Основните функции на домейн контролера включват. Защо една организация се нуждае от Active Directory? Обединено хранилище за конфигурация на приложения

Windows Server 2003 и след това, след като се уверите, че тези сървъри се зареждат правилно и няма проблеми, можете да започнете задачите по създаване на домейн контролери (DC) и други. системни сървъри... Нещо повече, ако надграждате хардуера си едновременно с надстройката на операционната си система, можете да поръчате на обичайния си доставчик на хардуер да инсталира предварително Windows Server 2003, без да се налага да наименувате или конфигурирате домейн контролери.

Инсталиране на първия домейн контролер (DC) в нов домейн

да инсталираш Active Directory(AD), отворете Управление на вашия сървър от Старт меню(Старт) и щракнете върху Добавяне или премахване на роля, за да стартирате съветника за конфигуриране на вашия сървър. В прозореца Роля на сървъра изберете Контролер на домейн (Active Directory), за да стартирате съветника за инсталиране на Active Directory. Щракнете върху бутона Напред, за да продължите с използването на съветника следните инструкцииза да инсталирате първия си DC.

1. В прозореца Тип контролер на домейн изберете Контролер на домейн за нов домейн.
2. В прозореца Създаване на нов домейн щракнете върху Домейн в нова гора.
3. На страницата Ново име на домейн въведете напълно квалифицираното Име на домейн(FQDN) за този нов домейн. (Тоест въведете companyname.com, но не Име на фирмата.)
4. В прозореца NetBIOS Domain Name проверете NetBIOS името (но не и FQDN).
5. В прозореца База данни и папки с регистрационни файлове се споразумейте за местоположението на базата данни и папките на регистрационните файлове или щракнете върху бутона Преглед, за да изберете друго местоположение, ако имате причина да използвате друга папка.
6. В прозореца Споделен системен том приемете местоположението на папката Sysvol или щракнете върху бутона Преглед, за да изберете друго местоположение.
7. В прозореца за диагностика на DNS регистрация проверете дали съществуващият DNS сървър е подходящ за тази гора, или няма DNS сървър, изберете опцията за инсталиране и конфигуриране на DNS на този сървър.
8. В прозореца Разрешения изберете едно от следните опцииправомощия (в зависимост от Версии на Windowsна клиентски компютри, които ще имат достъп до този DC).
   • Удостоверения, съвместими с операционна системадо Windows 2000.
   • Съвместими само за работа идентификационни данни Windows системи 2000 или Windows Server 2003.
9. Прегледайте информацията в прозореца Резюме и ако трябва да промените нещо, щракнете върху бутона Назад, за да промените опциите си. Ако всичко е наред, щракнете върху бутона Напред, за да започнете инсталацията.

След като копирате всички файлове на твърдия си диск, рестартирайте компютъра.

Инсталиране на други домейн контролери (DC) в новия домейн

Можете да добавите произволен брой други DC към вашия домейн. Ако конвертирате съществуващ членски сървър в DC, не забравяйте, че много от опциите за конфигурация ще изчезнат. Например, това ще премахне локалните потребителски акаунти и криптографските ключове. Ако този членски сървър използва EFS за съхраняване на файлове, тогава трябва да дешифрирате. Всъщност, след като отмените криптирането, трябва да преместите тези файлове на друг компютър.

За да създадете и конфигурирате други DC във вашия нов домейн, стартирайте съветника за инсталиране на Active Directory, както е описано в предишния раздел. След това следвайте стъпките в този съветник, като използвате следните инструкции.

1. В прозореца Тип контролер на домейн изберете Допълнителен контролер на домейн за съществуващ домейн.
2. В прозореца Network Credentials въведете потребителско име, парола и домейн, указващи потребителския акаунт, който искате да използвате за тази задача.
3. В прозореца Допълнителен контролер на домейн въведете напълно квалифицираното DNS име на съществуващия домейн, където този сървърще стане домейн контролер.
4. В прозореца База данни и папки с регистрационни файлове се споразумейте за местоположението на базата данни и папките с регистрационни файлове или щракнете върху бутона Преглед, за да изберете местоположение, различно от по подразбиране.
5. В прозореца Споделен системен том приемете местоположението на папката Sysvol или щракнете върху бутона Преглед, за да изберете друго местоположение.
6. В прозореца Парола на администратор в режим на възстановяване на услугите на директории въведете и потвърдете паролата, която искате да присвоите на администраторския акаунт за този сървър. (Това Сметкаизползва се, когато компютърът се стартира в режим на възстановяване на услугите на директории.)
7. Прегледайте информацията в прозореца Резюме и ако всичко е наред, щракнете върху бутона Напред, за да започнете инсталацията. Щракнете върху бутона Назад, ако искате да промените някои настройки.

Системната конфигурация се адаптира към изискванията за домейн контролера, след което се инициира първата репликация. След копиране на данните (това може да отнеме определено време, и ако компютърът ви е на защитено място, тогава можете да си починете) щракнете върху бутона Край в последния прозорецсъветника и рестартирайте компютъра си. При рестартиране се появява съветникът за конфигуриране на вашия сървър, който обявява, че вашият компютър вече е домейн контролер. Щракнете върху бутона Край, за да затворите съветника, или щракнете върху една от връзките в този прозорец, за да получите Допълнителна информацияотносно поддръжката на домейн контролери.

Създайте допълнителни контролери на домейни (DCs) чрез възстановяване от резервно копие

Можете бързо да създадете допълнителни Windows Server 2003 DC в същия домейн като съществуващ DC, като възстановите резервно копие на работещ Windows Server 2003 DC. Това изисква само три стъпки (които са описани подробно в следващите раздели).

1. Архивирайте системното състояние на съществуващ Windows Server 2003 DC (нека го наречем ServerOne) в същия домейн.
2. Възстановяване на състоянието на системата на друго място, т.е. На компютър с Windows Server 2003, който искате да станете домейн контролер (нека го наречем ServerTwo).
3. Надграждане на състоянието на целевия сървър (в в такъв случай ServerTwo) на ниво DC с помощта на командата DCPROMO / adv от командния ред.

Тази последователност може да се приложи във всички сценарии: инсталиране на нов Windows домейн Server 2003, Windows 2000 Domain Upgrade и Windows NT Domain Upgrade. След Инсталации на Windows Server 2003 на компютър, можете да направите този компютър контролер на домейн (DC), като използвате този метод.

Това е особено полезно, ако вашият домейн съдържа множество сайтове и вашите DC се репликират чрез глобална мрежа(WAN), което е много по-бавно от прехвърлянето на данни през Ethernet кабел... Когато нов DC е инсталиран на отдалечен сайт, първата репликация отнема много време. В насамТази първа репликация вече не е необходима, а следващите репликации само възпроизвеждат промените (което отнема много по-малко време).

Следващите раздели предоставят инструкции как да създадете DC с помощта на този метод.

Стартирайте Ntbackup.exe (от менюто Административни инструменти или от диалоговия прозорец Изпълнение) и изберете следните опции в прозорците на съветника.

1. Изберете Архивиране на файлове и настройки.
2. Изберете Позволете ми да избера какво да архивирам.
3. Поставете отметка в квадратчето Състояние на системата.
4. Изберете местоположение и име за архивния файл. Използвах споделена точка в мрежата и кръстих файла DCmodel.bkf (архивните файлове имат разширение .bkf).
5. Щракнете върху бутона Край.

Ntbackup ще се изпълни архивиранесъстояние на системата на местоположението, което сте посочили. Ще ви е необходим достъп до това архивиране от целевите компютри, така че най-лесният начин е да използвате споделен мрежов ресурс или да напишете архивния файл на CD-R диск.

Възстановяване на състоянието на системата на целевия компютър

За да възстановите състоянието на системата на компютър с Windows Server 2003, който искате да направите домейн контролер, отидете на този компютър (той трябва да има достъп до архивния файл, който сте създали на оригиналния компютър). Стартирайте Ntbackup.exe на този компютър и изберете следните опции в прозорците на съветника.

1. Изберете Възстановяване на файлове и настройки.
2. Посочете местоположението на архивния файл.
3. Поставете отметка в квадратчето Състояние на системата.
4. Щракнете върху бутона Разширени.
5. Изберете Алтернативно местоположение от падащия списък и въведете местоположение на вашия локален твърд диск (например можете да създадете папка с име ADRestore на устройство C).
6. Изберете опцията Замяна на съществуващи файлове.
7. Поставете отметка в квадратчетата Възстановяване на настройките за сигурност и Запазване на съществуващите точки за монтиране на тома.
8. Щракнете върху бутона Край.

Ntbackup възстановява състоянието на системата в пет подпапки на мястото, което сте посочили в съветника. Имената на тези папки съответстват на следните имена на компонентите на състоянието на системата:

• Active Directory (база данни и лог файлове)
• Sysvol (политики и скриптове)
• Файлове за зареждане
• регистър
• COM + база данни за регистрация на класове

Ако стартирате DCPROMO с превключвателя new / adv, той търси тези подпапки.

В диалоговия прозорец Изпълнение въведете dcpromo / adv, за да стартирате съветника за инсталиране на Active Directory. Използвайте следните инструкции, за да направите своя избор във всеки прозорец на този съветник.

1. Изберете опцията Допълнителен контролер на домейн за излизане от домейн.
2. Изберете опцията От тези възстановени архивни файлове и посочете местоположението на местен дисккъдето искате да възстановите архива. Тук трябва да се намират горните пет подпапки.
3. Ако изходният DC съдържа глобален каталог, се появява прозорец на съветника, който пита дали искате да поставите глобалния каталог на този DC. Изберете Да или Не в зависимост от вашите конфигурационни планове. Процесът на създаване на DC ще бъде малко по-бърз, ако изберете Да, но може да решите, че трябва да запазите глобалния каталог само на един DC.
4. Въведете идентификационни данни, за да изпълните тази задача (име на администратор и парола).
5. Въведете името на домейна, в който ще работи този DC. Това трябва да е домейнът, на който членува изходният DC.
6. Въведете местоположенията за базата Активни данниДиректория и регистрационни файлове (най-добре е да използвате местоположенията по подразбиране).
7. Въведете местоположение за SYSVOL (и най-добре е да използвате местоположението по подразбиране тук).
8. Въведете администраторска парола, която да използвате в случай, че трябва да стартирате този компютър в режим на възстановяване на услугите на директории.
9. Щракнете върху бутона Край.

Dcpromo ще популяризира този сървър до домейн контролер, използвайки данните, съдържащи се във възстановените файлове, което означава, че не е нужно да чакате всеки обект на Active Directory от съществуващия DC да се репликира към този нов DC. Ако някакви обекти бъдат променени, добавени или премахнати, след като стартирате този процес, това ще бъде въпрос на секунди за новия DC при следващото репликация.

Когато този процес приключи, рестартирайте компютъра си. След това можете да изтриете папките, съдържащи възстановения архив.

Имах нужда да внедря услугата Active Directory на географски разделени места, чиито мрежи са свързани помежду си използвайки vpn... На пръв поглед задачата изглежда проста, но лично аз никога досега не съм правил подобни неща и с едно бегло търсене не можах да намеря нито една снимка или план за действие в случая. Трябваше да събирам информация от различни източниции сами се справете с настройките.

В тази статия ще научите:

Планиране на инсталиране на Active Directory в различни подмрежи

И така, имаме две подмрежи 10.1.3.0/24 и 10.1.4.0/24 , всеки от които има определен брой компютри и мрежова топка. Трябва да комбинирате всичко това в един домейн. Мрежите са свързани помежду си с vpn тунел, компютрите пингуват един друг в двете посоки, проблеми с достъп до мрежатане.

За нормална работаЩе инсталираме услугите на Active Directory във всяка подмрежа за домейн контролер и ще конфигурираме репликация между тях. Ще използваме Windows Server 2012R2. Последователността на действията е следната:

• Инсталираме домейн контролер в същата подмрежа, повдигаме го в него нов домейнв новата гора
• Инсталирайте домейн контролер във втората подмрежа и го добавете към домейна
• Конфигуриране на репликация между домейни

Първият домейн контролер ще бъде именуван xs-winsrvс адрес 10.1.3.4 , второ - xm-winsrv 10.1.4.6... Домейнът, който ще създадем, ще бъде извикан xs.local

Конфигуриране на контролери на домейн да работят в различни подмрежи

Първата стъпка е да инсталирате домейн контролер в новата гора на първия сървър xs-winsrv... Няма да се спирам на това подробно, в интернет има много уроци и инструкции по тази тема. Правим всичко стандартно, задаваме AD, DHCP и DNS услуги... Посочваме локалния ip адрес като първи DNS сървър и като втори 127.0.0.1 :

След това инсталирайте Windows Server 2012R2 на втория сървър xm-winsrv... Сега правим няколко важни стъпки, без който няма да работи добавянето на втори сървър към домейна. И двата сървъра трябва да пингуват един друг по име. За да направите това, добавете записи един за друг към файловете C: \ Windows \ System32 \ drivers \ etc \ host.

V xs-winsrvдобавете реда:

10.1.4.6 xm-winsrv

V xm-winsrvдобавете:

10.1.3.4 xs-winsrv

Сега второто важен момент... На сървъра xm-winsrvние определяме първия домейн контролер 10.1.3.4 като първи DNS сървър:

Сега и двата сървъра ще се разрешават един друг. Нека го проверим първо на сървъра xm-winsrvкойто ще добавим към домейна:

След това сървърът xs-winsrvтрябва да прехвърлите от сайта Default-First-Site-Nameкъм новия сайт, създаден за него. Вече сте готови да добавите втори сървър към домейна.

Добавяне на втори домейн контролер от друга подмрежа

Отиваме на втория сървър xm-winsrv, стартираме съветника за добавяне на роли и добавяме, както на първия сървър, 3 роли - AD, DNS, DHCP. Когато се стартира съветникът за конфигуриране на услуги на домейни на Active Directory, изберете първия елемент там - Добавете домейн контролер към съществуващ домейн, ние посочваме нашия домейн xs.local:

В следващата стъпка в параметрите на домейн контролера посочваме името на сайта, към който ще прикачим контролера:

Нека ви напомня, че това трябва да е сайт, към който е свързана подмрежата 10.1.4.0/24. Първият и вторият контролер се озовават в различни сайтове. Не забравяйте да поставите отметка в квадратчето Глобален каталог(GC)... След това оставяме всички настройки по подразбиране.

След рестартиране на сървъра, той ще се появи в домейна xs.local... Отидете под локален администраторняма да работи, трябва да използвате акаунт на домейн. Влизаме, проверяваме дали репликацията с основния домейн контролер е осъществена, дали DNS записите са синхронизирани. Всичко това мина добре, вторият домейн контролер взе всички потребители и DNS записи от първия. И на двата сървъра в добавката Active-Directory - Сайтове и услуги се показват и двата контролера, всеки в собствен сайт:

Това е всичко. Можете да добавите компютри в двата офиса към домейна.

Ще добавя още една важна точка за тези, за които ще конфигурират всичко това виртуални машини... Наложително е да деактивирате синхронизирането на времето с хипервизора на системите за гости. Ако това не бъде направено, тогава в даден момент домейн контролерите може да се разболеят.

Дано направих всичко както трябва. Нямам дълбоки познания за репликацията на Active Directory. Ако някой има коментари по съдържанието на статията, да пише за това в коментарите. Събирах цялата информация основно от форуми, където задаваха въпроси или решаваха проблеми по подобни теми за работа на домейна в различни подмрежи.

Онлайн курс "Администратор на Linux"

Ако имате желание да се научите как да изграждате и поддържате високодостъпни и надеждни системи, препоръчвам ви да се запознаете с онлайн курс" Linux администратор» в OTUS. Курсът не е за начинаещи, за прием се нуждаете основни знанияпрез мрежи и Инсталация на Linuxкъм виртуалната машина. Обучението продължава 5 месеца, след което успешно завършилите курса ще могат да преминат интервюта с партньори. Проверете се на входния тест и вижте програмата за подробности.

В тази публикация ще разгледаме по-отблизо процеса на внедряване на първия домейн контролер в предприятие. И ще има общо три от тях:

1) Основен контролер на домейн, ОС - Windows Server 2012 R2 с графичен интерфейс, име на мрежата: dc1.

Изберете опцията по подразбиране, щракнете върху Напред. След това изберете IPv4 протокола по подразбиране и щракнете отново върху Напред.

На следващия екран ще зададем мрежовия ID. В нашия случай 192.168.0. В полето Име на зоната за обратно търсене ще видим как автоматично ще бъде заместен адресът на зоната за обратно търсене. Щракнете върху Напред.

На екрана за динамично актуализиране изберете едно от трите възможни вариантидинамична актуализация.

Разрешете само защитени динамични актуализации.Тази опция е налична само ако зоната е интегрирана в Active Directory.

Разрешете както незащитени, така и сигурни динамични актуализации.Този превключвател позволява на всеки клиент да актуализира своите DNS ресурсни записи, когато има промени.

Не позволявайте динамични актуализации.Тази опция деактивира динамичните актуализации на DNS. Трябва да се използва само ако зоната не е интегрирана с Active Directory.

Избираме първата опция, щракваме върху Напред и завършваме настройката, като щракваме върху Готово.

Друг полезна опция, които обикновено се конфигурират в DNS, са сървъри за пренасочване или пренасочващи, чиято основна цел е да кешират и пренасочват DNS заявки от локален DNS сървър към външен DNS сървър в Интернет, например този, който се намира при доставчика. Например, ние искаме локални компютрив нашата домейн мрежа, в мрежовите настройки на която е регистриран DNS сървърът (192.168.0.3), бихме могли да получим достъп до Интернет, е необходимо нашите локален dns сървъре конфигуриран да позволява нагоре по веригата DNS заявки на сървъра. За да конфигурирате Forwarders, отидете на конзолата на DNS мениджъра. След това в свойствата на сървъра отидете на раздела Пренасочващи и щракнете върху Редактиране там.

Ще посочим поне един IP адрес. Желателни са няколко. Щракнете върху OK.

Сега нека конфигурираме DHCP услугата. Стартираме приставката.

Първо, нека зададем пълния работен диапазон от адреси, от които ще се вземат адресите за издаване на клиенти. Изберете Действие \ Нов обхват. Стартира съветникът за добавяне на регион. Нека зададем името на областта.

След това ще посочим началния и крайния адрес на мрежовия диапазон.

След това нека добавим адресите, които искаме да изключим от издаването на клиенти. Щракнете върху Напред.

На екрана Продължителност на лизинга посочете различно време на наем от по подразбиране, ако е необходимо. Щракнете върху Напред.

След това се съгласяваме, че искаме да конфигурираме тези DHCP опции: Да, искам да конфигурирам тези опции сега.

Ще посочим последователно шлюза, името на домейна, DNS адреси, Пропускаме WINS и накрая се съгласяваме с активирането на обхвата, като натискаме: Да, искам да активирам този обхват сега. Завършек.

За безопасна работа DHCP услуга, трябва да конфигурирате специален акаунт за динамична актуализация DNS записи... Това трябва да се направи, от една страна, за да се предотврати динамична регистрация на клиенти в DNS с помощта на административен акаунт на домейн и евентуална злоупотреба с него, от друга страна, в случай на резервация на DHCP услуга и повреда на главния сървър, ще бъде възможно да се прехвърли резервно копие на зоната на втори сървър и това ще изисква акаунта на първия сървър. За да изпълните тези условия, в добавката Active Directory Users and Computers, създайте акаунт с име dhcp и задайте неограничена парола, като изберете опцията: Password Never Expires.

Задайте на потребителя силна паролаи го добавете към групата DnsUpdateProxy. След това ще премахнем потребителя от групата Потребители на домейн, като предварително сме присвоили групата „DnsUpdateProxy“ на основния потребител. Този акаунт ще носи единствената отговорност за динамична актуализациязаписи и нямат достъп до други ресурси, където основните права на домейн са достатъчни.

Щракнете върху Приложи и след това OK. Отворете отново DHCP конзолата. Отидете на свойствата на протокола IPv4 в раздела Разширени.

Кликнете върху Credentials и посочете нашия DHCP потребител там.

Щракнете върху OK, рестартирайте услугата.

Ще се върнем по-късно на DHCP настройка, когато ще конфигурираме резервацията на DHCP услугата, но за това трябва да повдигнем поне домейн контролерите.

Инсталирането на домейн контролер е важна част от компютърната мрежа, всъщност той контролира нейната работа. Основната му задача е да стартира важната услуга Active Directory. Работи с Центъра за разпространение на ключове - Kerberos.

Също така осигурява работа върху Unix-съвместими системи. Комплектът действа като контролер в тях. софтуерСамба.

Контролерът на домейн се използва за създаване на локална мрежа, в която потребителите могат да влизат под собственото си име и с техните идентификационни данни. Те трябва да правят това на всички компютри. Също така, инсталирането на домейн контролер осигурява дефиниция на правата за достъп до мрежата и управление на неговата сигурност. С негова помощ можете централно да управлявате цялата мрежа, което е много важно.

Контролерите на домейни също могат да работят с Windows Server 2003. Така те осигуряват съхранение на всички данни в директорията, управляват операциите на потребители и домейни, контролират влизането на потребителя, удостоверяват директорията и др. Всички те могат да бъдат създадени с помощта на инсталатора на Active Directory. Може да работи и на Windows NT. Тук, за да работи по-надеждно, се създава допълнителен контролер... Той ще бъде свързан с главния контролер.

Имаше един сървър в мрежата на Windows NT. Може да се използва за управление на основния домейн контролер или PDC. Всички останали сървъри работеха като спомагателни сървъри. Те, например, могат да проверяват всички потребители, да съхраняват и проверяват пароли и други важни операции. Но в същото време те не можеха да добавят нови потребители към сървъра, не можеха също да променят пароли и други подобни, тоест конфигурацията на домейн контролера беше по-малко разнообразна. Тези операции могат да се извършват само с помощта на PDC. След това направените промени могат да бъдат приложени към всички архивни домейни. Ако основен сървърне е наличен, резервният домейн не може да бъде повишен до основен.

Въпреки това, можете да конфигурирате домейн контролер, мрежа и да повишите нивото на домейна на всеки компютър и у дома. Тази мъдрост е лесно да научите сами. Всички необходими инструменти за това се намират в Контролен панел - Добавяне или премахване на програми - Инсталиране на системни компоненти. Вярно е, че ще трябва да работите с тях, като преди това сте инсталирали диск с ОС на вашия компютър. Можете да увеличите ролята на компютъра с помощта на командния ред, като въведете командата dcpromo.

В допълнение, валидирането на контролера на домейн може да се извърши с помощта на специализирани комунални услуги, които всъщност работят в автоматизиран режим, тоест ви позволяват да получите необходимата информацияслед стартиране на програмата и настройване на работата на контролерите след извършване на диагностиката. Например, можете да използвате помощната програма Ntdsutil.exe, която предоставя възможност за свързване към новоинсталиран контролер на домейн, за да тествате способността за отговор на LDAP заявка. По същия начин, с помощта на този софтуер е възможно да се определи дали контролерът има информация за местоположението на ролите на FSMO в собствения си домейн.

Все още има такива прости начиникоето ще ви позволи да диагностицирате правилната работа на контролерите. По-специално, можете да отидете на HKEY _LOCAL _MACHINE \ SYSTEM \ CurrentControlSet \ Services (ключ на системния регистър) и да потърсите там подключа NTDS, чието присъствие показва нормалното функциониране на контролера на домейна. Има метод представяне на мрежатаакаунти в командния ред и там, ако компютърът е контролер на домейн, ще видите стойността BACKUP или PRIMARY в реда за роля на компютъра, други стойности са налични на прости компютри.

В нашата организация се случи така, че инфраструктурата трябваше да бъде изградена бързо и трябваше време за закупуване на лицензи. Така че беше решено да се използва Windows изображения Server 2012R2 Оценка и след това тестов периодвече лицензиран. По това време никой не знаеше, че е невъзможно просто да вземете, регистрирате стандартния лиценз в версията за оценка и да получите лицензирания стандарт на изхода, в противен случай мисля, че първо щяха да закупят лицензи. Но няма какво да правим, това, което имаме, работим с това. Така.

задача:след закупуване на лицензи на Microsoft за Windows сървър 2012R2 Standard, трябва да ги активирате на нашите сървъри. Да започваме.

Възникна проблем при изпълнение на задачата. Тъй като първоначално инсталирахме Windows Server 2012R2 Standard Evaluation, когато се опитаме да регистрираме ключ за Standard, сървърът казва, че този ключ не му подхожда. Започнахме да търсим решение на проблема с прехвърлянето на сървъра от версията за оценка към стандартната версия. Отговорът беше намерен на сайта на Microsoft в статия на TechNet.

Отчасти статията помогна за решаването на проблема. Успяхме да променим версията на три физически сървъра и да ги активираме с нашите лицензи. Но, за съжаление, не всичко вървеше толкова лесно с домейн контролерите. Горната статия ясно посочва, че контролерите на домейни НЕ МОГАТ да бъдат мигрирани от Evaluation към Standard. Трябва да направим това възможно най-скоро, т.к броят на възможните/превъоръжавания за PDC приключи и остават по-малко от 3 дни до края на пробната версия.

Видях два варианта за решаване на въпроса. Или, алтернативно между BDC и PDC, прехвърлете правата на собственика на схемата и други роли, понижете ги до сървърите-членове и след това ги повдигнете обратно. Но отхвърлих идеята за този волейбол в доменна пещ, защото просто направих всичко за първи път и се страхувах да го счупя.

Затова беше решено да се повиши нов сървър, надстройте до домейн контролер и прехвърлете главната на схемата към него и след това изключете стария PDC и задайте новия му IP, тогава тази опция ми се стори по-лесна и по-безопасна. Имайте предвид, че след събитията, описани по-долу, все още обмислям това добро решение, На поневсичко мина гладко, иначе статията щеше да има съвсем различно заглавие или изобщо нямаше да съществува.

Схемата може да се възпроизвежда без проблеми през работния ден. Оставаше само ден и половина, така че нямаше време да мечтая как ще направя всичко това, трябваше спешно да започна. По-нататъшните действия се предприемат точка по точка.

1. Създаваме нов виртуална машинас параметри, съответстващи на текущия PDC. Желателно е да го създадете на физически сървър, на който няма други контролери на домейни, но ако имате няколко хипервизора, както в моя случай, ако не, тогава това не е важно, единственият въпрос е толерантността на грешки. Е, ако не работите с хипервизори, а с истински сървъри, то отказоустойчивостта на PDC и BDC е нещо и така за даденост.

2. Инсталирайте Windows Server 2012R2. Избираме стандартното издание с графичен интерфейс. Ние конфигурираме TCP / IP и преименуваме сървъра в съответствие със стандартните имена на ИТ инфраструктура.

3. След инсталацията активираме новите роли за сървъра в Server Manager. Интересуваме се от AD, DNS и други роли и компоненти, използвани в текущите домейн контролери.

4. Ние популяризираме сървъра в домейн контролер. Репликацията се извършва между основния домейн контролер и новия.

5. Прехвърляме ролите на господаря на схемата от стария DC в новия.
За да направите това, отидете на контролера на домейна, на който ще бъдат присвоени ролите на FSMO, стартирайте командна линияи въведете командите в следната последователност:

ntdsutil
роли
връзки
свържете се със сървъра<имя сервера PDC>
q

След като се свържем успешно със сървъра, ще получим покана за управление на роли (поддръжка на FSMO) и можем да започнем да прехвърляме роли:

главен прехвърляне на именуване- прехвърляне на ролята на главен домейн.
главен пренос на инфраструктура- прехвърляне на ролята на собственик на инфраструктурата;
прехвърляне rid master- прехвърляне на ролята на главен RID;
прехвърляне майстор на схемата - прехвърляне на ролята на майстор на схемата;
прехвърляне на pdc- прехвърляне на ролята на PDC емулатора

За да изключите Ntdsutil, въведете командата q.

6. След като прехвърлим собственика на веригата, гледаме системен дневники dcdiag за грешки. Те не трябва да бъдат. Ако има, оправяме го. (Сблъсках се dns грешкакъдето сървърът се оплаква от грешка определени сървърипратка. В същия ден разбрах, че сървърът, на който е инсталиран DNS, не трябва да се посочва в сървърите за пренасочване на DNS (като правило са посочени DNS сървърите на доставчика и Yandex (Google), които по принцип е логично, това по същество създава цикъл в DNS.

7. Ако грешките са отстранени или не. Нека започнем да променяме IP адресите. Ние задаваме всеки безплатен IP адрес в мрежата на стария PDC и задаваме адреса на стария на новия PDC.

8. Проверка за грешки отново. Извършваме тестове. Изключете старите PDC и BDC. Проверяваме възможността за оторизация в домейна. След това оставяме само BDC активиран, проверяваме дали той поема ролята на домейн контролер, ако PDC не е наличен.

9. Ако всички тестове преминат. Можете да унищожите стария PDC и да започнете да променяте версията на BDC.

10. В нашия случай старият PDC все още не можеше да бъде изхвърлен в кошчето, тъй като ролята на пространството от имена на DFS функционираше върху него и ние не знаехме как да го репликираме на новия сървър.

11. Всичко се оказа много просто. Влизаме в графичната приставка "DFS Management". В "Именно пространство" добавяме съществуващите пространства от имена, след което добавяме сървър на пространство от имена към всяко пространство от имена и това е всичко. Dfs коренавтоматично заедно с връзки към мрежови ресурсисе появява на c: \ и всичко работи. За всеки случай проверяваме работата, като изключваме стария PDC. Първоначално мрежовите ресурси ще бъдат недостъпни (DFS се нуждае от 300 секунди за репликиране). След 5 минути мрежовите ресурси трябва да бъдат отново достъпни.

12. Оставяме стария PDC изключен и след известно време го спускаме до членен сървър и след това го изтриваме. Можете, разбира се, веднага, но аз се уплаших и до последния момент не вярвах, че всичко се получи без проблеми.

P.S.:Всички горепосочени действия бяха извършени след внимателно проучване Книги за Windowsсървър 2012R2 - Пълното ръководство... По-специално, глави, посветени специално на AD, DNS и DFS, както и на домейн контролерите. По-добре е да не започвате тези действия без разбиране и планиране. можете да загубите работната си инфраструктура.

Надявам се тази статия да бъде полезна и необходима за някого. Благодаря за вниманието!