postanowiłem przetestować kilka opcji w labie, z czego wyniknęły bardzo ciekawe przypadki – jak to zwykle w takich nuke-testach bywa.
co zrobiłem:
– był sobie kontroler domeny na w2k3 R2
– dostawiłem drugi DC na w2k8
– zshutdownowałem w2k3
– wszedłem do ADUaC i bezczelnie zrobiłem 'delete’ na obiekcie starego DC.
kiedyś takie rzeczy kończyły się brakiem FSMO oraz śmieciami w metadanych AD. Interfejs został poprawiony już w w2k3 R2 ale nigdy nie miałem odwagi przetestować – ale od czego jest lab? (: no więc interfejs zapytał mnie czy na pewno nie uda mi się odzyskać starego DC, i czy w związq z tym przenieść role FSMO na nowy kontroler. Odpowiedziałem tak – i voila! po kilq sekundach miałem wszystko ślicznie…
a więc pierwszy test wypadł rewelacyjnie. jednak jakoś nie pomyślałem, że jak DC stoi ledwie kilka minut to może nie zreplikował jeszcze wszystkiego. I za chwilę okazało się, że kiedy próbuję odpalić ADUaC to wszystko niby działa, ale toole typu 'site and services’ czy 'domains and trust’ odmawiają posłuszeństwa. Zrobiłem podstawowe testy czy AD na pewno stoi prawidłowo… i oczywiście SYSVOL i NETLOGON nie zdążyły się zreplikować. W związq z tym share’y się nie utworzyły i domena działa.. ale nie do końca.
miałem już kiedyś takie przypadki, więc wiedziałem czego szukać: BurFlags. parametr w rejestrze, który wymusza informację, że sysvol się zreplikował. pełny opis zmiany można znaleźć w kb315457.
kolejny problem: sysvol się pojawił, ale jest pusty! no bo przecież nic nie zdążyło się zreplikować. i tutaj znów coś na co kiedyś trafiłem przypadkiem – a o czym o dziwo emes nie chwali się głośno – jak odbudować polisy domenowe? pamiętałem tylko, że ma coś 'fix’ w nazwie, więc szybkie:
c:>dir /s *fix*.*
i zaraz widać ’dcgpofix.exe’.
ten milutki tool odbudowuje standardowe polisy Default Domain Policy i Default Domain Controller Policy. Potrzebowałem kiedyś tego, bo namieszałem w tych polisach i nie wiedziałem jak je zresetować.
i wszystko działa (:
z innych ciekawostek, które przy takich okazjach wychodzą:
– jak z linii poleceń uczynić DC Global Catalogiem? poleceniem dsmod, gdzie parametrem jest distinguished name servera w partycji konfiguracji:
dsmod server "cn=server,cn=Servers,cn=Default-First-Site-Name,cn=Sites,cn=Configuration,dc=domena,dc=ad"
– przy podobnym scenariuszu, ale poprawnym usunięciu pierwszego DC (w2k3) czyli za pomocą dcpromo… zniknęły strefy DNS!! Podczas degradacji faktycznie pojawiała się jakaś informacja o braq replikacji partycji domenowej czy coś w ten deseń… no i okazuje się, że bardziej poprawnie wcale nie musi oznaczać łatwiej. Trzeba było odtworzyć DNS czyli:
- założyć strefę o nazwie nazwa.domeny
- założyć strefę o nazwie _msdcs.nazwa.domeny
- zrestartować kompa
z dziwnych zachowań: restart netlogon nie pomógł – musiał być restart. Jeśli nie założy się zony _msdcs, to zostanie założona jak w w2k – wewnątrz zony domenowej. Zdaje się że trzeba pousuwać, założyć sterfę i restarcik. proste i skuteczne (:
