none
domain controller superstite RRS feed

  • Domanda

  • Buongiorno a tutti,

    ho implementato una infrastruttura formata da 2 server entrambi

    - Domain controller

    - server DNS

    - Global catalog

    oggi il server con i 5 ruoli FSMO non vuole accendersi (blackout nel weekend) e quelli supersite (dove risiede il gestionale) non fa accedere nessun utente perchè dice che NON trova il controller di dominio. Riesco solo accedervi come amministratore da console.

    Ho potuto solo verificare le configurazioni di rete ed il server DNS primario è se stesso; il server DNS è regolarmente avviato e funzioante ma ho bisogno di accedervi ma non ci riesco. Tutte le configurazioni di AD sono inaccessibili.

    Avete qualche idea ?

    Grazie

    Mauro Conte


    lunedì 24 ottobre 2011 12:13

Risposte

  • Buongiorno a tutti,

    ho implementato una infrastruttura formata da 2 server entrambi

    - Domain controller

    - server DNS

    - Global catalog

    oggi il server con i 5 ruoli FSMO non vuole accendersi (blackout nel weekend) e quelli supersite (dove risiede il gestionale) non fa accedere nessun utente perchè dice che NON trova il controller di dominio. Riesco solo accedervi come amministratore da console.

    Ho potuto solo verificare le configurazioni di rete ed il server DNS primario è se stesso; il server DNS è regolarmente avviato e funzioante ma ho bisogno di accedervi ma non ci riesco. Tutte le configurazioni di AD sono inaccessibili.

    Avete qualche idea ?

    a quale dns punta il dc superstite ?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 25 ottobre 2011 10:07
    Moderatore
  • Grazie Fabrizio, il problema è che nessun utente riesce ad accedere al server (non viene contattato il dominio quando lui stesso è un DC !?!?!) ed il gestionale dunque è bloccato.

    ancora grazie

     


    Mauro

     

    p.s. ho provato a simulare la situazione con 2 DC di test e se tengo spento quello con i 5 ruoli FSMO accendendo solo il secondo quest'ultimo riesce a viasualizzarmi le OU con i rispettivi utenti (cioè a contattare il dominio gestitito anche da lui stesso)

    NON riesco a capire perchè questo NON funziona sul server di produzione.

    Mauro

    ripeto: verifica che il dc superstite abbia se stesso come dns primario nella scheda di rete e non punti invece al dc spento.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 25 ottobre 2011 10:09
    Moderatore

Tutte le risposte

  • Il comportamento della tua rete è legato all'assenza degli FSMO.

    Se credi che il server D.C. non sia recuperabile, devi forzare lo spostamento dei cinque FSMO

    http://support.microsoft.com/kb/255504/en-us

    Ricordati però che dopo questa operazione il server D.C. "guasto" andrà reinstallato da zero (cioè, non puoi ricollegarlo alla rete, pena avere uno sdoppiamento dei quoli singoli).

    In alternativa, se hai un backup del server, recuperalo e rimettilo in linea.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 24 ottobre 2011 13:11
  • Dunque se io "perdo" il DC con i 5 ruoli FSMO gli altri DC non funzionano ?
    Mauro
    lunedì 24 ottobre 2011 13:35
  • Diciamo che a seconda del ruolo "perso" hai disservizi più o meno pesanti, in tempi differenti

    In particolare la perdita del PDC emulator, crea problemi in tempi abbastanza stretti, essendo legato a diversi discorsi fra cui il cambio password.

    http://en.wikipedia.org/wiki/Flexible_single_master_operation


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 24 ottobre 2011 13:58
  • Il server verrà ripristinato solo domani nel pomeriggio suppongo e la prima cosa che faccio è passare i 5 ruoli FSMO nel server "principale".

    Avevo letto che questi ruoli NON erano fondamentali e dunque NON gli avevo spostati nel nuovo server.

    nel frattempo il server rimasto attivo (che ha il gestionale) è inutilizzabile ?

    Ci sono altre soluzioni ?

    Hai della documentazione su come configurare AD per NON incappare in questa problematica ?

