Discussione:
Ruoli dei controllori di dominio
(troppo vecchio per rispondere)
Marco Bianchi
2005-01-25 21:43:09 UTC
Permalink
Mi pongo la seguente domanda: ho un controllore di dominio active directory
con windows 2003 server e un secondo controllore di dominio dello stesso
dominio active directory con windows 2003 server, sono entrambi global
catalog,tutti gli ruoli schema, denominazione dei nomi, rid, pdc,
infrastrutture sono nel primo domain controller (so come distribuire gli
ruoli ma ho deciso di lasciarli sul primo controllore), purtroppo e' andato
irreversibilmente in crash il primo controllore di dominio, il secondo
essendo global catalog ha continuato ad autenticare perfettamente i vari
utenti. Io per prudenza ho subito fatto il seize di tutti gli ruoli sul
controllore di dominio secondario. La mia domanda e' la seguente, se non
avessi fatto il seize di tutti gli ruoli sul secondaro e avessi continuato ad
usare il controllore di dominio in quel modo cosa sarebbe successo? Avrebbe
continuato ad applicare le policy di dominio ai vari utenti nel dominio?
Avrebbe causato qualche problema? Grazie.
Rossano Orlandini
2005-01-25 21:56:45 UTC
Permalink
On Tue, 25 Jan 2005 13:43:09 -0800, "Marco Bianchi"
Post by Marco Bianchi
Mi pongo la seguente domanda: ho un controllore di dominio active directory
con windows 2003 server e un secondo controllore di dominio dello stesso
dominio active directory con windows 2003 server, sono entrambi global
catalog,tutti gli ruoli schema, denominazione dei nomi, rid, pdc,
infrastrutture sono nel primo domain controller (so come distribuire gli
ruoli ma ho deciso di lasciarli sul primo controllore), purtroppo e' andato
irreversibilmente in crash il primo controllore di dominio, il secondo
essendo global catalog ha continuato ad autenticare perfettamente i vari
utenti. Io per prudenza ho subito fatto il seize di tutti gli ruoli sul
controllore di dominio secondario. La mia domanda e' la seguente, se non
avessi fatto il seize di tutti gli ruoli sul secondaro e avessi continuato ad
usare il controllore di dominio in quel modo cosa sarebbe successo? Avrebbe
continuato ad applicare le policy di dominio ai vari utenti nel dominio?
Avrebbe causato qualche problema? Grazie.
A parte la valanga di messaggi di errore nel visualizzatore eventi del
DC rimasto, alcuni esempi pratici di malfunzionamenti: non è possibile
creare nuovi utenti, oppure modificarne le password; non è possibile
associare nuovi computer al dominio, non è possibile creare dominii
child; non è possibile installare applicazioni che si appoggiano e
vanno scrivere le loro impostazioni nello Schema di AD (come Exchange
Server).
Alcuni casi per cui una corretta presenza dei ruoli FSMO è
fondamentale per il buon funzionamento dell'infrastruttura di rete.
--
Rossano Orlandini
Alessandro Borille [MVP]
2005-01-25 22:31:47 UTC
Permalink
On Tue, 25 Jan 2005 22:56:45 +0100, Rossano Orlandini
Post by Rossano Orlandini
A parte la valanga di messaggi di errore nel visualizzatore eventi del
DC rimasto, alcuni esempi pratici di malfunzionamenti: non è possibile
creare nuovi utenti, oppure modificarne le password; non è possibile
associare nuovi computer al dominio, non è possibile creare dominii
child; non è possibile installare applicazioni che si appoggiano e
vanno scrivere le loro impostazioni nello Schema di AD (come Exchange
Server).
Alcuni casi per cui una corretta presenza dei ruoli FSMO è
fondamentale per il buon funzionamento dell'infrastruttura di rete.
Uelà Rossano, come sempre questo è il nostro orario :-)
Mi hai messo curiosità. Sei certo che gli utenti non possano essere
aggiunti e che essi non possano cambiare la password (da client non
legacy) in mancanza del PDC emulator e del RID ? Non ho provato,
altrimenti mi risponderei da solo. Ma dalla descrizione dei FSMO roles
non ricavo questa certezza:
http://www.petri.co.il/understanding_fsmo_roles_in_ad.htm
(il primo link che ho trovato con google).
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Rossano Orlandini
2005-01-25 23:41:38 UTC
Permalink
On Tue, 25 Jan 2005 23:31:47 +0100, "Alessandro Borille [MVP]"
<***@despammed.com> wrote:

[CUT]
Post by Alessandro Borille [MVP]
Uelà Rossano, come sempre questo è il nostro orario :-)
Ciao Ale.
Già, i lupi sonnabuli delle fredde notti invernali :-)
Post by Alessandro Borille [MVP]
Mi hai messo curiosità. Sei certo che gli utenti non possano essere
aggiunti e che essi non possano cambiare la password (da client non
legacy) in mancanza del PDC emulator e del RID ? Non ho provato,
altrimenti mi risponderei da solo. Ma dalla descrizione dei FSMO roles
http://www.petri.co.il/understanding_fsmo_roles_in_ad.htm
(il primo link che ho trovato con google).
Ovviamente il mio era solo un breve elenco degli effetti collaterali,
ma, per essere precisi, non tutti si verificano contemporaneamente ed
immediatamente (per fortuna!).
Per quanto riguarda l'aggiunta di nuovi utenti, il RID Master
distribuisce un pool di 512 oggetti, i cosiddetti Security Principals
(ossia Utenti, Gruppi o Computer) a ciascun DC che li può poi gestire
in base alle varie richieste. Esaurito il pool di oggetti, se un DC
deve creare, ad esempio, un nuovo account utente o un nuovo gruppo,
deve richiedere un altro pool al DC detentore del ruolo RID Master ma
se questo non è disponibile, viene visualizzato un errore.
Per quanto riguarda il cambiamento della password, in presenza di un
dominio in Native Mode (con client di qualunque tipo) i client possono
autenticarsi verso qualunque DC e e qualunque DC può accettare il
cambiamento della loro password. Tuttavia, anche in Native Mode, le
modifiche alle password eseguite dagli altri DC sono inviate al DC che
detiene il ruolo di PDC Emulator per l'ultima verifica. Inoltre se un
client sbaglia il logon, la richiesta di autenticazione viene
ritentata verso il PDC Emulator prima di definirla definitivamente
errata e rifiutarla.
--
Rossano Orlandini
Rossano Orlandini
2005-01-25 23:45:25 UTC
Permalink
On Wed, 26 Jan 2005 00:41:38 +0100, Rossano Orlandini
Post by Rossano Orlandini
On Tue, 25 Jan 2005 23:31:47 +0100, "Alessandro Borille [MVP]"
[CUT]
Post by Alessandro Borille [MVP]
Uelà Rossano, come sempre questo è il nostro orario :-)
Ciao Ale.
Già, i lupi sonnabuli delle fredde notti invernali :-)
^^^^^

... che sbagliano pure l'ortografia, vista l'ora ;-)

Ciao!
--
Rossano Orlandini
Alessandro Borille [MVP]
2005-01-26 18:55:20 UTC
Permalink
On Wed, 26 Jan 2005 00:41:38 +0100, Rossano Orlandini
Post by Rossano Orlandini
Ovviamente il mio era solo un breve elenco degli effetti collaterali,
ma, per essere precisi, non tutti si verificano contemporaneamente ed
immediatamente (per fortuna!).
[...]

Bon. Letto tutto. Siamo allineati :-)
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Alessandro Borille [MVP]
2005-01-25 22:09:40 UTC
Permalink
On Tue, 25 Jan 2005 13:43:09 -0800, "Marco Bianchi"
Post by Marco Bianchi
La mia domanda e' la seguente, se non
avessi fatto il seize di tutti gli ruoli sul secondaro e avessi continuato ad
usare il controllore di dominio in quel modo cosa sarebbe successo? Avrebbe
continuato ad applicare le policy di dominio ai vari utenti nel dominio?
Avrebbe causato qualche problema? Grazie.
Non avresti potuto aggiornare lo schema, aggiungere domini,
autenticare client legacy. Non so se c'è altro, nel tuo caso.
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Marco Bianchi
2005-01-26 08:17:22 UTC
Permalink
Vi ringrazio moltissimo è tutto chiaro!
Post by Rossano Orlandini
On Tue, 25 Jan 2005 13:43:09 -0800, "Marco Bianchi"
Post by Marco Bianchi
La mia domanda e' la seguente, se non
avessi fatto il seize di tutti gli ruoli sul secondaro e avessi continuato ad
usare il controllore di dominio in quel modo cosa sarebbe successo? Avrebbe
continuato ad applicare le policy di dominio ai vari utenti nel dominio?
Avrebbe causato qualche problema? Grazie.
Non avresti potuto aggiornare lo schema, aggiungere domini,
autenticare client legacy. Non so se c'è altro, nel tuo caso.
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Continua a leggere su narkive:
Loading...