Konsequenzen bei Aufall eines DC in Domäne

[mcdaniels 33]

Hallo Leute!

Nachdem ich mich zur Zeit mit Ausfallszenarien beschäftige und mir in diesem konkreten Fall nicht ganz sicher bin hab ich mal eine Frage an die Servercracks hier.

 

Annahme:

Es gibt 2 DCs Windows 2000 SP4, einer mit allen FSMO, der 2te macht ausschließlich Sekundär-DNS

Eines Tages macht es "bumm" und der DC mit den FSMO raucht ab - irreparabel.

 

Welche Folgen hat das für den Betrieb der Domäne?

Clients können sich ja, sofern ich richtig liege, über die gecachten Daten noch anmelden...

Haben sie aber Zugriff auf den 2ten DC und einen vorhandenen Memberserver?

DNS sollte aufgrund des Sekundärdns auf dem 2ten DC ja in der Domäne noch funktionieren.

 

Lösung wäre in diesem Fall dann ntdsutil seize... -> Rollenübernahme durch den verbleibenden DC...

[onewayticket 10]

Hallo,

FSMO Rollen brauchst Du eigentlich nur den Schemamaster und den Domainnamemaster übertragen ( sage ich jetzt mal aus der Hüfte geschossen )

Warum keine AD integrierte Zone?

Der Globale Katalog sollte auf dem 2ten DC aktiviert sein

 

MfG

Onewayticket

[mcdaniels 33]

Hey!

Das mit der Übertragung ist mir Dank eines guten KB-Artikel klar...

AD-integriert, hat mein Vorgänger nicht installiert nur prim und sek. DNS. Und es heisst ja "Never change a running / working System... ;)

Aber was würde konkret in diesem Crashszenario passieren.. (siehe Fragen erster Post)

[onewayticket 10]

Es kommt darauf an...

was wurde in den GPO´s eingestellt ?

wenn z.B. die anzahl der anmeldungen aus dem CSC auf null gestell wurde und kein Globaler katalog da ist kann sich keiner mehr an der Domäne anmelden nicht mehr an die daten kommen usw.

Zugriff auf vorhandene Memberserver wird so dann auch nicht mehr funzen.

 

Ist der Globale Katalog auf dem 2ten DC nun aktiviert oder nicht?

[drgoebel 10]

Danke, Jungs, jetzt weiss ich, was ich noch machen wollte!

 

Der Nachteil bei einem entfernten Standort liegt doch in der Replikation, oder?

Aber der DC repliziert nur, wenn sich was ändert, normalerweise sollte der Verkehr dann relativ gering sein.

[mcdaniels 33]

Nein der GC ist am 2ten DC nicht angehakt, somit nicht aktiv. Bei den GPOs laufen wir auf Standardeinstellungen. Es wurde also nix angepasst...

 

@drgoebel.. falschen Thread erwischt? ;)

[drgoebel 10]

Ne, das passt schon hatte letztens einen zweiten DC hochgezogen und total vergessen, den GC zu aktivieren, jetzt fiel es mir siedend heiss ein!

[onewayticket 10]

Mal angenommen die Profile und Daten, welcher art auch immer, liegen auf dem Member-SRV und auf dem 2tenDC ist der GC aktiv brauchst Du nur die Rollen übertragen, die User werden somit nichts davon merken daß DC1 ausgefallen ist.

Was bleibt ist daß Du die Leiche mit Ntdsutil-->Metadatacleanup beerdigen musst.

Ich würde die raten die Dns Zonen in AD integriert zu ändern das bringt eigentlich nur vorteile ( gesicherte aktualisierung etc.)

 

@drgoebel

Es ist doch egal ob der Standort des 2ten DC entfernt ist oder nicht Replikation bleibt Replikation, es bleibt einzig die Frage wie schnell ist die Verbindung zwischen den Standorten, sprich wie stellst Du die Bridgeheadserver ein. Klaro das der GC an beiden Standorten aktiv sein sollte um den Anmeldetraffic zu vermeiden.

[mcdaniels 33]

Hey

Nachdem der GC ja auf beiden DCs aktiv sein kann, kann man diesen auch bei beiden anhaken. Ok.

 

Hast du ne Ahnung ob der User etwas merkt, bis man die Rollen übernommen/übertragen hat? Oder merkt der User generell nichts... (Ich denke mal das funktioniert solange man zb keine Passwörter ändert...)

 

Der DC ohne Rollen bleibt ja quasi auf dem Stand der letzten Replizierung mit seinem "vorgesetzten" Server ;)

[Squire 272]

Hi,

 

also wenn der erste DC irreparabel ist - sprich eh nicht mehr ohne Neuinstallation kommt, dann kann man mittels ntdsutil die Rollen auf dem zweiten DC erzwingen. Aber Vorsicht - der alte DC darf dann nicht ohne komplette Neuinstallation mehr ins Netz! 2 RID Master sind absolut tötlich!