Tw-city.info

IT Новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Второй контроллер домена

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Дополнительный контроллер домена 2008 R2 к существующему домену под управлением 2003 R2

Структура организации следующая: есть домен для сотрудников под названием domain.int, есть также и его поддомен для других нужд – subdomain.domain.int. Возникла задача перевести существующий поддомен под управлением Windows Server 2003 R2 на Windows Server 2008 R2. Причем главный домен уже переведен.

Просто накатить сверху систему нельзя – 2003 R2 является 32-битной версией, а 2008 R2, соответственно, – 64-битная. А было бы здорово. Выбор невелик, поэтому решили сделать следующее:

  1. Устанавливаем дополнительный контроллер домена (КД) на Windows Server 2008 R2
  2. Новый контроллер должен иметь роли глобального каталога и DNS
  3. Проверяем работу и репликацию обоих контроллеров
  4. Указываем, что новый КД (2008) – хозяин операций
  5. Удаляем из схемы старый КД (2003)
  6. Проверяем работу и начинаем подготовку к настройке уже реально другого дополнительного КД, чтобы на выходе получить два КД под управлением 2008 R2
  7. Забываем, что когда-то у нас в сети был КД под управлением 2003 R2

Почему решили перевести КД на другую схему, думаю, всем ясно. На дворе уже 2013 год, 2014 не за горами. Почему бы не воспользоваться проверенными и более новыми технологиями? Windows Server 2012 на момент написания статьи пока не вышел в релизе R2. А исходя из многолетнего опыта использования Microsoft, не стоит что-то внедрять на том, что вышло совсем недавно. К тому же немного бесит, что статей в интернете по новым продуктам мало. Именно поэтому сделали выбор на системе Windows Server 2008 R2. В данной статье я буду описывать последовательные действия для 1 и 2 пункта моего плана.

Что подвигло написать статью? Ответ прост: в интернете мало статей по субдоменам. И пускай ничего супер-естественного в настройке нет. Зато наши читатели узнают, что все проходит достаточно просто и последовательно, как по аналогии при лесе с одним доменом. А наш сайт любит хоть и маленькие, но все же эксклюзивы. К тому же, излагаться все будет просто и на обычном языке, понятным даже для самых маленьких админов.

Читать еще:  Понижение контроллера домена до рядового сервера

Для начала надо подготовить площадку для будущего дополнительного КД. Проверяем активацию, часовой пояс, брандмауер, сетевые интерфейсы, имя компьютера и другое:

Далее кликаем на установке новой роли и указываем, что нам надо “Доменные службы Active Directory”:

Начинаем установку этой роли:

Заметили, что автоматом поставился компонент .Net Framework 3.5? Поэтому после всех установок сразу “подхватываются” обновления:

Ну вот и все установилось. Даже не пришлось перезагружаться. Я начинаю приятно удивляться Microsoft. Посудите сами – одна из самых серьезных ролей и компонент только что установились, да еще и обновления, а перезагрузка не требуется. Заметили самую первую ошибку? Причина ошибки написана выше, а именно то, что надо бы настроить наш будущий КД:

Поэтому прямо оттуда или из режима командной строки запускаем утилиту DCPROMO.EXE:

Не надо нажимать нам “расширенный режим”. Делаем все по стандартно. По-хорошему, в лучших традициях Microsoft все должно быть по сценарию Далее+Далее+Финиш=Все_работает. Посмотрим как это будет дальше. Соглашаемся с первым окном приветствия:

Затем подсказываем мастеру, что у нас будет добавочный КД:

Затем прописываем имя домена. Можно главный domain.int, а можно и поддомен – subdomain.domain.int. И учетную запись администратора домена само собой. Вы же под ней и делаете?

Теперь главное не перепутать и указать уже точно, в каком домене будем работать. Нам надо поддомен subdomain.domain.int:

Ну вот… начинаются приключения. Так и знал:

Сам виноват, не подготовил домен для перехода. Зато все теперь последовательно все исправим. Идем на главный КД под управлением Windows Server 2003 R2 и вставляем туда диск с нашей системой 2008 R2. Я скопировал все утилиты на диск С, но это необязательно. Запускаем утилиту adprep /domainprep:

Вот я снова невнимательный. Утилита-то 64-битной версии. Поэтому пробуем на 32-битной редакции. Кажется получилось, хотя могли бы и вывести сообщение об успехе:

