デッドWindowsドメインコントローラーからのFSMOロールの獲得

これを行うことに関する他の質問や文書を見てきましたが、それでも私を混乱させるいくつかのことがあります。私が見たドキュメントと質問は次のとおりです。

• デッドWindows 2003ドメインコントローラーの廃止
• ペトリからのFSMOの役割の獲得
• NTDSUtil.exeを使用してFSMOの役割をドメインコントローラーに転送または強制する-Microsoft Knowledgebase
• Active DirectoryドメインコントローラーでのFSMOの配置と最適化-Microsoft Knowledgebase
• ドメインコントローラーの降格に失敗した後にActive Directoryのデータを削除する方法

この環境には、2つのWindowsサーバーと多数のクライアントが含まれています。ドメインコントローラーは、Windows 2000ネイティブADで実行されているWindows 2003 SP2です。もう1つのサーバー（DCではない）はWindows 2000 SP4（ウイルスチェックユーティリティをホストしています）です。

からの結果netdom query fsmo：

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

からの結果dcdiag：

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site\MYSELF
      Starting test: Connectivity
         The host 841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (841d395a-2139-49d9-82c1-7c7e31ccb33b._msdcs.office.local) couldn't be
         resolved, the server name (MYSELF.office.local) resolved to the IP
         address (192.168.9.101) and was pingable.  Check that the IP address
         is registered correctly with the DNS server. 
         ......................... MYSELF failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site\MYSELF
      Skipping all tests, because server MYSELF is
      not responding to directory service requests

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : office
      Starting test: CrossRefValidation
         ......................... office passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... office passed test CheckSDRefDom

   Running enterprise tests on : office.local
      Starting test: Intersite
         ......................... office.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         ......................... office.local failed test FsmoCheck

ここに私の質問があります（初心者の質問が多すぎる場合はご容赦ください）：

• netdom query fsmo私が見たのと同じロールが他の場所にリストされていますか？たとえば、ドメインロールの所有者はドメイン名前付けマスターと同じですか？あるRIDプールマネージャーは同じRID役割？
• これらの役割の1つを奪取した場合に発生する可能性がある悪いことは何ですか？
• ユーザーは気づくでしょうか？
• この設定は長い間行われており、人々は多かれ少なかれ正常に機能しています。PDCの役割を握ることでこれが変わるのでしょうか？
• これらのドキュメントの一部は、1つのDCですべての役割を持つことによる悲惨な結果を予測しています。クライアントベースが20日以内、そしておそらく10日以内の場合、1つのDCですべての役割を持つことは本当の問題ですか？
• Active Directoryから古いDCを削除するためにMicrosoftが推奨するクリーンアッププロセスを実行する際に注意事項はありますか？

また、ほぼ正接の質問-ドメインをWindows 2003 ADにアップグレードした場合（現在または将来）、これによりFSMOの役割を奪取する際に何か変更がありますか？

PS：DNSの問題は、MicrosoftのダイナミックDNSをサポートしていないMicrosoft以外のDNSを使用しようとしたことに関係していると思われます。Windows DNSが実行されていると思いますが、適切に機能しセットアップされているかどうかはまだ監査していません。

netdom query fsmoからリストされたロールは、私が見た他のロールと同じですか？たとえば、ドメインロールの所有者はドメイン名前付けマスターと同じですか？RID Pool ManagerはRIDロールと同じですか？

はい、正確に。その特定のディスプレイで名前がわずかに異なる理由はわかりません。

これらの役割の1つを奪取した場合に発生する可能性がある悪いことは何ですか？

発作自体？あまりない。警告される潜在的な問題のほとんどは、古いDCをその役割が奪われた後に再び有効にすることに関するものです-そして、それでも、それほど多くのリスクのためにそこには多くのヒステリーがあります。役割を移す代わりに発作で何かを壊すには、かなり奇妙なシナリオが必要です。しばらく接線を進めるために、役割と潜在的なリスクについて見ていきましょう。

• スキーママスター：これは誰もがかなりぴくぴくしますが、それを破ることはひどくありそうなシナリオではありません。ドキュメントには、ロールを奪取した後、古いスキーママスターを再びオンにしないでください、と私は警告しています。古いサーバーにはロールの変更が通知され、すぐにロールが放棄されます。ここでの潜在的なリスクは、新しいスキーママスターに変更が加えられ、次に古いスキーママスターがオンラインになり、他のDCからレプリケートされる前に、古いサーバーで異なる、競合するスキーマ変更が行われる場合です。この状況はほとんどありませんが、ドメインが破壊される可能性があります。

• ネーミングマスタ：スキーママスタと同様に、古いDCで、その役割を奪取した後、発作の知識を得る前に変更を加える必要があります（この場合、フォレストに新しいドメインを作成します）。

• PDCエミュレーター：リスクはありません。発散のリスクを負うものについては責任を負いません。

• RIDマスター：この構造を破壊するには、複製構造が台無しになっている必要があります。DCが2つあると想像してください。その役割が把握されていない古いRIDマスターと、新しいRIDマスター。この場合、両方のRIDプールを使い果たすのに十分なオブジェクトを作成し（500秒間で配布されます）、両方に重複プールを割り当てさせる必要があります。同一のRIDを持つオブジェクトを作成し、ドメインコントローラーを再接続して、黙示録が展開するのを確認します。

• インフラストラクチャマスター：正直なところ、GCの場合は機能しないため、おそらく世界のドメインの50％には機能するインフラストラクチャマスターさえありません。いずれにせよ、発作でそれを破ることはできません。

ユーザーは気づくでしょうか？

彼らはすべきではありません。

この設定は長い間行われており、人々は多かれ少なかれ正常に機能しています。PDCの役割を握ることでこれが変わるのでしょうか？

いいえ。単一のDCでは、PDCの機能がまったく失われることはありませんが、非PDC DCが目的のソース（欠落しているPDC）と時間を同期できない場合があります。

モレソ：

• スキーマを更新しようとすると、スキーママスターだけを見逃すことになります。
• フォレストに新しいドメインを作成しようとすると、ネーミングマスターのみが見逃されます。
• あまりにも多くのオブジェクトを作成し、DCのRIDプールを使い果たした場合にのみ、RIDマスターを見逃します（これはおそらく、そのまま実行し続ける場合に実行される可能性が最も高いです）
• マルチドメインフォレストでグローバルカタロググループの更新のインフラストラクチャマスタのみを見逃す

これらのドキュメントの一部は、1つのDCですべての役割を持つことによる悲惨な結果を予測しています。クライアントベースが20日以内、そしておそらく10日以内の場合、1つのDCですべての役割を持つことは本当の問題ですか？

いいえ-ただし、2番目のDCを取得します。唯一のDCが故障することは望ましくありません。

Active Directoryから古いDCを削除するためにMicrosoftが推奨するクリーンアッププロセスを実行する際に注意事項はありますか？

ええ-注意してください。ただし、ntdsutilナイフを研ぎ、古いデータを削除してください。余分なジャンクはドメインの保守性に役立ちません。

現在のセットアップ（機能する操作マスターがない）は危険なサポート対象外の構成であり、できるだけ早く修正する必要があります。見つからないサーバーが死んで埋もれている場合、FSMOの役割を強制することは、通常の操作を再開するために必要な手順です。

特定の質問への回答：

1. はい、あなたが言及する同じような名前の役割のタイトルはすべて同じことを意味します。
2. 役割を奪い取り、その後、その役割を保持していた欠落しているサーバーを復活させようとすると、悪いことが起こる可能性があります。役割を獲得する前に、それが死んでいて埋まっていることを確認してください。
3. FSMOの役割を奪取した結果、ユーザーが新しい問題に気付くことはほとんどありません。
4. 役割の奪取に失敗すると、長期にわたって問題が発生します。元の所有者の失敗後すぐに役割をつかむことは問題を引き起こしません。
5. 実際のところ、FSMOの役割のすべてを単一のサーバーを持っている10〜20人のユーザーと中小企業のための一般的であると取引所と Sharepoint。これにより、サーバーが正しく指定されている場合、手に負えないパフォーマンスの問題は発生しませんが、唯一のサーバーに障害が発生した場合、ダウンタイムが発生することが保証されます。ドメインの1つが1Uシャーシの500ドル未満のAtom D525サーバーであっても、ドメインごとに少なくとも2つのドメインコントローラーを用意することをお勧めします。
6. 特にありませんが、サーバーのメンテナンスには、少なくともある程度のリスクが伴います。いつものように、先に進む前に、完全かつテスト済みのバックアップと復旧計画があることを確認してください。
7. 最初にFSMOの役割を取得してから、ドメインの機能レベルをアップグレードする限り、これは問題になりません。
8. Active Directory環境内のドメイン解決にMicrosoft以外のDNSを使用する正当な理由はありません。内部DNSサービスをドメインコントローラーに移行する計画を準備および実装する必要があります。

Windows 2000サーバーで「ウイルスチェックユーティリティ」を実行していることを示しています。確かに、Windows 2000自体は多くの既知の脆弱性を備えた「ウイルス収集ユーティリティ」であり、セキュリティ更新プログラムは利用できないことに気付いています。このサーバーをすぐに廃止します。

はい、それらの役割をつかみます。あなたは電力変動/システムハング/災害からの太陽フレアです。

可能性は低いですが、ローカルマシンにキャッシュされたアカウントの変更がADと一致しない場合、ユーザーは気づくかもしれません。

DCは1つだけにしてはいけません。最小2つ、各リモートオフィスに1つ。VMを使用する場合（IMHO）は、物理的なボックスを補完するためだけです。そして、それはVMをDCとして使用することを読んだ後にのみです。

私はすべてのDCがGCであることを好みます。これは私の個人的な好みですが、ADのコンテンツの完全なコピーがこの役割を持つ各DCに保存されることを意味します。DCが2つあるが、GCが1つだけで、その1つが死んだ場合、DCが1つしかないかのようにねじ込まれたと思います。

PDCエミュレーターは、レガシーシステム（「システム」とは、SQL Server 2000などのマシン、アプリケーション、およびサービスを意味します）からすべてのトラフィックを取得します。ハードウェアに置きます。

他のDCがあり、レプリケーションが正常であれば、1つのDCがすべての役割を持っていることは必ずしも悪いことではありません。

ありますしない限り、本当に良い理由は、あなたは間違いなく、内部の名前解決のためのMicrosoft DNSを使用する必要があります。

環境を修正してからアップグレードします。あなたは沈没船​​をペイントしません。あなたがそれに取り組んでいる間、2008年に到達することを強く検討してください。2003年は生命維持にあります。

参照：ドメインコントローラがクラッシュした後、何をする必要がありますか？そして最初のDCが使用できなくなったとき、すべての役割を持つ別のDCを起動しない方法