Il blog di DiRete

Non installate MAI Exchange su un Domain controller!

La vicenda di questi giorni (il crash fisico di un server exchange) ci ha insegnato una cosa: MAI installare Exchange su un domain controller.

Perché? Banalmente perché in caso di crash della macchina il restore è un vero macello!

Per il backup online di Exchange, infatti, possiamo usare tranquillamente il robusto e consolidato NTBACKUP. La procedura è semplice e “indolore” …

Il restore, però, ha un paio di pre-requisiti da rispettare assolutamente:

  • la macchina target deve avere lo stesso nome della macchina “deceduta”
  • il disco o la partizione su cui vanno montati i post office deve avere la stessa lettera di unità

Se il secondo requisito non è un particolare problema, il primo, nel caso di domain controller, è piuttosto complesso. Specie se, come in questo caso, il dc deceduto era il detentore dei ruoli !!! Dovrete, infatti, spostare i ruoli su un altro domain controller, eventualmente anche usando la procedura di seize (trasferire forzatamente) dei ruoli con ntdsutil. Dovrete poi eliminare i riferimenti al vecchio server presenti nell’active directory con adsutil e quindi, come se non bastasse, eliminare l’account macchina dall’active directory.

Dovrete quindi installare il nuovo server, fare in join al dominio e testare il ripristino, non senza aver prima abilitato il flag che consente agli store di farsi riscrivere dal backup e non senza … aver messo in conto che potrebbe non andare per problemi di permessi: l’account COMPUTER, infatti, non avrà più i

Terminato il ripristino, se gli store non si fanno installare/montare, usate il best practice analyzer di Exchange ed eseguite un Health Check. Il risultato vi dirà cosa non va …

permessi giusti sul server exchange impostato in AD e visibile con il gestore di sistema di Exchange perché il SID della macchina è cambiato. Entrando nei permessi (protezione) del server exchange, infatti, vedrete il solito utente con sid andato ed il punto di domanda. Togliendo quello, mettendo quello nuovo e propagando i permessi agli oggetti sottostanti questo contenitore … tutto dovrebbe andare.

p.s.: e questo … è l’ennesimo punto a sfavore di windows SBS (Small Business Server) !!!

23 Ottobre 2008 - Stefano Costantini