Domain Controller con ruoli FSMO “defunto”

Purtroppo per il mio week end la scorsa settimana un mio cliente ha avuto dei problemi con la propria Active Directory e ovviamente nel tardo pomeriggio di venerdì.

Per un problema su Kerberos ad un certo punto le repliche tra i Domain Controllers hanno iniziato a farei i capricci con inevitabili ripercussioni sull’organizzazione di Exchange, DFS, IAS, ecc…

Questa situazione è stata confermata da diversi messaggi eloquenti ricavati con il troubleshooting con gli strumenti DCDIAG e REPADMIN con l’opzione /SHOWREPL.

Dopo alcune verifiche sui diversi servizi che impattano sul funzionamento di Active Directory abbiamo deciso (insieme ad un altro mio collega) di demotare il Domain Controller che non replicava anche se esso deteneva i ruoli FSMO. Per determinare come sono distribuiti i ruoli FSMO all’interno della foresta è sufficiente eseguire il comando NETDOM QUERY FSMO.

Ovviamente il demote classico non ho funzionato proprio perchè il Domain Controller con problemi non riusciva a comunicare la propria “uscita di scena” agli altri Domain Controllers. Quindi sul server in questione abbiamo eseguito il comando DCPROMO /FORCEREMOVAL. Questa procedura è motivata anche dal fatto che quel server ospita anche altri servizi, tra cui DFS, e quindi non poteva semplicemente essere spento e rimosso.

Una volta rimossa l’Active Directory dal server abbiamo fatto un pò di pulizia in Active Directory, DNS & co. con il comando NTDSUTIL /metadata cleanup.

A questo punto abbiamo forzato l’elezione di un altro Domain Controller presente in rete tramite la procedura di SEIZE dei ruoli indicata qui nel supporto Microsoft.

Una volta terminata la procedura illustrata bene nel link appena citato, ho controllato lo stato della topologia e delle repliche dallo snap-in dei site and services. Dopo un pò (dipende dalla complessità dei siti e delle repliche presenti in una foresta) KCC si è assestato e rieseguendo i comandi DCDIAG e REPADMIN /SHOWREPL tutto è tornato funzionante.

Questo è confermato anche dal registro degli eventi sui vari Domain Controllers nelle voci Active Directory, DNS, File Replication Services, ecc…

Tutto bene… a parte un week end a metà :( .

Leave a Comment

You must be logged in to post a comment.