Перенос контроллера домена

Posted: 11.12.2010 in Microsoft
Метки: , ,

Недавно меня попросили рассказать, что как и в какой последовательности сделать для того, чтобы перенести роль контроллера домена с одного сервера на другой. Именно этому посвящена статья.

К чему сводится развёртывание второго контроллера домена в существующем домене и перенос всей структуры службы каталогов на него:

  1. Установка операционной системы (Microsoft Windows Server 200x)
  2. Присоединение сервера, в качестве рядового  сервера в существующий домен
  3. Установка службы каталогов и DNS-сервера на сервер
  4. Перенос ролей хозяев операций (FSMO)
  5. Удаление старого контроллера домена из структуры

 

Подробного описания п.1 и п.2 приводить не имеет смысла, т.к. это процедура достаточно типовая, и производится очень часто.

Для записи примеров, я использовал 2 виртуальные машины, развернутые в Microsoft VirtualPC 2007. На одной из них уже установлена роль контроллера домена (domain.local), служба DNS (хранящая информацию о зоне в службе каталогов (рис.1)). Вторая – рядовой сервер, член существующего домена.

Чтобы проверить где хранятся зоны, необходимо на контроллере домена открыть консоль управления DNS-сервером (Пуск –> Выполнить –> dnsmgmt.msc), развернуть зоны прямого просмотра, щелкнуть правой кнопкой по зоне, выбрать Свойства (Properties). На вкладке Основное (General) в разделе Тип (Type) должно быть указано Интегрировано в Active Directory (Active Directory-Integrating)

Zone_Store

Рисунок 1. Хранение зоны

Настройки сетевых интерфейсов показаны на рисунках 2 и 3. Обращаю внимание, что оба адреса статические.

IPsettinsDC

IPsettinsServer

Рисунок 2. Настройки сетевого интерфейса на контроллере домена

Рисунок 3. Настройки сетевого интерфейса на рядовом сервере

 

Итак, приступаем к п.3. Разворачиваем службу каталогов (видеофрагмент 1) и сервер DNS (видеофрагмент 2) на рядовом сервере

Видеофрагмент 1. Установка второго контроллера домена в существующий домен

 

Видеофрагмент 2. Установка DNS сервера на новый контроллер домена существующего домена

 

Итак у нас теперь есть два контроллера домена. Для безболезненного удаления из домена первого необходимо перенести хозяев операций с первого на второй. Перед тем как описывать эти действия, хотелось бы немножко остановиться на самих хозяевах операций.

Уровень ЛЕСА — Единственные для леса роли
Хозяин схемы (Schema master FSMO).
В каждом лесу существует один хозяин схемы. Эта роль необходима для расширения схемы леса Active Directory или для выполнения команды adprep /domainprep.

Хозяин именования домена(Domain naming master FSMO). В каждом лесу существует один хозяин именования домена. Эта роль необходима для добавления или удаления доменов или разделов приложений в лесу.

Уровень ДОМЕНА — Единственные для домена роли
Хозяин RID (RID Master FSMO).
В каждом домене существует один хозяин RID. Эта роль необходима для выделения идентификаторов RID, которые необходимы новым или существующим контроллерам доменов учетных записей пользователей, учетных записей компьютеров, а также групп безопасности. 

Эмулятор PDC(PDC emulator). В каждом домене существует один эмулятор PDC. Эта роль необходима для контроллера домена, отправляющего обновления базы данных резервным контроллерам домена Windows NT. Контроллер домена, владеющий этой ролью, также используется некоторыми средствами администрирования и получает обновления паролей учетных записей пользователей и компьютеров. 

Хозяин инфраструктуры (Infrastructure Master). В каждом домене существует один хозяин инфраструктуры. Эта роль необходима контроллерам доменов для успешного выполнения команды adprep /forestprep, а также для обновления атрибутов идентификаторов безопасности (SID) и различающихся атрибутов имен для объектов, на которые указывают междоменные ссылки.

Существует еще важная шестая роль контроллера домена – это хранение глобального каталога. Такую роль может иметь любой контроллер в домене, т.е. она не относится к единственно возможной ни для леса, ни для домена. Другими словами Global Catalog это не FSMO – flexible single master operation

Вариантов их переноса существует два: с помощью команды ntdsutil и с помощью оснасток.

Для переноса ролей с помощью команды ntdsutil необходимо совершить следующие действия:

Запускаем команду ntdsutil.
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server имя_сервера
Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
Binding to имя_сервера
Connected to имя_сервера using credentials of locally logged on user
server connection: quit
fsmo maintenance transfer schema master
fsmo maintenance transfer domain naming master
fsmo maintenance transfer PDC
fsmo maintenance transfer RID master
fsmo maintenance transfer infrastructure master
fsmo maintenance quit
ntdsutil: quit
Для захвата ролей, при не доступном владельце контролера домена, вместо transfer пишем seize.

Перенос хозяев операций с помощью оснасток рассмотрим в третьем видеофрагменте:

Видеофрагмент 3. Перенос хозяев операций на новый контроллер домена

 

После переноса всех ролей необходимо проверить расположение текущих ролей командной

netdom query fsmo

Результат команды должен выглядеть следующим образом:

FSMO

Чтобы netdom стал доступным необходима установка support tools, который есть на установочном диске D:\SUPPORT\TOOLS\SUPTOOLS.MSI

После этого мы можем удалить со старого контролера домена службу каталогов и службу DNS, тем самым понизив его до рядового сервера, провести на нем какие-либо технические работы либо вовсе списать. Однако настоятельно рекомендую после проведения ТО, снова установит на сервер роль  контроллера домена, т.к. проблем, которые можно огрести в случае падения единственного контроллера домена это поможет избежать с вероятностью 100%. После удаления службы DNS не необходимо изменит DNS сервер в настройках сетевых подключений всех серверов и рабочих станций. Там где эти настройки не автоматические – заменит вручную, там где настройки сети получают по DHCP – в настройках DHCP-сервера.

Видеофрагмент 4. Удаление контроллера домена в существующем домене.


P.S. При подготовке стати, в целях сокращения времени ее написания, использовались следующие материалы:

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s