Перенос контроллера домена на другой сервер
Перенос контроллера домена ActiveDirectory на новый сервер
В этой статье хочу рассмотреть процесс переноса контролера домена ActiveDirectory c Windows 2003 на Windows Server 2008.
Перед началом работы рекомендуется ввести новый сервер в домен. Вообще это не принципиально, но будет на много удобнее.
Дальше необходимо удостовериться, что пользователь под которым мы будем все переносить состоит в следующих группах:
- Enterprise admins
- Schema Admins
- Domain Admins
Дальше берем с установочного диска Windows 2008 папку support, находим в ней папку adprep и переходим в нее на исходнос сервере. При миграции с 2003 на 2008 нужно брать adprep с 2008-й винды.
Подготавливаем все к миграции:
Если исходный сервер имеет операционку x64, тогда используем вот такие команды. Первая может выполняться довольно долго:
Так же рекомендуется выполнить вот такую команду. Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller — RODC), она уберет ненужные сообщения об ошибках в журнале событий.
С исходным севером все готово. Подключаемся к серверу №2 — тот на который переезжаем. Запускаем консоль от и выполняем:
Это открывает окно установки AD. Жмем Next .
Я добавлял контроллер в уже существующий лес, поэтому выбрал соответствующий пункт.
Дальше установщик предложит имя домена и имя пользователя от которого устанавливается служба.
Дальше Вы получите возможность выбрать сайт в который должен быть добавлен контролер. Менеджер установки сам предложит это на основе ip адреса, в зависимости от того к какому из сайтов относится подсеть.
В принципе все очень логично понятно. Дожидаемся окончания работы мастера и перезагружаем новый контролер домена.
Осталось перенести роли FSMO на новый сервер. Для Этого нужно запустить консоль под названием Active Directory Schema . Для этого переходим в меню Пуск/Start и выбираем пункт Запуск/Run. В появившееся окно вводим mmc.exe и жмем OK .
В появившемся окне из меню File выбираем пункт Add/Remove Snap-In:
Из списка в левой колонке выбираем Active Directory Schema жмем кнопку Add-> потом OK .
В результате таких телодвижений в левой колонке консоли появится элемент Active Directory Schema . Жмем правой кнопкой и выбираем Change Active Directory Domain Controller .
В появившемся окошке выбираем контролер домена на котором крутятся роли FSMO:
С выбором трудно ошибиться. Если Вы выберете КД который не управляет FSMO, получить вот такую ошибку:
Теперь мы подключены к главному держателю ролей. Жмем правой кнопкой на Active Directory Schema и выбираем пункт Operations Master :
В окошке выбираем куда перенести FSMO и жмем ОК.
Для переноса ролей RID, PDC и Infrastructure Master запускаем Active Directory Users and Computers (Пуск/Start->Панель Управления/Control Panel->Администрирование/Admin tools). Дальше по аналогии с предыдущим шагом подключаемся к исходному серверу. Правой кнопкой мыши жмем на Active Directory Users and Computers и выбираем пункт Operations Master . В появившемся окне переходим на нужную вкладку RID, PDC или Infrastructure и выбираем новый серсер для роли.
Для того, что бы перенести роль DNS нужно запустить консоль Active Directory Domains and Trusts . Дальше по аналогии с предыдущим шагом подключаемся к исходному серверу. Правой кнопкой мыши жмем на Active Directory Domains and Trusts и выбираем пункт Operations Master . В появившемся окне выбираем новый серсер для роли.
При написании статьи использовались следующие материалы:
Updated: April 30, 2014
You May Also Enjoy
Установка nginx из исходников
В разных случаях приходится компилировать ПО имея его исходники. Опять же хочу разводить демагогию на эту тему. Хочу рассказать как собрать nginx последней в.
Уникальные IP адреса в access.log Apache
less than 1 minute read
Получить список уникальных IP адресов в лог файле вэбсервера Apache можно с помощью:
Установка WireShark на Ubuntu 16.04/14.04
less than 1 minute read
WireShark предоставляет удобный функционал для анализа сетевого трафика.
Проблемы с ttf-mscorefonts-installer на Ubuntu 16.04
Сегодня меня в конец достало назойливое уведомление о том, что ttf-mscorefonts-installer не смог установить все, что ему нужно.
Перенос контроллера домена на новый сервер
Довольно часто перед начинающими администраторами встает задача перенести контроллер домена на новое железо. В статье будет описан перенос контроллера домена под управлением Windows 2003 на новый сервер с установленной операционной системой Windows 2003. Переносить можно как с сохранением имени старого сервера, так и без сохранения имени. Статья рассчитана на совсем уж новичков, поэтому все будет разжевано.
- Домен: company.local;
- Старый сервер: Win2003, AD, DNS, DHCP, IP=192.168.0.100, имя=dc01;
- Новый сервер: Win2003, IP=192.168.0.101, имя=dc02;
1. Проверка действующего контроллера домена
На старом сервере запускаем утилиты dcdiag и netdiag и убеждаемся что никаких ошибок они не находят. Эти утилиты входят в состав Support Tools и если при запуске одной из утилит выскакивает сообщение
, то их необходимо установить. Либо с установочного диска Windows 2003, либо с официального сайта. Если никаких ошибок не обнаружено, то идем дальше, если же появляются ошибки, то исправляем их. В принципе достаточно воспользоваться поиском по каждой из ошибок и найти решение.
2. Установка дополнительного контроллера домена
Далее необходимо поднять дополнительный контроллер домена на новом сервере (тот который 192.168.0.101). Для этого нужно запустить (Пуск—>Выполнить или Start—>Run) на нем команду
и в появившемся окне выбрать Additional domain controller for an existing domain
После установки AD, перезагружаемся.
3. Установка DNS и DHCP
Устанавливаем DNS и если нужно, то DHCP на новый сервер. Заходим в Установку и удаление программ (Add or Remove Programs) и выбираем пункт установка компонентов Windows (Add/Remove Windows Components). В разделе Сетевые службы (Network Services) ставим галочки напротив DNS и DHCP и устанавливаем их.
Вполне вероятно что при установке AD, заодно поставился и DNS, поэтому не пугайтесь если DNS уже установлен.
На обоих контроллерах домена выставляем в настройках DNS, адрес нового сервера.
4. Перенос базы DHCP
Если нужно перенести базу DHCP, на старом сервере выполняем команду:
переносим полученный файл на новый сервер и на новом сервере выполняем команду:
Ну и соответственно в настройках DHCP выставляем всем клиентам DNS адрес нового сервера 192.168.0.101
5. Проверка контроллеров домена на ошибки
После всех предыдущих манипуляций, ждем минут 15-20, чтобы дать новому серверу перенести все настройки и записи в AD со старого. После чего, запускаем на обоих серверах уже знакомые нам утилиты dcdiag и netdiag и убеждаемся в отсутствии ошибок.
6. Перемещение Global Catalog
Теперь настала очередь перенести Global Catalog на новый сервер. Открываем на новом сервере Active Directory — сайты и службы (Sites and Services) —> Сайты (Sites) —> имя_сайта —> Серверы (Servers). Выбираем новый контроллер домена и в правом окне на объекте NTDS Settings выбираем Свойства (Properties). В появившемся окне ставим галку Global Catalog.
Ждем минут 5-10, в логах должно будет появиться сообщение This domain controller is now a global catalog, после чего можно удалять Global Catalog на старом сервере. Процедура таже, только теперь выбираем старый сервер и снимаем галку Global Catalog.
7. Перенос ролей FSMO
Для начала посмотрим, кто же все таки является держателем ролей FSMO-ролей в домене, в этом нам поможет команда:
Результат будет примерно таким:
Как видно из вывода, держателем ролей является наш старый сервер dc01. Исправим это недоразумение. Все дальнейшие действия производим на новом сервере.
Передача ролей хозяин RID, основной контроллер домена и хозяин инфраструктуры
Открываем оснастку Active Directory — пользователи и компьютеры (Users and Computers), щелкаем правой кнопкой по имени сайта и выбираем меню Хозяева операций (Operations Masters). В появившемся окне, на всех 3-х вкладках жмем на кнопку изменить (change) и соглашаемся с применением изменений.
Передача роли хозяина именования домена
Открываем оснастку Active Directory — домены и доверие (Domain and Trusts), и точно так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений.
Передача роли хозяина схемы
С передачей этой роли все происходит немного посложнее. Для начала нужно зарегистрировать в системе библиотеку schmmgmt.dll. Для этого выполняем команду:
Далее запускаем оснастку mmc:
и в появившемся окне в меню файл выбираем пункт Добавить или удалить оснастку (Add/Remove Snap-in). Далее Добавить (Add) и Схема Active Directory (Active Directory Schema).
И добавляем схему. Далее так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений. Если в поле изменить будет стоять адрес старого сервера, то достаточно выбрать пункт меню Изменение контролера домена (Change Domain Controller) и выбрать новый домен контроллер, после чего опять попытаться изменить хозяина.
Ну что, все роли успешно перенесены на новый сервер.
8. Удаление старого контроллера домена
Теперь настала пора удалить старый домен контроллер из сети. Запускаем:
и следуя мастеру, удаляем старый домен контроллер и все его упоминания из сети. После этого старый сервер можно погасить или отправить его выполнять другие обязанности.
Перенос базы данных Active Directory
В этой статье мы покажем, как перенести базу данных и транзакционные логи Active Directory из одного каталога в другой. Данный мануал может пригодится, когда нужно перенести базу AD на другой диск (в ситуациях, когда на первоначальном диске закончилось свободное место или при недостаточной производительности дисковой подсистемы), либо перенести файлы AD в другой каталог (например, в рамках приведения к стандартному виду путей к БД AD на всех контроллерах домена предприятия).
Перенос файлов базы данных Active Directory возможен только при остановленных службах Active Directory Domain Services. Для переноса мы воспользуемся утилитой ntdsutil.
Перед началом переноса базы и файлов журналов транзакций Active Directory нужно убедится, что диск, на который планируется перенос подключен к системе, а целевая папка создана.
Операция переноса должна выполняться из-под учетной записи администратора домена / предприятия (группы Domain Admins/Enterprise Admins).
Перенос базы и журналов транзакций Active Directory на контроллере домена во всех поддерживаемых на данный момент серверных ОС Microsoft практически идентичен за исключением пары моментов.
Перенос NTFS разрешений каталога NTDS
Очень важно при переносе файлов базы и журналов AD, чтобы на новый каталог действовали те же самые разрешения, что и на исходный. NTFS разрешения на новый каталог можно назначить вручную или скопировать такой командой Powershell:
где, C:WindowsNTDS – первоначальный каталог с базой AD
E:NTDS – каталог, в который производится перенос
Перенос БД AD в Windows Server 2008/2008 R2
В Windows Server 2008 / 2008 R2 роль Active Directory является отдельной службой (ADDS), которую можно остановить, без необходимости перезагружать сервер в режиме восстановления каталога (DSRM). Чтобы остановить службу Active Directory Domain Services, откройте командную строку с правами администратора и выполните команду:
И подтвердить остановку службы нажав Y и Enter.
Далее в этой же командной строке запускаем утилиту ntdsutil:
Совет. Ранее мы уже писали, как с помощью ntdsutil можно выполнить различные операции по обслуживанию и управлению метаданными в базе AD. Например:
Выберем активный экземпляр базы AD:
Перейдем в контекст files, в котором возможно выполнение операция с файлами базы AD, набрав к командной строке:
Перенесем базу AD в новый каталог:
Убедимся, что база данных Active Directory теперь находится в другом каталоге, набрав в командной строке ntdsutil:
Далее переместим в тот же каталог файлы с журналами транзакций:
Удостоверимся, что все перенесено корректно, открыв целевой каталог в проводнике.
Осталось в контексте ntdsutil дважды набрать quit.
Запустим службу Active Directory Domain Services командой:
Перенос БД AD в Windows Server 2012/2012 R2
В Windows Server 2012/ 2012 R2 процедура переноса базы аналогична описанной в предыдущем разделе для Windows Server 2008/2008 R2 и также не требует входа в DSRM режим.
Останавливаем службу Active Directory Domain Services:
Откроем командную строку и последовательно выполним команды:
Запустим службу ADDS:
Перенос базы AD в Windows Server 2003
В отличии от более новых платформ, служба каталога Directory Service в Windows Server 2003 / 2003 R2 использует файлы БД Active Directory в монопольном режиме. Это означает, что при работе сервера в роли контроллера домена доступ к этим файлам получить нельзя. Выполнить перенос файлов базы AD можно только в режиме восстановления Directory Services Restore Mode.
Чтобы попасть в DSRM режим, нужно перезагрузить DC и, нажав во время загрузки F8, выбрать в меню пункт Directory Services Restore Mode (Windows domain controllers only).
Осталось зайти в систему с паролем администратора DSRM (задается при развертывания контроллера домена), а далее отработать по уже описанной выше процедуре переноса с помощью ntdsutil.
После окончания переноса базы, сервер нужно перезагрузить в обычном режиме.
Перенос роли хозяина операций на контроллере домена Windows 2012
Содержание
В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.
- MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
- DC1 — единственный контроллер домена
- DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций
После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.
Затем следует проверить насколько гладко новый котроллер вошёл в домен.
Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:
Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:
Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:
Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)
Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!
Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.
Посмотрим список контроллеров домена mydomain.local:
Выясняем, кто из контроллеров является хозяином операций:
Перенос ролей можно сделать двумя способами:
1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.
2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:
Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.
В случае успешного захвата мы должны увидеть следующее
Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag
DNS не удаётся разрешить IP-адрес
dcdiag выдаёт ошибку DNS:
Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.
- Детальная проверка службы DNS (может занять пару минут):
- Рекомендации по настройке службы DNS на контроллере домена
- DNScmd — консольная утилита для управления DNS сервером (офиц. описание)
Ошибка репликации 8453
repadmin /showrepl выдаёт ошибку:
Запустить репликацию вручную и командной строки с административными правами
На контроллере нет сетевых ресурсов NetLogon и SysVol
Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.
Доступность сетевых ресурсов можно проверить командой:
Исправность ресурсов SysVol и NetLogon можно проверить командой:
Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.
Блог об операционных системах, програмном обеспечении и прочем.
The New Stuff
Замена контроллера домена. Перенос контроллера домена на новый сервер
Введение
Если ваш контроллер домена вышел из строя или полностью устарел и требует замены – не спешите планировать провести ближайшие выходные за созданием нового домена на новом сервере и кропотливым переносом в него пользовательских машин. Грамотное управление резервным контроллером домена поможет быстро и безболезненно заменить предыдущий сервер.
Практически каждый администратор, работающий с серверами на базе Windows, рано или поздно сталкивается с необходимостью замены полностью устаревшего основного контроллера домена, дальнейший апгрейд которого больше не имеет смысла, на новый и более соответствующий современным требованиям. Бывают ситуации и хуже – контроллер домена просто-напросто приходит в негодность из-за поломок на физическом уровне, а резервные копии и образы устарели, или потерялись
В принципе, описание процедуры замены одного контроллера домена на другой можно найти на разных форумах, но информация даётся отрывками и, как правило, применима только к конкретной ситуации, однако фактического решения не даёт. Кроме того, даже вдоволь начитавшись форумов, баз знаний и прочих ресурсов на английском языке – я смог грамотно провести процедуру замены контроллера домена без ошибок только с третьего или четвёртого раза.
Таким образом, я хочу привести поэтапную инструкцию замены контроллера домена вне зависимости от того работоспособен он или нет. Единственная разница заключается в том, что при «упавшем» контроллере эта статья поможет только если вы заранее позаботились и развернули резервный контроллер домена.
Предварительная подготовка
Проверка разрешений для папки SysVol
- Установите надлежащие разрешения на доступ к папке Sysvol. Для этого выполните следующие действия.
На вкладке Групповая политика выберите объект Политика контроллеров домена по умолчанию и нажмите кнопку Изменить.
Примечание. Если на компьютере установлена консоль управления групповыми политиками, кнопка «Изменить» будет недоступна. В этом случае нажмите кнопкуОткрыть, чтобы запустить консоль управления групповыми политиками, разверните узлы имя_домена и Контроллеры домена, щелкните правой кнопкой мыши элемент Политика контроллеров домена по умолчанию и выберите пункт Изменить.
Дополнительные сведения о консоли управления групповыми политиками см. на веб-узле Майкрософт по адресу:
- Щелкните правой кнопкой мыши значок Мое сетевое окружение и выберите команду Свойства.
- В меню Дополнительно выберите пункт Дополнительные параметры.
- Убедитесь, что внутренний сетевой адаптер указан первым в списке Подключения. В противном случае передвиньте его в начало списка, используя кнопки со стрелками.
Проверка работоспособности и корректности работы контроллера домена
Подготовка леса и домена к появлению нового контроллера домена
Подготовка серверов к повышению/понижению роли
Немного теории
Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations) :
— Schema Master (Хозяин схемы) – роль отвечает за возможность изменения схемы – например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен – схему существующего домена вы изменить не сможете;
— Domain Naming Master (Хозяин операции именования доменов) – роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
— Relative ID Master (Хозяин относительных идентификаторов) – отвечает за создание уникального ID для каждого объекта AD;
— Primary Domain Controller Emulator (Эмулятор основного контроллера домена) – именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
— Infrastructure Master (Хозяин Инфраструктуры) – роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.
Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают – это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно – роль глобального каталога могут иметь все контроллеры домена одновременно.
Фактически можно сделать вывод – если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены — то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.
Определение текущих владельцев ролей fsmo
Уточняю — мы грамотно хотим заменить контроллер домена, не потеряв никаких его возможностей. В том случае, если в домене два или более контроллеров, нам необходимо выяснить кто является обладателем каждой из ролей fsmo. Это достаточно просто сделать , использовав следующие команды :
dsquery server –forest –hasfsmo schema
dsquery server –forest –hasfsmo name
dsquery server –forest –hasfsmo rid
dsquery server –forest –hasfsmo pdc
dsquery server –forest –hasfsmo infr
dsquery server –forest -isgc