Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка второго контроллера домена

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Всем привет сегодня расскажу как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2. Напомню что ранее я описывал процесс Как установить Active directory в windows server 2008R2, и один рабочий контроллер домена мы уже имеем. И не давно, когда я создавал тестовый домен msk.pyatilistnik.org я неправильно назвал DC и мне пришлось его переименовывать, советую почитать. Приступаем к добавлению второго контроллера в существующий лес, по времени это занимает около 5-10 минут.

Как видите я уже подготовил сервер для DC, у меня он называется dc3.msk.pyatilistnik.org, у него уже есть помимо имени статический ip адрес.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-008

Для установки AD откройте пуск и введите да боле знакомое слово dcpromo.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-009

Откроется мастер установки доменных служб, жмем Далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R20010

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-011

Следующим окном мастера будет вводная информация, жмем далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-012

Теперь ставим галку Существующий лес, добавить контроллер домена в существующий домен

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-013

указываем имя домена для присоединения

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-014

Выбираем домен для данного добавочного контроллера домена

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-015

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-016

Начнется проверка DNS

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-017

Далее указываем что у нас север будет DNS сервером еще и Глобальным каталогом.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-018

Делегируем DNS сервер

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-019

На следующем этапе мы можем задать каталоги хранения файлов базы данных

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-020

задаем пароль администратора восстановления AD.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-021

Последнее Далее. Начнется установка.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-022

Ставим галку перезагрузка по завершении.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-023

Через некоторое время сервер перезагрузится и вы получите второй домен контроллер. Откройте оснастку Active Directory Пользователи и компьютеры на первом DC, и перейдите в контейнер Domain Controllers, как видите DC03 появился в списке.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-024

Откроем Power shell и проверим реплику командой repadmin /syncall. Проверять нужно минут через 5 после того как второй домен контроллер загрузился. Видим, что ошибок репликации нет.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-025

Вот так вот просто добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.

Дополнительный контроллер домена 2008 R2 к существующему домену под управлением 2003 R2

Структура организации следующая: есть домен для сотрудников под названием domain.int, есть также и его поддомен для других нужд – subdomain.domain.int. Возникла задача перевести существующий поддомен под управлением Windows Server 2003 R2 на Windows Server 2008 R2. Причем главный домен уже переведен.

Просто накатить сверху систему нельзя – 2003 R2 является 32-битной версией, а 2008 R2, соответственно, – 64-битная. А было бы здорово. Выбор невелик, поэтому решили сделать следующее:

  1. Устанавливаем дополнительный контроллер домена (КД) на Windows Server 2008 R2
  2. Новый контроллер должен иметь роли глобального каталога и DNS
  3. Проверяем работу и репликацию обоих контроллеров
  4. Указываем, что новый КД (2008) – хозяин операций
  5. Удаляем из схемы старый КД (2003)
  6. Проверяем работу и начинаем подготовку к настройке уже реально другого дополнительного КД, чтобы на выходе получить два КД под управлением 2008 R2
  7. Забываем, что когда-то у нас в сети был КД под управлением 2003 R2

Почему решили перевести КД на другую схему, думаю, всем ясно. На дворе уже 2013 год, 2014 не за горами. Почему бы не воспользоваться проверенными и более новыми технологиями? Windows Server 2012 на момент написания статьи пока не вышел в релизе R2. А исходя из многолетнего опыта использования Microsoft, не стоит что-то внедрять на том, что вышло совсем недавно. К тому же немного бесит, что статей в интернете по новым продуктам мало. Именно поэтому сделали выбор на системе Windows Server 2008 R2. В данной статье я буду описывать последовательные действия для 1 и 2 пункта моего плана.

Читать еще:  Создание почты с доменом

Что подвигло написать статью? Ответ прост: в интернете мало статей по субдоменам. И пускай ничего супер-естественного в настройке нет. Зато наши читатели узнают, что все проходит достаточно просто и последовательно, как по аналогии при лесе с одним доменом. А наш сайт любит хоть и маленькие, но все же эксклюзивы. К тому же, излагаться все будет просто и на обычном языке, понятным даже для самых маленьких админов.

Для начала надо подготовить площадку для будущего дополнительного КД. Проверяем активацию, часовой пояс, брандмауер, сетевые интерфейсы, имя компьютера и другое:

Далее кликаем на установке новой роли и указываем, что нам надо “Доменные службы Active Directory”:

Начинаем установку этой роли:

Заметили, что автоматом поставился компонент .Net Framework 3.5? Поэтому после всех установок сразу “подхватываются” обновления:

Ну вот и все установилось. Даже не пришлось перезагружаться. Я начинаю приятно удивляться Microsoft. Посудите сами – одна из самых серьезных ролей и компонент только что установились, да еще и обновления, а перезагрузка не требуется. Заметили самую первую ошибку? Причина ошибки написана выше, а именно то, что надо бы настроить наш будущий КД:

Поэтому прямо оттуда или из режима командной строки запускаем утилиту DCPROMO.EXE:

Не надо нажимать нам “расширенный режим”. Делаем все по стандартно. По-хорошему, в лучших традициях Microsoft все должно быть по сценарию Далее+Далее+Финиш=Все_работает. Посмотрим как это будет дальше. Соглашаемся с первым окном приветствия:

Затем подсказываем мастеру, что у нас будет добавочный КД:

Затем прописываем имя домена. Можно главный domain.int, а можно и поддомен – subdomain.domain.int. И учетную запись администратора домена само собой. Вы же под ней и делаете?

Теперь главное не перепутать и указать уже точно, в каком домене будем работать. Нам надо поддомен subdomain.domain.int:

Ну вот… начинаются приключения. Так и знал:

Сам виноват, не подготовил домен для перехода. Зато все теперь последовательно все исправим. Идем на главный КД под управлением Windows Server 2003 R2 и вставляем туда диск с нашей системой 2008 R2. Я скопировал все утилиты на диск С, но это необязательно. Запускаем утилиту adprep /domainprep:

Вот я снова невнимательный. Утилита-то 64-битной версии. Поэтому пробуем на 32-битной редакции. Кажется получилось, хотя могли бы и вывести сообщение об успехе:

Теперь запускаем снова утилиту DCPROMO и проделываем все тоже самое. Вместо ошибки получаем следующее окно мастера. Значит та утилита все-таки помогла подготовить домен. Мастер нас спрашивает, какой точно сайт нам нужен. У меня их 3, у вас может быть другое количество. Название не спутаешь, поэтому с уверенностью кликаем “далее”:

Затем мастер спрашивает, добавить ли из будущему КД роли DNS и Global Catalog. Это пригодится будущем, поэтому соглашаемся. Пугаться не надо: в сети может быть несколько DNS и глобальных каталогов. Это, кстати, очень хорошо с точки зрения отказоустойчивости:

Системные папки для хранения баз данных Active Directory и другого оставляем по-умолчанию:

Указываем пароль для восстановления каталогов. И хоть его надо в любом случае сохранить, я очень надеюсь, что он вам не пригодится:

Кажется на этом наши настройки закончились. Нажимаем далее и ждем, пока все сделается:

Видим, что все установилось, поэтому смело перезагружаемся:

И на этом все. Репликация получилась, КД начал функционировать нормально. Еще совет для малоопытных админов – не торопитесь и делайте все последовательно. Могу также в качестве бонуса сообщить один нюанс. Загрузка КД и репликация с главным контроллером может происходить очень долго. Лично у нас все “поднялось” спустя несколько часов. Были моменты, когда казалось, что КД не работает как контроллер. Но мы набрались терпения и дождались результата. Все остальные действия моего плана выполнились практически без каких-либо происшествий. Их можно посмотреть в интернете, информации полно.

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

Читать еще:  Настройка паролей в домене

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Настройка Windows Server 2008 R2 Core как второго контроллера домена

Данное пошаговое руководство описывает как поднять второй domain controller на системе Windows Server Core, а также некоторые общие команды по его управлению.

Для установки пароля администратора выполните следующие действия:

Все последующие настройки можно осуществляеть через sconfig

Для настройки статического IP-адреса выполните следующие действия:

Повторите шаг 4 для каждого сервера DNS, который Вы хотите указать, каждый раз увеличивая на единицу значение параметра index=.

Для смены имени сервера выполните следующие действия:
Выясните текущее имя сервера с помощью команды hostname или ipconfig.

Для присоединения компьютера к домену выполните следующие действия:

Если Вам необходимо добавить доменную учетную запись пользователя в группу локальных администраторов, наберите следующую команду:

Для управления сервером, работающим в режиме Server Core, с использованием сервера терминалов выполните следующие действия:

Эта команда разрешает использование режима удаленного администрирования Remote Desktop for Administration и позволяет принимать входящие подключения.

Для управления сервером, работающим в режиме Server Core, с использованием оснастки консоли управления MMC выполните следующие действия:

Если сервер, работающий в режиме Server Core, не является членом домена, установите сеанс связи с ним, набрав в командной строке клиентского компьютера следующую команду:

где: Имя_сервера – имя сервера, работающего в режиме Server Core, а Имя_пользователя – имя учетной записи администратора.
На сервере добавить в firewall исключение для удаленного управления

Читать еще:  Пространство имен домена

Или вырубим firewall полностью

Запустите оснастку консоли управления MMC, например Computer Management.
В левой панели оснастки щелкните правой кнопкой мыши самый верхний узел дерева (если рассматривать пример работы с оснасткой Computer Management, то Вам нужно щелкнуть узел Computer Management (Local)) и в контекстном меню выберите команду Connect to another computer.
В поле Another computer введите имя сервера, работающего в режиме Server Core, и нажмите кнопку OK.

Активирование лицензионного ключа

Для повышения серевера до уровня контроллера домена необходимо создать файл unattend.txt

Сохранить на C: и запустить

Для установки роли сервера DNS выполните следующие действия:

Настройте зону DNS, набрав в командной строке команду dnscmd

Просмотр зон в DNS

Добавление primary DNS-зоны с именем domain

Для установки роли сервера DHCP выполните следующие действия:

Настройте область DHCP, набрав в командной строке команду netsh

Просмотр пользователей в AD

Диагностика контроллера домена

Просмотр последних 10 логов

Проверка расшаренных папок (должны быть открыты SYSVOL и NETLOGON)

Просмотр MAC-адреса другой машины

Также существуют графические утилиты для настройки Windows Server 2008 Core: Core Configurator, Smart-X Core Configurator.

Настройка второго контроллера домена

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть сеть, в ней поднят домен. Сервер один, на нем подняты — W2k3server, DNS, DC, GC, DHCP. Есть желание поднять второй сервер(w2k3server) c DC+DNS+GC, для надежности.
Последовательность настройки понимаю — DNS, AD, GC.
Но установить не могу.
Как правильно установить и настроить второй сервер DNS.
Какой IP необходимо прописать на втором сервере DNS(первого сервера DNS или самого себя(тогда как в домен входить?)).
DNS только для локальной сети.

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не пойму, а вчем проблема-то ?
Ты хочешь поднять дополнительный контроллер домена, так поднимай.

1) DNS у тебя уже есть, сразу нужно приступить к установке AD. DNS потом второй поднимешь.
2) Кстати DNS у тебя интегрирован в AD или нет ?

Добавлено
Пытаюсь запустить на втором сервере dcpromo.exe вылетает с такой ошибкой:

«The operation failed because: The Active Directory Installation Wizard was unable to convert the computer account DCSERVER2$ to a domain controller account. «Access is denied.»

хотя все манипуляции провожу под учетной записью администратора домена.
В чем проблема не могу понять.
Подскажите пожалуйста.

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Помогло вот что:
http://support.microsoft.com/default.aspx?scid=KB;EN-US;250874
и плюс это:
добавил администратора домена в трех местах: В груповй политики Домена, контроллера домена и в локальной политики.

А как теперь сделать второй DNS сервер (на первом сервере DNS интегрирован в AD)?

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Похожая проблема.
Поставил дополнительный контроллер домена. Перенес 5 хозяев + глобальный каталог. Никак не удается перенести ДНС. Автоматически ставиться не хочет. Ставлю вручную — пишет, что ДНС не работает. Помогите.

т.е. DNS вообще не работает или он как служба работает, а репликация не проходит?

Подскажите, обязательна-ли именно такая последовательность?

у меня есть два DC первый с DNS интегрированным в AD на втором AD и DHCP поднял, но! не поднял DNS — есть такой глюк при рестарте DNS на первом DC он ругается один раз —
Подробнее.

думаю что не стоит ставить DNS пока проблеммы с DNS не решу.

может кто подскажет как данную проблемму решить? и не повлияет ли это на второй DNS сервер (в случае если без иправления этой ошибки я DNS на втором сервере буду поднимать)?

Изменение пароля учетной записи компьютера с помощью программы Netdom.exe
1. На контроллере домена, для которого необходимо сбросить пароль учетной записи, установите набор средств Windows Support Tools из папки SupportTools, находящейся на компакт-диске Windows.
2. Если нужно сбросить пароль учетной записи контроллера домена, необходимо предварительно остановить службу «Центр распространения ключей Kerberos» и установить для параметра «Тип запуска» данной службы значение «Вручную».

Примечание. После сброса пароля следует выполнить перезагрузку, убедиться, что пароль был успешно сброшен, запустить службу «Центр распространения ключей Kerberos» и установить для параметра «Тип запуска» данной службы значение «Авто». При этом данный контроллер домена обратится к другому контроллеру домена для получения билета Kerberos.
3. Введите в командной строке следующую команду:
netdom resetpwd /server:имя_партнера_по_репликации /userd:имя_доменаимя_пользователя_с_правами_администратора /passwordd:*
где имя_партнера_по_репликации — полное доменное имя или NetBIOS-имя контроллера домена, находящегося в том же домене, что и локальный компьютер, имя_доменаимя_пользователя_с_правами_администратора — NetBIOS-имя домена и имя учетной записи администратора в формате SAM (Security Accounts Manager).

Символ «*» после параметра /PasswordD: указывает, что при отображении вводимого пароля следует использовать скрытые символы. Предположим, что имя локального компьютера (являющегося контроллером домена) — Server1, а имя второго контроллера домена — Server2. Если на компьютере Server1 запустить программу Netdom с указанными ниже параметрами, то одновременно будет изменен пароль учетной записи компьютера Server1 на компьютерах Server1 и Server2, а также начнется репликация, которая передаст новый пароль на другие контроллеры домена.
netdom resetpwd /server:server2 /userd:имя_текущего_доменаadministrator /passwordd:*

Ссылка на основную публикацию
Adblock
detector