Dom-ivanovo.ru

Дом Иваново
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как установить дополнительный контроллер домена

Перенос контроллера домена на новый сервер

Довольно часто перед начинающими администраторами встает задача перенести контроллер домена на новое железо. В статье будет описан перенос контроллера домена под управлением Windows 2003 на новый сервер с установленной операционной системой Windows 2003. Переносить можно как с сохранением имени старого сервера, так и без сохранения имени. Статья рассчитана на совсем уж новичков, поэтому все будет разжевано.

  • Домен: company.local;
  • Старый сервер: Win2003, AD, DNS, DHCP, IP=192.168.0.100, имя=dc01;
  • Новый сервер: Win2003, IP=192.168.0.101, имя=dc02;
  1. 1. Проверка действующего контроллера домена
  2. 2. Установка дополнительного контроллера домена
  3. 3. Установка DNS и DHCP
  4. 4. Перенос базы DHCP
  5. 5. Проверка контроллеров домена на ошибки
  6. 6. Перемещение Global Catalog
  7. 7. Перенос ролей FSMO
  8. Передача ролей хозяин RID, основной контроллер домена и хозяин инфраструктуры
  9. Передача роли хозяина именования домена
  10. Передача роли хозяина схемы
  11. 8. Удаление старого контроллера домена

Принудительная репликация контроллера домена через графический интерфейс

Windows-серверы часто используют GUI, что хорошо для начинающих системных администраторов. Его легче учить, а иногда помогает визуализировать, что на самом деле происходит.

  1. Войдите в один из своих контроллеров домена и откройте сайты и службы Active Directory.

  1. Перейдите на сайт, для которого вы хотите скопировать контроллеры домена. Разверните его, нажав стрелку рядом с именем сайта. Разверните Серверы. Разверните DC, который вы хотели бы скопировать. Нажмите на настройки NTDS.

  1. На правой панели щелкните правой кнопкой мыши сервер и выберите «Реплицировать сейчас».

  1. В зависимости от количества контроллеров домена это может занять от секунды до нескольких минут. По завершении вы увидите уведомление: «Доменные службы Active Directory реплицировали соединения». Нажмите OK, чтобы закончить.

Установка первого контроллера в новом домене с помощью Powershell

В том случае, если домен еще не развернут, для его установки нам понадобится команда PoSh Install-ADDSForest, которая создает первый контроллер в новом лесу Active Directory.

Предположим, нам необходимо создать новый домен с именем corp.winitpro.ru, уровень домена и леса — Windows 2012.

В процессе выполнения команды необходимо будет указать пароль режима восстановления Active Directory (Safe Mode Recovery password).

После окончания установки сервер необходимо перезагрузить.

Дополнительная информация по статье

Командлет Install-AddsDomainController может запускать со следующими параметрами:
-SkipPreChecks
-DomainName
-SafeModeAdministratorPassword
-SiteName
-ADPrepCredential
-ApplicationPartitionsToReplicate
-AllowDomainControllerReinstall
-Confirm
-CreateDNSDelegation
-Credential
-CriticalReplicationOnly
-DatabasePath
-DNSDelegationCredential
-Force
-InstallationMediaPath
-InstallDNS
-LogPath
-MoveInfrastructureOperationMasterRoleIfNecessary
-NoDnsOnNetwork
-NoGlobalCatalog
-Norebootoncompletion
-ReplicationSourceDC
-SkipAutoConfigureDNS
-SiteName
-SystemKey
-SYSVOLPath
-UseExistingAccount
-Whatif

Жирным шрифтом помечены параметры, которые обязательны. Курсивом помечены параметры, которые можно задать и через Powershell, и через оснастку AD DS Configuration Wizard. Соответственен, простым шрифтом отображаются параметры, которые используются только через Powershell. Более подробно про все параметры можно на сайте technet.microsoft.com — Install a Replica Windows Server 2012 Domain Controller in an Existing Domain.

С помощью команды Get-command -module ADDSDeployment можно узнать все возможные командлеты по настройке ролей Activ Directory.

Install-ADDSDomain
Install-ADDSDomainController
Install-ADDSForest
Test-ADDSDomainControllerInstallation
Test-ADDSDomainControllerUninstallation
Test-ADDSDomainInstallation
Test-ADDSForestInstallation
Test-ADDSReadOnlyDomainControllerAccountCreation
Uninstall-ADDSDomainController

Как установить дополнительный контроллер домена

Этот форум закрыт. Спасибо за участие!

