Tuesday, July 29th, 2008...10:16 am

Ufasz mi..? Uff uff

Jump to Comments

Na wss.pl rozwinął się w sposób dla mnie mało zauważalny wątek dotyczący problemów, jakie mogą wystąpić przy braku DC pełniącego role FSMO w domenie. Zanim przejdę do dalszego omawiania tematu podam dwa linki, które niezmiennie zawsze wracają w takich dyskusjach:

Teraz do rzeczy. DC pełniące rolę FSMO mają różne zadania, w wątku jednak ostatenicze dyskusja skupiła się na PDC Emulator i problemach związanych z jego brakiem, w tym problemach z relacjami zaufania … i tym się dzisiaj zajmiemy.

Zacznijmy od postawienia pytania: czy brak PDC Emulator powoduje problemy w działaniu relacji zaufania?

Według mnie nie powinno być problemu z działaniem relacji zaufania. PDC Emulator jest wymagany w ramach relacji zaufania pomiędzy lasami Active Directory do dwóch operacji:

  • zmiany hasła używanego w ramach relacji zaufania
  • weryfikacji relacji zaufania.

Oprócz tych dwóch przypadków brak PDC Emualtora nie powinien wpływać w żaden sposób na działanie mechanizmów relacji zaufania pomiędzy dwoma lasami.

Problem mamy, teorie też … teraz postarajmy się to sprawdzić. Na początek prosty schemat konfiguracji:

   

 

Prosto i nieskomplikowanie:

  • Dwa lasy, w2k.pl oraz trust.com
  • Pomiędzy nimi nawiązana relacja zaufania na poziomie lasu
  • Role PDC Emulator odpowiednio na W08FDC01 i W08TRDC01.

Na potrzeby testu w obu lasach grupa Domain Admins z domeny zaufanej uzyskała możliwość logowania lokalnego (a co, jak szaleć to szaleć). Przy wszystkich DC włączonych wszystko gra, wyłączmy jednak W08FDC01 i spróbujmy zalogować się na W08FDC02 jako użytkownik z trust.com:

To było proste, spróbujmy wyszukać jakiegoś użytkownika z trust.com żeby nadać mu uprawnienia do zasobów:

To podkreślenie nazwy pokazuje, że została ona poprawnie rozwiązana na odpowiedni obiekt użytkownika, a tego bez kontaktu z drugą domeną nie dałoby się zrobić. Czyli wszystko gra, teraz wyłączmy jeszcze W08TRDC01:

A co w kwestii GPO. Stworzyłem prost GPO w lesie TRUST.COM o nazwie UserPartGPO:

Wywołując GPRESULT mamy:

RSOP data for TRUST\administrator on W08FDC02 : Logging Mode
————————————————————-

(…)

Last time Group Policy was applied: 2008-07-29 at 09:56:35
Group Policy was applied from:      W08TRDC02.trust.com
Group Policy slow link threshold:   500 kbps
Domain Name:                        TRUST
Domain Type:                        Windows 2000

Applied Group Policy Objects
—————————–
    UserPartGPO

Czyli wszystko działa zgodnie z oczekiwaniami, pomimo ze PDC Emulator po obu stronach nie jest dostępny.

A gdyby zamienić relacje zaufania na poziomie lasu na relacje na poziomie domen:

Nic się nie zmienia i wszystkie powyżej przedstawione scenariusze nadal realizowane są poprawnie.

Podsumowując

W przypadku relacji zaufania PDC Emulator ma do spełnienia dwa zadania:

  • Zestawienie relacji zaufania
  • Utrzymanie hasła w ramach relacji zaufania (zmiana tego hasła)

Z mojego doświadczenia, w większości wypadków gdy wyłączenie PDC Emulator powoduje problemy z działaniem relacji zaufania wynika to z:

  • błędów w konfiguracji sieci
  • blokady ruchu do pozostałych kontrolerów w ramach zaufanych domen na poziomie firewall
  • błędów w konfiguracji usługi DNS.

Oczywiście nie oznacza to, że wogóle nie będzie problemów z żadnym elementem infrastruktury \ aplikacją. Niestety często sie zdarza, że oprogramowanie pisane jest z pewnymi założeniami w tle. Jeżeli założenia te wywodzą się jeszcze z czasów NT i zakładają że PDC jest zawsze dostępny … cóż … może być to pewne rozczarowanie.

 

PS #1: Acha .. małe PS na koniec, ponieważ nie miałem czym nagrać wszystkiego na wideo musicie mi  zaufać w kwestii tego, że to wszystko było robione tak jak napisałem.

Ufacie mi ..? Uff uff??

Leave a Reply