Restartable AD DS & DSRM Admin
Am tot pomenit de contul de DSRM si cumva legat de el o sa pomenesc un feature nou incepand cu Windows 2008: Restartable Active Directory.
Mai exact Active Directory vine sub forma de serviciu, care poate fi oprit pe domain controller, putandu-se efectua astfel operatiuni de mentenanta asupra bazei de date fara a fi necesara rebootarea serverului in modul DSRM (Directory Services Restore Mode).
Din operatiunile de mentenanta, cam singura chestie utila care se poate face si imi vine acum in minte ar fi defragmentarea bazei de date, (poate si mutarea ei in alta parte dar nu am incercat). Asta e util atunci cand mai exista si alte servicii ce ruleaza pe DC (nerecomandat bineinteles) si restartarea serverului le-ar afecta.
Mult mai util ar fi fost sa putem face system state restore fara sa fie nevoie sa intram in DSRM. Doar ca nu s-au gandit la asa ceva, asa ca nu merge. Sper ca foarte curand sa putem face restore fara sa restartam serverul. Poate in urmatorul service pack.
Si acum apropo de contul de DSRM. In momentul in care serviciul AD este oprit, avem un singur DC, sau DC-ul pe care lucram nu mai are conectivitate cu alte DC-uri, si se intampla sa fie nevoie sa ne reautentificam/logam pe server, avem o problema. Asta pentru ca nu are cine sa ne mai autentifice. Mai jos vedem un exemplu.
Serviciul il putem opri si cu net stop ntds.
Iata ce se intampla cand incercam sa ne (re)logam.
Dar, ca o metoda de protectie, daca activam inainte
HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior pe 1 ne vom putea loga cu contul de DRSM pe DC atunci cand serviciul AD este oprit.
Alte valori pentru DSRMAdminLogonBehavior le gasiti aici:
http://technet.microsoft.com/en-us/library/cc732714(WS.10).aspx#BKMK_Mod
(cu 2 contul de DSRM poate folosit oricand pentru logon local pe C)
La logon e nevoie sa specificati numele DC-ului.
Si incheiem prin a porni din nou serviciile AD. Serviciul NTDS porneste automat si celelalte servicii care au fost oprite odata cu el.
PS: inca ma gandesc la scenarii de folosire pentru DSRMAdminLogonBehavior. Ar fi ceva legat de on site support care poate ca are nevoie sa se logheze pe DC, insa nu e sigur deloc si nu prea as recomanda. Sau poate ca e doar un useless feature si imi pierd timpul cu el.