Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как понизить контроллер домена

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена

Как переименовать контроллер домена Windows Server 2008 R2

Всем привет, ранее я уже рассказывал как переименовать контроллер домена в Windows Server 2008 R2 часть через утилиту netdom или графический метод, существует еще один метод, слегка требующий побольше телодвижений, но очень эффективный, а именно как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.

Как видим, у меня есть контроллер домена dc03.msk.pyatilistnik.org, требуется его переименовать в dc02.msk.pyatilistnik.org. Хочу сказать, что есть небольшие требования к понижению:

  • Контроллер не должен быть последним Глобальным каталогом
  • Не должен быть Центром Сертификации
  • Не быть последним контроллером домена
  • Вы должны быть администратором домена или предприятия
  • Если контроллер домена выполняет какие-либо роли хозяина операций, перед понижением его роли передайте эти роли другому контроллеру

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-026

Посмотрим топологию в Active Directory, и видим dc01 и dc03

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-028

Открываем пуск и пишем dcpromo.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-027

Открывается мастер установки доменных служб, жмем далее

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-029

Видим, что выскочило предупреждение

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-030

Чтобы это исправить открываем оснастку Active Directory Сайты и Службы. Идем в Default-First-Site-Name-Servers-NTDS Settings. И на вкладке Общие снимаем галку Глобальный каталог.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-038

Снова запускаем мастер и видим, предупреждения нет, нас следующем шаге галку Удалить этот домен не ставим, так как у нас это не последний домен контроллер.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-039

Ставим галку Удалить делегирование DNS.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-040

вас попросят вести дополнительные данные

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-041

Вводим пароль администратора восстановления, который мы задавали при установке контроллера домена.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-042

Смотрим сводные данные установки и жмем Далее.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-043

Начнется процесс установки, ставим галку перезагрузка, чтобы она была автоматической.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-044

После перезагрузки, открываем на первом контроллере ACtive Directory Пользователи и компьютеры и в топологии видим, только dc01

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-045

Проверяем не осталось ли лишнего в DNS, конкретно интересуют NS записи

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-046

Все контроллер домена был понижен, теперь через свойства системы переименуем сервер.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-047

после чего перезагружаемся. Если хотите чтобы сервер снова стал DC, то смотрите Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.

Вот так вот просто переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.

PC360

Ремонт/настройка ПК и окружающих его устройств.

Деинсталяция резервного контроллера домена с ОС Windows Server 2008R2.

Резервный контроллер домена нужно вывести из домена и демонтировать виртуальную машину, потому что она постоянно зависает. Точнее зависает не она, о тот Linux на котором она установлена. Сервер в работе, к нему есть доступ. При корректной деинсталяции из домена удалятся все записи об этом контроллере и он ни где не будет фигурировать. Приступим.

В диспетчере удаляемого сервера, он называется WIN-SRV-ST, выбираем опцию – Удалить роли.

Откроется мастер удаления ролей. Читаем – нажимаем >>Далее.

В следующем окне можно увидеть список ролей сервера. С тех ролей, которые нужно удалить, снимаем галочки.

При убирании галочки с пункта Доменные службы Active Directory получаем сообщение: Удаление доменных служб Active Directory невозможно, пока сервер является контроллером домена.

Чтобы удалить AD DC необходимо удалить контроллер домена с помощью мастера установки доменных служб dcpromo.exe. Воспользуемся этой подсказкой.

Для запуска dcpromo пишем его в поисковой строке и запускаем из результатов поиска.

Читать еще:  Контроллер домена недоступен

Запустится мастер установки доменных служб Active Directory. Нажимаем >> Далее.

Появившееся сообщение предупреждает о том, что сервер является хранителем глобального каталога.

Чтоб проверить, где еще хранится глобальный каталог переходим в диспетчере сервера по директориям >> Роли >> Доменные службы Active Directory >> Active Directory – сайты и службы >> Sites >> Default-First-Site-Name >>Servers.

По очереди выбираем доступные контроллеры домена, правой кнопкой мыши на NTDS Settings >> Свойства и смотрим, отмечена ли галочка напротив надписи – Глобальный каталог. В данном случае глобальный каталог хранится на всех DC, поэтому с деинсталируемого WIN-SRV-ST его можно удалять.

Возвращаемся к Мастеру dcpromo, нажимаем ОК >> Далее.

В следующем окне галочку не ставим. Наш контроллер домена не последний. >> Далее.

Начнутся проверки необходимости удаления компонентов.

Далее необходимо ввести пароль для новой учетной записи администратора на данном сервере.

Смотрим сводку, подтверждаем удаление нажав >> Далее.

В следующем окне можно отметить галочкой – Перезагрузка по завершении. Мастер выполнит работу и сервер перезагрузится.

После перезагрузки выполняем авторизацию с учетной записью Администратора и новым созданным паролем.

Снова запускаем мастер удаления ролей. Снимаем галочки с ролей: Доменные службы Active Directory и DNS-сервер. На сей раз ни каких предупреждений не появилось. Нажимаем >>Далее.

Подтверждаем удаление компонентов нажав >>Удалить.

Ожидаем, пока выполняется удаление.

Видим результаты удаления. Перезагружаем сервер.

После перезагрузки видим, что удаление прошло успешно.

В итоге роли и службы удалены, сервер больше не является контроллером домена. Виртуальную машину можно демонтировать.

Полное удаления недоступного контроллера домена Windows Server 2012

Ситуация обратная, у меня в моей инфраструктуре вышел из строя (физически) DC и восстановить его не представляется возможным, чтобы у меня AD работало без ошибок, мне необходимо удалить данные о неисправном контроллере домена и все зачистить, чем мы с вами и займемся.

Схема сети с неработающим контроллером в AD

У меня есть инфраструктура Active Directory, есть домен msk.pyatilistnik.org и три контроллера: dc6, dc7, dc10. Последний как раз вышел из строя и находится вообще в другом сайте и его необходимо удалить, давайте я покажу как это правильно делать, так как просто нет возможности воспользоваться стандартной утилитой dcpromo,

dc10 будет удален, но перед этим, нам нужно удостовериться, что все FSMO роли у нас будут доступны на работающих контроллерах домена. Узнать держателя FSMO ролей можно командой:

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

Ранее я вам рассказывал как производится захват ролей FSMO, там было два метода графический через оснастку ADUC и с помощью утилиты ntdsutil. В оснастке ADUC вы увидите вот такую картину, что хозяин операций не доступен. Как производится принудительный захват ролей, читайте по ссылке слева.

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Если у вас уровень леса и домена Windows Server 2008 R2 и выше, то самый простой способ это удалить, объект компьютера из контейнера Domain Controllers, все старые метаданные будут удалены автоматически и вам не придется делать описанные ниже манипуляции. Но я хочу вам показать ручной способ, чтобы вы более глубоко понимали, что именно происходит и откуда удаляются данные о недоступном контроллере домена

Удаляем контроллер с помощью NTDSutil

Откройте командную строку от имени администратора.

  • Пишем команду ntdsutil
  • Далее нам необходимо зайти в режим metadata cleanup
  • Теперь вам необходимо подключиться к работающему контроллеру домена, пишем connections
  • Далее вводим connect to server и имя сервера, видим успешное подключение
  • Выходим из данного меню, введите q и нажмите enter.
  • Далее введите select operation target
  • Посмотрим список доменов командой List domain
  • Выберем нужный домен, select domain
  • Теперь поищем какие сайты у нас есть, делается это командой list sites
  • Выбираем нужный select site и номер
  • Посмотрим список серверов в сайте, list servers in site, у меня их 7, я выбираю нужный
  • select server и номер
  • Выходим из режима select operation target, введите q
  • Ну и собственно команда на удаление remove selected server

У вас появится предупреждение, что “Вы действительно хотите удалить объект сервера, имя сервера. Это не последний сервер домена. Сервер должен постоянно работать автономно и не возвращаться в сеть обслуживания. При возвращении сервера в сеть обслуживания, объект сервера будет восстановлен.”

Если вы думаете, что удалить контроллер домена 2012 r2 из ntdsutil, достаточно, то хвосты еще остаются. Первый хвост это сайты Active Directory, открываем данную оснастку

Читать еще:  Понижение роли контроллера домена 2020 r2

Все теперь можно удалять, когда все связи устранены.

Ну и последний шаг, это удаление записей в зоне DNS, вот пример записи “Сервер имен (NS)”,

так же посмотрите папк:

Все теперь, можно смело констатировать, что мы с вами правильно удалили неисправный контроллер домена Active Directory, не оставим хвостов. Проверяем теперь реплицацию, чтобы все было без ошибок.

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите

, где — имя работоспособного контроллера домена, хозяина операций

, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

(вернемся в меню metadata cleanup)

( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

  • Yes
  • Откройте консоль Active Directory Sites and Services
  • Разверните сайт, в котором находился ненужный DC
  • Проверьте, что данный контролер не содержит никаких объектов
  • Щелкните правой кнопкой по контроллеру и выберите Delete
  • Закройте консоль Active Directory Sites and Services
  • Откройте оснастку Active Directory Users and Computers
  • Разверните OU «Domain Controllers»
  • Удалите учетную запись компьютера неисправного контроллера домена из данной OU
  • Откройте оснастку DNS Manager
  • Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
  • Щелкните правой кнопкой мыши по зоне и выберите Properties
  • Перейдите на вкладку серверов NameServers
  • Удалите запись неисправного DC
  • Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
  • Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена
  • Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

    ИТ База знаний

    Полезно

    — Узнать IP — адрес компьютера в интернете

    — Онлайн генератор устойчивых паролей

    — Онлайн калькулятор подсетей

    — Калькулятор инсталляции IP — АТС Asterisk

    — Руководство администратора FreePBX на русском языке

    — Руководство администратора Cisco UCM/CME на русском языке

    — Руководство администратора по Linux/Unix

    Навигация

    Серверные решения

    Телефония

    FreePBX и Asterisk

    Настройка программных телефонов

    Корпоративные сети

    Протоколы и стандарты

    Популярное и похожее

    Пошаговый ввод в домен Windows 10

    Погружение в Iptables – теория и настройка

    HyperText Transfer Protocol (HTTP)

    NoSQL: что это и почему говорим «нет» любимому SQL?

    Поднимаем контроллер домена на Windows 2008 R2

    У нас есть Windows Server 2008 R2 и сейчас мы сделаем из него Контроллер домена — Domain Controller (DC). Погнали!

    Первым делом – запускаем Server Manager:

    Затем выбираем опцию Roles и добавляем новую роль для нашего сервера, нажав Add Roles:

    Нас встречает мастер установки ролей, а также просят убедиться, что учетная запись администратора имеет устойчивый пароль, сетевые параметры сконфигурированы и установлены последние обновления безопасности. Прочитав уведомление кликаем Next

    Сервер, выступающий в роли DC обязан иметь статический IP адрес и настройки DNS Если данные настройки не были выполнены заранее, то нас попросят выполнить их в дальнейшем на одном из этапов.

    В списке доступных ролей выбираем Active Directory Domain Services. Мастер сообщает, что для установки данной роли нужно предварительно выполнить установку Microsoft .NET Framework. Соглашаемся с установкой, нажав Add Required Features и кликаем Next

    Нас знакомят с возможностями устанавливаемой роли Active Directory Domain Services (AD DS) и дают некоторые рекомендации. Например, рекомендуется установить, как минимум 2 сервера с ролями AD DS (т.е сделать 2 DC) на случай, чтобы при выходе из строя одного сервера, пользователи домена все ещё могли бы залогиниться с помощью другого. Также, нас предупреждают о том, что в сети должен быть настроен DNS сервер, а если его нет, то данному серверу нужно будет дать дополнительную роль – DNS. После того, как прочитали все рекомендации, кликаем Next чтобы продолжить установку.

    Наконец, нам предоставляют сводную информацию об устанавливаемой роли и дополнительных компонентах для подтверждения. В данном случае, нас уведомляют о том, что будет установлена роль AD DS и компонент .NET Framework 3.5.1. Для подтверждения установки кликаем Install.

    Дожидаемся пока завершится процесс установки роли и компонентов.

    Через какое-то время перед нами появится результат установки, он должен быть успешным как для роли так и для компонентов Installation succeeded. Закрываем мастер установки, нажав Close.

    Вернувшись в Server Manager мы увидим, что у нас появилась роль AD DS, однако ее статус неактивен. Чтобы продолжить настройку кликаем на Active Directory Domain Services.

    Перед нами открывается уведомление о том, что наш сервер пока ещё не является контроллером домена, и чтобы это исправить нам следует запустить мастер настройки AD DS (dcpromo.exe). Кликаем на ссылку Run the Active Directory Domain Services Installation Wizard или же запускаем его через Пуск – Выполнить – dcpromo.exe.

    Перед нами открывается мастер настройки AD DS. Расширенный режим установки можно не включать. Для продолжения кликаем Next

    Нас встречает уведомление о том, что приложения и SMB клиенты, которые используют старые небезопасные криптографические алгоритмы Windows NT 4.0 при установке соединений, могут не заработать при взаимодействии с контроллерами домена на базе Windows Server 2008 и 2008 R2, поскольку по умолчанию, они не разрешают работу по данным алгоритмам. Принимаем данную информацию к сведению и кликаем Next

    Далее нам нужно выбрать принадлежность данного контроллера домена. Если бы у нас уже имелся лес доменов, то данный DC можно было бы добавить туда, либо добавив его в существующий домен, либо же создав новый домен в существующем лесу доменов. Поскольку мы создаем контроллер домена с нуля, то на следующей вкладке мы выбираем создание нового домена и нового леса доменов Create a new domain in a new forest и кликаем Next.

    После этого нам предлагают задать FQDN корневого домена нового леса. В нашем случае мы выбрали merionet.loc. Сервер проверит свободно ли данное имя и продолжит установку, нажимаем Next.

    Далее задаем функциональный уровень леса доменов. В нашем случае — Windows Server 2008 R2 и кликаем Next.

    Обратите внимание, что после задания функционального уровня, в данный лес можно будет добавлять только DC равные или выше выбранного уровня. В нашем случае от Windows Server 2008 R2 и выше.

    Далее, нам предлагают выбрать дополнительные опции для данного DC. Выберем DNS Server и нажимаем Next.

    В случае, если ваш сервер ещё не имеет статического IP адреса, перед вами появится следующее предупреждение с требованием установить статический IP адрес и адрес DNS сервера. Выбираем No, I will assign static IP addresses to all physical network adapters

    Устанавливаем статические настройки IP адреса и DNS. В нашем случае – в роли DNS сервера выступает дефолтный маршрутизатор (Default Gateway) нашей тестовой сети.

    Далее, установщик предлагает нам выбрать путь, по которому будут храниться база данных Active Directory, лог-файл и папка SYSVOL, которая содержит критичные файлы домена, такие как параметры групповой политики, сценарии аутентификации и т.п. Данные папки будут доступны каждому DC в целях репликации. Мы оставим пути по умолчанию, но для лучшей производительности и возможности восстановления, базу данных и лог-файлы лучше хранить в разных местах. Кликаем Next.

    Далее нас просят указать пароль учетной записи администратора для восстановления базы данных Active Directory. Пароль данной УЗ должен отличаться от пароля администратора домена. После установки надежного сложного пароля кликаем Next.

    Далее нам выводят сводную информацию о выполненных нами настройках. Проверяем, что все корректно и кликаем Next.

    Мастер настройки приступит к конфигурации Active Directory Domain Services. Поставим галочку Reboot on completion, чтобы сервер перезагрузился по завершении конфигурирования.

    После перезагрузки сервер попросит нас залогиниться уже как администратора домена MERIONET.

    Поздравляем, Вы создали домен и контроллер домена! В следующей статье мы наполним домен пользователями и позволим им логиниться под доменными учетными записями.

    Полезна ли Вам эта статья?

    Пожалуйста, расскажите почему?

    Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

    Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

    Ссылка на основную публикацию
    ВсеИнструменты 220 Вольт
    Adblock
    detector
    ×
    ×