Теперь запускаем снова утилиту DCPROMO и проделываем все тоже самое. Вместо ошибки получаем следующее окно мастера. Значит та утилита все-таки помогла подготовить домен. Мастер нас спрашивает, какой точно сайт нам нужен. У меня их 3, у вас может быть другое количество. Название не спутаешь, поэтому с уверенностью кликаем “далее”:

Затем мастер спрашивает, добавить ли из будущему КД роли DNS и Global Catalog. Это пригодится будущем, поэтому соглашаемся. Пугаться не надо: в сети может быть несколько DNS и глобальных каталогов. Это, кстати, очень хорошо с точки зрения отказоустойчивости:

Системные папки для хранения баз данных Active Directory и другого оставляем по-умолчанию:

Указываем пароль для восстановления каталогов. И хоть его надо в любом случае сохранить, я очень надеюсь, что он вам не пригодится:

Кажется на этом наши настройки закончились. Нажимаем далее и ждем, пока все сделается:

Видим, что все установилось, поэтому смело перезагружаемся:

И на этом все. Репликация получилась, КД начал функционировать нормально. Еще совет для малоопытных админов – не торопитесь и делайте все последовательно. Могу также в качестве бонуса сообщить один нюанс. Загрузка КД и репликация с главным контроллером может происходить очень долго. Лично у нас все “поднялось” спустя несколько часов. Были моменты, когда казалось, что КД не работает как контроллер. Но мы набрались терпения и дождались результата. Все остальные действия моего плана выполнились практически без каких-либо происшествий. Их можно посмотреть в интернете, информации полно.

Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!

Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!

Установка и настройка второго контроллера домена.

1. На первом контроллере домена открываем сетевые настройки первого сервера. Для этого в поле поиска набираем ncpa.cpl. Далее выбираем нужный сетевой интерфейс, правый клик — «Свойства — IP версии 4(TCP/IPv4). — Свойства». В поле альтернативный интерфейс, вписываем IP-адрес добавочного контроллера домена (в данном случае 192.168.100.6).

2. Затем переходим на второй сервер и задаём имя будущему серверу: «Этот компьютер — Свойства — Изменить параметры — Изменить». В поле «Имя компьютера» задаём имя серверу, далее «ОК». Потребуется перезагрузка компьютера, соглашаемся.

3. После перезагрузки переходим к настройке сетевого интерфейса. Для этого в поле поиск пишем ncpa.cpl. Выбираем нужный интерфейс, правый клик — «Свойства — IP версии 4(TCP/IPv4). — Свойства». В открывшемся окне заполняем поля:

  • IP-адрес: IP-адрес сервера (например, 192.168.100.6)
  • Маска подсети: например, 255.255.255.0 (маска 24 бит)
  • Основной шлюз: например, 192.168.100.1
  • Предпочитаемый DNS-сервер: IP-адрес первого сервера (например, 192.168.100.5)
  • Альтернативный DNS-сервер: IP-адрес второго сервера (например, 192.168.100.6)

Затем нажимаем «ОК».

4. Добавляем в домен новый сервер. Для этого выбираем «Этот компьютер — Свойства — Изменить параметры — Изменить». Ставим чекбокс «Является членом домена» и вписываем имя домена. Затем «ОК».

5. В диалоге «Изменение имени компьютера или домена» вводим имя пользователя домена с административными правами (пользователь должен иметь возможность добавлять компьютеры в домен), далее «ОК».

6. При успешной операции появится надпись «Добро пожаловать в домен. «. Нажимаем «ОК».

7. После перезагрузки компьютера в окне «Просмотр основных сведений о вашем компьютере» можно проверить напротив «Полное имя», что компьютер вошел в состав домена.

8. На этом подготовительный этап закончен, пора устанавливать необходимые роли на сервер. Для этого открываем «Диспетчер серверов» — «Добавить роли и компоненты». Необходимо установить DNS-сервер, Доменные службы Active Directory, DHCP-сервер.

9. Читаем информацию в окне «Перед началом работы», нажимаем «Далее». В следующем окне «Выбор типа установки» оставляем чекбокс «Установка ролей или компонентов» по умолчанию, снова «Далее». Выбираем наш сервер из пула серверов, затем «Далее».

10. В окне «Выбор ролей сервера» выбираем DNS-сервер, Доменные службы Active Directory, DHCP-сервер. При добавлении роли будет появляться предупреждение, например «Добавить компоненты, необходимые для DHCP-сервер». Нажимаем «Добавить компоненты». После выбора нужных ролей нажимаем «Далее».

11. В новом окне «Выбор компонентов» игнорируем «Выберите один или несколько компонентов для установки на этом сервере», нажимаем Далее. В следующем окне «DHCP-сервер» читаем на что обратить внимание при установке DHCP-сервера, затем «Далее». В новом окне «Подтверждение установки» проверяем выбранные роли, нажимаем «Установить».

12. Появится окно с ходом установки выбранных компонентов. Данное окно можно закрыть, оно на процесс установки уже не влияет.

13. После того, как установятся выбранные компоненты, в «Диспетчер серверов» нажимаем значок предупреждения в виде восклицательного знака, выбираем «Повысить роль этого сервера до уровня контроллера домена».

14. Появится «Мастер настройки доменных служб Active Directory». В окне «Конфигурация развертывания» оставляем по умолчанию чекбокс «Добавить контроллер домена в существующий домен», проверяем название домена в поле «Домен». Напротив поля (текущий пользователь) нажимаем кнопку «Изменить».

Читать еще:  Защита доменной сети

15. Вводим логин и пароль пользователя в домене с административными правами. Нажимаем «ОК». Затем «Далее».

16. В окне «Параметры контроллера домена» вводим парль для режима восстановления служб каталогов (DSRM), снова «Далее».

17. В окне «Параметры DNS» игнорируем предупреждение о том, что делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительская зона не найдена», просто жмем «Далее».

18. В окне «Дополнительные параметры» источник репликации оставляем «Любой контроллер домена», снова «Далее».

19. Расположение базы данных AD DS, файлов журналов и папки SYSVOL оставляем по умолчанию, нажимаем «Далее».

20. Просматриваем параметры, настроенные в «Мастер настройки доменных служб Active Directory», затем «Далее».

21. В окне «Проверка предварительных требований» проверяем, что появился зеленый чекбокс. Таким образом все проверки готовности к установке выполнены успешно. Нажимаем «Установить».

22. В следующем окне читаем, что «Этот сервер успешно настроен как контроллер домена». Читаем предупреждения, нажимаем «Закрыть».

23. Пришло время проверить работоспособность Доменных служб Active Directory и DNS-сервера. Для этого открываем «Диспетчер серверов».

24. Выбираем «Средства» — «Пользователи и компьютеры Active Directory».

25. Открываем наш домен и раскрываем подразделение «Domain Controllers». В окне напротив проверяем наличие второго сервера как контроллера домена.

26. Далее в «Диспетчер серверов» выбираем «Средства» — «DNS».

27. Проверяем наличие IP-адреса второго сервера в зоне прямого и в зоне обратного просмотра.

28. Затем выбираем «Active Directory — сайты и службы».

29. Раскрываем дерево «Active Directory — сайты». Проверяем наличие второго контроллера домена напротив «Servers».

30. Пришло время настроить DHCP-сервер. Для этого на втором сервере выбираем в «Диспетчер серверов» — «Средства» — «DHCP».

31. Выбираем добавочный сервер, правой клавишей мыши — «Добавить или удалить привязки».

32. Проверяем настройку сетевого интерфейса, через который будут обслуживать DHCP-клиенты на втором сервере.

33. Объединяем два DHCP-сервера. Конфигурация высокой доступности, режим балансировка высокой нагрузки. Распределяем нагрузку на сервера 50×50. Для настройки на первом сервере, где установлен и настроен DHCP-сервер, выбираем «Диспетчер серверов» — «Средства» — «DHCP».

34. Правый клик на созданную в DHCP-сервере область, далее «Настройка отработки отказа. «.

35. Появится мастер «Настройка отработки отказа», затем «Далее».

36. Указываем сервер-партнер для отработки отказа. Для этого в поле «Сервер партнер» с помощью кнопки «Добавить сервер» добавляем второй (дополнительный) сервер, на котором развернута роль DHCP-сервер. Затем нажимаем «Далее».

37. В поле «Общий секрет» вписываем пароль. Остальные настройки можно оставить по умолчанию, в том числе процент распределения нагрузки Локальный сервер — Сервер партнер — 50% на 50%. Снова «Далее».

38. Проверяем параметры настройки отработки отказа между первым сервером и дополнительным сервером. Нажимаем «Готово».

39. Смотрим в ходе настройки отработки отказа, чтобы все было «Успешно» и закрываем мастер.

40. Открываем второй сервер. «Диспетчер серверов» — «Средства» — «Авторизовать».

41. Проверяем «Пул адресов». Будет произведена синхронизация DHCP-серверов.

На этом процесс установки и настройки Active Directory, DHCP, DNS закончен. Посмотреть, что и как делать, можно здесь:

Второй контроллер домена

Вопрос

Есть умирающий контроллер домена и пока не поздно решил создать второй, дабы избавить себя от грядущих проблем.

Все установил, с помощью dcpromo добавил контроллер(пробовал как репликацию по сети, так и при помощи утилиты ntdsutil ) результат один и тот же, если отрубаем основной контроллер, то второй не берет на себя его функции. Полазив по формумам собрал кое-какую информацию:

KDC01 — новый кд

KITDC — умирающий

1)Настройки сетевых интерфесов

2) Вывод «dcdiag /q»

на основном контроллере домена

На вновь добавленном

3) Вывод команд

KITDC

Возможно важно и то, что синхронизация происходит через VPN с использованием маршрутизации поэтому подсети отличаются. Firewall на шлюзе пропускает без проблем весь трафик, разве что бродкасты не пересылает.

Помогите пожалуйста разобраться два дня уже убил на это.

Ответы

Исходя из диагностической информации, у вас, скорее всего, не работает репликация SYSVOL через службу DFS Replication (она же DFSR или Репликация DFS, это другая репликация — а не та, что репликация базы данных AD, которую проверяет repadmin).

Уточнить причину, по которой не работает репликация DFS можно по её журналам событий (разделе Журналы служб и приложений) на обоих контроллерах домена. Судя по тому, что старый КД — «умирающий», причина, скорее всего — в нём.

Наиболее вероятно, что вам поможет полномочная синхронизация DFSR на старом КД.

Сравните свои симптомы с тем, что было в обсуждении https://social.technet.microsoft.com/Forums/ru-RU/b96c4925-79ae-4dc2-9eda-8841cf2744e1/105310771090-1088107710871083108010821072109410801080-sysvol?forum=WS8ru и если признаки совпадают — выполните эту самую полномочную синхронизацию (ссылка на описание этой процедуры есть в указанной теме). Если возникают какие-то сомнения, что это — не то, то выкладывайте сюда копии событий с ошибками/предупреждениями из журналов событий — посмотрим. В любом случае до того, как что-то делать, скопируйте куда-нибудь содержимое общей папки SYSVOL — может понадобиться, если что-то пойдет не так.

  • Помечено в качестве ответа AlexandrStep 6 марта 2019 г. 8:15

Все ответы

Исходя из диагностической информации, у вас, скорее всего, не работает репликация SYSVOL через службу DFS Replication (она же DFSR или Репликация DFS, это другая репликация — а не та, что репликация базы данных AD, которую проверяет repadmin).

Уточнить причину, по которой не работает репликация DFS можно по её журналам событий (разделе Журналы служб и приложений) на обоих контроллерах домена. Судя по тому, что старый КД — «умирающий», причина, скорее всего — в нём.

Наиболее вероятно, что вам поможет полномочная синхронизация DFSR на старом КД.

Сравните свои симптомы с тем, что было в обсуждении https://social.technet.microsoft.com/Forums/ru-RU/b96c4925-79ae-4dc2-9eda-8841cf2744e1/105310771090-1088107710871083108010821072109410801080-sysvol?forum=WS8ru и если признаки совпадают — выполните эту самую полномочную синхронизацию (ссылка на описание этой процедуры есть в указанной теме). Если возникают какие-то сомнения, что это — не то, то выкладывайте сюда копии событий с ошибками/предупреждениями из журналов событий — посмотрим. В любом случае до того, как что-то делать, скопируйте куда-нибудь содержимое общей папки SYSVOL — может понадобиться, если что-то пойдет не так.

  • Помечено в качестве ответа AlexandrStep 6 марта 2019 г. 8:15

Спасибо огромное. Благодаря Вам проблемы частично решены, во всяком случае сейчас осталась всего 1 ошибка(на обоих серверах) и на втором КД появились шары (netlogon, sysvol).

Но ошибка с dfsr никуда не ушла.

В логах dfsr появилась ошибка, но она не повторяется.

Текст ошибки на всякий случай

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

Ну как бы PDC ( это основной КД) Тут всё правильно. Перенесите роль вот и будет у вас второй PDC

  • Изменено Farrukh Yakhyaev 28 февраля 2019 г. 13:30
Читать еще:  Понизить контроллер домена до рядового сервера

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

Ну как бы PDC ( это основной КД) Тут всё правильно. Перенесите роль вот и будет у вас второй PDC

Немного разъясню написанное выше: будет не второй PDC — будет PDC на другом КД.

PDC (более точно, PDC emulator) — это одна из ролей FSMO, в домене ею должен владеть только один КД.

  • Изменено M.V.V. _ 28 февраля 2019 г. 14:04

Еще заглянул в справку команды nltest и стало интересно, сколько КД она найдет, нашла оба, но у второго нет признака pdc так должно быть?

Ну как бы PDC ( это основной КД) Тут всё правильно. Перенесите роль вот и будет у вас второй PDC

Немного разъясню написанное выше: будет не второй PDC — будет PDC на другом КД.

ну да) я это и имел ввиду))

Спасибо огромное. Благодаря Вам проблемы частично решены, во всяком случае сейчас осталась всего 1 ошибка(на обоих серверах) и на втором КД появились шары (netlogon, sysvol).

Но ошибка с dfsr никуда не ушла.

В логах dfsr появилась ошибка, но она не повторяется.

Текст ошибки на всякий случай

Ошибка 1753 означает, что служба репликации знает (после обращения к RPC Endpoint mapper на другом КД на порту 135/tcp) конкретный номер порта TCP, по которому нужно обращаться к службе DFSR на другом КД (этот порт выделяется обычно динамически — из диапазона 49152 — 65535 для Win2K8 и старше), но не смогла по нему подключиться.

Это означает, что либо служба DFSR на другом КД неработоспособна (или была в какой-то момент неработоспообна, например — перезапускалась, если такое сообщение у вас одно), либо что межсетевой экран где-то не пропускает подключения на нужный динамический порт.

  • Изменено M.V.V. _ 28 февраля 2019 г. 14:13

Сейчас снова открыл лог и вижу ошибку

Получается, что эти два контроллера как-то не полностью видят друг друга, т.е. возможно что-то с сетью не так? Я думаю, может быть надо дополнительно поднять WINS сервер, знавал софт, который без разрешения имени через NetBIOS не работает, не смотря на то, что в остальном никаких сетевых проблем не наблюдается. Может быть проблема в этом? Кстати, на втором КД(PDC) ошибка точно такая же и время отличается всего на 5 сек в большую сторону.

Так же хочется получить совет относительно полного переезда PDC на новый КД. Стоит ли мне его переносить сейчас(когда он находится в другой сети) или лучше повременить и перенести все роли на него, когда он будет иметь уже статический ip «родной» сети. Насколько я понимаю, даже если я сейчас передам новому КД все роли, то старый КД не перестанет обслуживать пользователей организации, а затем произойдет репликация изменений с этим КД и все будет хорошо? при условии, что получится сейчас победить ошибку репликации.

дополнительно глянул сетевое взаимодействие — видят они друг друга (в логах нашел по какому порту они слушают)

Так же периодически возникает предупреждение в логах DNS

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2

Всем привет сегодня расскажу как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2. Напомню что ранее я описывал процесс Как установить Active directory в windows server 2008R2, и один рабочий контроллер домена мы уже имеем. И не давно, когда я создавал тестовый домен msk.pyatilistnik.org я неправильно назвал DC и мне пришлось его переименовывать, советую почитать. Приступаем к добавлению второго контроллера в существующий лес, по времени это занимает около 5-10 минут.

Как видите я уже подготовил сервер для DC, у меня он называется dc3.msk.pyatilistnik.org, у него уже есть помимо имени статический ip адрес.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-008

Для установки AD откройте пуск и введите да боле знакомое слово dcpromo.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-009

Откроется мастер установки доменных служб, жмем Далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R20010

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-011

Следующим окном мастера будет вводная информация, жмем далее.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-012

Теперь ставим галку Существующий лес, добавить контроллер домена в существующий домен

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-013

указываем имя домена для присоединения

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-014

Выбираем домен для данного добавочного контроллера домена

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-015

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-016

Начнется проверка DNS

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-017

Далее указываем что у нас север будет DNS сервером еще и Глобальным каталогом.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-018

Делегируем DNS сервер

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-019

На следующем этапе мы можем задать каталоги хранения файлов базы данных

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-020

задаем пароль администратора восстановления AD.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-021

Последнее Далее. Начнется установка.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-022

Ставим галку перезагрузка по завершении.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-023

Через некоторое время сервер перезагрузится и вы получите второй домен контроллер. Откройте оснастку Active Directory Пользователи и компьютеры на первом DC, и перейдите в контейнер Domain Controllers, как видите DC03 появился в списке.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-024

Откроем Power shell и проверим реплику командой repadmin /syncall. Проверять нужно минут через 5 после того как второй домен контроллер загрузился. Видим, что ошибок репликации нет.

Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-025

Вот так вот просто добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×