Você está na página 1de 7

Suporte de Rede

EXPANDINDO CONHECIMENTO
ACTIVE DIRECTORY
Denir DC secundrio como principal em caso
de desastres
PUBLICADO POR BRUNO FELIPE ! QUARTA-FEIRA, 16 NOVEMBRO 2011 ! 9 COMENTRIOS
ARQUIVADO EM ACTIVE DIRECTORY, DESASTRE, DHCP, DOMAIN CONTROLLER,
FSMO, METADATA CLEANUP, NTDS, NTDSUTIL, SIZE, WINDOWS SERVER 2008
Saudaes pessoal, mais uma vez de volta ao blog, e dessa vez com um artigo muito interessante e
ponto crtico para alguns tcnicos e administradores.
Alguma vez j se passou pela cabea (ou nos piores casos j aconteceram). O que fazer caso o meu
Domain Controller principal morrer (considere morrer como um desastre, a situao em que
nenhum troubleshooting resolveu, um problema fsico como discos, ou nos extremos casos, roubo
de equipamento e at mesmo incndio).
Se dentro do seu ambiente voc no ter uma estrutura de contingncia prepare-se para uma longa
lista de chamados. Para tanto existem outras maneiras de se previnir um desastre, porm as
mesmas exigem um investimento maior a equipamentos (exemplicando um cenrio de
clustering), o que em algumas empresas no se faz jus o investimento.
Vamos exemplicar o cenrio e a funo de cada server nesse ambiente:
DC01 Domain Controller Principal Windows 2008R2 DHCP Ativo na Rede (Esse garoto ir
morrer)
DC02 Domain Controller Adicional Windows 2008R2 DHCP Congurado porm no ativo
(Esse est com as replicaes e funcionamento normal)
FS01 File Server Windows 2008R2 (Esse mantm todos os compartilhamentos e polticas de File
Server)
CL01 Domain Client Windows 7 (Client do domnio a ser usado como testes)
Reparem que nesse cenrio no tenho o meu File Server junto ao meu Domain Controller, isso
uma boa prtica e MUITO recomendada pela Microsoft, se voc quer a integridade dos seus
arquivos TENHA os mesmos em um servidor separado do seu Domain Controller.
Nesse artigo no entrarei em critrios de backups / storage, pois j sabemos o tamanho da
necessidade dos mesmos, vamos nos concentrar somente na funo de servidor por enquanto.
NOTA: Aps a realizao desse processo, o servidor excludo no poder ser adicionado novamente ao
domnio, o mesmo dever ser feito do zero e iniciar os procedimentos normais de adio de servidor ao
domnio
1- Iniciando o artigo j temos o DC01 fora do ar por um motivo de desastre, ao tentar logar com o
nosso Client j apresentado um erro que no h servidor disponvel. Imagine os usurios da
empresa congestionando o suporte tcnico.
2- Nosso primeiro passo no DC02 ativar o DHCP que j estava pr congurado (a
congurao simples, porm no mantenha ativo para que no haja conito com o DHCP
primrio). O importante a se reparar o range a ser distribudo se no ir conitar com alguma
atribuio xa j existente, e tambm se no h nenhuma referncia DNS ao servidor antigo. Para
ativao, clique com o boto direito sobre o escopo e depois em Activate.
3- Aps reiniciar o meu client (CL01), acompanhando pela opo Address Leases j reparo que o
IP foi atribudo com sucesso ao meu client.
4- Agora vamos iniciar o processos para migrao das FSMO (Flexible Single Master Operation),
primeiro precisamos consultar quem so os mestres de operao, para isso abra o prompt de
comando e digite: netdom query fsmo

5- Vericamos que todos os operations masters apontam para o DC01 (servidor falecido rsrsrs).
Precisaremos entrar na base NTDS para fazer as seguintes aes, para isso digite: ntdsutil

6- Em seguida digite: roles

7- Em fsmo maintenance digite: connections

8- Em server connections digite: connect to server nome_do_dc_ativo (No nosso caso
dc02.suportederede.local)
9- Ser usada as credenciais administrativas locais, em server connections digite: quit

10- Agora novamente em fsmo maintenance digite: seize PDC

11- Conrme com Yes a caixa de dilogo.
12- Aps o trmino digite: seize RID master

13- Mais uma vez conrme com Yes a caixa de dilogo.
14- Terminando digite: seize infraestructure master

15- Conrme com Yes a caixa de dilogo.
16- Agora digite: seize schema master

17- Conrme com Yes a caixa de dilogo.
18- Para nalizar digite: seize naming master

19- Conrme com Yes a caixa de dilogo.
20- Aps o trmino em fsmo maintenance digite quit e em seguida quit novamente.
21- Agora de volta ao prompt digite: netdom query fsmo verique se j faz referncia ao novo
servidor. No nosso cenrio no dc02.suportederede.local.
22- Agora ser necessrio rodar o metadata cleanup mais uma vez a ser realizado pela edio da
base NTDS. Para isso ainda no prompt digite: ntdsutil

23- Em seguida digite: metadata cleanup

24- Em seguida: connection

25- Em server connections digite: connect to server nome_do_dc_ativo (No nosso caso
dc02.suportederede.local)
26- Em server connections digite: quit

27- Em metadata cleanup digite: select operation target

28- Em seguida: list sites

29- Os sites disponveis sero listados, como temos somente um, verique que apresentado um
identicador 0! antes do CN, digite: select site 0

30- Aps selecionar o site, necessrio listar os domnios, para isso vamos digitar: list domains in
site

31- Os domnios sero listados, como temos somente um (identicador 0!) digite para selecionar:
select domain 0

32- Aps selecionar o domnio precisaremos listar os servidores, para isso digite: list servers in
site

33- Os dois servidores (DC01 e DC02) sero listados, precisamos selecionar o servidor a ser
excludo da base, verique com ateno e digite, fazendo referencia ao identicador do servidor:
select server 0

34- Em select operation target digite: quit

35- Retornando para metadata cleanup digite: remove selected server

36- Conrme com Yes na caixa de dilogo.
37- A parte mais trabalhosa j foi concluda, agora somente resta algumas vericaes e excluses
de referncias ao antigo servidor. Acesse o Active Directory Sites and Services em Start Menu /
Administrative Tools. Navegue at Servers e exclua o servidor perdido.
38- O importante vericar o DNS Manager se h registros com referncia ao servidor,
aproveite para certicar se est apontando corretamente os registros SOA / NS / SRV / LDAP
para o novo servidor. Todas referncias ao servidor antigo deve ser excluda.
39- Aps os procedimentos realizados anteriormente devemos conseguir acessar normalmente o
nosso domnio atravs de nosso client. O que vemos abaixo o logon de nosso client atravs de
um usurio do Active Directory.
40- Aps esses processos recomendado observar sempre o Event Viewer do DC02 para
identicar eventuais falhas e problemas. Abaixo vemos a consulta do Active Directory Domain
Services.
41- E agora vamos analisar o DNS Server. Constatamos que o nosso log (at o presente
momento) est sem erros ou alertas o que muito bom para o xito de nosso procedimento.
42- No ambiente existia uma Group Policy de mapeamentos, que criava um mapeamento
particular / um global e um por departamento, todos fazendo referncia aos compartilhamentos /
permisses do meu File Server (FS01), verique abaixo que os mapeamentos foram atribudos
normalmente.
Se tivssemos um servidor com todas as funes, o tempo de recuperao no seria to rpido,
seria necessrio recuperar os backups, vericar permisses, o que com certeza iria estressar a
equipe tcnica.
Espero que tenham gostado do artigo e toro para que no precisem usar, caso precise espero que
seja uma boa referncia para consulta.
Abraos a todos
Discusso
9 comentrios sobre Denir DC secundrio como principal em
caso de desastres
1. Bruno,
Fiz recentemente um procedimento parecido adicionei um WSSTR2 a um Dominio Pai ou
Floresta pai como queira WSST e nao deleguei as funoes Schema, PDC, RID e demais para o
novo Servidor o WSSTR2 e estou gerenciando meu ambiente em ambos mas sempre usando
mais o novo SRV.
Esse procedimento que voc informo pelo que entendi voc o fez quando o seu DC1 j no
estava no ar por algum problema.
O ambiente que voc simulo a e muito parecido com o meu, ai vem uma pergunta se baseando
no ambiente que voc apresento.
Eu consigo passa as funoes Masters para o outro servidor que no caso esta como Filho na
oresta sendo que o Dominio principal o servidor nao est no ar ?
E Meus Parabens Muito conteudo bacana no Blog, e este tutorial ser de grande importancia
para um procedimento que irei efetuar aps sua respota.
PUBLICADO POR ANDR LIMA | SEXTA-FEIRA, 16 DEZEMBRO 2011, 09:08
REPLY TO THIS COMMENT
Ol Andr Lima, agradeo os elogios ao contedo do blog.
Ento, referente a sua pergunta, o procedimento demonstrado no artigo voltado caso o
DC principal morra (no existindo nenhuma possibilidade de contato com outros
servidores e nem ser reintegrado ao domnio).
Esse procedimento serve e atende a sua necessidade.
Recomendo, caso esteja inseguro, faa testes antes em ambientes virtuais.
E mesmo antes de executar em seu ambiente de produo faa um belo backup.
Abraos
PUBLICADO POR BRUNO FELIPE | DOMINGO, 18 DEZEMBRO 2011, 22:08
REPLY TO THIS COMMENT
2. Bom dia Bruno.
Muito bom seu artigo e funcionou direitinho em meu cenrio. S tem um probleminha o meu
DC SECUNDARIO virtualizado no server2008 que primario, quando transformei o
server2012 virtualizado em primario eu no consigo fazer os procedimentos de excluso do DC
antigo eu acredito que este procedimento funciona apenas para quando os servidores so
separados e no quando o DC PRINCIPAL TENHA UM SECUNDARIO VIRTUALIZADO
NELE MESMO.
O problema que no estou conseguindo rebaixar o DC que era principal e muito menos
exclui-lo do ACTIVE DIRECTORY SITES AND SERVICE, sabe como resolvo este problema?
Sei que o correto deixar um servidor fsico como DC principal e no virtualizar DCS
principal, mas precisei fazer isso provisrio.
Abs.
Zacheo
PUBLICADO POR ZACHEO | SBADO, 22 DEZEMBRO 2012, 10:40
REPLY TO THIS COMMENT
3. Muito bom parabns pelo post. Andei lendo bastante coisa em outros blogs e sites, e no
achei nada to completo. Parabns pelo trabalho.
PUBLICADO POR EDUARDO POPOVICI | QUINTA-FEIRA, 06 JUNHO 2013, 10:16
REPLY TO THIS COMMENT
4. Ol eu sou o Rui Morais sou analista de S.O. aqui em Angola, cara voc me safou de uma
Muito obrigado e os meus parabens
PUBLICADO POR RUI MORAIS | SEXTA-FEIRA, 21 JUNHO 2013, 06:05
REPLY TO THIS COMMENT
5. Ol Bruno bom dia, venho aqui para lhe pedir uma ajuda.
Eu queria saber como se promove um servidor de backup para o servidor de domnio
principal, passo a passo.
Esse caso que voc postou ai parecido mas no bem como eu queria por isso que estou aqui
lhe pedindo esta ajuda.
PUBLICADO POR ESDRAS CONDE | QUARTA-FEIRA, 06 NOVEMBRO 2013, 10:44
REPLY TO THIS COMMENT
6. Muito bom esse artigo Parabns Amigo !!!
PUBLICADO POR ERICK MICKEL | QUARTA-FEIRA, 06 NOVEMBRO 2013, 20:58
REPLY TO THIS COMMENT
7. Ol Bruno, primeiramente gostaria de agradecer pelo conhecimento repassado. Ficou muito
bem feito o tutorial, realizei com mquinas de testes e funcionou 100%. Valeu!
Mas preciso de ajuda, pode me tirar algumas dvidas?
Meu cenrio o seguinte:
Em minha rede tinha 3 servidores, sendo 1 DC e 2 GC (que replicam o ad). Em todos os 3
estava instalado somente AD e DNS, o DHCP em outro servidor. Porm, meu DC morreu.
Devo realizar os procedimentos acima em 1 dos GC apenas? o outro recebe as novas
atribuies automaticamente? ou preciso realizar algum procedimento nele tbm?
Desde j, agradeo a ajuda
PUBLICADO POR MARCOS VINICIUS NUNES | SEXTA-FEIRA, 08 NOVEMBRO 2013,
11:13
REPLY TO THIS COMMENT
8. Ola muito bom o tutorial. No meu trabalho infelizmente fazemos de tudo, por isso no sou
bom nessa rea de redes. Tenho um cenrio parecido e a pergunta num ambiente onde os
servidores so Win Server 2003 esse procedimento funcionaria ???
PUBLICADO POR ROGRIO | QUARTA-FEIRA, 26 FEVEREIRO 2014, 09:38
REPLY TO THIS COMMENT
Suporte de Rede
Blog no WordPress.com. O tema Morning After.
Seguir
Seguir Suporte de Rede
Tecnologia WordPress.com