//
Você está lendo...
Active Directory

Definir DC secundário como principal em caso de desastres

Saudações pessoal, mais uma vez de volta ao blog, e dessa vez com um artigo muito interessante e ponto crítico para alguns técnicos e administradores.

Alguma vez já se passou pela cabeça (ou nos piores casos já aconteceram). O que fazer caso o meu Domain Controller principal morrer (considere morrer como um desastre, a situação em que nenhum troubleshooting resolveu, um problema físico como discos, ou nos extremos casos, roubo de equipamento e até mesmo incêndio).

Se dentro do seu ambiente você não ter uma estrutura de contingência prepare-se para uma longa lista de chamados. Para tanto existem outras maneiras de se previnir um desastre, porém as mesmas exigem um investimento maior a equipamentos (exemplificando um cenário de clustering), o que em algumas empresas não se faz jus o investimento.

Vamos exemplificar o cenário e a função de cada server nesse ambiente:
DC01 – Domain Controller Principal – Windows 2008R2 – DHCP Ativo na Rede (Esse garotão irá morrer)
DC02 – Domain Controller Adicional – Windows 2008R2 – DHCP Configurado porém não ativo (Esse está com as replicações e funcionamento normal)
FS01 – File Server – Windows 2008R2 (Esse mantém todos os compartilhamentos e políticas de File Server)
CL01 – Domain Client – Windows 7 (Client do domínio a ser usado como testes)

Reparem que nesse cenário não tenho o meu File Server junto ao meu Domain Controller, isso é uma boa prática e MUITO recomendada pela Microsoft, se você quer a integridade dos seus arquivos TENHA os mesmos em um servidor separado do seu Domain Controller.

Nesse artigo não entrarei em critérios de backups / storage, pois já sabemos o tamanho da necessidade dos mesmos, vamos nos concentrar somente na função de servidor por enquanto.

NOTA: Após a realização desse processo, o servidor excluído não poderá ser adicionado novamente ao domínio, o mesmo deverá ser feito do zero e iniciar os procedimentos normais de adição de servidor ao domínio

1- Iniciando o artigo já temos o DC01 fora do ar por um motivo de desastre, ao tentar logar com o nosso Client já é apresentado um erro que não há servidor disponível. Imagine os usuários da empresa congestionando o suporte técnico.

2- Nosso primeiro passo no DC02 é ativar o DHCP que já estava “pré configurado” (a configuração é simples, porém não mantenha ativo para que não haja conflito com o DHCP primário). O importante a se reparar é o range a ser distribuído se não irá conflitar com alguma atribuição fixa já existente, e também se não há nenhuma referência DNS ao servidor antigo. Para ativação, clique com o botão direito sobre o escopo e depois em “Activate”.

3- Após reiniciar o meu client (CL01), acompanhando pela opção “Address Leases” já reparo que o IP foi atribuído com sucesso ao meu client.

4- Agora vamos iniciar o processos para migração das FSMO (Flexible Single Master Operation), primeiro precisamos consultar quem são os mestres de operação, para isso abra o prompt de comando e digite: netdom query fsmo
 

5- Verificamos que todos os operations masters apontam para o DC01 (servidor falecido rsrsrs). Precisaremos entrar na base NTDS para fazer as seguintes ações, para isso digite: ntdsutil
 

6- Em seguida digite: roles
 

7- Em “fsmo maintenance” digite: connections
 

8- Em “server connections” digite: connect to server nome_do_dc_ativo (No nosso caso dc02.suportederede.local)

9- Será usada as credenciais administrativas locais, em “server connections” digite: quit
 

10- Agora novamente em “fsmo maintenance” digite: seize PDC
 

11- Confirme com Yes a caixa de diálogo.

12- Após o término digite: seize RID master
 

13- Mais uma vez confirme com Yes a caixa de diálogo.

14- Terminando digite: seize infrastructure master
 

15- Confirme com Yes a caixa de diálogo.

16- Agora digite: seize schema master
 

17- Confirme com Yes a caixa de diálogo.

18- Para finalizar digite: seize naming master
 

19- Confirme com Yes a caixa de diálogo.

20- Após o término em “fsmo maintenance” digite quit e em seguida quit novamente.

21- Agora de volta ao prompt digite: netdom query fsmo verifique se já faz referência ao novo servidor. No nosso cenário no dc02.suportederede.local.

22- Agora será necessário rodar o “metadata cleanup” mais uma vez a ser realizado pela edição da base NTDS. Para isso ainda no prompt digite: ntdsutil
 

23- Em seguida digite: metadata cleanup
 

24- Em seguida: connection
 

25- Em “server connections” digite: connect to server nome_do_dc_ativo (No nosso caso dc02.suportederede.local)

26- Em “server connections” digite: quit
 

27- Em “metadata cleanup” digite: select operation target
 

28- Em seguida: list sites
 

29- Os sites disponíveis serão listados, como temos somente um, verifique que é apresentado um identificador “0” antes do CN, digite: select site 0
 

30- Após selecionar o site, é necessário listar os domínios, para isso vamos digitar: list domains in site
 

31- Os domínios serão listados, como temos somente um (identificador “0”) digite para selecionar: select domain 0
 

32- Após selecionar o domínio precisaremos listar os servidores, para isso digite: list servers in site
 

33- Os dois servidores (DC01 e DC02) serão listados, precisamos selecionar o servidor a ser excluído da base, verifique com atenção e digite, fazendo referencia ao identificador do servidor: select server 0
 

34- Em “select operation target” digite: quit
 

35- Retornando para “metadata cleanup” digite: remove selected server
 

36- Confirme com Yes na caixa de diálogo.

37- A parte mais trabalhosa já foi concluída, agora somente resta algumas verificações e exclusões de referências ao antigo servidor. Acesse o “Active Directory Sites and Services” em Start Menu / Administrative Tools. Navegue até Servers e exclua o servidor perdido.

38- O importante é verificar o “DNS Manager” se há registros com referência ao servidor, aproveite para certificar se está apontando corretamente os registros SOA / NS / SRV / LDAP para o novo servidor. Todas referências ao servidor antigo deve ser excluída.

39- Após os procedimentos realizados anteriormente devemos conseguir acessar normalmente o nosso domínio através de nosso client. O que vemos abaixo É o logon de nosso client através de um usuário do Active Directory.

40- Após esses processos é recomendado observar sempre o Event Viewer do DC02 para identificar eventuais falhas e problemas. Abaixo vemos a consulta do “Active Directory Domain Services”.

41- E agora vamos analisar o “DNS Server”. Constatamos que o nosso log (até o presente momento) está sem erros ou alertas o que é muito bom para o êxito de nosso procedimento.

42- No ambiente existia uma Group Policy de mapeamentos, que criava um mapeamento particular / um global e um por departamento, todos fazendo referência aos compartilhamentos / permissões do meu File Server (FS01), verifique abaixo que os mapeamentos foram atribuídos normalmente.

Se tivéssemos um servidor com todas as funções, o tempo de recuperação não seria tão rápido, seria necessário recuperar os backups, verificar permissões, o que com certeza iria estressar a equipe técnica.

Espero que tenham gostado do artigo e torço para que não precisem usar, caso precise espero que seja uma boa referência para consulta.

Abraços a todos

Discussão

44 comentários sobre “Definir DC secundário como principal em caso de desastres

  1. Bruno,

    Fiz recentemente um procedimento parecido adicionei um WSSTR2 a um Dominio Pai ou Floresta pai como queira WSST e nao deleguei as funçoes Schema, PDC, RID e demais para o novo Servidor o WSSTR2 e estou gerenciando meu ambiente em ambos mas sempre usando mais o novo SRV.
    Esse procedimento que você informo pelo que entendi você o fez quando o seu DC1 já não estava no ar por algum problema.
    O ambiente que você simulo aí e muito parecido com o meu, ai vem uma pergunta se baseando no ambiente que você apresento.

    Eu consigo passa as funçoes Masters para o outro servidor que no caso esta como Filho na floresta sendo que o Dominio principal o servidor nao está no ar ?

    E Meus Parabens Muito conteudo bacana no Blog, e este tutorial será de grande importancia para um procedimento que irei efetuar após sua respota.

    Publicado por André Lima | sexta-feira, 16 dezembro 2011, 09:08
    • Olá André Lima, agradeço os elogios ao conteúdo do blog.

      Então, referente a sua pergunta, o procedimento demonstrado no artigo é voltado caso o DC principal morra (não existindo nenhuma possibilidade de contato com outros servidores e nem será reintegrado ao domínio).
      Esse procedimento serve e atende a sua necessidade.

      Recomendo, caso esteja inseguro, faça testes antes em ambientes virtuais.

      E mesmo antes de executar em seu ambiente de produção faça um belo backup.

      Abraços

      Publicado por Bruno Felipe | domingo, 18 dezembro 2011, 22:08
      • Bruno,

        5 anos quase 6 esse tutorial me salvo….
        Um SRV morreu, como tinha replicação entre eles,

        Fez exatamente processo acima e funciono perfeitamente.

        Mas uma vez, muito Obrigado”

        Valeu!

        Publicado por André Lima | quarta-feira, 08 março 2017, 19:59
    • Excelente post salvou me de muito trabalho, otimo trabalho.

      Publicado por Heron Meneses | segunda-feira, 07 julho 2014, 19:49
  2. Bom dia Bruno.

    Muito bom seu artigo e funcionou direitinho em meu cenário. Só tem um probleminha o meu DC SECUNDARIO é virtualizado no server2008 que é primario, quando transformei o server2012 virtualizado em primario eu não consigo fazer os procedimentos de exclusão do DC antigo eu acredito que este procedimento funciona apenas para quando os servidores são separados e não quando o DC PRINCIPAL TENHA UM SECUNDARIO VIRTUALIZADO NELE MESMO.

    O problema é que não estou conseguindo rebaixar o DC que era principal e muito menos exclui-lo do ACTIVE DIRECTORY SITES AND SERVICE, sabe como resolvo este problema?

    Sei que o correto é deixar um servidor físico como DC principal e não virtualizar DCS principal, mas precisei fazer isso provisório.

    Abs.
    Zacheo

    Publicado por zacheo | sábado, 22 dezembro 2012, 10:40
  3. Muito bom … parabéns pelo post. Andei lendo bastante coisa em outros blogs e sites, e não achei nada tão completo. Parabéns pelo trabalho.

    Publicado por Eduardo Popovici | quinta-feira, 06 junho 2013, 10:16
  4. Olá eu sou o Rui Morais sou analista de S.O. aqui em Angola, cara vocé me safou de uma… Muito obrigado e os meus parabens…

    Publicado por Rui Morais | sexta-feira, 21 junho 2013, 06:05
  5. Olá Bruno bom dia, venho aqui para lhe pedir uma ajuda.

    Eu queria saber como se promove um servidor de backup para o servidor de domínio principal, passo a passo.

    Esse caso que você postou ai é parecido mas não é bem como eu queria por isso que estou aqui lhe pedindo esta ajuda.

    Publicado por Esdras Conde | quarta-feira, 06 novembro 2013, 10:44
  6. Muito bom esse artigo Parabéns Amigo !!!

    Publicado por Erick Mickel | quarta-feira, 06 novembro 2013, 20:58
  7. Olá Bruno, primeiramente gostaria de agradecer pelo conhecimento repassado. Ficou muito bem feito o tutorial, realizei com máquinas de testes e funcionou 100%. Valeu!

    Mas preciso de ajuda, pode me tirar algumas dúvidas?

    Meu cenário é o seguinte:

    Em minha rede tinha 3 servidores, sendo 1 DC e 2 GC (que replicam o ad). Em todos os 3 estava instalado somente AD e DNS, o DHCP é em outro servidor. Porém, meu DC ”morreu”.

    Devo realizar os procedimentos acima em 1 dos GC apenas? o outro recebe as novas atribuições automaticamente? ou preciso realizar algum procedimento nele tbm?

    Desde já, agradeço a ajuda…

    Publicado por Marcos Vinicius Nunes | sexta-feira, 08 novembro 2013, 11:13
  8. Ola… muito bom o tutorial. No meu trabalho infelizmente fazemos de tudo, por isso não sou bom nessa área de redes. Tenho um cenário parecido e a pergunta é… num ambiente onde os servidores são Win Server 2003 esse procedimento funcionaria ???

    Publicado por Rogério | quarta-feira, 26 fevereiro 2014, 09:38
  9. Parabéns pelo post. Me ajudou muito.

    Atenção: No passo 14. em “Seize infraestructure master” o correto é “Seize infrastructure master”.

    Publicado por Valter Jr | quarta-feira, 30 abril 2014, 19:00
  10. Boa noite Bruno, excelente o artigo. Parabéns. Uma coisa me intriga. Quando montamos um servidor adicional em uma rede, vamos falar do Server Std 2008 com SP2 rodando, na instalação com o dcpromo, ambos já vem marcado a opção de DNS e CATALOG GLOBAL. Deixo essas duas opções marcadas, estou falando de redundância para o DC adicional replicar o Dns e o catalogo? No technet da MS eles pedem para marcar essas duas opções. Pode me esclarecer?
    Att,
    Cláudio Souza

    Publicado por Claudio Arruda de Souza | segunda-feira, 07 julho 2014, 19:52
  11. Bom dia!

    No meu caso o meu DC hoje tambem tem é um servidor de DNS. Como devo proceder nesse caso ?

    Publicado por Marcio Moreira Filho | quarta-feira, 16 julho 2014, 09:51
  12. Olá Bruno,

    Segui passo a passo mas aconteceu um problema na parte 37. não consegui remover o servidor primário pois ele ainda está marcado como DC e aparece uma mensagem de erro solicitando que primeiro ele seja despromovido ara que possa ser excluído. Já revisei os passos mas não funciona. Sei que posso ter esquecido algo mas você poderia me auxiliar neste processo? Já realizei todo o procedimento e não tem mais como voltar e fiquei presa nesse estágio.

    Publicado por Michele Duarte | quarta-feira, 23 julho 2014, 09:26
  13. Boa tarde Bruno,
    Valeu muito obrigado me ajudou bastante, apenas um comando deu erro “seize schema master”
    Já passou por algum assim?

    Obrigado.

    Publicado por Junior | quarta-feira, 12 novembro 2014, 12:42
  14. muito bom, salvou meu final de semana, muito obrigado!!!

    Publicado por Diego | domingo, 23 novembro 2014, 13:22
  15. Gostaria de uma ajuda.. quando fui executar o passo 8, tive o seguinte erro:
    Error 80070057 parsing input – illegal syntax ?

    server connections: dc2.”dominio.com”

    Publicado por Rodrigo Fadel | terça-feira, 24 fevereiro 2015, 19:35
  16. Ótimo artigo! Parabéns!
    Bem explicativo. Funcionou perfeitamente.

    Publicado por Abner Netto | sábado, 20 junho 2015, 20:24
  17. Parabéns pelo Post. Fantástico!

    Esse procedimento serviria para migrar o domínio primário com Windows Server 2003 para um secundário com Windows server 2008? Ou seja, tornar o Servidor com Windows 2008 o domínio primário?

    Publicado por Marcelo | terça-feira, 04 agosto 2015, 22:09
  18. Boa Tarde

    Sr. Bruno está tratativa só funciona se se eu tiver um Domain secundário?

    Ou posso instalar um AD do Zero e replicar o Backup nele pergunto porque estou batendo cabeça a 1 semana.

    Publicado por Genison Soares | segunda-feira, 11 janeiro 2016, 14:10
  19. Boa tarde, seguinte Bruno, instalei um domino através do ad promo e quando removi ele, não consegui mais ter acesso ao servidor, tive que recriar todos os usuários, teria alguma maneira de voltar a logar no servidor?

    Publicado por diego meotti | domingo, 07 fevereiro 2016, 17:26
  20. Ótimo post, parabéns. Passo a passo funcionou muito bem.

    Publicado por Sandro | terça-feira, 09 agosto 2016, 13:39
  21. Parabéns, ótimo post, simples, claro e objetivo.

    Publicado por Jean Vieira | segunda-feira, 22 agosto 2016, 16:16
  22. Bom dia!!!

    Eu consigo executar esse mesmo procedimento no 2012 r2 ?
    Meu DC1 principal está com 2008 r2 e meu DC2 secundário está com 2012 r2, se eu executar esse procedimento do DC2 ele assume como Pincipal DC?

    Publicado por Marcos Nunes | quinta-feira, 25 agosto 2016, 09:06
  23. Bruno
    parabéns pelo artigo. Excelente!

    Eu tive um problema que não me permitiu concluir seus passos. Tive um problema ao transferir o schema master e fiquei preso nessa etapa.

    O meu domínio secundário está numa maquina virtual (hyper-v) e não permitiu trocar o schema master. Fiz tudo segundo suas orientacoes, mas nada.

    Alguma sugestão.

    Publicado por pedro henrique monteiro lima | quinta-feira, 12 janeiro 2017, 19:35
  24. Ótimo, tudo ok, excelento material..

    Me auxiliou muito aqui na empresa!

    Muito obrigado.

    Publicado por Jean Helfer | sexta-feira, 24 março 2017, 09:54
  25. Olá amigos;
    O meu problema acho que é um pouco mais grave…
    Ao tentar transferir, retorna a mensagem: nome principal do destio está incorreto
    Alguma dica?

    Publicado por Flavio Gomes | segunda-feira, 10 abril 2017, 14:51
  26. corrigir o comando “seize infraestructure master” o correto é “seize infrastructure master”

    Publicado por Magskull | segunda-feira, 29 maio 2017, 09:13
  27. fantastico seu post. esta impresso aqui e colado do lado dos servidores. kkkkk
    parabens pelo trabalho

    Publicado por Luciano Fernandes | quinta-feira, 08 junho 2017, 15:11
  28. Ei lá , eu acho qᥙe ѕeu site pode estar tendo problemas Ԁе compatibilidade ⅾo navegador.

    Quando olho pɑra sua site blog еm Cromado , parece
    bom, mɑs ao abrir no Internet Explorer, tem alguma sobreposição.
    Só queria avisar սm rápido! Outros entã᧐, excelente
    blog!

    Publicado por homepage | quarta-feira, 20 dezembro 2017, 07:53
  29. Boa tarde!

    Tive exatamente esse problema com o servidor principal, que foi torrado por uma descarga atmosferica.

    Meu cenario e parecido com o proposto para o exemplo, porem, sem servico DHCP ativado. O meu DHCP esta em um roteador broadband com 2 wans e nao achei necessario fazer no servidor.

    Creio que alguem possa me orientar onde pode ter erro, uma vez que segui todo esse procedimento desse tutorial para eleger um dos servidores DCs secundarios como principal, mas continuo nao conseguindo autenticar login e nada mais no dominio.

    A introducao do dominio foi acontecendo aos poucos. Partiu da necessidade da empresa em controlar instalacoes indevidas de programas, horarios de acessos etc. Na oportunidade de criar o dominio, o servidor 1 foi instalado com servicos de arquivos, acesso remoto e o AD.

    Depois, todas as estacoes de trabalho ja foram inseridas no dominio.

    Entao, o servidor 2 foi instalado e inserido como segundo DC. Ainda, foram colocados mais dois servidores, tb foram configurados como DC.

    Cada um desses servidores roda um ERP. Pelo que vi, esse ja e o primeiro erro… Varios servicos rodando no mesmo servidor…

    Ai, queimou o servidor 1. Durante a procura de uma solucao, achei esse tutorial…

    Segui a risca, conferi e reconferi tudo feito no servidor 2, que esta exatamente com os resultados esperados. Removi toda a confguracao residual referente ao servidor 1, como foi orientado.

    Ainda assim, as maquinas nao encontram mais um servidor respondendo pelo dominio. Nao sei como proceder.

    Sinceramente, eu imaginei que seria automatico um dos servidores DCs responderem pelo dominio, se qualquer um dos outros servidores saissem de cena. Mas quebrei a cara.

    Sendo assim, gostaria de saber se alguem puder me dar uma luz e me explicar o que eu devo configurar agora no servidor 2 para ele assumir a bronca.

    Nas maquinas, inseri o IP do servidor 2 na lista d DNSs e removi o servidor 1.

    Se alguem puder me ajudar, agradeco desde ja.

    Publicado por Jean Carlo Silva Pasqualotto | sábado, 31 março 2018, 15:02
  30. Olá, alguem sabe o passo a passo para este mesmo cenário, porém com o WIN 2016 para o WIN 2019?

    Publicado por Suporte Técnico | quinta-feira, 22 novembro 2018, 16:19
  31. Boa tarde.

    Eu formatei meu servidor com AD. Ele replicava AD, DNS para outro servidor, só que não transferir as FSMO. Está sem operador master. Eu coloquei o servidor já formatado novamente na rede com o mesmo nome e o AD, DNS sendo replicado a ele agora pelo servidor que o substituiu. Se eu fizer esse procedimento na hora lá de excluir o servidor antigo como se term o mesmo nome vai haver problema? tipo ele não poder mais entrar no dominio novamente? fiz em ambiente virtualizado e a migrção das FSMO deu tudo certo.

    Publicado por Moisés Wilson | terça-feira, 27 novembro 2018, 12:36
  32. Gratidão por compartilhar! Fiz e deu certinho! Show de bola!

    Publicado por João Zem | quarta-feira, 09 janeiro 2019, 16:16
  33. Parabéns , migrei Server 2012 R2 data center para 2016 standard . Só queria saber Se pode dar problema colocar o IP do servidor primário .?

    Publicado por Ivo | sábado, 17 agosto 2019, 19:11
  34. Muito bom!! Parabéns!!

    Publicado por Jean Carlo Soares | sexta-feira, 06 setembro 2019, 11:08
  35. Parabéns, tutorial completo e bem explicado, um dos melhores que encontrei. Obrigado por compartilhar. Abraço

    Publicado por Bergson Faleiro Miranda | quarta-feira, 12 fevereiro 2020, 18:45
  36. Mais de 8 anos depois… fui salvo!

    Só uma sugestão: em seize infraestructure master está escrito errado.
    O correto seria:
    seize infrastructure master (sem o E).

    Isso para ajudar a quem quer copiar e colar (como eu 😉

    Muito obrigado.

    Publicado por Diego LVRS | sexta-feira, 14 fevereiro 2020, 23:33
  37. Fiz o procedimento e funcionou perfeitamente, só se atentar ao comando seize infrastructure master (sem o E) que no procedimento esta errado mas fora isso tudo funcionou pdireitinho.
    Obrigado.

    Publicado por Leonardo Nogueira | terça-feira, 16 junho 2020, 11:00

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: