ma serki jednostek organizacyjnych
PDC Emulator - Emulator kontrolera PDC Problemy wystąpią szybko NT BDC 4.0 nie będzie w stanie wykonać synchronizacji kont, przestanie działać synchronizacja czasu  w domenie, wystąpią problemy w rozwiązywaniu zasad grupy oraz zmiany haseł
Infrastructure - Wzorzec infrastruktury  Konsekwencje będa nie zauważalne grupa ta może być niekompletna. Jeżeli jest tylko jedna domena nie wystąpią problemy

 Ważne: Jeżeli oryginalne role RID Schema lub FSMOs nazewnictwa domen są zajęte to oryginalny kontroler domeny nie zostanie aktywowany ponownie - konieczna jest ponowna reinstalacja systemu

Poniżej opisana jest 5 unikatowych ról FSMO w lecie usług AD oraz operacje wykonywane przez te role:

  • Wzorzec schematu — Wzorzec schematu to rola obejmująca cały las. W każdym lesie występuje tylko jedna taka rola. Rola ta jest wymagana do rozszerzania schematu lasu usługi Active Directory i do uruchamiania polecenia adprep /domainprep.
  • Wzorzec nazw domen — Wzorzec nazw domen to rola obejmująca cały las. W każdym lesie występuje tylko jedna taka rola. Służy ona do dodawania domen lub partycji aplikacji do lasu oraz do usuwania ich z lasu.
  • Wzorzec RID — Wzorzec RID to rola obejmująca całą domenę. W każdej domenie występuje tylko jedna taka rola. Służy ona do przydzielania puli RID, dzięki czemu nowe lub istniejące kontrolery domeny mogą tworzyć konta użytkowników, konta komputerów i grupy zabezpieczeń.
  • Emulator kontrolera PDC — Emulator kontrolera PDC to rola obejmująca całą domenę. W każdej domenie występuje tylko jedna taka rola. Jest ona potrzebna na kontrolerach domeny, które wysyłają aktualizacje baz danych na zapasowe kontrolery domeny systemu Windows NT. Kontroler domeny mający tę rolę podlega także działaniu pewnych narzędzi administracyjnych, a hasła kont komputerów i kont użytkowników przechowywanych na tym komputerze są odpowiednio aktualizowane.
  • Wzorzec infrastruktury — Wzorzec infrastruktury to rola obejmująca całą domenę. W każdej domenie występuje tylko jedna taka rola. Rola ta jest wymagana, aby na kontrolerach domeny można było pomyślnie uruchamiać polecenie adprep /forestprep oraz aktualizować atrybuty SID i atrybuty nazwy wyróżniającej obiektów, do których istnieją odwołania między domenami.
  • Podczas instalacji - kreator instalacji DCPROMO.EXE przypisuje wszystkie pięć ról FSMO pierwszemu kontrolerowi domeny w domenie głównej lasu. Role FSMO przypisane sa do serwera do momentu gdy administrator zmieni przypisanie ról za pomocą graficznego interfejsu, zmieni je za pomoca polecenia ntdsutil /roles, obniży łagodnie kontroler domeny mającej daną rolę - rola zostanie przepisana polecenie którym wykonujemy obniżenie domeny to dcpromo /forceremoval - polecenie to powoduje, że FSMO mają nieprawidłowy stan do czasu ponownego ich przypisania przez administratora.
ROLE FSMO Ograniczenia
Schema Oryginał musi być zainstalowany
Domain Naming Oryginał musi być zainstalowany
RID Oryginał musi być zainstalowany
PDC Emulator Można przenieść spowrotem do oryginału
Infrastructure Można przenieść spowrotem do oryginału

Członkowstwo grupy administrator

ROLE FSMO Administrator musi być członkiem
Schema Schema Admins
Domain Naming Enterprise Admins
RID Domain Admins
PDC Emulator Domain Admins
Infrastructure Domain Admins

 Partycje ról FSMO

ROLE FSMO Partycja
Schema CN=Schema,CN=configuration,DC=<domena główna lasu>
Domain Naming CN=configuration,DC=<domena główna lasu>
RID DC=<domena>
PDC Emulator DC=<domena>
Infrastructure DC=<domena>

 

 

Aby odzyskać rolę FSMO można użyć narzędzia ntdsutil - proces naprawy wygląda następująco:

 Na kontrolerze domeny kliknij uruchamiamy program ntdsutil.

Po uruchomieniu dostajemy następujące okno

następnie wpisujemy ROLE

Aby zobaczyć menu z dostępnymi opcjami można wprowadzić "?"

Domyślnie po uruchomieniu programu ntdsutil jesteśmy zalogowani na maszynie lokalnej.

Jeżeli chcemy zmienić kontroler domeny należy wprowadzić komendę

CONNECTION

wprowadzamy nazwe naszego serwera:

CONNECT TO SERVER FS10a  

i wciskamy ENTER - potwierdzeniem zalogowania jest komunikat Podłączenie do FS10a przy użyciu poświadczeń zalogowanego lokalnie użytkownika

aby zejśc do poprzedniego menu wpisz komendę "q" lub quit

Dostępne role na serwerze AD:

 Opcje które będą nam potrzebne do odzyskania sprawności serwera to:

Seize domain naming master

Seize infrastructure master

Seize PDC

Seize RID master

Seize schema master

 

Wykonujemy czynności przenoszenia dla powyższych ról. Po wpisaniu komendy zostaniemy zapytani czy przeprowadzić operacje wciskamy tak.

Uwagi Wszystkie pięć wymienionych ról muszą być w lesie. Jeżeli kontroler domeny który posiadał te role zostanie odcięty od lasu należy wykonać przejęcie ról przez inny serwer który jest sprawny. Role można przydzielić róznym kontorlerom domeny nie musza sie one znajdowac tylko na jednym serwerze.

Uwaga: Należy unikać umieszczenia ról Master Infrastructur (IM) na tym samym kontrolerze domeny na którym znajduje się wykaz globalny. Jeśli Infrastructure Master pracuje na serwerze GC zostaną zatrzymane aktualizacje replikacji obiektu, ponieważ nie zawiera żadnych odniesień do obiektów, które nie posiadają. To dlatego, że serwer GC posiada częściową replikę każdego obiektu w lesie.

 

Występujące problemy związane z tym tematem

Nie można połączyć się z bieżącym posiadaczem FSMO

Zmiana PDC krok po kroku

Otwierami linie poleceń - CMD

wypisujemy polecenie      NTDSUTIL

następnie roles

następnie connections 

connect to server NAZWA WYBRANEGO DC

quit

seize PDC

 

 

 

 

Test Active Directory - DCDIAG.EXE

 

Search