Разное

Понижение роли контроллера домена 2020 r2: Передача ролей FSMO в Windows Server 2012 R2

Содержание

Передача ролей FSMO в Windows Server 2012 R2

Роли контроллера домена формируются при создании нового домена, по умолчанию все роли назначаются первому контроллеру домена в лесу. Передача ролей FSMO требуются в исключительных случаях. Microsoft рекомендует осуществлять передачу ролей в перечисленных ниже случаях:

1. Понижение роли контроллера домена с целью вывода сервера из эксплуатации;
2. Временное отключение контроллера домена.

Захват ролей FSMO осуществляется, если:
1. Роль была принудительно понижена с помощью команды dcpromo /forceremoval.
2. На контролере домена, являвшемся хозяином роли FSMO, не функционирует ОС;
3. В работе текущего хозяина FSMO возникли проблемы, влияющие на работоспособность, присущих данной роли, и не дающие выполнить передачу роли;

Кратко вспомним основные роли мастеров операций (FSMO роли) и рассмотрим что будет, если у нас недоступна какая-то из ролей.

Хозяин схемы (Schema master) – не сможем произвести модификацию схемы. Схему модифицируют единичными случаями раз в несколько лет: установка новой версии ОС для доменов, установка Exchange, иногда других приложений.
Хозяин именования домена(Domain naming master) – не сможем добавить или удалить новый домен.
Хозяин RID (RID Master) – через некоторый, и что важно для реальной жизни, довольно длительный промежуток времени не сможем заводить новых пользователей и группы. Лимит жизни до 500 пользователей или групп. Есть организации, где людей работает всего 100 человек.
Эмулятор PDC(PDC emulator) – клиенты до 2000 windows не смогут попадать в домен плюс некоторые послабления при вводе неправильного пароля пользователем. синхронизация времени не остановится, но ошибки в event log обеспечены.
Хозяин инфраструктуры (Infrastructure Master) – если у нас много доменов, на контроллерах домена, которые не глобальные каталоги может нарушаться членство в локальных группах домена.

Передачу ролей FSMO в Windows Server 2012 R2, начинать стоит с команды netdom query fsmo, которая покажет кто является текущим хозяином ролей FSMO в домене.

Имеется два вида передачи ролей FSMO в Windows Server 2012 R2. Первый, это передача ролей FSMO при помощи оснасток управления Active Directory.
Для того чтобы передать роли уровня домена, такие как (PDC Emulator, RID Master и Infrastructure Master) необходимо использовать оснастку Active Directory «Пользователи и компьютеры». Заходим на контроллер домена, которому хотим передать роли и запускаем оснастку и нажав правой клавишей мыши на нужном домене, выбираем пункт «Хозяева операций».
Далее выбираем нужную роль (в примере это RID Master) и нажимаем кнопку «Изменить».

Далее, обязательно подтверждаем перенос роли.
Все роль передана. Аналогично передаем остальные две роли доступные в оснастке управления Active Directory (PDC Emulator, Infrastructure Master)
Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и доверие (Domains and Trust).
Чуть сложнее с передачей роли Schema Master. Для её передачи необходимо сначала зарегистрировать в системе библиотеку управления схемой Active Directory. для этого необходимо ввести команду regsvr32 schmmgmt.dll в командной строке. Далее открываем консоль MMC и добавляем в нее оснастку Схема Active Directory и действуем аналогично предыдущем примере.

Второй способ передачи ролей FSMO осуществляется при помощи утилиты Ntdsutil.
ntdsutil это утилита командной строки, предназначенная для обслуживания Active Directory, также в число ее возможностей входит захват и передача ролей FSMO.

Для передачи необходимо зайти на контроллер домена, которому назначаются роли FSMO. Запускаем командную строку и вводим команды в такой последовательности:
ntdsutil
roles
connections
connect to server <имя сервера>
q
После успешного подключения к серверу, получаем приглашение к управлению ролями (fsmo maintenance):
transfer domain naming master — передача роли хозяина доменных имен.
transfer infrastructure master — передача роли хозяина инфраструктуры;
transfer rid master — передача роли хозяина RID;
transfer schema master — передача роли хозяина схемы;
transfer pdc — передача роли эмулятора PDC.
Для завершения работы Ntdsutil вводим команду q и нажимаем Ввод.
Примечание. Начиная с Windows Server 2008R2 команда для передачи роли хозяина доменных имен transfer naming master.
В качестве примера передадим роль Infrastructure Master серверу SRV2 и проверим результат.

Принудительное назначение ролей FSMO при помощи Ntdsutil:

Принудительное захват или назначение ролей FSMO осуществляется в случае выхода из строя сервера и невозможностью его восстановления. Сама процедура захвата не особо отличается от передачи ролей. Заходим на контроллер домена, которому хотим передать роли и последовательно вводим в командной строке:
ntdsutil
roles
connections
connect to server <имя сервера>
q

Для захвата ролей FSMO используется команда seize
seize domain naming master — захват роли хозяина доменных имен;
seize infrastructure master — захват роли хозяина инфраструктуры;
seize rid master — захват роли хозяина RID;
seize schema master — захват роли хозяина схемы;
seize pdc — захват роли эмулятора PDC.

Примечание. Начиная с Windows Server 2008 R2 команда для захвата роли хозяина доменных имен seize naming master.

Моменты, которые необходимо учесть при передаче или захвате ролей:
• Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) учетная запись должна быть членом группы Администраторы домена (Domain admins), а для передачи ролей уровня леса (Domain Naming Master и Schema Master) — Администраторы предприятия (Enterprise Admins).
• Не назначайте роль Infrastructure Master контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
• В случае захвата ролей FSMO контроллер домена, ранее исполнявший эти роли, ни в коем случае нельзя возвращать обратно, потому, что при его появлении в сети возникнет конфликт, что может вызвать проблемы в работе домена. Кроме того, его необходимо удалить из Active Directory. В Windows Server 2008 и 2008 R2 это можно сделать, просто удалив объект сервера в оснастке Active Directory Пользователи и компьютеры, а в Windows Server 2003 с помощью программы Ntdsutil, используя команду ntdsutil — metadata cleanup. Подробнее об этом можно почитать в техподдержке Microsoft.

Вконтакте

Одноклассники

Мой мир

Facebook

E-mail

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

В домене на Windows Server 2008 и выше при удалении учетной записи компьютера неисправного контроллера домена с помощью консоли ADUC (Dsa.msc) выполняется автоматическая очистка метаданных в AD. И в общем случае никаких дополнительных ручных манипуляций, описанных ниже, выполнять не нужно.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL.  NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания,  управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести  информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите
    ntdsutil

    (все последующие команды будут вводится в контексте ntdsutil)

  • metadata cleanup
  • connections

  • Наберите
    connect to server

    , где <ServerName> — имя работоспособного контроллера домена, хозяина операций

  • quit

  • select operation target

  • list sites

  • select site <#>

    , где <#> — где  – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта)

  • list servers in site

  • select server <#>

    ,

    где <#> -где  – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

  • list domains

  • select domain <#>

    , где <#>  номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

  • quit

    (вернемся в меню metadata cleanup)

  • remove selected server

    ( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

  • Yes
  • Откройте консоль Active Directory Sites and Services
  • Разверните сайт, в котором находился ненужный DC
  • Проверьте, что данный контролер не содержит никаких объектов
  • Щелкните правой кнопкой по контроллеру и выберите Delete
  • Закройте консоль Active Directory Sites and Services
  • Откройте оснастку  Active Directory Users and Computers
  • Разверните OU «Domain Controllers»
  • Удалите учетную запись компьютера неисправного контроллера домена из данной OU
  • Откройте оснастку DNS Manager
  • Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
  • Щелкните правой кнопкой мыши по зоне и выберите Properties
  • Перейдите на вкладку серверов Name Servers
  • Удалите запись неисправного DC
  • Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
  • Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена
  • Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

    Дополнительный контроллер домена 2008 R2 к существующему домену под управлением 2003 R2

    Структура организации следующая: есть домен для сотрудников под названием domain.int, есть также и его поддомен для других нужд – subdomain.domain.int. Возникла задача перевести существующий поддомен под управлением Windows Server 2003 R2 на Windows Server 2008 R2. Причем главный домен уже переведен.

    Просто накатить сверху систему нельзя – 2003 R2 является 32-битной версией, а 2008 R2, соответственно, – 64-битная. А было бы здорово. Выбор невелик, поэтому решили сделать следующее:

    1. Устанавливаем дополнительный контроллер домена (КД) на Windows Server 2008 R2
    2. Новый контроллер должен иметь роли глобального каталога и DNS
    3. Проверяем работу и репликацию обоих контроллеров
    4. Указываем, что новый КД (2008) – хозяин операций
    5. Удаляем из схемы старый КД (2003)
    6. Проверяем работу и начинаем подготовку к настройке уже реально другого дополнительного КД, чтобы на выходе получить два КД под управлением 2008 R2
    7. Забываем, что когда-то у нас в сети был КД под управлением 2003 R2

    Почему решили перевести КД на другую схему, думаю, всем ясно. На дворе уже 2013 год, 2014 не за горами. Почему бы не воспользоваться проверенными и более новыми технологиями? Windows Server 2012 на момент написания статьи пока не вышел в релизе R2. А исходя из многолетнего опыта использования Microsoft, не стоит что-то внедрять на том, что вышло совсем недавно. К тому же немного бесит, что статей в интернете по новым продуктам мало. Именно поэтому сделали выбор на системе Windows Server 2008 R2. В данной статье я буду описывать последовательные действия для 1 и 2 пункта моего плана.

    Что подвигло написать статью? Ответ прост: в интернете мало статей по субдоменам. И пускай ничего супер-естественного  в настройке нет. Зато наши читатели узнают, что все проходит достаточно просто и последовательно, как по аналогии при лесе с одним доменом. А наш сайт любит хоть и маленькие, но все же эксклюзивы. К тому же, излагаться все будет просто и на обычном языке, понятным даже для самых маленьких админов.

    Для начала надо подготовить площадку для будущего дополнительного КД. Проверяем активацию, часовой пояс, брандмауер, сетевые интерфейсы, имя компьютера и другое:

    Далее кликаем на установке новой роли и указываем, что нам надо “Доменные службы Active Directory”:

    Начинаем установку этой роли:

    Заметили, что автоматом поставился компонент .Net Framework 3.5? Поэтому после всех установок сразу “подхватываются” обновления:

    Ну вот и все установилось. Даже не пришлось перезагружаться. Я начинаю приятно удивляться Microsoft. Посудите сами – одна из самых серьезных ролей и компонент только что установились, да еще и обновления, а перезагрузка не требуется. Заметили самую первую ошибку? Причина ошибки написана выше, а именно то, что надо бы настроить наш будущий КД:

    Поэтому прямо оттуда или из режима командной строки запускаем утилиту DCPROMO.EXE:

    Не надо нажимать нам “расширенный режим”. Делаем все по стандартно. По-хорошему, в лучших традициях Microsoft все должно быть по сценарию Далее+Далее+Финиш=Все_работает. Посмотрим как это будет дальше. Соглашаемся с первым окном приветствия:

    Затем подсказываем мастеру, что у нас будет добавочный КД:

    Затем прописываем имя домена. Можно главный domain.int, а можно и поддомен – subdomain.domain.int. И учетную запись администратора домена само собой. Вы же под ней и делаете?

    Теперь главное не перепутать и указать уже точно, в каком домене будем работать. Нам надо поддомен subdomain.domain.int:

    Ну вот… начинаются приключения. Так и знал:

    Сам виноват, не подготовил домен для перехода. Зато все теперь последовательно все исправим. Идем на главный КД под управлением Windows Server 2003 R2 и вставляем туда диск с нашей системой 2008 R2. Я скопировал все утилиты на диск С, но это необязательно. Запускаем утилиту adprep /domainprep:

    Вот я снова невнимательный. Утилита-то 64-битной версии. Поэтому пробуем на 32-битной редакции. Кажется получилось, хотя могли бы и вывести сообщение об успехе:

    Теперь запускаем снова утилиту DCPROMO  и проделываем все тоже самое. Вместо ошибки получаем следующее окно мастера. Значит та утилита все-таки помогла подготовить домен. Мастер нас спрашивает, какой точно сайт нам нужен. У меня их 3, у вас может быть другое количество. Название не спутаешь, поэтому с уверенностью кликаем “далее”:

    Затем мастер спрашивает, добавить ли из будущему КД  роли DNS и Global Catalog. Это пригодится будущем, поэтому соглашаемся. Пугаться не надо: в сети может быть несколько DNS и глобальных каталогов. Это, кстати, очень хорошо с точки зрения отказоустойчивости:

    Системные папки для хранения баз данных Active Directory и другого оставляем по-умолчанию:

    Указываем пароль для восстановления каталогов. И хоть его надо в любом случае сохранить, я очень надеюсь, что он вам не пригодится:

    Кажется на этом наши настройки закончились. Нажимаем далее и ждем, пока все сделается:

    Видим, что все установилось, поэтому смело перезагружаемся:

    И на этом все. Репликация получилась, КД начал функционировать нормально. Еще совет для малоопытных админов – не торопитесь и делайте все последовательно. Могу также в качестве бонуса сообщить один нюанс. Загрузка КД и репликация с главным контроллером может происходить очень долго. Лично у нас все “поднялось” спустя несколько часов. Были моменты, когда казалось, что КД не работает как контроллер. Но мы набрались терпения и дождались результата. Все остальные действия моего плана выполнились практически без каких-либо происшествий. Их можно посмотреть в интернете, информации полно.

    Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

    Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!

    Иллюстрированный самоучитель по Microsoft Windows 2000 › Проектирование доменов и развертывание Active Directory › Понижение контроллера домена [страница - 724] | Самоучители по операционным системам

    Понижение контроллера домена

    Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

    Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

    Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:

    • если контроллер домена – единственный и уничтожается вся доменная структура;
    • если в лесе имеются другие контроллеры, выполняющие эту функцию.

    В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать Мастер установки Active Directory.

    Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

    Если флажок Этот сервер – последний контроллер домена в данном домене (This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем – пароль, назначаемый администратору компьютера.

    Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перезагрузиться.

    Новый DC на Windows 2016. Передаем роли FSMO. « Blog of Khlebalin Dmitriy

    Новый DC на Windows 2016. Передаем роли FSMO.

    Итак, контроллер (в моем случае DС3), установлен, об этом здесь, далее имеет смысл приступить к переносу ролей с DC1 на DC3. Сначала сами роли FSMO, ну а потом, все дополнительные роли, которые выполнял сам сервер DC1.

    Не часто, в последнее время, приходится сталкиваться с переносами, многие вещи с тех пор уже забыты или вспоминаются, но смутно. Поэтому раз от разу приходится почитывать мануалы. Соответственно коротко о ролях FSMO (по англицки Flexible Single Master Operations)…

    У нас две роли на уровне леса и три роли на уровне домена (в текущем случае и лес и домен один).

    1. Schema Master (Хозяин схемы) / Лес / Содержит в себе схему леса.
    2. Domain Namiпg Master (Хозяин именования доменов) / Лес / Управляет именами доменов.
    3. lnfrastructure Master Домен (Хозяин инфраструктуры) / Домен / Обеспечивает меж-доменные ссылки на объекты.
    4. PDC Emulator (Эмулятор основного контроллера домена) / Домен / Отвечает за время в лесу.
    Обрабатывает изменения паролей, Является точкой подключения для управления объектами GPO, Блокирует учетные записи.
    5. RID Master (Хозяин относительных идентификаторов (RID)) / Домен /  Управляет и пополняет пулы RID (relative identifier — относительный идентификатор).

    Для начала убеждаемся, что учетка, под которой передаем роли, входит во все админские группы, иначе передать их просто не получится.

    В моем случае роли уже передали, поэтому я просто напишу уже постфактум, какие действия были выполнены.

    Смотрим список имеющихся контроллеров домена:  dsquery server -forest

    Проверим, кто является владельцем ролей FSMO: netdom query fsmo

    Здесь видно, что все роли уже на DC3 (это уже новый контроллер), так как я пишу постфактум, соответственно первоначально все эти роли принадлежали контроллеру DC1

    Роли можно переносить через GUI, а можно при помощи утилиты NTDSUTIL (инструмент управления и обслуживания каталога Active Directory). Для этого сначала надо зарегистрировать библиотеку управления схемой Active Directory (schmmgmt. dll), иначе роль Schema перенести не удастся.

    regsvr32 schmmgmt.dll

    Библиотека подключена, переносим роли:

    ntdsutil

    Выбираем сервер которому хотим передать роли:

    roles

    connections

    connect to server DC3

    q

    Получаем приглашение к управлению ролями:

    transfer naming master

    transfer infrastructure master

    transfer rid master

    transfer schema master

    transfer pdc

    q

    Подтверждаем передачу каждой роли.

    На тоже самое можно взглянуть и через графический интерфейс:

    Итак, роли переданы, так как сменился PDC (был DC1, стал DC3), отвечающий за время, и являющийся в нашем случае, основным NTP сервером, имеет смысл выполнить следующую рекомендацию:

    -На бывшем PDC Emulator (DC1), выполним:

    w32tm /config /syncfromflags:domhier /reliable:no /update

    net stop w32time
    net start w32time

    -Передали роль PDC Emulator на новый контроллер домена (DC3).

    -На новом PDC Emulator (DC3), выполним:

    w32tm /config /manualpeerlist:PEERS /syncfromflags:manual /reliable:yes /update

    где PEERS будут серверами- источниками точного времени,параметр может принимать значение
    DNS имени либо IP адреса.Если источников больше одного, между ними необходимо ввести пробел, и кавычки: «microsoft.domain.com microsoft1.domain.com».

    Возможно в процессе выловятся еще какие-то «баги», я дополню этот пост в процессе их возникновения.

    Всем хорошей работы!!!

    Понравилось это:

    Нравится Загрузка...

    05.04.2018 -

    Posted by khlebalin |
    ms windows 2016

    Sorry, the comment form is closed at this time.

    Не удалось понизить уровень контроллера домена - Windows Server

    • 2 минуты на чтение

    В этой статье

    В этой статье представлено решение проблемы понижения уровня контроллера домена с помощью мастера установки Active Directory (Dcpromo.exe) не работает.

    Исходная версия продукта: Windows Server 2012 R2
    Оригинальный номер базы знаний: 282272

    Симптомы

    При понижении уровня контроллера домена Windows с помощью Dcpromo.exe может появиться следующее сообщение об ошибке:

    Этот контроллер домена содержит последнюю реплику следующих разделов каталога приложений:
    DC = MSTAPI, DC = yourdomain , DC = com

    Причина

    Такое поведение наблюдается, если вы установили контроллер домена с помощью мастера настройки сервера.Когда вы используете этот мастер, он автоматически создает программный раздел или контекст именования вне домена с именем DC = MSTAPI, DC = yourdomain , DC = com.

    Разрешение

    Если вы создали раздел с помощью мастера настройки сервера и использовали имя по умолчанию Mstapi, если это имя не используется, удалите это имя с помощью инструмента Tapicfg.exe. Для этого выполните следующую команду, где your_domain .com - это DNS-имя вашего домена: tapicfg remove / directory: mstapi. ваш_домен .com
    Если раздел был создан вручную или с помощью другой программы, вы можете удалить его с помощью утилиты Ntdsutil:

    1. Откройте командную строку и введите
      ntdsutil.
    2. В командной строке Ntdsutil введите управление доменом.
    3. В окне Domain Management введите
      соединения.
    4. Тип подключения к серверу
      имя вашего сервера .

    После появления сообщения о привязке у вас будет успешное соединение с вашим сервером.5. В окне Server Connections введите
    уволиться .
    6. В окне Domain Management введите
    список. Появится список контекстов именования на этом сервере.
    7. Чтобы удалить реплику раздела каталога приложений, введите remove nc replica ApplicationDirectoryPartition DomainController .
    8. В командной строке Ntdsutil введите Q и нажимайте клавишу ВВОД, пока не вернетесь в командную строку CMD. Теперь вы можете успешно понизить статус этого контроллера домена. Возможно, вам придется перезапустить этот контроллер домена, прежде чем снова запустить мастер установки Active Directory.

    Дополнительная информация

    Windows поддерживает контексты именования программ, также называемые контекстами именования вне домена. Эта функция позволяет службе каталогов Microsoft Active Directory размещать динамические данные, не влияя на производительность сети, позволяя вам контролировать объем репликации и размещение реплик. С помощью служб Active Directory вы можете создать новый тип контекста именования или раздела, называемый разделом приложения. Этот контекст именования может содержать иерархию объектов любого типа, кроме участников безопасности (пользователей, групп и компьютеров), и его можно настроить для репликации на любой набор контроллеров домена в лесу, которые не обязательно все находятся в одном домене.

    Понижение уровня контроллеров домена и доменов (уровень 200)

    • 8 минут на чтение

    В этой статье

    Применимо к: Windows Server 2012

    В этом разделе объясняется, как удалить AD DS с помощью диспетчера сервера или Windows PowerShell.

    Рабочий процесс удаления AD DS

    Предупреждение

    Удаление ролей AD DS с помощью Dism.exe или модуль DISM Windows PowerShell после повышения до контроллера домена не поддерживается и не позволяет серверу нормально загружаться.
    В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM - это собственная система обслуживания, которая не имеет внутренних знаний о AD DS или его конфигурации. Не используйте Dism.exe или модуль DISM Windows PowerShell для удаления роли AD DS, если сервер больше не является контроллером домена.

    Понижение роли и удаление Windows PowerShell

    Командлеты ADDSDeployment и ServerManager

    Аргументы ( Полужирный шрифт аргументов обязательны. Выделенные курсивом аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)

    Удалить-добавляетDomainController

    -SkipPreChecks

    -Пароль местного администратора

    -Подтвердить

    -кредитный

    -DemoteOperationMasterRole

    -DNSDelegationRemovalCredential

    -Force

    -Силовое снятие

    -IgnoreLastDCInDomainMismatch

    -IgnoreLastDNSServerForZone

    -LastDomainControllerInDomain

    -Запуск не завершен

    -Удалить разделы приложения

    -RemoveDNSDelegation

    -RetainDCMetadata

    Удалить-WindowsFeature / Удалить-WindowsFeature

    -наименование

    -IncludeManagementИнструменты

    -Перезапустить

    -Удалить

    -Force

    -ComputerName

    -Кредит

    -LogPath

    -Vhd

    Примечание

    Аргумент -credential требуется только в том случае, если вы еще не вошли в систему в качестве члена группы администраторов предприятия (понижение уровня последнего DC в домене) или группы администраторов домена (понижение уровня реплики DC). Аргумент -includemanagementtools требуется только в том случае, если вы хотите удалить все утилиты управления AD DS.

    Понизить до

    Удаление ролей и компонентов

    Server Manager предлагает два интерфейса для удаления роли доменных служб Active Directory:

    • Меню Manage на главной панели управления с использованием Remove Roles and Features

    • Щелкните AD DS или Все серверы на панели навигации.Прокрутите вниз до раздела Roles and Features . Щелкните правой кнопкой мыши Доменные службы Active Directory в списке Роли и компоненты и выберите Удалить роль или компонент . Этот интерфейс пропускает страницу Выбор сервера .

    Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволяют удалить роль AD DS, пока вы не понизите роль контроллера домена.

    Выбор сервера

    Диалоговое окно Server Selection позволяет вам выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен Диспетчер серверов, всегда доступен автоматически.

    Роли и функции сервера

    Снимите флажок Доменные службы Active Directory , чтобы понизить статус контроллера домена; если сервер в настоящее время является контроллером домена, это не удаляет роль AD DS, а вместо этого переключается на диалоговое окно Validation Results с предложением понизить статус.В противном случае он просто удаляет двоичные файлы, как и любую другую функцию роли.

    • Не удаляйте никакие другие роли или функции, связанные с AD DS, такие как DNS, GPMC или инструменты RSAT, если вы намереваетесь немедленно повысить уровень контроллера домена. Удаление дополнительных ролей и функций увеличивает время для повторного повышения, поскольку диспетчер сервера переустанавливает эти функции при переустановке роли.

    • Удалите ненужные роли и функции AD DS по своему усмотрению, если вы намереваетесь понизить роль контроллера домена навсегда.Для этого необходимо снять флажки для этих ролей и функций.

      Полный список ролей и функций, связанных с AD DS, включает:

      • Модуль Active Directory для функции Windows PowerShell

      • Средства AD DS и AD LDS, функция

      • Центр администрирования Active Directory, функция

      • Оснастки AD DS и средства командной строки

      • DNS-сервер

      • Консоль управления групповой политикой

    Эквивалентные командлеты Windows PowerShell ADDSDeployment и ServerManager:

      Удалить-добавляет контроллер домена
    Удаление-windowsfeature
      

    Учетные данные

    Параметры понижения можно настроить на странице Учетные данные .Укажите учетные данные, необходимые для понижения в должности, из следующего списка:

    • Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. Выбор Принудительное удаление контроллера домена понижает роль контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

      Предупреждение

      Не выбирайте эту опцию, если контроллер домена не может связаться с другими контроллерами домена и не существует разумного способа решить эту проблему с сетью.Принудительное понижение роли оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена в лесу. Кроме того, все нереплицированные изменения на этом контроллере домена, такие как пароли или новые учетные записи пользователей, теряются навсегда. Потерянные метаданные являются основной причиной значительного процента обращений в службу поддержки клиентов Microsoft для AD DS, Exchange, SQL и другого программного обеспечения.
      Если вы принудительно понижаете роль контроллера домена, необходимо, чтобы вручную немедленно выполнил очистку метаданных. Пошаговые инструкции см. В разделе «Очистка метаданных сервера».

    • Для понижения уровня последнего контроллера домена в домене требуется членство в группе администраторов предприятия, так как это удаляет сам домен (если последний домен в лесу, это удаляет лес). Диспетчер сервера сообщает вам, является ли текущий контроллер домена последним контроллером домена в домене. Установите флажок «Последний контроллер домена в домене », чтобы подтвердить, что контроллер домена является последним контроллером домена в домене.

    Эквивалентные аргументы Windows PowerShell для ADDSDeployment:

      -credential 
    -forceremoval <{$ true | false}>
    -lastdomaincontrollerindomain <{$ true | false}>
      

    Предупреждения

    Страница предупреждений предупреждает о возможных последствиях удаления этого контроллера домена.Для продолжения необходимо выбрать Продолжить удаление .

    Предупреждение

    Если вы ранее выбрали Принудительное удаление этого контроллера домена на странице Учетные данные , то на странице Предупреждения показаны все роли гибких операций с одним главным мастером, размещенные на этом контроллере домена. Вы должны захватить роли от другого контроллера домена сразу же после понижения этого сервера. Для получения дополнительной информации о захвате ролей FSMO см. Захват роли хозяина операций.

    Эта страница не имеет эквивалентного аргумента ADDSDeployment Windows PowerShell.

    Варианты снятия

    Страница «Параметры удаления » появляется в зависимости от того, был ли ранее выбран Последний контроллер домена в домене на странице Учетные данные . На этой странице вы можете настроить дополнительные параметры удаления. Выберите Игнорировать последний DNS-сервер для зоны , Удалить разделы приложения и Удалить делегирование DNS , чтобы открыть кнопку Далее .

    Параметры отображаются, только если они применимы к этому контроллеру домена. Например, если для этого сервера нет делегирования DNS, этот флажок не будет отображаться.

    Щелкните Изменить , чтобы указать альтернативные учетные данные администратора DNS. Щелкните Просмотр разделов , чтобы просмотреть дополнительные разделы, которые мастер удаляет во время понижения роли. По умолчанию единственными дополнительными разделами являются DNS-зоны домена и DNS-зоны леса. Все остальные разделы не являются разделами Windows.

    Эквивалентные аргументы командлета ADDSDeployment:

      -ignorelastdnsserverforzone <{$ true | false}>
    -removeapplicationpartitions <{$ true | false}>
    -removednsdelegation <{$ true | false}>
    -dnsdelegationremovalcredential 
      

    Новый пароль администратора

    Новый пароль администратора Страница требует, чтобы вы предоставили пароль для учетной записи администратора встроенного локального компьютера после того, как понижение статуса завершится и компьютер станет членом домена или компьютером рабочей группы.

    Командлет Uninstall-ADDSDomainController и аргументы следуют тем же значениям по умолчанию, что и диспетчер сервера, если они не указаны.

    Аргумент LocalAdministratorPassword является специальным:

    • Если не указал в качестве аргумента, командлет предложит вам ввести и подтвердить замаскированный пароль. Это предпочтительное использование при интерактивном запуске командлета

    • Если указан со значением , то значение должно быть защищенной строкой.Это не рекомендуется при интерактивном запуске командлета

    Например, вы можете вручную запросить пароль с помощью командлета Read-Host , чтобы запросить у пользователя безопасную строку

      -localadministratorpassword (read-host -prompt «Пароль:» -assecurestring)
      

    Предупреждение

    Поскольку предыдущие два варианта не подтверждают пароль, будьте предельно осторожны: пароль не отображается

    Вы также можете предоставить защищенную строку как преобразованную переменную открытого текста, хотя это крайне не рекомендуется. Например:

      -localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
      

    Предупреждение

    Не рекомендуется вводить или хранить пароль в виде открытого текста. Любой, кто запускает эту команду в сценарии или смотрит вам через плечо, знает пароль локального администратора этого компьютера. Обладая этими знаниями, они имеют доступ ко всем его данным и могут выдавать себя за сам сервер.

    Подтверждение

    На странице «Подтверждение » показано запланированное понижение в должности; на странице не перечислены параметры конфигурации понижения.Это последняя страница, которую мастер показывает перед началом понижения. Кнопка «Просмотр сценария» создает сценарий понижения роли Windows PowerShell.

    Щелкните Понизить уровень , чтобы запустить следующий командлет развертывания AD DS:

      Удалить-DomainController
      

    Используйте дополнительный аргумент Whatif с Uninstall-ADDSDomainController и командлетом для просмотра информации о конфигурации. Это позволяет вам видеть явные и неявные значения аргументов командлета.

    Например:

    Запрос на перезагрузку - это ваша последняя возможность отменить эту операцию при использовании ADDSDeployment Windows PowerShell. Чтобы переопределить это приглашение, используйте аргументы -force или confirm: $ false .

    Понижение

    Когда отображается страница Demotion , начинается настройка контроллера домена, и ее нельзя остановить или отменить. Подробные операции отображаются на этой странице и записываются в журналы:

    Поскольку Uninstall-AddsDomainController и Uninstall-WindowsFeature имеют только одно действие за штуку, они показаны здесь на этапе подтверждения с минимально необходимыми аргументами.Нажатие ENTER запускает безвозвратный процесс понижения роли и перезагружает компьютер.

    Чтобы принять запрос на перезагрузку автоматически, используйте аргументы -force или -confirm: $ false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера в конце продвижения, используйте аргумент -norebootoncompletion: $ false .

    Предупреждение

    Отмена перезагрузки не рекомендуется.Рядовой сервер должен перезагрузиться для правильной работы.

    Вот пример принудительного понижения с минимальными необходимыми аргументами -forceremoval и -demoteoperationmasterrole . Аргумент -credential не требуется, поскольку пользователь вошел в систему как член группы администраторов предприятия:

    Вот пример удаления последнего контроллера домена в домене с его минимально необходимыми аргументами -lastdomaincontrollerindomain и -removeapplicationpartitions :

    Если вы попытаетесь удалить роль AD DS перед понижением уровня сервера, Windows PowerShell заблокирует вас с намеренной ошибкой:

      Uninstall-WindowsFeature: во время удаления AD-Domain-Services не удалось выполнить предварительный этап удаления, и удаление не может быть продолжено. 1. Перед удалением роли доменных служб Active Directory необходимо понизить уровень контроллера домена.
      

    Важно

    Вы должны перезагрузить компьютер после понижения уровня сервера, прежде чем вы сможете удалить двоичные файлы роли AD-Domain-Services.

    результатов

    Страница результатов показывает успех или неудачу рекламной акции и любую важную административную информацию. Контроллер домена автоматически перезагрузится через 10 секунд.

    Понижение уровня Windows Server 2008 DC: удаление Server 2008 DC

    В этой статье будет рассмотрено понижение роли сервера DC Windows Server 2008 после того, как Windows Server 2012 R2 будет добавлен в домен как DC.

    LAB имеет следующую настройку

    DC2008 - Контроллер домена в Windows Server 2008 x64
    DC2012 - Контроллер домена в Windows Server 2012 R2
    Хост HyperV - компьютер, на котором размещается установка HyperV и DC2012.
    Имя компьютера: DC2008 IP-адрес: 10.10.10.2
    Имя компьютера: DC2012 IP-адрес: 10.10.10.3
    Имя компьютера: IP-адрес узла HyperV :: 10.10.10.4
    Имя домена: test.local

    Есть несколько проверок, которые необходимо выполнить перед понижением уровня DC. Прежде всего, передайте роли FSMO. Ознакомьтесь с моей предыдущей статьей здесь -> https://www.informaticar.net/?p=1772
    Перед понижением уровня Server 2008 DC проверьте следующее:
    Добавление Windows Server 2012 DC в домен Server 2008 -> https: //www.informaticar .net /? p = 1784

    Проверить плацдармы - Сервер-плацдарм - это контроллер домена, который был назначен администратором или автоматически выбран для репликации изменений, собранных с других контроллеров домена на сайте, на серверы-плацдармы на других сайтах
    Команда для проверки плацдармов:

      Репадмин / плацдармы  

    В моем случае плацдармов нет.Если они у вас есть, обязательно настройте их для правильной работы

    Чтобы проверить всю площадку на наличие плацдармов, введите дополнительно

      Repadmin / сайт-плацдарм: Default-First-Site-Name  

    (вы можете найти имя своего сайта в Active Directory Sites и Services)

    Вы также должны выполнить некоторые общие проверки перед понижением уровня DC, чтобы убедиться, что все работает нормально.

    Repadmin помогает найти проблемы с репликацией

      repadmin.exe / showrepl dc2008 / подробный / все / межсайт> c: \ repl.txt  

    Проверить созданный журнал на предмет возможных проблем

    Проверьте репликацию также с помощью журналов. Важны репликация DFS, служба каталогов и DNS-сервер.

      Запустить dcdiag / e / c  

    Все тесты, особенно DNS, должны быть пройдены на этом тесте. Если что-то выйдет из строя, проверьте, можете ли вы это исправить, пропустите через брандмауэр или живите без него (например, функция RODC может не понадобиться)

    • Проверьте настройки DNS в службе DHCP и измените их для клиентов DHCP
    • Измените полномочный сервер времени для домена, если вы понижаете статус DC.
    • Глобальный каталог должен быть на новом контроллере домена до понижения статуса старого

    Проверьте и очистите диспетчер DNS после декомпозиции старого контроллера домена.

    Имейте запасной план на случай неудачи. Как принудительно понизить DC описано здесь: https://technet.microsoft.com/en-us/library/cc731871%28v=ws.10%29.aspx

    После того, как все проверки будут выполнены, перейдем к понижению уровня DC

    Пуск | Выполнить | DCpromo

    Далее

    ОК (вы можете проверить серверы глобального каталога в разделе «Сайты и службы Active Directory | Сайты | Имя сайта | Серверы | щелкните правой кнопкой мыши на каждом сервере, выберите« Свойства »и в разделе« Общие »проверьте значение типа DC, это должен быть глобальный каталог)

    Оставьте поле не отмеченным, кроме случаев, когда вы хотите удалить весь домен, но это не главное.| Следующий

    Введите пароль для локальной учетной записи администратора | Следующий

    Далее

    Отделка

    После перезагрузки проверим настройки на DC2012. В «Пользователи и компьютеры Active Directory» в разделе «Контроллеры домена» остался только сервер, DC - DC2012

    .

    DC2008 перенесен на компьютеры

    Под сайтами и службами Active Directory | Сайты | Сайт: Имя сайта | Серверы удалить удален DC

    На этом шаге выполняется понижение уровня Windows Server 2008.

    Заявление об ограничении ответственности

    Как понизить уровень контроллера домена в Windows Server 2012 (AD DS)

    В этом блоге мы рассмотрим, как понизить уровень контроллера домена в доменных службах Active Directory Windows Server 2012 (AD DS).

    В предыдущих версиях Windows Server для понижения роли контроллера домена вы использовали служебную программу DCPROMO.exe. В Windows Sever 2012 утилита DCPROMO устарела.

    В Windows Server 2012 мы будем использовать диспетчер серверов или PowerShell для понижения роли контроллера домена.В этом блоге я буду использовать графический интерфейс для понижения уровня менеджера сервера. Итак, приступим.

    Чтобы понизить роль DC из AD DS, выполните следующие действия:

    Используйте диспетчер сервера для удаления роли доменных служб Active Directory.

    Запустите диспетчер сервера, выберите раскрывающееся меню Управление , выберите Удалить роли и компоненты .

    1. Просмотрите страницу Перед началом работы , нажмите Далее.
    2. На странице Выбор типа установки убедитесь, что Ролевая или функциональная установка выбрана радиальная кнопка , нажмите Далее.
    3. На странице Select destination server Выберите нужный сервер из пула серверов .

    Примечание. Диспетчер серверов 2012 позволяет удаленно устанавливать роли и компоненты.

    1. В мастере удаления ролей и компонентов щелкните поле Доменные службы Active Directory , чтобы снять флажок.

    1. Диалоговое окно «Удаление ролей и компонентов » Удаление компонентов , которым требуется служба домена Active Directory. Появится всплывающее окно , выберите «Удалить компоненты».
    2. В диалоговом окне Мастер удаления ролей и компонентов появится окно Результаты проверки . Перед продолжением необходимо понизить уровень контроллера домена. Щелкните Понизить уровень этого контроллера домена .
    1. В мастере настройки доменных служб Active Directory введите необходимые учетные данные для понижения роли этого сервера, нажмите Далее .

    Примечание: Для понижения роли контроллера домена реплики вы должны быть как минимум администратором домена, чтобы удалить весь домен из леса или понизить статус последнего контроллера домена в лесу, вы должны предоставить учетные данные администратора предприятия.

    Примечание: Выберите только Принудительное удаление этого контроллера домена , если контроллер домена не взаимодействует с остальными контроллерами домена.

    1. В поле «Новый пароль администратора» введите и подтвердите новый пароль учетной записи локального администратора, нажмите Далее .
    1. В параметрах просмотра проверьте правильность информации и нажмите «Понизить».

    Начнется процесс понижения в должности.Чтобы завершить понижение, сервер автоматически перезагрузится.

    Примечание. Когда сервер перезагружается, он будет членом домена, который ранее был контроллером домена.

    Примечание: Двоичные файлы для AD DS все еще установлены на сервере. Если этот сервер не будет повышен до контроллера домена в будущем, повторно запустите мастер удаления ролей и компонентов , чтобы удалить роль AD DS с сервера.

    Проверка удаления AD DS

    1. Войдите на сервер, на котором размещена служба DNS для домена, используя учетные данные администратора.
    2. Запустите консоль DNS и проверьте удаление служебных записей для удаленного контроллера домена.

    Доменные службы Active Directory удалены с этого сервера.

    А пока - БЕЗОПАСНО!

    Rick Trader
    Windows Server Instructor - Interface Technical Training
    Phoenix, AZ

    Подпишитесь на канал сообщений этого автора через RSS

    Как понизить уровень Windows Server 2019/2016 Контроллер домена

    Привет, как дела? Конечно, контроллеры домена являются фундаментальной частью организации.И тем более, когда он использует инфраструктуру на базе Windows Server. Благодаря этому упрощается администрирование доменных объектов. В самом деле, для правильной работы ролей необходимо повысить уровень сервера до контроллера домена. Однако иногда необходимо внести изменения в контроллер. Либо путем обновления контроллера, либо путем определения другого имени. В таких случаях необходимо понизить роль контроллера домена. После понижения уровня контроллера домена он потеряет свое состояние. Однако он все еще может принадлежать домену и продолжать работу в качестве сервера.Кроме того, вы можете применить необходимые изменения и повторно продвигать их при необходимости. Вот как понизить роль контроллера домена Windows Server 2019/2016.

    Вход в диспетчер серверов для понижения роли контроллера домена.

    Для выполнения этой задачи необходимо использовать диспетчер серверов. Оказавшись там, нажмите Manage. Затем нажмите Удалить инструменты и компоненты.

    Удаляет роли и функции

    Мастер будет отображен сразу. Пожалуйста, нажмите "Далее".

    Нажмите «Далее» для продолжения.

    Теперь пора выбрать сервер, на котором будет понижен уровень контроллера домена.

    Выберите сервер

    . Затем отобразится список установленных ролей. Снимите флажок для доменных служб Active Directory.

    Снимите флажок, соответствующий доменным службам Active Directory.

    Затем отобразится окно с предупреждением, в котором будут показаны все функции, которые необходимо удалить. Пожалуйста, подтвердите задачу.

    Подтвердите удаление компонентов

    Чтобы продолжить, необходимо подтвердить понижение роли контроллера домена.

    Подтвердите понижение роли контроллера домена.

    В следующей таблице подтверждаются учетные данные пользователя. Также установите флажок, чтобы принудительно удалить контроллер домена.

    Проверьте пользователя

    . Затем вы увидите сводку ролей, размещенных на контроллере домена. Установите флажок, чтобы продолжить удаление.

    Продолжайте удаление.

    Теперь для подтверждения необходимо ввести пароль администратора.

    Введите пароль администратора.

    Последний шаг перед продолжением - подтвердить понижение в должности.

    Пожалуйста, подтвердите снижение производительности контроллера домена

    Понижение уровня контроллера домена и перезапуск сервера.

    Подождите несколько секунд, пока контроллер домена понижается.

    Выполняется процесс понижения роли контроллера домена

    Через несколько секунд сервер запросит перезапуск.

    Перезагрузка сервера

    После перезагрузки вы можете увидеть, что компьютер больше не настроен как контроллер домена.

    Таким образом, мы увидели, как понизить роль Контроллера домена Windows Server 2019/2016.В какой-то момент это необходимая административная задача для сервера. Надеемся, мы развеяли все ваши сомнения. Прежде чем я уйду, приглашаю вас посмотреть наш пост о том, как отключить автоматический запуск диспетчера серверов в Windows Server 2019/2016.

    Что происходит с ролями FSMO, когда контроллер домена, который их удерживает, понижается в должности

    На Брифоруме 2013 в Чикаго, после моего сеанса на тему « Больше вещей в нашей эры… », кто-то задал мне вопрос. Возник вопрос: «Что происходит с ролями FSMO, когда контроллер домена, который их удерживает, понижается в должности и больше не является контроллером домена?» Человек, задающий вопрос, задавался вопросом, в случае чрезвычайной ситуации, если контроллер домена (DC) должен быть быстро понижен в должности и неизвестно, выполняет ли DC какие-либо роли FSMO, что произойдет? Я дал ответ, и эта статья должна показать, что мой ответ был правильным, потому что спрашивающий посмотрел на меня озадаченно.Вид смотрит на меня с вопросом: «Ты уверен?»

    В своей лаборатории я создал пять разных доменов WebstersLab.com. Очевидно, одновременно был включен только один домен WebstersLab.com. Первые четыре лаборатории имеют три контроллера домена: LabDC1, LabDC2 и LabDC3. В пятой лаборатории был дополнительный LabDC4 DC. Во всех пяти лабораториях LabDC1 выполняет все пять ролей FSMO.

    Примечание. FSMO - гибкие операции с одним ведущим устройством, см. Http://technet.microsoft.com/en-us/library/cc961936.aspx

    Были созданы следующие домены:

    • 2012 с функциональным уровнем леса (FFL) и уровнем функции домена (DFL), установленным на 2012 год.
    • 2008 R2 с FFL и DFL 2008 R2.
    • 2008 с FFL и DFL 2008 года.
    • 2003 R2 с FFL и DFL 2003 года.
    • Смешан с DC 2003, DC 2008, DC 2008 R2 и DC 2012. FFL и DFL были установлены на 2003 год.

    На всех серверах во всех лабораториях были установлены все обновления Windows по состоянию на 5 августа 2013 г.

    Поскольку я знал, что LabDC1 собирался пройти через несколько понижений и повышений в этой статье, все контроллеры домена имеют следующие настройки IP-адресов DNS:

    • Первичный: LabDC2
    • Вторичный: LabDC3
    • Третичное: петля

    Windows Server 2012

    Как узнать, какой контроллер домена имеет какую роль FSMO? Из сеанса PowerShell или командной строки Windows выполните следующую команду, как показано на экране 1:

    netdom запрос fsmo
     

    Рисунок 1

    Поскольку LabDC1 выполняет все пять ролей FSMO, что произойдет, когда его понизят?

    В сеансе PowerShell на LabDC1 выполните следующую команду:

    Удалить-ADDSDomainController -DemoteOperationMasterRole: $ true -Force: $ true
     

    Примечание: DemoteOperationMasterRole: $ true указывает, что принудительное понижение роли должно продолжаться, даже если на контроллере домена, с которого удаляется AD DS, обнаружена роль хозяина операций.

    Введите и подтвердите пароль для учетной записи локального администратора, и процесс понижения будет запущен, как показано на рисунке 2.

    Рис. 2

    После перезапуска пониженного контроллера домена (или с одного из оставшихся контроллеров домена) из сеанса PowerShell или командной строки Windows повторно запустите команду netdom query fsmo , как показано на рис. 3.

    Рисунок 3

    Windows Server 2008 R2

    Как узнать, какой контроллер домена имеет какую роль FSMO? В сеансе PowerShell или командной строке Windows выполните следующую команду, как показано на экране 4:

    netdom запрос fsmo
     

    Рис. 4

    Поскольку LabDC1 выполняет все пять ролей FSMO, что происходит, когда его понижают в должности?

    Нажмите Пуск, Выполнить введите dcpromo и нажмите Введите (Рисунок 5).

    Рисунок 5

    Пройдите через мастер установки доменных служб Active Directory и нажмите Далее (рисунок 6).

    Рисунок 6

    После перезапуска пониженного контроллера домена (или с одного из оставшихся контроллеров домена) из сеанса PowerShell или командной строки Windows повторно выполните команду netdom query fsmo , как показано на рисунке 7.

    Рисунок 7

    Windows Server 2008

    Как узнать, какой контроллер домена имеет какую роль FSMO? В командной строке Windows выполните следующую команду, как показано на рисунке 8:

    netdom запрос fsmo
     

    Рисунок 8

    Поскольку LabDC1 выполняет все пять ролей FSMO, что произойдет, когда его понизят?

    Нажмите Пуск, Выполнить введите dcpromo и нажмите Введите (рисунок 9).

    Рисунок 9

    Пройдите через мастер установки доменных служб Active Directory и нажмите Далее (рисунок 10).

    Рис. 10

    После перезапуска пониженного контроллера домена (или с одного из оставшихся контроллеров домена) из командной строки Windows повторно выполните команду netdom query fsmo , как показано на рис. 11.

    Рисунок 11

    Windows Server 2003 R2

    Как узнать, какой контроллер домена имеет какую роль FSMO? Сначала должны быть установлены средства поддержки Windows.Затем из командной строки Windows выполните следующую команду, как показано на рисунке 12:

    netdom запрос fsmo
     

    Рисунок 12

    Поскольку LabDC1 выполняет все пять ролей FSMO, что произойдет, когда его понизят?

    Нажмите Пуск, Выполнить введите dcpromo и нажмите Введите (Рисунок 13).

    Рисунок 13

    Пройдите через мастер установки Active Directory и нажмите Далее (Рисунок 14).

    Рис. 14

    После перезапуска пониженного контроллера домена (или с одного из оставшихся контроллеров домена) из командной строки Windows повторно выполните команду netdom query fsmo , как показано на рис. 15.

    Рисунок 15

    Еще одно на всякий случай

    Просто из собственного любопытства я хотел посмотреть, что произойдет в смешанной среде с четырьмя различными операционными системами Windows Server, каждая из которых установлена ​​в качестве контроллера домена.

    Сначала был установлен

    LabDC1 под управлением Windows Server 2003 R2, а DFL и FFL были обновлены до Windows Server 2003. Поскольку LabDC1 был установлен первым, он является контроллером домена Forest Root и содержит все пять ролей FSMO, как показано на снимке экрана из LabDC4 ( Рисунок 16).

    Рисунок 16

    Остальные контроллеры домена были установлены в следующем порядке:

    • LabDC2 (Windows Server 2008)
    • LabDC3 (Windows Server 2008 R2)
    • LabDC4 (Windows Server 2012)

    Поскольку LabDC1 выполняет все пять ролей FSMO, что происходит, когда его понижают в должности?

    Нажмите Start, Run введите dcpromo и нажмите Enter (рисунок 17).

    Рисунок 17

    Пройдите через мастер установки Active Directory и нажмите Далее (Рисунок 18).

    Рис. 18

    После перезапуска пониженного контроллера домена (или с одного из оставшихся контроллеров домена) из командной строки Windows повторно выполните команду netdom query fsmo , как показано на рис. 19.

    Рисунок 19

    Я надеялся, что роли FSMO будут перенесены на LabDC4, поскольку это самая последняя версия Windows Server.

    Заключение

    Я хочу отметить несколько моментов.

    1. Если все ваши контроллеры домена и Active Directory (AD) исправны, понижение роли контроллера домена, который удерживает одну или все роли FSMO , должно автоматически передать роли FSMO другому DC.
    2. У вас НЕТ контроля над тем, какой контроллер домена получит роль FSMO или роли, которые выполняет пониженный контроллер домена.
    3. Если на пониженном контроллере домена был запущен AD-интегрированный DNS и все компьютеры указывали на него для DNS, эти компьютеры необходимо будет перенастроить, чтобы они указывали на другой DNS-сервер.
    4. Лучше всего передать любые роли FSMO до понижения уровня DC.

    Что произойдет, если возникнут проблемы с одним или несколькими контроллерами домена или возникнут проблемы с AD? В процессе понижения должности возвращается следующее сообщение об ошибке:

    «В службе каталогов отсутствует обязательная информация о конфигурации, и она не может определить владельца плавающих ролей с одним главным оператором.”

    Если вы получили это сообщение об ошибке, у Филипа Элдера, MVP по SBS есть статья с несколькими ссылками, которые помогут решить основную проблему. См. Сбой операции AD DS - отсутствует обязательная конфигурация службы каталогов - идентификатор события 2091 - сбой роли FSMO.

    Я знаю, что мои лабораторные работы были очень простыми, и редко можно найти очень простую среду AD или совершенно работоспособную, поэтому, возможно, в процессе могут возникнуть проблемы. Я хочу потратить 25 часов на создание всех этих лабораторий и написание этой статьи, чтобы доказать, что автоматическая передача ролей FSMO работает вплоть до Windows Server 2003, и если AD работает нормально, процесс просто работает.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *