Hovedfunksjonene til en domenekontroller inkluderer. Hvorfor trenger en organisasjon Active Directory? Samlet programkonfigurasjonslager

Legg igjen en kommentar 6,950

Windows Server 2003 og deretter, etter å ha forsikret deg om at disse serverne starter opp riktig og er fri for problemer, kan du begynne oppgavene med å lage domenekontrollere (DC) og andre. systemservere... Dessuten, hvis du oppgraderer maskinvaren samtidig som du oppgraderer operativsystemet, kan du beordre den vanlige maskinvareleverandøren din til å forhåndsinstallere Windows Server 2003 uten å måtte navngi og konfigurere domenekontrollere.

Installere den første domenekontrolleren (DC) i et nytt domene

å installere Active Directory(AD), åpne Administrer serveren din fra Startmeny(Start) og klikk på Legg til eller fjern en rolle for å starte veiviseren for konfigurering av serveren din. I vinduet Serverrolle velger du Domenekontroller (Active Directory) for å starte installasjonsveiviseren for Active Directory. Klikk på Neste-knappen for å fortsette med veiviseren ved hjelp av følgende instruksjoner for å installere din første DC.

  1. I vinduet Domenekontrollertype velger du Domenekontroller for et nytt domene.
  2. I vinduet Opprett nytt domene klikker du Domene i en ny skog.
  3. På siden Nytt domenenavn skriver du inn den fullstendige Domenenavn(FQDN) for dette nye domenet. (Det vil si, skriv inn firmanavn.com, men ikke selskapsnavn.)
  4. I vinduet NetBIOS Domain Name, sjekk NetBIOS-navnet (men ikke FQDN).
  5. I vinduet Database og loggmapper, avtal plasseringen for databasen og loggmappene, eller klikk på Bla gjennom-knappen for å velge en annen plassering hvis du har en grunn til å bruke en annen mappe.
  6. I vinduet Delt systemvolum godtar du plasseringen til Sysvol-mappen eller klikker på Bla gjennom-knappen for å velge en annen plassering.
  7. I vinduet DNS Registration Diagnostics, sjekk om den eksisterende DNS-serveren er egnet for denne skogen, eller om det ikke er noen DNS-server, velg alternativet for å installere og konfigurere DNS på denne serveren.
  8. I vinduet Tillatelser velger du en av følgende alternativer krefter (avhengig av Windows-versjoner på klientdatamaskiner som får tilgang til denne DC).
  9. Se gjennom informasjonen i sammendragsvinduet, og hvis du trenger å endre noe, klikk på Tilbake-knappen for å endre alternativene. Hvis alt er i orden, klikk på Neste-knappen for å starte installasjonen.

Etter å ha kopiert alle filene til harddisken, start datamaskinen på nytt.

Installere andre domenekontrollere (DC-er) i det nye domenet

Du kan legge til et hvilket som helst antall andre DC-er til domenet ditt. Hvis du konverterer en eksisterende medlemsserver til en DC, husk at mange av konfigurasjonsalternativene vil forsvinne. Dette vil for eksempel fjerne lokale brukerkontoer og kryptografiske nøkler. Hvis denne medlemsserveren brukte EFS til å lagre filer, må du dekryptere. Faktisk, etter å ha avbrutt kryptering, bør du flytte disse filene til en annen datamaskin.

For å opprette og konfigurere andre DC-er i det nye domenet ditt, kjør Active Directory-installasjonsveiviseren som beskrevet i forrige avsnitt. Følg deretter trinnene i denne veiviseren ved å bruke følgende instruksjoner.

  1. I vinduet Domenekontrollertype velger du Ekstra domenekontroller for et eksisterende domene.
  2. I vinduet Network Credentials skriver du inn et brukernavn, passord og domene som indikerer brukerkontoen du vil bruke for denne jobben.
  3. I vinduet Ekstra domenekontroller skriver du inn det fullstendige DNS-navnet til det eksisterende domenet, hvor denne serveren vil bli en domenekontroller.
  4. I vinduet Database og loggmapper, avtal en plassering for databasen og loggmappene, eller klikk på Bla gjennom-knappen for å velge en annen plassering enn standard.
  5. I vinduet Delt systemvolum godtar du plasseringen til Sysvol-mappen eller klikker på Bla gjennom-knappen for å velge en annen plassering.
  6. I vinduet Directory Services Restore Mode Administrator Password skriver du inn og bekrefter passordet du vil tilordne administratorkontoen for denne serveren. (Dette Regnskap brukes når datamaskinen startes opp i Directory Services Restore Mode.)
  7. Se gjennom informasjonen i oppsummeringsvinduet, og hvis alt er i orden, klikk på Neste-knappen for å starte installasjonen. Klikk på Tilbake-knappen hvis du vil endre noen innstillinger.

Systemkonfigurasjonen tilpasses kravene til domenekontrolleren, hvoretter første replikering igangsettes. Etter å ha kopiert dataene (dette kan ta Viss tid, og hvis datamaskinen din er på et sikkert sted, kan du ta en pause for deg selv) klikk på Fullfør-knappen i siste vindu veiviseren og start datamaskinen på nytt. Ved omstart vises veiviseren Konfigurer serveren din, og kunngjør at datamaskinen din nå er en domenekontroller. Klikk på Fullfør-knappen for å lukke veiviseren, eller klikk på en av koblingene i dette vinduet for å få tilleggsinformasjon om støtte for domenekontrollere.

Opprett flere domenekontrollere (DC) ved å gjenopprette fra en sikkerhetskopi

Du kan raskt opprette flere Windows Server 2003 DC-er i samme domene som en eksisterende DC ved å gjenopprette en sikkerhetskopi av en kjørende Windows Server 2003 DC. Dette krever bare tre trinn (som er beskrevet i de følgende avsnittene).

  1. Sikkerhetskopier systemtilstanden til en eksisterende Windows Server 2003 DC (la oss kalle det ServerOne) i samme domene.
  2. Gjenopprette systemtilstanden til et annet sted, dvs. på Windows-datamaskin Server 2003 som du ønsker skal være en domenekontroller (la oss kalle det ServerTwo).
  3. Oppgradering av statusen til målserveren (i denne saken ServerTwo) til DC-nivå ved å bruke DCPROMO / adv-kommandoen fra kommandolinjen.

Denne sekvensen kan brukes i alle scenarier: installere en ny Windows-domene Server 2003, Windows 2000 domeneoppgradering og Windows NT domeneoppgradering. Etter Windows installasjoner Server 2003 på en datamaskin, kan du gjøre den datamaskinen til en domenekontroller (DC) ved å bruke denne metoden.

Dette er spesielt nyttig hvis domenet ditt inneholder flere nettsteder og DC-ene dine er replikert via globalt nettverk(WAN), som er mye tregere enn å overføre data over Ethernet-kabel... Når en ny DC installeres på et eksternt sted, tar den første replikeringen veldig lang tid. På denne måten Denne første replikeringen er ikke lenger nødvendig, og påfølgende replikasjoner replikerer bare endringene (som tar mye kortere tid).

De følgende avsnittene gir instruksjoner om hvordan du oppretter en DC på denne måten.

Kjør Ntbackup.exe (fra Administrative Tools-menyen eller fra Kjør-dialogboksen) og velg følgende alternativer i veiviservinduene.

  1. Velg Sikkerhetskopier filer og innstillinger.
  2. Velg La meg velge hva som skal sikkerhetskopieres.
  3. Merk av for Systemtilstand.
  4. Velg en plassering og navn for sikkerhetskopifilen. Jeg brukte en delt prikk på nettet og kalte filen DCmodel.bkf (backup-filer har en .bkf-utvidelse).
  5. Klikk på Fullfør-knappen.

Ntbackup vil kjøre backup systemtilstand på stedet du spesifiserte. Du trenger tilgang til denne sikkerhetskopien fra måldatamaskinene, så den enkleste måten er å bruke en delt nettverksressurs eller skrive sikkerhetskopifilen til CD-R-plate.

Gjenoppretter systemtilstand til måldatamaskinen

For å gjenopprette systemtilstanden til en Windows Server 2003-datamaskin som du vil gjøre til en domenekontroller, går du til den datamaskinen (den må ha tilgang til sikkerhetskopifilen du opprettet på den opprinnelige datamaskinen). Kjør Ntbackup.exe på denne datamaskinen og velg følgende alternativer i veiviservinduene.

  1. Velg Gjenopprett filer og innstillinger.
  2. Angi plasseringen av sikkerhetskopifilen.
  3. Merk av for Systemtilstand.
  4. Klikk på Avansert-knappen.
  5. Velg Alternativ plassering fra rullegardinlisten og skriv inn en plassering på din lokale harddisk (du kan for eksempel opprette en mappe kalt ADRestore på stasjon C).
  6. Velg alternativet Erstatt eksisterende filer.
  7. Merk av for Gjenopprett sikkerhetsinnstillinger og Bevar eksisterende volummonteringspunkter.
  8. Klikk på Fullfør-knappen.

Ntbackup gjenoppretter systemtilstanden i fem undermapper til plasseringen du spesifiserte i veiviseren. Navnene på disse mappene tilsvarer følgende systemtilstandskomponentnavn:

  • Active Directory (database og loggfiler)
  • Sysvol (retningslinjer og skript)
  • Oppstartsfiler
  • Register
  • COM + Klasseregistreringsdatabase

Hvis du kjører DCPROMO med den nye / adv-bryteren, ser den etter disse undermappene.

I dialogboksen Kjør skriver du inn dcpromo / adv for å starte installasjonsveiviseren for Active Directory. Bruk følgende instruksjoner for å gjøre ditt valg i hvert vindu i denne veiviseren.

  1. Velg alternativet Ekstra domenekontroller for å avslutte domene.
  2. Velg alternativet Fra disse gjenopprettede sikkerhetskopifilene og angi plasseringen på lokal disk hvor du vil gjenopprette sikkerhetskopien. Det skal være her de fem undermappene ovenfor er plassert.
  3. Hvis kilde-DC-en inneholder en global katalog, vises et veiviservindu som spør om du vil plassere den globale katalogen på den DC-en. Velg Ja eller Nei avhengig av konfigurasjonsplanene dine. DC-opprettingsprosessen vil gå litt raskere hvis du velger Ja, men du kan bestemme at du bare trenger å beholde den globale katalogen på én DC.
  4. Skriv inn legitimasjon for å utføre denne jobben (administratornavn og passord).
  5. Skriv inn navnet på domenet der denne DC skal operere. Dette må være domenet som kilden DC er medlem av.
  6. Angi plasseringene for basen Data aktive Katalog og logger (standardplasseringene er best).
  7. Angi en plassering for SYSVOL (og det er best å bruke standardplasseringen her).
  8. Skriv inn et administratorpassord som skal brukes i tilfelle du trenger å starte denne datamaskinen i Directory Services Restore Mode.
  9. Klikk på Fullfør-knappen.

Dcpromo vil promotere denne serveren til en domenekontroller ved å bruke dataene i de gjenopprettede filene, noe som betyr at du ikke trenger å vente på at hvert Active Directory-objekt fra den eksisterende DC-en skal replikeres til denne nye DC-en. Hvis noen objekter endres, legges til eller fjernes etter at du starter denne prosessen, vil det ta noen sekunder før den nye DC-en ved neste replikering.

Når denne prosessen er fullført, start datamaskinen på nytt. Etter det kan du slette mappene som inneholder den gjenopprettede sikkerhetskopien.

Jeg hadde et behov for å distribuere Active Directory-tjenesten på geografisk atskilte steder, hvor nettverkene er sammenkoblet med bruker vpn... Ved første øyekast virker oppgaven enkel, men personlig har jeg aldri gjort slike ting før, og med et overfladisk søk ​​kunne jeg ikke finne noe enkelt bilde eller handlingsplan i denne saken. Jeg måtte samle informasjon fra ulike kilder og håndtere innstillingene selv.

I denne artikkelen lærer du:

Planlegging av Active Directory-installasjon på forskjellige undernett

Så vi har to undernett 10.1.3.0/24 og 10.1.4.0/24 , som hver har et antall datamaskiner og en nettverkskule. Du må kombinere alt dette til ett domene. Nettverkene er koblet sammen med en vpn-tunnel, datamaskiner pinger hverandre i begge retninger, problemer med nettverkstilgang Nei.

