Архив Апрель 2015

Чистьте Active Directory!

Я уже писал ранее о том, как не удалённый вовремя из Active Directory  вышедший из строя контроллер домена может мешать её работе. И вот, форумы русского Technet принесли ещё один пример того, как не вычищенные вовремя из Active Directory следы «мёртового» контроллера домена могут мешать нормальному функционированию. Автор вопроса на форумах наткнулся на ситуацию, когда он не может добавить в домен новую рабочую станцию. При этом, в журнале событий фиксировалось событие с кодом 16651 от источника Microsoft-Windows-Directory-Services-SAM , говорящее об исчерпании пула относительных идентификаторов (RID) и о проблеме получения нового пула. Однако, автор вопроса уверял, что контроллер — владелец роли RID Master работоспособен. Дополнительный опрос и диагностика показали следующую картину: у автора вопроса физически был ровно один контроллер домена, который являлся владельцем всех ролей FSMO, но в базе данных Active Directory остались записи для другого, неработоспособного контроллера домена, и тесты dcdiag сообщали о совершенно естественных проблемах репликации с этим, физически отсутствующим контроллером. И именно это послужило источником проблемы. Дело в том, что владелец роли FSMO (при настройках по умолчанию) после запуска не начинает функционировать в качестве такового до тех пор, пока он не проведёт начальную синхронизацию раздела каталога, с которым связана соответствующая роль FSMO, с каким-либо другим контроллером домена, на котором есть копия этого раздела. Сделано это из соображений безопасности — чтобы случайно включенный в сеть бывший владелец роли, у которого роль была принудительно изъята и передана другому контроллеру, не нарушил функционирование Active Directory. Поэтому у автора, хотя роль RID master и была перенесена на функционирующий контроллер, этот контроллер не начал выполнять функции RID master, потому что не мог провести начальную синхронизацию, о необходимости которой говорило наличие в AD другого контроллера домена. После удаления из AD записей о неработоспособном контроллере, когда  необходимость в начальной синхронизации отпала, проблема была решена — новый пул RID был получен и рабочая станция была успешно добавлена. Мораль всей этой истории такова — не оставляйте в AD следы вывденных из эксплуатации контроллеров доменов: они могут помешать работе.