Повысить второй сервер до контроллера домена windows server 2020 r2: Вы заблудились на сайте компьютерного мастера

Содержание

Как определить / повысить функциональный уровень домена / леса Active Directory?

Функциональный уровень домена или леса определяет функциональные возможности доступные для использования. Более высокий функциональный уровень домена или леса позволяет использовать дополнительные возможности, которые появились в свежих версиях Active Directory. При этом, даже если вы используете свежие версии контроллеров домена, но при этом вы не повышали уровень домена, то новые функциональные возможности домена AD будут недоступны.
Например, у вас установлены контроллеры домена Windows Server 2012 или Windows Server 2016, но при этом функциональный уровень домена Windows Server 2003, то такая возможность, как использование корзины Active Directory будет недоступна, так как возможность ее включить появляется только при функциональном уровне домена Windows Server 2008 R2 и выше.

Определить текущий функциональный уровень домена и леса через GUI
Чтобы определить текущий функциональный уровень домена и леса, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts и на вкладке General будет показан текущий уровень домена и леса.

Определить текущий функциональный уровень через PowerShell

Чтобы определить текущий функциональный уровень домена, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:

Get-ADDomain | fl Name, DomainMode

Чтобы определить текущий функциональный уровень леса, используя PowerShell, необходимо запустить Windows PowerShell и выполнить команду:

Get-ADForest | fl Name, ForestMode

Результат выполнения команд показан на рисунке ниже:

Как повысить функциональный уровень домена через GUI

Перед повышением функционального уровня домена все контроллеры домена должны работать под управлением той же версии Windows Server или новее. Например, перед повышением функционального уровня домена до Windows Server 2012 R2 все контроллеры домена в домене должны работать под управлением Windows Server 2012 R2 или выше. При настройке нового домена AD, рекомендуется устанавливать функциональный уровень домена на максимально возможный уровень, при условии, что вы не планируете, использовать потом более старые версии серверов в качестве контроллеров домена. Повышение функционального уровня домена позволит получить доступ к функциям, которые являются исключительными для конкретного функционального уровня домена. Для повышения функционального уровня домена, необходимо быть членом группы Domain Admins.
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Выбрать домен, для которого требуется повысить функциональный уровень и нажать правой кнопкой мыши выбрать Raise Domain Functional level:

В открывшемся окне выбрать желаемый функциональный уровень домена и нажать кнопку Raise

Как повысить функциональный уровень леса через GUI

Перед повышением функционального уровня леса все домены в лесу должны быть настроены на тот же функциональный уровень или на более высокий функциональны уровень домена. Для повышения функционального уровня леса, необходимо быть членом группы Enterprise Admins.
Чтобы повысить функциональный уровень домена, используя GUI, необходимо запустить оснастку Active Directory Domains and Trusts. Нажать правой кнопкой мыши на корневом пункте дерева в оснастке Active Directory Domains and Trusts и выбрать Raise Forest Functional level:

В открывшемся окне выбрать желаемый функциональный уровень леса и нажать кнопку Raise

Важно: Повышение функционального уровня работы домена и леса нельзя отменить или понизить. Исключение: Режим работы домена может быть понижен только с Windows Server 2008 R2 до Windows Server 2008, во всех остальных случаях эту операцию невозможно отменить.

Как повысить функциональный уровень домена через PowerShell

Для повышение функционального уровня домена используя PowerShell, необходимо выполнить команду:

Set-ADDomainMode -identity lab.lan -DomainMode  Windows2012R2Domain

где,
identity — DNS имя домена (в примере имя домена lab.lan)
DomainMode — целевое значение функционального уровня домена. Этот параметр может принимать следующие значения:

Windows Server 2000: 0 или Windows2000Domain
Windows Server 2003 Interim Domain: 1 или Windows2003InterimDomain
Windows Server 2003: 2 или Windows2003Domain
Windows Server 2008: 3 или Windows2008Domain
Windows Server 2008 R2: 4 или Windows2008R2Domain
Windows Server 2012: 5 или Windows2012Domain
Windows Server 2012 R2: 6 или Windows2012R2Domain
Windows Server 2016: 7 или Windows2016Domain

Как повысить функциональный уровень леса через PowerShell
Для повышение функционального уровня леса используя PowerShell, необходимо выполнить команду:

Set-ADForestMode -Identity lab.lan -ForestMode Windows2012Forest

где,
identity — DNS имя леса (в примере имя леса lab.lan)
ForestMode — целевое значение функционального уровня леса. этот параметр может принимать следующие значения:

Windows Server 2000: Windows2000Forest или 0
Windows Server 2003: Windows2003InterimForest или 1
Windows Server 2003: Windows2003Forest или 2
Windows Server 2008: Windows2008Forest или 3
Windows Server 2008 R2: Windows2008R2Forest или 4
Windows Server 2012: Windows2012Forest или 5
Windows Server 2012 R2: Windows2012R2Forest или 6
Windows Server 2016: Windows2016Forest или 7

Установка контроллера домена Windows Server 2012 с помощью Powershell

По умолчанию Windows Server 2012 устанавливается в режиме Server Core (без графического интерфейса и графических инструментов управления). В такой конфигурации ОС достигается минимальное потребление системных ресурсов (памяти, процессорного времени) под нужды самой ОС, а за счет меньшего количества кода, сокращается количество уязвимостей и поверхность атаки потенциальным злоумышленникам. Управлять таким сервером возможно через командную строку или удаленно, с помощью различных консолей.

В качестве идеального кандидата для размещения на сервере Windows 2012 в режиме Core можно выделить роль контроллера домена Active Directory. Контроллер домена редко управляется администратором AD локально, и практически не требует выполнения каких-либо операций, требующих обязательного доступа к серверу. Все что нужно от администратора — установить службы Active Directory и повысить сервер до роли контроллера домена AD. Конечно, контроллер домена Windows 2012 можно поднять и в графическом режиме (пример описан в статье, Обновление Active Directory до Windows 2012), а затем переключится обратно в Windows 2012 Core, но зачем такие сложности, если контроллер домена можно достаточно просто развернуть только с помощью командной строки.

В статье мы покажем как развернуть контроллер домена на Windows Server 2012 с помощью команд Powershell, предоставляющего мощные возможности автоматизации разворачивания контроллеров домена на Windows Server 2012.

Как вы, вероятно, помните Microsoft решило отказаться от привычной многи администраторам команды DCPROMO, позволяющий повысить (да и понизить тоже) рядовой сервер до уровня контроллера домена, заменив функционал командлетами Powershell.

Нас интересуют следующие команды PoSh:

Add-WindowsFeature AD-Domain-Services – установка роли ADDS (Active Directory Domain Service)
Install-ADDSForrest – установка нового леса (первый контроллер домена в лесу)
Install-ADDSDomain – установка контролера домена в существующем лесу

Ниже мы разберем два сценария: установка первого контроллера в новом лесу AD и добавление дополнительного контроллера домена в существующий домен.

В обоих случаях в первую очередь на сервере требуется установить роль ADDS (Active Directory Domain Service). Powershell команда, выполняющая данную операцию выглядит так:

Add-WindowsFeature AD-Domain-Services

Установка дополнительного контроллера в существующем домене AD

Предположим, что домен AD уже развернут, и от нас требуется установить в нем дополнительный контроллер домена на Windows Server 2012.

Сначала следует импортировать модуль развёртывания ADDS

Import-Module ADDSDeployment

Команда PoSh Install-ADDSDomainController разворачивает новый контроллер домена со следующими параметрами:

Путь к базе: C:\Windows\NTDS
Каталог с логами: C:\Windows\NTDS
Каталог SYSVOL: C:\Windows\SYSVOL
RODC контроллер: Нет
Глобальный каталог (Global Catalog): Да
Сервер DNS: Да

Однако проблема в том, что в подавляющем большинстве случаев такие параметры установки нового контроллера домена системного администратора не устроят.

Модифицированная команда установки дополнительного контроллера домена может выглядеть так (предполагаем, что описывать указанные параметра смысла не имеет, т.к. их названия говорят сами за себя).

Install-ADDSDomainController -CreateDnsDelegation:$false -DatabasePath 'C:\Windows\NTDS' -DomainName 'corp.winitpro.ru' -InstallDns:$true -LogPath 'C:\Windows\NTDS' -NoGlobalCatalog:$false -SiteName 'Default-First-Site-Name' -SysvolPath 'E:\SYSVOL' -NoRebootOnCompletion:$true -Force:$true

После окончания установки нового контролера домена потребуется перезагрузить сервер, выполнив команду:

Shutdown /r

Установка первого контроллера в новом домене с помощью Powershell

В том случае, если домен еще не развернут, для его установки нам понадобится команда PoSh Install-ADDSForest, которая создает первый контроллер в новом лесу Active Directory.

Предположим, нам необходимо создать новый домен с именем corp.winitpro.ru, уровень домена и леса — Windows 2012.

Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath 'C:\Windows\NTDS' -DomainMode 'Win2012' -DomainName 'corp.winitpro.ru' -DomainNetbiosName 'CORP' -ForestMode 'Win2012' -InstallDns:$true -LogPath 'C:\Windows\NTDS' -NoRebootOnCompletion:$true -SysvolPath 'E:\SYSVOL' -Force:$true

В процессе выполнения команды необходимо будет указать пароль режима восстановления Active Directory (Safe Mode Recovery password).

После окончания установки сервер необходимо перезагрузить.

Еще несколько полезных команд PowerShell для администратора контроллера домена AD

Переименовать имя первого сайта AD (по умолчанию это Default-First-Site-Name):

Get-ADReplicationSite | Rename-ADObject -NewName “MainOffice"

Добавить подсеть в сайт AD:

New-ADReplicationSubnet -Name “10.10.10.0/24″ -Site MainOffice

Получить список всех подсетей:

Get-ADReplicationSubnet -Filter *

Включить корзину AD (Recycle Bin — Подробнее о корзине Active Directory в Windows Server 2012):

Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘corp.winitpro.ru’-confirm:$false

Удалить лес и домен (предполагается, что в домене остался один последний AC):

Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions

Первый контроллер домена в лесу, на базе Windows 2012 R2. Настройка служб AD DS, DNS, DHCP

В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:

1) Основной контроллер домена, ОС — Windows Server 2012 R2 with GUI, сетевое имя: dc1.

2) Дополнительный контроллер домена (на случай выхода из строя основного), ОС — Windows Server 2012 R2 Core, сетевое имя: dc2.

3) Контроллер домена только для чтения (RODC), находящийся в филиале компании за vpn-каналом, ОС — Windows Server 2012 R2 Core, сетевое имя: dc3.

Данное руководство подойдет для внедрения доменной структуры в небольшой компании и пригодится начинающим администраторам Windows.

Шаг 1: Установка первого контроллера домена. Подготовка.

Перед запуском мастера ролей, серверу необходимо задать сетевое имя и настроить ip-адрес. Сетевое имя — dc1. Настройки TCP/IP укажем как на скриншоте ниже.

Запускаем диспетчер сервера — Server Manager -> Dashboard -> Configure this local server -> Add Role and Features Wizard. На первом экране мастер нам сообщает, что перед тем как продолжить, должен быть установлен сложный пароль администратора, в настройках сети указан статический ip-адрес, установлены последние обновления. Если все это сделано, то нажимаем Next.

На следующем экране, выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен исключительно для установки роли удаленных рабочих столов.

На экране Select Destination server диспетчер предлагает нам, выбрать сервер из пула или расположенный на VHD-диске. Поскольку у нас пока только один локальный сервер, то нажимаем Next.

Выбираем Active Directory Domain Services (Доменные службы Active Directory), после чего появится окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features и затем Next.

Обычно, на серверах с AD DS имеет смысл, параллельно разворачивать DHCP Server, поэтому отмечаем его для установки так же. Соглашаемся с установкой компонент. Нажимаем Next.

На экране Features предлагается выбрать дополнительные компоненты. На контроллере домена ничего экстраординарного обычно не требуется, поэтому нажимаем Next.

На завершающих этапах подготовки к установке, на вкладке AD DS, мастер даст нам некоторые пояснения, а именно, в случае, если основной контроллер будет не доступен, то рекомендуется в одном домене держать как минимум два контроллера.

Службы Active Directory Domain Services требуют установленного в сети DNS-сервера. В случае если он не установлен, то роль DNS Server будет предложена для установки.

Так же, службы Active Directory Domain Services требуют установки дополнительных служб пространства имен, файловой и DFS репликации (DFS Namespace, DFS Replication, File Replication). Нажимаем Next.

На последнем экране Confirm installation selection (Подтверждение устанавливаемых компонентов), можно экспортировать конфигурацию в xml-фаил, который поможет быстро установить еще один сервер с идентичными настройками. Для этого потребуется на новом сервере, используя PowerShell, ввести следующую команду:

Install-WindowsFeature –ConfigurationFilePath
D:\ConfigurationFiles\DeploymentConfigTemplate.xml

или если требуется задать новое имя серверу, набираем:

Install-WindowsFeature –ConfigurationFilePath
D:\ConfigurationFiles\ADCSConfigFile.xml -ComputerName $servername

В конце нажимаем Install. Дожидаемся окончания процесса установки.

Шаг 2: Установка первого контроллера домена. Настройка служб Active Directory, DNS, DHCP.

Теперь нажимаем на значок треугольника с восклицательным знаком и выбираем сначала Promote this server to domain controller (Повысить этот сервер до контроллера домена). Позже запустим процесс развертывания DHCP-сервера.

Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Доступно, три варианта развертывания, если:

Add New Forest — создать новый корневой домен в новом лесу. Используется для новой «чистой» установки Active Directory; (например ‘test.ru’)

Add a new domain to an existing forest — добавить новый домен в существующем лесу, возможные варианты: Tree Domain — корневой домен нового дерева в существующем лесу (например ‘test2.ru’ параллельно с ‘test.ru’) или Child Domain — дочерний домен в существующем лесу (например ‘corp.test.ru’)

Add a domain controller to an existing domain — добавить дополнительный контроллер домена в существующем домене, используется для резервного или филиального домена.

Выбираем вариант Add New Forest, задаем корневое имя домена, нажимаем Next.

На следующей вкладке можно задать функциональный уровень домена и леса (по умолчанию 2012R2), снять или отметить для установки DNS Server, и задать пароль для режима восстановления службы каталогов (DSRM). Укажем только пароль для DSRM и нажмем Далее.

На следующем шаге DNS Options мастер ругнется, на то, что делегирование для этого DNS-сервера создано не было, потому что не найдена дочерняя зона или запущенный DNS-сервер. Что не удивительно, т.к. роль DNS Server у нас создается в процессе. Нажимаем Next.

Далее в Addional Optional соглашаемся с NetBIOS именем, которое предлагает нам система, жмем Next.

В разделе Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.

На следующем этапе Review Options отображается сводная информация по настройке. Кнопка View Script, позволяет посмотреть Powershell скрипт, при помощи которого, в будущем можно будет произвести настройку доменных служб Active Directory. Нажимаем Next.

И наконец, на последнем этапе предварительных проверок, если видим надпись: «All prerequisite checks are passed successfully. Click «install» to begin installation.» (Все предварительные проверки пройдены успешно. Нажмите кнопку «установить», чтобы начать установку.), то нажимаем Install, дожидаемся окончания процесса установки.

После перезагрузки, снова заходим в Server Manager -> Dashboard и запускаем пиктограмму треугольника с восклицательным знаком и выбираем там Complete DHCP Configuration (Завершение конфигурации DHCP).

Запустится мастер по конфигурированию DHCP, который нам сообщит, что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.

На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.

Если видим, что Create Security Group — Done и Authorizing DHCP Server — Done, то процесс завершился успешно, нажимаем Close.

Теперь создадим обратную зону в DNS. Обратная зона, позволяет выполнить разрешение FQDN-имен хостов по их IP-адресам. В процессе добавления ролей AD и DNS по умолчанию не создаются, поскольку предполагается, что в сети может существовать другой DNS-сервер, контролирующий обратную зону. Поэтому создадим ее сами, для этого переходим в диспетчер DNS (DNS Manager), на вкладку Reverse Lookup Zones, кликаем правой кнопкой и выбираем New Zone.

Запустится мастер DNS-зоны. Соглашаемся с параметрами по умолчанию, а именно нам предлагается создать основную зону которая будет хранится на этом сервере (Primary Zone) и будет интегрирована в Active Directory (Store the zone in Active Directory..). Нажимаем Next.

На следующем экране, предлагается выбрать как зона будет реплицироваться, обмениваться данными с другими зонами расположенными на контроллерах и DNS-серверах. Возможны следующие варианты:

Для всех DNS-серверов расположенных на контроллере домена в этом лесу (То all DNS servers running on domain controllers in this forest). Репликации во всем лесу Active Directory включая все деревья доменов.

Для всех DNS-серверов расположенных на контроллере домена в этом домене (То all DNS servers running on domain controllers in this domain). Репликация внутри текущего домена и его дочерних доменов.

Для всех контроллеров домена в этом домене (То all domain controllers in this domain). Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.

На все контроллеры домена в указанном разделе каталога приложений (To all domain controllers specified in the scope of this directory partition). Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога. Подробнее.

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS — это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

Теперь настроим службу DHCP. Запускаем оснастку.

Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

Далее укажем начальный и конечный адрес диапазона сети.

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.

Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу «DnsUpdateProxy». Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

Нажимаем Credentials и указываем там нашего пользователя DHCP.

Нажимаем ОК, перезапускаем службу.

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум второй и последующий контроллеры домена.

Или через консоль командной строки:

Win + X - Командная строка (администратор)

C:\Windows\system32>netdom query dc

Список контроллеров домена с учетными записями в домене:

SRV-DC1

SRV-DC2

Команда выполнена успешно.

Шаг №4:

Чтобы отобразить какой функциональный уровень леса:

C:\Windows\system32>dsquery * "CN=Partitions,CN=Configuration,DC=polygon,DC=local" -scope base -attr msDS-Behavior-Version

msDS-Behavior-Version 6 — где данное значение расшифровывается, как Windows Server 2012 R2

Чтобы отобразить какой функциональный уровень домена:

C:\Windows\system32>dsquery * "dc=polygon,dc=local" -scope base -attr msDS-Behavior-Version ntMixedDomain

msDS-Behavior-Version ntMixedDomain

6 0 — где данное значение расшифровывается, как Windows Server 2012 R2

Чтобы отобразить версию схемы Active Directory Schema:

C:\Windows\system32>dsquery * "CN=Schema,CN=Configuration,dc=polygon,dc=local" -scope base -attr objectVersion

objectVersion

87 — где данное значение расшифровывается, как Windows Server 2016, а все из-за того, что я в текущем домене сделал контроллером домена новую систему, а значит и могу поднять функциональный уровень домена и уровень леса.

Шаг №5: Начинаю модернизацию уровня домена и уровня леса, дабы ввести после еще один контроллер домена на базе Windows Server 2016, а текущий srv-dc1 (на базе Windows Server 2012 R2) понизить, тем самым я буду использовать в домене все самое последнее и новое.

[stextbox id=’alert’ color=’000000′]На заметку: Первым делом следует проверить через команду dcdiag, что в текущем домене нет ошибок и только после этого приступать к действиям ниже, а также не забыть проверить логи системы Windows.[/stextbox]

Авторизуюсь на домен контроллере srv-dc2 под учетной записью ekzorchik (она состоит в следующих группах: Domain Admins, Enterprise Admins, Schema Admins)

Смотрю какие роли FSMO у какого контроллера домена сейчас:

Win + X — Командная строка (Администратор)

C:\Windows\system32>netdom query fsmo

Хозяин схемы srv-dc1.polygon.local
Хозяин именования доменов srv-dc1.polygon.local
PDC srv-dc1.polygon.local
Диспетчер пула RID srv-dc1.polygon.local
Хозяин инфраструктуры srv-dc1.polygon.local

Команда выполнена успешно.

[stextbox id=’alert’]

На заметку: Обозначение ролей FSMO

Schema Master (Владелей схемы) — Отвечает за внесение изменений в схему Active Directory. Эта роль необходима для предотвращения противоречивых изменений с двух серверов.
Domain Naming Master (Владелец доменных имен) — Отвечает за состав леса, принимает и удаляет домены.
RID Master (Владелец относительных идентификаторов) — Выдает и удаляет относительные идентификаторы любых объектов (пользователей, компьютеров, принтеров) в домене.
PDC Emulator (Эмулятор основного контроллера домена) — Эмулирует основной контроллер домена для приложений, работающих с возможностями домена Windows NT.
Infrastructure Master (Владелец инфраструктуры домена) — Поддерживает идентификаторы удаляемых или перемещаемых объектов на время репликации изменений (с удалением или перемещением) между контроллерами домена.

[/stextbox]

Забирать роли можно как через GUI-оснастки, как делалось при миграции с Server 2003, 2008/R2, 2012/R2 так и через консоль командной строки. Я буду рассматривать второй вариант, т. к. это быстрее и чуть больше буду знать в последствии, также следует учесть что захват ролей можно сделать не только через powershell, но и через команду ntdsutil.

roles
connections
connect to server <имя сервера>
quit

Затем применительно к каждой роли FSMO производим захват/миграцию:

seize schema master
seize domain naming master
seize pdc
seize rid master
seize infrastructure master

После не забывает выйти из консоли команды ntdsutil вводом quit.

C:\Windows\system32>powershell

Windows PowerShell

PS C:\Windows\system32>

Вы можете ввести имя каждого — OperationMasterRole или числа используются для указания роли, где 0,1,2,3,4 — это эквивалент набранного: SchemaMaster, DomainNamingMaster, PDCEmulator, RIDaster, InfrastructureMaster

PS C:\Windows\system32> Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -OperationMasterRole 0,1,2,3,4

[stextbox id=’alert’]

Для справки:

PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

[/stextbox]

Перемещение роли хозяина операций

Вы хотите переместить роль "PDCEmulator" на сервер "srv-dc2.polygon.local"?

[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка

(значением по умолчанию является "Y"):A

Move-ADDirectoryServerOperationMasterRole : Служба каталогов недоступна

строка:1 знак:1

+ Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -Operat ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : NotSpecified: (srv-dc2:ADDirectoryServer) [Move-ADDirector...ationMasterRole], ADExcepti

on

+ FullyQualifiedErrorId : ActiveDirectoryServer:8207,Microsoft.ActiveDirectory.Management.Commands.MoveADDirectory

ServerOperationMasterRole

Так почему-то вываливается в ошибку, разбираюсь почему и как это исправить. Смотрю, какие роли FSMO сейчас у кого в подчинении:

PS C:\Windows\system32> netdom query fsmo

Хозяин схемы srv-dc1.polygon.local
Хозяин именования доменов srv-dc1.polygon.local
PDC srv-dc2.polygon.local
Диспетчер пула RID srv-dc2.polygon.local
Хозяин инфраструктуры srv-dc2.polygon.local

Команда выполнена успешно.

Так осталось разобраться с ошибкой и перевести роль «Хозяина схемы» и «Хозяина именования доменов»:

PS C:\Windows\system32>> Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -OperationMasterRole 4

Перемещение роли хозяина операций

Вы хотите переместить роль "DomainNamingMaster" на сервер "srv-dc2.polygon.local"?

[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка

(значением по умолчанию является "Y"):A

Команда отработала без ошибок, а вот с ролью «Хозяин схемы» все также ошибка, применил ключ форсировки переноса роли:

PS C:\Windows\system32>> Move-ADDirectoryServerOperationMasterRole -Identity "srv-dc2" -OperationMasterRole 3 -force

Перемещение роли хозяина операций

Вы хотите переместить роль "SchemaMaster" на сервер "srv-dc2.polygon.local"?

[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка

(значением по умолчанию является "Y"):A

PS C:\Windows\system32>> netdom query fsmo

Хозяин схемы srv-dc2.polygon.local
Хозяин именования доменов srv-dc2.polygon.local
PDC srv-dc2.polygon.local
Диспетчер пула RID srv-dc2.polygon.local
Хозяин инфраструктуры srv-dc2.polygon.local

Команда выполнена успешно.

PS C:\Windows\system32>> exit

Перемещение роли хозяина операций

Вы хотите переместить роль "PDCEmulator" на сервер "srv-dc2.polygon.local"?

[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка

(значением по умолчанию является "Y"):A

PS C:\Windows\system32> exit

C:\Windows\system32>

Шаг №6: Удаляю контроллер домена под управлением Windows Server 2012 R2 из глобального каталога. На Server 2016 (srv-dc2) открываю оснастку:

Win + X — Панель управления — Администрирование — Active Directory Сайты и Службы и выделяю левой кнопкой мыши сервере srv-dc1 который являлся контроллером домена ранее в текущей сайте «Default-First-Site-Name» на NTDS Settings снимаю в свойствах галочку с настройки «Глобальный каталог»

Шаг №7: Понижаю уровень и удаляю контроллер домена под управлением Windows Server 2012 R2. Авторизуюсь на системе srv-dc1, запускаю командную строку с правами администратора и через powershell:

PS C:\Windows\system32> Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartition

LocalAdministratorPassword: ********* → здесь указываю пароль который задавал для режима восстановлена контроллера домена, он у меня такой же как и для локального администратора
Confirm LocalAdministratorPassword: ********* → здесь указываю пароль который задавал для режима восстановлена контроллера домена, он у меня такой же как и для локального администратора

The server will be automatically restarted when this operation is complete. The

domain will no longer exist after you uninstall Active Directory Domain

Services from the last domain controller in the domain.

Do you want to continue with this operation?

[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help

(default is "Y"):A после ожидаю…все отработало как надо и система автоматически отправится в перезагрузку. Так и должно быть.

Шаг №8: Теперь можно повысить функциональный уровень домена и леса. Авторизуюсь на srv-dc2 (Windows Server 2016) и через Powershell:

Win + X — Командная строка (Администратор)

C:\Windows\system32>powershell

PS C:\Windows\system32> Set-ADDomainMode -identity polygon.local -DomainMode Windows2016Domain

Подтверждение

Вы действительно хотите выполнить это действие?

Выполнение операции "Set" над целевым объектом "DC=polygon,DC=local".

[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка

(значением по умолчанию является "Y"):A

PS C:\Windows\system32> Set-ADForestMode -identity polygon.local -ForestMode Windows2016Forest

Подтверждение

Вы действительно хотите выполнить это действие?

Выполнение операции "Set" над целевым объектом "CN=Partitions,CN=Configuration,DC=polygon,DC=local".

[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка

(значением по умолчанию является "Y"):A

Шаг №9: Проверяю текущий функциональный уровень домена и леса:

PS C:\Windows\system32> get-addomain | fl Name,DomainMode ;get-adforest | fl Name,ForestMode

Name : polygon

DomainMode : Windows2016Domain

Name : polygon.local

ForestMode : Windows2016Forest

Как видно модернизация домена с Windows Server 2012R2 на Windows Server 2016 прошла успешно и я могу пользоваться новыми возможностями и строить доменную структуру на новом, самом последнем релизе что не может не радовать. Это же замечательно, когда все действия отрепетированы и для тебя нет ничего страшного если вдруг что-то пойдет не так.

Задача данной заметки выполнена и я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

`ФПКП информирует: объявлен набор в группу по обучению системному администрированию «Установка и настройка Windows Server 2012 R2»`

`УСТАНОВКА И НАСТРОЙКА WINDOWS SERVER 2012 R2`

Направление обучения: системное администрирование Продолжительность: 40 часов Курс предназначен для тех, кому требуется работать с Windows Server 2012 R2 и является базовой для других программ по Windows Server 2012 R2. Слушатели получат знания и навыки по внедрению и использованию базовых инфраструктурных служб в среде Windows Server 2012 R2. Курс подготавливает к сдаче сертификационного экзамена 70-410 Installing and Configuring Windows Server 2012. Начало занятий с 22 октября 2018 г. Занятия 2-3 раза в неделю по вечерам Обращаться на Факультет повышения квалификации преподавателей (Б-131) с 13-15 до 14-00, или по тел. 26-98-06, +79203722173, e-mail: [email protected]

Программа курса

1. Развертывание и управление Windows Server 2012 R2 (3 час.)

Обзор Windows Server 2012 R2
Установка Windows Server 201 2R2
Настройка Windows Server 2012 R2 после установки
Обзор задач по управлению Windows Server 2012 R2
Введение в Windows PowerShell

2. Основы Active Directory Domain Services (3 час.)

Введение в AD DS
Обзор функций контроллера домена
Установка контроллера домена

3. Управление объектами Active Directory Domain Services (3 час.)

Управление учетными записями пользователей
Управление группами
Управление учетными записями компьютеров
Делегирование административных задач

4. Автоматизация администрирования Active Directory Domain Services (3 час.)

Использование средств командной строки для администрирования AD DS
Использование Windows PowerShell для администрирования AD DS
Произведение множественных операций с использованием Windows PowerShell

5. Внедрение IPv4 (3 час.)

Обзор TCP/IP
Понимание IPv4 адресации
Выделение и объединение подсетей
Настройка и устранение неполадок IPv4

6. Внедрение DHCP (3 час.)

Установка роли DHCP сервер
Настройка DHCP областей
Управление базой данных DHCP
Защита и мониторинг DHCP

7. Внедрение DNS (3 час.)

Процесс разрешения имен в Windows
Установка сервера DNS
Управление зонами DNS

8. Внедрение IPv6 (3 час.)

Обзор IPv6
IPv6 адресация
Сосуществование с IPv4
Транзитные технологии IPv6

9. Хранение данных (4 час.)

Обзор методов хранения данных
Управление дисками и томами
Использование пространств хранения

10. Службы доступа к файлам и печати (3 час.)

Защита файлов и папок
Защита папок средствами теневого копирования
Настройка Рабочих папок
Настройка сетевой печати

11. Применение Group Policy (3 час.)

Обзор групповой политики
Обработка групповых политик
Применение централизованного хранилища Административных шаблонов

12. Обеспечение безопасности Windows Server с применением Group Policy (3 час.)

Обзор безопасности операционных систем Windows
Настройка параметров безопасности

13. Виртуализация с помощью Hyper-V (3 час.)

Обзор технологий виртуализации
Применение Hyper-V
Управление хранилищем виртуальных машин
Управление виртуальными сетями

`Добавление контроллера домена сервера 2019`

Здравствуйте, ВалдыРоссит-0408,

Спасибо, что разместили здесь.

Вот ответ на ваши ссылки.

Q: в настоящее время у нас есть основной контроллер домена 2008 R2 и дополнительный контроллер домена 2012 R2. Мы хотели бы добавить контроллер домена 2019 и понизить уровень 2008. A: 1. Перед добавлением DC 2019 в существующий домен мы должны убедиться: Минимальные требования для добавления контроллера домена Windows Server 2019 это функциональный уровень Windows Server 2008.Домен также должен использовать DFS-R в качестве механизма для репликации SYSVOL.

Таким образом, мы можем проверить функциональный уровень леса и функциональный уровень домена на основном контроллере домена 2008 R2, как показано ниже:

Проверьте функциональный уровень через графический интерфейс. Откройте Active Directory Domains and Trusts \ щелкните правой кнопкой мыши Active Directory Domains and Trusts \ Raise Forest Functional Level \ Проверьте функциональный уровень леса. Откройте Active Directory Domains and Trusts \ щелкните правой кнопкой мыши имя домена \ Поднять функциональный уровень домена \ Проверить функциональный уровень домена.

Или проверьте функциональный уровень с помощью команды PowerShell. (Get-ADForest) .ForestMode (Get-ADDomain) .DomainMode

Проверьте, является ли репликация SVSVOL типом репликации DFR или типом репликации FRS на основном контроллере домена 2008 R2 через реестр. HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ DFSR \ Parameters \ SysVols \ Migrating Sysvols \ LocalState подраздел реестра . Если этот подраздел реестра существует и его значение установлено на 3 (УДАЛЕНО), используется DFSR.Если подключ не существует или имеет другое значение, используется FRS.

2. Прежде чем вносить какие-либо изменения в существующую среду домена AD, нам лучше сделать: 1) Проверить работоспособность среды AD. Убедитесь, что все контроллеры домена в этом домене работают нормально, запустив Dcdiag / v . Проверьте, правильно ли работает репликация AD, запустив repadmin / showrepl и repadmin / replsum . 2) Нам лучше сделать резервную копию всех контроллеров домена.

3. Для добавления контроллера домена 2019 выполните следующие действия для справки: 1) Добавьте новый сервер Windows 2019 в существующий домен. 2) Добавьте роли AD DS и DNS и продвигайте этот Windows server 2019 как DC (как GC). 3) Проверьте, снова ли работоспособна среда AD. 4) Если среда AD работает нормально, при необходимости мы можем перенести роли FSMO на новый DC 2019. 5) Понизьте уровень старого DC 2008 R2, если необходимо, после передачи ролей FSMO. Перед тем как понижать уровень 2008 R2 DC, мы также должны проверить:

Если удаленный контроллер домена был DNS-сервером, обновите конфигурацию DNS-клиента на всех рядовых рабочих станциях, рядовых серверах и других контроллерах домена, которые могли использовать этот DNS-сервер для разрешения имен.Если это необходимо, измените область DHCP, чтобы отразить удаление DNS-сервера.

Если удаленный контроллер домена был DNS-сервером, обновите параметры пересылки и настройки делегирования на любых других DNS-серверах, которые могли указывать на удаленный контроллер домена для разрешения имен.

4. Из сообщения об ошибке « Не удалось выполнить проверку предварительных условий для повышения уровня контроллера домена. Функциональный уровень леса не поддерживается. … », возможно, нужно поднять функциональный уровень леса.

Прежде чем повышать функциональный уровень, мы должны понять:

1) Убедитесь, что все функциональные уровни домена равны или выше функционального уровня леса; 2) Убедитесь, что уровень операционной системы всех контроллеров домена равен или выше функционального уровня домена; 3) Уровень функции домена может быть обновлен только на PDC; 4) Функциональный уровень леса можно обновить только на хозяине схемы. 5) Методы повышения: Откройте Active Directory Domains and Trusts \ щелкните правой кнопкой мыши Active Directory Domains and Trusts \ Raise Forest Functional Level. Откройте Active Directory Domains and Trusts \ щелкните правой кнопкой мыши имя домена \ Повысить функциональный уровень домена. 6) В качестве напоминания, возможно, на приложения на рабочих станциях или рядовых серверах может повлиять функциональный уровень леса и / или версия операционной системы контроллеров домена. Поэтому, прежде чем повышать функциональный уровень леса, мы можем проверить, не влияет ли оно на какое-либо приложение в вашей среде AD.

Например: Может ли поддерживаться конкретная версия Exchange, это зависит от версии операционной системы сервера, установленной с Exchange, версии Exchange и сред Active Directory (включая версию операционной системы DC и функциональный уровень леса AD).

Матрица поддержки Exchange Server https://docs.microsoft.com/en-us/Exchange/plan-and-deploy/supportability-matrix?view=exchserver-2019

Если нам нужно перенести SVYSVOL из FRS в DFSR, для миграции FRS в DFSR, мы можем обратиться к ссылке ниже. https://techcommunity.microsoft.com/t5/Storage-at-Microsoft/Streamlined-Migration-of-FRS-to-DFSR-SYSVOL/ba-p/425405

5. Если вы уже добавили один DC 2019 в существующий домен, а функциональный уровень или тип репликации SYSVOL не соответствует требованиям AD: 1) Мы можем понизить этот DC 2019, проверьте работоспособность AD. 2) Повысьте функциональный уровень или перенесите SYSVOL, если необходимо. 3) Еще раз проверьте работоспособность AD. 4) Повторно продвигайте этот сервер 2019 как DC.

Если это не сработает, чтобы лучше устранить проблему, подтвердите следующую информацию:

1. Является ли функциональный уровень леса и функциональный уровень домена одновременно 2008 R2 или выше? 2.Это режим репликации SYSVOL: FRS или DFSR? 3. Следуйте описанному выше методу, чтобы проверить, правильно ли работает среда AD? 4.Вы уже добавили DC 2019 в домен? 5. На каком сервере вы запускаете команду PowerShell (выполняете ли вы команду PS на новом DC 2019)?

Надеюсь, что приведенная выше информация окажется полезной. Если что-то неясно, дайте нам знать.

С уважением, Дейзи Чжоу

`Добавить еще один контроллер домена (DC) в Active Directory`

После того, как ваш первый контроллер домена уже используется, пора добавить еще один контроллер домена Windows Server 2016 в вашу среду Active Directory.Либо из-за избыточности, балансировки нагрузки, либо просто потому, что другой DC считает правильный путь. Это процесс, который мы реализуем в текущей статье, которая так же проста и проста, как и предыдущая.

Чтобы сделать сценарий немного более реалистичным, я уже настроил первый DC с именем DC01 с доменом Active Directory «meraki.edu». Теперь я добавлю второй DC с именем DC02 к тому же домену AD, который также будет выполнять роль DNS-сервера и глобального каталога. Два контроллера домена находятся в одной IP-подсети и имеют прямую связь друг с другом по локальному (LAN) соединению.В DC02 я изначально настроил параметры сети, изменил имя сервера на DC02 и присоединил его к локальному домену Active Directory.

Итак, процесс снова будет состоять из двух шагов:

Установка роли доменных служб Active Directory
Повысить уровень сервера до контроллера домена

`Установите роль доменных служб Active Directory`

Откройте диспетчер сервера, щелкните Управление , а затем Добавить роли и компоненты .

Сразу после этого откроется окно мастера. В разделе Перед началом работы нажмите Далее , чтобы продолжить.

В разделе Тип установки выберите Ролевая или функциональная установка и нажмите Далее , чтобы продолжить.

В разделе Server Selection убедитесь, что выбран нужный сервер, и нажмите Next , чтобы продолжить.

В разделе Роли сервера выберите Доменные службы Active Directory . Как только вы это сделаете, вам будет предложено добавить некоторые дополнительные функции. Нажмите кнопку Добавить функции , а затем нажмите Далее , чтобы продолжить.

В разделе Features ничего выбирать не нужно, просто нажмите Next , чтобы продолжить.

В разделе AD DS отображается некоторая информация о AD DS, просто нажмите Next , чтобы продолжить.

Наконец, в разделе Confirmation нажмите кнопку Install , чтобы продолжить установку роли.

`Повысить уровень сервера до контроллера домена`

После завершения роли, если вы не закроете окно, вам будет предложено повысить уровень сервера до контроллера домена (DC).

В качестве альтернативы вы можете открыть то же окно через диспетчер сервера, как показано на рисунке ниже.

По сути, это мастер настройки развертывания Active Directory, который поможет вам добавить еще один контроллер домена в среду Active Directory.

В разделе Deployment Configuration , поскольку лес AD уже существует, включите Добавить контроллер домена к существующему домену , а затем введите имя домена в соответствующее поле. В моем случае это meraki.edu. Вам также необходимо будет предоставить учетные данные учетной записи, которая может добавлять контроллер домена к существующему домену, например администратора домена. Чтобы продолжить, нажмите Далее .

В разделе Параметры контроллера домена включите (при желании) параметры сервера доменных имен (DNS) и глобального каталога, оставьте имя сайта по умолчанию и введите пароль режима восстановления служб каталогов (DSRM).Сохраните этот пароль в своей документации. Щелкните Next , чтобы продолжить.

В подразделе DNS Options , который вы увидите, только если вы установите роль DNS, появится предупреждающее сообщение, но на данный момент это не должно вас беспокоить. Просто нажмите Next , чтобы продолжить.

В разделе Additional Options вы можете выбрать контроллер домена для репликации на текущий DC. Если у вас нет конкретной причины, оставьте значение по умолчанию Любой контроллер домена и нажмите Далее , чтобы продолжить.

В разделе Paths выберите, где на вашем сервере будут находиться папки NTDS, SYSVOL и LOG. В моем случае я оставлю стандартные, вы можете выбрать другой диск исходя из ваших предпочтений и настроек.

В разделе Review Options вы увидите сводку выбранных вами настроек. Убедившись, что не ошиблись, нажмите Далее , чтобы продолжить.

В разделе Проверка предварительных требований будут проверены предварительные условия (да).Здесь, если произойдет хотя бы одна ошибка, вы не сможете продолжить, и вам нужно будет исправить ее, прежде чем продолжить. В противном случае, если отображаются только предупреждающие сообщения (которые являются наиболее распространенными), но проверка «прошла», как показано на рисунке, нажмите кнопку Install , чтобы продолжить.

На этом этапе вам нужно подождать несколько минут, пока процесс установки не будет завершен. Сразу после этого сервер автоматически перезагрузится.

После перезагрузки ваш новый контроллер домена готов.Первая полная репликация может занять несколько минут, но процесс установки завершен.

`Добавить резервный контроллер домена в существующий домен AD`

Домен Active Directory с уникальным первичным контроллером домена (PDC) — это то, на что вам не следует полагаться. Аппаратный сбой может сделать ваш день действительно плохим, и по этой причине Microsoft дает нам возможность добавить (или больше) Backup Domain Controller (BDC) к нашему домену.

Конфигурация очень проста на Windows Server 2012 // R2 , очень ценный подарок от Редмонда.

Прежде всего, добавьте роль доменных служб Active Directory на наш новый сервер (который должен находиться в той же локальной сети — или VPN — основного контроллера домена, но за пределами домена):

Теперь, когда доменных служб Active Directory установлены, откройте настройки сети и добавьте первичный контроллер домена в качестве первичного DNS-сервера (в нашем примере 192.168.2.103 , а IP-адрес BDC — 192.168.2.104 ). Затем перезапустите машину:

Пришло время настроить новый резервный контроллер домена . Щелкните Повысить уровень этого сервера до контроллера домена:

Проверьте Добавьте контроллер домена к существующему домену , затем щелкните Выберите:

Укажите учетные данные администратора домена:

Выберите домен:

Укажите пароль для режима восстановления служб каталогов , затем нажмите Далее:

Нажмите Далее:

Выберите основной контроллер домена из раскрывающегося меню, затем щелкните Далее:

Пути по умолчанию в порядке.Нажмите Далее:

Нажмите Далее:

Windows Server проверит, все ли в порядке. Затем нажмите Установить:

Через несколько минут резервный контроллер домена будет готов. Просто перезапустите машину и не забудьте добавить резервный контроллер домена IP в качестве вторичного DNS-сервера на ваших клиентских машинах:

`Использование DCPromo для продвижения контроллеров домена AD — TheITBros`

Консольная утилита DCPROMO используется в Windows Server для установки роли ADDS (доменные службы Active Directory), повышения или понижения уровня рядового сервера до контроллера домена AD.

 dcpromo / unattend [: имя файла] / adv / uninstallBinaries / CreateDCAccount / UseExistingAccount: Attach [: {Продвижение | CreateDcAccount | UseExistingAccount | Demotion}] / ?: Продвижение, / ?: CreateDCAccount, / ?: UseExistingAccount и / ?: Demotion

Аргументы командной строки Dcpromo:

/ unattend [: filename]	Используется для указания режим автоматической установки AD и путь к файлу сценария.
/ adv	Включает расширенные параметры пользователя.
/ uninstallBinaries	Используется для удаления двоичных файлов доменных служб Active Directory с текущего сервера.
/ CreateDCAccount	Создает учетную запись RODC (контроллер домена только для чтения).
/ UseExistingAccount: Attach	Присоединяет текущий сервер к учетной записи RODC.
/ forceRemoval	Удаляет службы Active Directory на этом контроллере домена. Учетная запись контроллера домена не будет удалена в каталоге, а изменения, произошедшие на этом контроллере домена с момента последней репликации с партнером, будут потеряны.
[: {Продвижение \| CreateDcAccount \| UseExistingAccount \| Demotion}] / ?: Повышение, / ?: CreateDCAccount, / ?: UseExistingAccount и / ?: Demotion	Отображает автоматические параметры, применимые к указанной задаче. / CreateDCAccount и / UseExistingAccount: Attach являются взаимоисключающими.

Средство dcpromo можно использовать для автоматической установки первого контроллера домена на сервере Windows Server, не присоединенном к домену. Создайте новый текстовый файл c: \ dcpromo_unattend.txt со следующим текстом.

 [DCInstall]
ReplicaOrNewDomain = Домен
NewDomain = Лес
NewDomainDNSName = theitbros.com
ForestLevel = 3
DomainNetbiosName = theitbros
DomainLevel = 3
InstallDNS = Да
ConfirmGc = Да
CreateDNSDelegation = Нет
DatabasePath = "C: \ Windows \ NTDS"
LogPath = "C: \ Windows \ NTDS"
SYSVOLPath = "C: \ Windows \ SYSVOL"
SafeModeAdminPassword = Pa ## w0rd11s
RebootOnCompletion = Да

Откройте командную строку с повышенными привилегиями и выполните следующую команду, чтобы повысить уровень текущего сервера до первого контроллера домена в новом лесу домена theitbros.com.

 dcpromo.exe /unattend:C:\dcpromo_unattend.txt

После завершения сценария вы получите полнофункциональный контроллер домена с установленной ролью ADDS.

С помощью команды dcpromo / forceremoval можно понизить роль контроллера домена до рядового сервера. Если одна из ролей FSMO обнаружена на контроллере домена, вам будет предложено сначала передать ее на другой DC. Если этот сервер является глобальным каталогом, также появится предупреждение.

Dcpromo использовался для повышения рядовых серверов до контроллеров домена в Windows Server 2000, 2003, 2008, 2008 R2, однако, начиная с Windows Server 2012 и новее, команда Dcpromo устарела.

При попытке запустить команду dcpromo в Windows Server 2012 R2 появится предупреждение:

Мастер установки служб Active Directory перемещен в диспетчер сервера.

Таким образом, в Windows Server 2012 R2, 2016 и 2019 вы можете повысить уровень Windows Server до контроллера домена с помощью диспетчера сервера или модуля PowerShell ADDSDeployment (который фактически запускается в мастере «Повысить этот сервер до контроллера домена. »Во время установки роли ADDS при указании настроек для нового контроллера домена.

Для установки нового контроллера домена с помощью модуля ADDSDeployment можно использовать следующий сценарий PowerShell:

 Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Импорт-модуль ADDSDeployment
Установить-ADDSDomainController `
-NoGlobalCatalog: $ false `
-CreateDnsDelegation: $ false `
-CriticalReplicationOnly: $ false `
-DatabasePath «C: \ Windows \ NTDS» `
-DomainName «theitbros.com» `
-InstallDns: $ true `
-LogPath «C: \ Windows \ NTDS» `
-NoRebootOnCompletion: $ false `
-SiteName «Default-First-Site-Name» `
-SysvolPath «C: \ Windows \ SYSVOL» `
-Force: $ true

Однако команду dcpromo / unattend можно использовать в различных сценариях для автоматической настройки нового контроллера домена в Windows Server Core (он не содержит графического интерфейса пользователя).

Мне нравятся технологии и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом о гаджетах, администрировании ПК и продвижении веб-сайтов.

Последние сообщения Кирилла Кардашевского (посмотреть все)

`Добавление вторичного контроллера домена Active Directory на Windows Server 2016`

После настройки Active Directory (AD) на нашем сервере Windows рекомендуется иметь другой сервер, который будет вторичным контроллером домена Active Directory , который станет резервным для Active Directory на случай, если что-то случится с первым сервером AD.

Ниже приведено подробное руководство о том, как правильно настроить вторичный контроллер домена Active Directory на Windows Server 2016.

`Примечание`

Первичный относится к первому серверу Windows Server, с которым мы устанавливаем Active Directory.

Вторичный относится ко второму серверу Windows, который мы установим Active Directory. Это то, что мы здесь настроим.

Вот основные шаги, которые нам нужно сделать.

`Настройка`

`Тестирование`

`Настройка`

`Основной: получить IP-адрес основного контроллера домена Active Directory`

Войдите в свой основной сервер Active Directory Windows Server.

Щелкните правой кнопкой мыши на значке окна в нижнем левом углу экрана. Затем щелкните Командная строка .

В окне командной строки введите ipconfig , затем нажмите Enter.

Обратите внимание на IPv4-адрес . Это понадобится вам позже на вторичном сервере Windows.

В моем случае IPv4-адрес — 172.31.25.216 . Ваш будет другим, поскольку у вас другая сеть.

Получив IPv4, вы можете выйти из основного сервера AD Windows Server.

`Вторичный: изменение имени компьютера под управлением Windows Server`

Я переименовал свой основной сервер AD Windows Server в DC01 (контроллер домена 01). Поскольку я настраиваю дополнительный сервер AD Windows Server, я назову его DC02 (контроллер домена 02). Вы можете назвать свой Windows Server как хотите.

Чтобы изменить имя компьютера вторичного Windows Server, следуйте инструкциям в моем сообщении «Изменение имени компьютера в Windows Server 2016».

`Вторичный: обновите адрес DNS-сервера`

Теперь, когда мы обновили имя компьютера нашего вторичного сервера Windows, теперь нам нужно указать адрес DNS-сервера этого сервера на наш первичный сервер AD Windows. Это необходимо, если мы хотим иметь возможность общаться с первичным сервером.

Щелкните правой кнопкой мыши на значке окна в нижнем левом углу экрана. Затем щелкните Сетевые подключения .

Поскольку мой вторичный сервер Windows подключен через Ethernet, мое сетевое соединение — Ethernet.Если вы подключены к Wi-Fi, ваше сетевое подключение — Wi-Fi.

Поскольку я использую Ethernet, я буду использовать Ethernet как сетевое соединение. Отрегулируйте соответственно.

Щелкните правой кнопкой мыши Ethernet , затем щелкните Properties .

Щелкните Internet Protocol Version 4 (TCP / IPv4) , не снимайте этот флажок. Затем щелкните Свойства .

Нажмите кнопку радиона Используйте следующие адреса DNS-серверов: .

Введите следующее.

Предпочитаемый DNS-сервер: IP-адрес вашего основного сервера Active Directory Windows. У меня 172.31.25.216. Ваш был бы другим.

Альтернативный DNS-сервер: 127.0.0.1

Примечание. 127.0.0.1 означает, что этот IP-адрес указывает сам на себя. Если вы хотите узнать больше о 127.0.0.1, прочтите этот пост.

Затем нажмите ОК .

Мы успешно обновили адрес нашего DNS-сервера.

Вы можете закрыть все остальные окна и перейти к следующему шагу.

`Дополнительный: установить компонент Active Directory`

Этот шаг в основном устанавливает Active Directory на наш вторичный сервер Windows. Практически тот же шаг, что и первичный сервер AD Windows Server. Это будет отложено, когда вы дойдете до перехода от сервера к контроллеру домена.

Щелкните значок окна в нижнем левом углу. Затем щелкните Server Manager .

Щелкните Добавить роли и функции .

В окне мастера добавления ролей и компонентов щелкните Далее .

Убедитесь, что выбрано Установка на основе ролей или функций . Затем нажмите Далее .

Убедитесь, что Выбрать сервер из пула серверов выбран, а ваш Secondary Windows Server выбран из списка пула серверов.

Щелкните Далее .

Отметьте в списке Доменные службы Active Directory .Появится окно.

Щелкните Добавить функции .

Теперь, когда доменные службы Active Directory отмечены, нажмите Далее .

При выборе функций просто нажмите Далее .

На этой странице объясняется, что такое Active Directory. Просто нажмите Далее .

Щелкните Установить .

Начнется установка. Вы можете подождать 3-5 минут.

После завершения установки строка состояния будет заполнена, и на ней будет указано, что требуется конфигурация. Установка на DC02 прошла успешно.

Сделайте НЕ нажмите Закрыть.

Перейти к следующему шагу.

`Вторичный: повысить сервер до контроллера домена`

Это то, чем он отличается от основного сервера AD Windows Server, поскольку мы сначала должны подключиться к основному и быть членом домена Active Directory, прежде чем повышать его до контроллера домена.

Если вы не выполнили шаг по обновлению адреса DNS-сервера, у вас возникнут проблемы с этим.

Щелкните Сделайте этот сервер контроллером домена . Появятся новые окна.

Убедитесь, что выбрано Добавить контроллер домена в существующий домен .

Затем введите Domain , который вы выбрали в своем основном сервере AD Windows Server. В моем случае я выбрал домен ad.radishlogic.com. Ваш был бы другим.

Нажмите Выберите…

Появится окно с запросом учетных данных для операции развертывания.

Введите следующие значения.

Имя пользователя: [домен] \ Администратор
Пароль: ваш пароль

Затем щелкните ОК .

Появится другое окно. Выберите свой домен и нажмите ОК .

Вернувшись на страницу конфигурации развертывания, вы увидите, что отображается ваш администратор Active Directory.

Щелкните Далее .

Убедитесь, что следующие проверены: Сервер системы доменных имен (DNS) и Глобальный каталог (GC) .

Создайте пароль режима восстановления служб каталогов (DSRM) . Обычно у меня тот же пароль DSRM, что и у основного сервера AD Windows Server.

Щелкните Далее .

На странице «Дополнительные параметры» нажмите Далее .

На странице Пути обычно все в порядке. Щелкните Далее .

Проверьте настройку, затем щелкните Далее .

Дождитесь завершения проверки предварительных условий. Это займет около 3-5 минут.

После успешной проверки предварительных требований щелкните Установить .

Установка займет около 5-10 минут.

Когда установка будет завершена, появится синее окно с предупреждением о перезапуске сервера.

Просто нажмите Закройте .

Вторичный сервер Windows будет перезагружен, и будут выполнены следующие действия

Успешно установленная функция Active Directory
присоединился к вашей Active Directory, которую вы установили на основном AD Windows Server
стал контроллером домена Active Directory

Вы можете выполнить шаг тестирования, описанный ниже, но сначала мы должны выполнить необходимый шаг по обновлению адреса DNS-сервера нашего основного AD Windows Server.

`Вторичный: получите IP-адрес AD Windows Server`

Вернитесь к вторичному серверу AD Windows Server.

Такой же процесс перехода в командную строку на нашем основном сервере AD Windows Server. Та же команда, ipconfig .

Обратите внимание на IPv4-адрес , так как он вам понадобится на основном сервере.

Мой вторичный IPv4-адрес сервера AD — 172.31.28.247. Ваш был бы другим.

`Основной: обновить адрес DNS-сервера`

Войдите в первичный сервер AD Windows Server и откройте окно свойств протокола Интернета версии 4 (TCP / IP).

Вы можете сделать это, выполнив шаг «Обновите адрес DNS-сервера для вторичного сервера».

Выберите радиокнопку Используйте следующие адреса DNS-серверов .

Введите следующие значения.

Предпочитаемый DNS-сервер: 127.0.0.1

Альтернативный DNS-сервер: 172.31.28.247 (IPv4-адрес моего вторичного сервера AD Windows)

Поскольку это основной сервер AD Windows, он должен сначала проверить себя на наличие контроллера домена.Если есть проблема с его собственным контроллером домена, то пора проверить наш резервный контроллер домена, который является нашим вторичным сервером AD Windows.

`Тестирование`

`Вторичный: вход с помощью администратора Active Directory`

Поскольку я использую Amazon Web Services (AWS) EC2 в качестве виртуальной машины, для входа в систему мне нужно сделать это через подключение к удаленному рабочему столу (RDP).

В приложении «Подключение к удаленному рабочему столу» в Windows войдите, используя IP-адрес вашего Windows Server и имя пользователя в качестве администратора Active Directory, которое вы установили на основном сервере AD Windows — [домен] \ Administrator .

В моем случае мои значения следующие:

Компьютер: 13.229.71.130 — текущий общедоступный IP-адрес моего Windows Server на AWS EC2
Имя пользователя: ad.radishlogic.com \ Administrator

Ваши значения будут другими.

Щелкните Connect .

Появится всплывающее окно безопасности Windows.

Введите пароль для вашего администратора Active Directory. Затем нажмите ОК .

Может появиться предупреждающее сообщение относительно сертификата безопасности. Если вы заметили имя сертификата, в нем указано полное имя вашего вторичного сервера AD Windows Server. Это подтверждает, что ваш вторичный сервер AD Windows является членом настроенной нами Active Directory.

Щелкните Да .

Теперь мы вошли на наш вторичный сервер Active Directory Windows Server.

Проверьте информацию о системе, чтобы убедиться, что компьютер теперь является членом домена Active Directory.

`Вторичный: проверка пользователей и компьютеров Active Directory`

Щелкните значок окна в нижнем левом углу, а затем щелкните Server Manager .

Щелкните Tools и щелкните Active Directory Users and Computers из списка.

Откроется окно «Пользователи и компьютеры Active Directory».

Дважды щелкните домен (ad.radishlogic.com) на боковой панели, чтобы развернуть дерево папок. Затем щелкните Контроллеры домена .

Как видно из фотографии выше, теперь у нас есть 2 контроллера домена. Первичный и вторичный серверы Windows.

`Вторичный: проверьте DNS`

Щелкните значок окна в нижнем левом углу, а затем щелкните Server Manager .

Щелкните Tools , затем DNS .

В окне диспетчера DNS дважды щелкните имя компьютера (DC02). Затем дважды щелкните Зоны прямого просмотра , затем щелкните свой домен (ad.radishlogic.com).

В записях вы увидите, что ваш первичный и вторичный сервер AD Windows указаны как серверы имен (NS), поэтому теперь они отвечают за то, чтобы быть DNS-серверами в вашей сети.

Теперь мы успешно настроили и проверили наш вторичный сервер Active Directory Windows.

Если что-то случится с нашим первичным сервером, вторичный сервер будет нашей резервной копией.

Если у вас есть какие-либо вопросы, комментарии или исправления по вышеуказанным шагам, дайте мне знать в комментариях ниже. Я все еще хотел бы узнать больше о Windows Active Directory.

`Повышение уровня сервера до контроллера домена в Windows Server 2012`

Настройка Active Directory в Windows Server 2012 — процесс, достойный терпения и внимания к деталям. Он включает в себя установку роли доменных служб Active Directory , определение нового леса AD, создание первого (или корневого) домена в лесу, настройку DNS и повышение уровня рядового сервера до контроллера домена.Уф, похоже, это куча работы!

Не бойтесь, Петри здесь! В предыдущем сообщении Петри подробно описано, как установить и запустить роль доменных служб Active Directory на компьютере с Windows Server 2012. Эта статья проведет вас через оставшуюся часть процесса.

`Установка AD на Windows Server 2012 и добавление леса`

Прежде чем двигаться дальше, важно убедиться, что на рядовом сервере, который будет повышаться, установлена роль доменных служб Active Directory.Также должен быть настроен статический IP-адрес. Динамически настраиваемый IP-адрес на контроллере домена может привести к невероятно непредсказуемым результатам.

Войдите на сервер, на котором была установлена роль доменных служб Active Directory, используя учетную запись, которая является членом группы локального администратора.
Откройте Server Manager .
Щелкните значок Уведомления . Он выглядит как флаг и находится рядом с меню Manage .
Щелкните Сделайте этот сервер контроллером домена .

Это запустит Мастер настройки доменных служб Active Directory .
Установите переключатель в положение Добавить новый лес .
Введите имя для нового корневого домена. Помните, это тоже станет названием леса. В этом примере я буду использовать awstest.com.
Щелкните Далее .

Оставьте значения по умолчанию, выбранные для Опции контроллера домена .Введите пароль режима восстановления служб каталогов , , который будет использоваться для операций аварийного восстановления. Этот пароль действительно требует подтверждения в соответствии с определенными требованиями к сложности, но мастер предупредит вас, если они не будут соблюдены.
Щелкните Далее.

Поскольку DNS-сервер настраивается в рамках наших усилий, вы будете предупреждены, что делегирование для этого DNS-сервера не может быть создано. На это можно спокойно не обращать внимания.
Щелкните Далее .

Мастер назначит имя домена NetBIOS на основе имени домена, выбранного ранее. Я предлагаю оставить это и нажать Далее .

Подтвердите отображаемое расположение базы данных AD, затем щелкните Далее .

Экран параметров просмотра дает последний шанс убедиться, что выбрано все, что необходимо выбрать.
Щелкните Далее .

`Проверка предварительных условий`

Одна из замечательных функций мастера настройки доменных служб Active Directory Windows Server 2012 заключается в том, что перед началом установки он выполняет проверку предварительных требований. Это хорошо помогает убедиться, что ничего не пропало, что могло бы привести к заправке установки. Вы почти всегда будете получать несколько предупреждений. Первый уведомляет вас, что Windows Server 2012 имеет значения по умолчанию для определенных параметров безопасности, которые могут повлиять на очень старые ОС в сети, такие как Windows NT 4.0. Второй появляется, когда мастер собирается добавить DNS-сервер. Это повторение предыдущего сообщения о невозможности создания делегирования DNS-сервера. Обе эти ошибки в большинстве случаев можно игнорировать.

Если вы выбрали параметр, разрешающий автоматический перезапуск, не выдавать сигнал тревоги, когда компьютер перезагружается по желанию. Устройтесь поудобнее, расслабьтесь и наблюдайте, как происходит волшебство. Когда компьютер снова заработает, войдите в систему либо с учетной записью локального администратора, либо с новой учетной записью администратора домена.В любом случае вы заметите новые параметры в диспетчере серверов для AD DS и DNS.

Наша программа предварительной оценки Petri Office 365 предназначена для обмена подробными знаниями от ведущих экспертов по Office 365. Доставляется раз в месяц на ваш почтовый ящик.

Petri.com может использовать вашу контактную информацию для предоставления обновлений, предложений и ресурсов, которые могут вас заинтересовать. Вы можете отписаться в любое время. Чтобы узнать больше о том, как мы управляем вашими данными, вы можете прочитать нашу Политику конфиденциальности и Условия использования.

! Уже зарегистрированы на Petri.com? Войдите здесь для регистрации в 1 клик.

`Настройка контроллеров домена с помощью PowerShell`

А теперь по-настоящему интересный трюк. Как бы вы хотели сделать все вышеперечисленное с помощью однострочника single PowerShell? Вот как это сделать.

Войдите на сервер как администратор.
Откройте запрос PowerShell с повышенными привилегиями, щелкнув правой кнопкой мыши значок PowerShell и выбрав Запуск от имени администратора .
Введите Install-ADDSForest -DomainName awtest.com и нажмите Введите . Конечно, замените awstest.com своим доменным именем.
Командлет запросит пароль SafeModeAdministratorPassword. Это пароль режима восстановления служб каталогов, о котором я упоминал ранее. Введите пароль, который хотите установить, затем нажмите . Введите . Вам нужно будет подтвердить пароль, введя его еще раз.

Нажмите A , чтобы выбрать Да для всех , когда будет предложено все подтвердить.Система начнет действовать.

Нет ничего, кроме этого! Этот командлет делает все, включая добавление роли DNS-сервера, если это необходимо. Как это по эффективности?

Поскольку это первый и единственный существующий контроллер домена для нового леса и домена AD, он будет выполнять ряд дополнительных функций. Он будет действовать как глобальный каталог ( GC ), содержащий полную копию леса. Этот контроллер домена также будет выполнять все пять ролей FSMO.После повышения уровня дополнительных контроллеров домена можно перенести некоторые или все эти дополнительные обязанности. Это позволяет улучшить балансировку нагрузки и избыточность. Я предлагаю как минимум два контроллера домена даже в самой базовой инфраструктуре AD.

Вы можете улыбаться, чувствуя удовлетворение от хорошо выполненной работы! Вы установили Active Directory на Windows Server 2012, создали новый лес AD, новый домен и даже настроили DNS-сервер. Следите за предстоящей статьей Петри, в которой я расскажу, как добавить «безголовый» контроллер домена в домен с помощью Windows Server 2012 Server Core.Windows Server 2012 и Active Directory действительно созданы друг для друга!

Миграция

`Active Directory с Windows Server 2008 на 2019`

Последнее обновление: 12 августа 2020 г., Дишан М. Фрэнсис

Как вы, возможно, уже знаете, продукты Windows Server 2008 и 2008 R2 достигли конца расширенной поддержки 14.01.2020. Так что, если ваша Active Directory работает под управлением Windows Server 2008, пора поискать варианты обновления.

В этом сообщении блога я собираюсь продемонстрировать, как перенести Active Directory с Windows Server 2008 на Windows Server 2019.

AD Сама задача миграции очень проста. Но есть и другие вещи, которые необходимо учитывать перед выполнением миграции AD. Ниже я перечислил контрольный список, который вы можете использовать во многих случаях.

Контрольный список миграции Active Directory

• Оценить бизнес-требования для миграции Active Directory • Выполнить аудит существующей инфраструктуры Active Directory, чтобы убедиться в отсутствии существующих проблем со здоровьем • Предоставить план для процесса внедрения • Подготовить физические / виртуальные ресурсы для контроллера домена • Установить Windows server 2019 Standard / Datacenter • Патч-серверы с последними обновлениями Windows • Назначение выделенного IP-адреса контроллеру домена • Установка роли AD DS • Перенос ролей приложений и серверов с существующих контроллеров домена. • Перенести роли FSMO на новые контроллеры домена • Добавить новые контроллеры домена в существующую систему мониторинга • Добавить новые контроллеры домена в существующее решение аварийного восстановления • Вывести из эксплуатации старые контроллеры домена • Повысить функциональный уровень домена и леса • Вкл. Идет техническое обслуживание (обзор групповой политики, реализация новых функций, выявление и устранение проблем с инфраструктурой Active Directory)

Если в организациях используются AD DS, очевидно, что приложения, интегрированные в Active Directory.Некоторые из них могут использовать его только для аутентификации LDAP, а некоторые могут использовать расширенную интеграцию с измененной схемой Active Directory. при миграции Active Directory некоторые из этих приложений могут потребовать изменений или обновлений для соответствия новой версии AD DS. Поэтому перед процессом внедрения важно распознать эти интегрированные в Active Directory приложения и оценить их влияние на миграцию.

Изменения строки подключения LDAP — Для использования единого входа (SSO) с приложениями он может использовать подключения LDAP к контроллерам домена.иногда приложения используют жестко запрограммированные имена хостов или IP-адреса контроллеров домена для определения соединений. Если миграция домена включает изменение IP-адреса и изменения имени хоста, потребуется изменить эти записи.

Изменения версии схемы — Некоторые устаревшие приложения поддерживают только определенные версии схемы Active Directory. Это особенно актуально для приложений, интегрированных в Active Directory. Это очень редко, но мне приходится сталкиваться с этим в моих проектах миграции активных каталогов.Поэтому, если это малоизвестные приложения, узнайте у поставщика приложения, поддерживает ли он новую версию схемы AD DS.

Миграция приложений — В некоторых организациях есть устаревшие версии приложений, которые больше не поддерживаются и не разрабатываются их поставщиками. Бывают случаи, когда проблемы такого типа становятся узкими местами для проектов миграции AD. Когда-то я работал над проектом миграции с AD DS 2003 на AD DS 2012 R2. У организации было унаследованное приложение, работающее в системе Windows Server 2000.AD DS 2012 R2 не поддерживает рядовые серверы Windows Server 2000. Поставщик, создавший приложение, больше не работает. Затем нам пришлось предложить пользователям приложение аналогичного типа, которое поддерживает новые операционные системы, прежде чем мы начнем миграцию Active Directory.

Серверные роли / приложения, установленные на контроллерах домена — В большинстве случаев после миграции ролей FSMO на новые контроллеры домена старые контроллеры домена будут списаны. Несмотря на то, что Microsoft рекомендует не устанавливать приложения или другие роли сервера в контроллеры домена, люди все равно это делают.Некоторые из общих ролей, установленных на контроллерах домена, — это DHCP, файловые серверы, сервер лицензирования. Если существующие контроллеры домена подлежат списанию, эти приложения и роли серверов должны перенести новые серверы.

Наиболее частые вопросы о миграции Active Directory

Ниже я перечислил некоторые из наиболее часто задаваемых вопросов о миграции AD,

1. Могу ли я сохранить тот же IP-адрес для PDC? Да, можно. Active Directory полностью поддерживает изменение IP-адреса.После завершения миграции роли FDMO вы можете поменять местами IP-адреса контроллеров домена. 2. Могу ли я понизить функциональные уровни леса / домена? Да, это можно сделать с Windows server 2008 R2. 3. Нужно ли мне переносить роль DNS? Нет, это часть AD. Когда вы добавляете новый контроллер домена, вы также можете сделать его DNS-сервером. 4. Мне нужно изменить репликацию SYSVOL с FRS на DFS? Если ваш домен построен на базе Windows Server 2008 или Windows Server 2008 R2, вы уже используете DFS для репликации SYSVOL.Если вы изначально выполняли миграцию с Windows Server 2003, более вероятно, что вы все еще используете FRS. В этом случае после миграции вы также можете изменить метод репликации SYSVOL с FRS на DFS. У меня уже есть сообщение в блоге по этой теме https://www.rebeladmin.com/2015/04/step-by-step-guide-for-upgrading-sysvol-replication-to-dfsr-distributed-file-system-replication / 5. Могу ли я оставить контроллеры домена Windows 2008 и обновить функциональный уровень леса и домена до Windows Server 2016? (Windows server 2019 не имеет имени функционального уровня леса и домена, как Windows server 2019.он по-прежнему называется Windows server 2016) — Нет, нельзя. Перед обновлением функционального уровня леса и домена необходимо вывести из эксплуатации контроллеры домена Windows Server 2008.

Демо-среда

Как видно из рисунка выше, домен rebeladmin.com имеет два контроллера домена. Держатель роли FSMO (REBEL-DC2008) запускает контроллер домена на базе Windows Server 2008. Функциональный уровень домена и леса в настоящее время работает на Windows Server 2008.Будет представлен новый контроллер домена с Windows Server 2019 (REBEL-DC2019), который станет новым держателем роли FSMO для домена. после завершения миграции роли FSMO контроллер домена под управлением Windows Server 2008 будет выведен из эксплуатации. После этого леса и домена функциональный уровень будет повышен до Windows Server 2019.

Примечание — Когда вы вводите новые контроллеры домена в существующую инфраструктуру, рекомендуется сначала ввести их на корневой уровень леса, а затем перейти на уровни дерева доменов.

Добавить контроллер домена Windows server 2019

В качестве первой части конфигурации нам нужно сделать REBEL-DC2019 в качестве дополнительного контроллера домена. Для этого

1. Войдите на Сервер как член группы локальных администраторов. 2. Добавьте сервер в существующий домен в качестве участника. 3. Войдите в контроллер домена как администратор предприятия. 4. Проверьте выделение статического IP-адреса с помощью ipconfig / all . 5. Запустите консоль PowerShell от имени администратора. 6. Перед процессом настройки нам необходимо установить роль AD DS на данном сервере. Для этого мы можем использовать следующую команду.

Install-WindowsFeature –Name AD-Domain-Services -IncludeManagementTools

7. Настройте новый сервер как дополнительный контроллер домена, используя,

Install-ADDSDomainController -CreateDnsDelegation: $ false -InstallDns: $ true -DomainName «rebeladmin.com » -SiteName« Default-First-Site-Name » -ReplicationSourceDC« REBEL-DC2008.rebeladmin.com » -DatabasePath« C: \ Windows \ NTDS » -LogPath« C : \ Windows \ NTDS » -SysvolPath« C: \ Windows \ SYSVOL » -Force: $ true

Примечание — Для команды нет разрывов строки, и я перечислил ее, как указано выше, чтобы читатели могли сосредоточиться на параметрах. В следующей таблице объясняются аргументы PowerShell и то, что он будет делать.

.

Аргумент	Описание
Install-ADDSDomainController	Этот командлет устанавливает контроллер домена в инфраструктуру Active Directory.
-CreateDnsDelegation	С помощью этого параметра можно определить, следует ли создавать делегирование DNS, ссылающееся на интегрированный DNS активного каталога.
-InstallDns	С помощью этого можно указать, нужно ли устанавливать роль DNS с контроллером домена Active Directory.Для нового леса по умолчанию требуется установить значение $ true.
-DomainName	Этот параметр определяет полное доменное имя для домена активного каталога.
-Имя сайта	Этот параметр можно использовать для определения имени сайта активного каталога. значение по умолчанию — Default-First-Site-Name
-Источник репликацииDC	С помощью этого параметра можно определить источник репликации активного каталога.По умолчанию он будет использовать любой доступный контроллер домена. Но при необходимости мы можем быть конкретными.
-DatabasePath	Этот параметр будет использоваться для определения пути к папке для хранения файла базы данных активного каталога (Ntds.dit)
-LogPath	Путь к журналу можно использовать для указания места для сохранения файлов журнала домена.
-SysvolPath	Это определение пути к папке SYSVOL.Расположение по умолчанию для него — C: \ Windows
-Force	Этот параметр заставляет команду выполняться, игнорируя предупреждение. Система обычно пропускает предупреждение о лучших практиках и рекомендациях.

После выполнения команды будет запрошен пароль SafeModeAdministrator . Пожалуйста, используйте сложный пароль для продолжения. Это будет использоваться для DSRM. После перезагрузки сервера снова войдите в систему как администратор, чтобы проверить состояние AD DS.

Get-Service adws, kdc, netlogon, dns

Подтвердит статус службы AD DS.

Затем выполните следующее, чтобы подтвердить текущего держателя роли FSMO.

$ FormatEnumerationLimit = -1 Get-ADDomainController -Filter * | Выберите имя объекта, домен, лес, OperationMasterRoles | Where-Object {$ _. OperationMasterRoles} | Out-String — Ширина 160

В приведенном выше примере я использовал $ FormatEnumerationLimit , чтобы выводить больше данных без усечения.

Как видно из выходных данных, REBEL-DC2008 выполняет все пять ролей FSMO.

Перемещение ролей FSMO Active Directory

Следующая часть миграции — переместить роли FSMO на новый контроллер домена Windows Server 2019 (REBEL-DC2019).

Мы можем сделать это, запустив,

Move-ADDirectoryServerOperationMasterRole -Identity REBEL-DC2019 -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

Эту команду необходимо запустить в новом контроллере домена Windows 2019 от имени администратора предприятия. Затем повторно выполните следующую команду, чтобы проверить нового владельца роли FSMO.

Get-ADDomainController -Filter * | Выберите имя объекта, домен, лес, OperationMasterRoles | Where-Object {$ _. OperationMasterRoles} | Out-String — Ширина 160

Вывод из эксплуатации старого контроллера домена

Теперь мы переместили роли FSMO, и следующим шагом будет вывод из эксплуатации старого контроллера домена, работающего с Windows Server 2008. Для этого

1.войдите в старый DC как администратор предприятия 2. Перейдите к Выполнить | dcpromo 3. Откроется мастер dcpromo . Щелкните Next , чтобы продолжить.

4. На следующей странице также щелкните Далее .

5. На странице удаления делегирования DNS оставьте значение по умолчанию и нажмите Далее .

6. Затем система запросит учетные данные. Введите здесь учетные данные администратора домена . 7. На следующей странице введите новый пароль для учетной записи локального администратора.

8. Итак, на странице щелкните Next , чтобы завершить процесс.

После завершения процесса перезагрузите сервер.

Повышение функционального уровня домена и леса

После того, как вы понизите уровень своего последнего контроллера домена, работающего с Windows Server 2008, мы можем повысить функциональный уровень домена и леса до Windows Server 2016 (Windows Server 2019 — то же самое). Чтобы обновить функциональный уровень домена, вы можете использовать следующую команду PowerShell в контроллере домена Windows server 2019.

Set-ADDomainMode –identity rebeladmin.com -DomainMode Windows2016Domain

Чтобы обновить уровень функции леса, вы можете использовать следующую команду

Set-ADForestMode -Identity rebeladmin.com -ForestMode Windows 2016Forest

После завершения миграции нам все еще нужно проверить, успешно ли она завершилась.

Get-ADDomain | fl Имя, режим домена

Эта команда покажет текущий функциональный уровень домена после миграции.

Get-ADForest | fl Имя, ForestMode

Приведенная выше команда покажет текущий функциональный уровень леса в домене.

Это знаменует конец данной записи в блоге. Надеюсь, теперь вы знаете, как перенести Active Directory с Windows server 2008 на Windows Server 2019.

Апрель 2024
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Повысить второй сервер до контроллера домена windows server 2020 r2: Вы заблудились на сайте компьютерного мастера

Как определить / повысить функциональный уровень домена / леса Active Directory?

Установка контроллера домена Windows Server 2012 с помощью Powershell

Установка дополнительного контроллера в существующем домене AD

Установка первого контроллера в новом домене с помощью Powershell

Еще несколько полезных команд PowerShell для администратора контроллера домена AD

Первый контроллер домена в лесу, на базе Windows 2012 R2. Настройка служб AD DS, DNS, DHCP

Рекомендуемые исключения из проверки Kaspersky Security 10.x для Windows Server

Общие требования:

Минимальная конфигурация:

Рекомендуемая конфигурация:

Windows Server 2012 — Поднимаем RODC через PowerShell

Поделиться ссылкой на эту запись:

Как смигрировать домен до уровня Server 2016

ФПКП информирует: объявлен набор в группу по обучению системному администрированию «Установка и настройка Windows Server 2012 R2»

УСТАНОВКА И НАСТРОЙКА WINDOWS SERVER 2012 R2

Добавление контроллера домена сервера 2019

Добавить еще один контроллер домена (DC) в Active Directory

Установите роль доменных служб Active Directory

Повысить уровень сервера до контроллера домена

Добавить резервный контроллер домена в существующий домен AD

Использование DCPromo для продвижения контроллеров домена AD — TheITBros

Добавление вторичного контроллера домена Active Directory на Windows Server 2016

Примечание

Настройка

Тестирование

Настройка

Основной: получить IP-адрес основного контроллера домена Active Directory

Вторичный: изменение имени компьютера под управлением Windows Server

Вторичный: обновите адрес DNS-сервера

Дополнительный: установить компонент Active Directory

Вторичный: повысить сервер до контроллера домена

Вторичный: получите IP-адрес AD Windows Server

Основной: обновить адрес DNS-сервера

Тестирование

Вторичный: вход с помощью администратора Active Directory

Вторичный: проверка пользователей и компьютеров Active Directory

Вторичный: проверьте DNS

Повышение уровня сервера до контроллера домена в Windows Server 2012

Установка AD на Windows Server 2012 и добавление леса

Проверка предварительных условий

Настройка контроллеров домена с помощью PowerShell

Active Directory с Windows Server 2008 на 2019

Добавить комментарий Отменить ответ

`ФПКП информирует: объявлен набор в группу по обучению системному администрированию «Установка и настройка Windows Server 2012 R2»`

`УСТАНОВКА И НАСТРОЙКА WINDOWS SERVER 2012 R2`

`Добавление контроллера домена сервера 2019`

`Добавить еще один контроллер домена (DC) в Active Directory`

`Установите роль доменных служб Active Directory`

`Повысить уровень сервера до контроллера домена`

`Добавить резервный контроллер домена в существующий домен AD`

`Использование DCPromo для продвижения контроллеров домена AD — TheITBros`

`Добавление вторичного контроллера домена Active Directory на Windows Server 2016`

`Примечание`

`Настройка`

`Тестирование`

`Настройка`

`Основной: получить IP-адрес основного контроллера домена Active Directory`

`Вторичный: изменение имени компьютера под управлением Windows Server`

`Вторичный: обновите адрес DNS-сервера`

`Дополнительный: установить компонент Active Directory`

`Вторичный: повысить сервер до контроллера домена`

`Вторичный: получите IP-адрес AD Windows Server`

`Основной: обновить адрес DNS-сервера`

`Тестирование`

`Вторичный: вход с помощью администратора Active Directory`

`Вторичный: проверка пользователей и компьютеров Active Directory`

`Вторичный: проверьте DNS`

`Повышение уровня сервера до контроллера домена в Windows Server 2012`

`Установка AD на Windows Server 2012 и добавление леса`

`Проверка предварительных условий`

`Настройка контроллеров домена с помощью PowerShell`

`Active Directory с Windows Server 2008 на 2019`

`Добавить комментарий Отменить ответ`