Tw-city.info

IT Новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Добавление домена в лес

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Всем привет сегодня расскажу как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2. Напомню что ранее я описывал процесс Как установить Active directory в windows server 2008R2, и один рабочий контроллер домена мы уже имеем. И не давно, когда я создавал тестовый домен msk.pyatilistnik.org я неправильно назвал DC и мне пришлось его переименовывать, советую почитать. Приступаем к добавлению второго контроллера в существующий лес, по времени это занимает около 5-10 минут.

Как видите я уже подготовил сервер для DC, у меня он называется dc3.msk.pyatilistnik.org, у него уже есть помимо имени статический ip адрес.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-008

Для установки AD откройте пуск и введите да боле знакомое слово dcpromo.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-009

Откроется мастер установки доменных служб, жмем Далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R20010

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-011

Следующим окном мастера будет вводная информация, жмем далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-012

Теперь ставим галку Существующий лес, добавить контроллер домена в существующий домен

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-013

указываем имя домена для присоединения

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-014

Выбираем домен для данного добавочного контроллера домена

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-015

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-016

Начнется проверка DNS

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-017

Далее указываем что у нас север будет DNS сервером еще и Глобальным каталогом.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-018

Делегируем DNS сервер

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-019

На следующем этапе мы можем задать каталоги хранения файлов базы данных

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-020

задаем пароль администратора восстановления AD.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-021

Последнее Далее. Начнется установка.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-022

Ставим галку перезагрузка по завершении.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-023

Через некоторое время сервер перезагрузится и вы получите второй домен контроллер. Откройте оснастку Active Directory Пользователи и компьютеры на первом DC, и перейдите в контейнер Domain Controllers, как видите DC03 появился в списке.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-024

Откроем Power shell и проверим реплику командой repadmin /syncall. Проверять нужно минут через 5 после того как второй домен контроллер загрузился. Видим, что ошибок репликации нет.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-025

Вот так вот просто добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.

Добавление домена в лес

Предположим, что у нас имеется удалённый офис. Офис немаленький, следовательно мы можем туда поставить полноценный контроллер домена. Кроме этого, удалённый офис будет поддерживать местная команда IT-специалистов и для ограничения их доступа только локальными ресурсами удалённого офиса выделим им отдельный домен в общем лесу. Задача имеет несколько путей решения и решается в 2 стадии. Попробуем решить задачу используя графические средства Windows 2008 Server (задача так же может быть решена утилитами командной строки или средствами файлов автоответов). Сначала надо будет создать отдельный сайт для удалённого офиса, потом в удалённом офисе установить будущий контроллер домена, включить его в наш основной домен и повысить его до контроллера домена параллельно создав новый корневой домен.

1. Создаем новый сайт. Операции выполняются через оснастку “Active Directory Sites and Services”. Создаём новый сайт:

Вводим имя сайта и указываем линк, который он будет использовать:

Далее нас предупреждают, что сайт создан и надо теперь указать для него подсеть и установить в нём контроллер домена:

Действительно, если развернуть в оснастке наш новый сайт, в нём не окажется серверов:

Указываем адрес подсети и сайт к которой её привязываем:

Всё, сайт у нас создан. Осталось поместить в него новый контроллер домена.

2. Создаём новый корневой домен. Для начала нужно убедиться в правильных настройках сетевой карты будущего контроллера домена. Во-первых сервер должен в качестве основного dns-сервера в настройках сетевой карты использовать наш основной контроллер домена, во-вторых должен существовать маршрут с нашего офиса до контроллера домена. При этих условиях проблем с введением в домен нового сервера возникнуть не должно. Процедура это стандартная и останавливаться на ней смысла особого нет. После введения нового сервера в основной домен нужно его повысить до роли контроллера домена, создав при это новый корневой домен. До запуска процедуры повышени роли сервера до контроллера домена надо на него установить роль Active Directiry Domain Services:

Замечу, что при попытке установить одновременно роль DNS-сервера мы получим следующее предупреждение:

Читать еще:  Локальная доменная группа

Что означает, что при необходимости, роль DNS-сервера будет автоматически установлена при провышении роли сервера до контроллера домена. Продолжаем установку – на следующем шаге получим предупреждение, что сервер возможно будет перегружен после установки роли:

После завершения установки прямо из окна визарда получаем доступ к запуску dcpromo и запускаем процесс установки контроллера домена:

Будем использовать расширенный режим установки:

При выборе конфигурации укажем, что ставить контроллер домена будем в существующем лесу в новый домен. Обязательно должна быть галка “Create a new domain tree root instead a new child domain”. Иначе мы запустим установку дочернего домена в существующем:

Указываем имя корневого домена и учётные данные пользователя с правами доменного администратора. Если на новый сервер мы залогинены под пользователем, являющимся доменным администратором, то нужно будет указать только имя существующего корневого домена:

Далее вводим имя будущего домена:

Его NetBIOS имя:

Указываем сайт, в который поместим будущий контроллер домена (мы его создали на предыдущем шаге):

У кажем дополнительные опции установки (установить на сервер роль DNS-сервера и сделать его глобальным каталогом в новом сайте):

Далее укажем контроллер домена, с которым будет реплицироваться при установке наш новый сервер (в принципе можно предоставить выбор контроллера домена для репликации визарду):

Далее указываем размещение базы AD, логов и директории SYSVOL:

Вводим пароль режима восстановления:

Запускаем процесс установки:

Процесс установки займёт некоторое время, в течение которого установится роль DNS-сервера, будут назначены все необходимые разрешения и создана необходимая база в которую скопируются все необходимые объекты AD. После завершения установки потребуется перезагрузка, после которой мы получим новый контроллер домена в новом домене в общем лесу ресурсов.

5 Responses to “Windows 2008: создание нового корневого домена в лесу”

Огромное спасибо! Настолько подробное руководство, подключил новый филиал (orel.konsib.local) без проблем!
Хотел спросить кое что. Недавно установили новый сервер в главном офисе, на нем подняли домен konsib.local, до этого был домен basedomain (TLD так сказать:))), учетные записи еще не мигрировали, но вопрос в другом:
У нас имеется 3 филиала (office.konsib.local, izhevsk.konsib.local, novgorod.konsib.local), которые создавались как отдельные леса, можно ли их загнать в этот новый лес konsib.local?
Заранее благодарю за ответ.
С уважением, Станислав!

Рад, что темка оказалась полезной. Утилит для миграции учётных записей пользователей между лесами существует достаточно много. Из бесплатных могу посоветовать Active Directory Migration Tool (ADMT). Ссылку можно найти на сайте Майкрософта.

Статья очень интересная, полезная и графически – понятна! Вот только не затронута тема делегирования в DNS, о котором желательно позаботиться заранее, до развертывания нового доменного дерева в лесу.

Спасибо. Целью написать развёрнутую статью про планирование AD я не задавался.

После добавления перестали обнаруживаться оба домена машинами

Добавление домена в лес

Вопрос

Есть сеть, в ней несколько КД (один из них с ролью DHCP, роль DNS у всех), файлопомойка (Ф1), все на 2008R2, все виртуальное, домен единственный.

Возникла потребность создать новый домен, файлопомойку (Ф2) и настроить доверие таким образом, чтобы некоторые пользователи из Домена1 видели содержимое Ф2, а вот пользователи Домена2 не имели доступа к Ф1.

Сейчас Домен2 и Ф2 находятся в единой сети с Доменом1. В будущем Домен2 и Ф2 перекочует в отдельный офис и там, конечно, будет своя сеть.

Ранее доверие между доменами не настраивал, так что извиняюсь за глупые вопросы:

1. Как оптимальнее сделать, добавить Домен2 на существующие КД или сделать отдельную виртуальную машину с КД Домена2?

2. Аналогичный вопрос по файлопомойке, так понимаю, что придется создавать отдельную машину под Ф2, поскольку ее доменное имя должно быть Ф2.Домен2.local или что-то подобное.

3. Собственно, как настроить доверие доменов и ограничить доступ пользователей из Домена2 на Ф1?

Заранее спасибо за ответы.

  • Изменено Сергей Эдельштейн 14 июня 2016 г. 18:34
  • Изменено SQx Moderator 16 июня 2016 г. 11:49 редактирование темы

Ответы

Если задачи только в том что бы разграничить доступы на файлопомойках, то вам не нужно мудрить с доменами эти задачи решаются группами безопасности

По вашим вопросам

1 новый кд при создании выбираете новый домен в существующем лесу

2 вы правильно догадались нужно будет создавать ф2 на новом сервере

3 инструкция гуглится по словам domain trust. Тут опписание что такое и как работает

The opinion expressed by me is not an official position of Microsoft

  • Предложено в качестве ответа Alexander Rusinov Moderator 16 июня 2016 г. 8:23
  • Помечено в качестве ответа Vector BCO Moderator 25 июня 2016 г. 10:01

собственно тут смысл в том кто что и как менеджить будет.

один админ с понятными задачами — тогда достаточно одного домена и просто разделения правами на уровне файлопомойки. централизованное управление вместе с различными хотелками и админами на местах — лес с поддоменами. если же офисы разделяются, управляются отдельно и нужно жестко задать одностороннее ограничение к подключению — то два различных домена с односторонним трастом между ними.

  • Изменено Svolotch 16 июня 2016 г. 7:54
  • Предложено в качестве ответа Vector BCO Moderator 25 июня 2016 г. 10:01
  • Помечено в качестве ответа Vector BCO Moderator 25 июня 2016 г. 10:01

Все ответы

Если задачи только в том что бы разграничить доступы на файлопомойках, то вам не нужно мудрить с доменами эти задачи решаются группами безопасности

По вашим вопросам

1 новый кд при создании выбираете новый домен в существующем лесу

2 вы правильно догадались нужно будет создавать ф2 на новом сервере

Читать еще:  Основной контроллер домена

3 инструкция гуглится по словам domain trust. Тут опписание что такое и как работает

The opinion expressed by me is not an official position of Microsoft

  • Предложено в качестве ответа Alexander Rusinov Moderator 16 июня 2016 г. 8:23
  • Помечено в качестве ответа Vector BCO Moderator 25 июня 2016 г. 10:01

1. «Домен2 на существующие КД» в природе не бывает, у каждого домена свои собственные КД. Вот «зона/домен DNS» другое дело, любой DNS-сервер может обслуживать любое количество доменов (именно DNS доменов, то есть, «пространств имён»), и создавая новый MS-домен в лесу, при настройке DNS (создании соответствующей зоны), лучше выбрать вариант хранения «на всех DC в лесу», иначе Вам придётся вручную настраивать взаимный резольвинг имён разных доменов, тем, или иным способом. Что выбирать при поднятии КД Вам уже написали.

2. Создавать ли отдельную файлопомойку, зависит только от предполагаемого далее использования. Если «перекочует в отдельный офис», конечно, да. А имена одной системы можно прописать в любой зоне (домене).

3. Доверие между доменами одного леса не надо настраивать никак, оно уже есть, поскольку они в одном лесу. Но само по себе, наличие доверительных отношений между доменами, означает лишь возможность раздавать разрешения доступа в одном домене с использованием объектов другого домена, а вовсе не автоматическое наличие таких разрешений (в большинстве случаев). То есть, нужно не ограничивать , а просто лишнего не давать.

Пример на пальцах :). На Ф2 (в составе домена2), в локальной группе Users, по умолчанию присутствует группа Domain Users этого же домена. Хотите предоставить туда такой же доступ пользователям из Домен1, добавляете и группу из этого домена в локальную группу Users на Ф2. На Ф1 не хотите предоставлять такого доступа, просто не добавляете Domain Users из Домен2 в Users на Ф1. Сама с собой, только лишь из факта наличия доверительных отношений, она там не появится. Наборы групп, конечно же, могут быть Ваши собственные сколько угодно, это пример.

Нужен ли лес. без леса, чтобы что-то получилось, надо написать гораздо больше 🙂

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

Читать еще:  Обновить политики домена команда

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Добавление Windows Server 2008 R2 к домену ­ Дневник ­ Максим Боголепов

Добавление Windows Server 2008 R2 к домену

При осуществлении этой, вроде бы простой операции, столкнулся с некоторыми трудностями. При попытке добавить роль “Диспетчер службы Active Directory” через “Диспетчер сервера” Microsoft Windows Server 2008 R2 или просто через командную строку с помощью команды dcpromo , выскочила ошибка:

Данная команда доступна на установочном диске DVD с дистрибутивом Windows Server 2008 R2 в папке supportadprep . Внутри вы найдете файлы для выполнения на 32-х битной (adprep32.exe) и 64-х битной (adprep.exe) системах. Но дело в том, что запускать их необходимо на существующих домен-контроллерах. Естественно, язык операционных систем на этих серверах может отличаться от того, что вы только что приобрели. На этот случай предлагаю вам скачать у меня на сервере команду adprep для соответствующих языков: русского или английского:

Команда adprep имеет следующий синтаксис:

Для того, чтобы подготовить существующий лес доменов, необходимо на домен-контроллере с ролью “хозяина схемы” с правами администратора дать команду adprep /forestprep. При этом вы увидите предупреждение, что выполнить такую подготовку можно только на серверах с установленной операционной системой не ниже Windows 2000 Service Pack 4 (SP4). Если у вас выполняется такое требование (у меня – выполняется), необходимо нажать клавишу С и ввод, для продолжения.

Итак, делаем: Пуск -> Выполнить -> cmd.exe

Как видно из листинга, приведенного выше, команда adprep /forestprep произвела автоматическое обновление версии схемы с 31 до версии 47.

Теперь необходимо подготовить домен. Это делается командой adprep /domainprep на домен-контроллере с ролью “мастер инфраструктуры”. У меня эта роль установлена на другом сервере, поэтому при попытку выполнить данную команду на домен-контроллере не имеющего этой роли, у меня выскочила ошибка с указанием, на каком сервере необходимо выполнять данную команду:

Делаем так, как и предписано. Логинюсь с правами администратора на указанный сервер dc2.domain.ru и выполняю команду adprep /domainprep :

Далее, на этом же сервере необходимо дать команду adprep /domainprep /gpprep для обновления разрешений объектов групповой политики:

На этом подготовительная часть по вводу в существующий домен нового домен-контроллера на Windows Server 2008 R2 окончена. Нам осталось запустить мастер добавления роли “Диспетчера службы Active Directory” на новом сервере и следовать указаниям:

После команды dcpromo появится окно “Мастера установки доменных служб Active Directory”. Поставьте галочку “Использовать расширенный режим установки” для полного контроля за процессом и нажмите “Далее >”:

В следующем окне нажмите “Далее >”:

Я осуществлял добавление домен-контроллера в домен существующего леса, поэтому и поставил соответствующие галочки. После своего выбора нажмите “Далее >”:

В следующем окне вы увидите наименование существующего домена и выберите, с чьими правами вы будете добавлять новый домен-контроллер к домену. После своего выбора нажмите “Далее >”:

В следующем окне нажмите “Далее >”:

Произойдет проверка только что подготовленного нами леса Active Directory:

Так как мне необходим полноценный домен-контроллер, а не “только для чтения”, я выбираю “Да”:

Выбираю сайт для дополнительного домен-контроллера (в филиале Нижнего Новгорода). После своего выбора нажмите “Далее >”:

На данном этапе произойдет проверка конфигурации DNS :

Мной была уже установлена роль “ DNS -сервер” без ее настройки, поэтому мне осталось только поставить галочку “Глобальный каталог” и нажать “Далее >”:

Соглашаюсь с выскочившим предупреждением “Мастера настройки…”, нажав “Да”:

Существует возможность реплицировать данные домена с внешнего носителя. Так как в данной точке провайдер предоставляет быстрый проводной интернет, мой выбор – “Реплицировать данные по сети с существующего контроллера домена”:

В следующем окне я явно указываю имя исходного домен-контроллера для осуществления репликации:

Оставляю наименование папок для хранения данных “по-умолчанию”:

Ввожу пароль администратора домена (или выбранной вами ранее учетной записи для добавления роли контроллера домена):

В следующем окне внимательно просмотрите сделанные вами настройки и если все в порядке, нажмите “Далее >”:

После этого вы увидите процесс установки роли доменных служб Active Directory:

Установите флажок “Перезагрузка по завершению”:

В окошке процесса установки вы сможете наблюдать за ходом репликации данных:

После окончания репликации и завершения установки, сервер перезагрузится автоматически. В итоге я получил полноценный контроллер домена на базе операционной системы Windows Server 2008 R2.

  • Currently 4.77/5
  • 1
  • 2
  • 3
  • 4
  • 5

Rating: 4.8/5(26 votes cast)

Ссылка на основную публикацию
Adblock
detector