Záložní ovladač. Primární řadič domény. Přenesení role „Scheme Master“
Úkolem je přenést role z primárního řadiče domény Windows Server od roku 2008 Active Directory(AD) do záložního řadiče doména Windows Server 2012. Záložní doménový řadič (DCSERVER) by se měl stát primárním a ten, který je aktuálně primární (WIN-SRV-ST), by se měl stát záložním a bude v budoucnu demontován. Všechny akce se provádějí na záložní server DCSERVER. Oba servery jsou funkční a navzájem se „vidí“.
Než začnete přenášet role, musíte zkontrolovat, který server je hlavním serverem rolí. Chcete-li to provést, zavolejte na příkazový řádek Win + R >> cmd a zadejte příkaz:
netdom query fsmo – požadavek na určení master rolí FSMO
Na základě výsledku provedení příkazu vidíte, že vlastníkem všech rolí je doménový řadič, kterému říkáme Win-srv-st, nyní je hlavní.
stručná informace:
FSMO (Flexible single-master operations) jsou typy operací prováděných řadiči domény AD, které vyžadují povinnou jedinečnost serveru provádějícího tyto operace (wiki). To znamená, že tyto role mohou být pouze na jednom řadiči domény.
Schema Master – zodpovědný za schopnost změnit stávající schéma AD (např přidání Exchange atd.)
Domain Naming Master – přidává/odebírá domény (pokud jich je ve stejné doménové struktuře více).
PDC (Primary Domain Controller Emulator) je emulátor primárního řadiče domény. Zodpovědnost za změnu hesel, jejich replikaci, změnu skupinová politika, synchronizace času a kompatibilita s dřívější verze Windows.
Pool manager RID (Relative ID Master) – vytváří ID pro každý AD objekt.
Infrastructure Master – přenáší informace o objektech AD mezi ostatními řadiči domény (například když uživatelé z jedné domény přejdou do sousední domény).
Existuje další velmi důležitou roli– Globální katalog (GC) – i když to není FSMO, protože jejím držitelem může být více DC současně, bez ní je normální fungování domény a jejích služeb nemožné. GC spravuje kopie všech objektů AD a částečné repliky jiných domén v doménové struktuře. Umožňuje uživatelům a aplikacím najít objekty v jakékoli doméně v existující doménové struktuře, je zodpovědný za ověřování uživatelských jmen, poskytuje informace o členství uživatelů v univerzálních skupinách a může komunikovat s jinou doménovou strukturou.
Účet musí být minimálně členem následujících skupin:
— správci domén;
— podnikové administrátory;
- správci schémat.
Přenos rolí hlavního operačního serveruZBAVIT, PDCa infrastruktury.
Klikněte klikněte pravým tlačítkem najeďte myší na název domény v adresáři a vyberte položku – Operations Masters...
V okně, které se otevře, vidíme, že vlastníkem na všech třech kartách RID, PDC a Infrastructure je Win-Srv-St.SCRB.local. Níže je napsáno: Přenést roli vlastníka operací další počítač, klikněte na tlačítko "Změnit". Ujistíme se, že úplně dole na řádku je název serveru, na který chceme roli hostitele přenést a klikneme na změnit. Totéž uděláme na všech třech kartách.
V potvrzovací otázce, která se zobrazí, klikněte na Ano.
Role hostitele byla úspěšně převedena. OK. Vlastníkem provozů se stal DCSERVER.SCRB.local.
Totéž provedeme na zbývajících dvou kartách PDC a Infrastruktura.
Přenesení role „Domain Naming Master“.
V AD DS našeho serveru vyberte Active Directory – Domény a důvěryhodnost.
Klikněte pravým tlačítkem na název a vyberte, jako dříve, řádek Operations Master...
Zkontrolujeme názvy serverů a klikneme na změnit.
DCSERVER se stal vlastníkem provozu.
Přenesení role „Scheme Master“.
Nejprve zaregistrujte knihovnu pro správu schématu AD v systému pomocí příkazu regsvr32 schmmgmt.dll
Stiskněte WIN+R >> cmd
Zadáme příkaz a zobrazí se chyba: Modul „schmmgmt.dll je načten, ale volání DLLRegisterServer se nezdařilo, kód chyby: 0x80040201.
Chyba, protože příkazový řádek je třeba spustit jako správce. To lze provést například z nabídky Start. Vyberte příkazový řádek a klikněte na Spustit jako správce.
Zadejte znovu příkaz regsvr32 schmmgmt.dll. Nyní vše proběhlo, jak mělo.
Stiskněte WIN+R, napište mmc
V konzole, která se otevře, vyberte Soubor >> Přidat nebo odebrat modul snap-in... (nebo stiskněte CTRL+M)
Mezi dostupnými moduly snap-in vyberte Schéma Active Directory a klikněte na Přidat. OK.
V kořenovém adresáři konzoly vyberte přidaný modul snap-in, klikněte na něj pravým tlačítkem a vyberte řádek „Operations Master...“
Současným vlastníkem schématu je Win-Srv-St.SCRB.local. Jeho jméno je také na spodním řádku.
Po klepnutí na tlačítko Změnit se zobrazí zpráva: Aktuální řadič domény služby Active Directory je hlavním operačním serverem. Chcete-li přenést hlavní roli na jiný řadič domény, musíte schéma služby Active Directory zacílit na tento řadič domény.
Vrátíme se do modulu snap-in a vybereme RMB Change Active Directory Domain Controller.
V okně, které se otevře, vyberte požadovaný server. V našem případě DCSERVER.SCRB.local. OK.
Na konzole se zobrazí zpráva: Modul snap-in schématu služby Active Directory není připojen k hlavnímu operačního serveru schématu. Změny nelze provést. Změny schématu lze provést pouze ve schématu vlastníka FSMO.
Zároveň se v názvu zařízení objevil server, který potřebujeme.
Znovu na něj klikněte pravým tlačítkem a přejděte na hlavní operační systém. Kontrola názvů serverů stiskněte tlačítko"Přeměna."
Role hlavního operačního serveru byla úspěšně převedena. OK.
Abychom se ujistili, že jsou role převedeny, vstupme znovu příkazový řádek netdom dotaz fsmo
Vlastníkem role je nyní DCSERVER.SCRB.local.
Globální katalog.
Chcete-li objasnit, kde se nachází GC, musíte sledovat cestu: AD – Sites and Services >> Sites >> Default-First-Site-Name >> Servers >> DCSERVER
Ve službě Nastavení NTDS, která se zobrazí, klikněte pravým tlačítkem a vyberte Vlastnosti.
Pokud je zatržítko u položky Global Catalog, znamená to, že je na tomto serveru. Obecně platí, že v našem případě je GC umístěn na obou DC.
NastaveníDNS.
V Nastavení DNS nového hlavního DC píšeme toto:
V prvním řádku je IP adresa bývalého primárního DC (Win-Srv-St), ze kterého se nyní stal záložní DC 192.168.1.130.
Ve druhém řádku 127.0.0.1 tj. sebe (pro upřesnění můžete napsat i svou IP).
V řadiči domény, který se stal naší zálohou, je napsáno takto:
V prvním řádku je IP hlavního DC.
Na druhém řádku je vaše IP. Všechno funguje.
DHCP v naší síti nefunguje kvůli místním okolnostem, takže není potřeba jej překonfigurovat. Musíte ale projít 200 PC a ručně zaregistrovat nový DNS. Z tohoto důvodu bylo rozhodnuto prozatím nerozebírat starý doménový řadič. Za šest měsíců systematického procházení DNS se uživatelé změní.
Microsoft Active Directory je standard v infrastruktuře, který vyžaduje ověření uživatele a centralizované řízení. Je téměř nemožné si představit, jak by si správci systému bez této technologie poradili se svou prací. Používání Active Directory však přináší nejen velké výhody, ale také ukládá velkou odpovědnost, vyžaduje značný čas a pochopení pracovních procesů. Proto vám dávám do pozornosti několik článků, které vám řeknou, jak úspěšně zálohovat a obnovovat Active Directory pomocí řešení Veeam. Zejména vysvětlím, jak vám Veeam pomáhá vytvářet kopie řadičů domény (DC) nebo jednotlivých objektů AD a v případě potřeby je obnovovat.
A začnu tím, že v dnešním příspěvku budu mluvit o možnostech zálohování fyzických a virtuální ovladače doménu poskytovanou společností Veeam a na co si musíte pamatovat během zálohování. Podrobnosti - pod kat.
Služby Active Directory jsou navrženy s ohledem na redundanci, takže konvenční zásady a taktiky zálohování musí být odpovídajícím způsobem přizpůsobeny. V v tomto případě bylo by špatné použít stejnou politiku zálohování, která již funguje SQL servery nebo Výměna. Zde je několik doporučení, která mohou pomoci při vývoji zásad zálohování pro Active Directory:
- Zjistěte, které řadiče domény ve vašem prostředí vykonávají role FSMO (Flexible Single Master Operations).
Zdravý: jednoduchý příkaz pro kontrolu přes příkazový řádek: >netdom dotaz fsmo
Provádění úplné uzdravení domény, je lepší začít s doménovým řadičem největší počet Role FSMO – typicky server s rolí emulátoru primárního řadiče domény (PDC). V opačném případě budete muset po obnovení přiřadit příslušné role ručně (pomocí příkazu ntdsutil seize). - Pokud chcete chránit jednotlivé objekty, nemusíte zálohovat všechny řadiče dostupné na produkčním místě. Pro obnovu jednotlivých objektů bude stačit jedna kopie databáze Data aktivní Adresář (soubor ntds.dit).
- Vždy existuje možnost, jak snížit riziko náhodného nebo záměrného smazání nebo úpravy objektů AD. Můžeme doporučit delegování administrativních pravomocí, omezení zvýšeného přístupu a replikaci na záložní web s přednastaveným zpožděním.
- Obvykle se doporučuje zálohovat řadiče domény jeden po druhém a tak, aby se nepřekrývaly Replikace DFS. Ačkoli moderní řešení vědět, jak tento problém vyřešit.
- Pokud používáte virtuální prostředí VMware, řadič domény nemusí být přístupný přes síť (například se nachází v zóně DMZ). V této situaci se Veeam přepne na připojení prostřednictvím VMware VIX a bude schopen tento řadič zpracovat.
Pokud máte virtuální DC
Protože služby Active Directory spotřebovávají malou část systémových prostředků, řadiče domény jsou obvykle hlavními kandidáty na virtualizaci. Chcete-li chránit svůj virtualizovaný řadič pomocí Veeam, musíte nainstalovat a nakonfigurovat Veeam Backup & Replication.Důležité!Řešení funguje s virtuálními počítači řadiče domény na Windows Server 2003 SP1 a vyšší, minimální podporovaná úroveň funkčnosti doménové struktury je Windows 2003. Účet musí mít přidělena práva správce Active Directory – můžete pracovat pod účet správce podniku nebo domény.
Proces instalace a konfigurace Veeam Backup & Replication již byl popsán několikrát – například ve videu připraveném systémovým inženýrem Veeam, takže detaily přeskočíme. Předpokládejme, že je vše nastaveno a připraveno k použití. Nyní musíte vytvořit úlohu zálohování řadiče domény. Proces nastavení je poměrně jednoduchý:
Zálohu lze volitelně uložit do cloudu pomocí poskytovatele služeb Veeam Cloud Connect (VCC). Můžete jej také přesunout do jiného úložiště záloh pomocí úloh archivace záloh nebo funkce archivace pásek. Nejdůležitější je, že nyní je záložní kopie uložena na bezpečném místě a potřebná data z ní lze kdykoli obnovit.
Pokud máte fyzické DC
Upřímně doufám, že jdete s dobou a vaše společnost virtualizuje doménové řadiče již dlouhou dobu. Pokud tomu tak není, pak doufám, že je pravidelně aktualizujete a fungují relativně moderní verze OS Windows Server - Windows Server 2008 (R2) a vyšší. (O nuancích práce se staršími systémy bude samostatný článek).Máte tedy jeden nebo více fyzických řadičů domény se systémem Windows Server 2008 R2 a vyšším a chcete je chránit. V tomto případě budete potřebovat Veeam Endpoint Backup – řešení navržené speciálně pro ochranu dat fyzické počítače a servery. Veeam Endpoint Backup zkopíruje požadovaná data z fyzického počítače a uloží je do záložního souboru. V případě havárie můžete data obnovit „na holý kov“ nebo provést obnovu úrovně logický pohon. Kromě toho můžete jednotlivé objekty obnovit pomocí Veeam Explorer pro Microsoft Active Directory.
Provádíme následující:
To je vše: záloha je dokončena, řadič domény je chráněn. Přejděte do úložiště a najděte zálohy nebo řetězce záloh, které potřebujete.
Pokud jste jako cíl záloh nakonfigurovali úložiště Veeam Backup & Replication, budou se nově vytvořené zálohy zobrazovat na panelu Zálohy > Disková infrastruktura, položka Zálohy koncových bodů.
Místo závěru
Úspěšné zálohování je samozřejmě dobrý začátek, ale není to celý příběh. Je zřejmé, že záloha je bezcenná, pokud z ní nelze data obnovit. V příštím článku se proto budu věnovat různým scénářům obnovy služby Active Directory, včetně obnovy řadiče domény a také obnovy jednotlivých smazaných a změněných objektů pomocí vlastní nástroje Microsoft a Veeam Explorer pro Active Directory.Druhý by měl být nainstalován a konfigurován, přídavný ovladač doména. To je nezbytné, aby v případě ztráty komunikace nebo selhání prvního řadiče domény mohl další řadič domény zpracovávat požadavky uživatelů. Poté bude práce na síti nepřetržitá v případě problémů s jedním z ovladačů, druhý bude provádět všechny stejné funkce.
Instalace a konfigurace druhého řadiče domény.
1. Otevřete první řadič domény nastavení sítě první server. Chcete-li to provést, zadejte do vyhledávacího pole ncpa.cpl. Dále vyberte požadované síťové rozhraní, klikněte pravým tlačítkem - "Vlastnosti - IP verze 4 (TCP/IPv4). - Vlastnosti". Do pole alternativní rozhraní zadejte IP adresu dalšího řadiče domény (v tomto případě 192.168.100.6).
2. Poté přejdeme na druhý server a nastavíme název budoucího serveru: „Tento počítač – Vlastnosti – Změnit nastavení – Změnit.“ Do pole „Název počítače“ zadejte název serveru a poté „OK“. Budete muset restartovat počítač, souhlasíme.
3. Po restartu pokračujte v nastavení síťové rozhraní. Chcete-li to provést, napište do vyhledávacího pole ncpa.cpl. Vybrat požadované rozhraní, klikněte pravým tlačítkem - "Vlastnosti - IP verze 4 (TCP/IPv4). - Vlastnosti". V okně, které se otevře, vyplňte pole:
- IP adresa: IP adresa serveru (například 192.168.100.6)
- Maska podsítě: například 255.255.255.0 (24bitová maska)
- Hlavní brána: například 192.168.100.1
- Preferovaný server DNS: IP adresa prvního serveru (například 192.168.100.5)
- Alternativní DNS server: IP adresa druhého serveru (například 192.168.100.6)
Poté klikněte na „OK“.
4. Přidat do domény nový server. Chcete-li to provést, vyberte "Tento počítač - Vlastnosti - Změnit nastavení - Změnit." Zaškrtněte políčko „Je členem domény“ a zadejte název domény. Potom "OK".
5. V dialogovém okně „Změnit název počítače nebo domény“ zadejte uživatelské jméno domény s správní práva(uživatel by měl mít možnost přidávat počítače do domény), poté „OK“.
6. Pokud je operace úspěšná, zobrazí se zpráva „Vítejte v doméně...“. Klikněte na "OK".
7. Po restartování počítače můžete v okně "Zobrazit základní informace o počítači" zaškrtnout opačný " Celé jménože se počítač připojil k doméně.
8. Na toto přípravná fáze hotovo, čas instalace požadované role na server. Chcete-li to provést, otevřete „Správce serveru“ - „Přidat role a komponenty“. Je nutné nainstalovat DNS server, Active Directory Domain Services a DHCP server.
9. Přečtěte si informace v okně „Než začnete“ a klikněte na „Další“. V dalším okně „Vyberte typ instalace“ ponechte zaškrtávací políčko „Instalace rolí nebo komponent“ jako výchozí a znovu „Další“. Vyberte náš server z fondu serverů a poté „Další“.
10. V okně „Select server roles“ vyberte DNS server, Active Directory Domain Services, DHCP server. Když přidáte roli, zobrazí se varovná zpráva, například "Přidat součásti požadované pro server DHCP." Klikněte na "Přidat komponenty". Po výběru požadovaných rolí klikněte na „Další“.
11. V novém okně „Vybrat komponenty“ ignorujte „Vyberte jednu nebo více komponent k instalaci na tento server“, klikněte na Další. V dalším okně „DHCP server“ si přečteme, na co si dát pozor při instalaci DHCP serveru, pak „Další“. V novém okně „Potvrzení instalace“ zaškrtněte vybrané role a klikněte na „Instalovat“.
12. Zobrazí se okno s průběhem instalace vybraných součástí. Toto okno lze zavřít, neovlivňuje proces instalace.
13. Po instalaci vybraných komponent klikněte ve „Správci serveru“ na ikonu varování ve formuláři vykřičník, vyberte "Povýšit roli tohoto serveru na úroveň řadiče domény."
14. Zobrazí se "Průvodce konfigurací domény". Aktivní služby Adresář". V okně "Konfigurace nasazení" ponechte ve výchozím nastavení zaškrtávací políčko "Přidat doménový řadič do existující domény", v poli "Doména" zaškrtněte název domény. Naproti poli (aktuální uživatel) klikněte na tlačítko "Změnit tlačítko ".
15. Zadejte uživatelské jméno a heslo uživatele v doméně s administrátorskými právy. Klikněte na "OK". Poté "Další".
16. V okně „Nastavení řadiče domény“ zadejte heslo pro režim obnovení adresářových služeb (DSRM), opět „Další“.
17. V okně " Nastavení DNS„Ignorujte varování, že delegování pro tento server DNS nelze vytvořit, protože nebyla nalezena autoritativní nadřazená zóna,“ jednoduše klikněte na „Další“.
18. V okně " Další možnosti" ponechte zdroj replikace jako "Jakýkoli řadič domény", znovu "Další".
19. Ponechte umístění databáze AD DS, souborů protokolu a složky SYSVOL jako výchozí, klikněte na „Další“.
20. Zkontrolujte nastavení nakonfigurovaná v "Průvodci konfigurací služby Active Directory Domain Services" a poté "Další".
21. V okně „Checking Prequires“ zkontrolujte, zda se objevilo zelené zaškrtávací políčko. Všechny kontroly připravenosti instalace byly tedy úspěšně dokončeny. Klikněte na "Instalovat".
22. V dalším okně čteme, že „Tento server byl úspěšně nakonfigurován jako řadič domény.“ Přečteme si varování a klikneme na „Zavřít“.
23. Je čas zkontrolovat funkčnost Active Directory Domain Services a DNS serveru. Chcete-li to provést, otevřete „Správce serveru“.
24. Vyberte „Nástroje“ - „Uživatelé a Aktivní počítače Adresář".
25. Otevřete naši doménu a rozbalte divizi „Domain Controllers“. V protějším okně zkontrolujeme přítomnost druhého serveru jako doménového řadiče.
27. Zkontrolujeme přítomnost IP adresy druhého serveru v zóně dopředného vyhledávání a v zóně zpětného vyhledávání.
28. Poté vyberte „Active Directory – Sites and Services“.
29. Rozbalte strom „Active Directory – Sites“. Zkontrolujeme přítomnost druhého řadiče domény naproti „Servery“.
30. Je čas nakonfigurovat DHCP server. Chcete-li to provést, na druhém serveru vyberte „Správce serveru“ - „Nástroje“ - „DHCP“.
31. Vyberte další server, klepněte pravým tlačítkem - „Přidat nebo odebrat vazby“.
32. Zkontrolujte konfiguraci síťového rozhraní, přes které budou klienti DHCP obsluhováni na druhém serveru.
33. Kombinujeme dva DHCP servery. Konfigurace vysoká dostupnost, vyrovnávací režim vysoké zatížení. Rozkládáme zátěž na servery 50x50. Pro konfiguraci na prvním serveru, kde je nainstalován a konfigurován DHCP server, vyberte „Správce serveru“ - „Nástroje“ – „DHCP“.
34. Klikněte pravým tlačítkem na rozsah vytvořený na serveru DHCP a poté na „Konfigurovat převzetí služeb při selhání...“.
35. Zobrazí se průvodce konfigurací převzetí služeb při selhání a poté Další.
36. Zadejte partnerský server pro převzetí služeb při selhání. Chcete-li to provést, v poli „Partnerský server“ pomocí tlačítka „Přidat server“ přidejte druhý (další) server, na kterém je nasazena role serveru DHCP. Poté klikněte na „Další“.
37. Zadejte heslo do pole „Shared Secret“. Zbytek nastavení lze ponechat jako výchozí, včetně procenta rozložení zátěže Místní server- Serverový partner - 50 % až 50 %. Znovu "Další".
38. Zkontrolujte nastavení převzetí služeb při selhání mezi prvním serverem a sekundárním serverem. Klikněte na "Dokončit".
39. Během nastavení převzetí služeb při selhání zkontrolujte, zda je vše „Úspěšné“ a zavřete průvodce.
40. Otevřete druhý server. "Správce serveru" - "Nástroje" - "Autorizovat".
41. Zkontrolujte „Pool adres“. Servery DHCP budou synchronizovány.
Tím je dokončen proces instalace a konfigurace Active Directory, DHCP, DNS. Zde se můžete podívat, co a jak dělat:
UPD: Vytvořil jsem si videokanál na YouTube, kde postupně zveřejňuji výuková videa ze všech oblastí IT, ve kterých se dobře orientuji, odběr: http://www.youtube.com/user/itsemaev
UPD2: Microsoft tradičně mění obvyklou syntaxi na příkazovém řádku, tedy role v každé z nich Verze Windows Server může znít jinak. Už se jim neříká fsmo, ale operační mistři. Takže pro správné příkazy v konzoli po údržbě fsmo stačí napsat? a zobrazí vám dostupné příkazy.
V mém dubnovém magazínu „Správce systému“ vzali článek na téma „Bezbolestná výměna zastaralého nebo selhávajícího doménového řadiče za Na bázi Windows server"
A dokonce zaplatili sto dolarů a dali mi pytel mozků)) Nyní jsem Onotole.
Bezbolestně vyměňte zastaralý nebo neúspěšný řadič domény Windows Server.(kdyby to někdo potřeboval, pošlu fotky)
Pokud váš řadič domény selhal nebo je zcela zastaralý a vyžaduje výměnu, nespěchejte s plánem strávit příští víkend vytvořením nové domény na novém serveru a pečlivým přenosem uživatelských počítačů na něj. Kompetentní management Záložní řadič domény vám pomůže rychle a bezbolestně nahradit předchozí server.
Téměř každý administrátor, který pracuje se servery s operačním systémem Windows, se dříve či později potýká s potřebou vyměnit zcela zastaralý primární řadič domény, jehož další upgrade již nedává smysl, za nový a vhodnější. moderní požadavky. Existují ještě horší situace - řadič domény se jednoduše stane nepoužitelným kvůli poruchám v fyzické úrovni a zálohy a obrázky jsou zastaralé nebo ztracené
V zásadě lze na různých fórech nalézt popis postupu při výměně jednoho doménového řadiče za jiný, informace jsou však uváděny útržky a zpravidla se týkají pouze konkrétní situaci, však neposkytuje skutečné řešení. Navíc i po přečtení spousty fór, znalostních bází a dalších zdrojů na angličtina- Postup pro výměnu doménového řadiče se mi podařilo bezchybně provést až potřetí nebo počtvrté.
Takže chci přinést pokyny krok za krokem výměna řadiče domény bez ohledu na to, zda je funkční nebo ne. Jediný rozdíl je v tom, že v případě „spadlého“ řadiče vám tento článek pomůže pouze v případě, že jste se předem postarali a nasadili záložní řadič domény.
Příprava serverů pro povýšení/povýšení role
Postup vytvoření záložního doménového řadiče je jednoduchý – jednoduše spustíme průvodce dcpromo na libovolném serveru v síti. Pomocí průvodce dcpromo vytvoříme doménový řadič v existující doméně. V důsledku těchto manipulací získáme nasazenou adresářovou službu AD na našem serveru další server(Budu tomu říkat pserver a hlavní řadič dcserver).
Dále, pokud to samo dcpromo nenavrhlo, spusťte instalaci DNS server A. Nemusíte měnit žádná nastavení, nemusíte ani vytvářet zónu – ta je uložena v AD a všechny záznamy jsou automaticky replikovány do záložního řadiče. Pozor - hlavní zóna v DNS se objeví až po replikaci, pro urychlení je možné server restartovat. V nastavení TCP/IP síťová karta záložního řadiče domény musí adresa primárního serveru DNS udávat adresu IP primárního řadiče domény.
Nyní můžete snadno zkontrolovat funkčnost záložního řadiče domény pserver. Můžeme vytvořit uživatele domény na primárním i záložním řadiči domény. Ihned po vytvoření se objeví na duplicitním serveru, ale do minuty (během replikace) se zobrazí jako zakázaný, poté se začne zobrazovat shodně na obou řadičích.
Na první pohled byly dokončeny všechny kroky k vytvoření pracovního schématu pro interakci několika doménových řadičů a nyní, v případě selhání „primárního“ doménového řadiče, budou „záložní“ řadiče automaticky vykonávat své funkce. . I když je však rozdíl mezi „primárním“ a „záložním“ doménovým řadičem čistě nominální, „primární“ doménový řadič má řadu funkcí (rolí FSMO), na které bychom neměli zapomínat. Tedy výše uvedené operace pro normální fungování adresářové služby v případě selhání „primárního“ doménového řadiče nestačí a kroky, které je nutné provést pro kompetentní přenesení/převzetí role primárního doménového řadiče, budou popsány níže.
Trochu teorie
Musíte vědět, že řadiče domény Active Directory vykonávají několik typů rolí. Tyto role se nazývají FSMO (Flexible single-master operations):
- Schema Master (Schema Master) - role je zodpovědná za schopnost měnit schéma - například rozšiřování Exchange server nebo ISA server. Pokud vlastník role není k dispozici, nebudete moci změnit schéma existující domény;
- Domain Naming Master (Domain Naming Operation Master) - role je vyžadována, pokud je v doménové struktuře několik domén nebo subdomén. Bez něj nebude možné vytvářet a odstraňovat domény v jediné doménové struktuře;
- Relative ID Master (Relative ID Master) - je zodpovědný za vytvoření jedinečného ID pro každý AD objekt;
- Primární emulátor řadiče domény - je zodpovědný za práci s uživatelskými účty a bezpečnostními politikami. Nedostatek komunikace s ním vám umožňuje přihlásit se na pracovní stanice se starým heslem, které nelze změnit, pokud doménový řadič „spadne“;
- Infrastructure Master (Infrastructure Master) - role je zodpovědná za přenos informací o objektech AD do jiných řadičů domény v rámci doménové struktury.
Tyto role jsou napsány dostatečně podrobně v mnoha znalostních bázích, ale na hlavní roli se téměř vždy zapomíná – to je role Globálního katalogu. Ve skutečnosti tento adresář jednoduše spouští službu LDAP na portu 3268, ale je to právě jeho nepřístupnost, která nedovolí uživatelé domény přihlášení. Je pozoruhodné, že všechny řadiče domény mohou mít roli globálního katalogu současně.
Ve skutečnosti můžeme dojít k závěru, že pokud máte primitivní doménu pro 30–50 strojů, bez rozšířené infrastruktury, která nezahrnuje subdomény, pak si nemusíte všimnout nedostatku přístupu k vlastníkovi/vlastníkům prvních dvou rolí. Kromě toho jsem několikrát narazil na organizace, které fungují déle než rok bez doménového řadiče, ale na doménové infrastruktuře. To znamená, že všechna práva byla distribuována již dávno, se spuštěným doménovým řadičem a nebylo třeba je měnit, uživatelé si neměnili hesla a pracovali tiše.
Určete aktuální vlastníky role fsmo.
Dovolte mi upřesnit - chceme moudře vyměnit řadič domény, aniž bychom ztratili jakoukoli z jeho schopností. V případě, že jsou v doméně dva nebo více řadičů, musíme zjistit, kdo vlastní jednotlivé role fsmo. To je docela snadné provést pomocí následujících příkazů:
schéma dsquery server -hasfsmo
dsquery server - název hasfsmo
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infr
dsquery server -forest -isgc
Každý z příkazů zobrazuje informaci o tom, kdo je vlastníkem požadované role (obr. 1). V našem případě je vlastníkem všech rolí primární řadič domény dcserver.
Dobrovolný přenos rolí fsmo pomocí konzolí Active Directory.
Máme všechny informace potřebné k převedení role PDC. Začněme: nejprve se musíme ujistit, že náš účet je členem skupin Domain Admins, Schema Admins a Enterprise Admins, a poté přejít na tradiční metoda fsmo role transfer - správa domény prostřednictvím konzolí Active Directory.
Chcete-li přenést roli „master pojmenování domén“, proveďte následující kroky:
- otevřít „Active Directory Domains and Trusts“ na řadiči domény, ze kterého chceme roli přenést. Pokud pracujeme s AD na doménovém řadiči, na který chceme roli přenést, pak přeskočíme další bod;
- Klepněte pravým tlačítkem myši na ikonu Active Directory - Domény a důvěryhodnosti a vyberte příkaz Připojit k řadiči domény. Vybereme doménový řadič, na který chceme roli přenést;
- klepněte pravým tlačítkem myši na komponentu Active Directory - Domény a důvěryhodnosti a vyberte příkaz Operation Masters;
- v dialogovém okně Změnit vlastníka operací klikněte na tlačítko Změnit (obr. 2).
- po kladné odpovědi na pop-up požadavek obdržíme úspěšně přenesenou roli.
Podobně můžete použít konzolu Uživatelé a počítače služby Active Directory k přenosu rolí RID Master, PDC a Infrastructure Master.
Chcete-li přenést roli „hlavního serveru schémat“, musíte nejprve zaregistrovat knihovnu pro správu schémat Active Directory v systému:
Po převedení všech rolí zbývá vypořádat se se zbývající možností – správcem globálního katalogu. Jdeme do Active Directory: „Sites and Services“, výchozí web, servery, najdeme řadič domény, který se stal hlavním, a ve vlastnostech jeho nastavení NTDS zaškrtněte políčko vedle globálního katalogu. (obr. 3)
Výsledkem je, že jsme změnili vlastníky rolí pro naši doménu. Pro ty, kteří se potřebují konečně zbavit starého řadiče domény, převedeme jej na členský server. Jednoduchost provedených akcí se však vyplácí v tom, že jejich provedení v řadě situací je nemožné nebo končí chybou. V těchto případech nám pomůže ntdsutil.exe.
Dobrovolný přenos rolí fsmo pomocí konzolí ntdsutil.exe.
V případě, že selže přenos rolí fsmo pomocí konzolí AD, Microsoft vytvořil velmi pohodlnou utilitu - ntdsutil.exe - program pro údržbu adresářů Active Directory. Tento nástroj vám umožňuje extrémně vysoké výkony užitečné akce- až po obnovení celé databáze AD ze zálohy, kterou tato utilita sama vytvořila poslední změna v AD. Všechny jeho možnosti lze nalézt ve znalostní bázi Microsoft (kód článku: 255504). V tomto případě mluvíme o tom, že nástroj ntdsutil.exe umožňuje jak přenášet role, tak je „vybírat“.
Pokud chceme přenést roli z existujícího „primárního“ doménového řadiče na „záložní“, přihlásíme se k „primárnímu“ řadiči a spustíme přenos rolí (příkaz transfer).
Pokud z nějakého důvodu nemáme primární řadič domény nebo se nemůžeme přihlásit pomocí účtu správce, přihlásíme se k záložnímu řadiči domény a začneme „vybírat“ role (příkaz seize).
Takže první případ je, že primární řadič domény existuje a funguje normálně. Poté přejdeme na primární řadič domény a zadáme následující příkazy:
ntdsutil.exe
role
spojení
připojit se k serveru název_serveru (ten, kterému chceme přidělit roli)
q
Pokud se objeví chyby, musíme zkontrolovat spojení s řadičem domény, ke kterému se pokoušíme připojit. Pokud nejsou žádné chyby, pak jsme se úspěšně připojili k zadanému řadiči domény s právy uživatele, jehož jménem zadáváme příkazy.
Úplný seznam příkazů je k dispozici po vyžádání údržby fsmo pomocí standardního znaku? . Nastal čas přenést role. Okamžitě jsem se bez přemýšlení rozhodl převést role v pořadí, v jakém jsou uvedeny v pokynech pro ntdsutil, a dospěl jsem k závěru, že nemohu převést roli vlastníka infrastruktury. V reakci na žádost o převedení role se mi vrátila chyba: „aktuálního vlastníka role fsmo nelze kontaktovat.“ Dlouho jsem hledal informace na internetu a zjistil jsem, že s touto chybou se potýká většina lidí, kteří se dostali do fáze předávání rolí. Někteří z nich se snaží tuto roli násilně odebrat (nefunguje to), někteří nechají vše tak, jak to je - a žijí šťastně bez této role.
Pokusem a omylem jsem zjistil, že při převodu rolí do v tomto pořadí Je zaručeno správné provedení všech kroků:
- vlastník identifikátorů;
- vlastník systému;
- mistr pojmenování;
- vlastník infrastruktury;
- řadič domény;
Po úspěšném připojení k serveru obdržíme pozvánku ke správě rolí (fsmo maintenance) a můžeme začít přenášet role:
- převod domény pojmenování master
- velitel transferové infrastruktury
- transfer zbavit master
- master schématu přenosu
- transfer pdc master
Po provedení každého příkazu by se měl objevit požadavek s dotazem, zda skutečně chceme přenést zadanou roli na zadaný server. Výsledek úspěšného provedení příkazu je na obr. 4. Obr.
Role správce globálního katalogu je delegována způsobem popsaným v předchozí části.
Vynucení rolí fsmo pomocí ntdsutil.exe.
Druhým případem je, že chceme přiřadit roli primárního našemu záložnímu řadiči domény. V tomto případě se nic nemění - rozdíl je pouze v tom, že všechny operace provádíme pomocí příkazu seize, ale na serveru, na který chceme role přenést, přiřadit role.
zabavit master pojmenování domén
zabavit velitele infrastruktury
zmocnit se zbavit mistra
seize schema master
zabavit pdc
Vezměte prosím na vědomí – pokud odeberete roli řadiči domény, který není in momentálně, pak když se objeví v síti, začnou kolidovat řadiče a nevyhnete se problémům s fungováním domény.
Pracujte na chybách.
Nejdůležitější věcí, na kterou by se nemělo zapomínat, je, že nový primární řadič domény sám neopraví nastavení TCP/IP: nyní je vhodné, aby jako adresu primárního serveru DNS uvedl 127.0.0.1 (a pokud chybí starý doménový řadič + DNS server, pak je povinný).
Kromě toho, pokud máte ve své síti server DHCP, musíte jej vynutit, aby udal adresu primárního serveru DNS IP vašeho nového serveru, pokud neexistuje žádný DHCP, projděte všechny počítače a přiřaďte tento primární server DNS jim ručně. Případně můžete novému řadiči domény přiřadit stejnou IP adresu jako tomu starému.
Nyní musíte zkontrolovat, jak vše funguje, a zbavit se hlavních chyb. Chcete-li to provést, doporučuji vymazat všechny události na obou ovladačích a uložit protokoly do složky s ostatními záložní kopie a restartujte všechny servery.
Po jejich zapnutí pečlivě analyzujeme všechny protokoly událostí, zda neobsahují varování a chyby.
Nejčastějším varováním po převedení rolí do fsmo je zpráva, že "msdtc nemůže správně zpracovat povýšení/snížení úrovně řadiče domény, ke kterému došlo."
Oprava je jednoduchá: v nabídce „Správa“ najdeme „Služby“
komponenty“. Tam otevřeme „Služby komponent“, „Počítače“, otevřeme vlastnosti sekce „Tento počítač“, tam vyhledáme „MS DTC“ a klikneme na „Nastavení zabezpečení“. Zde povolíme „Přístup k síti DTC“ a klikneme na OK. Služba bude restartována a varování zmizí.
Příkladem chyby může být zpráva, že nelze načíst hlavní zónu DNS nebo server DNS nevidí řadič domény.
Problémům s fungováním domény můžete porozumět pomocí nástroje (obr. 5):
Tento nástroj můžete nainstalovat z originálu disk Windows 2003 ze složky /support/tools. Obslužný program umožňuje zkontrolovat funkčnost všech služeb řadiče domény, každá fáze musí končit úspěšně absolvovanými slovy. Pokud selžete (nejčastěji se jedná o testy připojení nebo systémového protokolu), můžete se pokusit chybu odstranit automaticky:
dcdiag /v /fix
Zpravidla by měly zmizet všechny chyby související s DNS. Pokud ne, použijte nástroj ke kontrole stavu všech síťových služeb:
A ona užitečný nástroj odstraňování problémů:
netdiag /v /fix
Pokud i poté přetrvávají chyby související s DNS, nejjednodušším způsobem je odstranit z něj všechny zóny a vytvořit je ručně. Je to celkem jednoduché – hlavní věcí je vytvořit hlavní zónu podle názvu domény, uloženou v Active Directory a replikovanou na všechny řadiče domény v síti.
Více podrobné informace o Chyby DNS dává další příkaz:
dcdiag /test:dns
Na konci práce mi trvalo asi dalších 30 minut, než jsem zjistil důvod výskytu řady varování – přišel jsem na synchronizaci času, archivaci globálního katalogu a další věci, ke kterým jsem se nikdy nedostal. před. Nyní vše funguje jako kouzlo – hlavně nezapomeňte vytvořit záložní řadič domény, pokud chcete starý řadič domény ze sítě odebrat.
