none
Active Directory Domain Services stoppen RRS feed

  • Frage

  • Hallo zusammen

    Seit, ich glaube 2008 DC hat man die Möglichkeit den AD Service (Active Directory Domain Services, NTDS Service) zu stoppen.
    Services wie File Replication, KDC, DFS etc. werden ebenfalls gestoppt. Die Auswirkung ist, dass sich z.B. keine User mehr an diesem DC anmelden können. Funktion soweit klar.

    Nur zur Frage. Wie sieht das Ganze im Betrieb aus? Was passiert z.B. mit User-Sessions, merken die User was (Outlook etc.)?
    Wie reagiert z.B Exchange falls der DC ein GC ist? Etc etc. Hat jemand "Betriebserfahrung" mit dem Stoppen des AD Services?

    Gruss Dani

    Freitag, 29. Januar 2016 08:15

Antworten

  • Hi,
     
    Am 02.02.2016 um 12:33 schrieb dahawei:
    > Wir setzten kein "Windows DNS" ein sondern eine andere Lösung.
     
    Dein DC hat keinen DNS. Ihr nutzt einen anderen, In dem sind deine DC
    DNS Einträge zB aus der netlogon.dns eingetragen.
    Sogesehen ist doch Namensauflösungstechnisch alles im grünen Bereich.
     
    Der Client selbst hat seinen LogonServer, den er erreichen möchte und
    der kann auf einmal weg sein und das ist jetzt das Problem, weil der
    Client einen Timeout von "x" braucht bis er merkt, der Server ist
    wirklich weg und er einen anderen sucht. Richtig?
     
    ... und an der Stelle scheitern jetzt div. Programme.
    Zusätzlich kriegt dein DNS den Ausfall garnicht mit ...
     
    Ah, jetzt Ja :-)
     
    Hilft es was, wenn du vor dem geplanten Ausfall die Reihenfolge der DC
    Einträge im DNS änderst? und den "OnlineDC" nach oben sortierst?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 2. Februar 2016 12:45

Alle Antworten

  • Hi
     
    Am 29.01.2016 um 09:15 schrieb dahawei:
    > Nur zur Frage. Wie sieht das Ganze im Betrieb aus? Was passiert z.B. mit
    > User-Sessions, merken die User was (Outlook etc.)?
    > Wie reagiert z.B Exchange falls der DC ein GC ist? Etc etc. Hat jemand
    > "Betriebserfahrung" mit dem Stoppen des AD Services?
     
    Naja, ich glaube nicht, daß das jemand ausprobiert hat. Das was die
    meisten kennen ist: Was passiert, wenn der DC gestorben ist
    Was auf dasselbe Scenario rauskommt.
     
    - alle können idR weiterarbeiten, vorhandenen Sessions bleiben erhalten
    - DNS Auflösungen ist weg, neue Verbindungen zu Systemem, die der Client
    nicht direkt auflösen kann schlagen fehl
    - NeuAnmeldungen von USer sind nicht möglich, sofern es an dem System
    keine CachedCredentials gibt
    - Outlook sollte noch weiterlaufen, der Exchange bleibt erreichbar
    - der Exchange wird (wahrscheinlich) nicht mehr nach extern verwesenden
    können mangels DNS
    etc.
     
    Nebenbei: Jeder DC ist ein GC, das sollte sich seit 2003 so etabliert
    haben. Die Trennung wurde nur in 2000 gemacht, aufgrund der
    ReplicationSize des GC (nur vollständig). Ab 2003 auch Incrementell.
     
    Aber, du hast ja immer mindestens 2 DCs, also wird es nur ca. 15 Minuten
    lang Unruhe geben, bis alle merken "huch, der Chef ist weg, egal dann
    frage ich den anderen Chef"
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    • Als Antwort vorgeschlagen Stoyan ChalakovMVP Freitag, 29. Januar 2016 12:31
    • Nicht als Antwort vorgeschlagen dahawei Sonntag, 31. Januar 2016 21:58
    Freitag, 29. Januar 2016 12:02
  • Hi Mark

    Naja, ich gehe immer davon aus das min. 2 DC's vorhanden sind. DNS sollte meiner Meinung nach kein Problem sein, da ich davon ausgehe das auch hier 2 DNS Server vorhanden sind.

    "Gestorben" und "gestoppt" sind meiner Meinung nach unterschiedliche Situationen. Bei "gestorben" gibt der DC keine Antwort auf nix mehr, bei gestoppt je nach dem schon... DNS z.B. sollte funktionieren.

    Zum Thema GC auf allen DC's gebe ich Dir recht. Ich dachte da an Exchange der falls so eingestellt die GC automatisch erkennt (glaube über den Topology Service oder so). Daher werden Outlook Clients sicherlich Verbindungen verlieren (ausser Cache Mode ist aktiv). Exchange wird auch erst nach x Minuten mitbekommen das ein DC der GC ist nicht mehr online ist.

    Neuanmeldungen sind nicht relevant, wenn DC Service down... aber bestehende.

    Ich kann in meiner Umgebung keine 15 Minuten "Unruhe" gebrauchen... daher wollte ich gerne ein Feedback aus "betrieblicher Sicht". Aber eben, wir probiert das schon gerne aus...

    Danke aber für Dein Feedback, Gruss Dani

    Freitag, 29. Januar 2016 13:04
  • Hi,
     
    Am 29.01.2016 um 14:04 schrieb dahawei:
    > "Gestorben" und "gestoppt" sind meiner Meinung nach unterschiedliche
    > Situationen.
     
    Naja, dann können wir auch drüber diskutieren, was passiert, wenn der
    Zeitdienst nicht geht, wenn der Serverdienst ausgefallen ist, was ist,
    wenn nur der netlogondienst steht, oder was ist mit BITS?
    Serh, sehr, sehr theoretisch.
     
    Klar ist es ein bischen einfacher, wenn der DC ganz wech ist, aber
    ändert es was? Wie lange brauchst du zur Diagnose egal welcher
    Situation? und wieviel zur Behebung?
     
    > Bei "gestorben" gibt der DC keine Antwort auf nix mehr, bei
    > gestoppt je nach dem schon... DNS z.B. sollte funktionieren.
     
    DNS ohne AD Datenbank in der die DNS Einträge stehen wird knapp ...
     
    Wenn du keine 15 MInuten Unruhe möchtest, braucht du zu einem
    Monitoring, das alle dir wichtigen Dinge sammelt. Und zum Anderen einen
    Ausfallplan, der schneller ist ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Freitag, 29. Januar 2016 18:46
  • Hi Mark

    Ich glaube Du hast mich nicht ganz verstanden. Es geht nicht um ein plötzliches Ereignis (Ausfall), sondern um einen geplanten Stopp. Beispiel beim Patchen etc.

    Daher müssen wir nicht über andere Dienste resp. Verfügbarkeiten "diskutieren" das ist alles klar.

    Ich habe auch nie davon gesprochen, dass DNS Einträge fehlen oder DNS weg ist (DNS muss ja nicht zwingend aus dem Hause Microsoft kommen..). Nur das DNS Anfragen an einen DC der offline ist gehen,wohl oder übel ins Nirvana zeigt

    Egal, lassen wir das

    Guten Start in die neue Woche, Dani

    Sonntag, 31. Januar 2016 21:53
  • Hi,
     
    Am 31.01.2016 um 22:53 schrieb dahawei:
    > Ich glaube Du hast mich nicht ganz verstanden. Es geht nicht um ein
    > plötzliches Ereignis (Ausfall), sondern um einen geplanten Stopp.
    > Beispiel beim Patchen etc.
     
    Warum solltest du beim Patchen die Dienste anhalten? Welchen Grund
    sollte es dafür geben? Das Stoppen der Rolle ist keine
    Vorsichtsmassnahme, es ist eher kontraproduktiv.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 2. Februar 2016 07:00
  • Morgen

    Da ich keine Lust habe, ausserhalb der "Betriebszeiten" vor 06:00 oder nach 22:00 mich mit Wartungsarbeiten herumschlagen zu müssen.

    Ich dachte daher, dass das Stopen eines DC's dafür verwendet werden kann. Ist aber leider nicht so. Ich habe mir nun ein Script zusammengestellt, dass mir dies ermöglicht. Gibt ja noch andere Varianten wie z.B. DnsAvoidRegisterRecords  etc. um einen DC nicht mehr als "Anmelde-Server" zur Verfügung zu stellen.

    Gruss, Dani

    Dienstag, 2. Februar 2016 07:13
  • Hallo Dani

    Für welche Wartungsaufgaben sollte es notwendig sein einen DC als "Anmelde-Server" zu entfernen? Alles was man bei Wartungsaufgaben machen sollte kann man auch einfach tun. Das Active Directory sorgt selber dafür dass ein andere DC die Aufgaben übernimmt sofern dies notwendig ist.

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform,
    MCSA: Windows Server 2012,

    Dienstag, 2. Februar 2016 07:28
  • Hi
     
    Am 02.02.2016 um 08:13 schrieb dahawei:
    > Da ich keine Lust habe, ausserhalb der "Betriebszeiten" vor 06:00 oder
    > nach 22:00 mich mit Wartungsarbeiten herumschlagen zu müssen.
     
    Ok.
     
    > Ich dachte daher, dass das Stopen eines DC's dafür verwendet werden
    > kann.
     
    Normalerweise wird der aktualisiert und kann weiterlaufen, du musst ja
    nur den Reboot "schedulen".
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 2. Februar 2016 07:54
  • Hallo Benjamin

    Da gebe ich Dir Recht. Ich arbeite in einem Umfeld der leider keine Unterbrüche "duldet"... auch minimale nicht.

    Leider haben wir Applikationen die ein Unterbruch, auch wenn dieser minimal ist, nicht vertragen oder einfach zu "dumm" sind damit umgehen zu können...

    Gruss Dani

    Dienstag, 2. Februar 2016 09:43
  • Mal eine Frage in dem Zusammenhang. Kann es sein dass du dein DNS Server Dienst nicht auf den DC läuft oder du dynamisches DNS abgeschaltet hast? 

    So ein Verhalten habe ich mal gesehen und dort lag es nicht an der Anwendung oder dem DC, sondern an einem falsch konfigurierten DNS System.

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform,
    MCSA: Windows Server 2012,

    Dienstag, 2. Februar 2016 10:59
  • Wir setzten kein "Windows DNS" ein sondern eine andere Lösung. Dynamisches DNS ist aktiv und funktioniert auch wunderbar.

    Wenn Du ein DC resp. den DC Service stoppst, dann verändern sich die DNS Einträge nicht, diese bleiben bestehen. Das gleiche bei einem Reboot oder eben bei einem Patchvorgang. Clients, die sich mittels DNS die DC "aussuchen", können (falls der Zufall so eintrifft) auf einen DC Verbinden resp. einen Verbindungsversuch starten der gerade offline ist. Ein Client ist zwar so intelligent, dass sich dieser einfach einen anderen DC sucht der eine Anmeldung zulässt.

    Clients, Applikationen etc. die sich bei einem DC authentifiziert haben, merken einen "Ausfall" und suchen sich ebenfalls einen anderen DC. Aber leider nicht alle Applikationen reagieren sofort.... Kleines Bespiel ist Outlook (in unserem Fall ohne Cache Mode). Da kann es sein, dass Outlook geschlossen und neu gestartet werden muss. Leider kann dies nicht jedem User "zugetraut" werden (ich bin da anderer Meinung) und dieser ruft dann im ServiceCenter an... und bei einigen 100 Usern geht das doch auf die Nerven... mir nicht, aber den 1Level Supporter...

    Wenn die DNS Einträge mittels DnsAvoidRegisterRecords verändert werden gibt's den DC auch DNS technisch nicht (temporär) mehr. Hat aber Auswirkungen auf andere Domain Dienste.

    Wie bereits mehrmals erwähnt, es geht mir hier um betriebliche Erfahrungen. Technisch gesehen ist alles i.O. Ich bin mir bewusst, dass "normalerweise" kurze Unterbrüche zu vernachlässigen sind, aber bei uns ist dies aus Business Sicht (Handel) leider etwas "abnormal".

    Gruss Dani

    Dienstag, 2. Februar 2016 11:33
  • Hi,
     
    Am 02.02.2016 um 12:33 schrieb dahawei:
    > Wir setzten kein "Windows DNS" ein sondern eine andere Lösung.
     
    Dein DC hat keinen DNS. Ihr nutzt einen anderen, In dem sind deine DC
    DNS Einträge zB aus der netlogon.dns eingetragen.
    Sogesehen ist doch Namensauflösungstechnisch alles im grünen Bereich.
     
    Der Client selbst hat seinen LogonServer, den er erreichen möchte und
    der kann auf einmal weg sein und das ist jetzt das Problem, weil der
    Client einen Timeout von "x" braucht bis er merkt, der Server ist
    wirklich weg und er einen anderen sucht. Richtig?
     
    ... und an der Stelle scheitern jetzt div. Programme.
    Zusätzlich kriegt dein DNS den Ausfall garnicht mit ...
     
    Ah, jetzt Ja :-)
     
    Hilft es was, wenn du vor dem geplanten Ausfall die Reihenfolge der DC
    Einträge im DNS änderst? und den "OnlineDC" nach oben sortierst?
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 2. Februar 2016 12:45
  • Richtig!

    Reihenfolge ändern wäre ein Ansatz ja.

    Gruss Dani

    Dienstag, 2. Februar 2016 19:27