Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Понижение контроллера домена 2020

Понижения роли контроллера домена под управлением Windows Server 2003

Для понижения роли контроллера домена, достаточно превратить контроллер домена в рядовой сервер. Это делается утилитой dcpromo.exe, при запуске которой запускается мастер установки Active Directory. Процесс понижения роли имеет сои особенности, связанные с количеством контроллеров в домена в лесе и их функциональностью. Если контроллер домена, является сервером глобального каталога, то будет выдано предупреждение! Его можно проигнорировать в двух случаях: если контроллер домена — единственный и уничтожается вся доменная структура; если в лесе имеются другие контроллеры, выполняющие эту функцию.

Пуск — Выполнить — dcpromo.exe, при запуске которой запускается мастер установки Active Directory

Выходит предупреждение что данный контроллер домена, является сервером глобального каталога. Под глобальным каталогом понимается возможность авторизировать учетными данными данного контролера домена.
Что бы убрать функцию глобального каталога, необходимо перейти в оснастку Active Directiry Sites and Services.Выбрать сервер, и войти в его свойства.

Снять галку с Global Catalog. Об успешном отключении данной функции можно посмотреть в логах windows.Если мастер запущен уже после этой процедуры, предупреждения уже не будет. На данном этапе, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене. Если поставить галку, на «сервер последний контроллер домена в данном домене» (This server is the last domain controller in the domain), то контроллер домена становится изолированным сервером и все данные и настройки удаляются.

В данном случае, понижается роль резервного контролера домена, и галку в предыдущем шаге не ставили. На данном этапе сбрасывается пароль учетной записи Администратора.Завершающий шаг запуска процесса понижения роли.
Процесс удаления Active Directory, понижение роли.

После завершения процесса, необходимо перезагрузить сервер. После перезагрузки, сервер станет рядовым, состоящий в домене.

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Пошаговый ввод в домен Windows 10

Погружение в Iptables – теория и настройка

Установка OpenMeetings по шагам

Apache или IIS – сравнение и преимущества

Поднимаем контроллер домена на Windows 2008 R2

У нас есть Windows Server 2008 R2 и сейчас мы сделаем из него Контроллер домена — Domain Controller (DC). Погнали!

Первым делом – запускаем Server Manager:

Затем выбираем опцию Roles и добавляем новую роль для нашего сервера, нажав Add Roles:

Нас встречает мастер установки ролей, а также просят убедиться, что учетная запись администратора имеет устойчивый пароль, сетевые параметры сконфигурированы и установлены последние обновления безопасности. Прочитав уведомление кликаем Next

Сервер, выступающий в роли DC обязан иметь статический IP адрес и настройки DNS Если данные настройки не были выполнены заранее, то нас попросят выполнить их в дальнейшем на одном из этапов.

В списке доступных ролей выбираем Active Directory Domain Services. Мастер сообщает, что для установки данной роли нужно предварительно выполнить установку Microsoft .NET Framework. Соглашаемся с установкой, нажав Add Required Features и кликаем Next

Нас знакомят с возможностями устанавливаемой роли Active Directory Domain Services (AD DS) и дают некоторые рекомендации. Например, рекомендуется установить, как минимум 2 сервера с ролями AD DS (т.е сделать 2 DC) на случай, чтобы при выходе из строя одного сервера, пользователи домена все ещё могли бы залогиниться с помощью другого. Также, нас предупреждают о том, что в сети должен быть настроен DNS сервер, а если его нет, то данному серверу нужно будет дать дополнительную роль – DNS. После того, как прочитали все рекомендации, кликаем Next чтобы продолжить установку.

Наконец, нам предоставляют сводную информацию об устанавливаемой роли и дополнительных компонентах для подтверждения. В данном случае, нас уведомляют о том, что будет установлена роль AD DS и компонент .NET Framework 3.5.1. Для подтверждения установки кликаем Install.

Дожидаемся пока завершится процесс установки роли и компонентов.

Через какое-то время перед нами появится результат установки, он должен быть успешным как для роли так и для компонентов Installation succeeded. Закрываем мастер установки, нажав Close.

Вернувшись в Server Manager мы увидим, что у нас появилась роль AD DS, однако ее статус неактивен. Чтобы продолжить настройку кликаем на Active Directory Domain Services.

Перед нами открывается уведомление о том, что наш сервер пока ещё не является контроллером домена, и чтобы это исправить нам следует запустить мастер настройки AD DS (dcpromo.exe). Кликаем на ссылку Run the Active Directory Domain Services Installation Wizard или же запускаем его через Пуск – Выполнить – dcpromo.exe.

Перед нами открывается мастер настройки AD DS. Расширенный режим установки можно не включать. Для продолжения кликаем Next

Нас встречает уведомление о том, что приложения и SMB клиенты, которые используют старые небезопасные криптографические алгоритмы Windows NT 4.0 при установке соединений, могут не заработать при взаимодействии с контроллерами домена на базе Windows Server 2008 и 2008 R2, поскольку по умолчанию, они не разрешают работу по данным алгоритмам. Принимаем данную информацию к сведению и кликаем Next

Читать еще:  Служба доменных имен dns

Далее нам нужно выбрать принадлежность данного контроллера домена. Если бы у нас уже имелся лес доменов, то данный DC можно было бы добавить туда, либо добавив его в существующий домен, либо же создав новый домен в существующем лесу доменов. Поскольку мы создаем контроллер домена с нуля, то на следующей вкладке мы выбираем создание нового домена и нового леса доменов Create a new domain in a new forest и кликаем Next.

После этого нам предлагают задать FQDN корневого домена нового леса. В нашем случае мы выбрали merionet.loc. Сервер проверит свободно ли данное имя и продолжит установку, нажимаем Next.

Далее задаем функциональный уровень леса доменов. В нашем случае — Windows Server 2008 R2 и кликаем Next.

Обратите внимание, что после задания функционального уровня, в данный лес можно будет добавлять только DC равные или выше выбранного уровня. В нашем случае от Windows Server 2008 R2 и выше.

Далее, нам предлагают выбрать дополнительные опции для данного DC. Выберем DNS Server и нажимаем Next.

В случае, если ваш сервер ещё не имеет статического IP адреса, перед вами появится следующее предупреждение с требованием установить статический IP адрес и адрес DNS сервера. Выбираем No, I will assign static IP addresses to all physical network adapters

Устанавливаем статические настройки IP адреса и DNS. В нашем случае – в роли DNS сервера выступает дефолтный маршрутизатор (Default Gateway) нашей тестовой сети.

Далее, установщик предлагает нам выбрать путь, по которому будут храниться база данных Active Directory, лог-файл и папка SYSVOL, которая содержит критичные файлы домена, такие как параметры групповой политики, сценарии аутентификации и т.п. Данные папки будут доступны каждому DC в целях репликации. Мы оставим пути по умолчанию, но для лучшей производительности и возможности восстановления, базу данных и лог-файлы лучше хранить в разных местах. Кликаем Next.

Далее нас просят указать пароль учетной записи администратора для восстановления базы данных Active Directory. Пароль данной УЗ должен отличаться от пароля администратора домена. После установки надежного сложного пароля кликаем Next.

Далее нам выводят сводную информацию о выполненных нами настройках. Проверяем, что все корректно и кликаем Next.

Мастер настройки приступит к конфигурации Active Directory Domain Services. Поставим галочку Reboot on completion, чтобы сервер перезагрузился по завершении конфигурирования.

После перезагрузки сервер попросит нас залогиниться уже как администратора домена MERIONET.

Поздравляем, Вы создали домен и контроллер домена! В следующей статье мы наполним домен пользователями и позволим им логиниться под доменными учетными записями.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

PC360

Ремонт/настройка ПК и окружающих его устройств.

Деинсталяция резервного контроллера домена с ОС Windows Server 2008R2.

Резервный контроллер домена нужно вывести из домена и демонтировать виртуальную машину, потому что она постоянно зависает. Точнее зависает не она, о тот Linux на котором она установлена. Сервер в работе, к нему есть доступ. При корректной деинсталяции из домена удалятся все записи об этом контроллере и он ни где не будет фигурировать. Приступим.

В диспетчере удаляемого сервера, он называется WIN-SRV-ST, выбираем опцию – Удалить роли.

Откроется мастер удаления ролей. Читаем – нажимаем >>Далее.

В следующем окне можно увидеть список ролей сервера. С тех ролей, которые нужно удалить, снимаем галочки.

При убирании галочки с пункта Доменные службы Active Directory получаем сообщение: Удаление доменных служб Active Directory невозможно, пока сервер является контроллером домена.

Чтобы удалить AD DC необходимо удалить контроллер домена с помощью мастера установки доменных служб dcpromo.exe. Воспользуемся этой подсказкой.

Для запуска dcpromo пишем его в поисковой строке и запускаем из результатов поиска.

Запустится мастер установки доменных служб Active Directory. Нажимаем >> Далее.

Появившееся сообщение предупреждает о том, что сервер является хранителем глобального каталога.

Чтоб проверить, где еще хранится глобальный каталог переходим в диспетчере сервера по директориям >> Роли >> Доменные службы Active Directory >> Active Directory – сайты и службы >> Sites >> Default-First-Site-Name >>Servers.

По очереди выбираем доступные контроллеры домена, правой кнопкой мыши на NTDS Settings >> Свойства и смотрим, отмечена ли галочка напротив надписи – Глобальный каталог. В данном случае глобальный каталог хранится на всех DC, поэтому с деинсталируемого WIN-SRV-ST его можно удалять.

Возвращаемся к Мастеру dcpromo, нажимаем ОК >> Далее.

В следующем окне галочку не ставим. Наш контроллер домена не последний. >> Далее.

Начнутся проверки необходимости удаления компонентов.

Далее необходимо ввести пароль для новой учетной записи администратора на данном сервере.

Читать еще:  Как поменять домен почтового ящика

Смотрим сводку, подтверждаем удаление нажав >> Далее.

В следующем окне можно отметить галочкой – Перезагрузка по завершении. Мастер выполнит работу и сервер перезагрузится.

После перезагрузки выполняем авторизацию с учетной записью Администратора и новым созданным паролем.

Снова запускаем мастер удаления ролей. Снимаем галочки с ролей: Доменные службы Active Directory и DNS-сервер. На сей раз ни каких предупреждений не появилось. Нажимаем >>Далее.

Подтверждаем удаление компонентов нажав >>Удалить.

Ожидаем, пока выполняется удаление.

Видим результаты удаления. Перезагружаем сервер.

После перезагрузки видим, что удаление прошло успешно.

В итоге роли и службы удалены, сервер больше не является контроллером домена. Виртуальную машину можно демонтировать.

Что такое контроллер домена

Администратор 26 Сентябрь 2014 Просмотров: 13875

Что такое контроллер домена

Контроллер домена обеспечивает централизованное управление сетевыми устройствами, то есть доменами. В контроллере хранится вся информация с учетных записей и параметров пользователей сети. Это параметры безопасности, локальной политики и многие другие. Это, своего рода, сервер, который полностью контролирует определенную сеть или сетевую группу. Контроллер домена — это, своего рода, набор специального программного обеспечения, которое осуществляет запуск различных служб Active Directory. Контроллеры работают под управлением определенных операционных систем, таких как Windows server 2003. Мастер установки Active Drive позволяет создавать контроллеры доменов.

В операционной системе Windows NT, как основной сервер, используется основной контроллер домена. Другие используемые серверы используются как резервные контроллеры. Основные контроллеры PDС могут решать различные задачи, связанные с членством пользователей в группах, создание и изменение паролей, добавление пользователей и многие другие. После чего данные передаются на дополнительные контроллеры BDC.

В качестве контроллера домена может использоваться программное обеспечение Samba 4, если установлена операционная система Unix. Это ПО также поддерживает и другие операционные системы, такие как windows 2003, 2008, 2003 R2 и 2008 R2. Каждая из операционных систем при необходимости может расширяться в зависимости от конкретных требований и параметров.

Применение контроллеров домена

Используются контроллеры доменов многими организациями, в которых расположены компьютеры, подключенные между собой и в сеть. В контроллерах хранятся данные каталогов и осуществляется контроль входа и выхода пользователей в систему, а также управление взаимодействием между ними.

Организациям, использующим контроллер домена, необходимо решить то, какое количество их будет использоваться, распланировать архивирование данных, физическую безопасность, обновление сервера и другие необходимые задачи.

Если компания или организация небольшая и в ней используется всего одна доменная сеть, то достаточно использовать два контролера, которые способны обеспечить высокую стабильность, отказоустойчивость и высокий уровень доступности сети. В сетях, которые делятся на определенное количество сайтов, на каждом из них устанавливается по одному контроллеру, что позволяет добиться необходимой работоспособности и надежности. Благодаря использованию контроллеров на каждом сайте, можно значительно упростить вход пользователей в систему и сделать его более быстрым.

Сетевой трафик можно оптимизировать, чтобы это сделать, необходимо установить время обновлений репликации тогда, когда нагрузка на сеть будет минимальной. Настройка репликации позволит значительно упростить работу и сделать ее более производительной.

Добиться максимальной производительности в работе контроллера можно в том случае, если домен будет являться глобальным каталогом, что позволит запрашивать любые объекты по конкретному весу. При этом важно помнить, что включение глобального каталога влечет за собой значительное увеличение трафика репликации.

Контроллер домена хозяина лучше не включать, если используется больше одного контроллера домена. При использовании контроллера домена очень важно заботиться о безопасности, потому как он становится достаточно доступным для злоумышленников, желающих завладеть необходимыми для обмана данными.

Особенности установки дополнительных контроллеров домена

Для того чтобы добиться более высокой надежности в работе необходимых сетевых служб, необходима установка дополнительных контроллеров домена. В результате, можно добиться значительно более высокой стабильности, надежности и безопасности в работе. Быстродействие сети в таком случае станет значительно выше, что является очень важным параметром для организаций, которые используют контроллер домена.

Для того чтобы контроллер домена работал правильно, необходимо произвести некоторые подготовительные работы. Первое, что нужно сделать, это проверить параметры TCP/IP, они должны быть правильно установлены для сервера. Важнее всего проверить DNS имена на сопоставления.

Для безопасной работы контроллера домена необходимо использовать файловую систему NTFS, обеспечивающую более высокую безопасность в сравнении с файловыми системами FAT 32. Для установки на сервере нужно создать один раздел в файловой системе NTFS, на котором будет находиться системный том. Также обязательно необходим доступ к DNS серверу с сервера. Служба DNS устанавливается на этом или дополнительном сервере, который должен поддерживать ресурсные записи.

Для того чтобы правильно настроить контроллер домена, можно использовать Мастер настройки, с помощью которого можно добавлять выполнение определенных ролей. Для этого нужно будет зайти в раздел администрирование через панель управления. В качестве роли сервера необходимо указать контроллер домена.

Контроллер доменов на сегодняшний день является незаменимым для сетей и сайтов, которыми пользуются различные организации, учреждения и компании во всех сферах деятельности человека. Благодаря ему, обеспечивается высокая производительность в работе и безопасность, которая в компьютерных сетях имеет особое значение. Роль контроллера домена очень важна, потому как он позволяет осуществлять управление областями домена, построенными на компьютерных сетях. В каждой операционной системе есть определенные нюансы, связанные с работой контроллеров домена, но принцип и его назначение везде одинаковое, поэтому разобраться с настройками не так сложно, как может показаться в самом начале. Тем не менее, очень важно, чтобы настройкой контроллеров домена занимались специалисты, чтобы в конечном итоге получить высокую производительность и безопасность во время работы.

Читать еще:  Служба имен доменов

Развертывание контроллера домена с помощью Install From Media (IFM)

Рассмотрим следующую ситуацию: в вашей компании имеется удаленный филиал. В филиале вы планируете установить новый дополнительный контроллер домена. Канал передачи между головным офисом и филиалом не очень скоростной и производительный. Соответственно, скорость передачи данных между двумя контроллерами будет достаточно низкая. А теперь вспомните тот факт, что размер файл Active Directory (ntds.dit) нередко имеет бывает очень большим(порядка нескольких десятков Гб).

Если вы устанавливаете дополнительный контроллер домена в Active Directory в филиале классическим способом, то представьте сколько времени (часов или дней) потребуется для завершения синхронизации нового DC.

По этой причине Microsoft предлагает разворачивать DC используя метод установки нового DC с носителя – Install From Media (IFM). Таким образом, существенно сокращается время необходимое на репликацию.

Фактически, создается отдельный файл с данными Active Directory. Сначала данные существующего контроллера домена (DC головного офиса) экспортируются в файл, затем данный файл на носителе (защищенном диске или флешке), передается в филиал, а затем происходит импорт этих данных в новый DC (DC филиала). Таким образом, потребуется только синхронизировать изменения, которые были внесены за время экспорта данных с первичного DC.

Прежде чем приступить к процессу установки нового DC используя метод установки с носителя (IFM), вам необходимо знать и учитывать основные особенности:

  • Метод IFM нельзя использовать для первоначальной установки DC
  • Метод IFM применяется для DC находящихся в одном домене AD
  • Для использования медиа файла (media file) оба DC должны серверами глобального каталога Global Catalog (GC)
  • Если вы разворачиваете RODC (Read Only Domain Controller), media file создается из существующего DC (обычный RW контроллер домена), либо из существующего RODC
  • При использовании метода IFM создается временная базы данных в каталоге %TMP%, поэтому следует заранее освободить достаточное количество свободного места на диске

Используя Windows Server 2016 и утилиту NTDSUtil.exe, вы можете создать два типа файла-носителя: полный (записываемый) DC или RODC. Следует знать, что в Windows Server 2008 R2 есть еще два варианта: полноценный DC с SYSVOL и RODC с SYSVOL.

Установка Active Directory при помощи метода Install From Media (IFM)

Как вы, уже поняли, процесс выполняется в два основных этапа:

Первый выполняется на существующем контроллере домена, на котором нужно будет экспортировать базу AD в media file

Второй выполняется на новом DC или RODC.

На имеющемся контроллере домена

Для создания медиа файл носителя мы воспользуемся консольной утилитой NTDSUtil. Все доступные параметры команд, можно увидеть, дописав в командной строке опцию help.

Откройте командную строку с правами администратора, затем введите команду ntdsutil и нажмите Enter.

Далее ввести команду activate instance ntds .

После этого необходимо ввести IFM .

Чтобы создать media file для DC, введите create full

Чтобы создать media file для RODC, введите create rodc

Чтобы создать media file с SYSVOL, введите create sysvol full

Чтобы создать носитель с SYSVOL для RODC, введите create sysvol rodc

Где это путь до каталога, в котором будет создан media файл.

Как вы видите, будет создан снаншот базы AD в файлы ntds.dit и скопирован в указанный каталог. После того, как файл будет создан и записан в указанный ранее каталог появиться сообщение: «IFM media created successfully in….»

Для завершения работы утилиты NTDSUtil вводим команду quit и нажимаем «Enter».

После этого перейдите в каталог IFM и убедитесь, что все файлы были успешно созданы.

Затем скопируйте данный каталог на любой носитель (диск, USB флешку и т.д).

На новом контроллере домена

Убедитесь, что съемный диск содержащий media file подключен к серверу, или media file был скопирован в локальную (сетевую) папку.

Далее, необходимо установить роль Active Directory Domain Services. Сделать это можно при помощи Server Manager либо в PowerShell.

Давайте сразу перейдем к окну «Active Directory Domain Services Configuration Wizard». В этом окне вам необходимо выбрать пункт «Add a domain controller to an existing domain», так как новый DC должен находиться в том же домене где и старый, с которого вы экспортировали данные.

Когда вы перейдете к «Deployment Configuration Wizard», в разделе «Additional Options» поставьте галочку напротив «Install from media» и выберите каталог, в котором расположен media file. Для проверки нажмите кнопку «Verify». Если файл отсутствует или поврежден система выдаст предупреждение.

В разделе «Review Options» вы увидите указанный каталог.

Затем, завершите работу мастера и после перезагрузки системы процесс создания нового контроллера домена будет почти завершен. Теперь остается только реплицировать объекты, которые были изменены с момента создания файла.

Хочу заметить, что не следует затягивать процесс импорта данных в новый контроллер домена более чем на 30 дней с момента создания файла.

Ссылка на основную публикацию
Adblock
detector