Добавление дополнительного контроллера домена в существующий домен AD
Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.
Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна.
В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).
Добавление дополнительного контроллера домена в существующий домен AD
Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.
Установка роли ADDS
Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.
Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».
Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.
Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.
Настройка дополнительного контроллера домена
Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».
Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».
На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».
На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):
На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».
Настройка репликации между новым и имеющимся контроллером домена
Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.
В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».
В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.
Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.
Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings».
Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.
Установка реплики контроллера домена Windows Server 2012 в существующем домене (уровень 200)
- Чтение занимает 5 мин
В этой статье
Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе рассматриваются действия, необходимые для обновления существующего леса или домена до Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell. В нем описывается, как добавить контроллеры домена с ОС Windows Server 2012 в существующий домен.
Процесс обновления и добавления реплики
На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать контроллер домена в существующем домене.
Обновление и добавление реплики с помощью Windows PowerShell
Командлет ADDSDeployment | Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Аргументы, выделенные курсивом, можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory). |
---|---|
Install-AddsDomainController | -SkipPreChecks -Имя_домена -сафемодеадминистраторпассворд -SiteName -адпрепкредентиал -аппликатионпартитионсторепликате -AllowDomainControllerReinstall -Confirm- CreateDNSDelegation -CriticalReplicationOnly -Force -Инсталлатионмедиапас -Инсталлднс -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoDnsOnNetwork -Ноглобалкаталог -Norebootoncompletion -Репликатионсаурцедк -SkipAutoConfigureDNS -SiteName -Системкэй -Сисволпас -UseExistingAccount -WhatIf |
Примечание
Аргумент -credential
Развертывание
Конфигурация развертывания
Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.
Чтобы обновить существующий лес или добавить доступный для записи контроллер домена в существующий домен, установите переключатель в положение Добавить контроллер домена в существующий домен и нажмите кнопку Выбрать в разделе Укажите сведения о домене для этой операции. При необходимости диспетчер серверов запрашивает действующие учетные данные.
Для обновления леса в Windows Server 2012 требуются учетные данные, включающие членство в группах «Администраторы предприятия» и «Администраторы схемы». Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы.
Автоматическое выполнение процесса Adprep — это единственное различие между добавлением контроллера домена в существующий домен Windows Server 2012 и домен, в котором контроллеры домена работают под управлением более ранней версии Windows Server.
Командлет и аргументы модуля Windows PowerShell ADDSDeployment:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
На каждой странице выполняются определенные тесты, некоторые из которых проводятся повторно позднее как отдельные проверки предварительных требований. Например, если выбранный домен не отвечают требованию к минимальному режиму работы, вам не придется проходить всю процедуру повышения роли вплоть до проверки предварительных требований, чтобы получить в итоге следующее сообщение:
Параметры контроллера домена
На странице Параметры контроллера домена показаны возможности настройки нового контроллера домена. Они включают в себя DNS-сервер, Глобальный каталог и Контроллер домена только для чтения. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Страница
Примечание
Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.
Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.
Аргументы ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена:
-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>
Важно!
Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет install-AddsDomainController не создает сайты. Для создания сайтов можно использовать командлет new-adreplicationsite.
Аргумент SafeModeAdministratorPassword действует особым образом.
Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
Например, чтобы создать дополнительный контроллер домена в домене treyresearch.net с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:
Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)
Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Предупреждение
Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Пример.
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Предупреждение
Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.
Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:
-SkipAutoConfigureDNS
На странице Параметры контроллера домена выводится предупреждение о том, что нельзя создать контроллеры домена только для чтения, если существующие контроллеры домена работают под управлением Windows Server 2003. Это ожидаемое предупреждение, и его можно пропустить.
Параметры DNS и учетные данные для делегирования DNS
На странице Параметры DNS можно настроить делегирование DNS, если вы выбрали параметр DNS-сервер на странице Параметры контроллера домена и указана зона, в которой разрешено делегирование DNS. Может потребоваться предоставить другие учетные данные, принадлежащие пользователю, который является членом группы Администраторы DNS.
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Параметры DNS:
-creatednsdelegation
-dnsdelegationcredential <pscredential>
Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.
Дополнительные параметры
На странице Дополнительные параметры приводится параметр конфигурации, позволяющий указать имя контроллера домена, используемого в качестве источника репликации.
Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). При установке флажка Установка с носителя появляется возможность выбора носителя. Чтобы убедиться в том, что указанный путь является действительным путем к носителю, необходимо нажать кнопку Проверить. Носители, используемые параметром IFM, создаются с помощью системы архивации данных Windows Server или Ntdsutil.exe только из другого существующего компьютера с Windows Server 2012. Windows Server 2008 R2 или операционные системы более ранних версий не подходят для создания носителей для контроллера домена с Windows Server 2012. Подробнее об изменениях в IFM см. в разделе Приложение: упрощенное администрирование. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Дополнительные параметры:
-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>
Пути
Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot%.
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице «Пути»:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Параметры подготовки
На странице Параметры подготовки выводится оповещение о том, что настройка доменных служб Active Directory включает в себя расширение схемы (forestprep) и обновление домена (domainprep). Эта страница появляется только в том случае, если лес и домен не были подготовлены в ходе предыдущей установки контроллера домена Windows Server 2012 или путем запуска средства Adprep.exe вручную. Например, мастер настройки доменных служб Active Directory подавляет эту страницу, если вы добавляете новый контроллер домена в существующий корневой домен леса Windows Server 2012.
Расширение схемы и обновление домена не производятся после нажатия кнопки Далее. Эти операции выполняются только во время этапа установки. На этой странице просто сообщается о событиях, которые будут происходить позднее в ходе установки.
На этой странице также проверяется, является ли текущий пользователь членом групп «Администраторы схемы» и «Администраторы предприятия». Членство в этих группах необходимо для расширения схемы и подготовки домена. Если на странице указано, что текущие учетные данные не дают необходимых разрешений, нажмите кнопку Изменить, чтобы предоставить соответствующие учетные данные пользователя.
Аргумент командлета ADDSDeployment, эквивалентный параметрам на странице «Дополнительные параметры»:
-adprepcredential <pscredential>
Важно!
Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.
Средство RODCPrep запускается автоматически при повышении роли первого контроллера RODC без предварительной подготовки в домене. Этого не происходит при повышении роли первого доступного для записи контроллера домена Windows Server 2012. Если планируется развертывать контроллеры домена только для чтения, команду adprep.exe /rodcprep также можно выполнить вручную.
«Просмотреть параметры» и «Просмотреть скрипт»
Страница Просмотрь параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации.
На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования.
Пример.
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Примечание
Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.
Для просмотра сведений о конфигурации воспользуйтесь необязательным аргументом Whatif с командлетом Install-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.
Проверка готовности к установке
Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового контроллера домена Windows Server 2012 доменом и лесом.
При установке нового контроллера домена мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.
На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.
Подробнее о проверках предварительных требований см. в разделе Проверка предварительных требований.
При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:
-skipprechecks
Предупреждение
Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.
Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса. На странице Проверка предварительных требований выводится информация обо всех неполадках, выявленных в ходе проверки, и рекомендации по их устранению.
Установка
Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
%systemroot%\debug\adprep\logs
%systemroot%\debug\netsetup.log (если сервер входит в рабочую группу)
Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:
Install-addsdomaincontroller
Список обязательных и необязательных аргументов см. в разделе Обновление и добавление реплики с помощью Windows PowerShell.
Выполнение командлета Install-AddsDomainController включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname и -credential. Обратите внимание на то, что операция Adprep выполняется автоматически в рамках добавления первого контроллера домена Windows Server 2012 в существующий лес Windows Server 2003:
Обратите внимание на то, что командлет Install-ADDSDomainController, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли. Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.
Предупреждение
Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.
Чтобы настроить контроллер домена удаленно с помощью Windows PowerShell, заключите командлет Install-аддсдомаинконтроллер в командлет Invoke-Command . Для этого необходимо использовать фигурные скобки.
invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>
Пример.
Результаты
На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. В случае успешного выполнения контроллер домена автоматически перезагрузится через 10 секунд.
Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.
Настройка контроллеров домена в разных подсетях
У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Специализация Administrator Linux» в OTUS. Курс для новичков из двух ступеней — Junior и Middle. Полная программа курса по .
Из этой статьи вы узнаете:
Планирование установки Active Directory в разных подсетях
Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.
Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:
- Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
- Устанавливаем контроллер домена во второй подсети и добавляем его в домен
- Настраиваем между доменами репликацию
Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться xs.local
Настройка контроллеров домена для работы в разных подсетях
Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv. Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1:
Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv. Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.
В xs-winsrv добавляем строку:
10.1.4.6 xm-winsrv
В xm-winsrv добавляем:
10.1.3.4 xs-winsrv
Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:
Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv, который мы будем добавлять в домен:
Дальше нам нужно на первом контроллере домена в оснастке Active-Directory — сайты и службы создать 2 подсети и 2 сайта, привязать к каждому сайту соответствующую ему подсеть:
После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.
Добавление второго контроллера домена из другой подсети
Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен, указываем наш домен xs.local:
На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:
Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC). Дальше все настройки оставляем по-умолчанию.
После перезагрузки сервера, он окажется в домене xs.local. Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:
На этом все. Можно добавлять компьютеры в обоих офисах в домен.
Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.
Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.
Онлайн курс по Linux
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Специализация Administrator Linux» в OTUS. Курс для новичков из двух ступеней — Junior и Middle. Обучение длится 1 год, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Что даст вам этот курс:- Знание архитектуры Linux.
- Освоение современных методов и инструментов анализа и обработки данных.
- Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
- Владение основными рабочими инструментами системного администратора.
- Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
- Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.Что такое контроллер домена
Один из вариантов построения локальной сети – это сеть на основе сервера. Подобного рода сети используются в том случае, когда количество компьютеров превышает 15-20 штук. В такой ситуации уже неуместно использовать так называемые рабочие группы, поскольку одноранговая сеть с таким количеством узлов не может обеспечить необходимый уровень управляемости и контроля. В этом случае функции контроля лучше возложить на управляющий сервер – контроллер домена.
Для управления работой сервера используются специальные версии операционной системы с расширенными функциями администрирования. Примерами таких операционных систем являются Windows Server 2008 или Windows Server 2012.
После установки на отдельный компьютер серверной операционной системы, прежде чем она сможет организовать работу локальной сети, требуется произвести определенные настройки. Серверная операционная система представляет собой универсальный механизм с очень широкими возможностями, или, как их часто называют, ролями. Одной из таковых ролей, причем, наверное, самой сложной и ответственной, является контроллер домена. Если вы планируете получить эффективный механизм управления пользователями сети, его придется в любом случае настроить.
Создание контроллера домена влечет за собой установку такого системного механизма, как Active Directory – основного средства создания, настройки и управления учетными записями пользователей и компьютеров локальной сети. Кроме того, как правило, на контроллер домена сразу же добавляются роли DNS и DHCP-сервера, что делает сервер законченным и готовым к использованию продуктом.
Одним из безусловных плюсов доменной системы является возможность гибкой настройки групповых политик, с помощью которых можно ограничивать доступ не только к программной, но и к аппаратной части компьютера. Например, легко можно запретить использование DVD-привода, флеш-накопителей и т.д. Групповая политика начинается в момент входа пользователя в сеть, поэтому ему никак не удастся обойти эти ограничения.
Контроллер домена – наиболее важное и уязвимое место локальной сети, поэтому рекомендуется создавать резервный контроллер. В этом случае дополнительный контроллер домена получает название вторичного, а главный домен становится первичным контроллером домена. Периодически происходит синхронизация данных учетных записей и прав доступа, поэтому в случае выхода из строя первичного контроллера – сразу же подключается вторичный, и работа в сети не прерывается ни на секунду. Кроме того, необходимо обеспечивать пассивную защиту домена путем установки на сервер источника бесперебойного питания.
Метки: домен, сервер
Репликация Active Directory. Часть 2
Продолжение разговора об репликации Active Directory. Первая часть доступна по ссылке.
Репликация Active Directory: Разговор на «Ты» (Продолжение)
Продолжаем разговор о репликации, начатый ссылке. Усложним задачу и внесем территориальное разделение сегментов вашей сети.
Межсайтовая репликация
И вот ваша фирма обзавелась несколькими филиалами, каждый из которых имеет свое территориальное местоположение. Естественно эти офисы выделены в отдельные подсети, которые соединены WAN каналами и произведена настройка маршрутизации. Как быть в такой ситуации? Можно оставить все контроллеры в одном офисе и тогда клиентам не останется ничего кроме общения с контроллерами доменов по WAN-каналам. Конечно, данный трафик можно шифровать, используя IPsec, но как быть в случае падения WAN канала. Ведь при недоступности контроллера домена клиенты не смогут войти в сеть и начать работу в домене.
Примечание: Надо заметить, что трафик Kerberos шифровать не обязательно, т.к. он уже имеет защиту от man-in-the-middle, что касается RPC то он более уязвим, но только в ситуации «по умолчанию», когда разрешено незащищенное RPC взаимодействие. Однако можно включить жесткое требование в групповой политике домена для шифрования и подписывания RPC и SMB.
Вывод напрашивается сам собой – установить в каждом филиале по контроллеру домена.
Просто раскидав по офисам контроллеры домена проблемы не решить. Необходимо обеспечить выполнения двух задач:
1. Каждый клиент при аутентификации должен обращаться к ближайшему контроллеру домена для получения билетов Kerberos. При этом и групповые политики также должны применяться с ближайшего контроллера (эти взаимодействия называются трафиком регистрации компьютеров и пользователей).
2. Репликация изменений внутри сайта (например одного офиса) осуществляется согласно схеме уведомлений с расписанием, описанной в первой части статьи. Репликация же между контроллерами, находящимися в разных сайтах (например в разных филиалах) происходит только по расписанию. Хотя при желании систему уведомлений для межсайтовой репликации можно включить, воспользовавшись repadmin-ом.
Чтобы эти задачи выполнялись эффективно необходимо сконфигурировать сайты, которые по сути являются логической группировкой клиентов и контроллеров, связанных скоростными соединениями.
Создание сайта производится через оснастку «Active Direcory Сайты и службы». Если до этого сайты не конфигурировались, то все контроллеры домена будут принадлежать к сайту с именем «Default-First-Site-Namе».
При создании нового сайта, вы обязаны указать какой «SiteLink» будет использоваться для соединения. SiteLink или Связь сайтов это логическая цепочка связывающая два и более сайтов , если будет проще для восприятия можно ассоциировать ее с физическим каналом, соединяющим сайты. Для чего же нужна эта цепочка – ее задача управлять межсайтовой репликацией. Одна Связь сайтов уже создана по-умолчанию, в ней задано использование IP протокола для репликации с запуском ее раз в 180 минут.
Как только сайтов становится больше двух может возникнуть потребность в создании новых SiteLink-ов. Рассмотри жизненную ситуацию. Ваша фирма имеет два офиса, главный находится в Москве, он соединен каналом с Ростовским офисом. Открывается еще один филиалл в г. Сальск и этот филиал имеет медленный, загруженный и нестабильный канал с Ростовским участком. Перед вами стоит задача, обеспечить выполнение двух вышеназванных пунктов и вдобавок гибко настроить репликацию между сайтами. Вы решили, что новые данные из москвы в Ростов-на-Дону должны реплицироваться ежечасно, а вот из Ростова в Сальск репликация должна проходить только в ночное время, дабы не нагружать и без того проблемный канал.
Рис. 13 Схема сайтов и их связей.
Действия администратора в такой ситуации довольно просты, первым делом он создает сами сайты, эта процедура предельно проста и требует ввода только имени сайта и используемой связи. Настоятельно рекомендуется при этом сразу назначить на вновь созданные сайты соответствующие им IP-подсети. Первоначально для связи сайтов можно использовать созданную автоматически при инсталляции службы каталогов связь «DEFAULTIPSITELINK».
После этого администратор создает две «Связи сайтов», одну для стыковки сайтов Москва и Ростов, вторую для Ростов-Сальск. После создания необходимо сконфигурировать расписание открытия окна репликации, доступ к настройкам которого легко получить в свойствах нужной связи.
Получив нужную структуру сайтов, следует задать какие контроллеры в каком сайте должны обсуживать клиентов, сделать это можно обычным перетаскиванием объектов контроллеров домена между папками «Servers» в разных сайтах. Однако более правильным и рекомендуемым компанией Microsoft способом распределения между сайтами считается инсталляция контроллера домена с таким IP-адресом, который попадает в заданную вами подсеть, принадлежащую нужному вам сайту. Внимательные администраторы заметили, что при создании Связей кроме расписания задается их стоимость. Это неспроста, возможны ситуации когда сайты связанны сразу с несколькими другими и возникает ситуация когда у репликационного трафика есть несколько возможных путей. Именно тогда и начинают учитываться стоимости, чем меньше стоимость связи, тем приоритетней путь для репликации.
Правил несколько:
1. Межсайтовая репликация идет по самому «дешевому» маршруту.
2. Если между двумя сайтами есть несколько маршрутов и они одинаковы по стоимости, то будет выбран тот маршрут, который использует меньше «прыжков» или «SiteLink-ов»
3. Если и стоимость, и количество прыжков одинаково, будут учитываться названия сайтов, где приоритет получат пути через сайты, имена которых начинаются с первых букв алфавита.
Рис. 14 Схема сайтов и их связей со стоимостью.
Зная это можно точно сказать, что при репликации с контроллеров домена Москвы в Сальск информация будет реплицирована используя Связь 3, так как при одинаковой цене (100=50+50) этот вариант предполагает единственный прыжок.
Пока мы не ответили на один очень важный вопрос, как клиент Москвы поймет, что ему нужно обращаться в первую очередь к контроллерам B1, B2 или B3. И только если они недоступны, пытаться аутентифицироваться на каком-либо другом контроллере. В той же оснастке в папке «Subnets» администратором создаются объекты подсеть, которые в последствии закрепляются за нужным сайтом . Т.е если вы создали сайт “Ростов-на-Дону” и закрепили за ним подсеть “192.168.5.0/24”, все клиенты имеющие IP-адрес в данной подсети будут считать себя членами данного сайта. За одним сайтом может быть закреплено сразу несколько подсетей. Более того, если получиться так, что у сайта «А» подсеть будет скажем 192.168.0.0/16, а у сайта «Б» подсеть будет 192.168.1.0/24, то для рабочей станции или сервера скажем с IP адресом 192.168.1.15 будет выбран сайт «Б». Отсюда вывод, что выбор сайта при совпадении назначенных подсетей с разными масками производиться в пользу сайта с наиболее «узкой маской» подсети. То есть с маской с большим числом единиц в двоичной нотации.
Чтобы убедиться в том, что клиенты начали обращаться к «правильному» контроллеру домена, можно использовать команду set logonserver, которая вернет вам, имя контроллера, аутентифицировавшего клиента: LOGONSERVER=\B1, однако в Windows 2000 и XP эта переменная далеко не всегда оперативно обновляется. Поэтому можно воспользоваться еще одной командой:
nltest /DSGETDC:<имя домена> /KDC /GC.
В случае если контроллер, который был выбран рабочей станцией в качестве Logon Server-а окажется недоступен, примерно через 15 минут это будет обнаружено и будет выбран другой доступный контроллер домена. Этот процесс называется DC Locator и имеет первостепенное значение в части отказоустойчивости работы AD. Так же этот процесс можно запустить принудительно командой nltest /DSGETDC:<имя домена> /force.
В межсайтовой репликации есть одна особенность, связанная с наличием Сервера Платцдарма (Bridgehead Server) в задачу которого входит обеспечение межсайтовой репликации, т.е. если контроллер домена B3 создаст новый обьект в базе то он должен его реплицировать на сервер плацдарм сайта Москва, а тот в свою очередь реплицирует на плацдарм Ростовского сайта, где последующее распространение будет идти по стандартной внутрисайтовой схеме.
Bridgehead сервера для каждого сайта выбираются автоматически с помощью службы KCC, но при желании администратор может самостоятельно задать один или более Bridgehead-ов для сайта. Данная манипуляция производится в свойствах нужного сервера оснастки «Active Direcory Сайты и службы» где указывается для каких протоколов данный сервер будет плацдармом. Поскольку в большинстве ситуаций это протокол IP, то его и нужно добавить на выбранном сервере.
Рис. 15 Ручное указание Bridgehead сервера.
При ручном назначении Серверов Плацдармов следует учитывать, что в случае недоступности выбранных серверов межсайтовая репликация работать перестанет, плюсом же выбора через KCC является автоматическое переназначение данной задачи другому контроллеру в случае недоступности ранее выбранного Bridgehead-сервера .
Посмотреть, кто является текущим сервером плацдармом можно через: repadmin /bridgeheads
Важно отметить, что при ручном указании сервера Bridgehead для сайта он будет один выполнять эту функцию. Если же сервер Bridgehead не задан и выбор делает KCC автоматически то для Windows Server 2003 KCC осуществляет балансировку количества линков репликации между несколькими контроллерами в сайте. Кроме того, такую балансировку можно выполнить и в ручном режиме утилитой adlb.exe.
Поговорим о межсайтовых мостах.
Посмотрим на рисунок 16. На нем изображена схема сети, состоящей из 3-х сайтов, каждый из которых находится в своей подсети и своем городе. Связи сайтов настроены так, что Белград имеет SiteLink соединяющий его с Москвой и SiteLink, соединяющий его с Токио. Москва и Токио между собой напрямую не связаны.
Рис. 16. Идеология Site Link Bridge
А теперь давайте попробуем ответить на вопрос: Каким путем будут реплицироваться изменения с контроллера домена А1 на контроллер домена С1, Те, кто внимательно читали статью скажут, что контроллер домена А1 передаст изменения серверу плацдарму в своем сайте. Тот в свою очередь согласно расписанию «Связи» передаст их на сервер плацдарм сайта Белград. И только потом плацдарм Белграда опять же по расписанию передаст их на Токийский плацдарм. И уже с него они будут реплицированы на контроллер С1. Те, кто так скажут, будут правы.
Что же произойдет, если Белградские контроллеры станут недоступны или просто этот сегмент сети окажется отключен? Остановится ли репликация между сайтами Москва и Токио?
По умолчанию Active Directory пытается решить данную проблему. Она (AD DS) видит, что Москва связана с Белградом, Белград с Токио, а сайт Белграда пропал с радаров и репликация остановилась. Видит и допускает, что мы имеем полностью маршрутизируемую сеть. А если сеть полностью маршрутизируемая, то почему не передать напрямую? (с контроллера А1 на С1 сразу)
Такая транзитивность называется «Site Link Bridging». Служба KCC начинает создавать репликационные связи между контроллерами из несвязанных SiteLink-ми сайтов и реплицировать данные напрямую. Естественно, если вы не имеете полностью маршрутизируемой сети, то такая дефолтная логика вас не устроит. Поэтому вам может потребоваться отключить автоматический «Site Link Bridging». Делается это довольно просто и уже после отключения логика репликации будет идти по классической схеме. А при падении канала с центральным сайтом, в моем случае Белград, репликация между сайтами попросту остановится.
Рис. 17 Включение и отключение функции автоматического “Site Link Bridging” (опция Установить мост для всех связей сайтов )
Важно отметить и то, что с появление связи с центральным Белградским сайтом служба KCC заново пересчитает топологию репликации, и все лишние репликационные связи между контроллерами будут удалены.
В сети, где сеть не полностью маршрутизируемая автоматическое создание мостов (Site Link Bridging) следует отключать. Но как быть, если сеть довольно крупная и в ней присутствуют как группы сегментов с полной маршрутизацией, так и с частичной. Отключение Site Link Bridging лишит нас резервного механизма репликации для всех сегментов сети.
Специально для таких целей существует функции создания мостов межу конкретными сайтами, осуществляется она также через оснастку «Active Directory Сайты и Службы»
Рис. 18 Создание моста между сайтами.
Создавай мост, вы можете быть уверены, что контроллеры в сайтах сайт-линки которых соединены мостом в штатном режиме будет реплицировать изменения согласно топологии межсайтовой репликации (используя контроллеры доменов в других сайтах как посредников). И только если передать данные по этой логике не получится (обратите внимание, что для передачи данных через мост необходимо несколько сбойных попыток репликации) будут созданы прямые репликационные связи и начнут передаваться данные.
Системный администратор ответственный за работу двух и более сайтов Active Directory непременно столкнется с проблемой настройки Файрволов , ограничивающих трафик, передаваемый между сегментами его сети (или между сайтами). И здесь присутствуют определенные трудности.
По-умолчанию при репликации контроллеры домена устанавливают соденение по 135/tcp, 135/udp портам (так называемый RPC endpoint mapper), после чего согласовывают порты, которые будут использоваться при репликации данных. Тут то и появляется проблема, диапазон портов, которые могут быть задействованы очень велик 1024-65535/tcp. Открытие этих портов полностью нивелирует файрвол, превращая его в головку швейцарского сыра.
Поэтому перед администратором может встать задача четкой фиксации портов, используемых при репликации, а делается это через правку реестра на контроллерах домена.
Для жесткой привязки порта репликации Active Directory используется ключ:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Еще один очень полезный ключ для фиксации RPC-трафика регистрации пользователей и компьютеров в процессе NetLogon-а и DC Locator-а: (трафика от клиентов к контроллерам домена при установлении SChannel и при поиске «родных» сайтов)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Вот здесь не стоит забывать, что групповая политика важная часть доменной структуры Active Directory, а каждый контроллер домена хранит свою копию политик. Групповая политика состоит из двух частей связывающего объекта GPO (в нем название политики, ее идентификатор («GUID»), дата создания, дата изменения, версия) который хранится в Active Directory и реплицируется ее средствами и собственно настроек политики, а так же ее шаблонов (параметры политики, передаваемые клиентам как двоичные файлы и файлы adm, admx, adml) находящегося в папке SYSVOL.
Папка SYSVOL не реплицируется средствами AD, ее синхронизация обеспечивается технологией NtFRS или DFS-R.
Расписание межсайтововй репликации SYSVOL соответствует расписанию AD, но не допускает межсайтовой нотификации. Внутрисайтовая репликация тоже осуществляется по расписанию NTFRS/DFS-R задаваемые в реестре. Репликация является мульти-мастерной, т.е источником изменений может быть любой контроллер. Если изменения произошли на нескольких контроллерах, приоритет будет иметь изменение сделанное последним. Более подробно мы не будем рассматривать репликацию NTFRS или DFS-R в этой статье, т.к. это совершенно другая тема.
Когда вы добавляете в ваш домен Active Directory, построенный на базе Windows Server 2003 новый контроллер Windows Server 2008, он по прежнему использует для репликации групповой политики «File Replication service» (NtFRS).
Для фиксации порта NtFRS используется ключ:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtFrsParameters
Registry Value: RPC TCP/IP Port Assignment
Value type: REG_DWORD
При создании нового домена Active Directory на базе Windows Server 2008 (режим работы домена Windows Server 2008 и новее), для репликации « групповой политики» используется «Distributed File System («DFS») Replication». Если вы обновили ваш домен с Windows Server 2003 до уровня 2008, то «DFS Replication» этот функционал нужно активировать дополнительно утилитой DFSRMIG.exe.
Distributed File System (DFS) Replication это сервис, реплицирующий папку SYSVOL на всех контроллерах домена, работающего в функциональном режиме Windows Server 2008. Впервые DFS Replication появилась в Windows Server 2003 R2, но для репликации SYSVOL ее можно использовать только в Windows Server 2008.
Какие преимущества имеет «DFS Replication»?
• В Windows Server 2003 при изменении файла в SYSVOL служба «FRS» реплицировала весь файл целиком. При использовании «DFS Replication» измененный файл больше 64 KB реплицируется частично, т.е только блоки размером 64KB с изменениями.
При передачи данных DFS-R эффективно сжимает их алгоритмом схожим с ZIP.
• Масштабируемое решение. Размер папки SYSVOL может достигать нескольких терабайт.
• Новая графическая оснастка «Управление DFS» для более удобного администрирования.
• Улучшенная поддержка Read Only Domain Controllers.
• Наличие встроенных средств мониторинга и утилиты для развертывания.
• Технология, требующая минимального контроля и администрирования со стороны системного администратора.
Тем, кого заинтересовал процесс перехода, необходимо познакомиться с утилитой dfsrmig, которая позволяет произвести процесс миграции с FRS на DFS. Основными ключами для работы будут /GetMigrationState и /SetGlobalState. Подробней о процессе миграции можно прочитать в статье ссылке .
Если вы идете в ногу с прогресом и ваша папка SYSVOL реплицируется средствами DFS-R, вам так же ничто не мешает статически закрепить порты, которые будут использоваться при DFS-репликации.
Делается это следующим образом:
1. Вводим команду «dfsrdiag dumpmachinecfg». Если команда возвращает 0, значит у вас используется динамическое назначение портов для DFS-репликации.
2. Указываем статический порт «dfsrdiag StaticRPC /port:nnnnn /Member:dc.itband.ru».
Информация о порте репликации будет храниться в XML-файле по следующему пути %SYSTEMDRIVE%System Volume InformationDFSRConfigDfsrMachineConfig.XML.
Вдобавок к теме используемых портов, остается добавить ссылку на статью базы знаний Microsoft “Службы и сетевые порты в серверных системах Microsoft Windows” (http://support.microsoft.com/kb/832017). В ней приведен список портов, которые могу понадобиться для работы различных сервисов Microsoft Windows и в частности Active Directory.
Утилита repadmin
Для управления репликацией существует две утилиты repadmin (консольная) и replmon (графическая). С выходом Windows Server 2008 продолжение развития получила только утилита repadmin, ее функционала вполне достаточно, чтобы дополнить оснастку «Active Directory – сайты и службы» и дать администраторам возможность гибко управлять репликацией.
Рассмотрим несколько примеров ее использования:
repadmin /syncall DC1 dc=itband,dc=ru
repadmin /syncall DC1 cn=configuration,dc=itband,dc=ru
repadmin /syncall DC1 cn=schema,cn=configuration,dc=itband,dc=ru
Три приведенных варианта repadmin запускают репликацию различных разделов каталога контроллера DC1 с его репликационными партнерами в сайте Active Directory.
repadmin /replsummary
Ключ replsummary возвращает состояние репликации на всех контроллерах домена, по данной информации легко найти не реплицирующиеся контроллеры, а также те сервера, которые по каким-то причинам часто завершают репликацию ошибкой.
Следующий ключ (showchanges) дает возможность посмотреть какие изменения не были прореплицированы между двумя контроллерами.
repadmin /showchanges dc1 7b2b9e16-895f-414d-a7b0-5e48f502935c dc=lab,dc=itband,dc=ru
В данном примере указан контроллер с которым нужно произвести сравнение (DC1) и invocationID (уникальный идентификатор экземпляра базы Active Directory ) контроллера с которого производится запуск. InvocationID в свою очередь можно узнать командой:
repadmin /showsig dc2
Набор ключей, которые имеет repadmin несколько шире, чем представлено в стандартной справке и часть их спрятана. Получить доступ к полной версии можно через repadmin /? /experthelp.
Рис. 16. Не реплицированное изменение.
Несмотря на предупреждение о том, что данные команды должны использоваться только под присмотром premier support microsoft некоторые из них стоит взять на вооружение.
repadmin /options DC1 +DISABLE_OUTBOUND_REPL +DISABLE_INBOUND_REPL
Эта команда отключает входящую и исходящую репликацию на контроллере DC1, очень удобное средство, в случае если необходимо срочно остановить распространение изменений. Обратно включение производится аналогично только перед параметром необходимо установить минус. (-DISABLE_INBOUND_REPL)
Заключение
Информация полученная после вдумчивого прочтения двух частей данной статьи должна сформировать понимание у специалиста идеологии репликации и построения многосайтовых систем. Но все же очень много осталось за кадром. А именно: задачи и сценарии SMTP-репликации, объемы трафика репликации для разных типов объектов, влияние на репликацию таких вещей как захоронение и восстановление объектов, ну и конечно USN rollback. И пусть не в каждой организации вам понадобится знание вышеперечисленного, но для реализации крупных решений эти нюансы в голове должны быть проработаны.
Илья Рудь
Константин Леонтьев
Оринигал статьи взят с ресурса itband.ru
5 1 голос
Рейтинг статьи
Настройка резервного контроллера домена Active Directory
Как установить и настроить основной контроллер домена Active Directory 2019 смотрите тут: Установка и настройка контроллера домена Active Directory на базе Microsoft Windows Server 2019 Standart.
Настройка сетевых интерфейсов Active Directory 2019
И так. У нас было 2 сервера виртуализации, 50 пользователей домена, 5 марок сетевых коммутаторов, полсотни групповых политик и гора CD-дисков, и всего такого, всех цветов. Не то, чтобы это всё было нужно в настройке резервного контроллера доменов, но раз начал наводить порядок в конторе, то иди в своём деле до конца.
На самом деле всё не так страшно, даже наооборот. Основной сервер будет называться AD-01, а резервный AD-02. Логично же 🙂 ? На сервере AD-01 прописываем в Альтернативный DNS-сервер ip адрес нашего будующего резервного контроллера домена. Так как у меня он находится в другом офисе, то и подсеть у него отличается, если бы он был в местной локальной сети, то имел ту же подсеть.
Вводим сервер резервный контроллер домена AD-02 в домен, а затем добавляем в Предпочтительный DNS-сервер ip адрес нашего основного сервера AD-01.
Установка и настройка сервиса Active Directory 2019 через Диспетчер серверов
На резервном контроллере домена через Диспетчер серверов вызываем Мастер добавление ролей и компонентов. Отмечаем чекбоксы DNS-сервер и Доменные службы Active Directory.
Далее ничего особенного, проходим до пункта Подтверждение, соглашаемся и начинаем установку.
После установки ролей и компонентов на резервном контроллере домена нам необходимо повысить роль сервера до уровня контроллера доменов.
Отмечаем Добавить контроллер домена в существующий домен, через кнопку Выбрать вибираем наш основной сервер и чуть ниже вводим наши учётные данные от домена.
В разделе Дополнительные параметры указываем источник репликации основной сервер AD-01. Вот и всё, репликация сервера Active Directory готова!
Проверка. Запускаем принудительное реплицирование домена
Для того чтобы сразу протестировать настройку реплецирования резервного контроллера домена открываем Диспетчер серверов и запускаем Средства / Active Directory — сайты и службы
В открывшемся окне переходим Sites / Default-First-Site-Name / Servers / AD-02 / NTDS Settings, выбираем в окне справа наше подключение Правая кнопка мыши / Реплицировать сейчас.
А после мы должны увидеть уведовление об успешном реплицировании нашего каталога. Надеюсь помог и вы настроили свой резервный контроллер домена Active Directory! Спасибо за внимание!
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-00
Всем привет, после того как мы установили Active directory в windows server 2008R2 и добавили контроллер домена в существующий лес Active Directory Windows Server 2008 R2, нужно двигаться дальше и идти в ногу со временем. Сегодня мы разберем как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2.
Для реализации данной задачи у вас должен быть установлен Windows Server 2012 R2 и на нем настроен статический ip адрес, так же компьютеру должно быть присвоено имя dc03 и он должен быть присоединен к домену.
Все подготовительные требования я выполнил
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-01
попробуем как и раньше ввести dcpromo, в меню выполнить
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-02
и видим, что теперь такой команды нет и вас просят установить Active Directory через диспетчер серверов.
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-03
Открываем управление-Добавить роли и компоненты
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-04
Далее
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-05
Выбираем пул и жмем далее
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-06
В ролях ставим галку на Доменные службы и жмем добавить компоненты
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-07
на окне с компонентами жмем далее
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-08
Далее
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-09
жмем установить
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-10
После успешной установки жмем закрыть
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-11
После чего видим значок предупреждения щелкаем по нему и видим, вам предлагается Повысить роль этого сервера до уровня контроллера домена, произведем настройки контроллера домена.
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-12
Откроется конфигурация развертывания, выбираем Добавить контроллер домена в существующий домен, укажем название домена у меня это msk.pyatilistnik.org и зададим учетные данные от имени которых будет производиться операция.
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-13
Ставим галку DNS сервер и Глобальный каталог, выбираем сайт если их несколько, а так же нужно задать дважды пароль режима восстановления служб каталогов (DSRM)
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-14
Далее
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-15
Указываете источник репликации, я оставлю любой контроллер, так же вы можете поставить галку установить с носителя IFM
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-16
Вам будет предложено указать путь где лежит IFM для установки из него.
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-17
Задаем месторасположение где будет хранится база AD и папка SYSVOL.
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-18
Далее.
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-19
Далее
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-20
Если все тесты пройдены для установки DC то жмем установить
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-21
После перезагрузки начнется синхронизация домен контроллеров или репликация контроллеров домена кому как нравится. Таким образом мы установили третий резервный контроллер домена и при выходе двух из строя, домен будет жить.
Если вы щелкните по имени сервера в роли AD DS правым кликом то вы приятно удивитесь контекстному меню в котором будут ссылки на очень большое сборище утилит связанных с Active Directory, такие как оснастки и утилиты ldp, netdom, ntdsutil, Gpfixup, Dsmgmt, Repadmin, Dcdiag, Dsacls и многое другое
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-22
Откроем оснастку ADUC и видим, что контроллеров уже три.
Как добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2-23
Теперь наш домен windows содержит 3 DC. Вот так вот просто добавить контроллер домена с Windows Server 2012 R2 в существующий лес Active Directory Windows Server 2008 R2.
Материал сайта pyatilistnik.org
Почему вторичный постоянный ток важен для работы
Быть готовым к худшему — это то, что ИТ-специалисты делают лучше всего. Когда речь идет о контроллере домена (DC) вашего предприятия или Active Directory, его потеря может означать дни дорогостоящих простоев.
Свяжитесь с намиЧто такое контроллер домена?
Контроллер домена находится в домене Windows Server. Контроллер домена отвечает за ответы на запросы аутентификации безопасности.Расположенный в сети Windows NT или Microsoft Windows, DC-сервер отвечает за предоставление хостам доступа к различным ресурсам домена в системе Windows.
Когда дело доходит до службы Active Directory, предлагаемой Windows, Контроллер домена находится в центре. Он не только аутентифицирует разных пользователей, но также хранит информацию об учетных записях этих пользователей и отвечает за соблюдение политик безопасности, установленных для домена Windows.
Почему важна устойчивость
В среде с одним контроллером домена сбои могут привести к серьезным проблемам.В двух словах можно описать проблемы: расходы, неэффективность и неудобства.
Для предприятий, у которых есть только один контроллер домена, отказ приведет к серьезным последствиям, таким как:
- Удаленные сотрудники не смогут пройти аутентификацию;
- Прикладные службы, использующие аутентификацию AD, перестанут работать;
- Критически важные для бизнеса системы, основанные на вышеуказанных услугах, также будут давать сбои, включая систему ERP;
- Если AD использует DHCP и DNS, эти протоколы также выйдут из строя, что означает, что интернет-маршрутизация перестанет работать;
- Новые рабочие станции, входящие в систему, не смогут получить свои IP-адреса, что означает, что им потребуется назначить их вручную.
Это вещи, которые не только доставляют неудобства и задерживают членов команды и процессы, но также задерживают фактическую работу по восстановлению и запуску серверов.
Во многих случаях системной среде требуется несколько дней, чтобы вернуться в нормальное русло, и этот простой может стоить предприятию значительных затрат времени и денег.
К сожалению, большинство предприятий, оказавшихся в таком положении, слишком поздно обнаруживают, что на уровне инфраструктуры нет пригодной для использования резервной копии, которую они могли бы использовать для восстановления своего контроллера домена.
После того, как их единственный DC исчез, а Active Directory почти сломана, они будут вынуждены потратить дни (или даже недели) на восстановление сервера с нуля.
Ключом к предотвращению этого простоя является устранение двух слабых мест. Во-первых, бизнесу необходимо осознать, насколько важно инвестировать во второй контроллер домена, который сможет заменить вышедший из строя контроллер домена в случае, если он перестанет работать.
В то время как отказавший DC все равно необходимо будет быстро устранить, чтобы все работало на полной скорости, вторичный будет иметь решающее значение для предотвращения полных и продолжительных периодов простоя.Второй фактор слишком часто упускается из виду: резервное копирование данных.
Настройка вторичного контроллера домена
Потеря DC означает не только долгий процесс восстановления и возможность потери данных, но также означает прерывание операций и сверхурочную оплату профессионалам в надежде на то, что вы сможете быстро наладить работу.
Это означает, что умный владелец бизнеса вложит средства в добавление второго контроллера домена, а также потратит время на создание автоматических резервных копий, чтобы им никогда не пришлось подвергать свою команду полной перестройке системы.Резервное копирование должно выполняться регулярно, так как даже в среде с одним контроллером домена оно может существенно сэкономить время и капитал компании.
При выходе из строя основного или дополнительного контроллера домена можно использовать последнюю резервную копию для быстрого восстановления одного или обоих контроллеров домена с минимальным временем простоя и головной болью. Важно подчеркнуть, что без этой поддержки бизнес окажется в трудном положении.
Для восстановления нормальной работы нескольких членов команды может потребоваться много дней сверхурочной работы, и именно поэтому все больше и больше компаний начинают тратить время и усилия на создание протоколов резервного копирования для своих серверов.
Причина, по которой компании должны инвестировать в и , второй контроллер домена, и резервные копии, проста.
Помимо возможности быстрого восстановления отказавшего контроллера домена благодаря надежной и последней резервной копии, дополнительный контроллер домена сможет поддерживать работу даже в случае отказа одного из них. Это сводит к минимуму время простоя, увеличивает количество операций и делает восстановление максимально быстрым и простым.
В среде с двумя контроллерами домена контроллеры домена должны быть настроены таким образом, чтобы они реплицировали друг друга и часто выполняли резервное копирование.Это наиболее разумная установка для систем любого бизнеса, и она может иметь огромное значение для поддержания стабильной и эффективной работы. Итак, вопрос в том, как это сделать?
У Azure есть решение
Если ваш бизнес в настоящее время работает с одним контроллером домена, добавление дополнительного контроллера домена упрощается благодаря Azure. За короткое время ваша компания может получить готовый к работе дополнительный контроллер домена, содержащийся в облаке Azure.
Благодаря недавно внедренному решению ваша компания может наслаждаться отказоустойчивостью в среде Active Directory, обеспечивая спокойствие вашего бизнеса.
Плюс, самое приятное то, что этот подход действительно дает множество преимуществ для вашего бизнеса. Помимо поддержания ваших серверов в рабочем состоянии, благодаря этой настройке ваш бизнес также получит платформу идентификации в облаке.
После того, как вы расширили свою Active Directory до облака, вашей компании будет легко начать развертывание новых приложений (или миграцию существующих) в Azure вместо локальных.
Кроме того, все больше и больше компаний ищут эти обновления в попытке стать совместимыми с GDPR и Cyber Essentials.Фактически, существует бесчисленное множество причин, по которым ваш бизнес должен принять меры и предпринять следующие шаги.
Сделайте следующий шаг
Хотите минимизировать риск простоя, связанного с вашими системами, и обеспечить стабильную работу вашего бизнеса? Переместите свою компанию в будущее масштабируемости, безопасности и простоты с помощью быстрого и простого обновления.
Свяжитесь с нами, чтобы бесплатно позвонить одному из наших консультантов по Azure. Мы обсудим целесообразность и правильный подход, чтобы предложить вашему бизнесу наилучшее возможное решение.
Свяжитесь с намиf Вернуться к сообщениям блога
Шаг 2 Настройка многосайтовой инфраструктуры
- 15 минут на чтение
В этой статье
Применимо к: Windows Server 2012 R2, Windows Server 2012
Чтобы настроить многосайтовое развертывание, необходимо выполнить ряд шагов для изменения параметров сетевой инфраструктуры, включая: настройку дополнительных сайтов Active Directory и контроллеров домена, настройку дополнительных групп безопасности и настройку объектов групповой политики (GPO), если вы не используете автоматически настроенные GPO.
Задача | Описание |
---|---|
2.1. Настроить дополнительные сайты Active Directory | Настройте дополнительные сайты Active Directory для развертывания. |
2.2. Настроить дополнительные контроллеры домена | При необходимости настройте дополнительные контроллеры домена Active Directory. |
2.3. Настроить группы безопасности | Настройте группы безопасности для любых клиентских компьютеров Windows 7. |
2.4. Настроить GPO | При необходимости настройте дополнительные объекты групповой политики. |
Примечание
В этот раздел включены образцы командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых из описанных процедур. Для получения дополнительной информации см. Использование командлетов.
2.1. Настроить дополнительные сайты Active Directory
Все точки входа могут находиться на одном сайте Active Directory. Следовательно, для реализации серверов удаленного доступа в многосайтовой конфигурации требуется по крайней мере один сайт Active Directory.Используйте эту процедуру, если вам нужно создать первый сайт Active Directory или если вы хотите использовать дополнительные сайты Active Directory для многосайтового развертывания. Используйте оснастку «Сайты и службы Active Directory» для создания новых сайтов в сети вашей организации.
Членство в группе администраторов предприятия в лесу или группе администраторов домена в корневом домене леса или эквивалентной группе, как минимум, требуется для выполнения этой процедуры. Ознакомьтесь с подробностями об использовании соответствующих учетных записей и членстве в группах в локальных и доменных группах по умолчанию.
Для получения дополнительной информации см. Добавление сайта в лес.
Для настройки дополнительных сайтов Active Directory
На основном контроллере домена щелкните Пуск , а затем щелкните Сайты и службы Active Directory .
В консоли «Сайты и службы Active Directory» в дереве консоли щелкните правой кнопкой мыши Сайты , а затем выберите Новый сайт .
В диалоговом окне Новый объект — Сайт в поле Имя введите имя для нового сайта.
В Имя ссылки щелкните объект ссылки сайта, а затем дважды нажмите ОК .
В дереве консоли разверните Сайты , щелкните правой кнопкой мыши Подсети , а затем щелкните Новая подсеть .
В диалоговом окне «Новый объект — подсеть » в разделе «Префикс » введите префикс подсети IPv4 или IPv6, в поле «» выберите объект сайта для этого префикса , щелкните сайт, который нужно связать с этой подсетью, а затем нажмите ОК .
Повторяйте шаги 5 и 6, пока не создадите все подсети, необходимые для вашего развертывания.
Закройте сайты и службы Active Directory.
Эквивалентные команды Windows PowerShell
Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов в несколько строк из-за ограничений форматирования.
Для установки компонента Windows «Модуль Active Directory для Windows PowerShell»:
Install-WindowsFeature "Имя RSAT-AD-PowerShell
или добавьте оснастку Active Directory PowerShell с помощью OptionalFeatures.
При выполнении следующих командлетов в Windows 7 «или Windows Server 2008 R2 необходимо импортировать модуль Active Directory PowerShell:
Импорт-модуль ActiveDirectory
Для настройки сайта Active Directory с именем «Second-Site» с помощью встроенного DEFAULTIPSITELINK:
New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @ {Add = "Second-Site"}
Для настройки подсетей IPv4 и IPv6 для второго сайта:
New-ADReplicationSubnet -Name "10.2.0.0 / 24 "- Сайт" Второй сайт "
New-ADReplicationSubnet -Name "2001: db8: 2 :: / 64" -Site "Second-Site"
2.2. Настроить дополнительные контроллеры домена
Для настройки многосайтового развертывания в одном домене рекомендуется иметь хотя бы один записываемый контроллер домена для каждого сайта в вашем развертывании.
Для выполнения этой процедуры вы должны быть как минимум членом группы администраторов домена в домене, в котором устанавливается контроллер домена.
Для получения дополнительной информации см. Установка дополнительного контроллера домена.
Для настройки дополнительных контроллеров домена
На сервере, который будет действовать как контроллер домена, в Server Manager на панели мониторинга щелкните добавить роли и функции .
Нажмите Далее три раза, чтобы перейти к экрану выбора роли сервера
На странице Выбор ролей сервера выберите Доменные службы Active Directory .При появлении запроса нажмите Добавить компоненты , а затем трижды нажмите Далее .
На странице Подтверждение щелкните Установить .
После успешного завершения установки щелкните Повысить уровень этого сервера до контроллера домена .
В мастере настройки доменных служб Active Directory на странице «Конфигурация развертывания » щелкните Добавить контроллер домена к существующему домену .
В домене введите доменное имя; например, corp.contoso.com.
В разделе Введите учетные данные для выполнения этой операции , щелкните Изменить . В диалоговом окне Безопасность Windows введите имя пользователя и пароль для учетной записи, которая может установить дополнительный контроллер домена. Чтобы установить дополнительный контроллер домена, вы должны быть членом группы администраторов предприятия или группы администраторов домена.Когда вы закончите вводить учетные данные, нажмите Далее .
На странице параметров контроллера домена выполните следующие действия:
Сделайте следующий выбор:
Сервер системы доменных имен (DNS) «Этот параметр выбран по умолчанию, чтобы ваш контроллер домена мог работать как сервер системы доменных имен (DNS). Если вы не хотите, чтобы контроллер домена был DNS-сервером, снимите эту опцию.
Если роль DNS-сервера не установлена на эмуляторе основного контроллера домена (PDC) в корневом домене леса, то возможность установки DNS-сервера на дополнительном контроллере домена недоступна. В качестве обходного пути в этой ситуации можно установить роль DNS-сервера до или после установки AD DS.
Примечание
Если вы выберете вариант установки DNS-сервера, вы можете получить сообщение о том, что DNS-делегирование для DNS-сервера не может быть создано и что вам следует вручную создать DNS-делегирование для DNS-сервера, чтобы обеспечить надежное разрешение имен.Если вы устанавливаете дополнительный контроллер домена в корневой домен леса или корневой домен дерева, вам не нужно создавать делегирование DNS. В этом случае нажмите Да и проигнорируйте сообщение.
Глобальный каталог (GC) «Этот параметр выбран по умолчанию. Он добавляет глобальный каталог, разделы каталога только для чтения к контроллеру домена и включает функцию поиска в глобальном каталоге.
Контроллер домена только для чтения (RODC) «Этот параметр не выбран по умолчанию.Это делает дополнительный контроллер домена доступным только для чтения; то есть делает контроллер домена контроллером домена только для чтения.
В Имя сайта выберите сайт из списка.
В разделе введите пароль режима восстановления служб каталогов (DSRM) , в поле Пароль и Подтвердите пароль , дважды введите надежный пароль и затем нажмите Далее . Этот пароль необходимо использовать для запуска AD DS в DSRM для задач, которые должны выполняться в автономном режиме.
На странице Параметры DNS установите флажок Обновить делегирование DNS , если вы хотите обновить делегирование DNS во время установки роли, а затем нажмите Далее .
На странице Дополнительные параметры введите или перейдите к расположению тома и папки для файла базы данных, файлов журнала службы каталогов и файлов системного тома (SYSVOL). Укажите необходимые параметры репликации и нажмите Далее .
На странице Обзор параметров просмотрите параметры установки и нажмите Далее .
На странице Проверка предварительных требований после проверки предварительных требований щелкните Установить .
Подождите, пока мастер завершит настройку, а затем нажмите Закрыть .
Перезагрузите компьютер, если он не перезагружался автоматически.
2.3. Настройте группы безопасности
Для многосайтового развертывания требуется дополнительная группа безопасности для клиентских компьютеров Windows 7 для каждой точки входа в развертывании, которая обеспечивает доступ к клиентским компьютерам с Windows 7. Если существует несколько доменов, содержащих клиентские компьютеры Windows 7, рекомендуется создать группу безопасности в каждом домене для одной и той же точки входа. В качестве альтернативы можно использовать одну универсальную группу безопасности, содержащую клиентские компьютеры из обоих доменов. Например, в среде с двумя доменами, если вы хотите разрешить доступ к клиентским компьютерам Windows 7 в точках входа 1 и 3, но не в точке входа 2, тогда создайте две новые группы безопасности, содержащие клиентские компьютеры Windows 7 для каждой из них. точка входа в каждый из доменов.
Для настройки дополнительных групп безопасности
На основном контроллере домена щелкните Пуск , а затем щелкните Пользователи и компьютеры Active Directory .
В дереве консоли щелкните правой кнопкой мыши папку, в которую вы хотите добавить новую группу, например corp.contoso.com/Users. Наведите указатель на Новый , а затем щелкните Группа .
В диалоговом окне Новый объект — Группа в разделе Имя группы введите имя новой группы, например Win7_Clients_Entrypoint1.
В разделе Область действия группы щелкните Универсальный , в разделе Тип группы , щелкните Безопасность , а затем нажмите ОК .
Чтобы добавить компьютеры в новую группу безопасности, дважды щелкните группу безопасности и в диалоговом окне <Имя_группы> Свойства щелкните вкладку Члены .
На вкладке Элементы щелкните Добавить .
Выберите компьютеры с Windows 7 для добавления в эту группу безопасности, а затем нажмите OK .
Повторите эту процедуру, чтобы при необходимости создать группу безопасности для каждой точки входа.
Эквивалентные команды Windows PowerShell
Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов в несколько строк из-за ограничений форматирования.
Для установки компонента Windows «Модуль Active Directory для Windows PowerShell»:
Install-WindowsFeature "Имя RSAT-AD-PowerShell
или добавьте оснастку Active Directory PowerShell с помощью OptionalFeatures.
При выполнении следующих командлетов в Windows 7 «или Windows Server 2008 R2 необходимо импортировать модуль Active Directory PowerShell:
Импорт-модуль ActiveDirectory
Чтобы настроить группу безопасности с именем Win7_Clients_Entrypoint1 и добавить клиентский компьютер с именем CLIENT2:
New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Добавить-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2 $
2.4. Настройте объекты групповой политики
.Для развертывания удаленного доступа с несколькими узлами требуются следующие объекты групповой политики:
Объект групповой политики для каждой точки входа для сервера удаленного доступа.
Объект групповой политики для любых клиентских компьютеров Windows 8 для каждого домена.
Объект групповой политики в каждом домене, который содержит клиентские компьютеры Windows 7 для каждой точки входа, настроенной для поддержки клиентов Windows 7.
Примечание
Если у вас нет клиентских компьютеров с Windows 7, вам не нужно создавать объекты групповой политики для компьютеров с Windows 7.
При настройке удаленного доступа мастер автоматически создает необходимые объекты групповой политики, если они еще не существуют. Если у вас нет необходимых разрешений для создания объектов групповой политики, они должны быть созданы до настройки удаленного доступа. Администратор DirectAccess должен иметь полные права доступа к объектам групповой политики (изменение + изменение безопасности + удаление).
Важно
После создания объектов групповой политики для удаленного доступа вручную необходимо выделить достаточно времени для репликации Active Directory и DFS на контроллер домена на сайте Active Directory, который связан с сервером удаленного доступа.Если удаленный доступ автоматически создал объекты групповой политики, время ожидания не требуется.
Чтобы создать объекты групповой политики, см. Создание и редактирование объекта групповой политики.
Техническое обслуживание и простои контроллера домена
Когда контроллер домена, работающий как эмулятор основного контроллера домена, или контроллеры домена, управляющие объектами групповой политики сервера, испытывают простои, загрузить или изменить конфигурацию удаленного доступа невозможно. Это не влияет на подключение клиента, если доступны другие контроллеры домена.
Чтобы загрузить или изменить конфигурацию удаленного доступа, вы можете передать роль эмулятора основного контроллера домена другому контроллеру домена для объектов групповой политики клиента или сервера приложений; для объектов групповой политики сервера измените контроллеры домена, управляющие объектами групповой политики сервера.
Важно
Эту операцию может выполнить только администратор домена. Влияние изменения основного контроллера домена не ограничивается удаленным доступом; поэтому будьте осторожны при передаче роли эмулятора PDC.
Примечание
Перед изменением сопоставления контроллеров домена убедитесь, что все объекты групповой политики в развертывании удаленного доступа были реплицированы на все контроллеры домена в домене. Если объект групповой политики не синхронизирован, последние изменения конфигурации могут быть потеряны после изменения сопоставления контроллера домена, что может привести к повреждению конфигурации. Чтобы проверить синхронизацию GPO, см. Проверка состояния инфраструктуры групповой политики.
Для передачи роли эмулятора PDC
На экране Start введите dsa.msc , а затем нажмите клавишу ВВОД.
На левой панели консоли «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory , а затем щелкните Изменить контроллер домена . В диалоговом окне «Изменить сервер каталогов» щелкните «Этот контроллер домена» или «Экземпляр AD LDS », в списке выберите контроллер домена, который будет новым держателем роли, а затем нажмите «», «ОК», .
Примечание
Этот шаг необходимо выполнить, если вы не на контроллере домена, которому хотите передать роль.Не выполняйте этот шаг, если вы уже подключены к контроллеру домена, которому хотите передать роль.
В дереве консоли щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory , укажите на Все задачи , а затем щелкните Мастера операций .
В диалоговом окне Мастера операций щелкните вкладку PDC , а затем щелкните Изменить .
Нажмите Да , чтобы подтвердить, что вы хотите передать роль, а затем нажмите Закрыть .
Для изменения контроллера домена, который управляет объектами групповой политики сервера
Запустите командлет Windows PowerShell Set-DAEntryPointDC на сервере удаленного доступа и укажите имя недоступного контроллера домена для параметра ExistingDC . Эта команда изменяет ассоциацию контроллера домена для серверных объектов групповой политики точек входа, которые в настоящее время управляются этим контроллером домена.
Для замены недоступного контроллера домена «dc1.corp.contoso.com «с контроллером домена» dc2.corp.contoso.com «, выполните следующие действия:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com'" NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire
Чтобы заменить недоступный контроллер домена «dc1.corp.contoso.com» на контроллер домена на ближайшем сайте Active Directory к серверу удаленного доступа «DA1.corp.contoso.com», выполните следующие действия:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com '«Имя компьютера' DA1.corp.contoso.com '» ErrorAction Inquire
Изменение двух или более контроллеров домена, управляющих объектами групповой политики сервера
В минимальном количестве случаев два или более контроллеров домена, управляющих объектами групповой политики сервера, недоступны. В этом случае требуются дополнительные действия для изменения ассоциации контроллера домена для объектов групповой политики сервера.
Информация о сопоставлении контроллера домена хранится как в реестре серверов удаленного доступа, так и во всех объектах групповой политики сервера.В следующем примере есть две точки входа с двумя серверами удаленного доступа: «DA1» в «точке входа 1» и «DA2» в «точке входа 2». Серверный объект групповой политики «Точки входа 1» управляется контроллером домена «DC1», тогда как объект групповой политики сервера «Точки входа 2» управляется контроллером домена «DC2». Оба «DC1» и «DC2» недоступны. Третий контроллер домена все еще доступен в домене «DC3», а данные из «DC1» и «DC2» уже реплицированы в «DC3».
Для изменения двух или более контроллеров домена, управляющих объектами групповой политики сервера
Чтобы заменить недоступный контроллер домена «DC2» на контроллер домена «DC3», выполните следующую команду:
Set-DAEntryPointDC "ExistingDC 'DC2'" NewDC 'DC3' "ComputerName 'DA2'" Ошибка Действие Продолжить
Эта команда обновляет ассоциацию контроллера домена для объекта групповой политики сервера «Точка входа 2» в реестре DA2 и в самом объекте групповой политики сервера «Точка входа 2»; однако он не обновляет объект групповой политики сервера «Точка входа 1», поскольку контроллер домена, который управляет им, недоступен.
Подсказка
Эта команда использует значение «Продолжить» для параметра ErrorAction , который обновляет объект групповой политики сервера «Точка входа 2», несмотря на то, что не удалось обновить объект групповой политики сервера «Точка входа 1».
Полученная конфигурация показана на следующей диаграмме.
Чтобы заменить недоступный контроллер домена «DC1» на контроллер домена «DC3», выполните следующую команду:
Set-DAEntryPointDC "ExistingDC 'DC1'" NewDC 'DC3' "ComputerName 'DA2'" Ошибка Действие Продолжить
Эта команда обновляет ассоциацию контроллера домена для объекта групповой политики сервера «Точка входа 1» в реестре DA1 и в объектах групповой политики сервера «Точка входа 1» и «Точка входа 2».Полученная конфигурация показана на следующей диаграмме.
Чтобы синхронизировать сопоставление контроллера домена для объекта групповой политики сервера «Точка входа 2» в объекте групповой политики сервера «Точка входа 1», выполните команду для замены «DC2» на «DC3» и укажите сервер удаленного доступа, чей объект групповой политики сервера не синхронизируется, в данном случае «DA1», для параметра ComputerName .
Set-DAEntryPointDC "ExistingDC 'DC2'" NewDC 'DC3' "ComputerName 'DA1'" Ошибка Действие Продолжить
Окончательная конфигурация показана на следующей диаграмме.
Оптимизация распределения конфигурации
При внесении изменений в конфигурацию изменения применяются только после того, как серверные объекты групповой политики распространяются на серверы удаленного доступа. Чтобы сократить время распространения конфигурации, удаленный доступ автоматически выбирает доступный для записи контроллер домена, который находится ближе всего к серверу удаленного доступа, при создании своего серверного объекта групповой политики.
В некоторых сценариях может потребоваться вручную изменить контроллер домена, который управляет сервером GPO, чтобы оптимизировать время распространения конфигурации:
На сайте Active Directory сервера удаленного доступа не было доступных для записи контроллеров домена во время его добавления в качестве точки входа.Контроллер домена с возможностью записи теперь добавляется на сайт Active Directory сервера удаленного доступа.
Изменение IP-адреса или изменение сайтов и подсетей Active Directory могло переместить сервер удаленного доступа на другой сайт Active Directory.
Связь контроллера домена для точки входа была изменена вручную из-за работ по техническому обслуживанию на контроллере домена, и теперь контроллер домена снова подключен к сети.
В этих сценариях запустите командлет PowerShell Set-DAEntryPointDC
на сервере удаленного доступа и укажите имя точки входа, которую вы хотите оптимизировать, с помощью параметра EntryPointName .Это следует делать только после того, как данные объекта групповой политики с контроллера домена, в котором в настоящее время хранится объект групповой политики сервера, уже были полностью реплицированы на требуемый новый контроллер домена.
Примечание
Перед изменением сопоставления контроллеров домена убедитесь, что все объекты групповой политики в развертывании удаленного доступа были реплицированы на все контроллеры домена в домене. Если объект групповой политики не синхронизирован, последние изменения конфигурации могут быть потеряны после изменения сопоставления контроллера домена, что может привести к повреждению конфигурации.Чтобы проверить синхронизацию GPO, см. Проверка состояния инфраструктуры групповой политики.
Чтобы оптимизировать время распространения конфигурации, выполните одно из следующих действий:
Для управления серверным GPO точки входа «Entry point 1» на контроллере домена на ближайшем к серверу удаленного доступа «DA1.corp.contoso.com» сайте Active Directory выполните следующую команду:
Set-DAEntryPointDC «EntryPointName 'Entry point 1'« ComputerName 'DA1.corp.contoso.com' »ErrorAction Inquire
Для управления серверным GPO точки входа «Entry point 1» на контроллере домена «dc2».corp.contoso.com «, выполните следующую команду:
Set-DAEntryPointDC «EntryPointName 'Entry point 1'« NewDC 'dc2.corp.contoso.com' «ComputerName 'DA1.corp.contoso.com'» ErrorAction Inquire
Примечание
При изменении контроллера домена, связанного с определенной точкой входа, необходимо указать сервер удаленного доступа, который является членом этой точки входа, для параметра ComputerName .
См. Также
Как установить вторичный контроллер домена в качестве ядра сервера?
Привет Дориа-6500,
Спасибо, что разместили здесь.
Вот ответ на ваши ссылки.
Q: Как установить вторичный контроллер домена в качестве ядра сервера на 2k19?
A: Прежде чем вносить какие-либо изменения в существующую среду домена AD, нам лучше сделать:
1. Проверьте работоспособность среды AD.
Убедитесь, что все контроллеры домена в этом домене работают нормально, запустив Dcdiag / v на каждом контроллере домена.
Проверьте, правильно ли работает репликация AD, запустив repadmin / showrepl и repadmin / replsum на каждом DC.
2. При необходимости создайте резервную копию всех контроллеров домена.
Я провел тест в своей лаборатории, чтобы установить дополнительный контроллер домена в существующем домене. Вот шаги для справки.
Моя среда AD выглядит так:
Имя домена: A.lab
Первый контроллер домена также является DNS-сервером, его IP-адрес 192.168.2.50.
1. После установки Server Core убедитесь, что у сервера есть действительный IP-адрес, маска подсети, шлюз и имя компьютера, соответствующие соглашениям об именах.Самый простой способ сделать это — использовать команду sconfig (компьютер находится в рабочей группе).
2. В соответствии с предложенными параметрами введите 15 и нажмите Enter.
Установка дополнительного контроллера домена
Windows Server Core по умолчанию запускается с cmd. В cmd введите powershell и нажмите Enter.
3. Сначала мы устанавливаем роль служб Active Directory.
Введите следующую команду: Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
4.После установки доступны новые команды. Я буду использовать некоторые из них, чтобы повысить уровень сервера до контроллера домена моего домена A.lab
Введите команду, как показано ниже: Get-Command -Module ADDSDeployment
5. Убедитесь, что DNS настроен правильно. Если ваш первый DC является вашим DNS-сервером, используйте его IP-адрес следующим образом:
Set-DnsClientServerAddress –InterfaceAlias
Например:
Set-DnsClientServerAddress –InterfaceAlias NIC1 -ServerAddresses 192.168.2.50
Совет: нам нужно заменить содержимое в « <> » на основе информации в вашей среде AD.
6. Затем мы повысим уровень сервера до контроллера домена в существующем домене. Совет: нам нужно заменить содержимое в « <> » на основе информации в вашей среде AD. Например: 7. Вам будет предложено еще раз ввести пароль для администратора домена. 8. Подтвердите, нажав [Y] Да, чтобы продолжить. 9. Ожидание перезапуска машины. 10.После перезапуска мы можем увидеть информацию, запустив sconfig на этом ядре сервера (машина VSTEPY89VM находится в домене с именем a.lab ), и вы можете увидеть в ADUC, что это ядро сервера присоединилось к домену на первый DC с графическим интерфейсом. Надеюсь, что описанные выше операции будут вам полезны. С уважением, И, возможно, позже он станет первичным. Прямо сейчас у меня есть Windows Server 2008 Standard (64-разрядная версия), выступающая в качестве контроллера домена (помимо прочего). По какой-то причине этот сервер был заказан с одним жестким диском, и теперь мои резервные копии не работают из-за ошибок диска. Моя цель прямо сейчас — выполнить репликацию на новый сервер и заставить его действовать как резервный вторичный контроллер домена на случай, если основной выйдет из строя. Мы небольшая компания, и только один лес, один домен.Список других услуг, которые выполняет основной DC: Я нашел это руководство Microsoft Technet: Это хороший вариант для подражания? Я просто хотел убедиться, что покрываю все свои базы и ничего не трачу 🙂 Заранее благодарен! Хабанеро OP Этот человек — проверенный профессионал. У вас всегда должно быть несколько контроллеров домена.Нет проблем с добавлением R2. Переведите его в DC и передайте ему роли. Однако DC должен быть только DC. Если он предоставляет другие услуги, возможно, вы захотите переосмыслить. Виртуализация также будет тем, над чем стоит работать. Кстати, на самом деле не существует таких понятий, как первичный и вторичный DC. Все DC являются «первичными», у некоторых могут быть разные роли. Если единственный DC, который у вас есть сейчас, выйдет из строя, вам нужно как можно скорее повысить уровень еще одного … как вчера.Вы не хотите восстанавливать домен Не рекомендуется использовать один контроллер домена, поскольку он создает единую точку отказа. Если единственный контроллер домена выйдет из строя в организации, произойдут большие перебои в работе, что приведет к потере операций. Чтобы избежать этой единой точки отказа, вам понадобится дополнительный контроллер домена. Второй DC будет балансировать нагрузку на сервисы и минимизировать риск отказа критически важных сервисов.В этой статье я расскажу, как добавить второй контроллер домена в домен Windows Server 2012 R2. Инструкции по добавлению первого контроллера домена см. В статье Добавление контроллера домена Windows 2012 R2 в новый лес. 1. Сначала войдите в диспетчер сервера и выберите «Добавить роли и компоненты». 2. Нажмите «Далее» на экране «Перед началом». 3. В поле «Тип установки» выберите «Установка на основе ролей или функций» и нажмите «Далее». 4. В разделе «Выбор сервера» выберите сервер, на котором вы хотите установить роль, по умолчанию он должен быть локальным сервером. Нажмите «Далее». 5. В разделе «Роли сервера» выберите «Серверы домена Active Directory». Вы увидите всплывающее окно для добавления функций, необходимых для доменных служб Active Directory, нажмите «Добавить функции», а затем «Далее». 6. На странице функций нажмите «Далее». 7. На странице AD DS нажмите «Далее». 8. На странице подтверждения нажмите «Далее». При необходимости вы можете настроить автоматическую перезагрузку сервера, установив флажок «При необходимости автоматически перезагружать целевой сервер». На этом этапе должны быть установлены доменные службы Active Directory. Это займет несколько минут. Вам нужно будет заглянуть под индикатор выполнения, чтобы узнать, когда он будет завершен. Маленькими буквами будет написано «установка выполнена успешно». 9. Теперь, когда роль установлена, мы можем повысить уровень сервера до контроллера домена.Вернувшись в диспетчер сервера, вы увидите желтый треугольник в правом верхнем углу, который нужно щелкнуть. В деталях сообщения нажмите «Сделать этот сервер контроллером домена». 10. На странице конфигурации развертывания выберите «Добавить контроллер домена в существующий домен». Введите существующее доменное имя или выберите его в поле домена. Вам будет предложено ввести учетные данные администратора. Нажмите «Далее». 11. На странице параметров контроллера домена должны быть отмечены сервер системы доменных имен (DNS) и глобальный каталог (GC).В качестве имени сайта следует выбрать имя первого сайта по умолчанию, если вы не создали новый. Я бы рекомендовал оставить его по умолчанию. Введите пароль для режима восстановления служб каталогов и нажмите «Далее». ПРИМЕЧАНИЕ. РЕЖИМ восстановления служб каталогов (DSRM) позволяет администратору восстанавливать или восстанавливать базу данных Active Directory. 12. Параметры DNS Скорее всего, вы получите сообщение об ошибке ниже: «Невозможно создать делегирование для этого DNS-сервера…».«Это обычное дело. Мастер пытается связаться с серверами имен для домена, который я ввел на winadpro.com, и не может создать делегирование для поддомена ad.winadpro.com. Это сообщение можно проигнорировать, если вам не нужны компьютеры вне сети для разрешения имен в вашем домене. Подробнее об этой ошибке https://technet.microsoft.com/en-us/library/cc754463(WS.10).aspx 13. На странице «Дополнительные параметры» выберите место для репликации этого сервера.В моей среде я хочу, чтобы он мог реплицироваться с любого контроллера домена. Репликация зависит от того, как вы установили первый DC и где он расположен. Если все контроллеры домена находятся на одном сайте, то репликация с любого будет работать. Если у вас несколько сайтов, у вас будет другая стратегия репликации. В моей организации есть 4 контроллера домена на одном сайте, поэтому я настроил их для репликации с любого. 14. На странице путей введите нужные настройки папки и нажмите «Далее».Я бы оставил для них настройки по умолчанию. 15. Просмотрите параметры и нажмите «Далее». 16. Теперь запустится проверка предварительных требований и подтвердит настройки. Вы должны получить зеленую галочку, что все проверки прошли успешно. Щелкните «Установить». 17. Перезагрузитесь и проверьте. После завершения установки и настройки доменных служб Active Directory потребуется перезагрузка. Если вы хотите проверить установку и работоспособность контроллера домена, запустите dcdiag / v из командной строки.Вы также можете зайти в «Администрирование», «Сайты и службы Active Directory» и убедиться, что новый контроллер домена указан на вашем сайте. и В заключение, настоятельно рекомендуется иметь несколько контроллеров домена в вашей организации. Преимущество этого заключается в том, что он балансирует нагрузку на службы и сводит к минимуму риск полного сбоя сети. Не стесняйтесь оставлять свои комментарии или вопросы в разделе комментариев. Рекомендуемый инструмент: SolarWinds Server & Application Monitor Эта утилита была разработана для мониторинга Active Directory и других важных служб, таких как DNS и DHCP.Он быстро обнаруживает проблемы с контроллером домена, предотвращает сбои репликации, отслеживает неудачные попытки входа в систему и многое другое. Что мне больше всего нравится в SAM, так это простая в использовании панель управления и функции предупреждений. Он также имеет возможность контролировать виртуальные машины и хранилище. Загрузите бесплатную пробную версию здесь В этом блоге я объясню, как установить дополнительный контроллер домена (ADC) в Windows server 2019.Дополнительный контроллер домена — это резервный домен 1- Нажмите кнопку «Пуск» Windows и выберите диспетчер серверов. 2- Windows Server Manager, Dashboard. В разделе «Настройка этого локального сервера» выберите «Добавить роли и компоненты». 3- Мастер добавления ролей и функций, нажмите «Далее». 4- Тип установки, поэтому выберите установку на основе ролей или функций и нажмите «Далее». 5- Выберите сервер на полюсе сервера и затем щелкните на ext. 6- Выберите поле «Доменные службы Active Directory». 7- Выберите «Добавить функции, необходимые для доменных служб Active Directory». 8- Выбрав функции активного каталога, нажмите «Далее». 9- Мастер добавления ролей и функций в Active Directory и нажмите кнопку «Далее». 10- Теперь нажмите Далее. 11- Итак, нажмите кнопку «Установить», чтобы начать установку активного каталога. 12- После установки активного каталога нажмите «Закрыть». 13- В диспетчере серверов щелкните предупреждающее сообщение, а затем щелкните «Продвинуть этот сервер на контроллер веб-сайта». 14- Выберите операцию развертывания (Добавить контроллер домена в существующий домен). затем нажмите кнопку выбора и перейдите к xpertstec.local, убедитесь, что учетные данные являются правами администратора, а затем нажмите «Далее». 15- Если вы получили это сообщение Проверка реплики завершилась неудачно, отмените установку и выполните следующие действия. Update, чтобы проверить, использует ли система FRS, выполните следующие шаги 16- Вернитесь снова, откройте диспетчер серверов, щелкните предупреждающее сообщение и затем щелкните «Продвинуть этот сервер в контроллер домена». 17 — Вариант конфигурации развертывания Итак, выберите «Добавить контроллер домена к существующему контроллеру домена», затем нажмите кнопку выбора и перейдите к xpertstec.local, убедитесь, что учетные данные являются правами администратора, а затем нажмите «Далее». 18- Убедитесь, что выбраны DNS-сервер и глобальный каталог (GC), отсортируйте пароли DSRM режима восстановления служб каталогов и нажмите «Далее». 19- Игнорируйте предупреждение о параметрах DNS и нажмите «Далее». 20- Интерфейс «Укажите дополнительные параметры репликации», помимо «Реплицировать с». Выберите Server2008.xpertstec.local и нажмите «Далее». 21- Укажите положение базы данных AD DS, файлов журналов и папок SYSVOL, а затем нажмите «Далее». 22- Параметры подготовки Active Directory 2019, а затем нажмите Далее. 23- Просмотрите интерфейс выбора, проверьте все знания и нажмите «Далее». 24- Проверьте предварительные требования, чтобы убедиться, что все предварительные проверки прошли успешно, а затем нажмите «Установить». 25- Теперь, пожалуйста, подождите, пока метод завершится, а затем нажмите «Закрыть». 26- После перезапуска операционной системы Windows Server 2019 и последующего входа в систему как администратор домена. 27- Затем войдите в свой DC, откройте Active Directory — пользователи и компьютеры, разверните свой домен domain.local (xpertstec.local), затем выберите DC, и здесь вы найдете дополнительный DC. Для получения более подробной информации нажмите здесь Учебное пособие по Docker Compose для начинающих AD — это ядро вашей сети. Это связано со всем! Таким образом, имеет смысл сделать это как можно более избыточным.В Windows Server 2016 создать вторичный контроллер домена настолько просто, что у вас действительно нет причин не делать этого. Можете ли вы представить себе перестройку каталога после отказа оборудования одного сервера, когда у вас есть 100 учетных записей пользователей и компьютеры, которые являются частью домена, который только что вышел из строя? Как насчет 1000 или даже 10000 пользователей? На это могут уйти недели, и вы, вероятно, никогда не вернете его в том виде, в каком оно было раньше. Вдобавок, пока вы застряли в середине этого простоя, у вас будут всевозможные проблемы внутри вашей сети, поскольку ваши учетные записи пользователей и компьютеров полагаются на AD, который в этом случае будет отключен.Вот шаги, чтобы взять второй сервер в вашей сети и присоединить его к существующему домену, который работает на первичном DC, чтобы создать наш избыточный вторичный DC. Чем больше становится ваша сеть, тем больше у вас будет серверов контроллеров домена. Для этого необходимы две машины Server 2016. Первый, который мы предположим, уже использует Active Directory и DNS, как тот, который мы установили в нашем предыдущем рецепте. Второй сервер подключен к той же сети и имеет имя DC2 . Чтобы создать резервный вторичный DC, выполните следующие действия: Если вы получаете сообщение об ошибке, что не удалось связаться с контроллером домена для домена, вероятно, вы не указали адрес DNS в настройках TCP / IP.Добавьте IP-адрес основного контроллера домена в качестве основного DNS-сервера, и он должен работать. Создание избыточности для Active Directory критически важно для успеха вашей сети. Оборудование выходит из строя, мы все это знаем. Хорошей практикой для любой компании является запуск двух контроллеров домена, чтобы все продолжали работать в случае сбоя сервера.Еще лучшая практика — это сделать еще один шаг и создать больше контроллеров домена, возможно, некоторые из них на разных сайтах, и, возможно, даже использовать некоторые контроллеры домена только для чтения ( RODC ) на ваших небольших, менее безопасных сайтах . См. Следующую ссылку для получения дополнительной информации об использовании контроллера домена только для чтения в вашей среде: http://technet.microsoft.com/en-us/library/cc754719(v=ws.10).aspx.
Введите следующую команду:
Install-ADDSDomainController -InstallDns -Credential (Get-Credential
Install-ADDSDomainController -InstallDns -Credential (Get-Credential A \ Administrator) -DomainName A.lab -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText « » -Force)
Дейзи Чжоу [решено] Добавить вторичный DC в качестве резервного…. — Windows Server
Другой сервер, который я хочу выполнять в качестве вторичного контроллера домена, немного отличается. Это Windows Server 2008 R2 (64-битная). Так что я не был уверен, что это будет проблемой, смогу ли я еще справиться с этой работой и т. Д.?
https://technet.microsoft.com/en-us/library/cc753720(v=ws.10) .aspx Добавить дополнительный контроллер домена Windows Server 2012 R2
Установите дополнительный контроллер домена в Windows Server 2019 | XpertsTec
Установите дополнительный контроллер домена
Продвинуть контроллер домена
Миграция SYSVOL с FRS на DFSR Нажмите здесь
Посмотрите это видео на нашем канале YouTube
Windows Server 2016 — Добавление второго контроллера домена
Готовимся
Как это сделать…
Как это работает…