Na wss.pl rozwinął się w sposób dla mnie mało zauważalny wątek dotyczący problemów, jakie mogą wystąpić przy braku DC pełniącego role FSMO w domenie. Zanim przejdę do dalszego omawiania tematu podam dwa linki, które niezmiennie zawsze wracają w takich dyskusjach:
Teraz do rzeczy. DC pełniące rolę FSMO mają różne zadania, w wątku jednak ostatenicze dyskusja skupiła się na PDC Emulator i problemach związanych z jego brakiem, w tym problemach z relacjami zaufania … i tym się dzisiaj zajmiemy.
Zacznijmy od postawienia pytania: czy brak PDC Emulator powoduje problemy w działaniu relacji zaufania?
Według mnie nie powinno być problemu z działaniem relacji zaufania. PDC Emulator jest wymagany w ramach relacji zaufania pomiędzy lasami Active Directory do dwóch operacji:
- zmiany hasła używanego w ramach relacji zaufania
- weryfikacji relacji zaufania.
Oprócz tych dwóch przypadków brak PDC Emualtora nie powinien wpływać w żaden sposób na działanie mechanizmów relacji zaufania pomiędzy dwoma lasami.
Problem mamy, teorie też … teraz postarajmy się to sprawdzić. Na początek prosty schemat konfiguracji:
Prosto i nieskomplikowanie:
- Dwa lasy, w2k.pl oraz trust.com
- Pomiędzy nimi nawiązana relacja zaufania na poziomie lasu
- Role PDC Emulator odpowiednio na W08FDC01 i W08TRDC01.
Na potrzeby testu w obu lasach grupa Domain Admins z domeny zaufanej uzyskała możliwość logowania lokalnego (a co, jak szaleć to szaleć). Przy wszystkich DC włączonych wszystko gra, wyłączmy jednak W08FDC01 i spróbujmy zalogować się na W08FDC02 jako użytkownik z trust.com:
To było proste, spróbujmy wyszukać jakiegoś użytkownika z trust.com żeby nadać mu uprawnienia do zasobów:
To podkreślenie nazwy pokazuje, że została ona poprawnie rozwiązana na odpowiedni obiekt użytkownika, a tego bez kontaktu z drugą domeną nie dałoby się zrobić. Czyli wszystko gra, teraz wyłączmy jeszcze W08TRDC01:
A co w kwestii GPO. Stworzyłem prost GPO w lesie TRUST.COM o nazwie UserPartGPO:
Wywołując GPRESULT mamy:
RSOP data for TRUST\administrator on W08FDC02 : Logging Mode
————————————————————-(…)
Last time Group Policy was applied: 2008-07-29 at 09:56:35
Group Policy was applied from: W08TRDC02.trust.com
Group Policy slow link threshold: 500 kbps
Domain Name: TRUST
Domain Type: Windows 2000Applied Group Policy Objects
—————————–
UserPartGPO
Czyli wszystko działa zgodnie z oczekiwaniami, pomimo ze PDC Emulator po obu stronach nie jest dostępny.
A gdyby zamienić relacje zaufania na poziomie lasu na relacje na poziomie domen:
Nic się nie zmienia i wszystkie powyżej przedstawione scenariusze nadal realizowane są poprawnie.
Podsumowując
W przypadku relacji zaufania PDC Emulator ma do spełnienia dwa zadania:
- Zestawienie relacji zaufania
- Utrzymanie hasła w ramach relacji zaufania (zmiana tego hasła)
Z mojego doświadczenia, w większości wypadków gdy wyłączenie PDC Emulator powoduje problemy z działaniem relacji zaufania wynika to z:
- błędów w konfiguracji sieci
- blokady ruchu do pozostałych kontrolerów w ramach zaufanych domen na poziomie firewall
- błędów w konfiguracji usługi DNS.
Oczywiście nie oznacza to, że wogóle nie będzie problemów z żadnym elementem infrastruktury \ aplikacją. Niestety często sie zdarza, że oprogramowanie pisane jest z pewnymi założeniami w tle. Jeżeli założenia te wywodzą się jeszcze z czasów NT i zakładają że PDC jest zawsze dostępny … cóż … może być to pewne rozczarowanie.
PS #1: Acha .. małe PS na koniec, ponieważ nie miałem czym nagrać wszystkiego na wideo musicie mi zaufać w kwestii tego, że to wszystko było robione tak jak napisałem.
Ufacie mi ..? Uff uff??