Microsoft Partner Network

TechEd 2010: How to (un) destroy your Active Directory

Christian-Decker   12. November 2010 10:22 Kommentare (0) Tags:  Feed Tag,  Feed Tag

Ralf Wigand
MVP Directory Services
KIT

10 Probleme, die er in ein AD eingebaut hat, echte Probleme, die er im real life gefunden hat

das erste (naja, zweite, das erste ist ein Kaffee) was er vom Kunden will, bevor er zum Troubleshooting beginnt, ist Dokumentation (selten bekommt er sie)

  • AD Controller braucht in den IP4 Settings unbedingt das Hakerl: Register in DNS
  • auch sollte ich das DHCP Service auf Rechnern mit fixer IP Adresse nciht stoppen, weil dieses Service auch die DNS Registrierung macht
  • Multihome DC
    schlechte Idee, besonders wenn beide Ip Adressen im DNS registriert sind -
  • Wenn ich Universal Groups verwende, sollte mein Global Catalog Server immer verfügbar sein
  • du solltest niemals einen GC auf einem INfrastructure Master betreiben
    OK, wenn alle DCs GC sind
    wenn nciht, sollte der INfrastructure Master kein GC sein
  • übrigens: Alle seine DCs waren CORE Server.... (nur so nebenei...)
  • Zeit/Datumunterschied zwischen den Servern (DCs) und den Clients ist schlecht
    Timeservice sollte nicht disabled sein (sc config w32time start= auto (vorsicht auf das Leerzeichen nach dem = ) !
    Default Toleranz ist 5 Minuten ! (sollte man auch nicht ändern....)
  • in virtualisierten UMgebungen sollte man die Zeit syncen entweder:
    mit dem Host oder
    mit dem DC
    aber nicht mit beiden ! – Grundsätzlich ist egal, welche Mögliceit man verwendet, er empfiehlt eher, die TimeSync mit dem Host zu disablen
  • 2 default domain policies
    Default Domain Policy
    Default Domain Controller Policiy
    beide sollte ich NIE modifizieren !
    es gibt ein tool dcgpofix – damit kann ich die Default Domain Policies restoren...
    kann Probleme mit Group Policies lösen
  • immer wenn ich das Problem habe: Manchmal gehts, manchmal nicht, sollte ich meine DCs checken
    in seiner Demo kann isch der SUer 11 und User 12 manchmal anmelden, manchmal nicht.
    Am DC1 gibts den User nciht, am DC2 schon – obwohl die DCs voll syncronisiert sind
    sind Lingering Objects
    die entstehen, wenn ich längere Zeit keine funktionierende Replikation habe
    wenn ich ein Objekt lösche, sit es nciht gelöscht, sondern bekommt eine Flag. Du bist deleted (weil ein Objekt, das nciht mehr da ist, kann ich schelcht replizieren ;) )
    wenn die Lifetime dieses Objekts nun vorbei ist, wird es gelöscht.
    Passiert nun während dieser Lifetime keine Replikation, wird das Objekt gelöscht und nie wieder repliziert)

    mit repadmin /removelingeringobjects kann ich das auflösen (nur machen, wenn ich verstehe was ich tue !)
  • USN rollback
    Restore a DC from a snapshot
    immer wenn ich ein Update asl DC mache, erhöhe ich meine USN (Update sequence number)
    Werde ich restored, habe ich eine kleinere USN und die anderen DCs mögen mich nciht mehr
    Ausserdem ist alles, was ich den anderen DCs geschickt habe, nichtmehr zu mir repliziert, weil die es ja von mir bekommen haben :(

    Wie löst man dieses Problem ?
    MMhh – gar nicht – sehr schwierig
    einfache Lösung: NEVER USE A SNAPSHOT ON DOMAIN CONTROLLER !
    wenn dein DC crasht, lösche ihn aus dem AD, setze ihn neu auf, ist schneller und besser

Christian, live von der letzten Session von der TechEd in Berlin

Danke fürs Mitlesen, danke fürs Feedback, dass ich schon bekommen habe, danke für das Feedback, dass ich noch bekommen werde (;)

Christian.Decker@microsoft.com

Kommentar schreiben

biuquote
  • Kommentar
  • Live Vorschau
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies