Разное

Dns домена контроллер домена: Установка контроллера домена и DNS-сервера

Содержание

Установка контроллера домена и DNS-сервера

 

Установка контроллера домена и DNS-сервера

 Практически любая большая локальная сеть, если не брать во внимание «домашние» сети, не может нормально функционировать и предоставлять необходимый уровень безопасности без использования доменной структуры. Никакой другой способ работы сети не может обеспечить нормального уровня контроля пользователей и всего, что происходит в сети. По этой причине установка контроллера домена – просто необходимая мера обеспечения работоспособности локальной сети.

 

Далее мы рассмотрим пример установки контроллера домена на основе операционной системы Windows Server 2008 R2 Enterprise, которая на сегодняшний день предоставляет максимум возможностей при максимальном уровне безопасности.

Как уже упоминалось ранее, сразу после установки операционная система ждет от вас указания того, чем она будет заниматься, то есть назначения роли. Об этом постоянно напоминает окно, появляющееся при запуске операционной системы (рис. 1).

Рис. 1. Задачи начальной настройки сервера

 

В этом окне можно отслеживать критичные для работы сервера параметры. В частности, из нашего примера видно, что существующие сетевые подключения используют динамическую IP-адресацию, что станет причиной появления соответствующей ошибки в процессе установки контроллера домена, в чем вы убедитесь далее.

Итак, приступим к установке контроллера домена и DNS-сервера. Кстати, у вас может возникнуть вопрос, почему установка DNS-сервера происходит именно на этом этапе. В принципе, DNS-сервер можно поставить и отдельно. Операционная система просто реагирует на то, что контроллера домена нет, а значит, нет и DNS-сервера, поэтому и предлагает его установить. Это вполне логичное предложение, поэтому не стоит от него отказываться.

Чтобы начать процесс установки, пройдите по ссылке Добавить роли, которая находится в нижней части окна, показанного на рис.1. Это приведет к открытию мастера добавления ролей, который будет помогать вам добавить роли (рис. 2).

Рис. 2. Начальное окно мастера добавления ролей

 

Мастер начинает работу с информации о том, что перед заданием любой роли желательно выполнить определенные приготовления, например установить обновления системы или убедиться, что администратор использует надежный пароль. В принципе, эти сведения носят лишь рекомендационный характер, поэтому особого внимания на них обращать не стоит.

В следующем окне вы увидите список ролей, которые можно настроить на данном сервере (рис. 3). Краткое описание ролей и их возможностей мы уже рассматривали ранее при описании выбора серверной операционной системы и управляющего сервера.

Рис. 3. Список доступных ролей сервера

 

Как вы уже заметили, такой роли, как «Контроллер домена», в списке не существует, и это легко объяснить: чтобы задать такую роль, требуется установить некоторые составляющие части этого сложного механизма, в частности роль Доменные службы Active Directory.

По этой причине и начнем с установки данной роли.

При попытке установить флажок возле этой роли появится окно (рис. 4).

Рис. 4. Предупреждение о необходимости установки дополнительных компонентов

 

Этим окном мастер предупреждает вас о том, что установка выбранной роли невозможна без установки дополнительных компонент в виде .NET Framework 3.5.

Смысл появления этого сообщения не совсем понятен, поскольку мы в любом случае настроены установить нужную роль, а значит, и все компоненты, которые для этого нужны. Хотя, возможно, мастер тем самым просто предупреждает вас, что если вы решите в какойто момент удалить .NET Framework 3.5, то это приведет к сбою сервера. Чтобы не прерывать процесс установки роли, выбираем однозначный ответ – Добавить необходимые компоненты.

Мастер отобразит следующее окно (рис. 5), где находится короткая информация о роли, которую мы собираемся установить.

Рис. 5. Информация об устанавливаемой роли сервера

 

Это позволит вам убедиться в том, что устанавливаемая роль – действительно то, что нам нужно. Если это не так, вы всегда можете вернуть к списку выбора ролей, используя для этого кнопку Назад. Подтвердив свой выбор нажатием кнопки Далее, продолжаем процесс установки роли.

Следующее окно – последний шаг подготовки к установке роли Доменные службы Active Directory (рис. 6).

Поскольку никаких критичных настроек или действий в процессе выбора параметров установки роли мы не производили, то особо раздумывать над тем, правильно мы это сделали или нет, не имеет смысла. По этой причине просто подтверждаем готовность к установке нажатием кнопки Установить.

После этого операционная система приступит к установке нужных для функционирования выбранной роли компонентов, отображая процесс установки с помощью индикатора в нижней части окна. Установка не занимает много времени, и достаточно скоро вы увидите окно, отображающее результат установки роли (рис. 7).

Рис. 6. Все готово для установки выбранной роли

Рис. 7. Успешная установка выбранной роли

 

Здесь же будут показаны основные замечания, возникшие в процессе установки компонентов, а также очень важная информация, используя которую вы сможете продолжить установку контроллера домена. Так, чтобы добавить роль контроллера домена, после закрытия окна необходимо будет запустить системный механизм dcpromo, который продолжит выполнение установки.

Таким образом, после нажатия кнопки Закрыть откройте меню Пуск, наберите в строке поиска слово dcpromo и нажмите Enter.

После этого появится окно Мастер установки доменных служб Active Directory (рис.8).

Рис. 8. Мастер установки доменных служб Active Directory

 

Судя по тому, что написано в этом окне, мы на правильном пути, поэтому смело продолжаем процесс установки.

В следующем окне вы увидите большой блок информации, предупреждающей о том, что новые возможности Windows Server 2008 R2 могут стать причиной неработоспособности некоторых методов доступа к информации с использованием шифрованного канала. Связано это с тем, что Windows Server 2008 R2 использует более безопасные и стойкие алгоритмы шифрования, реализации которых нет в ранних операционных системах даже серверного типа. Современные потребности часто заставляют отказываться от применения старых версий программного обеспечения, поэтому единственный выход – заранее планировать использование современных версий программного обеспечения.

Следующий шаг – выбор конфигурации развертывания, которая однозначно определяет не только конфигурацию сервера, но и произведенные этим действием изменения в структуре существующей локальной сети (рис. 9).

Рис. 9. Выбор конфигурации развертывания

 

Если речь идет о создании контроллера домена в новой локальной сети, в которой не используются управляющие серверы, обязательно необходимо установить переключатель в положение Создать новый домен в новом лесу. Если же требуется добавить новый домен в уже существующую доменную структуру, то нужно выбрать положение Существующий лес и указать способ добавления домена.

Мы будем рассматривать только первый вариант, то есть создание нового домена и нового леса. Установив переключатель в соответствующее положение, продолжаем процесс установки.

Следующий шаг – ввод имени домена (рис. 10).

Существующие стандарты предусматривают использование трехзвенного доменного имени: название домена должно состоять из уникального имени с добавлением имени домена верхнего уровня, то есть указание имени domain, является недопустимым и приводит к появлению соответствующего сообщения. Название должно состоять как минимум из двух слов, разделенных десятичной точкой. В нашем случае в качестве имени применяется выдуманное словосочетание rene. local.

Рис. 10. Указание имени домена

 

После нажатия кнопки Далее мастер проверит уникальность имени леса и имени NetBios-сервера, после чего предложит вам выбрать режим работы леса (рис. 11).

Есть четыре режима: Windows 2000, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2. Последний режим позволяет использовать самые новые возможности Active Directory и других механизмов, но тем самым может сделать невозможным работу более старых серверных операционных систем. Применение же первого режима позволит использовать любые серверные операционные системы, но с ограниченными возможностями. Только системный администратор может решить, какой режим работы леса оптимальный в зависимости от того, серверы с какими операционными системами планируется применять в локальной сети.

Для примера мы будем использовать режим Windows Server 2008 R2. Выбираем его из списка и продолжаем процесс установки.

Рис. 11. Задание режима работы леса

 

Прежде чем перейти к следующему этапу, мастер произведет попытку найти в сети функционирующий DNS-сервер. После этого появится окно (рис. 12).

Рис. 12. Указание дополнительных параметров

 

Если DNS-сервер обнаружен не будет, в этом окне вам предложат установить данную роль сервера, объясняя значимость этой процедуры. Даже если вы откажетесь от этого шага, вы сможете установить DNS-сервер позже, но если он действительно вам нужен и должен функционировать именно на этом сервере, просто нажмите кнопку Далее для продолжения процесса установки.

Затем наступает интересный момент, о котором было упомянуто в начале процесса установки. Обнаружив, что сетевые адаптеры сервера используют динамические IP-адреса, мастер отобразит соответствующее окно с предупреждением (рис. 13).

Рис. 13. Предупреждение об использовании динамической IP-адресации

 

Сам принцип доменной структуры локальной сети подразумевает применение статического IP-адреса у управляющего сервера, а также у других важных объектов. По этой причине, прежде чем продолжить, необходимо настроить сетевое подключение или подключения на использования статического IP-адреса. Для этого откройте окно свойств сетевого подключения, которое будет использоваться для обслуживания сети, и дважды щелкните на строке Протокол Интернета версии 4 (TCP/IPv4).

В открывшемся окне (рис. 14) введите IP-адрес, который вы планируете использовать для контроллера домена. Кроме того, такой же IP-адрес введите в поле Предпочитаемый DNS-сервер.

Рис. 14. Настройка IP-адреса

 

Аналогичным образом следует поступить с остальными сетевыми подключениями, которые есть на сервере, либо пока временно отключить их.

После этих действий вернитесь к окну, показанному на рис. 13, и нажмите кнопку с названием второго варианта решения. Проанализировав сделанные вами изменения, мастер перейдет к следующему шагу – настройке расположения разного рода баз данных и журналов, которые будут использоваться для хранения служебной информации Active Directory.

Пути размещения этих объектов, как правило, оставляют заданными по умолчанию, хотя мастер и советует выбирать для их хранения более надежный источник. Затем потребуется ввести пароль, который будет применяться в случае восстановления службы каталогов.

После ввода всей необходимой информации мастер готов приступить к процессу копирования файлов и внесения необходимых изменений в реестр системы (рис. 15).

Прежде чем начать процесс изменения операционной системы, вы еще раз можете проконтролировать параметры, указанные в ходе каждого этапы работы мастера, и при необходимости повторно вернуться к определенному шагу. Если же все параметры заданы верно, нажмите кнопку Далее.

Рис. 15. Все готово к началу изменений

 

После выполнения всех необходимых операций мастер сообщит, что процесс установки доменных служб Active Directory завершен, и предложит перезагрузить компьютер. После перезагрузки компьютера потребуется еще немного времени на настройку и запуск нужных служб, что будет выполнено в автоматическом режиме. Вам остается только дождаться завершения этого процесса.

 

DNS и доменные службы Active Directory



  • Чтение занимает 2 мин

В этой статье

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Службы домен Active Directory Services (AD DS) используют службы разрешения имен системы доменных имен (DNS), чтобы клиенты могли искать контроллеры домена и контроллеры домена, на которых размещается служба каталогов, для взаимодействия друг с другом.Active Directory Domain Services (AD DS) uses Domain Name System (DNS) name resolution services to make it possible for clients to locate domain controllers and for the domain controllers that host the directory service to communicate with each other.

AD DS позволяет легко интегрировать пространство имен Active Directory в существующее пространство имен DNS.AD DS enables easy integration of the Active Directory namespace into an existing DNS namespace. Такие функции, как интегрированные с Active Directory зоны DNS, упрощают развертывание DNS, устраняя необходимость в настройке дополнительных зон, а затем настраивают зонные передачи.Features such as Active Directory-integrated DNS zones make it easier for you to deploy DNS by eliminating the need to set up secondary zones, and then configure zone transfers.

Сведения о том, как DNS поддерживает AD DS, см. в разделе поддержка DNS для Active Directory технического справочника.For information about how DNS supports AD DS, see the section DNS Support for Active Directory Technical Reference.

Примечание

При реализации несвязанного пространства имен, в котором доменное имя AD DS отличается от основного DNS-суффикса, который используется клиентами, AD DS интеграция с DNS является более сложной.If you implement a disjoint namespace in which the AD DS domain name differs from the primary DNS suffix that clients use, AD DS integration with DNS is more complex. Дополнительные сведения см. в разделе несвязанное пространство имен.For more information, see Disjoint Namespace.

Содержание разделаIn this section

Установка DNS и Active Directory

Установка и настройка DNS-сервера и Active Directory в Windows Server 2016 практически не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2012, 2008. Пройдя несколько шагов устанавливается роль DNS и Доменные службы Active Directory, также для сервера имён потребуется небольшая настройка. 

Установка и настройка роли DNS-сервера и Доменные службы Active Directory

До установки ролей сервера, требуется задать имя будущему серверу, а также статический IP-адрес. Также, если имеются, указываем IP-арес шлюза.

1. Нажимаем правой клавишей мыши на «Этот компьютер» и выбираем «Свойства». В открывшемся окне — «Изменить параметры» — «Изменить». Задаём имя компьютера и нажимаем «ОК». Для того, чтобы изменения вступили в силу, перезагружаем компьютер.

2. Для того, чтобы открыть сетевые соединения, в поле «Поиск» набираем команду ncpa.cpl. Выбираем нужный сетевой интерфейс, правой клавишей мыши — «Свойства». IP версии 6(TCP/IPv6) выключаем, если не используем. Затем выбираем IP версии(TCP/IPv4). Заполняем поля:

IP-адрес: адрес сервера (например, 192.168.100.5)

Маска подсети: маска сети (например, 255.255.255.0)

Основной шлюз: шлюз, если имеется (например, 192.168.100.1)

Предпочитаемый DNS-сервер: (например, 192.168.100.5)

3. Теперь можно начать установку ролей сервера. Для этого выбираем «Диспетчер серверов».

4. В следующем окне — «Добавить роли и компоненты».

5. Читаем «Перед началом работы» и нажимаем «Далее». Затем оставляем по умолчанию чекбокс «Установка ролей или компонентов» и снова «Далее». В следующем окне выбираем сервер, на который будем устанавливать роли и «Далее».

6. Выбора ролей сервера — ставим галочки напротив «DNS-сервера» и «Доменные службы Active Directory». При появлении запроса о добавлении компонентов — «Добавить компоненты». Затем «Далее».

7. В следующих окнах нажимаем «Далее», а в окне «Подтверждение установки компонентов» выбираем «Установить». Этот мастер можно закрывать, по окончании установки появится предупреждение в диспетчере серверов.

8. После окончания установки выбранных ролей сервера, нажимаем на значок предупреждения в «Диспетчере серверов» и выбираем «Повысить роль этого сервера до уровня контроллера домена».

9. В следующем окне — «Добавить новый лес». Имя корневого домена — уникальное имя вашего домена.

10. В «Параметрах контроллера домена» оставляем по умолчанию режим работы леса и домена — «Windows Server 2016». Вводим пароль для режима восстановления служб каталогов (DSRM).Этот пароль может пригодиться, его обязательно надо запомнить или записать в надежное место.

11. В окне «Параметры DNS» — нажимаем «Далее».

12. В «Дополнительные параметры» — «Далее».

13. Расположение базы данных AD DS, файлов журналов и попок SYSVOL оставляем по умолчанию, нажимаем «Далее».

14. Проверяем параметры, затем «Далее».

15. После того, как сервер проверит соответствие предварительных требований, можно нажимать «Установить».

 

 

 

 

16. После настройки контроллера домена, можно перейти к настройке обратной зоны DNS-сервера. Для этого в «Диспетчер серверов» выбираем «Средства», далее «DNS».

17. В открывшемся окне выбираем наш сервер, затем «Зона обратного просмотра». Правой клавишей мыши — «Создать новую зону…».

18. В мастере создания новой зоны оставляем тип зоны — «Основная зона», затем «Далее».

19. Оставляем по умолчанию чекбокс на «Для всех DNS-серверов, работающих на контроллерах домена в этом домене, снова «Далее».

20. В следующем окне — «Зона обратного просмотра IPv4», затем «Далее».

21. Для настройки зоны обратного просмотра задаем «Идентификатор сети» (например 192.168.100). После этого появится автоматически зона обратного просмотра. Нажимаем «Далее».

22. В следующем окне оставляем по умолчанию «Разрешить только безопасные динамические обновления, затем «Далее».

23. Для завершения настройки создания новой зоны проверяем настройки и нажимаем «Готово».

24. Появится зона обратного просмотра для домена.

25. В «Диспетчере серверов» выбираем «Пользователи и компьютеры Active Directory». Проверяем работу Active Directory.

На этом установка и настройка выбранных ролей сервера заканчивается.

Посмотреть, что и как делать, можно здесь:

Читайте также:

Установка и настройка DHCP — Windows Server 2016

Второй контроллер домена — Windows Server 2016

Создание и удаление пользователя, восстановление из корзины — Windows Server 2016

Ввод компьютера в домен — Windows Server 2016

Переименование учётной записи администратора домена — Windows Server 2016

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP

 

 

 

 

Контролер домена на базе Windows Server 2016. Установка и настройка служб AD DS и DNS. — bearnet.ru





В настоящей статье мы подробно рассмотрим процесс развёртывания контроллера домена на на базе Windows Server 2016, а также процесс настройки служб AD DS и DNS.

Первое, что необходимо сделать, это подготовить систему для развертывания служб.

Для этого устанавливаем операционную систему  Windows Server 2016 и обновляем её до актуального состояния.

Следующий шаг, это изменяем имя сервера. Для этого идём в Диспетчер серверов и переходим на вкладку Локальный сервер. Кликаем по имени компьютера.

В появившемся окне жмём Изменить

И изменяем имя на своё (например BEARNET_DC1)

Жмём ОК! Система затребует перезагрузку. Жмём Перезагрузить позже.

Следующий шаг, это указать статические IP-адреса в настройках TCP/IP и изменить настройки временной зоны на относящуюся к нам.

Для этого всё в том же Диспетчере серверов кликаем по настройкам сетевой карты и часовому поясу.

Примеры настройки TCP/IP и временной зоны:

На этом первоначальная подготовка система закончена, перезагружаем сервер и можно приступать к развертыванию служб.

Приступим к  развертыванию служб Active Directory и DNS.

Добавляем новую роль на сервере. Для этого идём в Диспетчер серверов и на вкладке панель мониторинга кликаем  Добавить роли и компоненты.

В появившемся окне жмём Далее.

Выбираем первый пункт Установка ролей и компонентов и жмём Далее

В следующем окне выбираем сервер на котором будет развёрнута роль. Жмём Далее.

Галочкой отмечаем роль Доменные службы Active Directory и в подтверждающем запросе мастера добавления ролей и компонентов жмём Добавить компоненты. Жмём Далее.

В следующем окне система предлагает выбрать дополнительные компоненты. В моём случае в этом нет необходимости. Жмём Далее.

Следующее окно является информационным. на нём наше внимание обращается на то что желательно иметь по два контролера домена в каждом домене. Также здесь говорится о том что службы Active Directory требуют наличие установленного в сети DNS-сервера, если он не установлен, то будет предложено его установить. Жмём Далее.

На завершающей странице мастера жмём Установить.

После завершения установки Роли, в Диспетчере серверов кликаем по значку Флажка с восклицательным знаком и выбираем Повысить роль этого сервера до уровня контроллера домена.

Далее открывается окно Мастера настройки доменных служб Active Directory где необходимо выбрать вариант развёртывания контроллера домена. Выбираем добавить новый лес и указываем корневое имя домена. Жмём Далее.

В параметрах контролера домена оставляем всё по умолчанию, задаём пароль для восстановления служб каталогов (DSRM). Проверяем наличие галочки в пункте DNS-сервер, она необходима для автоматического поднятия роли DNS.

В параметрах DNS оставляем всё по умолчанию. На ошибку делегирования не обращаем внимание, т.к. роль DNS поднимается в процессе конфигурации контроллера домена. Жмём Далее.

Следующие три окна просто жмём Далее.

Дожидаемся окончания проверки готовности к установке. После сообщения мастера об успешной проверке жмём Установить.

В ходе установки конфигурации Контроллера домена, сервер будет перезагружен. После того, как сервер перезагрузился добавим в DNS зону обратного просмотра. Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств.

В Диспетчере серверов кликаем по кнопке Средства и вападающем списке выбираем DNS.

В диспетчере DNS выделяем вкладку Зоны обратного просмотра, кликаем правой кнопкой мыши и выбираем Создать новую зону.

В мастере создания новой зоны выбираем тип добавляемой зоны. Выбираем Основная зона и жмём Далее.

Далее предлагается выбрать каким образом будет выполняться репликация добавляемой зоны. Выбираем Для всех DNS-серверов, работающих на контролерах домена в этом домене.

В следующем окне выбираем Зону обратного просмотра IPv4 и жмём Далее.

Далее задаём Идентификатор сети. В моём варианте это 192.168.1. Жмём Далее.

В следующем окне выбираем Разрешить любые динамические обновления и жмём Далее.

В завершении мастера создания новой зоны жмём Готово.

На следующем этапе укажем Сервера пересылки. Они необходимы для того чтобы кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет. Это необходимо для того чтобы локальные компьютеры доменной сети смогли получить доступ в интернет.

В диспетчере DNS выделяем наш сервер и кликаем правой кнопкой мыши. В Выпадающем меню выбираем свойства

далее переходим во вкладку Сервер пересылки и жмём кнопку Изменить.

В редакторе серверов пересылки вводим  IP-адрес или DNS имя провайдера или например DNS Google (8.8.8.8). Жмём ОК.

Контроллер домена развёрнут и настроен. Можно добавлять компьютеры в домен.



Что такое контроллер домена и для чего он нужен?

Контроллер домена – это сервер, контролирующий компьютерную сеть Вашей организации. Чтобы разобраться, как он работает, рассмотрим основные способы управления большим количеством компьютеров.

Существует два типа локальных сетей:

  • Основанная на рабочей группе (одноранговая).
  • Доменная (сеть на основе управляющего сервера).

В первом случае каждый компьютер одновременно является и клиентом, и сервером. То есть, каждый пользователь может самостоятельно решать, доступ к каким файлам ему открывать и для кого именно. С одной стороны, эту сеть создать достаточно просто, но с другой, управлять ею (администрировать) бывает достаточно сложно, особенно если в сети 5 компьютеров и больше.

Также, если Вам необходимо выполнить какие-либо изменения в программном обеспечении (установить систему безопасности, создать нового пользователя, инсталлировать программу или приписать сетевой принтер), придется каждый компьютер настраивать по отдельности. Одноранговая сеть может сгодиться для управления не более чем десятью устройствами.

Что касается домена, в этой сети есть единый сервер (единый аппарат, в “руках” которого сосредоточена вся власть), а основные машины являются клиентами. Взаимодействие в сети между компьютерами осуществляется через контроллер домена, то есть он определяет кому, когда и куда давать доступ. Таким образом, имея доступ к одному лишь контроллеру домена, Вы можете выполнять 95% задач в удаленном режиме, так как сервер имеет полные права на любом компьютере в сети.

При помощи групповых политик Вы можете за несколько минут настроить все устройства в сети (установить программы, добавить/заблокировать пользователя и т.д.), не бегая от одного устройства к другому. Число подконтрольных компьютеров неограниченно.

Что нужно для добавления контроллера домена?

Работа начинается с того, что на функциональное оборудование ставится специальный серверный софт – Windows Server 2008, 2012, 2016, 2019. После установки софта администратор определяет роль сервера — то, за что сервер будет отвечать:

  • за хранение данных – файловый сервер;
  • за открытие и работу программ для сотрудников – терминальный;
  • за почту – почтовый;
  • за управление доступами и прочим – контроллер домена.

Важно! Понятие «контроллер домена» применимо только для серверов с операционной системой Windows.

Если Ваш текущий домен контроллер устаревший, стоит обновить его до более современной версии, которая предусматривает широкие возможности и оптимизированный функционал. Например, под управлением Server 2003 можно настраивать функции Windows XP, а новые функции, появившиеся в Windows 7 – нет.

Список совместимости:

  • Server 2003 – Windows XP и более старые
  • Server 2008 – Windows XP, Vista
  • Server 2008 R2 – Windows XP, Vista, 7
  • Server 2012 – Windows XP, Vista, 7, 8
  • Server 2012 R2 – Windows XP, Vista, 7, 8, 8.1
  • Server 2016 – Windows XP, Vista, 7, 8, 8.1, 10

Серверный механизм способен выполнять очень широкий спектр ролей. Поэтому после инсталляции серверной ОС, прежде чем она сможет выполнить организационную работу локальной сети, необходимо произвести некоторые настройки.

Служба DNS

Для функционирования доменной сети обязательно необходима «DNS» (Domain Name System) служба, а сам контроллер должен видеть устройство, на котором она работает. Эта служба может функционировать как на роутере, так и на другом компьютере. В случае если такой службы нет, то при установке контроллера домена система предложит Вам выбрать роль «DNS». За что же она отвечает?

Служба «DNS» считывает и отправляет информацию об именах устройств. По сути, она связывает названия доменов с IP-адресами компьютеров, соответствующих этим доменам. Приведем простой пример:

  • www.yandex.ru — это имя, присвоенное серверу Яндекс;
  • 213.180.217.10 — это ip адрес Яндекса.

Одно имя соответствует одному IP-адресу устройства. Но ряд крупных компаний, таких как Яндекс или Гугл, в стремлении ускорить работу собственных сервисов создают дополнительные адреса. Также этот ход позволяет повысить надежность, бесперебойность работы. Порядок выдачи IP-адреса непосредственно зависит от настроек DHCP сервера (именно он позволяет сетевым аппаратам получать IP-адреса). В основном перенаправление имя-адрес осуществляется в случайном режиме. Узнать IP-адрес можно, набрав в командной строке «ping yandex.ru» .

Важно! Каждый раз при пуске «пинга» до Яндекса Вы можете получать разные или один и тот же IP-адрес. Это объясняется тем, что при большой нагрузки сервера один сервер перенаправляет Вас на другой, у которого другой IP.

IP-адрес

IP-адрес – это уникальный идентификатор устройства, находящегося в сети. Если приводить сторонний пример — это серия и номер паспорта человека, но для любого устройства, «общающегося» в сети – компьютер, роутер, принтер, сканер, МФУ, АТС и так далее. Адрес может присваиваться как в ручном режиме, так и в автоматическом. Для автоматического присвоения адресов устройствам, находящимся в сети необходим DHCP-сервер.

Важно! В сети не может быть устройств с одинаковым IP-адресом – точно так же, как нет людей с одинакововыми серией и номером паспорта.

Active Directory

Active Directory («Активный каталог») – это организованный каталог всех данных, необходимых для управления конкретной сетью. Под данными имеются в виду учетные записи, информация об устройствах в сети и многое другое. Active Directory позволяет централизованно управлять всем, что включено в сеть. Приведем простые и важные примеры, которые решаются с помощью этой службы:

1. Ограничение доступа сотрудников к информации. Например, менеджеры не имеют доступа ко всему, что касается бухгалтерской отчетности, а сотрудники бухгалтерии не имеют доступа к данным, которые ведут менеджеры. Это позволяет:

  • упростить работу с информацией – сотрудник видит только те материалы, которые необходимы ему для работы;
  • создать границы – каждый сотрудник в компании четко знает свою сферу влияния;
  • сократить возможность утечки информации – менеджер не может «слить» кому-то Вашу бухгалтерию, или бухгалтер – всех Ваших клиентов.

О безопасности! Когда сфера доступа сотрудника ограничена определенными рамками, он понимает, что ответственность за утерянную информацию с его источника несет именно он! Таким образом, риск быть обнаруженным из-за узкого круга подозреваемых лиц остановит среднестатистического воришку.

2. Ограничения использования некоторых устройств. Добавление контроллера домена позволит Вам защитить конфиденциальную информацию. Например, ограничивайте использования USB-накопителей с целью обезопасить себя от утечки конфиденциальной информации или от проникновения вируса в общую сеть.

3. Ограничения использования программ. Сотрудник не сможет установить игру или другой сторонний софт. Это полезно, потому что:

  • сторонний софт может быть пиратским, и компания попадает под риск получить штраф в случае проверки;
  • можно установить вирус, который убьет всю информацию на компьютере, либо будет передавать данные с компьютера сторонним лицам;
  • можно установить развлекательные игры и таким образом саботировать работу;
  • можно открыть шифратор и зашифровать все данные о компании;
  • можно наставить столько всего на компьютер, что он будет тормозить и работа станет невозможной и т.д.

4. Быстрая настройка рабочего стола для нового сотрудника. После приема на работу нового коллеги для него устанавливается индивидуальная учетная запись. После чего он определяется в свою рабочую группу, например, «менеджеры». Далее система автоматически и очень быстро устанавливает все необходимые программы, выводит необходимые значки на рабочий стол, настраивает принтеры и т. д. для работы этого человека. Кроме того, он получает доступ к закрытой информации, которой оперируют его коллеги по специальности.

5. Централизованное управление сетевыми устройствами. Вы можете с легкостью прописать (зафиксировать в системе), что для людей, сидящих в одном кабинете, все документы печатаются на один принтер, который находится в их кабинете, а для людей, сидящих в другом кабинете – на другой, который находится у них, и т.д.

Настройка контроллера домена с «Lan-Star»

Быстро открывать и блокировать доступ к данным, ставить нужной группе необходимый софт и решать широкий спектр управленческих задач с помощью системного администратора позволяет именно настройка контроллера домена. Это необходимый элемент IT-структуры, если Вы действительно беспокоитесь о сохранности корпоративных данных, думаете о централизованности управления, хотите создать рабочую и четкую структуру в своей организации, организовать удобную работу своих сотрудников с максимальным сокращением времени простоев, связанных с компьютерной техникой и сбоями в работе программ.

Закажите настройку и сопровождение централизованной системы управления рабочей сетью — контроллера домена. Возьмите все процессы, происходящие в компании, в свои руки! «Lan-Star» — надежный IT партнер. Наша специализация: обеспечение безопасности, организация стабильной работы, оптимизация деятельности компании. Чтобы получить более детальную информацию об услуге, обратитесь к нам по телефону (посмотреть) или закажите бесплатную консультацию.

Возникли проблемы
с контроллером домена?

выберите интересующую Вас услугу

Обслуживание ПК

Установка и настройка серверов

Безопасность информации

Настройка Windows server 2008 (DNS+AD) и тестирование DNS

Первоначальную настройку windows server 2008 Ent делал на виртуальной машине (VB 4.2):
Целью было научиться устанавливать DNS сервер,поднять контроллер домена (установка Active Directory) и ввести клиентскую машину (windows 7 pro) в домен.
Начальные настройки — на виртуальной машине в качестве сетевого адаптера мной был выбрал «Виртуальный адаптер хоста», и на сервере ВРУЧНУЮ прописан статический адрес (это важно для настройки dns сервера).Так же нужно в Центре управления сетями и общим доступом отключен Доступ с парольной защитой и открыт общий доступ к файлам (эти действия зависят от ваших представлений о безопасности):Перейдем у установке ролей (предварительно советую изменить имя сервера на читабельное,потому что так будет удобней тестить dns сервер). Сразу отмечу, в сети есть много статей,в которых настраивается сначала dns и только потом поднимается контроллер домена. AD не будет работать без dns сервера,обратите на это внимание! Я делал все через установку и настройку AD, частью которой является установка dns сервера. Мастер установки удобный и понятный,на определенном шаге сам предложит установить dns сервер.

1. испетчер сервера — Роли — Добавить роль — Доменные службы Active Directory и делаем установку. Когда роль будет установлена, перезагружаем машину:

2.Пуск — Выполнить — dcpromo.exe и открываем мастер настройки:
3.Выбираем Создать новый домен в новом лесу.
4.Вводим полное доменное имя корневого домена леса (FQDN): licey.local (чтобы оно минимум было из 2 составляющих):
5. Режим работы леса выбираем Windows server 2008.

6. Обязательно оставляем галочку напротив DNS-сервер:

7.В выпадающем окошке смело нажимаем ДА, и переходим у выбору расположения для баз данных, файлов журналов и SYSVOL (по желанию меняем путь).

8.Устанавливаем пароль администратора для режима восстановления служб каталогов и заканчиваем установку.  

По желанию на вкладке Сводка можно сделать экспорт выбранных параметров с выбранными настройками.Обязательно перезагружаемся!

После перезагрузки входим уже в домен (чтобы нажать Ctrl+Alt+Del в VB нужно нажать RigthCtrl+Del):

Смотрим настройки DNS сервера:

На клиентской машине, вручную прописывает адрес 192.168.0.2, маску 255.255.255.0 и предпочитаемый dns сервер 192.168.0.1,т.е. адрес нашего настроенного сервера имен. В реально работающей сети нужно будет поднять DHCP сервер,который автоматически будет раздавать перечисленные выше параметры.

Далее на клиентской машине — Пуск — Свойства системы — Изменить параметры — Выбираем Домен — вводим название домена licey.local. В выпадающем окошке,которое просит логин и пароль вводим данные учетной записи администратора которая расположена на сервере! И получаем подтверждение о входе в домен. При этом компьютер-клиент автоматически появится в списке Active-Directory Пользователи и компьютеры в группе Computers. Далее создаем учетную запись на сервере и задаем ей пароль. По умолчанию пользователь будет помещен в группу «Пользователи домена»:

Обратите внимание,что сервер очень требовательно относится к созданию паролей и проверяет их на количество введенных символов (не менее 6), наличия большого/маленького регистра и специальных символов. Щелкнув на пользователе ПКМ можно изменять его многочисленные свойства.Под логином [email protected] можно будет заходить с любого компьютера который состоит в домене. Чтобы привязать учетную запись к ПК, нужно в свойства ПК выбрать вкладку Управляется и выбрать пользователя,который будет им управлять.

На этом закончим основную настройку DNS+AD.

Тестирование работы dns сервера

Способ №1

Для тестирования работы dns сервера можно применять 2 утилиты командной строки — nslookup и dcdiag. Исчерпывающую информацию по пользованию каждой можно найти в сети. Я пользовался dcdiag,т.к. она показывает не только информацию о днс но и в общем о сервере:

Если в строках ForestDnsZone и DomainDnsZone стоит статус «Проверка пройдена»,значит днс сервер работает нормально.

Способ №2

Т.к. ДНС это аспределенная система для получения информации о доменах, система для получения IP адреса по имени хоста, то работу ДНС можно проверить пингом машины по имени. Результаты будут примерно следующие:
Пинг сервера:

Пинг клиента:

Если dns сервер работает не верно или вообще не работает, то придется вручную создать зону прямого просмотра, т.к. именно она отвечает за преобразование доменного имени в IP адрес. При необходимости можно создать зону обратного просмотра (противоположность первой) и сервер пересылки. 

В глобальном журнале днс сервера можно найти информацию ою ошибках и предупреждениях. Не пугайтесь предупреждений если они не критичны, сервер будет продолжать работать.
На этом пока все. Надеюсь это статья поможет начинающим найти то,что они долго искали. Также могу посоветовать хороший форум, Тут http://sysadminz.ru/ сегда помогут

Настройка контроллеров домена в разных подсетях

У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.


Если у вас есть желание освоить Linux с нуля, не имея базовых знаний, рекомендую познакомиться с онлайн-курсом Administrator Linux.Basic в OTUS. Курс для новичков, для тех, кто хочет войти в профессию администратора Linux. Подробности по .

Из этой статьи вы узнаете:

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

  • Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
  • Устанавливаем контроллер домена во второй подсети и добавляем его в домен
  • Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться xs.local

Настройка контроллеров домена для работы в разных подсетях

Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv. Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1:

Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv. Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.

В xs-winsrv добавляем строку:

10.1.4.6   xm-winsrv

В xm-winsrv добавляем:

10.1.3.4   xs-winsrv

Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:

Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv, который мы будем добавлять в домен:

Дальше нам нужно на первом контроллере домена в оснастке Active-Directory — сайты и службы создать 2 подсети и 2 сайта, привязать к каждому сайту соответствующую ему подсеть:

После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.

Добавление второго контроллера домена из другой подсети

Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен, указываем наш домен xs.local:

 

На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:

Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC). Дальше все настройки оставляем по-умолчанию.

После перезагрузки сервера, он окажется в домене xs.local. Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:

На этом все. Можно добавлять компьютеры в обоих офисах в домен.

Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.

Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.

Онлайн курс по Linux

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров.

Что даст вам этот курс:

  • Знание архитектуры Linux.
  • Освоение современных методов и инструментов анализа и обработки данных.
  • Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
  • Владение основными рабочими инструментами системного администратора.
  • Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
  • Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.

Проверьте себя на вступительном тесте и смотрите подробнее программу по .

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Рекомендации по настройке DNS на контроллерах домена и членах домена.

Информация:
Следующая информация объясняет передовой опыт настройки DNS-клиента на контроллере домена и члене домена.

Контроллер домена с установленным DNS:
На контроллере домена, который также действует как DNS-сервер, рекомендуется настроить параметры DNS-клиента контроллера домена в соответствии со следующими спецификациями:

Конфигурация IP на контроллере домена:

  • В одиночном DC / DNS в доменной среде сервер DC / DNS указывает на свой частный IP-адрес (а не на loopback 127.x.x.) в качестве предпочтительного DNS-сервера в свойстве TCP / IP.
  • Если несколько контроллеров домена, то есть DNS-серверы, находятся в доменной среде, рекомендуется, чтобы все контроллеры домена указывали на IP-адрес ДРУГОГО / УДАЛЕННОГО контроллера домена в качестве предпочтительного DNS, а затем указывали на его частный IP-адрес в качестве альтернативного DNS.
  • У каждого контроллера домена есть только один IP-адрес и включен один сетевой адаптер (отключите неиспользуемые сетевые адаптеры).
  • IPv6 не следует отключать на сетевой карте DC. Установите для него «получать IPV6-адрес автоматически» и «получать адрес DNS-сервера автоматически»
  • Если на сервере присутствует несколько сетевых адаптеров (включенных и отключенных), убедитесь, что активный сетевой адаптер должен быть наверху в привязке сетевого адаптера.
  • Обратитесь к своему интернет-провайдеру, получите от него действительные IP-адреса DNS и добавьте их в серверы пересылки. Не устанавливайте общедоступный DNS-сервер в настройках TCP / IP DC.

Как установить / просмотреть порядок привязки сетевого адаптера в Windows
http://theregime.wordpress.com/2008/03/04/how-to-setview-the-nic-bind-order-in-windows/

Конфигурация IP на члене домена:

  • Каждая рабочая станция / рядовой сервер должна указывать на локальный DNS-сервер в качестве предпочтительного DNS-сервера и удаленные DNS-серверы в качестве альтернативного DNS-сервера в свойстве TCP / IP.
  • Не устанавливать публичный DNS-сервер в настройках TCP / IP члена домена.

Как только вы закончите с вышеуказанным, запустите « ipconfig / flushdns & ipconfig / registerdns », перезапустите сервер DNS и службу NETLOGON на каждом DC.

Краткое примечание: Контроллер домена MULTIHOMED не рекомендуется, это всегда приводит к множеству проблем.

  • Работа в качестве VPN-сервера и даже простая работа RRAS делает его многосетевым.
  • Контроллеры домена

  • с ролью PDC автоматически становятся главным браузером домена.Основные браузеры не должны быть многосетевыми

Сбой связи Active Directory на контроллерах многосетевого домена http://support.microsoft.com/default.aspx?scid=kb;en-us;272294

Симптомы многосетевых браузеров
http://support.microsoft.com/default.aspx?scid=kb;EN-US;191611

Ссылка: http://support.microsoft.com/kb/825036

Нравится:

Нравится Загрузка …

Связанные

Эта запись была размещена в Active Directory автором abhijit..

Проверка работоспособности DNS для поддержки репликации каталогов

  • На чтение 9 минут

В этой статье

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Чтобы проверить настройки системы доменных имен (DNS), которые могут мешать репликации Active Directory, вы можете начать с выполнения базового теста, который проверяет правильность работы DNS для вашего домена.После запуска базового теста вы можете протестировать другие аспекты функциональности DNS, включая регистрацию записи ресурса и динамическое обновление.

Хотя вы можете запустить этот тест базовой функциональности DNS на любом контроллере домена, обычно вы запускаете этот тест на контроллерах домена, которые, по вашему мнению, могут испытывать проблемы с репликацией, например контроллеры домена, которые сообщают о событиях с кодами 1844, 1925, 2087 или 2088. в журнале DNS службы каталогов средства просмотра событий.

Запуск базового теста DNS контроллера домена

Базовый тест DNS проверяет следующие аспекты функциональности DNS:

  • Связь: Тест определяет, зарегистрированы ли контроллеры домена в DNS, могут ли с ними связаться с помощью команды ping и есть ли возможность подключения по протоколу облегченного доступа к каталогам / удаленному вызову процедур (LDAP / RPC).Если проверка подключения не выполняется на контроллере домена, другие тесты для этого контроллера домена не выполняются. Тест подключения выполняется автоматически перед запуском любого другого теста DNS.
  • Основные службы: Тест подтверждает, что следующие службы работают и доступны на протестированном контроллере домена: служба DNS-клиента, служба сетевого входа в систему, служба центра распространения ключей (KDC) и служба DNS-сервера (если DNS установлен на контроллер домена).
  • Конфигурация DNS-клиента: Тест подтверждает, что DNS-серверы на всех сетевых адаптерах клиентского компьютера DNS доступны.
  • Регистрации записей ресурсов: Тест подтверждает, что запись ресурса узла (A) каждого контроллера домена зарегистрирована по крайней мере на одном из DNS-серверов, настроенных на клиентском компьютере.
  • Зона и начало полномочий (SOA): Если на контроллере домена запущена служба DNS-сервера, тест подтверждает наличие записи ресурса зоны домена Active Directory и начала полномочий (SOA) для зоны домена Active Directory.
  • Корневая зона: Проверяет наличие корневой (.) Зоны.

Членство в Enterprise Admins или эквивалентном является минимумом, необходимым для выполнения этих процедур.

Вы можете использовать следующую процедуру для проверки основных функций DNS.

Для проверки основных функций DNS:

  1. На контроллере домена, который вы хотите протестировать, или на компьютере-члене домена, на котором установлены инструменты доменных служб Active Directory (AD DS), откройте командную строку от имени администратора.Чтобы открыть командную строку от имени администратора, нажмите Пуск .

  2. В Начать поиск введите Командная строка.

  3. В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое действие соответствует вашим требованиям, и нажмите «Продолжить».

  4. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag / test: dns / v / s: / DnsBasic / f: dcdiagreport.txt
    Замените фактическое отличительное имя, имя NetBIOS или DNS-имя контроллера домена на . В качестве альтернативы вы можете протестировать все контроллеры домена в лесу, набрав / e: вместо / s :.
    Параметр / f указывает имя файла, которым в предыдущей команде было dcdiagreport.txt. Если вы хотите разместить файл в месте, отличном от текущего рабочего каталога, вы можете указать путь к файлу, например /f:c:reportsdcdiagreport.txt.

  5. Откройте dcdiagreport.txt в Блокноте или аналогичном текстовом редакторе. Чтобы открыть файл в Блокноте, в командной строке введите notepad dcdiagreport.txt и нажмите клавишу ВВОД. Если вы поместили файл в другой рабочий каталог, укажите путь к файлу. Например, если вы поместили файл в c: reports, введите блокнот c: reportsdcdiagreport.txt и нажмите клавишу ВВОД.

  6. Прокрутите до сводной таблицы в нижней части файла.
    Обратите внимание на имена всех контроллеров домена, которые сообщают о состоянии «Предупреждение» или «Ошибка» в сводной таблице.Попытайтесь определить, существует ли проблемный контроллер домена, найдя подробный раздел, выполнив поиск по строке «DC: DCName», где DCName — фактическое имя контроллера домена.

Если вы видите очевидные изменения конфигурации, которые требуются, внесите их соответствующим образом. Например, если вы заметили, что у одного из ваших контроллеров домена явно неверный IP-адрес, вы можете исправить это. Затем запустите тест еще раз.

Чтобы проверить изменения конфигурации, повторно запустите команду Dcdiag / test: DNS / v с переключателем / e: или / s: в зависимости от ситуации.Если у вас не включен IP версии 6 (IPv6) на контроллере домена, вы должны ожидать, что часть проверки хоста (AAAA) завершится неудачно, но если вы не используете IPv6 в своей сети, эти записи не нужны.

Проверка регистрации записи ресурса

Конечный контроллер домена использует запись ресурса псевдонима DNS (CNAME), чтобы найти своего партнера по репликации исходного контроллера домена. Хотя контроллеры домена под управлением Windows Server (начиная с Windows Server 2003 с пакетом обновления 1 (SP1)) могут находить партнеров по репликации источника, используя полностью определенные доменные имена (FQDN) или, если это не удается, NetBIOS называет наличие ресурса псевдонима (CNAME) запись ожидается и ее необходимо проверить на предмет правильного функционирования DNS.

Вы можете использовать следующую процедуру для проверки регистрации записи ресурса, включая регистрацию записи ресурса псевдонима (CNAME).

Для проверки регистрации записи ресурса

  1. Откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите Пуск. В Начать поиск введите Командная строка.
  2. В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое действие соответствует вашим требованиям, и нажмите «Продолжить».Вы можете использовать инструмент Dcdiag для проверки регистрации всех записей ресурсов, необходимых для определения местоположения контроллера домена, выполнив команду dcdiag / test: dns / DnsRecordRegistration .

Эта команда проверяет регистрацию следующих записей ресурсов в DNS:

  • псевдоним (CNAME): запись ресурса на основе глобального уникального идентификатора (GUID), которая определяет местонахождение партнера по репликации
  • хост (A): запись ресурса хоста, содержащая IP-адрес контроллера домена
  • LDAP SRV: записи ресурсов службы (SRV), которые определяют местонахождение серверов LDAP
  • GC SRV : записи ресурсов службы (SRV), которые определяют местонахождение серверов глобального каталога
  • PDC SRV : записи ресурсов службы (SRV), которые определяют местонахождение хозяев операций эмулятора основного контроллера домена (PDC)

Для проверки регистрации записи ресурса псевдонима (CNAME) можно использовать следующую процедуру.

Для проверки регистрации записи ресурса псевдонима (CNAME)

  1. Откройте оснастку DNS. Чтобы открыть DNS, нажмите Пуск. В поле «Начать поиск» введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что в нем отображается нужное действие, и нажмите «Продолжить».
  2. Используйте оснастку DNS, чтобы найти любой контроллер домена, на котором запущена служба DNS-сервера, где на сервере размещается зона DNS с тем же именем, что и домен Active Directory контроллера домена.
  3. В дереве консоли щелкните зону с именем _msdcs.Dns_Domain_Name.
  4. В области сведений убедитесь, что присутствуют следующие записи ресурсов: запись ресурса псевдонима (CNAME) с именем Dsa_Guid._msdcs.Dns_Domain_Name и соответствующая запись ресурса узла (A) для имени DNS-сервера.

Если запись ресурса псевдонима (CNAME) не зарегистрирована, убедитесь, что динамическое обновление работает правильно. Используйте тест в следующем разделе, чтобы проверить динамическое обновление.

Проверка динамического обновления

Если базовый тест DNS показывает, что записи ресурсов не существуют в DNS, используйте тест динамического обновления, чтобы определить, почему служба сетевого входа в систему не зарегистрировала записи ресурсов автоматически. Чтобы убедиться, что зона домена Active Directory настроена для приема безопасных динамических обновлений и выполнения регистрации тестовой записи (_dcdiag_test_record), используйте следующую процедуру. Запись теста удаляется автоматически после теста.

Проверить динамическое обновление

  1. Откройте командную строку от имени администратора.Чтобы открыть командную строку от имени администратора, нажмите Пуск. В Начать поиск введите Командная строка. В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое действие соответствует вашим требованиям, и нажмите «Продолжить».
  2. В командной строке введите следующую команду и нажмите клавишу ВВОД:
    dcdiag / test: dns / v / s: / DnsDynamicUpdate
    Замените отличительное имя, NetBIOS-имя или DNS-имя контроллера домена на .В качестве альтернативы вы можете протестировать все контроллеры домена в лесу, набрав / e: вместо / s :. Если у вас не включен IPv6 на контроллере домена, следует ожидать, что часть теста с записью ресурса узла (AAAA) завершится неудачно, что является нормальным условием, когда IPv6 не включен.

Если безопасные динамические обновления не настроены, вы можете использовать следующую процедуру для их настройки.

Для включения безопасных динамических обновлений

  1. Откройте оснастку DNS.Чтобы открыть DNS, нажмите Пуск.
  2. В поле «Начать поиск» введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно «Контроль учетных записей», убедитесь, что в нем отображается нужное действие, и нажмите «Продолжить».
  3. В дереве консоли щелкните правой кнопкой мыши соответствующую зону и выберите «Свойства».
  4. На вкладке «Общие» убедитесь, что тип зоны интегрирован в Active Directory.
  5. В динамическом обновлении щелкните Только безопасность.

Регистрация ресурсных записей DNS

Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите немедленно зарегистрировать записи ресурсов DNS, вы можете принудительно выполнить регистрацию вручную, используя следующую процедуру.Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, которые необходимы для того, чтобы контроллер домена находился в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).

Для регистрации ресурсных записей DNS вручную

  1. Откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите Пуск.
  2. В поле «Начать поиск» введите Командная строка.
  3. В верхней части экрана «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора».Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое действие соответствует вашим требованиям, и нажмите «Продолжить».
  4. Чтобы инициировать регистрацию записей ресурсов локатора контроллера домена вручную на исходном контроллере домена, в командной строке введите следующую команду и нажмите клавишу ВВОД: net stop netlogon && net start netlogon
  5. Чтобы инициировать регистрацию записи ресурса хоста (A) вручную, в командной строке введите следующую команду и нажмите клавишу ВВОД: ipconfig / flushdns && ipconfig / registerdns
  6. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag / test: dns / v / s: Замените различающееся имя, имя NetBIOS или DNS-имя контроллера домена вместо .Просмотрите выходные данные теста, чтобы убедиться, что тесты DNS пройдены. Если у вас не включен IPv6 на контроллере домена, следует ожидать, что часть теста с записью ресурса узла (AAAA) завершится неудачно, что является нормальным условием, когда IPv6 не включен.

.

Понижение уровня контроллеров домена и доменов (уровень 200)

  • 7 минут на чтение

В этой статье

Применимо к: Windows Server

В этом разделе объясняется, как удалить AD DS с помощью диспетчера сервера или Windows PowerShell.

Рабочий процесс удаления AD DS

Осторожно

Удаление ролей AD DS с помощью Dism.exe или модуль DISM Windows PowerShell после повышения до контроллера домена не поддерживается и будет препятствовать нормальной загрузке сервера.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не имеет внутренних знаний о AD DS или его конфигурации. Не используйте Dism.exe или модуль DISM Windows PowerShell для удаления роли AD DS, если сервер больше не является контроллером домена.

Понижение и удаление роли с помощью PowerShell

Командлеты ADDSDeployment и ServerManager аргументов ( полужирный, аргументов обязательны. Выделенные курсивом аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Удалить-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential 16

-DelegationRemovalCredential 16

-RemovalCredential IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-Retain16DCMetadata

Удалить-WindowsFeature / Удалить-WindowsFeature -Имя

-IncludeManagementTools

-Перезапустить

-Удалить

-Force

-ComputerName

-Credential

-LogPath

-Vhd

-Vhd

Примечание

Аргумент -credential требуется только в том случае, если вы еще не вошли в систему как член группы администраторов предприятия (понижение уровня последнего DC в домене) или группы администраторов домена (понижение уровня реплики контроллера домена).Аргумент -includemanagementtools требуется только в том случае, если вы хотите удалить все утилиты управления AD DS.

Понизить

Удаление ролей и компонентов

Server Manager предлагает два интерфейса для удаления роли доменных служб Active Directory:

  • Меню Управление на главной панели управления с использованием Удалить роли и компоненты

  • Щелкните AD DS или Все серверы на панели навигации.Прокрутите вниз до раздела Roles and Features . Щелкните правой кнопкой мыши Доменные службы Active Directory в списке Роли и компоненты и выберите Удалить роль или компонент . Этот интерфейс пропускает страницу Выбор сервера .

Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволят вам удалить роль AD DS, пока вы не понизите роль контроллера домена.

Выбор сервера

Диалоговое окно Server Selection позволяет вам выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен Диспетчер серверов, всегда доступен автоматически.

Роли и функции сервера

Снимите флажок Доменные службы Active Directory , чтобы понизить статус контроллера домена; если сервер в настоящее время является контроллером домена, это не удаляет роль AD DS, а вместо этого переключается на диалоговое окно Validation Results с предложением понизить статус.В противном случае он удаляет двоичные файлы, как и любую другую функцию роли.

  • Не удаляйте никакие другие роли или функции, связанные с AD DS, такие как DNS, GPMC или инструменты RSAT, если вы намереваетесь немедленно повысить уровень контроллера домена. Удаление дополнительных ролей и компонентов увеличивает время для повторного повышения, поскольку диспетчер сервера переустанавливает эти функции при переустановке роли.

  • Удалите ненужные роли и функции AD DS по своему усмотрению, если вы намереваетесь окончательно понизить роль контроллера домена.Для этого необходимо снять флажки для этих ролей и функций.

    Полный список ролей и функций, связанных с AD DS, включает:

    • Модуль Active Directory для функции Windows PowerShell
    • Функция AD DS и AD LDS Tools
    • Функция центра администрирования Active Directory
    • Оснастки AD DS и средства командной строки, функция
    • DNS-сервер
    • Консоль управления групповой политикой

Эквивалентные командлеты Windows PowerShell ADDSDeployment и ServerManager:

  Удалить-добавляет контроллер домена
Удаление-windowsfeature
  

Учетные данные

Параметры понижения можно настроить на странице Учетные данные .Укажите учетные данные, необходимые для понижения в должности, из следующего списка:

  • Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. При выборе Принудительное удаление этого контроллера домена понижает роль контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

    Предупреждение

    Не выбирайте эту опцию, если контроллер домена не может связаться с другими контроллерами домена и не существует разумного способа для решения этой сетевой проблемы.Принудительное понижение роли оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена в лесу. Кроме того, все нереплицированные изменения на этом контроллере домена, такие как пароли или новые учетные записи пользователей, теряются навсегда. Потерянные метаданные являются основной причиной значительного процента обращений в службу поддержки клиентов Microsoft для AD DS, Exchange, SQL и другого программного обеспечения.

    Если вы принудительно понижаете роль контроллера домена, необходимо вручную выполнить очистку метаданных немедленно.Пошаговые инструкции см. В разделе «Очистка метаданных сервера».

  • Для понижения уровня последнего контроллера домена в домене требуется членство в группе администраторов предприятия, так как это удаляет сам домен (если последний домен в лесу, это удаляет лес). Диспетчер сервера сообщает вам, является ли текущий контроллер домена последним контроллером домена в домене. Установите флажок «Последний контроллер домена в домене », чтобы подтвердить, что контроллер домена является последним контроллером домена в домене.

Эквивалентные аргументы Windows PowerShell для ADDSDeployment:

  -credential 
-forceremoval <{$ true | false}>
-lastdomaincontrollerindomain <{$ true | false}>
  

Предупреждения

Страница предупреждений предупреждает о возможных последствиях удаления этого контроллера домена. Для продолжения необходимо выбрать Продолжить удаление .

Предупреждение

Если вы ранее выбрали Принудительное удаление этого контроллера домена на странице Учетные данные , то на странице Предупреждения показаны все роли гибких операций с одним главным мастером, размещенные на этом контроллере домена.Вы должны захватить роли от другого контроллера домена сразу после понижения этого сервера. Для получения дополнительной информации о захвате ролей FSMO см. Захват роли хозяина операций.

На этой странице нет эквивалентного аргумента ADDSDeployment Windows PowerShell.

Варианты снятия

Страница параметров удаления появляется в зависимости от того, был ли ранее выбран Последний контроллер домена в домене на странице Учетные данные .На этой странице вы можете настроить дополнительные параметры удаления. Выберите Игнорировать последний DNS-сервер для зоны , Удалить разделы приложения и Удалить делегирование DNS , чтобы активировать кнопку Далее .

Параметры отображаются, только если они применимы к этому контроллеру домена. Например, если для этого сервера нет делегирования DNS, этот флажок не будет отображаться.

Щелкните Изменить , чтобы указать альтернативные учетные данные администратора DNS.Щелкните Просмотр разделов , чтобы просмотреть дополнительные разделы, которые мастер удаляет во время понижения роли. По умолчанию единственными дополнительными разделами являются DNS-зоны домена и DNS-зоны леса. Все остальные разделы не являются разделами Windows.

Эквивалентные аргументы командлета ADDSDeployment:

  -ignorelastdnsserverforzone <{$ true | false}>
-removeapplicationpartitions <{$ true | false}>
-removednsdelegation <{$ true | false}>
-dnsdelegationremovalcredential 
  

Новый пароль администратора

На странице Новый пароль администратора необходимо указать пароль для встроенной учетной записи администратора локального компьютера, когда понижение роли завершится и компьютер станет членом домена или компьютером рабочей группы.

Командлет Uninstall-ADDSDomainController и аргументы используют те же значения по умолчанию, что и диспетчер сервера, если они не указаны.

Особый аргумент LocalAdministratorPassword :

  • Если не указал в качестве аргумента, командлет предложит вам ввести и подтвердить замаскированный пароль. Это предпочтительный вариант использования при интерактивном запуске командлета.
  • Если указано со значением , то значение должно быть защищенной строкой.Это не лучший вариант использования при интерактивном запуске командлета.

Например, вы можете вручную запросить пароль с помощью командлета Read-Host , чтобы запросить у пользователя безопасную строку.

  -localadministratorpassword (read-host -prompt "Пароль:" -assecurestring)
  

Предупреждение

Поскольку два предыдущих варианта не подтверждают пароль, будьте предельно осторожны: пароль не отображается.

Вы также можете предоставить защищенную строку как преобразованную переменную открытого текста, хотя это крайне не рекомендуется.Например:

  -localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
  

Предупреждение

Не рекомендуется вводить или хранить пароль в виде открытого текста. Любой, кто запускает эту команду в сценарии или смотрит вам через плечо, знает пароль локального администратора этого компьютера. Обладая этими знаниями, они получают доступ ко всем его данным и могут выдавать себя за сам сервер.

Подтверждение

На странице Подтверждение показано запланированное понижение в должности; на странице не перечислены параметры конфигурации понижения.Это последняя страница, которую мастер показывает перед началом понижения. Кнопка «Просмотр сценария» создает сценарий понижения роли Windows PowerShell.

Щелкните Понизить уровень , чтобы запустить следующий командлет развертывания AD DS:

  Удалить-ADDSDomainController
  

Используйте необязательный аргумент Whatif с Uninstall-ADDSDomainController и командлетом для просмотра информации о конфигурации. Это позволяет вам видеть явные и неявные значения аргументов командлета.

Например:

Запрос на перезагрузку — это ваша последняя возможность отменить эту операцию при использовании ADDSDeployment Windows PowerShell. Чтобы переопределить это приглашение, используйте аргументы -force или confirm: $ false .

Понижение

Когда отображается страница Demotion , начинается настройка контроллера домена, и ее нельзя остановить или отменить. Подробные операции отображаются на этой странице и записываются в журналы:

  • % systemroot% \ debug \ dcpromo.журнал
  • % systemroot% \ debug \ dcpromoui.log

Поскольку Uninstall-ADDSDomainController и Uninstall-WindowsFeature имеют только одно действие за штуку, они показаны здесь на этапе подтверждения с минимально необходимыми аргументами. Нажатие ENTER запускает безвозвратный процесс понижения роли и перезагружает компьютер.

Чтобы принять запрос на перезагрузку автоматически, используйте аргументы -force или -confirm: $ false с любым командлетом Windows PowerShell ADDSDeployment.Чтобы предотвратить автоматическую перезагрузку сервера в конце продвижения, используйте аргумент -norebootoncompletion: $ false .

Предупреждение

Отмена перезагрузки не рекомендуется. Рядовой сервер должен перезагрузиться для правильной работы.

Вот пример принудительного понижения с минимальными необходимыми аргументами -forceremoval и -demoteoperationmasterrole . Аргумент -credential не требуется, поскольку пользователь вошел в систему как член группы администраторов предприятия:

Вот пример удаления последнего контроллера домена в домене с его минимально необходимыми аргументами -lastdomaincontrollerindomain и -removeapplicationpartitions :

Если вы попытаетесь удалить роль AD DS до понижения уровня сервера, Windows PowerShell заблокирует вас с ошибкой:

Важно

Вы должны перезагрузить компьютер после понижения уровня сервера, прежде чем вы сможете удалить двоичные файлы роли AD-Domain-Services.

Результаты

Страница результатов показывает успех или неудачу рекламной акции и любую важную административную информацию. Контроллер домена автоматически перезагрузится через 10 секунд.

.

Устранение неполадок при развертывании контроллера домена | Документы Microsoft

.

11 Повышение уровня контроллера домена уже выполняется Не запускайте более одного экземпляра повышения уровня контроллера домена одновременно для одного и того же целевого компьютера
12 Пользователь должен быть администратором Войдите в систему как член встроенной группы администраторов и убедитесь, что вы повышаете уровень с помощью UAC
13 Установлен Центр сертификации Вы не можете понизить статус этого контроллера домена, так как он также является центром сертификации.Не удаляйте ЦС, пока не проведете тщательную инвентаризацию его использования — если он выдает сертификаты, удаление роли приведет к отключению. Запуск ЦС на контроллерах домена не рекомендуется
14 Работа в режиме безопасной загрузки Загрузите сервер в нормальный режим
15 Смена роли выполняется или требуется перезагрузка Вы должны перезапустить сервер (из-за предыдущих изменений конфигурации) перед продвижением
16 Работа на неправильной платформе Эта ошибка вряд ли возникнет
17 Нет дисков NTFS 5 Эта ошибка невозможна в Windows Server 2012, для которой требуется, чтобы хотя бы% systemdrive% был отформатирован в NTFS
18 Недостаточно места в windir Освободите место на томе% systemdrive% с помощью cleanmgr.exe
19 Ожидается изменение имени, требуется перезагрузка Перезагрузите сервер
20 Имя компьютера имеет недопустимый синтаксис Переименуйте компьютер с допустимым именем
21 Этот контроллер домена выполняет роли FSMO, является GC и / или DNS-сервером. Добавьте -demoteoperationmasterrole при использовании -forceremoval .
22 TCP / IP необходимо установить или не работает Убедитесь, что на компьютере настроен, привязан и работает TCP / IP
23 DNS-клиент должен быть настроен сначала Установите первичный DNS-сервер при добавлении нового контроллера домена в домен
24 Предоставленные учетные данные недействительны или отсутствуют обязательные элементы Проверьте правильность имени пользователя и пароля
25 Контроллер домена для указанного домена не может быть найден Проверить настройки клиента DNS, правила брандмауэра
26 Список доменов не может быть прочитан из леса Проверка настроек клиента DNS, функциональности LDAP, правил брандмауэра
27 Отсутствует доменное имя Укажите домен при повышении или понижении
28 Неверное доменное имя Выберите другое действительное доменное имя DNS при продвижении
29 Родительский домен не существует Проверить родительский домен, указанный при создании нового дочернего домена или домена дерева
30 Домен не в лесу Проверьте предоставленное доменное имя
31 Дочерний домен уже существует Укажите другое доменное имя
32 Неверное доменное имя NetBIOS Укажите допустимое доменное имя NetBIOS
33 Неверный путь к файлам IFM Проверьте свой путь к папке «Установить с носителя»
34 База данных IFM неисправна Используйте правильную установку с носителя для этой операционной системы и роли (та же версия операционной системы, тот же тип контроллера домена — RODC или RWDC)
35 Отсутствует SYSKEY Установка с носителя зашифрована, и вы должны предоставить действующий SYSKEY, чтобы использовать его
37 Путь к базе данных NTDS или ее журналам недействителен Изменить путь базы данных и журналов на фиксированный том NTFS, а не на подключенный диск или путь UNC
38 На томе недостаточно места для базы данных NTDS или журналов Освободите место с помощью cleanmgr.exe, добавьте больше места на диске, вручную очистите пространство, переместив ненужные данные в другое место
39 Путь для SYSVOL недействителен Изменить путь к папке SYSVOL на фиксированный том NTFS, а не на подключенный диск или путь UNC
40 Неверное имя сайта Укажите существующее имя сайта
41 Необходимо указать пароль для безопасного режима Укажите пароль для учетной записи DSRM, он не может быть пустым независимо от того, как настроена политика паролей
42 Пароль безопасного режима не соответствует критериям (только для продвижения) Укажите пароль для учетной записи DSRM, который соответствует настроенным правилам политики паролей.
43 Пароль администратора не соответствует критериям (только понижение) Введите пароль для учетной записи локального администратора, который соответствует настроенным правилам политики паролей.
44 Указанное имя для леса недействительно Укажите допустимое доменное имя DNS корневого леса
45 Лес с указанным именем уже существует Выберите другое доменное имя DNS корневого леса
46 Указанное имя для дерева недействительно Укажите допустимое доменное имя DNS дерева
47 Дерево с указанным именем уже существует Выбрать другое дерево DNS доменное имя
48 Имя дерева не вписывается в структуру леса Выбрать другое дерево DNS доменное имя
49 Указанный домен не существует Подтвердите набранное вами доменное имя
50 Во время понижения уровня был обнаружен последний контроллер домена, хотя это не так, или был указан последний контроллер домена, но не Не указывайте Последний контроллер домена в домене ( -lastdomaincontrollerindomain ), если это не правда.Используйте -ignorelastdcindomainmismatch , чтобы переопределить, если это действительно последний контроллер домена и есть метаданные фантомного контроллера домена
51 Разделы приложений существуют на этом контроллере домена Укажите для Удалить разделы приложений ( -removeapplicationpartitions )
52 Отсутствует обязательный аргумент командной строки (то есть в командной строке должен быть указан файл ответов) Встречается только с dcpromo / unattend, который устарел.См. Старую документацию
53 Не удалось повысить / понизить статус, необходимо перезагрузить компьютер для очистки Изучите расширенную ошибку и журналы
54 Не удалось повысить / понизить Изучите расширенную ошибку и журналы
55 Повышение / понижение отменено пользователем Изучите расширенную ошибку и журналы
56 Повышение / понижение в должности было отменено пользователем, необходимо перезагрузить компьютер для очистки Изучите расширенную ошибку и журналы
58 Имя сайта должно быть указано во время продвижения RODC Вы должны указать сайт для RODC, он не будет автоматически определять такой сайт, как RWDC
59 Во время понижения роли этот контроллер домена является последним DNS-сервером для одной из своих зон Укажите, что это последний DNS-сервер в домене , или используйте -ignorelastdnsserverfordomain
60 Контроллер домена под управлением Windows Server 2008 или более поздней версии должен присутствовать в домене для повышения RODC Продвинуть хотя бы один доступный для записи контроллер домена Windows Server 2008 или более поздней модели
61 Невозможно установить доменные службы Active Directory с DNS в существующем домене, в котором еще не размещен DNS Невозможно получить эту ошибку
62 В файле ответов нет раздела [DCInstall] Встречается только с dcpromo / unattend, который устарел.См. Старую документацию.
63 Функциональный уровень леса ниже windows server 2003 Повысьте функциональный уровень леса как минимум до Windows Server 2003 Native. Windows 2000 и Windows NT 4.0 больше не поддерживаются операционными системами
64 Promo не удалось, потому что не удалось обнаружить двоичный компонент Установите роль AD DS
65 Promo не удалось из-за сбоя двоичной установки компонента Установите роль AD DS
66 Promo не удалось из-за ошибки обнаружения операционной системы Изучите расширенные журналы ошибок и журналы; сервер не может вернуть версию своей операционной системы.Вполне вероятно, что компьютер потребуется переустановить, так как его общее состояние очень подозрительно
68 Недопустимый партнер репликации Используйте repadmin.exe или Get-ADReplication \ * Windows PowerShell для проверки работоспособности партнерского контроллера домена
69 Требуемый порт уже используется другим приложением Используйте netstat.exe -anob для обнаружения процессов, которые неправильно назначены зарезервированным портам AD DS
70 Контроллер корневого домена леса должен быть GC Встречается только с dcpromo / unattend, который устарел.См. Старую документацию
71 DNS-сервер уже установлен Не указывать установку DNS ( -installDNS ), если служба DNS уже установлена ​​
72 На компьютере запущены службы удаленных рабочих столов в режиме без прав администратора Вы не можете повысить этот контроллер домена, так как это также сервер RDS, настроенный для более чем двух пользователей-администраторов. Не удаляйте RDS, пока не проведете тщательную инвентаризацию его использования — если он используется приложениями или конечными пользователями, удаление вызовет сбой
73 Указанный функциональный уровень леса недействителен. Укажите допустимый функциональный уровень леса
74 Указанный функциональный уровень домена недействителен. Укажите действующий функциональный уровень домена
75 Не удалось определить политику репликации паролей по умолчанию. Убедитесь, что политика репликации паролей контроллера домена только для чтения существует и доступна
76 Указанные реплицированные / не реплицированные группы безопасности недействительны Убедитесь, что вы ввели действительные учетные записи домена и пользователей при указании политики репликации паролей
77 Указан неверный аргумент Изучите расширенную ошибку и журналы
78 Не удалось проверить лес Active Directory Изучите расширенную ошибку и журналы
79 Контроллер домена только для чтения не может быть повышен, потому что rodcprep не был выполнен Используйте Windows Server 2012 для подготовки леса или используйте adprep.exe / rodcprep
80 Подготовка домена не выполнена Используйте Windows Server 2012 для подготовки домена или используйте adprep.exe / domainprep
81 Forestprep не проводился Используйте Windows Server 2012 для подготовки леса или используйте adprep.exe / forestprep
82 Несоответствие схемы леса Используйте Windows Server 2012 для подготовки леса или используйте adprep.exe / forestprep
83 Неподдерживаемый SKU Эта ошибка вряд ли возникнет
84 Не удается обнаружить учетную запись контроллера домена Убедитесь, что на существующих контроллерах домена установлен правильный атрибут управления учетной записью пользователя.
85 Невозможно выбрать учетную запись контроллера домена для этапа 2 Возвращается, если вы указали «Использовать существующую учетную запись», но либо учетная запись не найдена, либо при поиске учетной записи произошла ошибка.Убедитесь, что вы указали правильную промежуточную учетную запись RODC
86 Требуется запустить промо-акцию 2 этапа Возвращается, если вы продвигаете дополнительный контроллер домена, но существующая учетная запись существует и «Разрешить переустановку» не было указано
87 Существует учетная запись контроллера домена конфликтующего типа Переименуйте компьютер перед повышением, если не пытаетесь подключиться к незанятому контроллеру домена. Вы должны подключиться к незанятой учетной записи контроллера домена, используя -useexistingaccount и правильный аргумент только для чтения или записи, в зависимости от типа учетной записи
88 Указанный администратор сервера недействителен Вы указали недопустимую учетную запись для административного делегирования RODC.Убедитесь, что указанная учетная запись является действительным пользователем или группой
89 Мастер RID для указанного домена отключен. Используйте netdom.exe запрос fsmo для обнаружения хозяина RID. Переведите его в Интернет и сделайте доступным для контроллера домена, который вы продвигаете
90 Мастер именования доменов отключен. Используйте netdom.exe запрос fsmo для обнаружения хозяина именования домена. Переведите его в Интернет и сделайте доступным для контроллера домена, который вы продвигаете
91 Не удалось определить, является ли процесс wow64 Больше невозможно получить эту ошибку, операционная система 64-битная
92 Процесс Wow64 не поддерживается Больше невозможно получить эту ошибку, операционная система 64-битная
93 Служба контроллера домена не запущена из-за ненасильственного понижения роли Запустить службу AD DS
94 Пароль локального администратора не соответствует требованиям: пусто или не требуется Укажите непустой пароль и убедитесь, что для локальной политики паролей требуется пароль
95 Невозможно понизить статус последнего контроллера домена Windows Server 2008 или более поздней версии в домене, где существуют действующие контроллеры домена только для чтения Вы должны сначала понизить статус всех контроллеров домена только для чтения, прежде чем вы сможете понизить статус всех контроллеров домена Windows Server 2008 или более поздних версий с возможностью записи
96 Невозможно удалить двоичные файлы DS Встречается только с dcpromo / unattend, который устарел.См. Старую документацию
97 Версия функционального уровня леса выше, чем у операционной системы дочернего домена Предоставить дочернему домену такую ​​же или более высокую функциональность, чем функциональный уровень леса
98 Выполняется установка / удаление двоичного файла компонента. Встречается только с dcpromo / unattend, который устарел. См. Старую документацию
99 Слишком низкий функциональный уровень леса (ошибка только для Windows Server 2012) Повысьте функциональный уровень леса до как минимум собственного Windows Server 2003.Windows 2000 и Windows NT 4.0 больше не поддерживаются операционными системами
100 Функциональный уровень домена слишком низкий (ошибка только для Windows Server 2012) Повысьте функциональный уровень домена как минимум до Windows Server 2003. Windows 2000 и Windows NT 4.0 больше не поддерживаются операционными системами

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *