Controlador de respaldo. Controlador de dominio principal. Transferir el rol de “Maestro de esquema”

La tarea es transferir roles desde el controlador de dominio principal. Servidor Windows 2008 desde Directorio activo(AD) al controlador de respaldo Dominio de Windows Server 2012. El controlador de dominio de respaldo (DCSERVER) debería convertirse en el principal, y el que actualmente es el principal (WIN-SRV-ST) debería convertirse en el de respaldo y ser desmantelado en el futuro. Todas las acciones se realizan en servidor de respaldo SERVIDOR DC. Ambos servidores están operativos y se “ven” entre sí.

Antes de comenzar a transferir roles, debe verificar qué servidor es el maestro de roles. Para hacer esto, llame a la línea de comando Win + R >> cmd e ingrese el comando:

netdom query fsmo: solicitud para determinar el maestro de roles FSMO

Según el resultado de ejecutar el comando, puede ver que el propietario de todos los roles es el controlador de dominio, al que llamamos Win-srv-st, ahora es el principal.

Breve información:

FSMO (operaciones flexibles de un solo maestro) son tipos de operaciones realizadas por controladores de dominio AD que requieren la unicidad obligatoria del servidor que realiza estas operaciones (wiki). Esto significa que estos roles sólo pueden estar en un controlador de dominio.

Schema Master: responsable de la capacidad de cambiar el esquema AD existente (por ejemplo agregando intercambio etc.)

Maestro de nombres de dominio: agrega/quita dominios (si hay varios en el mismo bosque).

PDC (Emulador de controlador de dominio principal) es un emulador de controlador de dominio principal. Responsable de cambiar contraseñas, replicarlas, cambiar política de grupo, sincronización horaria y compatibilidad con versiones anteriores Ventanas.

RID (Relative ID Master) del administrador de grupos: crea una ID para cada objeto AD.

Maestro de infraestructura: transfiere información sobre objetos AD entre otros controladores de dominio (por ejemplo, cuando los usuarios de un dominio van a uno vecino).

Hay otro muy papel importante– Catálogo Global (GC) – aunque no es FSMO porque su titular puede ser varios DC al mismo tiempo; sin él, el funcionamiento normal del dominio y sus servicios es imposible. El GC mantiene copias de todos los objetos AD y réplicas parciales de otros dominios en el bosque. Permite a los usuarios y aplicaciones encontrar objetos en cualquier dominio en un bosque existente, es responsable de la autenticación del nombre de usuario, proporciona información sobre la membresía del usuario en grupos universales y puede comunicarse con otro bosque de dominio.

Como mínimo, la cuenta debe ser miembro de los siguientes grupos:

— administradores de dominio;

— administradores de empresas;

- administradores de esquemas.

Transferencia de funciones de maestro de operacionesDESHACERSE, PDCe Infraestructura.

Hacer clic clic derecho Pase el mouse sobre el nombre de dominio en el directorio y seleccione el elemento – Operations Masters...

En la ventana que se abre, vemos que el propietario de las tres pestañas RID, PDC e Infraestructura es Win-Srv-St.SCRB.local. A continuación se escribe: Transferir el rol de titular de operaciones. próxima computadora, haga clic en el botón "Cambiar". Nos aseguramos de que en la línea inferior esté el nombre del servidor al que queremos transferir la función de host y hacemos clic en cambiar. Hacemos lo mismo en las tres pestañas.

En la pregunta de confirmación que aparece, haga clic en Sí.

La función de anfitrión se ha transferido correctamente. DE ACUERDO. El propietario de las operaciones pasó a ser DCSERVER.SCRB.local.

Hacemos lo mismo en las dos pestañas restantes PDC e Infraestructura.

Transferir el rol de “Maestro de nombres de dominio”.

En el AD DS de nuestro servidor, seleccione Active Directory – Dominios y confianza.

Haga clic derecho en el nombre y seleccione, como antes, la línea Maestro de operaciones...

Comprobamos los nombres de los servidores y pulsamos en cambiar.

DCSERVER pasó a ser propietario de las operaciones.

Transferir el rol de “Scheme Master”.

Primero, registre la biblioteca de administración de esquemas AD en el sistema usando el comando regsvr32 schmmgmt.dll

Presione GANAR+R >> cmd

Ingresamos el comando y obtenemos el error: El módulo “schmmgmt.dll está cargado, pero falló la llamada a DLLRegisterServer, código de error: 0x80040201.

Error porque la línea de comando debe ejecutarse como administrador. Esto se puede hacer, por ejemplo, desde el menú Inicio. Seleccione la línea de comando y haga clic en ejecutar como administrador.

Ingrese el comando regsvr32 schmmgmt.dll nuevamente. Ahora todo salió como debería.

Presione WIN+R, escriba mmc

En la consola que se abre, seleccione Archivo >> Agregar o quitar complemento... (o presione CTRL+M)

Entre los complementos disponibles, seleccione Esquema de Active Directory y haga clic en Agregar. DE ACUERDO.

En la raíz de la consola, seleccione el complemento agregado, haga clic derecho sobre él y seleccione la línea "Operations Master..."

El propietario actual del plan es Win-Srv-St.SCRB.local. Su nombre también está en el fondo.

Cuando hace clic en el botón Cambiar, aparece un mensaje: El controlador de dominio de Active Directory actual es el maestro de operaciones. Para transferir la función maestra a otro controlador de dominio, debe dirigir el esquema de Active Directory a ese controlador de dominio.

Volvemos al complemento y seleccionamos RMB Cambiar controlador de dominio de Active Directory.

En la ventana que se abre, seleccione servidor requerido. En nuestro caso, DCSERVER.SCRB.local. DE ACUERDO.

La consola muestra el mensaje: El complemento del esquema de Active Directory no está conectado al maestro de operaciones del esquema. No se pueden realizar cambios. Los cambios de esquema solo se pueden realizar en el esquema del propietario de FSMO.

Al mismo tiempo, en el nombre del equipo apareció el servidor que necesitamos.

Haga clic derecho sobre él nuevamente y vaya al maestro de operaciones. Comprobando los nombres del servidor presione el botón"Cambiar."

El rol de Maestro de Operaciones se ha transferido exitosamente. DE ACUERDO.

Para asegurarnos de que los roles se transfieran, ingresemos nuevamente línea de comando consulta netdom fsmo

El propietario de la función ahora es DCSERVER.SCRB.local.

Catálogo mundial.

Para aclarar dónde está ubicado el GC, debe seguir la ruta: AD – Sitios y servicios >> Sitios >> Nombre del primer sitio predeterminado >> Servidores >> DCSERVER

En el servicio de configuración NTDS que aparece, haga clic derecho y seleccione Propiedades.

Si hay una marca de verificación junto al Catálogo global, significa que está en este servidor. En general, en nuestro caso el GC está ubicado en ambos DC.

AjustesDNS.

EN Configuración de DNS del nuevo DC principal escribimos esto:

En la primera línea está la dirección IP del antiguo DC principal (Win-Srv-St), que ahora se ha convertido en el DC de respaldo 192.168.1.130.

En la segunda línea 127.0.0.1 es decir. tú mismo (también puedes escribir tu IP para ser más específico).

En el controlador de dominio que se convirtió en nuestra copia de seguridad está escrito así:

En la primera línea está la IP del DC principal.

En la segunda línea está tu IP. Todo funciona.

DHCP no funciona en nuestra red debido a circunstancias locales, por lo que no es necesario reconfigurarlo. Pero necesitas revisar 200 PC y registrar manualmente un nuevo DNS. Por este motivo, se decidió no desmantelar el antiguo controlador de dominio por ahora. En seis meses de rastreos sistemáticos de DNS, los usuarios cambiarán.

Microsoft Active Directory es un estándar en infraestructura que requiere autenticación de usuario y gestión centralizada. Es casi imposible imaginar cómo harían los administradores de sistemas con su trabajo sin esta tecnología. Sin embargo, utilizar Active Directory no sólo aporta grandes beneficios, sino que también impone una gran responsabilidad, ya que requiere mucho tiempo y comprensión de los procesos de trabajo. Por lo tanto, le traigo a su atención varios artículos que le indicarán cómo realizar una copia de seguridad y restaurar con éxito Active Directory utilizando las soluciones de Veeam. En particular, explicaré cómo Veeam le ayuda a realizar copias de controladores de dominio (DC) u objetos AD individuales y restaurarlos si es necesario.

Y empezaré diciendo que en el post de hoy hablaré de las posibilidades de realizar copias de seguridad físicas y controladores virtuales dominio proporcionado por Veeam y lo que necesita recordar durante la copia de seguridad. Para más detalles, consulte el cat.

Los servicios de Active Directory están diseñados teniendo en cuenta la redundancia, por lo que las políticas y tácticas de respaldo convencionales deben adaptarse en consecuencia. EN en este caso Sería un error utilizar la misma política de copia de seguridad que ya funciona para servidores SQL o Intercambio. Aquí hay algunas recomendaciones que pueden ayudar al desarrollar una política de respaldo para Active Directory:

1. Descubra qué controladores de dominio en su entorno realizan funciones FSMO (Operaciones maestras únicas flexibles).
   Saludable: comando simple para verificar a través de la línea de comando: > consulta netdom fsmo
   llevando a cabo recuperación completa dominio, es mejor comenzar con un controlador de dominio con el numero mas grande Roles FSMO: normalmente un servidor con el rol de emulador de Controlador de dominio primario (PDC). De lo contrario, después de la recuperación, tendrá que reasignar los roles apropiados manualmente (usando el comando ntdsutil seize).
2. Si desea proteger objetos individuales, no necesita hacer una copia de seguridad de todos los controladores disponibles en el sitio de producción. Para restaurar objetos individuales, una copia de la base de datos será suficiente Datos activos Directorio (archivo ntds.dit).
3. Siempre existe una opción para reducir el riesgo de eliminar o modificar objetos AD de forma accidental o intencionada. Podemos recomendar la delegación de poderes administrativos, la restricción del acceso elevado y la replicación a un sitio de respaldo con un retraso preestablecido.
4. Generalmente se recomienda hacer una copia de seguridad de los controladores de dominio uno a la vez y para que no se superpongan con replicación DFS. A pesar de soluciones modernas saber como solucionar este problema.
5. Si estas usando entorno virtual VMware, es posible que no se pueda acceder al controlador de dominio a través de la red (por ejemplo, está en una zona DMZ). En esta situación, Veeam cambiará a la conexión a través de VMware VIX y podrá procesar este controlador.

Si tienes un DC virtual

Dado que los servicios de Active Directory consumen una pequeña porción de los recursos del sistema, los controladores de dominio suelen ser los principales candidatos para la virtualización. Para proteger su controlador virtualizado con Veeam, debe instalar y configurar Veeam Backup & Replication.

¡Importante! La solución funciona con máquinas virtuales de controlador de dominio en Windows Server 2003 SP1 y superior; el nivel funcional de bosque mínimo admitido es Windows 2003. La cuenta debe tener derechos de administrador de Active Directory; puede trabajar en cuenta administrador de empresa o dominio.
El proceso de instalación y configuración de Veeam Backup & Replication ya se ha tratado varias veces; por ejemplo, en un vídeo preparado por un ingeniero de sistemas de Veeam, por lo que nos saltaremos los detalles. Supongamos que todo está configurado y listo para funcionar. Ahora necesita crear una tarea de copia de seguridad del controlador de dominio. El proceso de configuración es bastante simple:

Opcionalmente, la copia de seguridad se puede guardar en la nube utilizando el proveedor de servicios Veeam Cloud Connect (VCC). También puede moverlo a otro repositorio de respaldo utilizando trabajos de archivado de respaldo o la funcionalidad de archivado en cinta. Lo más importante es que ahora la copia de seguridad se almacena en un lugar seguro y los datos necesarios se pueden restaurar en cualquier momento.

Si tienes un DC físico

Sinceramente, espero que se mantenga al día y que en su empresa los controladores de dominio estén virtualizados desde hace mucho tiempo. Si este no es el caso, espero que los actualice periódicamente y que funcionen a un nivel relativamente bajo. versiones modernas Sistema operativo Windows Server: Windows Server 2008 (R2) y superior. (Habrá un artículo aparte sobre los matices de trabajar con sistemas más antiguos).

Entonces, tiene uno o más controladores de dominio físicos que ejecutan Windows Server 2008 R2 y superior y desea protegerlos. En este caso, necesitará Veeam Endpoint Backup, una solución diseñada específicamente para la protección de datos. computadoras fisicas y servidores. Veeam Endpoint Backup copia los datos necesarios de la máquina física y los almacena en un archivo de copia de seguridad. En caso de un desastre, puede restaurar los datos "hasta el estado básico" o realizar una recuperación de nivel unidad lógica. Además, puede restaurar objetos individuales utilizando Veeam Explorer para Microsoft Active Directory.

Hacemos lo siguiente:

Eso es todo: la copia de seguridad está completa, el controlador de dominio está protegido. Vaya al repositorio y busque la copia de seguridad o las cadenas de respaldo que necesita.

Si ha configurado el repositorio de Veeam Backup & Replication como destino para las copias de seguridad, las copias de seguridad recién creadas se mostrarán en el panel Copias de seguridad > Infraestructura de disco, elemento Endpoint Backups.

En lugar de una conclusión

Por supuesto, una copia de seguridad exitosa es un buen comienzo, pero esa no es la historia completa. Obviamente, una copia de seguridad no sirve de nada si no se pueden recuperar los datos de ella. Por lo tanto, en el próximo artículo, cubriré varios escenarios para recuperar Active Directory, incluida la recuperación de un controlador de dominio, así como la recuperación de objetos individuales eliminados y modificados usando propias herramientas Microsoft y Veeam Explorer para Active Directory.

El segundo debe estar instalado y configurado, controlador adicional dominio. Esto es necesario para que, si se pierde la comunicación o falla el primer controlador de dominio, el controlador de dominio adicional pueda procesar las solicitudes de los usuarios. Entonces el trabajo en la red será ininterrumpido; en caso de problemas con uno de los controladores, el segundo realizará las mismas funciones.

Instalación y configuración de un segundo controlador de dominio.

1. En el primer controlador de dominio, abra configuración de red primer servidor. Para hacer esto, escriba ncpa.cpl en el campo de búsqueda. A continuación, seleccione la interfaz de red deseada, haga clic derecho - "Propiedades - IP versión 4 (TCP/IPv4). - Propiedades". En el campo de interfaz alternativa, ingrese la dirección IP del controlador de dominio adicional (en este caso 192.168.100.6).

2. Luego vamos al segundo servidor y configuramos el nombre del futuro servidor: "Esta computadora - Propiedades - Cambiar configuración - Cambiar". En el campo "Nombre de la computadora", ingrese un nombre para el servidor y luego "Aceptar". Deberá reiniciar su computadora, estamos de acuerdo.

3. Después del reinicio, proceda a la configuración. interfaz de red. Para hacer esto, escriba ncpa.cpl en el campo de búsqueda. Elegir interfaz requerida, haga clic derecho - "Propiedades - IP versión 4 (TCP/IPv4). - Propiedades". En la ventana que se abre, complete los campos:

• dirección IP: Dirección IP del servidor (por ejemplo 192.168.100.6)
• Máscara de subred: por ejemplo 255.255.255.0 (máscara de 24 bits)
• Puerta de entrada principal: por ejemplo 192.168.100.1
• Servidor DNS preferido: dirección IP del primer servidor (por ejemplo, 192.168.100.5)
• Servidor DNS alternativo: dirección IP del segundo servidor (por ejemplo, 192.168.100.6)

Luego haga clic en "Aceptar".

4. Agregar al dominio nuevo servidor. Para hacer esto, seleccione "Esta PC - Propiedades - Cambiar configuración - Cambiar". Marque la casilla "Es miembro de un dominio" e ingrese el nombre del dominio. Luego "OK".

5. En el cuadro de diálogo "Cambiar nombre de computadora o dominio", ingrese el nombre de usuario del dominio con derechos administrativos(el usuario debería poder agregar computadoras al dominio), luego "Aceptar".

6. Si la operación es exitosa, aparecerá el mensaje “Bienvenido al dominio...”. Haga clic en "Aceptar".

7. Después de reiniciar su computadora, en la ventana "Ver información básica sobre su computadora", puede marcar lo contrario " nombre completo"que la computadora se ha unido al dominio.

8. Sobre esto etapa preparatoria terminado, es hora de instalar roles requeridos al servidor. Para hacer esto, abra el "Administrador del servidor" - "Agregar roles y componentes". Es necesario instalar un servidor DNS, Servicios de dominio de Active Directory y un servidor DHCP.

9. Lea la información en la ventana "Antes de comenzar" y haga clic en "Siguiente". En la siguiente ventana "Seleccionar tipo de instalación", deje la casilla de verificación "Instalar funciones o componentes" como predeterminada y "Siguiente" nuevamente. Seleccione nuestro servidor del grupo de servidores, luego "Siguiente".

10. En la ventana "Seleccionar funciones de servidor", seleccione Servidor DNS, Servicios de dominio de Active Directory, Servidor DHCP. Cuando agrega una función, aparecerá un mensaje de advertencia, como "Agregar componentes necesarios para un servidor DHCP". Haga clic en "Agregar componentes". Después de seleccionar los roles requeridos, haga clic en "Siguiente".

11. En la nueva ventana "Seleccionar componentes", ignore "Seleccione uno o más componentes para instalar en este servidor", haga clic en Siguiente. En la siguiente ventana "Servidor DHCP" leemos a qué prestar atención al instalar un servidor DHCP, luego "Siguiente". En la nueva ventana "Confirmación de instalación", verifique los roles seleccionados y haga clic en "Instalar".

12. Aparecerá una ventana que muestra el progreso de la instalación de los componentes seleccionados. Esta ventana se puede cerrar; ya no afecta el proceso de instalación.

13. Después de instalar los componentes seleccionados, en el "Administrador del servidor", haga clic en el icono de advertencia en el formulario signo de admiración, seleccione "Promover la función de este servidor al nivel de controlador de dominio".

14. Aparecerá el "Asistente de configuración de dominio". Servicios activos Directorio". En la ventana "Configuración de implementación", deje la casilla de verificación "Agregar un controlador de dominio a un dominio existente" de forma predeterminada, verifique el nombre de dominio en el campo "Dominio". Frente al campo (usuario actual), haga clic en "Cambiar " botón.

15. Ingrese el nombre de usuario y la contraseña del usuario en el dominio con derechos administrativos. Haga clic en "Aceptar". Luego "Siguiente".

16. En la ventana "Configuración del controlador de dominio", ingrese la contraseña para el Modo de restauración de servicios de directorio (DSRM), nuevamente "Siguiente".

17. En la ventana " Configuración de DNS"Ignore la advertencia de que no se puede crear la delegación para este servidor DNS porque no se encontró la zona principal autorizada", simplemente haga clic en "Siguiente".

18. En la ventana " Opciones adicionales"deje la fuente de replicación como "Cualquier controlador de dominio", nuevamente "Siguiente".

19. Deje la ubicación de la base de datos de AD DS, los archivos de registro y la carpeta SYSVOL como predeterminada, haga clic en "Siguiente".

20. Revise la configuración configurada en el "Asistente de configuración de servicios de dominio de Active Directory", luego "Siguiente".

21. En la ventana "Verificar requisitos previos", verifique que aparezca una casilla de verificación verde. Por lo tanto, todas las comprobaciones de preparación de la instalación se han completado con éxito. Haga clic en "Instalar".

22. En la siguiente ventana leemos que "Este servidor se ha configurado correctamente como controlador de dominio". Leemos las advertencias y hacemos clic en “Cerrar”.

23. Es hora de comprobar la funcionalidad de los Servicios de dominio de Active Directory y el servidor DNS. Para hacer esto, abra el "Administrador del servidor".

24. Seleccione "Herramientas" - "Usuarios y Computadoras activas Directorio".

25. Abra nuestro dominio y expanda la división "Controladores de dominio". En la ventana de enfrente comprobamos la presencia de un segundo servidor como controlador de dominio.

27. Comprobamos la presencia de la dirección IP del segundo servidor en la zona de búsqueda directa y en la zona de búsqueda inversa.

28. Luego seleccione "Active Directory - Sitios y servicios".

29. Expanda el árbol "Active Directory - Sitios". Verificamos la presencia de un segundo controlador de dominio frente a "Servidores".

30. Es hora de configurar el servidor DHCP. Para hacer esto, en el segundo servidor, seleccione "Administrador del servidor" - "Herramientas" - "DHCP".

31. Seleccione un servidor adicional, haga clic derecho en "Agregar o eliminar enlaces".

32. Verifique la configuración de la interfaz de red a través de la cual se atenderá a los clientes DHCP en el segundo servidor.

33. Combinamos dos servidores DHCP. Configuración alta disponibilidad, modo de equilibrio carga alta. Distribuimos la carga en los servidores 50x50. Para configurar en el primer servidor donde está instalado y configurado el servidor DHCP, seleccione “Administrador del servidor” - “Herramientas” - “DHCP”.

34. Haga clic derecho en el alcance creado en el servidor DHCP, luego "Configurar conmutación por error...".

35. Aparece el asistente Configurar conmutación por error y luego Siguiente.

36. Especifique el servidor asociado para la conmutación por error. Para hacer esto, en el campo "Servidor asociado", usando el botón "Agregar servidor", agregue un segundo servidor (adicional) en el que se implementa la función del servidor DHCP. Luego haga clic en "Siguiente".

37. Ingrese la contraseña en el campo "Secreto compartido". El resto de configuraciones se pueden dejar por defecto, incluido el porcentaje de distribución de carga. servidor local- Socio servidor: 50% a 50%. "Siguiente" de nuevo.

38. Verifique la configuración de conmutación por error entre el primer servidor y el servidor secundario. Haga clic en "Finalizar".

39. Durante la configuración de la conmutación por error, verifique que todo sea "correcto" y cierre el asistente.

40. Abra el segundo servidor. "Administrador del servidor" - "Herramientas" - "Autorizar".

41. Marque el "Grupo de direcciones". Los servidores DHCP se sincronizarán.

Esto completa el proceso de instalación y configuración de Active Directory, DHCP, DNS. Puedes ver qué hacer y cómo hacerlo aquí:

ACTUALIZACIÓN: Creé un canal de videos en YouTube donde gradualmente publico videos de capacitación sobre todas las áreas de TI en las que estoy bien versado, suscríbete: http://www.youtube.com/user/itsemaev

UPD2: Microsoft tradicionalmente cambia la sintaxis habitual en la línea de comandos, por lo que los roles en cada Versiones de Windows El servidor puede sonar diferente. Ya no se llaman fsmo, sino maestros de operaciones. Entonces, para obtener los comandos correctos en la consola después del mantenimiento de fsmo, ¿simplemente escriba? y te mostrará los comandos disponibles.

En mi revista de abril "Administrador del sistema" publicaron un artículo sobre el tema "Reemplazo sencillo de un controlador de dominio obsoleto o fallido con Basado en Windows Servidor"

E incluso pagaron cien dólares y me dieron una bolsa de sesos)) Ahora soy Onotole.

Reemplace sin problemas un controlador de dominio de Windows Server obsoleto o fallido.(si alguien lo necesita le mando fotos)

Si su controlador de dominio ha fallado o está completamente desactualizado y requiere reemplazo, no se apresure a pasar el próximo fin de semana creando un nuevo dominio en un nuevo servidor y transfiriendo minuciosamente las máquinas de los usuarios a él. Gestión competente Un controlador de dominio de respaldo lo ayudará a reemplazar el servidor anterior de manera rápida y sencilla.

Casi todos los administradores que trabajan con servidores basados ​​en Windows, tarde o temprano se enfrentan a la necesidad de reemplazar un controlador de dominio primario completamente obsoleto, cuya actualización adicional ya no tiene sentido, por uno nuevo y más apropiado. requisitos modernos. Hay situaciones aún peores: el controlador de dominio simplemente queda inutilizable debido a averías en el nivel fisico y las copias de seguridad y las imágenes están desactualizadas o se han perdido
En principio, se puede encontrar una descripción del procedimiento para reemplazar un controlador de dominio por otro en varios foros, pero la información se proporciona en fragmentos y, por regla general, se aplica solo a situación específica, sin embargo, no proporciona una solución real. Además, incluso después de leer muchos foros, bases de conocimientos y otros recursos sobre Inglés- Pude realizar correctamente el procedimiento para reemplazar un controlador de dominio sin errores solo la tercera o cuarta vez.
Entonces quiero traer instrucciones paso a paso reemplazar un controlador de dominio, independientemente de si es funcional o no. La única diferencia es que en caso de un controlador "fallido", este artículo sólo le ayudará si tuvo cuidado con antelación e implementó un controlador de dominio de respaldo.

Preparar servidores para ascenso/descenso de rol

El procedimiento para crear un controlador de dominio de respaldo es simple: simplemente ejecutamos el asistente dcpromo en cualquier servidor de la red. Usando el asistente dcpromo, creamos un controlador de dominio en un dominio existente. Como resultado de estas manipulaciones, obtenemos un servicio de directorio AD implementado en nuestro servidor adicional(Lo llamaré pserver y el controlador principal dcserver).
A continuación, si el propio dcpromo no lo sugirió, inicie la instalación. servidor DNS A. No necesita cambiar ninguna configuración, tampoco necesita crear una zona: se almacena en AD y todos los registros se replican automáticamente en el controlador de respaldo. Atención: la zona principal en DNS aparecerá solo después de la replicación, para acelerar la cual se puede reiniciar el servidor. En la configuración de TCP/IP tarjeta de red del controlador de dominio de respaldo, la dirección del servidor DNS primario debe indicar la dirección IP del controlador de dominio primario.
Ahora puede comprobar fácilmente la funcionalidad del servidor pservidor del controlador de dominio de respaldo. Podemos crear un usuario de dominio tanto en el controlador de dominio principal como en el de respaldo. Inmediatamente después de la creación, aparece en el servidor duplicado, pero al cabo de un minuto (mientras se realiza la replicación) se muestra como deshabilitado, después de lo cual comienza a aparecer de manera idéntica en ambos controladores.
A primera vista, se han completado todos los pasos para crear un esquema de trabajo para la interacción de varios controladores de dominio, y ahora, en caso de falla del controlador de dominio "principal", los controladores "de respaldo" realizarán automáticamente sus funciones. . Sin embargo, si bien la diferencia entre un controlador de dominio "principal" y uno "de respaldo" es puramente nominal, el controlador de dominio "principal" tiene una serie de características (roles FSMO) que no deben olvidarse. Así, las operaciones anteriores para funcionamiento normal Los servicios de directorio en caso de falla del controlador de dominio "principal" no son suficientes, y las acciones que se deben tomar para transferir/asumir de manera competente el rol del controlador de dominio principal se describirán a continuación.

una pequeña teoría

Debe saber que los controladores de dominio de Active Directory desempeñan varios tipos de funciones. Estos roles se denominan FSMO (operaciones flexibles de un solo maestro):
- Schema Master (Schema Master): la función es responsable de la capacidad de cambiar el esquema, por ejemplo, expandir servidor de intercambio o servidor ISA. Si el propietario de la función no está disponible, no podrá cambiar el esquema del dominio existente;
- Maestro de nombres de dominio (maestro de operaciones de nombres de dominio): la función es necesaria si hay varios dominios o subdominios en su bosque de dominios. Sin él, no será posible crear ni eliminar dominios en un bosque de un solo dominio;
- Maestro de ID relativo (Maestro de ID relativo): es responsable de crear una ID única para cada objeto AD;
- Emulador de controlador de dominio primario: es responsable de trabajar con cuentas de usuario y políticas de seguridad. La falta de comunicación con él le permite iniciar sesión en las estaciones de trabajo con la contraseña anterior, que no se puede cambiar si el controlador de dominio "cae";
- Maestro de infraestructura (Maestro de infraestructura): la función es responsable de transmitir información sobre los objetos AD a otros controladores de dominio en todo el bosque.
Estos roles están escritos con suficiente detalle en muchas bases de conocimiento, pero casi siempre se olvida el rol principal: este es el rol del Catálogo Global. De hecho, este directorio simplemente inicia el servicio LDAP en el puerto 3268, pero es precisamente su inaccesibilidad lo que no permitirá usuarios del dominio acceso. Lo que cabe destacar es que todos los controladores de dominio pueden tener la función de catálogo global al mismo tiempo.

De hecho, podemos concluir que si tiene un dominio primitivo para 30-50 máquinas, sin una infraestructura extendida, que no incluye subdominios, entonces es posible que no note la falta de acceso al propietario/propietarios de los dos primeros roles. Además, varias veces me encontré con organizaciones que han estado operando durante más de un año sin ningún controlador de dominio, pero en una infraestructura de dominio. Es decir, todos los derechos se distribuyeron hace mucho tiempo, con el controlador de dominio en funcionamiento, y no fue necesario cambiarlos, los usuarios no cambiaron sus contraseñas y trabajaron en silencio;

Determine los propietarios actuales de la función fsmo.

Permítanme aclarar: sabiamente queremos reemplazar el controlador de dominio sin perder ninguna de sus capacidades. En el caso de que haya dos o más controladores en el dominio, debemos averiguar quién posee cada uno de los roles de fsmo. Esto es bastante fácil de hacer usando los siguientes comandos:

servidor dsquery -esquema hasfsmo
servidor dsquery - nombre hasfsmo
servidor dsquery - deshacerse de hasfsmo
servidor dsquery - hasfsmo pdc
servidor dsquery - hasfsmo infr
servidor dsquery -bosque -isgc

Cada uno de los comandos muestra información sobre quién es el propietario del rol solicitado (Fig. 1). En nuestro caso, el propietario de todos los roles es el controlador de dominio principal dcserver.

Transferencia voluntaria de roles de fsmo mediante consolas de Active Directory.

Tenemos toda la información necesaria para transferir el rol de PDC. Comencemos: primero debemos asegurarnos de que nuestra cuenta sea miembro de los grupos Administradores de dominio, Administradores de esquema y Administradores empresariales, y luego continuar con método tradicional Transferencia de roles fsmo: gestión de dominios a través de consolas de Active Directory.

Para transferir la función de "maestro de nombres de dominio", realice los siguientes pasos:
- abra "Dominios y confianzas de Active Directory" en el controlador de dominio desde el que queremos transferir la función. Si trabajamos con AD en el controlador de dominio al que queremos transferir el rol, entonces nos saltamos el siguiente punto;
- haga clic con el botón derecho en el icono Active Directory - Dominios y confianzas y seleccione el comando Conectar al controlador de dominio. Seleccionamos el controlador de dominio al que queremos transferir el rol;
- haga clic con el botón derecho en el componente Active Directory - Dominios y confianzas y seleccione el comando Operation Masters;
- en el cuadro de diálogo Cambiar propietario de operaciones, haga clic en el botón Cambiar (Fig. 2).
- después de una respuesta afirmativa a la solicitud emergente, recibimos un rol transferido exitosamente.

De manera similar, puede utilizar la consola Usuarios y equipos de Active Directory para transferir las funciones de Maestro RID, PDC y Maestro de infraestructura.

Para transferir la función de "maestro de esquema", primero debe registrar la biblioteca de administración de esquemas de Active Directory en el sistema:

Una vez transferidos todos los roles, queda por abordar la opción restante: el custodio del catálogo global. Vamos a Active Directory: “Sitios y servicios”, sitio predeterminado, servidores, buscamos el controlador de dominio que se ha convertido en el principal y en sus propiedades de configuración NTDS marcamos la casilla junto a catálogo global. (Figura 3)

El resultado es que cambiamos los propietarios de funciones de nuestro dominio. Para aquellos que finalmente necesitan deshacerse del antiguo controlador de dominio, lo degradamos a un servidor miembro. Sin embargo, la simplicidad de las acciones tomadas se ve recompensada por el hecho de que su implementación en varias situaciones es imposible o termina en un error. En estos casos ntdsutil.exe nos ayudará.

Transferencia voluntaria de roles fsmo mediante consolas ntdsutil.exe.

En caso de que falle la transferencia de roles de fsmo mediante consolas AD, Microsoft ha creado una utilidad muy conveniente, ntdsutil.exe, un programa de mantenimiento del directorio de Active Directory. Esta herramienta le permite realizar extremadamente acciones útiles- hasta restaurar toda la base de datos de AD a partir de una copia de seguridad que esta utilidad creó durante último cambio en ANUNCIO. Todas sus capacidades se pueden encontrar en la base de conocimientos de Microsoft (código de artículo: 255504). En este caso, estamos hablando del hecho de que la utilidad ntdsutil.exe le permite transferir roles y "seleccionarlos".
Si queremos transferir una función de un controlador de dominio "principal" existente a uno "de respaldo", iniciamos sesión en el controlador "principal" y comenzamos a transferir funciones (comando de transferencia).
Si por alguna razón no tenemos un controlador de dominio principal, o no podemos iniciar sesión con una cuenta administrativa, iniciamos sesión en el controlador de dominio de respaldo y comenzamos a “seleccionar” roles (tomar el comando).

Entonces, el primer caso es que el controlador de dominio principal existe y funciona normalmente. Luego nos dirigimos al controlador de dominio principal y escribimos los siguientes comandos:

ntdsutil.exe
roles
conexiones
conectarse al servidor nombre_servidor (aquel a quien queremos darle el rol)
q

Si aparecen errores, debemos verificar la conexión con el controlador de dominio al que estamos intentando conectarnos. Si no hay errores, entonces nos hemos conectado exitosamente al controlador de dominio especificado con los derechos del usuario en cuyo nombre ingresamos los comandos.
¿Está disponible una lista completa de comandos después de solicitar el mantenimiento de fsmo mediante un letrero estándar? . Ha llegado el momento de transferir roles. Inmediatamente, sin pensarlo, decidí transferir los roles en el orden en que están indicados en las instrucciones de ntdsutil y llegué a la conclusión de que no podía transferir el rol de propietario de la infraestructura. En respuesta a una solicitud para transferir una función, recibí un error: "No se puede contactar al propietario actual de la función fsmo". Busqué información en Internet durante mucho tiempo y descubrí que la mayoría de las personas que han llegado a la etapa de transferencia de roles se enfrentan a este error. Algunos intentan quitarles este papel por la fuerza (no funciona), otros dejan todo como está y viven felices sin este papel.
Descubrí mediante prueba y error que al transferir roles a en este orden Se garantiza la correcta realización de todos los pasos:
- propietario de identificadores;
- propietario del régimen;
- maestro en denominación;
- propietario de la infraestructura;
- controlador de dominio;

Después de conectarnos exitosamente al servidor, recibimos una invitación para administrar roles (mantenimiento fsmo) y podemos comenzar a transferir roles:
- transferir maestro de nombres de dominio
- transferir maestro de infraestructura
- transferir deshacerse del maestro
- transferir esquema maestro
- transferir maestro pdc

Después de ejecutar cada comando, debería aparecer una solicitud preguntando si realmente queremos transferir el rol especificado. al servidor especificado. El resultado de la ejecución exitosa del comando se muestra en la Fig. 4.

La función de custodio del catálogo global se delega de la manera descrita en la sección anterior.

Forzar roles fsmo usando ntdsutil.exe.

El segundo caso es que queremos asignar el rol de principal a nuestro controlador de dominio de respaldo. En este caso, nada cambia, la única diferencia es que realizamos todas las operaciones usando el comando Seize, pero en el servidor al que queremos transferir roles para asignar roles.

apoderarse del maestro de nombres de dominio
apoderarse del maestro de infraestructura
apoderarse del maestro librado
apoderarse del maestro de esquema
apoderarse de pdc

Tenga en cuenta que si le quita una función a un controlador de dominio que no está en en este momento, luego, cuando aparezca en la red, los controladores comenzarán a entrar en conflicto y no se podrán evitar problemas en el funcionamiento del dominio.

Trabaja en los errores.

Lo más importante que no se debe olvidar es que el nuevo controlador de dominio primario no corregirá la configuración TCP/IP por sí solo: ahora es aconsejable que especifique 127.0.0.1 como dirección del servidor DNS primario (y si falta el antiguo controlador de dominio + servidor DNS, entonces es obligatorio).
Además, si tiene un servidor DHCP en su red, debe forzarlo a que proporcione la dirección del servidor DNS primario y la IP de su nuevo servidor; si no hay DHCP, revise todas las máquinas y asigne este servidor primario; DNS para ellos manualmente. Alternativamente, puede asignar la misma IP al nuevo controlador de dominio que al anterior.

Ahora necesitas comprobar cómo funciona todo y deshacerte de los errores principales. Para hacer esto, sugiero borrar todos los eventos en ambos controladores y guardar los registros en la carpeta con otros copias de seguridad y reinicie todos los servidores.
Después de activarlos, analizamos cuidadosamente todos los registros de eventos en busca de advertencias y errores.

La advertencia más común después de transferir funciones a fsmo es el mensaje que dice "msdtc no puede manejar correctamente la promoción/degradación del controlador de dominio que se ha producido".
La solución es sencilla: en el menú “Administración” encontramos “Servicios”
componentes". Allí abrimos “Servicios de componentes”, “Computadoras”, abrimos las propiedades de la sección “Mi PC”, buscamos allí “MS DTC” y allí hacemos clic en “Configuración de seguridad”. Allí permitimos “Acceso a la red DTC” y pulsamos Aceptar. El servicio se reiniciará y la advertencia desaparecerá.

Un ejemplo de error sería un mensaje que indica que no se puede cargar la zona DNS principal o que el servidor DNS no ve el controlador de dominio.
Puede comprender los problemas de funcionamiento del dominio utilizando la utilidad (Fig. 5):

Puede instalar esta utilidad desde el original. disco de Windows 2003 de la carpeta /support/tools. La utilidad le permite verificar la funcionalidad de todos los servicios del controlador de dominio; cada etapa debe finalizar con las palabras aprobadas con éxito. Si falla (la mayoría de las veces se trata de pruebas de conexión o de registro del sistema), puede intentar solucionar el error automáticamente:

dcdiag /v /arreglar

Como regla general, todos los errores relacionados con DNS deberían desaparecer. De lo contrario, utilice la utilidad para comprobar el estado de todos los servicios de red:

y ella herramienta útil solución de problemas:

netdiag /v /arreglar

Si después de esto persisten errores relacionados con DNS, la forma más sencilla es eliminar todas las zonas y crearlas manualmente. Es bastante simple: lo principal es crear una zona maestra por nombre de dominio, almacenarla en Active Directory y replicarla en todos los controladores de dominio de la red.
Más información detallada acerca de errores de DNS da otra orden:

dcdiag /prueba:dns

Al final del trabajo realizado, me llevó unos 30 minutos más descubrir el motivo de la aparición de una serie de advertencias: descubrí la sincronización horaria, el archivo del catálogo global y otras cosas que nunca había logrado hacer. antes. Ahora todo funciona de maravilla; lo más importante es que no olvide crear un controlador de dominio de respaldo si desea eliminar el controlador de dominio anterior de la red.