Kako se oporaviti od pada primarnog domen kontrolera, u infrastrukturi koja poseduje sekundarne domen kontrolere / Faild PDC

Kako se oporaviti od pada primarnog domen kontrolera, u infrastrukturi koja poseduje sekundarne domen kontrolere

U prethodnom postu pričao sam malo o padu additional domain kontrolera, i brisanje zapisa za njega iz AD-a. Ono čega se nismo dotakli je šta ako se desi da ostante baz primarnog domain kontolera, ili bez additional domain kontrolera koji je nosio neku od FSMO rola....

Da se zadržimo malo na FSMO rolama. Nešto o čemu , predpostavljam retko ko vodi računa, pa možda čak i malo zna. Flexible Single Master Operation je nešto o čemu se brine PDC ili domain kontroler koji ste proglasili za mastera operacija brine.. Predpostavićemo da su sve FSMO role ostale na PDC-u i dalje u tekstu ćemo pratiti ovaj scenario. U slučaju da PDC i Global katalog prestanu da rade , additional domain kontroleri će pokupiti gomilu saobraćaja i zahteva namenjenih PDC-u i opsluživati manje ili više uspešno klijente, dok se PDC ne vrati u normalu. Ali šta ako PDC padne. Moraćete da FSMO role ručno prebacite na additional domain kontroler, no to sada baš i nije najjednostavnije s obzirom na to da PDC nije dostupan i ne možete mu nikako pristupiti.

FSMO role moraju biti prebačene sa pokvarenog PDC-a na additional DC, odnosno novi PDC, kako bi on postao master operacija i preuzeo ulogu PDC-a. Ovo se radi kroz komandnu liniju i zato dobro pazite jer i jedan pogrešan korak i pogrešna komanda može vas dovesti u još težu situaciju od one u kojoj ste sada , a možda i u bezizlaznu situaciju.

Pa da krenemo sa FSMO rolama i transferovanjem na novi PDC. Zbog nedostupnosti starog PDC-a, kao što smo već pomenuli, role se ne mogu jednostavno transferovati korišćenjem grafičkih alata, ali se mogu SEIZE-ovati.

Postupak opisan dalje u tekstu iziskuje upotrebu Ntdsutil-a, a pogrešno rukovanje njime može napraviti velike probleme, te sve što dalje budete radili, radite na svoju odgovornost.

Otvorite command prompt na additional domain kontroleru koji planirate da promovišete u novi PDC.

U komandnoj liniji upišite “Ntdsutil” i pritisnite Enter.

Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\WINDOWS>ntdsutil
ntdsutil:

U ntdsutil komandnoj liniji upišite “roles” i pritisnite Enter

ntdsutil: roles
fsmo maintenance:

Sada upišite “connections” i pritisnite enter

fsmo maintenance: connections
server connections:

Sada kada ste u connections odeljku potrebno je ntdsutil povezati sa novim PDC emulatorom.

Upišite “connect to servername ” gde ćete za staviti puno ime servera koji želite da proglasite za novi PDC (odnosno puno ime servera na kom radite).

server connections: connect to servername MojDC2

Connected to MojDC2 using credentials of locally logged on user.
server connections:

Sada kada ste povezani na novi PDC možete izaći iz odeljka za konektovanje na server.

Kucajte “q” ili “quit” za povratak nazad.

server connections: q
fsmo maintenance:

Sada počinjemo sa SEIZE-ovanjem FSMO rola. Od 5 rola koliko postoji uradićemo 4 role. Nećemo SEIZE-ovati “Infrastructure master” rolu. Nije preporučljivo postavljati Infrastructure master rolu na server koji je ujedno i global catalog. Ukoliko se ove dve role nadju zajedno na PDC-u on će prestati da update-uje informacije o objektima jer u tom slučaju neće osedovati nikakve reference o objektima koji nisu na njemu. A sve zbog toga što global catalog sadrži parcijalne podatke o svim objektima u forestu. Mi ćemo za sada SEIYE-ovati sledeće:

Seize domain naming master
Seize PDC
Seize RID master
Seize schema master

Ovo radimo upisivanjem gore ispisanih linija u komandnu liniju “fsmo maintenance”-a.

Na primer: da bismo SEIZE-ovali domain naming master rolu, potrebno je upisati “seize domain naming master” i pritisnuti enter.

Dobićete Windows dialog box koji vas pita da potvrdite da li ste sigurni da želite da izvršite transfer ove role. Nakon što kliknete “Yes” videćete pokušaj da se regularno transferuje rola, ali zbog nedostupnosti PDC-a ovaj pokušaj će propasti. Ono što sledi nakon poruke o neuspelom transferovanju je ustvari SEIZE-ovanje i prebacivanje na novi PDC (odnosno server na kom radite).

Kada ovako transferujete sve 4 role, kucajte “q” ili “Quit” da izadjete iz ntdsutil-a i vratite se u Windows.

Iz Start menija pokrenite komandu Run i kucajte “dsa.msc”.

Kada se otvori prozor kliknite desni klik na root domena i odaberite opciju “Operation masters”. Trebalo bi da sada za svaku od izlistanih FSMO rola stoji ime DC-a na kom radite, odnosno ime novog PDC-a.

Sada bi trebalo na isti način prebaciti i rolu “Infrastructure master” ali na drugi DC.

Konektujte se na drugi additional domain controler i počnite proceduru iz početka.

Nakon uspešno završenog SEIZE-ovanja možete slobodno reinstalirati pokvareni domain kontroler i kasnije ga dodati kao additional ili naknadno normalnom procedurom vratiti FSMO role na njega.

Nadam se da će nekome ova procedura olakšati život.

Brisanje nedostupnog domen kontrolera iz AD-a / Delete faild domain controller from AD

Ukoliko imate vise od jednog domen kontrolera sigurno vam se bar jednom desilo (meni desetak puta) da vam napon sprzi diskove u jednom od njih, da udari grom u zgradu u kojoj je jedan od nih i sprzi ga, da propadne plafon i polomi jedan od njih ili da ga kisa nalije.
Ukoliko je tu rec o primarnom domen kontroleru i nosiocu FSMO rola, nemojte gubiti vreme i citati dalje. U tom slucaju moracete da konsultujete neku drugu proceduru i uz ucestale molitvew mozda se i iscupate iz problema.
Ukoliko vam je otkazao adittional doain kontroler i ne mozete nikako da ga pokrenete i uradite demote, onda je ova procedura bas za vas.
Svaki domen kontroler koji nije demotovan ostavice za sobom odredjene zapise koji ce vam kasnije praviti problem jer necete moci da podignete novi domen kontroler sa istim imenom i IP adresom a log ce vam stalno biti zapunjen zapisima o tome kako ne postoji komunikacija sa tim domen kontrolerom i kako replikacije nisu moguce.
Ispratite ovo uputstvo i mozda se resite problema.

Kompletnu proceduru shvatite vrlo ozbiljno jer i najmanja greska moze dovesti do toga da se nadjete u jos vecem problemu.

Sve dole navedeno radite na svoju odgovornost.


Da bi pobriso metadatu:

U command promptu se pozicioniraj na C:\Windows i kucaj ntdsutil .

C:\WINDOWS>ntdsutil
ntdsutil:

U Ntdsutil promptu kucaj “metadata cleanup”.

ntdsutil: metadata cleanup
metadata cleanup:

U ovom promptu kucaj “connections”.

metadata cleanup: connections
server connections:

U server connections promptu kucaj “connect to server ”, gde za upisuješ bilo koji funkcionalni domen kontroler sa kojeg ćeš raditi čišćenje metadate mrtvog domen kontrolera. Potrudi se samo da to ne bude primerni domen kontroler ili bilo koji koji drži neku od FSMO rola. Možeš da koristiš i njih ali zbog eventualnih slučajnih greški u kucanju, izbegavaj.

server connections: connect to server server100
Binding to server100 ...
Connected to server100 using credentials of locally logged on user.
server connections:

Sada kada si konektovan možeš da se vratiš na čišćenje. Kucaj “q” ili “quit”.

server connections: q
metadata cleanup:

Kucaj “select operation target” kako bi krenuo sa odabirom onoga što želiš da brišeš.

metadata cleanup: Select operation target
select operation target:

Kucaj “list domains” kako bi dobio listu svih domena u forestu u kojem je ranije izabrani domen kontroler i broj svakod od njih koji ćeš koristiti za povezivanje.

select operation target: list domains
Found 1 domain(s)
0 - DC=dpetri,DC=net
select operation target:

Kucaj “select domain ”, gde za treba da upišeš broj koji se pojavio pored domena u kojem je problematični domen kontroler.

select operation target: Select domain 0
No current site
Domain - DC=dpetri,DC=net
No current server
No current Naming Context
select operation target:

Kucaj “list sites” kako bi dobio listu svih sajtova u odabranom domenu i broj svakog od njih koji ćeš koristiti za povezivanje.

select operation target: List sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
select operation target:

Kucaj “select site ”, gde za upisuješ broj sajta, iz prethodnog prikaza, u kojem je problematični domen kontroler.

select operation target: Select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Domain - DC=dpetri,DC=net
No current server
No current Naming Context
select operation target:

Kucaj “list servers” kako bi dobio spisak svih servera koji se nalaze u odabranom sajtu, i brojeve koje ćeš koristiti za spajanje.
Ovde može doći do problema u prikayu liste domen kontrolera. Ukoliko ne uspete da odaberete pokvareni domen kontroler ponovite ovaj postupak ali se u startu povežite na drugi funkcionalni domen kontroler.

select operation target: List servers in site
Found 2 server(s)
0 - CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
1 - CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
select operation target:

Kucaj “select server ” gde za upisuješ broj koji stoji pored domen kontrolera koji želiš da obrišeš (iz prethodnog prikaza).
Ovde može doći do problema u odabiru domen kontrolera. Ukoliko ne uspete da odaberete pokvareni domen kontroler ponovite ovaj postupak ali se u startu povežite na drugi funkcionalni domen kontroler

select operation target: Select server 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Domain - DC=dpetri,DC=net
Server - CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
 DSA object - CN=NTDS Settings,CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
 DNS host name - server200.dpetri.net
 Computer object - CN=SERVER200,OU=Domain Controllers,DC=dpetri,DC=net
No current Naming Context
select operation target:

Kucaj “q” ili “quit” kako bi se vratio na meni za čišćenje.

select operation target: q
metadata cleanup:

Kucaj “remove selected server”.

Dobićeš upozorenje u kome piše šta će se desiti. Ako je to ono što želiš pritisni “Yes”.

metadata cleanup: Remove selected server
"CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net" removed from server "server100"
metadata cleanup:

Nakon upozorenja vratićeš se automatski na command prompt gde će biti ispisana poruka o usešnom brisanju servera. Ako dobiješ poruku da objekat ne može da bude obrisan ili ne postoji, postoji mogućnost da je već obrisan ili da ćeš morati da pribegneš nekoj drugoj metodi brisanja.

Kucaj “quit” sve dok se ne vratiš na prvobitni command prompt ekran (C:\Windows)

Sledeće što treba uraditi je obrisati problematični domen kontroler iz sajtova.

U Active Directory Sites and Services, razvuci odgovarajući site.
Obriši server koji se povezan sa tim site-om (problematični).

Sledeći korak je brisanje problematičnog DC-a iz domain controllers konteinera

U Active Directory Users and Computers, razvuci domain controllers organizacionu jedinicu.
Obriši objekat koji predstavlja problematični domen kontroler.

Ono što sledi je pitanje upućeno od strane Windows AD-a koje se odnosi na tvoju želju da obrišeš DC objekat a da nisi uradio DCPROMO operaciju. Ovo nije normalan način brisanja pa odatle i pitanje. Odaberi "This DC is permanently offline..." i klikni Delete.

Sledeći korak je brisanje problematičnog domen kontrolera iz DNS-a

Obriši sve zapise za ovaj domen kontroler i iz Forward i iz Reverse zona. I iz svih ostalih zona ukoliko si ih ručno pravio.

To remove the failed server object from DNS.