none
Сгорел RAID на PDC как поступить? RRS feed

  • Общие обсуждения

  • Собственно вопрос в теме.

    Умерла плата контроллера заменить пока что нет возможности. В системе есть еще 2 вторичных конроллера и есть 4-х дневная копия основного окнтроллера сделанная вредствами windows и 3-х дневная копия сделанная акронисом.

    На всех конроллерах стоит вин2008 но домен на уровне 2003.

    Собственно вопрос как лучше поступить

    1. востанавливать из копии PDC

    2. Поднять один из вторичных контрроллеров до уровня первичного и принудительно попытаться передать им упровление ролями?

    3. Поставить новый сервер и его сделать PDC

    Или может быть есть другой вариант?


    21 января 2015 г. 11:27

Все ответы

  • без пункта 2 пункт 3 не реализуем (насколько я знаю)

    восстановление контроллера дело муторное, + на чем его восстанавливать (на сгоревшем железе, или на другом, оба варианта не жизнеспособны, а ждать плату день или два можно если изменений не много но пару недель это уже проблема)

    короче говоря я бы остановился на варианте 2, а когда рейда приедет пересетапил и завел бы его заново (предварительно вычистив все старые упоминания)

    21 января 2015 г. 11:55
    Модератор
  • Спасибо за ответ.

    Но так как PDC нет то получается надо будет отбирать роли принудительно через

    ntdsutil.exe.

    seize domain naming master
    seize infrastructure master 
    seize rid master
    seize schema master 
    seize pdc 

    Я правильно понимаю?

    21 января 2015 г. 12:50
  • Точной последовательности не помню (не часто такое происходит), но в нижеуказанных статьях есть указание на то что нужно сделать (сначала рекомендую почитать)

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/4c51c59a-b747-48c2-ad5d-cb7f30c4a408/how-to-sieze-dead-domain-controller?forum=winserverDS

    http://www.experts-exchange.com/Software/Server_Software/Active_Directory/Q_28181225.html

    21 января 2015 г. 13:29
    Модератор
  • Собственно вопрос в теме.

    Умерла плата контроллера заменить пока что нет возможности. В системе есть еще 2 вторичных конроллера и есть 4-х дневная копия основного окнтроллера сделанная вредствами windows и 3-х дневная копия сделанная акронисом.

    На всех конроллерах стоит вин2008 но домен на уровне 2003.

    Собственно вопрос как лучше поступить

    1. востанавливать из копии PDC

    2. Поднять один из вторичных контрроллеров до уровня первичного и принудительно попытаться передать им упровление ролями?

    3. Поставить новый сервер и его сделать PDC

    Или может быть есть другой вариант?


    Если на "PDC" ничего полезного (ролей, кроме AD DS и DNS Server, других серверных приложений) не было, то смысла заморачиваться его восстановлением нет - там нет ничего такого, чего не было бы на других DC. В таком случае лучше захватить роли на одном из других DC и удалить "PDC" из AD - через консоль AD Sites & Services или AD Users & Computers, (или старым способом  - с помощью команды metadata cleanup в ntdsutil).

    Если там есть что-то ещё полезное, то надо восстанавливать. Если восстановление - это дело небыстрое, то некоторые из ролей FSMO можно временно захватывать на другом КД без особых последствий (см. мой пост на эту тему - более подробный и со всеми релевантными ссылками на документацию MS на другом форуме): совершенно спокойно можно захватывать роли PDC Emulator и Infrastructure Master, а потом вернуть их бывшего владельца в сеть, роли Schema Owner и Domain Naming Master при нормальной работе не требуются и их лучше вообще не трогать, без RID Master можно некоторое время пожить, но в крайнем случае и при наличии достаточной квалификации можно и его захват сделать обратимым (см. ссылку на мой пост).

    А вообще-то в таком случае можно и потерпеть - для большинства ежедневных операций с AD отсутствие в сети владельцев ролей FSMO некритично.

    Нужно ли вам вообще ставить третий DC - ваше дело, в небольших сетях он обычно лишний.

    PS Отвыкайте от слова PDC - в Windows Server, начиная с Win2K, все DC равны между собой, и только некоторые (владельцы ролей FSMO) равнее других.


    Слава России!


    • Изменено M.V.V. _ 21 января 2015 г. 13:55
    21 января 2015 г. 13:52
  • Если там есть что-то ещё полезное, то надо восстанавливать. Если восстановление - это дело небыстрое,

    Мне тут по серкрету сказали что эра шины PCI-X недавно :) завершилась. потому с поиском нового контроллера возликают проблемы. Так что буду захватывать роли. Осталось подчитать мануальчик по этому дела и приступать.

    21 января 2015 г. 14:48
  • Еще маленько уточнение 

    Нашел два статьи про такую ситуацию в одной рекомендуется удалять только через консоль и ntdsutil, а в другой попробовать сделать весь захват через консоли AD Sites & Services и AD Users & Computers.

    Собственно вопрос есть ли принципиальная разница каким вариантом пользоваться?

    21 января 2015 г. 19:07
  • Принудительный захват (seize) роли FSMO вы сможете сделать только с помощью ntdsutil - через оснастки управления AD эта, потенциально деструктивная, операция недоступна.

    А как удалять удалять метаданные погибшего контроллера - дело вкуса, разница же в статьях, возможно, появилась из-за разницы рассматриваемых версий Windows Server: возможность делать это через графический интерфейс появилась только в Windows Server 2008.


    Слава России!

    21 января 2015 г. 20:00
  • А еще один вопрос если позволите.

    Сколько может отсутствовать в сети "PDC" что бы домен его нормально принял?

    Просто вроде как удается восстановить инфу с винтов массива вот думаю может его завернуть в виртуалку и включить? Или 5 дней слишком долго?

    23 января 2015 г. 20:22
  • если пользователей не 10к и вы не будете делать каких то глобальных изменений то не сильно критично например заводиь 200 пользователей потом выводить 300

    PDC эмулятор это тот КД который подтверждает изменения в АД чем больше изменений тем критичнее его отсутсвие

    23 января 2015 г. 20:34
    Модератор
  • От момента резервного копирования - 60 дней (лес изначально был поднят на Win2K или Win2K3 без SP) или 180 дней (лес изначально был поднят на сервере под Win2K3 SP1/Win2K3 R2 и выше).

    См. статью 216993 MS KB.


    Слава России!

    23 января 2015 г. 20:55
  • если пользователей не 10к и вы не будете делать каких то глобальных изменений то не сильно критично например заводиь 200 пользователей потом выводить 300

    PDC эмулятор это тот КД который подтверждает изменения в АД чем больше изменений тем критичнее его отсутсвие

    По-моему, ваше утверждение тянет на новое открытие.

    По моим сведениям, отсутствие в сети эмулятора PDC приведет всего лишь к некоторой несвоевременности обновления информации на КД о смене паролей пользователей и числа и сведениях о блокировке из-за неверно введенных паролей. Ну и Сетевое окружение может перестать работать корректно.

    Больше ничего эмулятор PDC не подтверждает. А вот отсутствие в сети RID master как раз может ограничить число заводимых объектов.


    Слава России!

    23 января 2015 г. 21:38
  • если пользователей не 10к и вы не будете делать каких то глобальных изменений то не сильно критично например заводиь 200 пользователей потом выводить 300

    PDC эмулятор это тот КД который подтверждает изменения в АД чем больше изменений тем критичнее его отсутсвие

    По-моему, ваше утверждение тянет на новое открытие.

    По моим сведениям, отсутствие в сети эмулятора PDC приведет всего лишь к некоторой несвоевременности обновления информации на КД о смене паролей пользователей и числа и сведениях о блокировке из-за неверно введенных паролей. Ну и Сетевое окружение может перестать работать корректно.

    Больше ничего эмулятор PDC не подтверждает. А вот отсутствие в сети RID master как раз может ограничить число заводимых объектов.


    Слава России!

    тролям на заметку http://habrahabr.ru/post/133370/

    и еще есть маленький нюанс про время, КД синхронят время с эмулятором PDC в связи с чем так же могут возникнуть небольшие осложнения

    После поднятия вируталки (или не поднятия) рекомендую роль с этой машинки смигрить именно из-за времени

    У МС встречал рекомендацию об этом но найти ссылку малость лень

    Суть такова что при старте виртуально КД он запускается и синхронит время с хостом, и если хост не дает правильное время то весб домен может стать в позу 

    24 января 2015 г. 11:14
    Модератор
  • От момента резервного копирования - 60 дней (лес изначально был поднят на Win2K или Win2K3 без SP) или 180 дней (лес изначально был поднят на сервере под Win2K3 SP1/Win2K3 R2 и выше).

    См. статью 216993 MS KB.


    Слава России!

    интересно сколько машин отвалится без синхронизации времени за 180 дней...
    24 января 2015 г. 12:41
    Модератор
  • интересно сколько машин отвалится без синхронизации времени за 180 дней...

    Ни одной. Если другие КД в домене есть, то всё будет синхронизировано начальной репликацией (ёё владелец FSMO выполняет в обязательно порядке, если, конечно, через реестр не запретить).

    Если других КД в домене нет, то рабочие станции пароли изменять не будут (недавно разбирал, даже опыт делал).

    Слава России!

    24 января 2015 г. 13:11


  • тролям на заметку http://habrahabr.ru/post/133370/



    Вы, эта зацитируйте то место, кторое "на заметку". А перед этим - сравните с документацией, а то все эти раскрыватели страшный тайн Active Directory временами бывают такими фантазёрами!

    и еще есть маленький нюанс про время, КД синхронят время с эмулятором PDC в связи с чем так же могут возникнуть небольшие осложнения

    После поднятия вируталки (или не поднятия) рекомендую роль с этой машинки смигрить именно из-за времени

    У МС встречал рекомендацию об этом но найти ссылку малость лень

    Суть такова что при старте виртуально КД он запускается и синхронит время с хостом, и если хост не дает правильное время то весб домен может стать в позу 

    Синхронизация времени да, может вызвать проблемы, если оно уйдёт более, чем на 5 минут. Но обычно часы в CMOS идут достаточно точно, чтобы за несколько месяцев этого не произошло. Да и перенастроить синхронизацию при желании можно.

    Слава России!

    24 января 2015 г. 13:19
  • Что то вы себе противоречите, то синхронизация времени не решает, то вдруг что то уже решает

    А по поводу сказок и документации так, я вам так скажу. коллега что в доках это описано просто со временем выходят новые версии ОС и не вся документация переписывается а некоторые моменты оставляют как само собой разумеющееся (или из каких то других соображений)

    Что касается нюансов то их много и чем больше закапываешься в них. тем их больше становится

    Специалисты в сфере МС (тренеры, в том числе и российские) рассказывали интересные артефакты поведения запущенного домена (это я к тому что не нужно писать о нормальности домена без контроллера до 180 дней)

    ПыСы я такой запущенный домен видел и могу сказать что доки таки доки местами
    24 января 2015 г. 20:55
    Модератор
  • Синхронизация времени легко выполняется вручную при необходимости. И она тут не при чём Автор вопроса интересовался другой проблемой сроком устаревания резервной копии.

    По поводу документации: старая документация по AD (начиная с самого начала - Win2K) ещё вполне доступна, просматривается поиском по сайту и, естественно, учитывается под словом "документация".

    Ошибки в документации, естественно есть - сам видел. Но всё-таки документация на родном для неё английском - это куда более надёжный источник, чем пересказ её по-русски третьими лицами.


    Слава России!

    25 января 2015 г. 10:44
  • Автор вопроса интересовался другой проблемой сроком устаревания резервной копии.

    Ни в одном из постов автор не спрашивал про срок устаревания копии. Вопрос был 

    А еще один вопрос если позволите. Сколько может отсутствовать в сети "PDC" что бы домен его нормально принял? Просто вроде как удается восстановить инфу с винтов массива вот думаю может его завернуть в виртуалку и включить? Или 5 дней слишком долго?

    Ваш ответ можно трактоваться неверно, особенно если кто то по поиску найдет ваше утверждение и не читая полную переписку решит что отсутствие серверов с ролями SFMO допустимо до 180 дней.

    PS по поводу документации на родном языке, вышеприведенную ссылку (ее аналоги) можно найти и на английском, но сути дела это не изменит, ведь так? Вы как стояли на своем так и будете стоять.

    PSS перенастроить можно всё на свете, но как правило до тога как все накроется медным тазом, потом процес будет называться восстановлением а не перенастройкой, что куда более болезнено.

    За пол года разсинхрон на контролерах вполне реален а от сюда и проблемы с выпадением машин, и многие другие артефакты. 

    25 января 2015 г. 14:28
    Модератор
  • Всем спасибо за помощь вроде как удалось перетянуть роли но новый сервер и все работает но появился один маленький ньюанс.

    Изначально имя моего домена ----.com.ru и соответственно DNS суфикс для поиска такой же.

    Но после восстановления заметил что у машин при выводе команды ipconfig /all в поле Порядок просмотра суфиксов DNS появилось два суфикса

    Первый как и был мой домен  ----.com.ru, а вот второй com.ru и теперь при попытке выполнить nslookup с локальными именами все Ок, а вот с внешними трабл при поиске скажем mail.ru он дописывает mail.ru.com.ru и показывает фигню всякую. Если написать mail.ru. тоесть указать что имя конечное то все опять же Ок.

    Собственно вопрос как убрать второй суфикс из просмотра?

    В политиках ничего подобного не прописывал и не особо понимаю откуда оно взялось но грешу на момент забирания прав у умершего ДС и вводе после этого нового ДС взамен умершего.

    19 февраля 2015 г. 9:14
  • смотрите что у вас в настройках DNS написано, нслукапу фиолетово что написано в политиках он спрашивает напрямую с вашего DNS прописанного либо руками на интерфейсе либо полученному по DHCP

    как вариант можно созать форвардер зоны .ru наружу


    19 февраля 2015 г. 9:41
    Модератор
  • В том то и дело если в настройки машины в настройках dns клиента прописать руками dns суфикс 1 единственный то проблема с добавлением суфикса пропадает но только на той машине где это прописал.
    19 февраля 2015 г. 13:36
  • настройках ДНС сервера а не клиента...
    19 февраля 2015 г. 15:27
    Модератор
  • настройках ДНС сервера а не клиента...

    А где в настройках ДНС сервера можно указать суфиксы днс? 

    Просто всегда думал что это только на клиенте ставиться и уже он подставляет его при отправке запроса на сервер

    19 февраля 2015 г. 20:46