вторник, 16 апреля 2013 г.

ACTIVE DIRECTORY DOMAIN SERVICES - вспоминаем некоторые интересные факты (Total Recall part #2): Infrastructure Masters

Вспоминаем про InfrastructureMaster и ForestDNSZones (и DomainDNSZones).
Можно обнаружить в некоторых развёрнутых службах каталога Microsoft Active Directory Domain Services интересную вещь:
если выполнить команду NETDOM /QUERY:FSMO, и с помощью ADSI (или dsquery) подключиться к контексту наименования леса или домена (к примеру: DC=ForestDnsZones,DC=<domain>,DC=<suffix> или DC=DomainDnsZones,DC=<domain>,DC=<suffix>)  и исследовать раздел, мы увидим в атрибутах объекта CN=Infrastructure имя сервера, которое может отличаться от имени FSMO Domain Infrastructure Master, полученного с помощью NETDOM

Связанно это с тем, что для создания reference-link'ов в разделе Application нужен свой Infrastructure Master. Domain Infrastructure Master не может содержать раздел Application, имеющий свою собственную область репликации.

Более того, количество мастеров инфраструктуры зависит от количества доменов в лесу.То есть будут существовать:
  • один мастер инфраструктуры для раздела ForestDNSZones;
  • один для каждого нового домена в лесу;
  • один для каждой зоны DomainDNSZones, в разделе службы каталога Application в лесу WS 2003 или выше (при этом они могут находиться на одном и том же сервере c Domain Infrastructure Master);

К примеру, у Вас в инфраструктуре 3 домена, итого количество FSMO ролей будет следующим:

  • 1 Schema Master
  • 1 Domain Naming Master
  • 3 PDC-Emulators
  • 3 RID-Masters
  • 7 Infrastructure Masters (3 для Domain Infrastructure Masters + 1 for the ForestDnsZones + 3 для DomainDnsZones для каждого домена)
И так, в чём подвох? В целом, хозяин Infrastructure ForestDNSZones или DomainDNSZones не является критичным и используется только DNS. Но необходимо владеть этой информацией, если вы получаете ошибки при попытке подготовить домен (к примеру: для использования RODC, командой adprep /rodcprep), чтобы понять, как исправить проблему. 

В этом случае, если открыть свойства fSMORoleOwner объекта CN=Infrastructure в разделе DomainDNSZones или ForestDNSZones можно увидеть следующее:
“CN=NTDS Settings\0ADEL:b6bc57e7-dbbf-41e5-82d2-7bc4b166af3f,CN=<OLDServername>\0ADEL:ae93f586-9bd8-4ec3-af7f-53afaf612beb,CN=Servers,CN=<SiteName>,CN=Sites,CN=Configuration,DC=DOMAIN,DC=RU”.
Это говорит о том, что сервер был когда то некорректо удалён или произошел другой сбой, а роль не была передана. Данную проблему можно исправить скриптом http://support.microsoft.com/kb/949257, либо подключившись в серверу, который держит роль Infrastructure Master, зайти в ADSI и прописать корректный сервер.

Формат записи:

CN=NTDS Settings,CN=<hostname>,CN=Servers,CN=<sitename>,CN=Sites, CN=Configuration,DC=DOMAIN,DC=RU

Если не подключиться к Infrastructure Master, то при изменении атрибута fSMORoleOwner можно получить ошибку: 

"000020Ae: svcErr:DSID-031524F1, problem 5003 (WILL_NOT_PERFORM), data 0"

1 комментарий:

  1. Большое спасибо! Статья помогла найти и устранить ошибку, которая не давала понизить контроллер до рядового сервера.

    ОтветитьУдалить

Уважаемый коллега, Ваш комментарий пройдёт модерацию, чтобы избежать спам-атак в ленте. Спасибо за понимание.