Til normalt arbeid Vi vil installere Active Directory-tjenester på hvert delnett for en domenekontroller og konfigurere replikering mellom dem. Vi vil bruke Windows Server 2012R2. Rekkefølgen av handlinger er som følger:

  • Vi installerer en domenekontroller i samme subnett, vi hever den på den nytt domene i den nye skogen
  • Installer en domenekontroller på det andre subnettet og legg den til domenet
  • Konfigurere replikering mellom domener

Den første domenekontrolleren vil bli navngitt xs-winsrv med adresse 10.1.3.4 , sekund - xm-winsrv 10.1.4.6... Domenet som vi skal opprette vil bli kalt xs.local

Konfigurere domenekontrollere til å kjøre på forskjellige undernett

Det første trinnet er å installere en domenekontroller i den nye skogen på den første serveren xs-winsrv... Jeg vil ikke dvele på dette i detalj, det er mange opplæringsprogrammer og instruksjoner om dette emnet på Internett. Vi gjør alt som standard, setter AD, DHCP og DNS-tjenester... Som den første DNS-serveren angir vi den lokale IP-adressen som den andre 127.0.0.1 :

Installer deretter Windows Server 2012R2 på den andre serveren xm-winsrv... Nå gjør vi noen få viktige skritt, uten hvilken du ikke vil kunne legge til en ekstra server til domenet. Begge serverne må pinge hverandre etter navn. For å gjøre dette, legg til oppføringer om hverandre i filene C: \ Windows \ System32 \ drivere \ etc \ vert.

V xs-winsrv legg til linjen:

10.1.4.6 xm-winsrv

V xm-winsrv legge til:

10.1.3.4 xs-winsrv

Nå den andre viktig poeng... På server xm-winsrv vi spesifiserer den første domenekontrolleren 10.1.3.4 som den første DNS-serveren:

Nå vil begge serverne løse hverandre. La oss sjekke dette først på serveren xm-winsrv som vi legger til domenet:

Etter det serveren xs-winsrv du må overføre fra nettstedet Default-First-Site-Name til det nye nettstedet som er opprettet for ham. Du er nå klar til å legge til en andre server til domenet.

Legger til en andre domenekontroller fra et annet subnett

Vi går til den andre serveren xm-winsrv, starter legg til roller-veiviseren og legger til 3 roller som på den første serveren - AD, DNS, DHCP. Når Active Directory Domain Services Configuration Wizard er startet, velg det første elementet der - Legg til en domenekontroller til et eksisterende domene, indikerer vi vårt domene xs.local:

I neste trinn, i parametrene til domenekontrolleren, spesifiserer vi navnet på nettstedet som vi vil knytte kontrolleren til:

La meg minne deg på at dette må være et nettsted som subnettet 10.1.4.0/24 er bundet til. Den første og andre kontrolleren havner på forskjellige steder. Ikke glem å merke av i boksen Global katalog(GC)... Da lar vi alle innstillingene være som standard.

Etter å ha startet serveren på nytt, vil den vises i domenet xs.local... Gå under lokal administrator vil ikke fungere, må du bruke en domenekonto. Vi går inn, vi sjekker om replikering med hoveddomenekontrolleren fant sted, om DNS-postene var synkronisert. Alt dette gikk bra for meg, den andre domenekontrolleren tok alle brukere og DNS-poster fra den første. På begge serverne i Active-Directory snap-in - Sites and Services, vises begge kontrollerene, hver på sitt eget nettsted:

Det er alt. Du kan legge til datamaskiner på begge kontorer til domenet.

Jeg vil legge til et viktig punkt til for de som skal konfigurere alt dette for virtuelle maskiner... Det er viktig å deaktivere tidssynkronisering med hypervisoren på gjestesystemene. Hvis dette ikke gjøres, kan domenekontrollerne på et tidspunkt bli syke.

Håper jeg gjorde alt riktig. Jeg har ingen dyp kunnskap om Active Directory-replikering. Hvis noen har kommentarer til innholdet i artikkelen, skriv om det i kommentarfeltet. Jeg samlet all informasjon hovedsakelig fra fora, der de stilte spørsmål eller løste problemer om lignende emner for domenedrift i forskjellige undernett.

Nettkurs "Linux Administrator"

Hvis du har et ønske om å lære å bygge og vedlikeholde høyst tilgjengelige og pålitelige systemer, anbefaler jeg deg å sette deg inn i nettkurs" Linux administrator» i OTUS. Kurset er ikke for nybegynnere, for opptak trenger du grunnleggende kunnskap på tvers av nettverk og Linux installasjon til den virtuelle maskinen. Opplæringen varer i 5 måneder, hvoretter vellykkede kandidater av kurset vil kunne bestå intervjuer med partnere. Sjekk deg selv på opptaksprøven og se programmet for detaljer om.

I dette innlegget skal vi se nærmere på prosessen med å implementere den første domenekontrolleren i en bedrift. Og det blir tre av dem totalt:

1) Primær domenekontroller, OS - Windows Server 2012 R2 med GUI, nettverksnavn: dc1.

Velg standardalternativet, klikk på Neste. Deretter velger vi standardprotokollen IPv4 og klikker Neste igjen.

På neste skjerm vil vi angi nettverks-ID. I vårt tilfelle, 192.168.0. I feltet Navn på omvendt oppslagssone vil vi se hvordan adressen til sonen for omvendt oppslag automatisk erstattes. Klikk Neste.

Velg en av tre på Dynamic Update-skjermen mulige alternativer dynamisk oppdatering.

Tillat bare sikre dynamiske oppdateringer. Dette alternativet er bare tilgjengelig hvis sonen er Active Directory-integrert.

Tillat både usikre og sikre dynamiske oppdateringer. Denne bryteren lar enhver klient oppdatere DNS-ressurspostene sine når det er endringer.

Ikke tillat dynamiske oppdateringer. Dette alternativet deaktiverer dynamiske DNS-oppdateringer. Den skal kun brukes hvis sonen ikke er integrert med Active Directory.

Vi velger det første alternativet, klikker Neste og fullfører oppsettet ved å klikke Fullfør.

En annen nyttig alternativ, som vanligvis er konfigurert i DNS, er videresendere eller videresendere, hvis hovedformål er å bufre og omdirigere DNS-forespørsler fra en lokal DNS-server til en ekstern DNS-server på Internett, for eksempel den som ligger hos leverandøren. For eksempel ønsker vi lokale datamaskiner i vårt domenenettverk, i nettverksinnstillingene som DNS-serveren (192.168.0.3) er registrert for, kunne vi få tilgang til Internett, er det nødvendig at vår lokal dns-server ble konfigurert til å tillate oppstrøms server dns-forespørsler. For å konfigurere videresendere, gå til DNS-behandlingskonsollen. Gå deretter til Forwarders-fanen i serveregenskapene og klikk Rediger der.

La oss spesifisere minst én IP-adresse. Flere er ønskelig. Klikk OK.

La oss nå konfigurere DHCP-tjenesten. Vi lanserer snap-in.

La oss først angi hele arbeidsområdet med adresser som adresser skal tas fra for utstedelse til klienter. Velg Handling \ Nytt omfang. Veiviseren for å legge til område starter. La oss angi navnet på området.

Deretter vil vi indikere start- og sluttadressen til nettverksområdet.

La oss deretter legge til adressene som vi ønsker å ekskludere fra utstedelse av klienter. Klikk Neste.

På skjermbildet Leievarighet angir du om nødvendig en annen leietid enn standard. Klikk Neste.

Da er vi enige om at vi ønsker å konfigurere disse DHCP-alternativene: Ja, jeg vil konfigurere disse alternativene nå.

Vi vil konsekvent angi gateway, domenenavn, DNS-adresser, Vi hopper over WINS og godtar til slutt å aktivere omfanget ved å trykke: Ja, jeg vil aktivere dette omfanget nå. Bli ferdig.


Til sikkert arbeid DHCP-tjeneste, må du konfigurere en dedikert konto for dynamisk oppdatering DNS-poster... Dette må gjøres på den ene siden for å hindre dynamisk registrering av klienter i DNS ved bruk av en domeneadministrativ konto og mulig misbruk av denne, på den andre siden ved en DHCP-tjenestereservasjon og svikt i hoved server, vil det være mulig å overføre en sikkerhetskopi av sonen til en andre server, og dette vil kreve kontoen til den første serveren. For å oppfylle disse betingelsene, i Active Directory-brukere og datamaskiner-snapin-modulen, opprette en konto som heter dhcp og tilordne et ubegrenset passord ved å velge alternativet: Passord utløper aldri.

Tilordne til brukeren sterkt passord og legg den til DnsUpdateProxy-gruppen. Deretter vil vi fjerne brukeren fra Domain Users-gruppen, etter å ha tildelt "DnsUpdateProxy"-gruppen til den primære brukeren. Denne kontoen vil være eneansvarlig for dynamisk oppdatering poster og ikke ha tilgang til andre ressurser der grunnleggende domenerettigheter er tilstrekkelige.

Klikk på Bruk og deretter OK. Åpne DHCP-konsollen igjen. Gå til egenskapene til IPv4-protokollen i kategorien Avansert.

Klikk på Credentials og spesifiser vår DHCP-bruker der.

Klikk OK, start tjenesten på nytt.

Vi kommer tilbake senere til DHCP-innstilling, når vi skal konfigurere reservasjonen av DHCP-tjenesten, men for dette må vi heve minst domenekontrollerne.

Installering av en domenekontroller er en viktig del av et datanettverk, faktisk kontrollerer den driften. Hovedoppgaven er å starte den viktige Active Directory-tjenesten. Det fungerer med Kerberos nøkkeldistribusjonssenter.

Gir også arbeid på Unix-kompatible systemer. Settet fungerer som en kontroller i dem. programvare Samba.

Domenekontrolleren brukes til å opprette et lokalt nettverk der brukere kan logge på under sitt eget navn og med sin legitimasjon. De må gjøre dette på alle datamaskiner. Installering av en domenekontroller gir også nettverkstilgangskontroll og sikkerhetsadministrasjon. Med dens hjelp kan du sentralt administrere hele nettverket, noe som er veldig viktig.

Domenekontrollere kan også kjøre Windows Server 2003. Så de gir lagring av alle katalogdata, administrerer bruker- og domeneoperasjoner, kontrollerer brukerpålogging, autentiserer katalogen og mer. Alle kan opprettes ved hjelp av Active Directory-installasjonsprogrammet. Det kan også fungere på Windows NT. Her, for at det skal fungere mer pålitelig, er det opprettet ekstra kontroller... Den vil være koblet til hovedkontrolleren.

Det var én server på Windows NT-nettverket. Den kan brukes til å betjene hoveddomenekontrolleren, eller PDC. Alle andre servere fungerte som hjelpeservere. De kan for eksempel sjekke alle brukere, lagre og sjekke passord og andre viktige operasjoner. Men samtidig kunne de ikke legge til nye brukere på serveren, de kunne ikke også endre passord og lignende, det vil si at konfigurasjonen av domenekontrolleren var mindre variert. Disse operasjonene kunne bare gjøres ved å bruke PDC. Endringer som er gjort i dem kan deretter overføres til alle sikkerhetskopidomener. Hvis hovedserver ikke var tilgjengelig, kunne ikke sikkerhetskopidomenet oppgraderes til primærnivå.

Du kan imidlertid konfigurere en domenekontroller, nettverk og heve domenenivået på hvilken som helst datamaskin og hjemme. Denne visdommen er lett å lære på egen hånd. Alle nødvendige verktøy for dette er plassert i Kontrollpanel - Legg til eller fjern programmer - Installer systemkomponenter. Det er sant at du må jobbe med dem etter å ha installert en disk med et OS på datamaskinen din tidligere. Du kan øke rollen til en datamaskin ved å bruke kommandolinjen ved å skrive inn dcpromo-kommandoen.

I tillegg kan validering av domenekontroller godt utføres ved hjelp av spesialiserte verktøy, som faktisk fungerer i en automatisert modus, det vil si at de lar deg få nødvendig informasjon etter å ha startet programmet og juster driften av kontrollerene etter å ha utført diagnostikken. Du kan for eksempel bruke Ntdsutil.exe-verktøyet, som gir muligheten til å koble til en nylig installert domenekontroller for å teste muligheten til å svare på en LDAP-forespørsel. På samme måte, ved hjelp av denne programvaren, er det mulig å finne ut om kontrolleren har informasjon om plasseringen av FSMO-roller i sitt eget domene.

Det er fortsatt noen enkle måter som lar deg diagnostisere riktig drift av kontrollerene. Spesielt kan du gå til HKEY _LOCAL _MACHINE \ SYSTEM \ CurrentControlSet \ Services (registernøkkel) og se etter NTDS-undernøkkelen der, hvis tilstedeværelse indikerer normal funksjon av domenekontrolleren. Det finnes en metode introduserer nett kontoer på kommandolinjen, og der, hvis datamaskinen er en domenekontroller, vil du se BACKUP eller PRIMARY-verdien i datamaskinrollelinjen, andre verdier er tilgjengelige på enkle datamaskiner.

Det skjedde slik i vår organisasjon at infrastrukturen måtte bygges raskt, og det tok tid å kjøpe lisenser. Derfor ble det besluttet å bruke Windows-bilder Server 2012R2 Evaluering, og etter testperiode allerede lisensiert. På det tidspunktet var det ingen som visste at det var umulig å bare ta, registrere standardlisensen i evalueringsutgivelsen og få den lisensierte standarden ved utgangen, ellers tror jeg at de hadde kjøpt lisenser først. Men vi har ingenting å gjøre, det vi har, det jobber vi med. Så.

Oppgave: etter å ha kjøpt Microsoft-lisenser for Windows server 2012R2 Standard, må du aktivere dem på våre servere. La oss komme i gang.

Det oppsto et problem under utførelse av oppgaven. Siden vi opprinnelig installerte Windows server 2012R2 Standard Evaluation, når vi prøver å registrere en nøkkel for Standard, sier serveren at denne nøkkelen ikke passer den. Vi begynte å se etter en løsning på problemet med å overføre serveren fra evalueringsversjonen til standardversjonen. Svaret ble funnet på Microsofts nettsted i en TechNet-artikkel.

Dels bidro artikkelen til å løse problemet. Vi var i stand til å endre versjonen på tre fysiske servere og aktivere dem med våre lisenser. Men dessverre gikk ikke alt så lett med domenekontrollere. Artikkelen ovenfor sier tydelig at domenekontrollere IKKE KAN migreres fra evaluering til standard. Vi må gjøre dette så snart som mulig, fordi antall mulige/rearmer for PDC er avsluttet, og det er mindre enn 3 dager igjen til prøveversjonen avsluttes.

Jeg så to alternativer for å løse spørsmålet. Eller, vekselvis mellom BDC og PDC, overføre rettighetene til skjemaeieren og andre roller, senke dem til medlemsservere og deretter heve dem tilbake. Men jeg avviste ideen om denne masovnsvolleyballen, fordi jeg rett og slett gjorde alt for første gang og var redd for å bryte den.

Derfor ble det besluttet å heve ny server, oppgrader til en domenekontroller og overfør masteren av ordningen til den, og slå deretter av den gamle PDC og tilordne den nye IP-en, så virket dette alternativet enklere og tryggere for meg. Merk at etter hendelsene beskrevet nedenfor, vurderer jeg dette fortsatt Bra valg, på i det minste alt gikk på skinner, ellers hadde artikkelen fått en helt annen tittel, ellers hadde den ikke eksistert i det hele tatt.

Opplegget kan gjengis uten problemer i løpet av arbeidsdagen. Det var bare en og en halv dag igjen, så det var ikke tid til å drømme om hvordan jeg skulle gjøre alt dette, jeg måtte raskt begynne. Ytterligere handlinger er punkt for punkt.

1. Lage en ny virtuell maskin med parametere som tilsvarer gjeldende PDC. Det er lurt å lage det på en fysisk server som det ikke er andre domenekontrollere på, men hvis du har flere hypervisorer, som i mitt tilfelle, hvis ikke, så er ikke dette viktig, det eneste spørsmålet er feiltoleranse. Vel, hvis du ikke jobber med hypervisorer, men med ekte servere, da er feiltoleransen til PDC og BDC en ting og så for gitt.

2. Installer Windows Server 2012R2. Vi velger Standardutgaven med grafisk grensesnitt. Vi konfigurerer TCP/IP og gir nytt navn til serveren i henhold til standard IT-infrastrukturnavn.

3. Etter installasjonen aktiverer vi de nye rollene for serveren i Server Manager. Vi er interessert i AD, DNS og andre roller og komponenter som brukes på gjeldende domenekontrollere.

4. Vi promoterer serveren til en domenekontroller. Replikering finner sted mellom den primære domenekontrolleren og den nye.

5. Vi overfører rollene som mesteren av ordningen fra den gamle DC til den nye.
For å gjøre dette, gå til domenekontrolleren som FSMO-rollene vil bli tildelt, kjør kommandolinje, og skriv inn kommandoene i følgende rekkefølge:

ntdsutil
roller
forbindelser
koble til server<имя сервера PDC>
q

Etter å ha koblet til serveren, vil vi motta en invitasjon til å administrere roller (FSMO-vedlikehold), og vi kan fortsette å overføre roller:

overføre navnemester- overføring av rollen som domenenavnmester.
overføringsinfrastrukturmester- overføring av rollen til eieren av infrastrukturen;
transfer rid master- overføring av RID-mesterrollen;
overføre skjemamester - overføring av rollen som mester for ordningen;
overføre pdc- overføring av rollen til PDC-emulatoren

For å slå av Ntdsutil, skriv inn kommandoen q.

6. Etter å ha overført eieren av kretsen, ser vi systemlogg og dcdiag for feil. Det burde de ikke være. Hvis det er det, fikser vi det. (Jeg møtte på dns feil hvor serveren klaget på feil spesifiserte servere forsendelse. Samme dag fant jeg ut at serveren som DNS er installert på, ikke skal angis i DNS-videresendingsserverne (som regel er DNS-serverne til leverandøren og Yandex (Google), som generelt sett, er logisk, skaper dette i hovedsak en løkke i DNS.

7. Om feilene er rettet eller ikke. La oss begynne å endre IP-adresser. Vi tildeler enhver ledig IP-adresse på nettverket til den gamle PDC, og tildeler adressen til den gamle til den nye PDC.

8. Ser etter feil igjen. Vi gjennomfører tester. Slå av den gamle PDC og BDC. Vi sjekker muligheten for autorisasjon i domenet. Så lar vi bare BDC være aktivert, sjekk om den tar rollen som en domenekontroller hvis PDC er utilgjengelig.

9. Hvis alle prøver består. Du kan ødelegge den gamle PDC og begynne å endre BDC-versjonen.

10. I vårt tilfelle kunne den gamle PDC fortsatt ikke kastes i papirkurven, siden rollen til DFS-navneområdet fungerte på den, og vi visste ikke hvordan vi skulle replikere den til den nye serveren.

11. Alt viste seg å være veldig enkelt. Vi går inn i den grafiske snap-in "DFS Management". I "Navneområdet" legger vi til de eksisterende navneområdene, så legger vi til en navneromsserver til hvert navneområde og det er det. Dfs rot automatisk sammen med lenker til nettverksressurser vises på c: \ og alt fungerer. Bare i tilfelle sjekker vi arbeidet ved å slå av den gamle PDC. Til å begynne med vil nettverksressurser være utilgjengelige (DFS trenger 300 sekunder for å replikere). Etter 5 minutter skal nettverksressursene være tilgjengelige igjen.

12. Vi lar den gamle PDC-en være slått av, og etter en stund senker vi den til en medlemsserver og sletter den. Du kan selvfølgelig umiddelbart, men jeg var redd og helt til siste øyeblikk trodde jeg ikke at alt ordnet seg uten problemer.

P.S.: Alle de ovennevnte handlingene ble utført etter nøye undersøkelser Windows-bøker server 2012R2 - Den komplette guiden... Spesielt kapitler viet spesifikt til AD, DNS og DFS, samt domenekontrollere. Det er bedre å ikke starte disse handlingene uten forståelse og planlegging. du kan miste din fungerende infrastruktur.

Jeg håper denne artikkelen vil være nyttig og nødvendig for noen. Takk for oppmerksomheten!



© Copyright 2017, https://qzoreteam.ru