Huvudfunktionerna hos en domänkontrollant inkluderar: Varför behöver en organisation Active Directory? Enhetlig programkonfigurationsförråd

Lämna en kommentar 6,950

Windows Server 2003 och sedan, när du har säkerställt att dessa servrar startar ordentligt och inte har några problem, kan du börja med att skapa domänkontrollanter (DC) och andra systemservrar. Dessutom, om du uppgraderar din hårdvara samtidigt som du uppgraderar ditt operativsystem, kan du låta din vanliga hårdvaruleverantör förinstallera Windows Server 2003 utan att behöva namnge och konfigurera domänkontrollanter.

Installera den första domänkontrollanten (DC) i en ny domän

att installera Active Directory(AD), öppna Hantera din server från Start meny(Starta) och klicka på Lägg till eller ta bort en roll för att starta guiden Konfigurera din server. I fönstret Serverroll väljer du Domain Controller (Active Directory) för att starta installationsguiden för Active Directory. Klicka på knappen Nästa för att fortsätta med guiden med hjälp av följande instruktioner för att installera din första DC.

  1. I fönstret Typ av domänkontrollant väljer du Domänkontrollant för en ny domän.
  2. I fönstret Skapa ny domän klickar du på Domän i en ny skog.
  3. På sidan Nytt domännamn anger du den fullständigt kvalificerade Domän namn(FQDN) för den här nya domänen. (Det vill säga, ange företagsnamn.com men inte Företagsnamn.)
  4. I fönstret NetBIOS Domain Name, kontrollera NetBIOS-namnet (men inte FQDN).
  5. I fönstret Databas och loggmappar, godkänn en plats för databasen och loggmappar, eller klicka på knappen Bläddra för att välja en annan plats om du har en anledning att använda en annan mapp.
  6. I fönstret Delad systemvolym, godkänn platsen för Sysvol-mappen, eller klicka på knappen Bläddra för att välja en annan plats.
  7. I fönstret DNS Registration Diagnostics, kontrollera om en befintlig DNS-server är lämplig för denna skog, eller om det inte finns någon DNS-server, välj alternativet för att installera och konfigurera DNS på den här servern.
  8. I fönstret Behörigheter väljer du en av följande alternativ krafter (beroende på Windows-versioner på klientdatorer som kommer åt denna DC).
    • Behörigheter kompatibla med operativsystem upp till Windows 2000.
    • Behörigheter endast kompatibla med drift Windows-system 2000 eller Windows Server 2003.
  9. Granska informationen i sammanfattningsfönstret och om du behöver ändra något klickar du på knappen Tillbaka för att ändra dina alternativ. Om allt är ok, klicka på knappen Nästa för att påbörja installationen.

När du har kopierat alla filer till din hårddisk, starta om datorn.

Installera andra domänkontrollanter (DC) i den nya domänen

Du kan lägga till valfritt antal andra DC:er på din domän. Om du konverterar en befintlig medlemsserver till en DC, var medveten om att många konfigurationsalternativ kommer att försvinna. Detta kommer till exempel att ta bort lokala användarkonton och kryptografiska nycklar. Om denna medlemsserver lagrade filer med EFS måste du inaktivera kryptering. Faktum är att efter att du tagit bort krypteringen bör du flytta dessa filer till en annan dator.

För att skapa och konfigurera andra DCs i din nya domän, kör Active Directory Installation Wizard enligt beskrivningen i föregående avsnitt. Följ sedan stegen i den här guiden med följande anvisningar.

