Suporte de Rede

EXPANDINDO CONHECIMENTOACTIVE DIRECTORY

Definir DC secundrio como principal em casode desastres

PUBLICADO POR BRUNO FELIPE QUARTA-FEIRA, 16 NOVEMBRO 2011 9 COMENTRIOSARQUIVADO EM ACTIVE DIRECTORY, DESASTRE, DHCP, DOMAIN CONTROLLER,

FSMO, METADATA CLEANUP, NTDS, NTDSUTIL, SIZE, WINDOWS SERVER 2008Saudaes pessoal, mais uma vez de volta ao blog, e dessa vez com um artigo muito interessante eponto crtico para alguns tcnicos e administradores.

Alguma vez j se passou pela cabea (ou nos piores casos j aconteceram). O que fazer caso o meuDomain Controller principal morrer (considere morrer como um desastre, a situao em quenenhum troubleshooting resolveu, um problema fsico como discos, ou nos extremos casos, roubode equipamento e at mesmo incndio).

Se dentro do seu ambiente voc no ter uma estrutura de contingncia prepare-se para uma longalista de chamados. Para tanto existem outras maneiras de se previnir um desastre, porm asmesmas exigem um investimento maior a equipamentos (exemplificando um cenrio declustering), o que em algumas empresas no se faz jus o investimento.

Vamos exemplificar o cenrio e a funo de cada server nesse ambiente:DC01 Domain Controller Principal Windows 2008R2 DHCP Ativo na Rede (Esse garoto irmorrer)DC02 Domain Controller Adicional Windows 2008R2 DHCP Configurado porm no ativo(Esse est com as replicaes e funcionamento normal)FS01 File Server Windows 2008R2 (Esse mantm todos os compartilhamentos e polticas de FileServer)CL01 Domain Client Windows 7 (Client do domnio a ser usado como testes)

Reparem que nesse cenrio no tenho o meu File Server junto ao meu Domain Controller, isso uma boa prtica e MUITO recomendada pela Microsoft, se voc quer a integridade dos seusarquivos TENHA os mesmos em um servidor separado do seu Domain Controller.

Nesse artigo no entrarei em critrios de backups / storage, pois j sabemos o tamanho danecessidade dos mesmos, vamos nos concentrar somente na funo de servidor por enquanto.

NOTA: Aps a realizao desse processo, o servidor excludo no poder ser adicionado novamente aodomnio, o mesmo dever ser feito do zero e iniciar os procedimentos normais de adio de servidor aodomnio

1- Iniciando o artigo j temos o DC01 fora do ar por um motivo de desastre, ao tentar logar com onosso Client j apresentado um erro que no h servidor disponvel. Imagine os usurios daempresa congestionando o suporte tcnico.

2- Nosso primeiro passo no DC02 ativar o DHCP que j estava pr configurado (aconfigurao simples, porm no mantenha ativo para que no haja conflito com o DHCPprimrio). O importante a se reparar o range a ser distribudo se no ir conflitar com algumaatribuio fixa j existente, e tambm se no h nenhuma referncia DNS ao servidor antigo. Paraativao, clique com o boto direito sobre o escopo e depois em Activate.

3- Aps reiniciar o meu client (CL01), acompanhando pela opo Address Leases j reparo que oIP foi atribudo com sucesso ao meu client.

4- Agora vamos iniciar o processos para migrao das FSMO (Flexible Single Master Operation),primeiro precisamos consultar quem so os mestres de operao, para isso abra o prompt decomando e digite: netdom query fsmo

5- Verificamos que todos os operations masters apontam para o DC01 (servidor falecido rsrsrs).Precisaremos entrar na base NTDS para fazer as seguintes aes, para isso digite: ntdsutil

6- Em seguida digite: roles

7- Em fsmo maintenance digite: connections

8- Em server connections digite: connect to server nome_do_dc_ativo (No nosso casodc02.suportederede.local)

9- Ser usada as credenciais administrativas locais, em server connections digite: quit

10- Agora novamente em fsmo maintenance digite: seize PDC

11- Confirme com Yes a caixa de dilogo.

12- Aps o trmino digite: seize RID master

13- Mais uma vez confirme com Yes a caixa de dilogo.

14- Terminando digite: seize infraestructure master

15- Confirme com Yes a caixa de dilogo.

16- Agora digite: seize schema master

17- Confirme com Yes a caixa de dilogo.

18- Para finalizar digite: seize naming master

19- Confirme com Yes a caixa de dilogo.

20- Aps o trmino em fsmo maintenance digite quit e em seguida quit novamente.

21- Agora de volta ao prompt digite: netdom query fsmo verifique se j faz referncia ao novoservidor. No nosso cenrio no dc02.suportederede.local.

22- Agora ser necessrio rodar o metadata cleanup mais uma vez a ser realizado pela edio dabase NTDS. Para isso ainda no prompt digite: ntdsutil

23- Em seguida digite: metadata cleanup

24- Em seguida: connection

25- Em server connections digite: connect to server nome_do_dc_ativo (No nosso casodc02.suportederede.local)

26- Em server connections digite: quit

27- Em metadata cleanup digite: select operation target

28- Em seguida: list sites

29- Os sites disponveis sero listados, como temos somente um, verifique que apresentado umidentificador 0 antes do CN, digite: select site 0

30- Aps selecionar o site, necessrio listar os domnios, para isso vamos digitar: list domains insite

31- Os domnios sero listados, como temos somente um (identificador 0) digite para selecionar:select domain 0

32- Aps selecionar o domnio precisaremos listar os servidores, para isso digite: list servers insite

33- Os dois servidores (DC01 e DC02) sero listados, precisamos selecionar o servidor a serexcludo da base, verifique com ateno e digite, fazendo referencia ao identificador do servidor:select server 0

34- Em select operation target digite: quit

35- Retornando para metadata cleanup digite: remove selected server

36- Confirme com Yes na caixa de dilogo.

37- A parte mais trabalhosa j foi concluda, agora somente resta algumas verificaes e exclusesde referncias ao antigo servidor. Acesse o Active Directory Sites and Services em Start Menu /Administrative Tools. Navegue at Servers e exclua o servidor perdido.

38- O importante verificar o DNS Manager se h registros com referncia ao servidor,aproveite para certificar se est apontando corretamente os registros SOA / NS / SRV / LDAPpara o novo servidor. Todas referncias ao servidor antigo deve ser excluda.

39- Aps os procedimentos realizados anteriormente devemos conseguir acessar normalmente onosso domnio atravs de nosso client. O que vemos abaixo o logon de nosso client atravs deum usurio do Active Directory.

40- Aps esses processos recomendado observar sempre o Event Viewer do DC02 paraidentificar eventuais falhas e problemas. Abaixo vemos a consulta do Active Directory DomainServices.

41- E agora vamos analisar o DNS Server. Constatamos que o nosso log (at o presentemomento) est sem erros ou alertas o que muito bom para o xito de nosso procedimento.

42- No ambiente existia uma Group Policy de mapeamentos, que criava um mapeamentoparticular / um global e um por departamento, todos fazendo referncia aos compartilhamentos /permisses do meu File Server (FS01), verifique abaixo que os mapeamentos foram atribudosnormalmente.

Se tivssemos um servidor com todas as funes, o tempo de recuperao no seria to rpido,seria necessrio recuperar os backups, verificar permisses, o que com certeza iria estressar aequipe tcnica.

Espero que tenham gostado do artigo e toro para que no precisem usar, caso precise espero queseja uma boa referncia para consulta.

Abraos a todos

Discusso

9 comentrios sobre Definir DC secundrio como principal emcaso de desastres

1. Bruno,

Fiz recentemente um procedimento parecido adicionei um WSSTR2 a um Dominio Pai ouFloresta pai como queira WSST e nao deleguei as funoes Schema, PDC, RID e demais para onovo Servidor o WSSTR2 e estou gerenciando meu ambiente em ambos mas sempre usandomais o novo SRV.Esse procedimento que voc informo pelo que entendi voc o fez quando o seu DC1 j noestava no ar por algum problema.O ambiente que voc simulo a e muito parecido com o meu, ai vem uma pergunta se baseandono ambiente que voc apresento.

Eu consigo passa as funoes Masters para o outro servidor que no caso esta como Filho nafloresta sendo que o Dominio principal o servidor nao est no ar ?

E Meus Parabens Muito conteudo bacana no Blog, e este tutorial ser de grande importanciapara um procedimento que irei efetuar aps sua respota.

PUBLICADO POR ANDR LIMA | SEXTA-FEIRA, 16 DEZEMBRO 2011, 09:08REPLY TO THIS COMMENT

Ol Andr Lima, agradeo os elogios ao contedo do blog.

Ento, referente a sua pergunta, o procedimento demonstrado no artigo voltado caso oDC principal morra (no existindo nenhuma possibilidade de contato com outrosservidores e nem ser reintegrado ao domnio).Esse procedimento serve e atende a sua necessidade.

Recomendo, caso esteja inseguro, faa testes antes em ambientes virtuais.

E mesmo antes de executar em seu ambiente de produo faa um belo backup.

Abraos

PUBLICADO POR BRUNO FELIPE | DOMINGO, 18 DEZEMBRO 2011, 22:08REPLY TO THIS COMMENT

2. Bom dia Bruno.

Muito bom seu artigo e funcionou direitinho em meu cenrio. S tem um probleminha o meuDC SECUNDARIO virtualizado no server2008 que primario, quando transformei oserver2012 virtualizado em primario eu no consigo fazer os procedimentos de excluso do DCantigo eu acredito que este procedimento funciona apenas para quando os servidores soseparados e no quando o DC PRINCIPAL TENHA UM SECUNDARIO VIRTUALIZADONELE MESMO.

O problema que no estou conseguindo rebaixar o DC que era principal e muito menosexclui-lo do ACTIVE DIRECTORY SITES AND SERVICE, sabe como resolvo este problema?

Sei que o correto deixar um servidor fsico como DC principal e no virtualizar DCSprincipal, mas precisei fazer isso provisrio.

Abs.Zacheo

PUBLICADO POR ZACHEO | SBADO, 22 DEZEMBRO 2012, 10:40REPLY TO THIS COMMENT

3. Muito bom parabns pelo post. Andei lendo bastante coisa em outros blogs e sites, e noachei nada to completo. Parabns pelo trabalho.

PUBLICADO POR EDUARDO POPOVICI | QUINTA-FEIRA, 06 JUNHO 2013, 10:16REPLY TO THIS COMMENT

4. Ol eu sou o Rui Morais sou analista de S.O. aqui em Angola, cara voc me safou de umaMuito obrigado e os meus parabens

PUBLICADO POR RUI MORAIS | SEXTA-FEIRA, 21 JUNHO 2013, 06:05REPLY TO THIS COMMENT

5. Ol Bruno bom dia, venho aqui para lhe pedir uma ajuda.

Eu queria saber como se promove um servidor de backup para o servidor de domnioprincipal, passo a passo.

Esse caso que voc postou ai parecido mas no bem como eu queria por isso que estou aquilhe pedindo esta ajuda.

PUBLICADO POR ESDRAS CONDE | QUARTA-FEIRA, 06 NOVEMBRO 2013, 10:44REPLY TO THIS COMMENT

6. Muito bom esse artigo Parabns Amigo !!!

PUBLICADO POR ERICK MICKEL | QUARTA-FEIRA, 06 NOVEMBRO 2013, 20:58REPLY TO THIS COMMENT

7. Ol Bruno, primeiramente gostaria de agradecer pelo conhecimento repassado. Ficou muitobem feito o tutorial, realizei com mquinas de testes e funcionou 100%. Valeu!

Mas preciso de ajuda, pode me tirar algumas dvidas?

Meu cenrio o seguinte:

Em minha rede tinha 3 servidores, sendo 1 DC e 2 GC (que replicam o ad). Em todos os 3estava instalado somente AD e DNS, o DHCP em outro servidor. Porm, meu DC morreu.

Devo realizar os procedimentos acima em 1 dos GC apenas? o outro recebe as novasatribuies automaticamente? ou preciso realizar algum procedimento nele tbm?

Desde j, agradeo a ajuda

PUBLICADO POR MARCOS VINICIUS NUNES | SEXTA-FEIRA, 08 NOVEMBRO 2013,

11:13REPLY TO THIS COMMENT

8. Ola muito bom o tutorial. No meu trabalho infelizmente fazemos de tudo, por isso no soubom nessa rea de redes. Tenho um cenrio parecido e a pergunta num ambiente onde osservidores so Win Server 2003 esse procedimento funcionaria ???

PUBLICADO POR ROGRIO | QUARTA-FEIRA, 26 FEVEREIRO 2014, 09:38REPLY TO THIS COMMENT

Suporte de Rede

Blog no WordPress.com. O tema Morning After.

Seguir

Seguir Suporte de Rede

Tecnologia WordPress.com