Light-electric.com

IT Журнал
75 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Поднять второй контроллер домена

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Всем привет сегодня расскажу как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2. Напомню что ранее я описывал процесс Как установить Active directory в windows server 2008R2, и один рабочий контроллер домена мы уже имеем. И не давно, когда я создавал тестовый домен msk.pyatilistnik.org я неправильно назвал DC и мне пришлось его переименовывать, советую почитать. Приступаем к добавлению второго контроллера в существующий лес, по времени это занимает около 5-10 минут.

Как видите я уже подготовил сервер для DC, у меня он называется dc3.msk.pyatilistnik.org, у него уже есть помимо имени статический ip адрес.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-008

Для установки AD откройте пуск и введите да боле знакомое слово dcpromo.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-009

Откроется мастер установки доменных служб, жмем Далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R20010

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-011

Следующим окном мастера будет вводная информация, жмем далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-012

Теперь ставим галку Существующий лес, добавить контроллер домена в существующий домен

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-013

указываем имя домена для присоединения

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-014

Выбираем домен для данного добавочного контроллера домена

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-015

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-016

Начнется проверка DNS

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-017

Далее указываем что у нас север будет DNS сервером еще и Глобальным каталогом.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-018

Делегируем DNS сервер

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-019

На следующем этапе мы можем задать каталоги хранения файлов базы данных

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-020

задаем пароль администратора восстановления AD.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-021

Последнее Далее. Начнется установка.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-022

Ставим галку перезагрузка по завершении.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-023

Через некоторое время сервер перезагрузится и вы получите второй домен контроллер. Откройте оснастку Active Directory Пользователи и компьютеры на первом DC, и перейдите в контейнер Domain Controllers, как видите DC03 появился в списке.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-024

Откроем Power shell и проверим реплику командой repadmin /syncall. Проверять нужно минут через 5 после того как второй домен контроллер загрузился. Видим, что ошибок репликации нет.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-025

Вот так вот просто добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Пошаговый ввод в домен Windows 10

Погружение в Iptables – теория и настройка

Роль Proxy серверов в ИБ

ZOOM, Verint, ЦРТ SmartLogger — обзор популярных систем записи телефонных разговоров

Поднимаем контроллер домена на Windows 2008 R2

У нас есть Windows Server 2008 R2 и сейчас мы сделаем из него Контроллер домена — Domain Controller (DC). Погнали!

Первым делом – запускаем Server Manager:

Затем выбираем опцию Roles и добавляем новую роль для нашего сервера, нажав Add Roles:

Нас встречает мастер установки ролей, а также просят убедиться, что учетная запись администратора имеет устойчивый пароль, сетевые параметры сконфигурированы и установлены последние обновления безопасности. Прочитав уведомление кликаем Next

Сервер, выступающий в роли DC обязан иметь статический IP адрес и настройки DNS Если данные настройки не были выполнены заранее, то нас попросят выполнить их в дальнейшем на одном из этапов.

В списке доступных ролей выбираем Active Directory Domain Services. Мастер сообщает, что для установки данной роли нужно предварительно выполнить установку Microsoft .NET Framework. Соглашаемся с установкой, нажав Add Required Features и кликаем Next

Нас знакомят с возможностями устанавливаемой роли Active Directory Domain Services (AD DS) и дают некоторые рекомендации. Например, рекомендуется установить, как минимум 2 сервера с ролями AD DS (т.е сделать 2 DC) на случай, чтобы при выходе из строя одного сервера, пользователи домена все ещё могли бы залогиниться с помощью другого. Также, нас предупреждают о том, что в сети должен быть настроен DNS сервер, а если его нет, то данному серверу нужно будет дать дополнительную роль – DNS. После того, как прочитали все рекомендации, кликаем Next чтобы продолжить установку.

Наконец, нам предоставляют сводную информацию об устанавливаемой роли и дополнительных компонентах для подтверждения. В данном случае, нас уведомляют о том, что будет установлена роль AD DS и компонент .NET Framework 3.5.1. Для подтверждения установки кликаем Install.

Дожидаемся пока завершится процесс установки роли и компонентов.

Через какое-то время перед нами появится результат установки, он должен быть успешным как для роли так и для компонентов Installation succeeded. Закрываем мастер установки, нажав Close.

Вернувшись в Server Manager мы увидим, что у нас появилась роль AD DS, однако ее статус неактивен. Чтобы продолжить настройку кликаем на Active Directory Domain Services.

Перед нами открывается уведомление о том, что наш сервер пока ещё не является контроллером домена, и чтобы это исправить нам следует запустить мастер настройки AD DS (dcpromo.exe). Кликаем на ссылку Run the Active Directory Domain Services Installation Wizard или же запускаем его через Пуск – Выполнить – dcpromo.exe.

Перед нами открывается мастер настройки AD DS. Расширенный режим установки можно не включать. Для продолжения кликаем Next

Нас встречает уведомление о том, что приложения и SMB клиенты, которые используют старые небезопасные криптографические алгоритмы Windows NT 4.0 при установке соединений, могут не заработать при взаимодействии с контроллерами домена на базе Windows Server 2008 и 2008 R2, поскольку по умолчанию, они не разрешают работу по данным алгоритмам. Принимаем данную информацию к сведению и кликаем Next

Далее нам нужно выбрать принадлежность данного контроллера домена. Если бы у нас уже имелся лес доменов, то данный DC можно было бы добавить туда, либо добавив его в существующий домен, либо же создав новый домен в существующем лесу доменов. Поскольку мы создаем контроллер домена с нуля, то на следующей вкладке мы выбираем создание нового домена и нового леса доменов Create a new domain in a new forest и кликаем Next.

После этого нам предлагают задать FQDN корневого домена нового леса. В нашем случае мы выбрали merionet.loc. Сервер проверит свободно ли данное имя и продолжит установку, нажимаем Next.

Читать еще:  Проверка ns записей домена

Далее задаем функциональный уровень леса доменов. В нашем случае — Windows Server 2008 R2 и кликаем Next.

Обратите внимание, что после задания функционального уровня, в данный лес можно будет добавлять только DC равные или выше выбранного уровня. В нашем случае от Windows Server 2008 R2 и выше.

Далее, нам предлагают выбрать дополнительные опции для данного DC. Выберем DNS Server и нажимаем Next.

В случае, если ваш сервер ещё не имеет статического IP адреса, перед вами появится следующее предупреждение с требованием установить статический IP адрес и адрес DNS сервера. Выбираем No, I will assign static IP addresses to all physical network adapters

Устанавливаем статические настройки IP адреса и DNS. В нашем случае – в роли DNS сервера выступает дефолтный маршрутизатор (Default Gateway) нашей тестовой сети.

Далее, установщик предлагает нам выбрать путь, по которому будут храниться база данных Active Directory, лог-файл и папка SYSVOL, которая содержит критичные файлы домена, такие как параметры групповой политики, сценарии аутентификации и т.п. Данные папки будут доступны каждому DC в целях репликации. Мы оставим пути по умолчанию, но для лучшей производительности и возможности восстановления, базу данных и лог-файлы лучше хранить в разных местах. Кликаем Next.

Далее нас просят указать пароль учетной записи администратора для восстановления базы данных Active Directory. Пароль данной УЗ должен отличаться от пароля администратора домена. После установки надежного сложного пароля кликаем Next.

Далее нам выводят сводную информацию о выполненных нами настройках. Проверяем, что все корректно и кликаем Next.

Мастер настройки приступит к конфигурации Active Directory Domain Services. Поставим галочку Reboot on completion, чтобы сервер перезагрузился по завершении конфигурирования.

После перезагрузки сервер попросит нас залогиниться уже как администратора домена MERIONET.

Поздравляем, Вы создали домен и контроллер домена! В следующей статье мы наполним домен пользователями и позволим им логиниться под доменными учетными записями.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Поднять второй контроллер домена

Om$
Доки читать будем? С чего вдруг?

Krav21
Если просто удалить резервный контроллер домена отобразится ли это на работе первого?
КАК удалить? Если грамотно, то ничего не будет, если кнопкой (имитируя падение) — в логах будут ошибки, АД чистить придется.

Поясните пожалуйста поконкретнее, что будет происходить с сетью в случае остановки одного из контроллеров в случаях —
1. Потеря питания (отключение кнопкой)?
2. Потеря сети (выдергивание патч-корда)?
3. Потеря связи между контроллерами (обрыв между сегментами сети, при том что часть клиентов останется на одном DC, часть на другом)?
4. Ну и корректная остановка ?
Восстановится ли нормальное состояние сети после подачи питания и восстановления связи в первых трех случаях без дополнительного вмешательства?
Ошибки в логах — само-собой, а что значит чистить AD?
Она что нечищенная корректно работать не будет, или второй контроллер нормально не встанет после падения?
Всегда считал, что второй контроллер поднимается именно для таких случаев (еще со времен NT4 — PrimaryDC, BackupDC) да и в доках вроде так было написано.
Если это не так, придется пересмотреть свое отношение к AD.

Читать еще:  Назначение домена jobs

под некоректной здесь имется ввиду «убийство» контроллера, хотя в Ад останутся сведения по нему (и невозвращение его, именно его а не переустановке под тем же именем)
а корректная — нормально снеять с него роль контроллера и выключить/выкинуть и т.п.
соответсвенно
1 — ну это зависит что называется, если там все посыпится
2 и 3 — это смотря на сколь долго а то на полгода можетт
4 dcpromo

еще со времен NT4 — PrimaryDC, BackupDC
ну и здесь то-же только лучше

Добавление от 09.02.2005 13:59:

Krav21
отобразится ли это на работе первого?
жаловатся будет, но не смертельно

не понял, чем не устраивает то что основном все будет работать при отключении одного из контроллеров?
если он обратно введется в строй — все ок
если нет — принудительно передадим его роли живым

lamerAlex
еще со времен NT4 — PrimaryDC, BackupDC
ну и здесь то-же только лучше

есть некоторые роли — FSMO
Ну так в следующий раз выражайся яснее, а то я подумал, что у тебя что то типа похмелья У меня такое бывает.

Упс.. А разве ДНС не поднимается автоматом при установке контроллера домена вторым в домене?
Автоматом ничего не поднимается, предложить — предложит (вроде), но если откажетесь. Причем читаем факу этого раздела, про настройку ДНС, чтоб правильно было настроено первый-второй на разных контроллерах.

А как создать ГК? Он уж наверняка копируется с 1-го контролера при установке или и тут не все так просто?
Тут все же в поиск, копироваться самостоятельно он не будет, надо ему назначить, чтоб на нем был, так же как и на первом, ГК.

Krav21
Есть один прикол, особенно если бэкапишься в образы винта:
Имеешь один DC — спишь спокойно, так как из образа его восстановить — раз плюнуть, но при этом всё остановится на некоторое время
Имеешь два DC — спишь спокойно, так как при падении одного почти ничего не остановится, но при этом фиг вот так запросто из образа поднимешь трупа, надо будет учитывать наличие второго контроллера

PS: А может, создать темку «Пошаговое поднятие второго контроллера», будешь задавать пошаговые вопросы, народ накидает ответы, а потом отмодерируют и будет неплохой ФАК или даже статейка. Зубанов позавидует

Вот такая у меня проблема и такой разговор был с моим друго по АСЕ
может кто поможет?

*MOUSE (14:05:55 8/08/2006)
был домен два контролера один почти умер (примари)
потом я поставил другой винт востановил и теперь такая вещь:
Они оба контролера оба примари и знать не хотят друг друга
первый SERVER на нем прокся и . все остальное я убрал.. еще консультант болтался
на втором PROJECT Exchange, project.server, 1С базы (правда расшареные) Консультант
Вот теперь все компы заходят в домен и не могут попасть на PROJECT в доступе отказано и SERVERу тоже отказ

*MOUSE (14:07:36 8/08/2006)
снять полномочия со второго не могу не дает говорит единственный и возникнут проблемы с Exchange и project.server