  1. I fönstret Typ av domänkontrollant väljer du Ytterligare domänkontrollant för en befintlig domän.
  2. I fönstret Network Credentials anger du användarnamnet, lösenordet och domänen som anger det användarkonto du vill använda för det här jobbet.
  3. I fönstret Ytterligare domänkontrollanter anger du det fullständiga DNS-namnet för den befintliga domänen, där denna server kommer att bli en domänkontrollant.
  4. I fönstret Databas och loggmappar godkänner du en plats för databasen och loggmappar, eller klickar på knappen Bläddra för att välja en annan plats än standardinställningen.
  5. I fönstret Delad systemvolym, godkänn platsen för Sysvol-mappen, eller klicka på knappen Bläddra för att välja en annan plats.
  6. I fönstret Directory Services Restore Mode Administrator Password anger du och bekräftar lösenordet som du vill tilldela administratörskontot för denna server. (Detta konto används när datorn startar i Directory Services Restore Mode.)
  7. Granska informationen i sammanfattningsfönstret och om allt är OK klickar du på Nästa för att påbörja installationen. Klicka på knappen Tillbaka om du vill ändra några inställningar.

Systemkonfigurationen anpassas till kraven för domänkontrollanten och den första replikeringen initieras. Efter att ha kopierat data (det kan ta särskild tid, och om din dator är på en säker plats, då kan du ta en paus för dig själv) klicka på knappen Slutför i sista fönstret guiden och starta om datorn. Efter omstarten visas fönstret Configure Your Server Wizard, som meddelar att din dator nu är en domänkontrollant. Klicka på knappen Slutför för att slutföra guiden, eller klicka på en av länkarna i det här fönstret för att få ytterligare information om stöd för domänkontrollanter.

Skapa ytterligare domänkontrollanter (DC) genom att återställa från en säkerhetskopia

Du kan snabbt skapa ytterligare Windows Server 2003 DCs i samma domän som en befintlig DC genom att återställa en Windows Server 2003 DC som körs från en säkerhetskopia. Detta kräver bara tre steg (som beskrivs i följande avsnitt).

  1. Säkerhetskopiera systemtillståndet för en befintlig Windows Server 2003 DC (låt oss kalla det ServerOne) i samma domän.
  2. Återställa systemtillståndet till en annan plats, dvs. på Windows-dator Server 2003, som du vill göra en domänkontrollant (låt oss kalla det ServerTwo).
  3. Att höja statusen för målservern (i I detta fall ServerTwo) till DC-nivån med kommandot DCPROMO /adv som angetts från kommandoraden.

Denna sekvens kan tillämpas i alla scenarier: installera en ny Windows-domän Server 2003, Windows 2000-domänuppgradering och Windows NT-domänuppgradering. Efter Windows installationer Server 2003 på vilken dator som helst, kan du göra den här datorn till en domänkontrollant (DC) med den här metoden.

Detta är särskilt användbart om din domän innehåller flera webbplatser och dina DC:er replikeras över globalt nätverk(WAN), vilket är mycket långsammare än att överföra data över Ethernet-kabel. När en ny DC installeras på en avlägsen plats tar den första replikeringen mycket lång tid. På den här metoden Denna första replikering är inte längre nödvändig, och efterföljande replikeringar kopierar bara ändringarna (vilket tar mycket kortare tid).

Följande avsnitt ger instruktioner för hur du skapar en DC med den här metoden.

Kör Ntbackup.exe (från menyn Administrationsverktyg eller dialogrutan Kör) och välj följande alternativ i guidens fönster.

  1. Välj Säkerhetskopiera filer och inställningar.
  2. Välj Låt mig välja vad som ska säkerhetskopieras.
  3. Markera kryssrutan Systemstatus.
  4. Välj en plats och ett namn för säkerhetskopian. Jag använde en delad nätverkspunkt och döpte filen DCmodel.bkf (säkerhetskopieringsfiler har namntillägget .bkf).
  5. Klicka på knappen Slutför.

Ntbackup duger säkerhetskopiering systemstatus på den plats du anger. Du kommer att behöva komma åt denna säkerhetskopia från måldatorerna, så det enklaste sättet är att använda en nätverksresurs eller skriva säkerhetskopian till CD-R skiva.

Återställer systemtillståndet på måldatorn

För att återställa systemtillståndet på en Windows Server 2003-dator som du vill göra en domänkontrollant, gå till den datorn (den måste ha tillgång till säkerhetskopian som du skapade på den ursprungliga datorn). Kör Ntbackup.exe på den här datorn och välj följande alternativ i guidens fönster.

  1. Välj Återställ filer och inställningar.
  2. Ange platsen för säkerhetskopian.
  3. Markera kryssrutan Systemstatus.
  4. Klicka på knappen Avancerat.
  5. Välj Alternativ plats från rullgardinsmenyn och ange en plats på din lokala hårddisk (du kan till exempel skapa en mapp med namnet ADRestore på enhet C).
  6. Välj alternativet Ersätt befintliga filer.
  7. Markera kryssrutorna Återställ säkerhetsinställningar och Bevara befintliga volymmonteringspunkter.
  8. Klicka på knappen Slutför.

Ntbackup återställer systemtillståndet i fem undermappar på den plats du anger i guiden. Namnen på dessa mappar motsvarar följande systemtillståndskomponentnamn:

  • Active Directory (databas och loggfiler)
  • Sysvol (policyer och skript)
  • Starta filer
  • Register
  • COM+ Class Registration Database

Om du kör programmet DCPROMO med den nya /adv-växeln, letar den efter dessa undermappar.

I dialogrutan Kör anger du dcpromo /adv för att starta installationsguiden för Active Directory. Använd följande instruktioner för att göra dina val i varje fönster i denna guide.

  1. Välj alternativet Ytterligare domänkontrollant för att avsluta domän.
  2. Välj alternativet Från dessa återställda säkerhetskopior och ange platsen på lokal disk, där du vill återställa säkerhetskopian. Detta bör vara platsen där de fem undermapparna ovan finns.
  3. Om käll-DC innehåller en global katalog, visas ett guidefönster som frågar om du vill placera den globala katalogen på denna DC. Välj Ja eller Nej beroende på dina konfigurationsplaner. Skapandet av DC kommer att gå något snabbare om du väljer Ja, men du kan bestämma att du bara vill behålla den globala katalogen på en DC.
  4. Ange inloggningsuppgifterna som låter dig utföra detta arbete (administratörsnamn och lösenord).
  5. Ange namnet på den domän där denna DC kommer att fungera. Detta måste vara en domän som källan DC är medlem av.
  6. Ange platser för basen Data aktiv Katalog och loggar (det är bäst att använda standardplatserna).
  7. Ange platsen för SYSVOL (och det är bäst att använda standardplatsen här).
  8. Ange administratörslösenordet som ska användas om du måste starta den här datorn i Directory Services Restore Mode.
  9. Klicka på knappen Slutför.

Dcpromo kommer att marknadsföra denna server till en domänkontrollant med hjälp av data som finns i de återställda filerna, vilket innebär att du inte behöver vänta på att varje Active Directory-objekt ska replikeras från den befintliga DC till denna nya DC. Om några objekt ändras, läggs till eller tas bort efter att du har startat den här processen, kommer det att vara en fråga om sekunder för den nya DC nästa gång du replikerar.

När denna process är klar startar du om datorn. Du kan sedan ta bort mapparna som innehåller den återställda säkerhetskopian.

Jag hade ett behov av att distribuera Active Directory-tjänsten på geografiskt åtskilda platser, vars nätverk kombineras med använder VPN. Vid första anblicken verkar uppgiften enkel, men personligen har jag inte sysslat med sådana saker tidigare och med en snabb sökning kunde jag inte hitta någon enskild bild eller handlingsplan i det här fallet. Jag var tvungen att samla information från olika källor och ta reda på inställningarna själv.

Från den här artikeln kommer du att lära dig:

Planerar för Active Directory-installation på olika subnät

Så vi har två subnät 10.1.3.0/24 Och 10.1.4.0/24 , som var och en har ett visst antal datorer och en nätverksresurs. Vi måste kombinera allt detta till en domän. Nätverken är anslutna till varandra via en VPN-tunnel, datorer pingar varandra åt båda håll, problem med nätverkstillgång Nej.

