Člověk může plánovat, jak chce, ale technika žije svým vlastním životem. Obvykle tím, který administrátorovi hází neustále klacky pod nohy. Třeba dnes – rutinní výměna AD serveru zákazníka se zvrhla v řešení problémů replikací, DNS, nekompatibility upgradovaného serveru z W2000 na W2003. Nejdříve jaký byl plán.
1. přesun pěti FSMO rolí na druhý existující AD server
2. dcpromo odinstalace a ponížení na member server
3. odebrání serveru z domény do workgroupy
4. vypnutí serveru a zapojení náhradního již předinstalovaného pod stejným jménem
5. zapojení serveru do domény
6. dcpromo, aktivace Global Catalog
7. přesun pěti FSMO rolí zpět na nový AD server
Relativně sranda věc na max. 1 hodinu práce. A jaká byla realita?
1. pokus o přesunutí první role – nelze se připojit z příslušné snap-in konzole k cílovému AD serveru
2. zjištěno, že probíhá replikace z druhého na první AD, ale nastává chyba při replikaci z prvního na druhé AD
3. pomocí NETDIAG a DCDIAG zjištěn problém pocházející již ze září tohoto roku. První server byl zatraceně dlouho vytuhlý, díky čemuž došlo k rozsynchronizování hesel účtů doménových řadičeů Neboli první AD si mezitím vygenerovalo nové heslo, ale k druhému se tato informace v potřebné lhůtě nedostala. Bylo tak nutné absolvovat proceduru resetující heslo lokálně na prvním AD, přičemž toto heslo bylo zároveň zapsáno do druhého AD.
4. přesun FSMO rolí
5. dcpromo odinstalace
6. odebrání serveru z domény do workgroupy
7. vypnutí serveru a zapojení nového
8. zapojení serveru do domény jako member serveru
9. po rebootu member serveru zjištěno, že se není možné žádným doménovým účtem přihlásit do domény (Access Denied). Zvláštní však bylo, že při zalogování na member server pod lokálním účtem administrátora bylo možné použít příkaz “net use \\druhe_ad\c$ /user:domena\administrator”.
10. reboot druhého (posledního) AD zabral neuvěřitelných 25 minut
11. po rebootu přetrvávají příznaky bodu 9
12. DCDIAG a chyby v Event Logu ukazují na problémy s DNS
13. DNS mmc neobsahuje žádnou Forward-lookup zónu! Tím se vysvětlují body 9-12. AD je s DNS naprosto svázáno, takže je mi spíš divné, že AD bez DNS záznamů vůbec (i když pomalu) nastartovalo.
14. zjistil jsem, že druhý server není “čistokrevný” W2003 serveru, ale patrně upgrade z Windows 2000 či Windows NT 4.0. Mohu se jen domnívat, že při dcpromo odinstalaci došlo buď k poškození dat DNS zón v AD, nebo došlo k úplné ztrátě Application Partition.
15. zjištěno, že není možné vytvořit AD integrated DNS zónu, jež by byla uložena na všech DNS serverech v doméně, ani na všech DC v doméně. Jedinou cestou tak bylo manuální vytvoření primární DNS zóny neuložené v AD – podkladem mi byly údaje obsažené v souboru netlogon.dns.
16. ověřeno, že jsem schopen se zalogovat z member serveru
17. převod primární zóny na AD integrated zónu uloženou na AD řadičích (jediná volba dostupná na Windows 2000)
18. dcpromo, aktivace GC
19. přesun FSMO rolí
Jelikož jsem se s některými opravnými procedurami setkal již poněkolikáté, je načase si je poznamenat v samostatných příspěvcích.