从死机的Windows Domain Controller中抢占FSMO角色

我还看到了与此有关的其他问题和文档，但是有些事情仍然使我感到困惑。以下是我看到的文档和问题：

• 淘汰失效的Windows 2003域控制器
• 从陪替氏手中夺取FSMO角色
• 使用NTDSUtil.exe将FSMO角色转移或占用到域控制器 -Microsoft知识库
• 在Active Directory域控制器上的FSMO放置和优化 -Microsoft知识库
• 域控制器降级失败后如何删除Active Directory中的数据

该环境包含两个Windows服务器和许多客户端。域控制器是运行Windows 2000 Native AD的Windows 2003 SP2。另一台服务器（根本不是DC）是Windows 2000 SP4（托管病毒检查实用程序）。

结果netdom query fsmo：

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

结果dcdiag：

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

这是我的问题（如果他们是初学者的问题，请原谅我）：

• 列出的角色是否netdom query fsmo与我在其他地方看到的相同？例如，域角色所有者与域命名主机是否相同？是RID池管理器一样的RID角色？
• 如果我担任这些角色之一，可能会发生什么坏事？
• 用户会注意到吗？
• 这种设置已经进行了很长时间了，人们的工作或多或少地正常了。抓住PDC的角色会改变这种状况吗？
• 这些文件中的一些文件预测了在一个DC上扮演所有角色的可怕后果。客户群最多不超过20天（最多可能少于10天），将所有角色都集中在一个DC上是一个真正的问题吗？
• 是否有执行Microsoft推荐的从Active Directory中删除旧DC的清理过程的注意事项？

另外-一个几乎是切题的问题-如果将域升级到Windows 2003 AD（现在或将来），这在改变FSMO角色方面是否有任何改变？

PS：我怀疑DNS问题与尝试使用不支持Microsoft动态DNS的非Microsoft DNS有关；我认为正在运行Windows DNS，但尚未对其进行适当功能的审核和设置。

从netdom查询fsmo列出的角色是否与我在其他地方列出的角色相同？例如，域角色所有者与域命名主机是否相同？RID池管理器是否与RID角色相同？

对，就是这样。不知道为什么在特定的显示中它们的名称略有不同。

如果我担任这些角色之一，可能会发生什么坏事？

癫痫发作本身？不是很多。被警告的大多数潜在问题是在旧DC夺取角色后重新启动-即使那样，仍然存在很多歇斯底里，风险不大。要用抢断破坏任何东西而不是转移角色，需要一些非常奇怪的方案。为了保持切线状态，让我们看一下角色和潜在风险：

• 模式大师：这使每个人都有些抽搐，但打破它的可能性极低。该文档说，永远不要在抓住这个角色（我称为警惕者）后重新打开旧的Schema Master。将通知旧服务器角色更改，并且将立即放弃角色。这里的潜在风险是，如果对新的架构主机进行更改，然后将旧的架构主机联机，然后再从其他DC复制之前，则在旧服务器上进行不同的，冲突的架构更改。这种情况不太可能发生，但是会破坏您的域。

• 命名主服务器：与模式主服务器相同，您需要在抓住旧角色之后但在了解扣押之前，对旧DC进行更改（在这种情况下，在目录林中创建新域）。

• PDC仿真器：没有风险，它对您可能会有分歧的任何情况概不负责。

• RID大师：您需要一个混乱的复制结构来打破这个结构-假设您有2个DC。抓住了一个不知道其角色的旧RID主机，以及一个新的RID主机。在这种情况下，您需要创建足够的对象以耗尽两个对象上的RID池（它们将在500秒钟内分发），并让它们都为其分配重叠池。创建具有相同RID的对象，重新连接域控制器，并观察启示。

• 基础架构主机：老实说，世界上大约50％的域甚至根本没有可用的基础架构主机，因为在GC上它不起作用。无论如何，您都无法通过癫痫发作打破它。

用户会注意到吗？

他们不应该。

这种设置已经进行了很长时间了，人们的工作或多或少地正常了。抓住PDC的角色会改变这种状况吗？

否。使用单个DC，根本不会丢失PDC的所有功能，除非您的非PDC DC无法与所需的源（丢失的PDC）同步时间。

另外：

• 尝试更新架构时，您只会错过Schema Master
• 尝试在目录林中创建新域时，您只会错过命名大师
• 当您创建太多对象并耗尽DC的RID池时，您只会错过RID主站（如果您仅按原样运行，这可能是您最有可能碰到的）
• 您将只为多域林中的全局编录组更新而错过基础结构主机

这些文件中的一些文件预测了在一个DC上扮演所有角色的可怕后果。客户群最多不超过20天（最多可能少于10天），将所有角色都集中在一个DC上是一个真正的问题吗？

否-但是需要第二个DC。您不想让您唯一的DC失败。

是否有执行Microsoft推荐的从Active Directory中删除旧DC的清理过程的注意事项？

是的-要小心 但是，ntdsutil用刀削尖并撕掉旧数据-里面的多余垃圾不会帮助域的可维护性。

您当前的设置（没有有效的操作主机）是危险且不受支持的配置，需要尽快进行纠正。如果丢失的服务器死了并且被掩埋了，则抓住FSMO角色是恢复正常运行的必要步骤。

回答您的特定问题：

1. 是的，您提到的名称相似的角色标题都是同一件事。
2. 如果您抓住一个角色，然后尝试重新启动曾经拥有该角色的丢失服务器，则很可能发生坏事。在担任角色之前，请确保它已死并且被掩埋。
3. 抓住FSMO角色，用户不太可能注意到任何新问题。
4. 从长远来看，未能抓住这一角色将导致问题。前任负责人失败后立即抓住角色不会造成问题。
5. 实际上，对于拥有10-20个用户的小型企业来说，拥有一台具有所有FSMO角色以及 Exchange 和 Sharepoint的服务器是很常见的。如果正确指定了服务器，这不会造成棘手的性能问题，但是，如果唯一的服务器发生故障，则可以保证站点会停机。最好每个域至少有两个域控制器，即使其中一个是1U机箱中价格低于500美元的Atom D525服务器。
6. 并非特别如此，但是任何服务器维护都至少会带来一些风险。与往常一样，在继续操作之前，请确保您具有完整且经过测试的备份以及恢复计划。
7. 只要先抓住FSMO角色，然后再升级域功能级别，这应该不是问题。
8. 没有充分的理由在Active Directory环境中使用非Microsoft DNS进行域解析。您需要准备并实施一项计划，以将内部DNS服务迁移到域控制器。

您已经表明您有Windows 2000服务器上运行的“病毒检查实用程序”。当然，您知道Windows 2000本身是一个“病毒收集实用程序”，具有许多已知漏洞，并且没有可用的安全更新。立即停用此服务器。

是的，抓住那些角色。您的电源波动/系统挂起/太阳耀斑远离灾难。

这不太可能，但用户可能会注意到，缓存在其本地计算机上的帐户更改是否与AD不匹配。

您永远不应只有一个DC。最少两个，每个远程办公室一个。如果要使用VM（IMHO），它们只是对物理设备的补充。而且只有在您阅读了将虚拟机用作DC的知识之后。

我希望所有DC都是GC。这是我的个人喜好，但这意味着具有该角色的AD内容的完整副本存储在每个DC上。如果您有两个DC，但只有一个是GC，并且那个DC死了，我认为您就像只有一个DC一样陷入困境。

您的PDC模拟器将从旧系统（“系统”，即机器，应用程序和服务，例如SQL Server 2000）中获取所有流量；放在硬件上。

如果您拥有其他DC并且复制运行良好，那么一个DC承担所有角色并不一定很糟糕。

除非有一个真正好的理由，你一定要使用Microsoft DNS进行内部名称解析。

修复您的环境，然后升级。您不画下沉的船。在进行此操作时，强烈考虑进入2008年。2003年是生命维持。

另请参阅：域控制器崩溃后需要做什么？以及当第一个DC不再可用时如何提升另一个DC的所有角色