För normal drift Vi kommer att installera Active Directory-tjänster på en domänkontrollant i varje subnät och konfigurera replikering mellan dem. Vi kommer att använda Windows Server 2012R2. Sekvensen av åtgärder är som följer:

  • Vi installerar en domänkontrollant i ett subnät, höjer den på den ny domän i den nya skogen
  • Installera en domänkontrollant i det andra undernätet och lägg till den i domänen
  • Konfigurera replikering mellan domäner

Den första domänkontrollanten kommer att anropas xs-winsrv med adress 10.1.3.4 , andra - xm-winsrv 10.1.4.6. Domänen som vi kommer att skapa kommer att kallas xs.local

Konfigurera domänkontrollanter för att fungera på olika undernät

Installera först och främst en domänkontrollant i den nya skogen på den första servern xs-winsrv. Jag kommer inte att uppehålla mig i detalj på detta, det finns många tutorials och instruktioner om detta ämne på Internet. Vi gör allt som standard, installerar AD, DHCP och DNS-tjänster. Vi anger den lokala IP-adressen som den första DNS-servern och som den andra 127.0.0.1 :

Därefter installerar vi Windows Server 2012R2 på den andra servern xm-winsrv. Nu ska vi göra lite viktiga steg, utan vilken det inte kommer att vara möjligt att lägga till en andra server till domänen. Båda servrarna måste pinga varandra med namn. För att göra detta, lägg till poster om varandra i filerna C:\Windows\System32\drivers\etc\host.

I xs-winsrv lägg till raden:

10.1.4.6 xm-winsrv

I xm-winsrv Lägg till:

10.1.3.4 xs-winsrv

Nu den andra viktig poäng. På servern xm-winsrv Vi anger den första domänkontrollanten 10.1.3.4 som den första DNS-servern:

Nu löser båda servrarna varandra. Låt oss kontrollera detta först på servern xm-winsrv, som vi lägger till i domänen:

Efter detta servern xs-winsrv måste överföras från webbplatsen Default-First-Site-Name till den nya webbplats som skapats för honom. Nu är du redo att lägga till en andra server till domänen.

Lägger till en andra domänkontrollant från ett annat subnät

Vi går till den andra xm-winsrv-servern, kör Add Rolls Wizard och lägger till 3 roller på samma sätt som på den första servern - AD, DNS, DHCP. När Active Directory Domain Services Configuration Wizard startar, välj det första objektet där - Lägg till en domänkontrollant till en befintlig domän, ange vår domän xs.local:

I nästa steg, i domänkontrollantens parametrar, anger vi namnet på webbplatsen som vi ska koppla kontrollanten till:

Låt mig påminna dig om att detta måste vara en webbplats som undernätet 10.1.4.0/24 är kopplat till. Den första och andra styrenheten hamnar på olika platser. Glöm inte att markera rutan Global katalog(GC). Sedan lämnar vi alla inställningar som standard.

Efter omstart av servern kommer den att finnas i domänen xs.local. Logga in under lokal administratör Om det inte fungerar måste du använda ett domänkonto. Låt oss gå och kontrollera om replikering med huvuddomänkontrollanten har skett och om DNS-posterna har synkroniserats. Allt detta gick bra för mig den andra domänkontrollanten tog alla användare och DNS-poster från den första. På båda servrarna, i snapin-modulen Active-Directory - Sites and Services, visas båda kontrollerna, var och en på sin egen plats:

Det är allt. Du kan lägga till datorer på båda kontoren till domänen.

Jag lägger till ytterligare en viktig punkt för dem som kommer att konfigurera allt detta virtuella maskiner. Det är nödvändigt att inaktivera tidssynkronisering med hypervisorn på gästsystem. Om detta inte görs kan domänkontrollanterna vid något tillfälle bli sjuka.

Jag hoppas att jag gjorde allt rätt. Jag har inte djupgående kunskaper om Active Directory-replikering. Om någon har kommentarer till innehållet i artikeln, skriv om det i kommentarerna. Jag samlade all information främst från forum där frågor ställdes eller problem löstes om liknande ämnen för domändrift i olika subnät.

Onlinekurs "Linux Administrator"

Om du har en önskan om att lära dig bygga och underhålla högst tillgängliga och pålitliga system rekommenderar jag att du bekantar dig med onlinekurs" Linux administratör» i OTUS. Kursen är inte för nybörjare; grundläggande kunskapöver nätverk och Linux installation till den virtuella maskinen. Utbildningen varar i 5 månader, varefter framgångsrika kursutexaminerade kommer att kunna genomgå intervjuer med partners. Testa dig själv på inträdesprovet och se programmet för mer detaljer.

I den här anteckningen kommer vi att i detalj överväga processen för att implementera den första domänkontrollanten i ett företag. Och det kommer att bli tre av dem totalt:

1) Primär domänkontrollant, OS - Windows Server 2012 R2 med GUI, nätverksnamn:dc1.

Välj standardalternativet och klicka på Nästa. Välj sedan standardprotokollet IPv4 och klicka på Nästa igen.

På nästa skärm kommer vi att ställa in nätverks-ID. I vårt fall 192.168.0. I fältet Namn på zon för omvänd sökning ser vi hur adressen till zonen för omvänd sökning skrivs in automatiskt. Klicka på Nästa.

Välj en av de tre på skärmen Dynamisk uppdatering möjliga alternativ dynamisk uppdatering.

Tillåt endast säkra dynamiska uppdateringar. Det här alternativet är endast tillgängligt om zonen är integrerad i Active Directory.

Tillåt både osäkra och säkra dynamiska uppdateringar. Den här växeln tillåter vilken klient som helst att uppdatera sina DNS-resursposter när ändringar sker.

Tillåt inte dynamiska uppdateringar. Det här alternativet inaktiverar dynamiska DNS-uppdateringar. Den ska endast användas om zonen inte är integrerad med Active Directory.

Välj det första alternativet, klicka på Nästa och slutför installationen genom att klicka på Slutför.

En till användbart alternativ, som vanligtvis konfigureras i DNS, är vidarebefordranservrar eller Forwarders, vars huvudsakliga syfte är att cachelagra och omdirigera DNS-förfrågningar från en lokal DNS-server till en extern DNS-server på Internet, till exempel den som finns hos ISP:n. Vi vill till exempel lokala datorer i vårt domännätverk, där DNS-servern (192.168.0.3) är registrerad i nätverksinställningarna, kunde vi komma åt Internet, det är nödvändigt att vår lokal dns-server konfigurerades för att lösa DNS-förfrågningar från uppströmsservern. För att konfigurera vidarebefordringsservrar (Forwarders), gå till DNS-hanterarkonsolen. Gå sedan till fliken Forwarders i serveregenskaperna och klicka på Redigera där.

Vi anger minst en IP-adress. Gärna flera. Klicka på OK.

Låt oss nu konfigurera DHCP-tjänsten. Låt oss starta utrustningen.

Låt oss först ställa in hela arbetsintervallet av adresser från vilka adresser kommer att skickas till kunder. Välj Åtgärd\Nytt omfång. Guiden Lägg till område startar. Låt oss ställa in namnet på området.

Därefter anger vi start- och slutadresserna för nätverksområdet.

Därefter lägger vi till de adresser som vi vill utesluta från att utfärdas till kunder. Klicka på Nästa.

På skärmen Leasing Duration kommer vi att ange en annan leasingtid än standard, om det behövs. Klicka på Nästa.

Då är vi överens om att vi vill konfigurera dessa alternativ nu: Ja, jag vill konfigurera dessa alternativ nu.

Vi kommer sekventiellt att indikera gateway, domännamn, DNS-adresser, vi hoppar över WINS och i slutet godkänner vi att aktivera omfattningen genom att klicka: Ja, jag vill aktivera denna omfattning nu. Avsluta.


För säkert arbete DHCP-tjänst, kräver att du konfigurerar ett speciellt konto för dynamiska uppdateringar DNS-poster. Detta måste göras, å ena sidan, för att förhindra dynamisk registrering av klienter i DNS som använder ett domänadministrativt konto och eventuellt missbruk av det, å andra sidan i händelse av en DHCP-tjänstreservation och ett fel på huvud server kommer det att vara möjligt att överföra säkerhetskopian av zonen till den andra servern , och detta kommer att kräva kontot för den första servern. För att uppfylla dessa villkor skapar du ett konto med namnet dhcp i Active Directory-användare och dators-snapin-modulen och tilldelar ett evigt lösenord genom att välja alternativet: Lösenord går aldrig ut.

Tilldela till användaren starkt lösenord och lägg till DnsUpdateProxy i gruppen. Sedan tar vi bort användaren från gruppen Domänanvändare, efter att först ha tilldelat gruppen "DnsUpdateProxy" till den primära användaren. Detta konto kommer att vara ensamt ansvarig för dynamisk uppdatering register och inte ha tillgång till några andra resurser där grundläggande domänrättigheter är tillräckliga.

Klicka på Verkställ och sedan på OK. Öppna DHCP-konsolen igen. Gå till egenskaperna för IPv4-protokollet på fliken Avancerat.

Klicka på Credentials och ange vår DHCP-användare där.

Klicka på OK och starta om tjänsten.

Vi återkommer till senare DHCP-konfiguration, när vi konfigurerar DHCP-tjänstreservation, men för detta måste vi höja åtminstone domänkontrollanter.

Att installera en domänkontrollant är en viktig del av ett datornätverk, som i huvudsak styr dess funktion. Dess huvudsakliga uppgift är att köra den viktiga Active Directory-tjänsten. Det fungerar med en nyckeldistributionsmyndighet - Kerberos.

Ger även för arbete på Unix-kompatibla system. I dem fungerar satsen som en kontroller programvara Samba.

Domänkontrollanten används för att skapa ett lokalt nätverk där användare kan logga in under sitt eget namn och med sina egna referenser. De borde göra detta på alla datorer. Installation av en domänkontrollant säkerställer också att åtkomsträttigheter bestäms på nätverket och att dess säkerhet hanteras. Med dess hjälp kan du centralt hantera hela nätverket, vilket är mycket viktigt.

Domänkontrollanter kan också köras under Windows Server 2003. Så här lagrar de all katalogdata, hanterar användar- och domänoperationer, kontrollerar användarinloggningar, verifierar katalogens autenticitet och så vidare. Alla kan skapas med Active Directory-installationsprogrammet. Det kan även fungera på Windows NT. Här skapas det för att det ska fungera mer tillförlitligt extra styrenhet. Den kommer att anslutas till huvudkontrollenheten.

Det fanns en server på Windows NT-nätverket. Den kan användas för att driva en primär domänkontrollant eller PDC. Alla andra servrar fungerade som hjälpservrar. De kan till exempel utföra verifiering av alla användare, lagra och verifiera lösenord och andra viktiga operationer. Men samtidigt kunde de inte lägga till nya användare på servern och inte heller byta lösenord och liknande, det vill säga att sätta upp en domänkontrollant var mindre varierande. Dessa operationer kunde endast utföras med PDC. Ändringar som gjorts i dem kunde sedan spridas till alla backupdomäner. Om huvudserver inte var tillgänglig kunde backupdomänen inte flyttas upp till primär nivå.

Du kan dock ställa in en domänkontrollant, ett nätverk och höja domännivån på vilken dator som helst och hemma. Denna visdom är lätt att lära sig själv. Alla nödvändiga verktyg för detta finns i Kontrollpanelen – Lägg till eller ta bort program – Installera systemkomponenter. Det är sant att du måste arbeta med dem genom att först installera en disk med operativsystemet i din dator. Du kan öka din dators roll med hjälp av kommandoraden genom att ange kommandot dcpromo i den.

Dessutom kan du enkelt kontrollera domänkontrollanten med hjälp av specialiserade verktyg, som faktiskt fungerar i ett automatiserat läge, det vill säga de låter dig få nödvändig information efter att ha startat programmet och justerat styrningarnas funktion efter att ha utfört diagnostik. Du kan till exempel använda verktyget Ntdsutil.exe, som ger möjlighet att ansluta till en nyinstallerad domänkontrollant för att testa dess förmåga att svara på en LDAP-förfrågan. Med hjälp av denna programvara är det också möjligt att avgöra om styrenheten har information om var FSMO-roller finns i sin egen domän.

Det finns några fler enkla sätt, vilket gör att du kan diagnostisera lämplig funktion för kontrollerna. I synnerhet kan du gå till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (registernyckel) och leta där efter NTDS-undernyckeln, vars närvaro indikerar domänkontrollantens normala funktion. Det finns en metod introduktionsnät konton på kommandoraden och där, om datorn är en domänkontrollant, kommer du att se värdet BACKUP eller PRIMARY i Datorrollen andra värden är tillgängliga på enkla datorer.

Det hände så i vår organisation att infrastrukturen måste göras snabbt och att köpa licenser tog tid. Därför beslutades att använda Windows-bilder Server 2012R2 utvärdering och efter testperiod redan licensierad. Då visste ingen att du inte bara kunde skriva en standardlicens i utvärderingsversionen och få en licensierad standard som ett resultat, annars tror jag att du skulle ha köpt licenser först. Men det finns inget att göra, det vi har är det vi jobbar med. Så.

Uppgift: Efter att du har köpt Microsoft-licenser för Windows server 2012R2 Standard måste du aktivera dem på våra servrar. Låt oss börja.

Ett problem uppstod när uppgiften kördes. Eftersom vi initialt installerade Windows Server 2012R2 Standard Evaluation, när vi försöker registrera en nyckel för Standard, säger servern att denna nyckel inte är lämplig för den. Vi började leta efter en lösning på problemet med att överföra servern från utvärderingsversionen till standardversionen. Svaret hittades på Microsofts webbplats i en TechNet-artikel.

Artikeln bidrog delvis till att lösa problemet. Vi kunde ändra versionen på tre fysiska servrar och aktivera dem med våra licenser. Men tyvärr var allt inte så enkelt med domänkontrollanter. Ovanstående artikel anger uttryckligen att domänkontrollanter INTE KAN migreras från Evaluation till Standard. Vi måste göra detta så snart som möjligt, för... PDC har slut på /rearm-alternativ, och det är mindre än 3 dagar kvar tills testversionen tar slut.

Jag såg två alternativ för att lösa problemet. Eller, växelvis mellan BDC och PDC, överför rättigheterna för ägaren av systemet och andra roller, degradera det till medlemsservrar och sedan höja det tillbaka. Men jag förkastade idén med denna domänvolleyboll, på grund av att jag helt enkelt gjorde allt detta för första gången och var rädd för att bryta det.

Därför beslutades att höja ny server, marknadsför den till en domänkontrollant och överför kretsens ägare till den, och stäng sedan av den gamla PDC:n och tilldela dess IP till den nya, det här alternativet verkade enklare och säkrare för mig då. Jag noterar att efter händelserna som beskrivs nedan tror jag fortfarande på detta bra beslut, Förbi minst allt gick utan incidenter, annars hade artikeln haft en helt annan titel, annars hade den inte funnits alls.

Schemat kan reproduceras utan problem under arbetsdagen. Det var en och en halv dag kvar, så det fanns ingen tid att drömma om hur jag skulle göra allt detta, jag var tvungen att börja akut. Ytterligare steg steg för steg.

1. Skapa en ny virtuell maskin med parametrar som motsvarar den aktuella PDC. Det är lämpligt att skapa det på en fysisk server där det inte finns några andra domänkontrollanter, men detta är om du har flera hypervisorer, som i mitt fall, om inte, så är detta inte viktigt, den enda frågan är feltolerans. Tja, om du inte arbetar med hypervisorer, utan med riktiga servrar, då är feltoleransen för PDC och BDC en självklarhet.

2. Installera Windows Server 2012R2. Välj Standardutgåvan med ett grafiskt gränssnitt. Vi konfigurerar TCP/IP och byter namn på servern i enlighet med standardnamnen i IT-infrastrukturen.

3. Efter installationen, aktivera nya roller för servern i Server Manager. Vi är intresserade av AD, DNS och andra roller och komponenter som används på nuvarande domänkontrollanter.

4. Vi marknadsför servern till en domänkontrollant. Replikering sker mellan den primära domänkontrollanten och den nya.

5. Vi överför kretsägarens roller från den gamla DC till den nya.
För att göra detta, gå till den domänkontrollant som FSMO-roller kommer att tilldelas, kör kommandorad, och skriv in kommandona i den ordning som anges nedan:

ntdsutil
roller
anslutningar
ansluta till servern<имя сервера PDC>
q

Efter att ha anslutit till servern kommer vi att få en inbjudan att hantera roller (FSMO-underhåll), och vi kan börja överföra roller:

överför namnmästare- överföring av rollen som domännamnsägare.
master för överföringsinfrastruktur- Överföring av rollen som infrastrukturägare.
transfer rid master- överföring av RID-mästarrollen;
överföra schemamästare - Överföring av rollen som ägaren av systemet.
överföra pdc- överföring av PDC-emulatorrollen

För att stänga av Ntdsutil, ange kommandot q.

6. Efter att ha överfört ägaren till kretsen, titta syslog och dcdiag för fel. De borde inte finnas. Om det finns så fixar vi det. (Jag mötte dns fel där servern klagade på något fel angivna servrar spedition. Samma dag fick jag veta att DNS-vidarebefordranservrar inte borde indikera servern som DNS är installerad på (som regel anges DNS-servrarna för leverantören och Yandex (Google), vilket generellt är logiskt; detta skapar i huvudsak en loop i DNS.

7. Om felen är rättade eller inte. Låt oss börja ändra IP-adresser. Vi tilldelar valfri ledig IP-adress på nätverket till den gamla PDC:n och tilldelar adressen för den gamla till den nya PDC:n.

8. Vi letar efter fel igen. Vi genomför tester. Stäng av den gamla PDC och BDC. Vi kontrollerar möjligheten till auktorisering i domänen. Sedan låter vi bara BDC vara aktiverad och kontrollerar om den tar över rollen som domänkontrollant om PDC inte är tillgänglig.

9. Om alla tester blir godkända. Du kan förstöra den gamla PDC och börja ändra BDC-versionen.

10. I vårt fall kunde den gamla PDC fortfarande inte kastas i papperskorgen eftersom DFS-namnutrymmesrollen fungerade på den, och vi visste inte hur vi skulle replikera den till den nya servern.

11. Allt visade sig vara väldigt enkelt. Vi går in i den grafiska snapin-modulen "DFS Management". I "Namespace" lägger vi till befintliga namnutrymmen, sedan lägger vi till en namnområdesserver till varje namnområde och det är i princip allt. dfs rot automatiskt tillsammans med länkar till nätverksresurser visas på c:\ och allt fungerar. För säkerhets skull kontrollerar vi funktionen genom att stänga av den gamla PDC. Till en början kommer nätverksresurser inte att vara tillgängliga (DFS behöver 300 sekunder för att replikera). Efter 5 minuter bör nätverksresurserna bli tillgängliga igen.

12. Vi lämnar den gamla PDC avstängd och efter en tid degraderar vi den till en medlemsserver och tar sedan bort den. Det är givetvis möjligt direkt, men jag var rädd och tills nyligen trodde jag inte att allt fungerade utan problem.

P.S.: Alla ovanstående åtgärder utfördes efter noggrann studie Windows-böcker server 2012R2 - Komplett guide. I synnerhet kapitel dedikerade specifikt till AD, DNS och DFS, såväl som domänkontrollanter. Det är bättre att inte påbörja dessa åtgärder utan att förstå och planera, eftersom... Du kan förlora din fungerande infrastruktur.

Jag hoppas att den här artikeln kommer att vara användbar och nödvändig för någon. Tack för din uppmärksamhet!



© Copyright 2024, https://qzoreteam.ru