Az árva tartományok esete a globális katalógusokkal
Sejtelmesen hangzik talán a cím, de ez nem egy krimi. Inkább egy aprócska esettanulmány.
Az utóbbi évben két alkalommal futottam össze hasonló esettel, gondoltam hát, megosztom a történetet. Persze a rutinos, sokat látott kollégák csak meghúzzák majd a vállukat: hm, igen vannak ilyen helyzetek, de simán megoldjuk. Lehet, hogy ők igen, de a kevésbé rutinosak talán megtakaríthatnak néhány órányi bosszúságot, ha összefutnak egy ilyen szituációval és tudják mi a megoldása.
A történet főszereplői az árva tartományok és a globális katalógusok. Ők így ebben az összeállításban kölcsönösen kizárják egymást, a történet lényege ugyanis éppen az, hogy amíg léteznek árva tartományok, addig nem lesznek új globális katalógusaink.
De mit is nevezünk árva tartománynak? Azokat, amelyeknek már nincs a hálózaton elérhető tartományvezérlőjük, tehát jó eséllyel már megszűntek. A megszűnés módja viszont nem a dcpromo volt (és az utolsó tartományvezérlő bejelölése), hanem egyszerűen eltűntek a bitködben.
Na ebben az esetben jönnek a gondok, ha újabb globális katalógust akarunk életre kelteni. A directory service ugyanis tudja a leckét és keresi-keresi a hiányzó tartományt és próbálkozik szorgalmasan az objektumok szinkronizálásával. De mivel ezzel sosem jut előbbre, hiszen nincs tartományvezérlő ami az adatokat tartalmazza, ezért nem tud mást tenni, mint belesírja ezt a bánatát az eseménynaplóba. Legnagyobb bánatunkra kékkel sír - tehát az esemény csupán információ (x. tartományvezérlő előléptetése globális katalógussá késik, mert y.z tartomány nem elérhető). És.... nem lép elő a tartományvezérlőnk globális katalógussá.
Itt kezdődött a kollégáim kálváriája. Kezdetben csak csodálkoztak, hogy miért áll le a felhasználók beléptetése (meg még jópár dolog), amikor az egyik tartományvezérlőt karbantartják. Aztán amikor megadta magát a gép RAID kontrollere és leállt szerver, akkor égetővé vált a probléma. A másik esetben még izgalmasabb lett a helyzet, mert az egyetlen működő globális katalógus egy kivonásra jelölt tartományvezérlő volt és meg is kezdték a kivonását. Global catalog pipa kivesz, OK gomb megnyom és innentől kezdve leáll a tartomány. Maguk a tartományvezérlők sem léptetik be még a rendszergazdákat sem. Az egyetlen esély az autoritive restore-on túl, ha van még olyan gép, amelyiken van belépett tartományi rendszergazda felhasználó és ő tudja, hogy hová kell ilyenkor kapni.
Ide kell: http://support.microsoft.com/kb/230306/en-us.
Az elárvult tartományokat az ntdsutil nevű létfontosságú szerszámmal tehetjük jól megérdemelt helyükre: a kukába. A procedúra közben teljesen normális, ha kicsit remeg a kezünk, hiszen ilyenkor egy éles szikével kotorászunk az Active Directory belsejében. Nem árt tehát, ha a kezünket és a szemünket fokozott syntax checking és audit módba kapcsoljuk. Viszont ha ügyesen végigcsináltuk a folyamatot, akkor néhány percen belül elhárulnak az akadályok az új globális katalógus létrehozása elől és megérkezik a régvárt üzenet: Server x. is now a global catalog.
Tanulságok? Van több is.
- Tartományokat nem hozunk létre össze-vissza. Ha pedig létrehoztuk őket, akkor szabályosan szüntessük meg őket. Vannak persze extrém esetek, mint a kollégák esetében is, ahol az elárvult tartományokat a világ másik végén hozták létre, majd hagyták magukra.
- Tartsuk a rendszergazdák és főleg az Enterprise Admin-ok számát a minimumon, és ezek az emberek értsék a dolgukat és kommunikáljanak egymással! (Ez sokat segíthet akkor is, ha a világ eltérő sarkaiban dolgoznak.)
- Az új globális katalógus létrehozása nem egyenlő a pipa bekattintásával. A folyamat vége a sikert jelző eseménynapló bejegyzés, amíg nincs ilyenünk, addig gyanakodjunk.
- Tartomány egy globális katalógussal nem igazán tartomány. Éljenek a virtuális tartományvezérlők és globális katalógusok!