    Grazie mille


    Mauro
    lunedì 24 ottobre 2011 14:37
  • Non so chi abbia affermato che gli FSMO non sono fondamentali, ma si sbagliava alla grande :-)

    Se riesci a rimettere in piedi l'altro server domani, allora NON forzare lo spostamento, ma procedi per la strada canonica quando le due macchine sono operative.

    I tuoi applicativi dovrebbero funzionare lo stesso, ma una situazione senza FSMO è instabile e non affidabile del suo e, pertroppo, non ci sono scorciatoie rispetto a quanto ti ho indicato.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 24 ottobre 2011 14:51
  • Grazie Fabrizio, il problema è che nessun utente riesce ad accedere al server (non viene contattato il dominio quando lui stesso è un DC !?!?!) ed il gestionale dunque è bloccato.

    ancora grazie


    Mauro

    p.s. ho provato a simulare la situazione con 2 DC di test e se tengo spento quello con i 5 ruoli FSMO accendendo solo il secondo quest'ultimo riesce a viasualizzarmi le OU con i rispettivi utenti (cioè a contattare il dominio gestitito anche da lui stesso)

    NON riesco a capire perchè questo NON funziona sul server di produzione.

    Mauro

    • Modificato MCCobra1 lunedì 24 ottobre 2011 14:58
    lunedì 24 ottobre 2011 14:55
  • Buongiorno a tutti,

    ho implementato una infrastruttura formata da 2 server entrambi

    - Domain controller

    - server DNS

    - Global catalog

    oggi il server con i 5 ruoli FSMO non vuole accendersi (blackout nel weekend) e quelli supersite (dove risiede il gestionale) non fa accedere nessun utente perchè dice che NON trova il controller di dominio. Riesco solo accedervi come amministratore da console.

    Ho potuto solo verificare le configurazioni di rete ed il server DNS primario è se stesso; il server DNS è regolarmente avviato e funzioante ma ho bisogno di accedervi ma non ci riesco. Tutte le configurazioni di AD sono inaccessibili.

    Avete qualche idea ?

    a quale dns punta il dc superstite ?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 25 ottobre 2011 10:07
    Moderatore
  • Grazie Fabrizio, il problema è che nessun utente riesce ad accedere al server (non viene contattato il dominio quando lui stesso è un DC !?!?!) ed il gestionale dunque è bloccato.

    ancora grazie

     


    Mauro

     

    p.s. ho provato a simulare la situazione con 2 DC di test e se tengo spento quello con i 5 ruoli FSMO accendendo solo il secondo quest'ultimo riesce a viasualizzarmi le OU con i rispettivi utenti (cioè a contattare il dominio gestitito anche da lui stesso)

    NON riesco a capire perchè questo NON funziona sul server di produzione.

    Mauro

    ripeto: verifica che il dc superstite abbia se stesso come dns primario nella scheda di rete e non punti invece al dc spento.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 25 ottobre 2011 10:09
    Moderatore
  • prima cosa che ho fatto è stata quella di inserire come server DNS primario se stesso (lo era come secondario ed il primario era il DC morto)

    comunque siamo riusciti a ripristinare il DC morto (detentore dei 5 ruoli FSMO) ed ora funziona tutto.

    ho appena finito di spostare i 5 ruoli FSMO nel DC più importante (quello con il gestionale) così la prossima volta (spero non accada più) rimane "in piedi" da solo.

    Ripeto però che ho avuto esperienze (e vari test di laboratorio) nei quali il DC senza ruoli FSMO riusciva a funzionare regolarmente anche con server DC+FSMO morto.

    Grazie a tutti


    Mauro
    martedì 25 ottobre 2011 10:23
  • Ripeto però che ho avuto esperienze (e vari test di laboratorio) nei quali il DC senza ruoli FSMO riusciva a funzionare regolarmente anche con server DC+FSMO morto.


    ... e almeno per quanto riguarda la pura e semplice autenticazione, è proprio così che dovrebbe funzionare.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 25 ottobre 2011 12:28
    Moderatore