  • Форумы
  • Просмотр пользователей форумов
  • Часто задаваемые вопросы

  • Remove From My Forums

Лучший отвечающий

Вопрос

Есть умирающий контроллер домена и пока не поздно решил создать второй, дабы избавить себя от грядущих проблем.

Все установил, с помощью dcpromo добавил контроллер(пробовал как репликацию по сети, так и при помощи утилиты ntdsutil ) результат один и тот же, если отрубаем основной контроллер, то второй не берет на себя его функции. Полазив по формумам собрал кое-какую информацию:

KDC01 — новый кд

KITDC — умирающий

1)Настройки сетевых интерфесов

2) Вывод «dcdiag /q»

на основном контроллере домена

На вновь добавленном

3) Вывод команд

KITDC

Возможно важно и то, что синхронизация происходит через VPN с использованием маршрутизации поэтому подсети отличаются. Firewall на шлюзе пропускает без проблем весь трафик, разве что бродкасты не пересылает.

Помогите пожалуйста разобраться два дня уже убил на это.

Ответы

Исходя из диагностической информации, у вас, скорее всего, не работает репликация SYSVOL через службу DFS Replication (она же DFSR или Репликация DFS, это другая репликация — а не та, что репликация базы данных AD, которую проверяет repadmin).

Уточнить причину, по которой не работает репликация DFS можно по её журналам событий (разделе Журналы служб и приложений) на обоих контроллерах домена. Судя по тому, что старый КД — «умирающий», причина, скорее всего — в нём.

Наиболее вероятно, что вам поможет полномочная синхронизация DFSR на старом КД.

Сравните свои симптомы с тем, что было в обсуждении https://social.technet.microsoft.com/Forums/ru-RU/b96c4925-79ae-4dc2-9eda-8841cf2744e1/105310771090-1088107710871083108010821072109410801080-sysvol?forum=WS8ru и если признаки совпадают — выполните эту самую полномочную синхронизацию (ссылка на описание этой процедуры есть в указанной теме). Если возникают какие-то сомнения, что это — не то, то выкладывайте сюда копии событий с ошибками/предупреждениями из журналов событий — посмотрим. В любом случае до того, как что-то делать, скопируйте куда-нибудь содержимое общей папки SYSVOL — может понадобиться, если что-то пойдет не так.

  • Помечено в качестве ответа AlexandrStep 6 марта 2019 г. 8:15
Читать еще:  Одна этажные дома с кирпича

Все ответы

Исходя из диагностической информации, у вас, скорее всего, не работает репликация SYSVOL через службу DFS Replication (она же DFSR или Репликация DFS, это другая репликация — а не та, что репликация базы данных AD, которую проверяет repadmin).

Уточнить причину, по которой не работает репликация DFS можно по её журналам событий (разделе Журналы служб и приложений) на обоих контроллерах домена. Судя по тому, что старый КД — «умирающий», причина, скорее всего — в нём.

Наиболее вероятно, что вам поможет полномочная синхронизация DFSR на старом КД.

Сравните свои симптомы с тем, что было в обсуждении https://social.technet.microsoft.com/Forums/ru-RU/b96c4925-79ae-4dc2-9eda-8841cf2744e1/105310771090-1088107710871083108010821072109410801080-sysvol?forum=WS8ru и если признаки совпадают — выполните эту самую полномочную синхронизацию (ссылка на описание этой процедуры есть в указанной теме). Если возникают какие-то сомнения, что это — не то, то выкладывайте сюда копии событий с ошибками/предупреждениями из журналов событий — посмотрим. В любом случае до того, как что-то делать, скопируйте куда-нибудь содержимое общей папки SYSVOL — может понадобиться, если что-то пойдет не так.

  • Помечено в качестве ответа AlexandrStep 6 марта 2019 г. 8:15

Спасибо огромное. Благодаря Вам проблемы частично решены, во всяком случае сейчас осталась всего 1 ошибка(на обоих серверах) и на втором КД появились шары (netlogon, sysvol).

Но ошибка с dfsr никуда не ушла.

В логах dfsr появилась ошибка, но она не повторяется.

Текст ошибки на всякий случай

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

  • Изменено Farrukh Yakhyaev 28 февраля 2019 г. 13:30

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

Ну как бы PDC ( это основной КД) Тут всё правильно. Перенесите роль вот и будет у вас второй PDC

Немного разъясню написанное выше: будет не второй PDC — будет PDC на другом КД.

PDC (более точно, PDC emulator) — это одна из ролей FSMO, в домене ею должен владеть только один КД.

  • Изменено M.V.V. _ 28 февраля 2019 г. 14:04

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

Ну как бы PDC ( это основной КД) Тут всё правильно. Перенесите роль вот и будет у вас второй PDC

Немного разъясню написанное выше: будет не второй PDC — будет PDC на другом КД.

ну да) я это и имел ввиду))

Спасибо огромное. Благодаря Вам проблемы частично решены, во всяком случае сейчас осталась всего 1 ошибка(на обоих серверах) и на втором КД появились шары (netlogon, sysvol).

Но ошибка с dfsr никуда не ушла.

В логах dfsr появилась ошибка, но она не повторяется.

Текст ошибки на всякий случай

Ошибка 1753 означает, что служба репликации знает (после обращения к RPC Endpoint mapper на другом КД на порту 135/tcp) конкретный номер порта TCP, по которому нужно обращаться к службе DFSR на другом КД (этот порт выделяется обычно динамически — из диапазона 49152 — 65535 для Win2K8 и старше), но не смогла по нему подключиться.

Это означает, что либо служба DFSR на другом КД неработоспособна (или была в какой-то момент неработоспообна, например — перезапускалась, если такое сообщение у вас одно), либо что межсетевой экран где-то не пропускает подключения на нужный динамический порт.

  • Изменено M.V.V. _ 28 февраля 2019 г. 14:13

Сейчас снова открыл лог и вижу ошибку

Получается, что эти два контроллера как-то не полностью видят друг друга, т.е. возможно что-то с сетью не так? Я думаю, может быть надо дополнительно поднять WINS сервер, знавал софт, который без разрешения имени через NetBIOS не работает, не смотря на то, что в остальном никаких сетевых проблем не наблюдается. Может быть проблема в этом? Кстати, на втором КД(PDC) ошибка точно такая же и время отличается всего на 5 сек в большую сторону.

Так же хочется получить совет относительно полного переезда PDC на новый КД. Стоит ли мне его переносить сейчас(когда он находится в другой сети) или лучше повременить и перенести все роли на него, когда он будет иметь уже статический ip «родной» сети. Насколько я понимаю, даже если я сейчас передам новому КД все роли, то старый КД не перестанет обслуживать пользователей организации, а затем произойдет репликация изменений с этим КД и все будет хорошо? при условии, что получится сейчас победить ошибку репликации.

дополнительно глянул сетевое взаимодействие — видят они друг друга (в логах нашел по какому порту они слушают)

Читать еще:  Как правильно установить водомет на лодку пвх с тоннелем

Так же периодически возникает предупреждение в логах DNS

Windows Server 2019 — установка контроллера домена

  • 13 октября 2020

Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.

AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.

Подготовительные работы

Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:

После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:

Хочется отметить обязательные пункты, которые нужно выполнить.

Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.

Укажите имя сервера.

Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.

Установка роли Active Directory Domain Services

Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.

Дополнительно будет установлена роль DNS.

Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.

Запускается мастер добавления ролей.

Раздел Before You Begin нас не интересует. Next.

В разделе Installation Type выбираем Role-based or feature-based installation. Next.

В разделе Server Selection выделяем текущий сервер. Next.

В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.

Для роли контроллера домена нам предлагают установить дополнительные опции:

  • [Tools] Group Policy Management
  • Active Directory module for Windows PowerShell
  • [Tools] Active Directory Administrative Center
  • [Tools] AD DS Snap-Ins and Command-Line Tools

Всё это не помешает. Add Features.

Теперь роль Active Directory Domain Services отмечена галкой. Next.

В разделе Features нам не нужно отмечать дополнительные опции. Next.

У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.

Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.

Начинается установка компонентов, ждём.

Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.

Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.

Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:

  • Add a domain controller to an existing domain
  • Add a new domain to an existing forest
  • Add a new forest

Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.

Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.

Попадаем в раздел Doman Controller Options.

В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.

У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.

В Domain functional level также выбираю Windows Server 2012.

Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.

Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.

Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found. «. Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.

В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.

В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:

  • Database folder: C:WindowsNTDS
  • Log files folder: C:WindowsNTDS
  • SYSVOL folder: C:WindowsSYSVOL

В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.

Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.

Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.

Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.

Читать еще:  Как настроить уведомления в вк админ

Для начала установки роли контроллера домена нажимаем Install.

Начинается процесс установки.

Сервер будет перезагружен, о чём нас и предупреждают. Close.

Дожидаемся загрузки сервера.

Первоначальная настройка контроллера домена

Наша учётная запись Administrator теперь стала доменной — ILABAdministrator. Выполняем вход.

Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.

На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.

Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.

Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.

Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.

Правой кнопкой на корень каталога, New > Organizational Unit.

Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.

Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.

Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.

Как сделать бекап домен контроллера Server 2012 R2

это происходит очень редко, то жить без этой роли инфраструктура тоже может годами.

Кроме того, без Domain naming master не будет работать добавление и удаление разделов каталогов приложений, а также перекрестные ссылки – но это уже совсем экзотика, не думаю что есть смысл об этом писать в рамках этой статьи.

На уровне домена располагаются такие роли:

RID Master

Для каждого Security Principal в домене, генерируется уникальный идентификатор безопасности – SID. В отличии от GUID, SID может меняться, например, при миграции между доменами.

В пределах одного домена, SIDы будут отличаться последним блоком – он называется RID (относительный идентификатор).

При создании нового Security Principal, SID, и, соответственно, RID выдается тем контролером, на котором выполняется создание.

Для того, чтобы предотвратить создание одинаковых RID, каждому контролеру RID marster назначает пул (по-умолчанию 500, но значение можно изменить). Когда у контролера пул приближается к концу (по-умолчанию 100 адресов, также можно изменить) он обращается к RID master, который выдает еще 500 значений.

Всего доступно 2 30 (это 1,073,741,823) RIDов – на первый взгляд это очень много, но если принять во внимание тот факт, что RID не мог быть назначен повторно (создание – удаление – создание объета отнимало 2 RIDa) в ряде случаев разблокировали 31й бит и получали 2,147,483,647 RID’ов.

Об улучшениях, которые были сделаны в 2012 Вы можете подробно узнать тут – http://blogs.technet.com/b/askds/archive/2012/08/10/managing-rid-issuance-in-windows-server-2012.aspx

Посмотреть, что у Вас происходит сейчас можно так:

Таким образом, если контролер с этой ролью будет недоступен, контролеры исчерпавшие выданные им RID-пулы не смогут создавать новых Security Principals.

PDC Emulator

Несмотря на то, что PDC/BDC это термины из далекого NT-прошлого, это наиболее важная FSMO роль в операционной деятельности.

Опустим описание того, как быть с NT машинами, и перейдем к реальным вещам:

  1. Источник времени. Синхронизация времени важна для работы Kerberos (и не только), поэтому все контролеры (и, соответственно, клиенты) синхронизируют свое время с PDC, который должен синхронизироваться с внешним NTP. Подробнее о настройке времени в домене я уже писал, можно почитать тут.
  2. Сохранение групповых политик по-умолчанию происходит на контролер с ролью PDC, и с него реплицируется на другие контролеры (начиная с 2008 используется DFS).
  3. Репликация паролей. Коль уже смена пароля признана важной, реплицируется она не стандартным методом, а так называемым urgent (подробнее о репликации Active Directory – ищите мою статью поиском). Это значит, что контролер, на котором был сменен пароль, срочно реплицируется с контролером, который PDC Emulator. На практике выглядит так: пользователь вводит новый пароль, который ближайший контролер еще не знает. Этот контролер обратится к PDC, и тот подтвердит что пароль правильный, таким образом, предотвращается ряд проблем.

Если контролер с ролью PDC Emalator будет недоступен, не будет работать синхронизация времени и будут сложности с сохранением групповых политик и репликацией паролей, что скажется на операционной деятельности.

Infrastructure Master

Последняя роль – ее задача которой отслеживать пользователей из других доменов леса. Важность этой роли зависит от количества пользователей и ресурсов в разных доменах. Например, если у Вас один домен в лесу, Infrastructure Master будет просто ненужен.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector