Контроллера домена: Установка Active Directory Domain Services и настройка контроллера для Windows Server

Как подменить контроллер домена и не сломать текущую инфраструктуру / Хабр

Так уж получилось в нашей организации, что инфраструктуру надо было делать быстро, а на покупку лицензий требовалось время. Поэтому было решено использовать образы Windows Server 2012R2 Evaluation, а после тестового периода уже лицензировать. Тогда еще никто не знал, что нельзя просто так взять, прописать лицензию Standard в релизе Evaluation, и на выходе получить лицензионный Standard, иначе, думаю, сначала бы все таки купили лицензии. Но делать нечего, что имеем, с тем и работаем. Итак.

Задача: после покупки лицензий Microsoft на Windows server 2012R2 Standard необходимо активировать их на наших серверах. Приступаем.

При выполнении задачи была обнаружена проблема. Так как изначально мы устанавливали Windows server 2012R2 Standard Evaluation, то при попытке прописать ключ для Standard — сервер говорит, что ему этот ключ не подходит. Начали поиск решения проблемы перевода сервера из версии Evaluation в Standard. Ответ был найден на сайте microsoft в статье TechNet.

Частично статья помогла решить проблему. Мы смогли поменять версию на трех физических серверах и активировать их нашими лицензиями. Но, к сожалению, не все так просто складывалось с контроллерами домена. В вышеуказанной статье прямым текстом говорится, что контроллеры домена НЕВОЗМОЖНО перевести из выпуска Evaluation в Standard. Нам же это необходимо сделать в самые кратчайшие сроки, т.к. количество возможных /rearm у PDC закончилось, а дней до окончания ознакомительной версии осталось меньше 3 дней.

Варианта решения вопроса я видел два. Либо поочередно между BDC и PDC передавать права хозяина схемы и прочие роли, понижать до рядовых серверов и после поднимать обратно. Но идею этого доменного волейбола я отмел, по причине того, что просто напросто делал все это впервые и боялся поломать.

Поэтому было решено поднимать новый сервер, повышать до контроллера домена и передавать ему хозяина схемы, а после выключать старый PDC и назначать новому его IP, этот вариант тогда мне показался проще и безопаснее. Замечу, что после описанных ниже событий, я по прежнему считаю это хорошим решением, по крайней мере все прошло без эксцессов, иначе бы статья имела совсем другой заголовок, или ее бы не было вовсе.

Схему можно без проблем воспроизвести в течение рабочего дня. Оставалось полтора дня, так что, помечтать о том, как я буду все это делать времени не было, надо было срочно приступать. Далее действия по пунктам.

1. Создаем новую виртуальную машину с параметрами соответствующими текущему PDC. Желательно создать на физическом сервере, на котором нет других контроллеров домена, но это если у вас несколько гипервизоров, как в моем случае, если нет, то это не принципиально, вопрос только в отказоустойчивости. Ну а если вы работаете не с гипервизорами, а с реальными серверами, то отказоустойчивость PDC и BDC вещь и так само собой разумеющаяся.

2. Устанавливаем Windows Server 2012R2. Выбираем выпуск Standard с графическим интерфейсом. Настраиваем TCP/IP и переименовываем сервер в соответствии со стандартном наименований в IT инфраструктуре.

3. После установки в диспетчере серверов включаем серверу новые роли. Нас интересует AD, DNS и прочие роли и компоненты, используемые на текущих домен-контроллерах.

4. Повышаем сервер до контроллера домена. Проходит репликация между основным контроллером домена и новым.

5. Передаем роли хозяина схемы со старого DC на новый.

Для этого заходим на контроллер домена, которому будут назначаться роли FSMO, запускаем командную строку, и вводим команды в указанной ниже последовательности:

ntdsutil

roles

connections

connect to server <имя сервера PDC>

q

Успешно подключившись к серверу, мы получим приглашение к управлению ролями (FSMO maintenance), и можем приступать к передаче ролей:

transfer naming master — передача роли хозяина доменных имен.
transfer infrastructure master — передача роли хозяина инфраструктуры;
transfer rid master — передача роли хозяина RID;
transfer schema master — передача роли хозяина схемы;
transfer pdc — передача роли эмулятора PDC

Для завершения работы Ntdsutil вводим команду q.

6. После передачи хозяина схемы смотрим системный журнал и dcdiag на предмет ошибок. Их быть не должно. Если есть, исправляем. (я столкнулся с ошибкой dns, где сервер жаловался на неправильно указанные сервера пересылки. В этот же день я узнал, что в серверах пересылки DNS не должен быть указан сервер на котором установлен DNS (как правило указывают сервера DNS провайдера и Yandex(Google), что в общем-то логично, это по сути порождает петлю в DNS.

7. Если ошибки исправлены, или их нет. Приступаем к сменам IP-адресов. Назначаем старому PDC любой свободный IP-адрес в сети, а новому PDC назначаем адрес старого.

8. Снова проверяем на ошибки. Проводим тесты. Выключаем старый PDC и BDC. Проверяем возможность авторизации в домене. Затем оставляем включенным только BDC, проверяем принимает ли он на себя роль контроллера домена в случае недоступности PDC.

9. Если все тесты проходят удачно. Можно уничтожать старый PDC и приниматься за смену версии BDC.

10. В нашем случае cтарый PDC все еще нельзя было выкинуть на помойку так как на нем функционировала роль пространства имен DFS, а мы не знали, как ее реплицировать на новый сервер.

11. Все оказалось очень просто. Входим в графическую оснастку «Управление DFS». В «Пространстве имен» добавляем существующие пространства имен, затем каждому пространству имен добавляем сервер пространства имен и в общем-то все. Корень dfs автоматически вместе с ссылками на сетевые ресурсы появляется на c:\ и все работает. На всякий случай проверяем работу выключением старого PDC. Сначала сетевые ресурсы будут недоступны (DFS нужно 300 секунд для репликации). По истечении 5 минут сетевые ресурсы снова должны стать доступны.

12. Оставляем старый PDC выключенным и через какое то время понижаем до рядового сервера и после удаляем. Можно конечно и сразу, но мне было страшно и я до последнего не верил, что все получилось без проблем.

P.S.: Все вышеописанные действия проводились после внимательного изучения книги Windows server 2012R2 — Полное руководство. В частности глав посвященных конкретно AD, DNS и DFS, а так же контроллерам домена. Без понимания и планирования к данным действиям лучше не приступать, т.к. можно потерять рабочую инфраструктуру.

Надеюсь, для кого-то эта статья окажется полезной и нужной. Спасибо за внимание!

Контроллеры доменов и их роли — Студопедия

Контроллер домена — это компьютер-сервер, управляющий доменом и хранящий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену [6].

Ниже перечислены функции контроллеров доменов [4].

• Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена.
• Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. Какие-либо изменения, вносимые в Active Directory, на самом деле производятся на одном из контроллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликации и количество данных, которое Windows будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена.
• Важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно.
• Active Directory использует репликацию с несколькими хозяевами (multimaster replication), в котором ни один из контроллеров домена не является главным. Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом.
• Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например записывать изменения в Active Directory.
• Контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.

Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу (роли, действующие в границах леса) [3]:

• Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно.
• Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, то добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.

Существует три роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене (общедоменные роли) [3].

• Хозяин RID (Relative Identifier (RID) Master). Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть — общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан.
• Эмулятор основного контроллера домена (Primary Domain Controller (PDC) Emulator). Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC — регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обращение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход.
• Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры домена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master — передавать информацию об изменениях, внесенных в объекты, в другие домены.

Рис. 3.4. Принятое по умолчанию распределение ролей хозяина операций в лесе

Роль «Сервер глобального каталога» (GC — Global Catalog) может выполнять любой отдельный контроллер домена в домене — одна из функций сервера, которую можно назначить контроллеру домена [13]. Серверы глобального каталога выполняют две важные задачи. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса. Глобальный каталог содержит подмножество информации из каждого доменного раздела и реплицируется между серверами глобального каталога в домене. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Другая задача глобального каталога, полезная независимо от того, сколько доменов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись.

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Что нужно учитывать при виртуализации доменных контроллеров?

Часто встает вопрос о том, можно или нельзя использовать технологии виртуализации для запуска доменных контроллеров Active Directory на гостевых операционных системах. Ответ и рекомендации от компании Microsoft содержатся здесь: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

При этом, несмотря на то, что рекомендации описаны для технологии виртуализации от компании Microsoft, и для других технологий виртуализации необходимо придерживаться этих рекомендаций.

На какие пункты хотелось бы обратить внимание:

• Для каждого домена очень желательно иметь минимум два доменных контроллера, которые работают на разных хостах виртуализации. Это позволит избежать недоступности Active Directory при сбое физического сервера.
• В каждом домене желательно использовать минимум один доменный контроллер на физической машине. Это позволит защититься от глобального сбоя всей платформы виртуализации.
• Необходимо отключить синхронизацию времени через компоненты интеграции между виртуальной машиной с ролью доменного контроллера и родительским разделом. Это рекомендация продуктовой группы Active Directory и связана с тем, что доменные контроллеры используют собственные механизмы синхронизации времени.
• Необходимо обеспечивать безопасность виртуальных дисков доменных контроллеров. Таким образом мы должны ограничить круг администраторов самой платформы виртуализации, так как администратор, имеющий доступ на запись в файл виртуального диска записываемого доменного контроллера, может очень легко получить права администратора домена и немного посложнее права администратора леса.
• Восстановление доменных контроллеров должно осуществляться только специализированными средствами резервного копирования/восстановления, которые поддерживают восстановление Active Directory. Восстановление состояния при помощи дифференциальных дисков, снимков виртуальной машины, копирования файлов виртуальных дисков может привести к возникновению проблем с репликацией Active Directory.

Удачной вам виртуализации доменных контроллеров.

Передача ролей контроллера домена на Windows Server 2012.

В предыдущих статьях:

— подключение и установка сервера;

— настройка контроллера домена.

Задача состоит в передаче ролей c основного контроллера домена Windows Server 2008 с Active Directory (AD) на резервный контроллер домена Windows Server 2012. Резервный контроллер домена (DCSERVER) должен стать основным, а тот, который сейчас основной (WIN-SRV-ST) должен стать резервным и в перспективе демонтироваться. Все действия выполняются на резервном сервере DCSERVER. Оба сервера работоспособны и «видят» друг друга.

Перед началом передачи ролей необходимо проверить, какой из серверов является хозяином ролей. Для этого вызываем командную строку Win+R >> cmd и вводим команду:

netdom query fsmo – запрос на определение хозяина ролей FSMO

По результату выполнения команды видно, что хозяин всех ролей контроллер домена, который у нас называется Win-srv-st, он сейчас основной.

Краткая справка:

FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена AD операций, требующие обязательной уникальности сервера, выполняющего данные операции (wiki). Это значит, что данные роли могут быть только на одном контроллере домена.

Хозяин схемы (Schema Master) – отвечает за возможность изменения существующей схемы AD (например добавление Exchange и тп.)

Хозяин именования доменов (Domain Naming Master) – добавляет/убавляет домены (если их несколько в одном лесу).

PDC (Primary Domain Controller Emulator) — эмулятор основного контроллера домена. Отвечает за смену паролей их репликацию, изменение групповой политики, синхронизацию время и совместимость с ранними версиями Windows.

Диспетчер пула RID (Relative ID Master) – создает ID для каждого объекта AD.

Хозяин инфраструктуры (Infrastructure Master) – передает информацию об объектах AD между другими  контроллерами домена (например, когда пользователи из одного домена попали в соседний).

Есть еще одна очень важная роль – Global Catalog (GC) – хотя она не является FSMO т.к. её держателем могут быть несколько DC одновременно, без неё невозможно нормальное функционирование домена и его служб. GC хранит у себя копии всех объектов AD и частичные реплики других доменов леса. Он позволяет находить пользователям и приложениям объекты в любом домене существующего леса, отвечает за проверку подлинности имени пользователя, предоставляет сведения о членстве пользователя в универсальных группах, может общаться с другим доменным лесом.

Далее, смотрим в Active Directory (AD) >> Пользователи и компьютеры >> Наш домен >> Managed Service Accounts, чтоб учетная запись, под которой мы работаем, обладала всеми необходимыми правами.

Учетная запись должна как минимум входить в группы:

— администраторы домена;

— администраторы предприятия;

— администраторы схемы.

Передача ролей хозяина операций RID, PDC и Инфраструктуры.

Нажимаем правой кнопкой мыши на имя домена в каталоге и выбираем пункт – Хозяева операций…

В открывшемся окне видим, что хозяином во всех трех вкладках RID, PDC и Инфраструктура является Win-Srv-St.SCRB.local. Ниже написано: Чтоб передать роль хозяина операций следующему компьютеру, нажмите кнопку «Изменить». Убеждаемся что в самой нижней строчке имя сервера, которому мы хотим передать роль хозяина и жмем изменить. Делаем это же на всех трех вкладках.

В появившемся вопросе подтверждения жмем Да.

Роль хозяина успешно передана. ОК. Хозяином операций стал DCSERVER.SCRB.local.

Делаем то же самое на оставшихся двух вкладках PDC и Инфраструктура.

Передача роли «Хозяин именования доменов».

Выбираем в AD DS нашего сервера пункт Active Directory – домены и доверие.

Правой кнопкой мыши жмем по названию и выбираем, как и ранее, строчку Хозяин операций…

Проверяем имена серверов, нажимаем изменить.

Хозяином операций стал DCSERVER.

Передача роли «Хозяин схемы».

Первоначально зарегистрируем в системе библиотеку управления схемой AD с помощью команды regsvr32 schmmgmt.dll

Нажимаем WIN+R >> cmd

Вводим команду и получаем ошибку: Модуль «schmmgmt.dll загружен, но не удалось выполнить вызов DLLRegisterServer, код ошибки: 0x80040201.

Ошибка, потому что командную строку нужно запускать от имени администратора. Сделать это можно, например из меню Пуск. Выбираем командную строку и нажимаем запуск от имени администратора.

Еще раз вводим команду regsvr32 schmmgmt.dll. Теперь всё прошло как нужно.

Нажимаем WIN+R, пишем mmc

В открывшейся консоли выбираем Файл >> Добавить или удалить оснастку… (или жмем CTRL+M)

Среди доступных оснасток выбираем Схема Active Directory, нажимаем добавить. ОК.

В корне консоли выбираем добавленную оснастку, нажимаем на неё правой кнопкой мыши и выбираем строчку «Хозяин операций…»

Текущим хозяином схемы значится Win-Srv-St.SCRB.local. В нижней строчке тоже его имя.

При нажатии кнопки «Сменить» появляется сообщение: Текущий контроллер домена Active Directory является хозяином операций. Чтоб передать роль хозяина другому DC, нужно нацелить на этот DC схему Active Directory.

Возвращаемся к оснастке и выбираем ПКМ Сменить контроллер домена Active Directory.

В открывшемся окне выбираем нужный сервер. В нашем случае DCSERVER.SCRB.local. ОК.

Консоль выдаст сообщение: Оснастка схемы Active Directory не подключена к хозяину операций схемы. Выполнение изменений невозможно. Изменения схемы могут быть сделаны только в схеме владельца FSMO.

При этом в названии оснастки появился нужный нам сервер.

Снова жмем на неё правой кнопкой мыши и переходим к хозяину операций. Проверяем названия серверов, жмем кнопку «Сменить».

Роль хозяина операций успешно передана. ОК.

Для того, чтоб убедиться в передаче ролей, введем еще раз в командной строке netdom query fsmo

Хозяином ролей теперь является DCSERVER.SCRB.local.

Глобальный каталог.

Чтоб уточнить, где расположен GC нужно пройти по пути: AD – Сайты и службы >> Sites >>Default-First-Site-Name >> Servers >> DCSERVER

В появившейся службе NTDS Settings жмем ПКМ и выбираем – Свойства.

Если стоит галочка напротив надписи Глобальный каталог, то значит что он на этом сервере. А вообще, в нашем случае GC расположен на обоих DC.

Настройка DNS.

В настройке DNS нового основного DC пишем вот что:

В первой строчке IP адрес бывшего основного DC (Win-Srv-St), который теперь стал резервным 192.168.1.130.

Во второй строчке 127.0.0.1 т.е. самого себя (можно и свой IP написать, чтоб по конкретнее).

В том контроллере домена который у нас стал резервным записано так:

В первой строчке IP основного DC.

Во второй строчке свой IP. Все работает.

DHCP у нас в сети не работает по причине местных обстоятельств, по этому перенастраивать его не нужно. Зато нужно пройти 200 ПК и вручную прописать новый DNS. По этой причине решено пока что не демонтировать старый контроллер домена. За полгода планомерных обходов DNS у пользователей поменяются.

Как определить какой контроллер домена вас аутентифицировал

Как определить какой контроллер домена вас аутентифицировал

Как определить какой контроллер домена вас аутентифицировал

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В данной статье, я хочу рассказать, как определить какой контроллер домена вас аутентифицировал. Иногда бывают ситуации, что нужно понять, данную информацию, для поиска проблем. Приведу простой пример, на пользователя была применена политика, которую я отключил на одном из контроллеров, через какое-то время, пользователь обратился, все стем же вопросом, выяснилось, что на другом DC, бала та же политика, отключив ее, все решилось, и в этом помогла информации, о том, кто его аутентифицировал.

И видим, очень информативную выборку.

Как определить какой контроллер домена вас аутентифицировал

Или без лишней воды

• Второй метод определения контроллера домена, который проверил является использование команды:

nltest /dsgetdc:имя домена

• Третий метод вычисления контроллера домена, через который вы прошли аутентификацию, является использование старой, проверенной команды:

Вот такая простоя, но очень полезная команда, и у нее еще очень много полезных функций. С вами был Иван Семин, автор и создатель IT блога pyatilistnik.org.

Фев 3, 2015 14:35 Иван Семин

Windows Server 2012: настройте свой первый контроллер домена (пошагово) — статьи TechNet — США (английский)

В Windows Server 2012 dcpromo устарел .

Чтобы сделать контроллер домена Windows Server 2012, мы установим роль ADDS (доменные службы Active Directory) из диспетчера серверов в Windows Server 2012.

Перед установкой роли необходимо установить все последние обновления безопасности.

Сначала мы изменим имя сервера, скажем DC01 и IP-адрес 10.10.21.1 (старайтесь не использовать по умолчанию 192.168.0.1)

Установка роли AD DS

Экран

«Перед началом работы» предоставляет вам основную информацию, такую ​​как настройка надежных паролей, IP-адресов и обновлений Windows.

На странице Тип установки выберите первый вариант « Установка на основе ролей или функций ».

Вариант установки на основе сценария применяется только к службам удаленного рабочего стола.

На странице «Выбор сервера» выберите сервер из пула серверов
и нажмите «Далее».

Чтобы установить AD DS, выберите Доменные службы Active Directory. , в свою очередь, появится всплывающее окно для добавления других инструментов, связанных с AD DS. Нажмите на
Добавить функции .

После нажатия «Добавить функции» выше вы сможете нажать «Далее>», как показано на экране ниже.

На странице « Select Features », функция управления групповой политикой
устанавливается автоматически во время акции. Нажмите «Далее.

На странице «Доменные службы Active Directory» представлена ​​основная информация о AD DS. Нажмите «Далее.

На странице «Подтверждение» необходимо подтвердить это, чтобы продолжить настройку. Он предоставит вам возможность экспортировать параметры конфигурации, а также, если вы хотите, чтобы сервер автоматически перезапускался по мере необходимости.

После нажатия кнопки « Install » выбранные двоичные файлы роли будут установлены на сервере.

После того, как бинарные файлы роли «доменных служб Active Directory» были установлены, пришло время повысить уровень сервера до контроллера домена.

TechNet Артикул:

Повышение уровня Windows 2012 Server до контроллера домена

Чтобы создать новый лес AD под названием «ArabITPro.local », выберите« Добавить новый лес ».

Введите имя ArabITPro.local

Укажите FFL, DFL, должен ли он быть DNS-сервером, а также пароль администратора DSRM.

Как видите, по умолчанию выбран параметр GC, и вы не можете отменить его выбор.

Причина в том, что это самый первый DC леса AD, и хотя бы один должен быть GC.

Предупреждение о делегировании DNS.

Проверяет уже назначенное имя NetBIOS.

Укажите расположение папок, связанных с AD, и нажмите «Далее».

Обзор всех вариантов / вариантов установки.

Щелкните Просмотр сценария, чтобы открыть сценарий PowerShell с одной командной строкой для dcpromo.

Перед фактической установкой AD проверяются все предварительные условия. Если все проверки предварительных требований пройдены успешно, нажмите
Установить.

При нажатии кнопки «Установить» DNS и GPMC устанавливаются автоматически.

После повышения статуса сервера до DC завершился автоматический перезапуск сервера.

После загрузки сервера и входа в систему щелкните Диспетчер серверов | Инструменты, заметят, что было установлено следующее:

• Центр администрирования Active Directory
• Домены и доверие Active Directory
• Модуль Active Directory для Windows PowerShell
• Сайты и службы Active Directory
• Пользователи и компьютеры Active Directory
• ADSI Edit
• DNS
• Управление групповой политикой

9000

TODO: Следующим шагом является установка реплики контроллера домена для обеспечения высокой доступности.

TODO

.

Как добавить контроллер домена в существующий домен

Как добавить контроллер домена?

Иногда может потребоваться дополнительный контроллер домена для балансировки нагрузки и повышения отказоустойчивости. На этой странице описаны действия, необходимые для добавления контроллера домена в среду Active Directory (AD).

Шаг 1. Установка доменных служб Active Directory (ADDS)

1. Войдите в свой сервер Active Directory с учетными данными администратора.
2. Откройте диспетчер сервера → Сводка ролей → Добавить роли и функции.

3. Экран «Прежде чем начать», который появляется следующим, предназначен исключительно для информационных целей. Вы можете прочитать его и нажать «Далее».
4. Выберите тип установки. Если это развертывание на основе виртуальной машины, выберите установку служб удаленных рабочих столов. В противном случае выберите установку на основе ролей или функций.

5. Теперь выберите целевой сервер, на котором будет установлена ​​роль.Убедитесь, что отображается IP-адрес выбранного сервера. В противном случае закройте диспетчер сервера и повторите попытку.

6. Выберите роли, которые вы хотите установить на этом сервере. Основным требованием для превращения этого сервера в контроллер домена являются доменные службы Active Directory.

7. Функции для этой роли готовы к установке. По умолчанию выбраны основные функции, необходимые для этой услуги. Нажмите «Далее.

8. Подтвердите выбор установки.
   Примечание. Рекомендуется выбрать параметр «При необходимости автоматически перезапускать целевой сервер».
9. Нажмите кнопку «Установить». После завершения установки закройте окно.

Шаг 2. Повышение уровня сервера до контроллера домена

Примечание: Следующие действия могут быть выполнены, только если пользователь принадлежит к группе администраторов домена.

1. После установки роли ADDS на этом сервере вы увидите флаг уведомления рядом с меню «Управление».Выберите «Сделать этот сервер контроллером домена».

2. Запускает мастер настройки ADDS. На странице конфигурации развертывания выберите «Добавить контроллер домена в существующий домен». Вам необходимо указать имя домена, в который будет добавлен новый DC.

3. Далее откроется страница «Параметры контроллера домена». Параметры, позволяющие сделать этот контроллер домена DNS-сервером и глобальным каталогом, выбраны по умолчанию. Вы можете сделать этот DC доступным только для чтения, если хотите.Выберите имя сайта для DC и уникальный пароль для режима DSRM.
   Примечание. Режим DSRM помогает получить доступ к среде, если все учетные записи администраторов домена теряют доступ или в случае отказа контроллера домена.

4. Поскольку DNS-сервер настраивается в рамках наших усилий, вы будете предупреждены, что делегирование для этого DNS-сервера не может быть создано. Это можно смело игнорировать.
5. Дополнительные параметры: выберите, откуда будет выполняться репликация вашего контроллера домена. Active Directory может реплицироваться с любого контроллера домена или с конкретного.

6. На странице «Пути» подтвердите расположение файлов базы данных ADDS, файлов журнала и SYSVOL. Вы можете использовать значение по умолчанию <расположение, или папку, или выделение →, или выбрать другую папку по вашему выбору.
7. Проверьте свой выбор на следующем экране и нажмите «Далее». Затем Windows выполнит проверку предварительных требований. Когда это будет сделано, нажмите «Установить».

После репликации ваша система будет перезагружена.Проверьте работоспособность нового контроллера домена, запустив dcdiag / v из командной строки.

Изучите возможности аудита и отчетности Active Directory с помощью ADAudit Plus.

Аудит управления счетами

Аудит Active Directory

Аудит Windows Server

.

Настройка дополнительного контроллера домена Active Directory с Windows Server 2012 — Статьи TechNet — США (английский)

[Эта статья размещена на сайте www.ElMajdal.Net:
http://elmajdal.net/WindowsServer/Setting_Up_Additional_Active_Directory_Domain_Controller_With_Windows_Server_2012.aspx]

Дополнительный контроллер домена требуется для избыточности служб и для улучшения аутентификации домена на удаленном сайте. Дополнительные контроллеры домена позволяют избежать прерывания работы в случае отказа сервера основного контроллера домена.Несколько контроллеров домена также могут улучшить производительность, облегчая клиентам подключение к контроллеру домена при входе в сеть.

Мой основной контроллер домена — это Windows Server 2012 со статическим IP-адресом: 192.168.150.12

Его функциональный уровень леса и функциональный уровень домена показаны на снимках ниже:

Для установки дополнительного контроллера домена вам понадобится новый сервер. Это может быть физический или виртуальный сервер.Выполните следующие действия, чтобы настроить дополнительный контроллер домена для существующего контроллера домена:

1. Настройте свойства сетевой карты сервера как статический IP-адрес из той же подсети или подсети, которая маршрутизируется внутри сети. Поскольку службы каталогов полагаются на DNS-сервер, вам необходимо правильно указать, где работает служба.

2. Присоединяйтесь к серверу в домен. Итак, сначала он будет членом домена, а когда он станет членом домена, как и любая другая станция в сети, мы сможем продвинуть его и настроить его и дополнительный Контроллер домена.

3. Войдите на сервер под именем пользователя с административными ролями в Active Directory

4. Откройте Server Manager и щелкните Добавить роли и компоненты

5. Откроется мастер со страницей . Перед тем как начать страницу , щелкните
   Далее , чтобы продолжить

6. Выберите Установка на основе ролей или функций , поскольку мы будем устанавливать роль на одном сервере, щелкните
   Далее

7. Поскольку это локальная установка, сервер будет автоматически выбран из пула серверов.Нажмите
   Далее

8. В списке ролей выберите Доменные службы Active Directory

9. Требуемые функции для AD DS будут выбраны автоматически, щелкните Добавить функции

   Вы вернетесь на страницу ролей, щелкните Далее , чтобы перейти на страницу функций

10. На странице функций будут выбраны все функции, установленные и требуемые AD DS.Нажмите
    Далее , чтобы продолжить

11. Основная роль, которую вы выбрали для установки, будет содержать краткую информацию о ней. Нажмите
    Далее

12. Подтвердите установку, проверив, какие настройки вы выбрали. Выбрать
Автоматический перезапуск целевого сервера , чтобы сервер перезагрузился после завершения установки ролей и функций
если необходимо.

а. Щелкните Установить

b. Мастер добавления ролей и компонентов завершено:

г. Завершение работы мастера добавления ролей и компонентов (продолжение):

d. Когда роль установлена, вы увидите желтый восклицательный знак на панели управления в диспетчере серверов. Он сообщает вам, что требуются шаги по настройке после развертывания.

13. После завершения установки потребуется еще один шаг.Сделайте этот сервер контроллером домена.

а. Перед началом этого шага рекомендуется присоединить этот рядовой сервер к домену:
https://support.microsoft.com/en-us/kb/2738697, чтобы избежать ошибки «Сервер не работает».

г. После присоединения рядового сервера к домену щелкните Повысить уровень этого сервера до контроллера домена

14.На странице конфигурации развертывания выберите

a. Добавить контроллер домена в существующий домен

г. Введите имя домена в окне Домен

Отобразится вошедший в систему пользователь. Если вам нужно выбрать другого пользователя с правами администратора в домене, нажмите «Изменить» и выберите предпочтительного пользователя.

Затем нажмите Далее

15.На странице настроек контроллера домена укажите, будет ли этот контроллер домена также DNS-сервером и будет ли он глобальным каталогом или нет. Определенно рекомендуется настроить дополнительный контроллер домена как DS и GC. Если только
у вас есть выделенные службы DNS, установленные на других серверах.

Если это удаленный сайт и у вас нет ИТ-персонала или вы не хотите, чтобы кто-либо вносил какие-либо изменения в ваши контроллеры домена, установите флажок Контроллер домена только для чтения (RODC).

Если у вас только один сайт, он будет отображаться по умолчанию, если у вас несколько имен сайтов, затем с помощью раскрывающегося списка выберите предпочтительный сайт

Введите пароль для режима восстановления служб каталогов и подтвердите его, затем нажмите
Следующий

16. Смело игнорируйте предупреждение о делегировании DNS, поскольку этот сервер еще не является DNS-сервером.
Далее

17.Выберите исходный контроллер домена для репликации.

Вы можете определить, хотите ли вы установить этот Контроллер домена, из «Установить с носителя» (IFM), если он у вас есть, и указать, с какого контроллера домена следует выполнять репликацию. Если вы не укажете этот параметр, сервер выберет лучшее место для репликации базы данных AD. если ты
для этого нет особых требований, оставьте настройку по умолчанию: Любой контроллер домена

18. Отобразятся места для установки баз данных AD DS.Перейдите в другое место, если вам нужно изменить пути по умолчанию.

19. Просмотрите выбор и нажмите Далее

20. Будут выполнены проверки предварительных требований и отобразится результат. Нажмите
Установить

21. Установка будет завершена, и сервер автоматически перезагрузится.

22.Сервер успешно настроен как дополнительный контроллер домена, и AD DS готов к использованию на этом сервере.

Сводка

Вы можете добавить в домен дополнительные контроллеры домена, чтобы повысить доступность и надежность сетевых служб. Добавление дополнительных контроллеров домена может помочь обеспечить отказоустойчивость и сбалансировать нагрузку.
существующих контроллеров домена и обеспечивают дополнительную инфраструктуру для сайтов.

Наличие более одного контроллера домена в домене позволяет домену продолжать функционировать, если контроллер домена выходит из строя или должен быть отключен. Несколько контроллеров домена также могут повысить производительность, облегчая клиентам подключение к
контроллер домена при входе в сеть. Вы можете добавить дополнительные контроллеры домена по сети или с резервного носителя.

.