*MOUSE (14:09:55 8/08/2006)
если SERVER вырубить и оставить только PROJECT машинки долго заходят в домен и на PROJECT не могут сразу попасть спрашивают логин и пароль (при вводе уже имеющихся, ругается что уже есть и с ними нельзя, при вводе админа заходят естественно и все работает)
SERVER передать полномочия на PROJECT не может отказано в доступе

*MOUSE (14:11:51 8/08/2006)
и наоборот нельзя передать
по идее я бы переделал SERVER не проблема но насколько я понял PROJECT без него не может работать контролером что то с ним не так а я понять не могу

*MOUSE (14:12:39 8/08/2006)
есть еще машинка BACKUP которая в домене но не контролер

Akela (Anton) (15:04:42 8/08/2006)
Домен какой?? 2000 или 2003?

*MOUSE (15:04:54 8/08/2006)
2003

Akela (Anton) (15:05:08 8/08/2006)
Роли переводил.

*MOUSE (15:05:34 8/08/2006)
давно переводил на PROJECT все было ОК

Akela (Anton) (15:05:54 8/08/2006)
Все 5. Проверь роль зозяина схемы.

*MOUSE (15:06:06 8/08/2006)
SERVER остался контролером но не примари и стал грузиться значительно быстрее

*MOUSE (15:06:34 8/08/2006)
понимаешь там с этим то и проблемы сейчас напишу в двух словах

Akela (Anton) (15:08:40 8/08/2006)
в 2003 нет примари, и секондари. Они все равноценный. Вопрос кому принадлежат 5 ролей. Они могут быть раскиданы по всем контроллерам.

Есть такая оснастка ADSIEdit в ресурскит, очень помагает. Из нее можно что угодно вычистить.

Я бы проверил второй, перенес все роли на него, потом выведи первый, вычисти домен из adsiedit, введи заново, перекинь роли на него, выведи второй, опять вычисти домен, и введи заново.

Akela (Anton) (15:09:23 8/08/2006)
вру эта оснастка в support tools

*MOUSE (15:10:10 8/08/2006)
я на SERVERе
открываю AD подключаюсь к server.logos.local вижу два контролера хозяин операций SERVER
второй контролер вижу project.logos.local но подключиться не могу отказано в доcтупе

на PROJECT
открываю AD подключаюсь к project.logos.local вижу два контролера хозяин операций PROJECT
подключаюсь к server.logos.local вижу два контролера хозяин операций SERVE
бред никуда больше не могу передать роли

*MOUSE (15:11:23 8/08/2006)
в том то идело что второй выводить нельзя он и не выведется без второго Exchange

*MOUSE (15:25:22 8/08/2006)
пытался совсем убрать всеми мыслимыми и не мыслимыми способами SERVER из контролеров так один PROJECT не живет
пардон во втором случае не правильно написал вот так правильно:

на PROJECT
открываю AD подключаюсь к project.logos.local вижу два контролера хозяин операций PROJECT
подключаюсь к server.logos.local вижу два контролера хозяин операций PROJECT
при попытке передать права SERVER ругается не может подключиться к PROJECT (бред)
а при попытке передать права себе говорит что они уже.

Akela (Anton) (15:26:10 8/08/2006)
А хозян схемы. А хозян pdc. Там же 5 ролей.

*MOUSE (15:26:11 8/08/2006)
и репликации не идут на SERVER

*MOUSE (15:26:26 8/08/2006)
у меня три

Akela (Anton) (15:26:36 8/08/2006)
Так трудно сообразить. Сщупать надо.

*MOUSE (15:26:41 8/08/2006)
Хозяин схемы как я и писал

*MOUSE (15:26:51 8/08/2006)
какая то патовая ситуация

*MOUSE (15:27:38 8/08/2006)
странно почему все на PROJECT вроде нормально но нельзя его одного использовать

Akela (Anton) (15:28:50 8/08/2006)
Значит не всен роли на нем.

*MOUSE (15:31:20 8/08/2006)
сервер то хрен с ним
мне бы домен спасти и projcet.server там очень много информации даже 1С не так страшно можно просто перекинуть но настроить project довольно таки сложно
настройка отличается на контролере или не на контролере потому как ставится WSS и делается учетная запись или в домене или нет (сейчас в домене) и там еще projectserver создал много виртуальных пулов там висят доки и экселе если все полетит жуть
есть правдла бекапы акронисом каждый день все сливается на BACKUP (его конролером не делал но на нем можно запустить зеркало PROJECT железо одно)

Seeming
НЕ потеряет и перелогиниваться не придется
аргументы будут или как?
а перелогиниваться придется при установке сессии к любому ресурсу ибо в этом случае запрашивается контроллер зарегистрировавший клиента

Читать еще:  Инвентаризация в домене

если упал контроллер с ролью PDC — перелогиниться они не смогут.
извините но это бред..
роль эмулятора PDC на возможность логина клиентов 2000 и выше, а так же 9х и нт4 с установленной клиентской частью не влияет

Aww
Аргументы:
«а перелогиниваться придется при установке сессии к любому ресурсу ибо в этом случае запрашивается контроллер зарегистрировавший клиента» Запрашиваться будет KDC. Кроме того:
1. Сохраняться все сессионные билеты Kerberos (их время жизни по умолчанию 10 часов) следовательно, можно без проблем (без дополнительных запросов) работать с уже открытыми ресурсами
2. В реализации Microsoft используется ускоренная аутентификация при подключении. Т.е. сервер 2000 и старше может проверять личность клиента по его билету и без запроса к службе Kerberos. А в билете есть информация о принадлежности пользователя ко всем группам локального домена. ( После того, как юзер прошел успешную Kerberos аутентификацию, он получил access token, в котором содержится информация о всех группах локального домена, в которые он входит. Хранится этот токен на локальной машине и наследуется любым процессом, который будет в последствии на этой машине запущен.)
3. (Снимающее ограничения пунктов 1. и 2. )Транзитивные доверительные отношения — удостоверение личности выданное одной службой Kerberos, действительно для всех служб Kerberos внутри домена. В сочетании с нормально настроенным DNS — не вижу проблем, почему клиент не может работать дальше

«если упал контроллер с ролью PDC — перелогиниться они не смогут.
извините но это бред..
роль эмулятора PDC на возможность логина клиентов 2000 и выше, а так же 9х и нт4 с установленной клиентской частью не влияет»
Ок, забыл, пойду учить матчасть.

Дополнительный контроллер домена 2008 R2 к существующему домену под управлением 2003 R2

Структура организации следующая: есть домен для сотрудников под названием domain.int, есть также и его поддомен для других нужд – subdomain.domain.int. Возникла задача перевести существующий поддомен под управлением Windows Server 2003 R2 на Windows Server 2008 R2. Причем главный домен уже переведен.

Просто накатить сверху систему нельзя – 2003 R2 является 32-битной версией, а 2008 R2, соответственно, – 64-битная. А было бы здорово. Выбор невелик, поэтому решили сделать следующее:

  1. Устанавливаем дополнительный контроллер домена (КД) на Windows Server 2008 R2
  2. Новый контроллер должен иметь роли глобального каталога и DNS
  3. Проверяем работу и репликацию обоих контроллеров
  4. Указываем, что новый КД (2008) – хозяин операций
  5. Удаляем из схемы старый КД (2003)
  6. Проверяем работу и начинаем подготовку к настройке уже реально другого дополнительного КД, чтобы на выходе получить два КД под управлением 2008 R2
  7. Забываем, что когда-то у нас в сети был КД под управлением 2003 R2

Почему решили перевести КД на другую схему, думаю, всем ясно. На дворе уже 2013 год, 2014 не за горами. Почему бы не воспользоваться проверенными и более новыми технологиями? Windows Server 2012 на момент написания статьи пока не вышел в релизе R2. А исходя из многолетнего опыта использования Microsoft, не стоит что-то внедрять на том, что вышло совсем недавно. К тому же немного бесит, что статей в интернете по новым продуктам мало. Именно поэтому сделали выбор на системе Windows Server 2008 R2. В данной статье я буду описывать последовательные действия для 1 и 2 пункта моего плана.

Что подвигло написать статью? Ответ прост: в интернете мало статей по субдоменам. И пускай ничего супер-естественного в настройке нет. Зато наши читатели узнают, что все проходит достаточно просто и последовательно, как по аналогии при лесе с одним доменом. А наш сайт любит хоть и маленькие, но все же эксклюзивы. К тому же, излагаться все будет просто и на обычном языке, понятным даже для самых маленьких админов.

Для начала надо подготовить площадку для будущего дополнительного КД. Проверяем активацию, часовой пояс, брандмауер, сетевые интерфейсы, имя компьютера и другое:

Далее кликаем на установке новой роли и указываем, что нам надо “Доменные службы Active Directory”:

Начинаем установку этой роли:

Заметили, что автоматом поставился компонент .Net Framework 3.5? Поэтому после всех установок сразу “подхватываются” обновления:

Ну вот и все установилось. Даже не пришлось перезагружаться. Я начинаю приятно удивляться Microsoft. Посудите сами – одна из самых серьезных ролей и компонент только что установились, да еще и обновления, а перезагрузка не требуется. Заметили самую первую ошибку? Причина ошибки написана выше, а именно то, что надо бы настроить наш будущий КД:

Поэтому прямо оттуда или из режима командной строки запускаем утилиту DCPROMO.EXE:

Не надо нажимать нам “расширенный режим”. Делаем все по стандартно. По-хорошему, в лучших традициях Microsoft все должно быть по сценарию Далее+Далее+Финиш=Все_работает. Посмотрим как это будет дальше. Соглашаемся с первым окном приветствия:

Затем подсказываем мастеру, что у нас будет добавочный КД:

Затем прописываем имя домена. Можно главный domain.int, а можно и поддомен – subdomain.domain.int. И учетную запись администратора домена само собой. Вы же под ней и делаете?

Теперь главное не перепутать и указать уже точно, в каком домене будем работать. Нам надо поддомен subdomain.domain.int:

Ну вот… начинаются приключения. Так и знал:

Сам виноват, не подготовил домен для перехода. Зато все теперь последовательно все исправим. Идем на главный КД под управлением Windows Server 2003 R2 и вставляем туда диск с нашей системой 2008 R2. Я скопировал все утилиты на диск С, но это необязательно. Запускаем утилиту adprep /domainprep:

Вот я снова невнимательный. Утилита-то 64-битной версии. Поэтому пробуем на 32-битной редакции. Кажется получилось, хотя могли бы и вывести сообщение об успехе:

Теперь запускаем снова утилиту DCPROMO и проделываем все тоже самое. Вместо ошибки получаем следующее окно мастера. Значит та утилита все-таки помогла подготовить домен. Мастер нас спрашивает, какой точно сайт нам нужен. У меня их 3, у вас может быть другое количество. Название не спутаешь, поэтому с уверенностью кликаем “далее”:

Затем мастер спрашивает, добавить ли из будущему КД роли DNS и Global Catalog. Это пригодится будущем, поэтому соглашаемся. Пугаться не надо: в сети может быть несколько DNS и глобальных каталогов. Это, кстати, очень хорошо с точки зрения отказоустойчивости:

Системные папки для хранения баз данных Active Directory и другого оставляем по-умолчанию:

Указываем пароль для восстановления каталогов. И хоть его надо в любом случае сохранить, я очень надеюсь, что он вам не пригодится:

Кажется на этом наши настройки закончились. Нажимаем далее и ждем, пока все сделается:

Видим, что все установилось, поэтому смело перезагружаемся:

И на этом все. Репликация получилась, КД начал функционировать нормально. Еще совет для малоопытных админов – не торопитесь и делайте все последовательно. Могу также в качестве бонуса сообщить один нюанс. Загрузка КД и репликация с главным контроллером может происходить очень долго. Лично у нас все “поднялось” спустя несколько часов. Были моменты, когда казалось, что КД не работает как контроллер. Но мы набрались терпения и дождались результата. Все остальные действия моего плана выполнились практически без каких-либо происшествий. Их можно посмотреть в интернете, информации полно.

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector