De belangrijkste functies van een domeincontroller omvatten. Waarom heeft een organisatie Active Directory nodig? Uniforme opslagplaats voor applicatieconfiguratie

Windows Server 2003, en nadat u er zeker van bent dat deze servers correct opstarten en geen problemen hebben, kunt u beginnen met het maken van domeincontrollers (DC's) en andere. systeemservers... Als u bovendien uw hardware opwaardeert en tegelijkertijd uw besturingssysteem opwaardeert, kunt u uw gebruikelijke hardwareleverancier opdracht geven om Windows Server 2003 vooraf te installeren zonder dat u domeincontrollers een naam hoeft te geven of deze hoeft te configureren.

De eerste domeincontroller (DC) in een nieuw domein installeren

installeren Active Directory(AD), open Uw server beheren vanuit Start menu(Start) en klik op Een rol toevoegen of verwijderen om de wizard Uw server configureren te starten. Selecteer in het venster Serverrol Domeincontroller (Active Directory) om de Active Directory-installatiewizard te starten. Klik op de knop Volgende om door te gaan met de wizard met instructies volgen om uw eerste DC te installeren.

1. Selecteer in het venster Type domeincontroller de optie Domeincontroller voor een nieuw domein.
2. Klik in het venster Nieuw domein maken op Domein in een nieuw forest.
3. Voer op de pagina Nieuwe domeinnaam de volledig gekwalificeerde Domeinnaam(FQDN) voor dit nieuwe domein. (Dat wil zeggen, voer bedrijfsnaam.com in maar niet Bedrijfsnaam.)
4. Controleer in het venster NetBIOS-domeinnaam de NetBIOS-naam (maar niet de FQDN).
5. Spreek in het venster Database- en logmappen de locatie voor de database- en logmappen af, of klik op de knop Bladeren om een ​​andere locatie te selecteren als u een reden hebt om een ​​andere map te gebruiken.
6. Accepteer in het venster Gedeeld systeemvolume de locatie van de Sysvol-map of klik op de knop Bladeren om een ​​andere locatie te selecteren.
7. Controleer in het venster DNS-registratiediagnose of de bestaande DNS-server geschikt is voor dit forest, of dat er geen is DNS server, selecteer de optie om DNS op deze server te installeren en configureren.
8. Selecteer in het venster Machtigingen een van de volgende opties: bevoegdheden (afhankelijk van) Windows-versies op clientcomputers die toegang hebben tot deze DC).
   • Inloggegevens compatibel met besturingssystemen tot Windows 2000.
   • Alleen werkende compatibele referenties Windows-systemen 2000 of Windows Server 2003.
9. Bekijk de informatie in het venster Samenvatting en als u iets moet wijzigen, klikt u op de knop Terug om uw opties te wijzigen. Als alles in orde is, klikt u op de knop Volgende om de installatie te starten.

Nadat u alle bestanden naar uw harde schijf hebt gekopieerd, start u uw computer opnieuw op.

Andere domeincontrollers (DC's) in het nieuwe domein installeren

U kunt een willekeurig aantal andere DC's aan uw domein toevoegen. Als u een bestaande lidserver naar een DC converteert, moet u er rekening mee houden dat veel van de configuratie-opties zullen verdwijnen. Hiermee worden bijvoorbeeld lokale gebruikersaccounts en cryptografische sleutels verwijderd. Als deze lidserver EFS heeft gebruikt om bestanden op te slaan, moet u de codering opheffen. Na het annuleren van de codering moet u deze bestanden zelfs naar een andere computer verplaatsen.

Als u andere DC's in uw nieuwe domein wilt maken en configureren, voert u de Active Directory-installatiewizard uit zoals beschreven in de vorige sectie. Volg daarna de stappen in deze wizard met behulp van de volgende instructies.

1. Selecteer in het venster Type domeincontroller de optie Extra domeincontroller voor een bestaand domein.
2. Voer in het venster Netwerkreferenties een gebruikersnaam, wachtwoord en domein in om de gebruikersaccount aan te geven die u voor deze taak wilt gebruiken.
3. Voer in het venster Extra domeincontroller de volledig gekwalificeerde DNS-naam van het bestaande domein in, waarbij: deze server wordt een domeincontroller.
4. Spreek in het venster Database- en logmappen een locatie af voor de database- en logmappen, of klik op de knop Bladeren om een ​​andere locatie dan de standaardlocatie te selecteren.
5. Accepteer in het venster Gedeeld systeemvolume de locatie van de Sysvol-map of klik op de knop Bladeren om een ​​andere locatie te selecteren.
6. Voer in het venster Directory Services Restore Mode Administrator Password het wachtwoord in dat u wilt toewijzen aan het beheerdersaccount voor deze server en bevestig dit. (Dit Rekening gebruikt wanneer de computer wordt opgestart in de modus Directory Services Restore.)
7. Bekijk de informatie in het venster Samenvatting en als alles in orde is, klikt u op de knop Volgende om de installatie te starten. Klik op de knop Terug als u instellingen wilt wijzigen.

De systeemconfiguratie wordt aangepast aan de eisen van de domeincontroller, waarna de eerste replicatie wordt gestart. Na het kopiëren van de gegevens (dit kan bepaalde tijd, en als uw computer zich op een beveiligde locatie bevindt, kunt u een pauze nemen) klik op de knop Voltooien in laatste venster wizard en start uw computer opnieuw op. Na het opnieuw opstarten verschijnt de wizard Uw server configureren, waarin wordt aangekondigd dat uw computer nu een domeincontroller is. Klik op de knop Voltooien om de wizard af te sluiten, of klik op een van de links in dit venster om Extra informatie over ondersteuning voor domeincontrollers.

Maak extra domeincontrollers (DC's) door te herstellen vanaf een back-up

U kunt snel extra Windows Server 2003 DC's maken in hetzelfde domein als een bestaande DC door een back-up te herstellen van een draaiende Windows Server 2003 DC. Dit vereist slechts drie stappen (die in de volgende secties worden beschreven).

1. Maak een back-up van de systeemstatus van een bestaande Windows Server 2003 DC (laten we het ServerOne noemen) in hetzelfde domein.
2. De systeemstatus herstellen naar een andere locatie, d.w.z. Aan Windows-computer Server 2003 dat u een domeincontroller wilt worden (laten we het ServerTwo noemen).
3. De status van de doelserver upgraden (in in dit geval ServerTwo) naar DC-niveau met behulp van de opdracht DCPROMO / adv vanaf de opdrachtregel.

Deze volgorde kan in alle scenario's worden toegepast: het installeren van een nieuwe Windows-domein Server 2003, Windows 2000-domeinupgrade en Windows NT-domeinupgrade. Na Windows-installaties Server 2003 op een computer, kunt u met deze methode van die computer een domeincontroller (DC) maken.

Dit is vooral handig als uw domein meerdere sites bevat en uw DC's worden gerepliceerd via globaal netwerk(WAN), wat veel langzamer is dan het overdragen van gegevens ethernetkabel... Wanneer een nieuwe DC op een externe locatie wordt geïnstalleerd, duurt de eerste replicatie erg lang. Bij op deze manier Deze eerste replicatie is niet langer nodig, en volgende replicaties repliceren alleen de wijzigingen (wat veel minder tijd kost).

De volgende secties bevatten instructies voor het maken van een DC met behulp van deze methode.

Voer Ntbackup.exe uit (vanuit het menu Systeembeheer of vanuit het dialoogvenster Uitvoeren) en selecteer de volgende opties in de wizardvensters.

1. Selecteer Back-up bestanden en instellingen.
2. Selecteer Laat mij kiezen waarvan ik een back-up wil maken.
3. Schakel het selectievakje Systeemstatus in.
4. Kies een locatie en naam voor het back-upbestand. Ik gebruikte een gedeelde punt op het net en noemde het bestand DCmodel.bkf (back-upbestanden hebben de extensie .bkf).
5. Klik op de knop Voltooien.

Ntbackup wordt uitgevoerd back-up systeemstatus op de door u opgegeven locatie. U hebt toegang tot deze back-up nodig vanaf de doelcomputers, dus de gemakkelijkste manier is om een ​​gedeelde netwerkbron te gebruiken of het back-upbestand naar CD-R-schijf.

Systeemstatus herstellen naar de doelcomputer

Om de systeemstatus te herstellen op een Windows Server 2003-computer waarvan u een domeincontroller wilt maken, gaat u naar die computer (deze moet toegang hebben tot het back-upbestand dat u op de oorspronkelijke computer hebt gemaakt). Voer Ntbackup.exe uit op deze computer en selecteer de volgende opties in de wizardvensters.

1. Selecteer Bestanden en instellingen herstellen.
2. Geef de locatie van het back-upbestand op.
3. Schakel het selectievakje Systeemstatus in.
4. Klik op de knop Geavanceerd.
5. Selecteer Alternatieve locatie in de vervolgkeuzelijst en voer een locatie in op uw lokale harde schijf (u kunt bijvoorbeeld een map maken met de naam ADRestore op station C).
6. Selecteer de optie Bestaande bestanden vervangen.
7. Schakel de selectievakjes Beveiligingsinstellingen herstellen en Bestaande volume-aankoppelpunten behouden in.
8. Klik op de knop Voltooien.

Ntbackup herstelt de systeemstatus in vijf submappen op de locatie die u in de wizard hebt opgegeven. De namen van deze mappen komen overeen met de volgende namen van de systeemstatuscomponenten:

• Active Directory (database en logbestanden)
• Sysvol (beleid en scripts)
• Opstartbestanden
• register
• COM + klasseregistratiedatabase

Als u DCPROMO uitvoert met de schakeloptie new / adv, zoekt het naar deze submappen.

Voer in het dialoogvenster Uitvoeren dcpromo / adv in om de Active Directory-installatiewizard te starten. Gebruik de volgende instructies om uw keuze te maken in elk venster van deze wizard.

1. Selecteer de optie Extra domeincontroller voor verlaten domein.
2. Selecteer de optie Van deze herstelde back-upbestanden en specificeer de locatie op lokale schijf waar u de back-up wilt terugzetten. Dit zou moeten zijn waar de bovenstaande vijf submappen zich bevinden.
3. Als de bron-DC een globale catalogus bevat, verschijnt er een wizardvenster waarin u wordt gevraagd of u de globale catalogus op die DC wilt plaatsen. Selecteer Ja of Nee, afhankelijk van uw configuratieplannen. Het proces voor het maken van een DC gaat iets sneller als u Ja selecteert, maar u kunt besluiten dat u de globale catalogus slechts op één DC hoeft te bewaren.
4. Voer inloggegevens in om deze taak uit te voeren (beheerdersnaam en wachtwoord).
5. Voer de naam in van het domein waarin deze DC zal werken. Dit moet het domein zijn waarvan de bron-DC lid is.
6. Voer de locaties voor de basis in Gegevens actief Directory en logs (het is het beste om de standaardlocaties te gebruiken).
7. Voer een locatie in voor SYSVOL (en het is het beste om hier de standaardlocatie te gebruiken).
8. Voer een beheerderswachtwoord in dat u kunt gebruiken als u deze computer moet opstarten in de modus Directory Services Restore.
9. Klik op de knop Voltooien.

Dcpromo promoveert deze server naar een domeincontroller met behulp van de gegevens in de herstelde bestanden, wat betekent dat u niet hoeft te wachten tot elk Active Directory-object van de bestaande DC is gerepliceerd naar deze nieuwe DC. Als er objecten worden gewijzigd, toegevoegd of verwijderd nadat u dit proces hebt gestart, is het een kwestie van seconden voor de nieuwe DC bij de volgende replicatie.

Wanneer dit proces is voltooid, start u uw computer opnieuw op. Daarna kunt u de mappen met de herstelde back-up verwijderen.

Ik had de behoefte om de Active Directory-service te implementeren op geografisch gescheiden locaties, waarvan de netwerken onderling verbonden zijn met VPN gebruiken... Op het eerste gezicht lijkt de taak eenvoudig, maar persoonlijk heb ik dergelijke dingen nog nooit eerder gedaan, en met een vluchtige zoektocht kon ik in dit geval geen enkele afbeelding of actieplan vinden. Ik moest informatie verzamelen van verschillende bronnen en regel zelf de instellingen.

In dit artikel leer je:

Installatie van Active Directory op verschillende subnetten plannen

We hebben dus twee subnetten 10.1.3.0/24 en 10.1.4.0/24 , die elk een aantal computers en een netwerkbal hebben. Dit alles moet je combineren in één domein. De netwerken zijn met elkaar verbonden door een vpn-tunnel, computers pingen elkaar in beide richtingen, problemen met netwerktoegang Nee.

Voor normaal werk We installeren Active Directory-services op elk subnet voor een domeincontroller en configureren de replicatie daartussen. We zullen Windows Server 2012R2 gebruiken. De volgorde van acties is als volgt:

• We installeren een domeincontroller op hetzelfde subnet, we verhogen het erop nieuw domein in het nieuwe bos
• Installeer een domeincontroller op het tweede subnet en voeg deze toe aan het domein
• Replicatie tussen domeinen configureren

De eerste domeincontroller krijgt een naam xs-winsrv met adres 10.1.3.4 , tweede - xm-winsrv 10.1.4.6... Het domein dat we gaan maken heet xs.local

Domeincontrollers configureren om op verschillende subnetten te draaien

De eerste stap is het installeren van een domeincontroller in het nieuwe forest op de eerste server xs-winsrv... Ik zal hier niet in detail op ingaan, er zijn veel tutorials en instructies over dit onderwerp op internet. We doen alles standaard, AD instellen, DHCP en DNS-services... We specificeren het lokale ip-adres als de eerste DNS-server en als de tweede 127.0.0.1 :

Installeer vervolgens Windows Server 2012R2 op de tweede server xm-winsrv... Nu doen we er een paar belangrijke stappen, zonder welke het niet zal werken om een ​​tweede server aan het domein toe te voegen. Beide servers moeten elkaar op naam pingen. Om dit te doen, voegt u vermeldingen over elkaar toe aan de bestanden C: \ Windows \ System32 \ drivers \ etc \ host.

V xs-winsrv voeg de regel toe:

10.1.4.6 xm-winsrv

V xm-winsrv toevoegen:

10.1.3.4 xs-winsrv

Nu de tweede belangrijk punt... op server xm-winsrv we specificeren de eerste domeincontroller 10.1.3.4 als de eerste DNS-server:

Nu zullen beide servers elkaar oplossen. Laten we het eerst op de server controleren xm-winsrv die we aan het domein zullen toevoegen:

Daarna de server xs-winsrv je moet overstappen van de site Standaard-voor-site-naam naar de nieuwe site die voor hem is gemaakt. U bent nu klaar om een ​​tweede server aan het domein toe te voegen.

Een tweede domeincontroller toevoegen vanuit een ander subnet

We gaan naar de tweede server xm-winsrv, starten de wizard voor het toevoegen van rollen en voegen, zoals op de eerste server, 3 rollen toe - AD, DNS, DHCP. Wanneer de Active Directory Domain Services-configuratiewizard wordt gestart, selecteert u daar het eerste item - Een domeincontroller toevoegen aan een bestaand domein, wij geven ons domein aan xs.local:

In de volgende stap, in de parameters van de domeincontroller, specificeren we de naam van de site waaraan we de controller zullen koppelen:

Laat me je eraan herinneren dat dit een site moet zijn waaraan het 10.1.4.0/24-subnet is gebonden. De eerste en tweede controller komen op verschillende locaties terecht. Vergeet niet het vakje aan te vinken Wereldwijde catalogus(GC)... Dan laten we alle instellingen standaard staan.

Nadat de server opnieuw is opgestart, verschijnt deze in het domein xs.local... Ten onder gaan lokale beheerder niet werkt, moet u een domeinaccount gebruiken. We gaan naar binnen, we controleren of de replicatie met de hoofddomeincontroller heeft plaatsgevonden, of de DNS-records gesynchroniseerd zijn. Dit alles ging goed voor mij, de tweede domeincontroller nam alle gebruikers en DNS-records van de eerste. Op beide servers in de Active Directory-module - Sites en Services worden beide controllers weergegeven, elk op een eigen site:

Dat is alles. U kunt computers in beide kantoren toevoegen aan het domein.

Ik zal nog een belangrijk punt toevoegen voor degenen die dit allemaal zullen configureren voor: virtuele machines... Het is absoluut noodzakelijk om tijdsynchronisatie met de hypervisor op de gastsystemen uit te schakelen. Als dit niet gebeurt, kunnen de domeincontrollers op een gegeven moment ziek worden.

Hoop dat ik alles goed heb gedaan. Ik heb geen diepgaande kennis van Active Directory-replicatie. Als iemand opmerkingen heeft over de inhoud van het artikel, schrijf dit dan in de opmerkingen. Ik verzamelde alle informatie voornamelijk van forums, waar ze vragen stelden of problemen oplosten over vergelijkbare onderwerpen van domeinwerking in verschillende subnetten.

Online cursus "Linux Beheerder"

Als je wilt leren hoe je zeer beschikbare en betrouwbare systemen kunt bouwen en onderhouden, raad ik je aan om kennis te maken met online cursus " Linux-beheerder» bij OTUS. De cursus is niet voor beginners, voor toelating heb je nodig basis kennis via netwerken en Linux-installatie naar de virtuele machine. De training duurt 5 maanden, waarna succesvolle afgestudeerden van de cursus interviews met partners kunnen afleggen. Controleer jezelf op de toelatingstest en zie het programma voor details over.

In dit bericht gaan we dieper in op het proces van het implementeren van de eerste domeincontroller in een onderneming. En dat zullen er in totaal drie zijn:

1) Primaire domeincontroller, besturingssysteem - Windows Server 2012 R2 met GUI, netwerknaam: dc1.

Selecteer de standaardoptie, klik op Volgende. Selecteer vervolgens het standaard IPv4-protocol en klik nogmaals op Volgende.

Op het volgende scherm zullen we de netwerk-ID instellen. In ons geval 192.168.0. In het veld Naam zone voor reverse lookup zullen we zien hoe het adres van de zone voor reverse lookup automatisch wordt vervangen. Klik volgende.

Selecteer op het Dynamic Update-scherm een ​​van de drie mogelijke opties dynamische update.

Alleen veilige dynamische updates toestaan. Deze optie is alleen beschikbaar als de zone met Active Directory is geïntegreerd.

Sta zowel niet-beveiligde als veilige dynamische updates toe. Met deze switch kan elke client zijn DNS-bronrecords bijwerken wanneer er wijzigingen zijn.

Sta geen dynamische updates toe. Deze optie schakelt dynamische DNS-updates uit. Het mag alleen worden gebruikt als de zone niet is geïntegreerd met Active Directory.

We selecteren de eerste optie, klikken op Volgende en voltooien de installatie door op Voltooien te klikken.

Nog een handige optie, die meestal in DNS is geconfigureerd, zijn forwarding-servers of Forwarders, met als belangrijkste doel het cachen en omleiden van DNS-verzoeken van een lokale DNS-server naar een externe DNS-server op internet, bijvoorbeeld die bij de provider. We willen bijvoorbeeld: lokale computers in ons domeinnetwerk, in de netwerkinstellingen waarvan de DNS-server (192.168.0.3) is geregistreerd, zouden we toegang tot internet kunnen krijgen, is het noodzakelijk dat onze lokale dns-server is geconfigureerd om dns-verzoeken van de upstream-server toe te staan. Om Forwarders te configureren, gaat u naar de DNS-managerconsole. Ga vervolgens in de servereigenschappen naar het tabblad Forwarders en klik daar op Bewerken.

We geven minimaal één IP-adres aan. Meerdere zijn wenselijk. Klik OK.

Laten we nu de DHCP-service configureren. We lanceren de snap-in.

Laten we eerst het volledige werkbereik van adressen instellen waarvan adressen worden overgenomen voor uitgifte aan klanten. Kies Actie \ Nieuw bereik. De wizard Regio toevoegen wordt gestart. Laten we de naam van het gebied instellen.

Vervolgens geven we het begin- en eindadres van het netwerkbereik aan.

Laten we vervolgens de adressen toevoegen die we willen uitsluiten van de uitgifte van clients. Klik volgende.

Geef op het scherm Leaseduur indien nodig een andere leasetijd op dan de standaard. Klik volgende.

Dan spreken we af dat we deze DHCP-opties willen configureren: Ja, ik wil deze optie nu configureren.

We zullen achtereenvolgens de gateway, domeinnaam, DNS-adressen, We slaan WINS over en gaan uiteindelijk akkoord met het activeren van de scope door te drukken op: Ja, ik wil deze scope nu activeren. Finish.

Voor veilig werken DHCP-service, u moet een speciaal account configureren voor dynamische update DNS-records... Dit moet enerzijds gebeuren om dynamische registratie van clients in DNS met behulp van een domeinbeheerdersaccount en mogelijk misbruik ervan te voorkomen, anderzijds in geval van een DHCP-servicereservering en een storing van de hoofdleiding. server, is het mogelijk om een ​​reservekopie van de zone over te brengen naar een tweede server, en hiervoor is het account van de eerste server vereist. Om aan deze voorwaarden te voldoen, maakt u in de module Active Directory: gebruikers en computers een account met de naam dhcp en wijst u een onbepaald wachtwoord toe door de optie te selecteren: Wachtwoord verloopt nooit.

Toewijzen aan de gebruiker sterk wachtwoord en voeg het toe aan de groep DnsUpdateProxy. Vervolgens verwijderen we de gebruiker uit de groep Domeingebruikers, nadat we eerder de groep "DnsUpdateProxy" hebben toegewezen aan de primaire gebruiker. Dit account is als enige verantwoordelijk voor: dynamische update records en hebben geen toegang tot andere bronnen waar basisdomeinrechten voldoende zijn.

Klik op Toepassen en vervolgens op OK. Open de DHCP-console opnieuw. Ga naar de eigenschappen van het IPv4-protocol op het tabblad Geavanceerd.

Klik op Referenties en specificeer daar onze DHCP-gebruiker.

Klik op OK, start de service opnieuw.

We komen later terug op DHCP-instelling, wanneer we de reservering van de DHCP-service zullen configureren, maar hiervoor moeten we ten minste de domeincontrollers verhogen.

Het installeren van een domeincontroller is een belangrijk onderdeel van een computernetwerk, in feite regelt het de werking ervan. De belangrijkste taak is het starten van de belangrijke Active Directory-service. Het werkt met het Key Distribution Center - Kerberos.

Biedt ook werk op Unix-compatibele systemen. De set fungeert daarin als een controller. software samba.

De domeincontroller wordt gebruikt om een ​​lokaal netwerk te creëren waarin gebruikers onder hun eigen naam en met hun inloggegevens kunnen inloggen. Ze moeten dit op alle computers doen. Het installeren van een domeincontroller biedt ook een definitie van netwerktoegangsrechten en beheer van de beveiliging ervan. Met zijn hulp kunt u het hele netwerk centraal beheren, wat erg belangrijk is.

Domeincontrollers kunnen ook Windows Server 2003 uitvoeren. Ze bieden dus opslag van alle directorygegevens, beheren gebruikers- en domeinbewerkingen, controleren de aanmelding van gebruikers, verifiëren de directory en meer. Ze kunnen allemaal worden gemaakt met behulp van het Active Directory-installatieprogramma. Het kan ook werken op Windows NT. Hier, om het betrouwbaarder te laten werken, wordt het gemaakt extra controller... Het wordt gekoppeld aan de hoofdcontroller.

Er was één server op het Windows NT-netwerk. Het kan worden gebruikt om de hoofddomeincontroller of PDC te bedienen. Alle andere servers werkten als hulpservers. Ze kunnen bijvoorbeeld alle gebruikers controleren, wachtwoorden opslaan en controleren en andere belangrijke bewerkingen. Maar tegelijkertijd konden ze geen nieuwe gebruikers toevoegen aan de server, ze konden ook geen wachtwoorden wijzigen en dergelijke, dat wil zeggen dat de configuratie van de domeincontroller minder gevarieerd was. Deze bewerkingen konden alleen worden uitgevoerd met behulp van de PDC. De wijzigingen die daarin zijn aangebracht, kunnen vervolgens worden toegepast op alle back-updomeinen. Indien hoofdserver niet beschikbaar was, kon het back-updomein niet worden gepromoveerd naar het primaire domein.

U kunt echter op elke computer en thuis een domeincontroller configureren, een netwerk configureren en het domeinniveau verhogen. Deze wijsheid is gemakkelijk zelf te leren. Alle benodigde tools hiervoor bevinden zich in het Configuratiescherm - Programma's toevoegen of verwijderen - Systeemcomponenten installeren. Toegegeven, u zult met hen moeten werken, nadat u eerder een schijf met een besturingssysteem op uw computer hebt geïnstalleerd. U kunt de rol van een computer vergroten met behulp van de opdrachtregel door de opdracht dcpromo in te voeren.

Bovendien kan validatie van domeincontrollers goed worden uitgevoerd met behulp van: gespecialiseerde hulpprogramma's, die in feite in een geautomatiseerde modus werken, dat wil zeggen, ze stellen u in staat om Nodige informatie na het starten van het programma en pas de werking van de controllers aan na het uitvoeren van de diagnose. U kunt bijvoorbeeld het hulpprogramma Ntdsutil.exe gebruiken, dat de mogelijkheid biedt om verbinding te maken met een nieuw geïnstalleerde domeincontroller om de mogelijkheid om te reageren op een LDAP-verzoek te testen. Evenzo is het met behulp van deze software mogelijk om te bepalen of de controller informatie heeft over de locatie van FSMO-rollen in zijn eigen domein.

Er zijn er nog eenvoudige manieren waarmee u de juiste werking van de controllers kunt diagnosticeren. U kunt met name naar HKEY _LOCAL _MACHINE \ SYSTEM \ CurrentControlSet \ Services (registersleutel) gaan en daar de NTDS-subsleutel zoeken, waarvan de aanwezigheid de normale werking van de domeincontroller aangeeft. Er is een methode net introduceren accounts op de opdrachtregel en daar, als de computer een domeincontroller is, ziet u de BACKUP- of PRIMARY-waarde in de computerrolregel, andere waarden zijn beschikbaar op eenvoudige computers.

In onze organisatie gebeurde het zo dat de infrastructuur snel gebouwd moest worden en het kopen van licenties tijd kostte. Dus werd besloten om te gebruiken Windows-afbeeldingen Server 2012R2-evaluatie en daarna testperiode al vergunning gegeven. Op dat moment wist niemand dat het onmogelijk was om gewoon de Standard-licentie te nemen, te registreren in de Evaluation-release en de gelicentieerde Standard bij de uitgang te krijgen, anders hadden ze, denk ik, eerst licenties gekocht. Maar daar is niets aan te doen, wat we hebben, daar werken we mee. Dus.

Taak: na aanschaf van Microsoft-licenties voor Windows server 2012R2 Standard, moet u deze op onze servers activeren. Laten we beginnen.

Er is een probleem opgetreden tijdens het uitvoeren van de taak. Aangezien we oorspronkelijk Windows Server 2012R2 Standard Evaluation hebben geïnstalleerd, zegt de server dat deze sleutel niet past bij het registreren van een sleutel voor Standard. We gingen op zoek naar een oplossing voor het probleem van het overzetten van de server van de evaluatieversie naar de standaardversie. Het antwoord werd gevonden op de microsoft-site in een TechNet-artikel.

Voor een deel hielp het artikel het probleem op te lossen. We hebben de versie op drie fysieke servers kunnen wijzigen en activeren met onze licenties. Maar helaas ging niet alles zo gemakkelijk met domeincontrollers. In het bovenstaande artikel staat duidelijk dat domeincontrollers NIET kunnen worden gemigreerd van Evaluation naar Standard. We moeten dit zo snel mogelijk doen, want het aantal mogelijke / herbewapeningen voor PDC is afgelopen, en er zijn minder dan 3 dagen over tot de proefversie eindigt.

Ik zag twee opties om de vraag op te lossen. Of afwisselend tussen de BDC en de PDC, draag de rechten van de schema-eigenaar en andere rollen over, verlaag ze naar lidservers en verhoog ze vervolgens weer. Maar ik verwierp het idee van deze hoogovenvolleybal, omdat ik het gewoon allemaal voor de eerste keer deed en bang was om het te breken.

Daarom werd besloten om te verhogen nieuwe server, upgrade naar een domeincontroller en breng de master van het schema ernaar over, en schakel vervolgens de oude PDC uit en wijs zijn nieuwe IP toe, dan leek deze optie mij gemakkelijker en veiliger. Merk op dat ik dit na de hieronder beschreven gebeurtenissen nog steeds overweeg goede beslissing, Aan minstens alles verliep soepel, anders had het artikel een heel andere titel gehad, of had het helemaal niet bestaan.

Het schema kan zonder problemen gedurende de werkdag worden gereproduceerd. Er was nog maar anderhalve dag te gaan, dus er was geen tijd om te dromen over hoe ik dit allemaal zou doen, ik moest dringend beginnen. Punt voor punt worden verdere acties ondernomen.

1. We maken een nieuwe virtuele machine met parameters die overeenkomen met de huidige PDC. Het is raadzaam om het op een fysieke server te maken waarop geen andere domeincontrollers zijn, maar als je meerdere hypervisors hebt, zoals in mijn geval, zo niet, dan is dit niet belangrijk, de enige vraag is fouttolerantie. Nou, als je niet met hypervisors werkt, maar met echte servers, dan is de fouttolerantie van de PDC en BDC iets vanzelfsprekends.

2. Installeer Windows Server 2012R2. We selecteren de Standard-editie met een grafische interface. We configureren TCP/IP en hernoemen de server conform de standaard IT-infrastructuurnamen.

3. Na installatie schakelen we de nieuwe rollen voor de server in Server Manager in. We zijn geïnteresseerd in AD, DNS en andere rollen en componenten die worden gebruikt op de huidige domeincontrollers.

4. We promoveren de server naar een domeincontroller. Replicatie vindt plaats tussen de primaire domeincontroller en de nieuwe.

5. We dragen de rollen van de meester van het schema over van de oude DC naar de nieuwe.
Ga hiervoor naar de domeincontroller waaraan de FSMO-rollen worden toegewezen, voer opdrachtregel en voer de opdrachten in de volgende volgorde in:

ntdsutil
rollen
verbindingen
Connecteer met de server<имя сервера PDC>
Q

Nadat we succesvol verbinding hebben gemaakt met de server, ontvangen we een uitnodiging om rollen te beheren (FSMO-onderhoud) en kunnen we beginnen met het overdragen van rollen:

naamgeving master overdragen- overdracht van de domeinnaam master rol.
overdracht infrastructuur master- overdracht van de rol van de eigenaar van de infrastructuur;
overdracht ontdoen meester- overdracht van de RID-masterrol;
overdracht schema meester - overdracht van de rol van de meester van het schema;
overdracht pdc- overdracht van de rol van de PDC-emulator

Voer de opdracht q in om Ntdsutil af te sluiten.

6. Na de overdracht van de eigenaar van het circuit, kijken we systeem log en dcdiag voor fouten. Dat zouden ze niet moeten zijn. Als dat er is, lossen we het op. (Ik kwam tegen dns fout waar de server klaagde over verkeerd gespecificeerde servers Verzending. Op dezelfde dag kwam ik erachter dat de server waarop de DNS is geïnstalleerd niet mag worden aangegeven in de DNS-forwardingservers (in de regel worden de DNS-servers van de provider en Yandex (Google) aangegeven, wat in het algemeen is logisch, dit creëert in wezen een lus in DNS.

7. Of de fouten zijn verholpen of niet. Laten we beginnen met het wijzigen van IP-adressen. We wijzen elk vrij IP-adres op het netwerk toe aan de oude PDC en wijzen het adres van de oude toe aan de nieuwe PDC.

8. Opnieuw controleren op fouten. Wij voeren testen uit. Schakel de oude PDC en BDC uit. We controleren de mogelijkheid van autorisatie in het domein. Dan laten we alleen de BDC ingeschakeld, controleer of deze de rol van domeincontroller op zich neemt als de PDC niet beschikbaar is.

9. Als alle tests slagen. U kunt de oude PDC vernietigen en beginnen met het wijzigen van de BDC-versie.

10. In ons geval kon de oude PDC nog steeds niet in de prullenbak worden gegooid, omdat de rol van de DFS-naamruimte erop functioneerde en we niet wisten hoe we deze naar de nieuwe server moesten repliceren.

11. Alles bleek heel eenvoudig. We gaan naar de grafische module "DFS-beheer". In de "Naamruimte" voegen we de bestaande naamruimten toe, vervolgens voegen we een naamruimteserver toe aan elke naamruimte en dat is alles. Dfs-root automatisch samen met links naar netwerkbronnen verschijnt op c: \ en alles werkt. Voor het geval dat, controleren we het werk door de oude PDC uit te zetten. In eerste instantie zijn netwerkbronnen niet beschikbaar (DFS heeft 300 seconden nodig om te repliceren). Na 5 minuten zouden de netwerkbronnen weer beschikbaar moeten zijn.

12. We laten de oude PDC uitgeschakeld en na een tijdje verlagen we hem naar een lidserver en verwijderen hem dan. Dat kan natuurlijk meteen, maar ik was bang en tot het allerlaatste moment geloofde ik niet dat alles zonder problemen ging.

P.S.: Alle bovenstaande acties zijn uitgevoerd na zorgvuldige studie Windows boeken server 2012R2 - De complete gids... Met name hoofdstukken die specifiek zijn gewijd aan AD, DNS en DFS, evenals domeincontrollers. Het is beter om deze acties niet te starten zonder begrip en planning. u kunt uw werkende infrastructuur kwijtraken.

Ik hoop dat dit artikel nuttig en noodzakelijk zal zijn voor iemand. Bedankt voor de aandacht!