Archive for the ‘Windows 2008’ Category.

Active Directory – Restore en AD integreret DNS zone

En rigtig dårlig dag kan starte med, at man kommer til at slette den primary AD integreret DNS zone, inklusiv diverse SRV records.
Denne ændring bliver ligeledes replikeret ud til de andre dc’ere.
Det betyder i praksis, at man i et hug amputerer sit Active Directory og brugerne vil ikke være i stand til at logge på domænet.
Nedenstående beskriver en sådanne situation.
Jeg starter DNS manageren og viper min AD-integreret zone “win.local”.

 
Ændringen bliver replikeret ud til DC WIN-DC-002. Zonen er nu væk.

Fra en klient prøver jeg at pinge og lave en nslookup på WIN-DC-001 uden noget positivt resultat.
 
Jeg booter en Vista klient og prøver at logger på domænet, igen uden succes. Jeg kan kun logge på pc’en med en cached profile.
I eventloggen fremkommer følgende, som fortæller at klienten ikke kan kontakte nogen domain controller, samt fejl i afvikling af Group Policy.

 
Ok, not too good. Nu begynder brugerne at ringe (konen og ungerne)…doh.
Heldigvis lavede jeg forinden en frisk system state backup af mine DC’ere, som også indeholder min slettet zone + data.

Restore proceduren er herefter som følger:
Boot DC’en i DSRM (Directory Services Restore Mode)
Restore System State med kommandoen: wbadmin start systemstaterecovery -version:<> -backuptarget:\serversystemstate -machine:WIN-DC-001 -quiet
Efter endt restore vent med at reboote dc’en. Skriv først nedenstående via cmd.exe.
ntdsutil
activate instance ntds
Authoritative restore
restore subtree DC=win.local,CN=MicrosoftDNS,DC=DomainDnsZones,DC=win,DC=local
Vælg Yes.
 
Authoritative Restore completed successfully
Quit
Quit

Reboot DC’en i “Normal Mode” og sikre at zonen er blevet restoret korrekt.
Dette kan gøres på følgende måde:
Start ADSI Edit – Vælg “connect to” – Vælg “Connection point” – indtast “DC=DomainDNSZones,DC=yourdomain,DC=com”.
 
Tjek at zonen + data eksistere under MicrosoftDNS.

En anden måde at sikre sine AD-integreret zoner kunne være med kommandoen dnscmd.
Man kan her lave en scheduleret task, som laver en zone-eksport af “win.local”. Syntaksen er som følger.
dnscmd WIN-DC-001 /ZoneExport win.local win.local.bak (default lokation = C:WindowsSystem32dns)
Hvis uheldet er ude har jeg nu mulighed for at rename win.local.bak til win.local.dns og importere zonfilen via DNS manageren og konvertere zonen (AD-integreret).
For mere se nedenstående link:
http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/5/Default.aspx

Opsætning af DNS Scavenging

For en AD integreret DNS zone vil der over tid, ophobe sig en lang række gamle A og PTR records.
Disse kan stamme fra DHCP klienter, virtuelle test servere, VPN klienter, servere/klienter der skifter IP adresser mfl.
De gamle DNS records kan føre til forkerte DNS opslag, som i sidste ende betyder AD og netværksproblemer.
Man kan med fordel aktivere DNS Scavenging der automatisk vil slette de gamle DNS records indenfor et defineret tidsinterval:
For at enable DNS Scavenging på zone niveu (alle zonerne), skal man gøre følgende:
Start DNS manageren – Højre musetast og vælg properties på den ønskede DNS server – Gå til advanced fanebladet
Sæt hak i “Enable automatic scavenging of stale records” og klik Ok.

Højre mustetast på DNS serveren – Vælg “Set Aging/Scavenging for All Zones” og sæt hak i “Scavenge stale resource records”
 
Efter man har klikket Ok, fremkommer nedenstående skærmbillede.
Sæt hak i “Apply these settings to the existing Active Directory-integrated zones” og vælg Ok.

Ovenstående eksempel enabler således DNS scavenging for host og pointer records.
Det er best practice kun at enable DNS Scavenging på en DNS server af hensyn til fejlfinding.

For mere info omkring DNS scavenging, se dette link:
http://blogs.technet.com/networking/archive/2008/03/19/don-t-be-afraid-of-dns-scavenging-just-be-patient.aspx

Active Directory – Windows 2008 Metadata Cleanup

Tidligere når man skulle fjerne en fejlet domain controller fra AD, skulle man via ntdsutil igennem 20 punkter, hvor man skulle holde tungen lige i munden.
How to remove data in Active Directory after an unsuccessful domain controller demotion.
http://support.microsoft.com/kb/216498

Det er heldigvis blevet en del nemmere i Windows 2008, hvor man nu kan fjerne en fejlet DC’er via ADUC interfacet.
Et eksempel kunne være som følger:
Min domain controller WIN-DC-003 skulle demotes, men fejlede under denne operation. Jeg bliver således nødt til at fjerne den manuelt.

Start “Active Directory Users and Computers”, gå til Domain Controller OU’en og slet den ønskede DC’er.
Der promtes, som vist i nedenstående billedserie – Vælg “Yes”.

Konfigurer, som vist og vælg Delete.
 
Vælg Yes igen.
 

Thats it. DC’eren er nu fjernet fra AD og har ryddet op efter sig.
Ovenstående action bliver ikke logget nogle steder i eventloggen på de eksisterende DC’ere.
Eferfølgende får man dog nedenstående eventlog:


Man kan via “AD Explore” få bekræftet at WIN-DC-003 nu ligger som et tombstone object (CN=Deleted Objects) og Metadata Cleanup er udført korrekt.
 

Reference til ovenstående:
http://johnpolicelli.wordpress.com/2008/05/24/windows-server-2008-active-directory-domain-services-metadata-cleanup/

Hyper-V og Domain Controllers – Best practices

Dette er en kort beskrivelse af de ting man skal være opmærksom på, når man kører sine Domain controllere i et virtuelt miljø.
Administrer den virtuelle dc’ere, som havde det været på en fysisk server. Det betyder følgende:
Sikre at du kører på godkendt/supporteret hardware.
http://www.windowsservercatalog.com/default.aspx
Sæt aldrig den virtuelle DC i save state
Sæt aldrig den virtuelle DC i pause state
Brug ikke “undo disk” kommandoen
Udfør ikke snapshots backup, kør i stedet en almindelig system state backup med en agent installeret i guest systemmet.
Vælg “Shut Down” under “automatic stop action”.
Fravælg at lade Hyper-V hostmaskinen synkronisere tiden ud til de virtuelle guest. Det er især vigtigt for den DC’er der PDC emulator.

Reference til ovenstående:
Active Directory in Hyper-V environments, Part 1
Active Directory in Hyper-V environments, Part 2
Active Directory in Hyper-V environments, Part 3

Considerations when hosting Active Directory domain controller in virtual hosting environments
http://support.microsoft.com/kb/888794

Opsætning af en time server i et windows 2003/2008 server miljø


Time serveren skal opsættes på den DC’er der har PDC Emulator rollen og den skal have adgang til WAN for UDP port 123.
Man skal herefter køre nedenstående kommando, med de ønskede eksterne tidsservere.

w32tm /config /manualpeerlist:”0.dk.pool.ntp.org 1.dk.pool.ntp.org 2.dk.pool.ntp.org” /syncfromflags:manual
w32tm /resync /nowait /rediscover

Hvis man får en time-sync error med eventid 12 og nedenstående beskrivelse, skal man tjekke at indstillingerne er korrekte for registry værdierne NtpServer og Type
Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the AD PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. It is recommended that you either configure a reliable time service in the root domain, or manually configure the AD PDC to synchronize with an external time source. Otherwise, this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer = 0.dk.pool.ntp.org 1.dk.pool.ntp.org 2.dk.pool.ntp.org
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersType = NTP

Kør net stop w32time + net start w32time. Tjek eventloggen og se at den laver time-sync uden fejl.

Man kan manuelt konfigerer klienterne til at lave en tidssynkronisering op mod domænet med nedenstående kommandoer:
w32tm /config /syncfromflags: domhier /update
net stop w32time
net start w32time

Ligeledes kan man konfiguere det i en GPO.
Computer ConfigurationPoliciesAdministrative TemplatesSystemWindows Time Service
Computer ConfigurationAdministrative TemplatesSystemWindows Time ServiceTime Providers

Forklaring til diverse GPO settings:
http://technet.microsoft.com/en-us/library/cc773263.aspx#w2k3tr_times_tools_vwtt

Reference til ovenstående:
How to configure an authoritative time server in Windows Server 2003
http://support.microsoft.com/kb/816042/en-us