jabob,
нуу, это не оч хорошо! есть возможность еще больше проблем поиметь!


вот по КД
значит мы щас находимся на этапе когда у нас уже есть дополнительный рабочий dns сервер

на втором сервере: идем опять в мастрер настройки сервера

жмем Контроллер домена либо запускаем dcpromo /adv
когда спросит "где мне искать базу AD" ответьте "скопировать по сети"
выбираем из списка дополнительный контроллер домена
вбиваем то что нужно имя домена подчеркнутое nameserver.local вообщем ту часть без имени сервера
вбиваем логин и пароль
далее он сам вам втянет его в домен
в AD во "пользователи и компьютеры" он у вас должен появится в "domain controllers"
далее делаем его владельцем GC это в "active directory домены " где-то на вкладках поищите. точно не помню!

далее запускам dcdiag, netdiag с правами администратора (из можно найти на диске с вашей windows server)
проверяем логи!

если есть проблемы с репликацией, то реплицируем их принудительно утилиткой replmon которую можно найти там же!

далее все делаете по статье ссылку на которую я уже давал!

удачи!


Если я что-то забыл или ошибся - поправьте меня

jabob, Как правильно создать и настроить дополнительный контроллер домена Windows 2003? (http://www.oszone.net/3644/#1) и не забывай про бэкапы перед началом таких глобальных работ

Michael,
хорошая статья

подскажите, пжста. такая ситуация - подключил дополнительный контроллер домена, включил функцию глобального каталога, завел пользователей, группы, все сидят в новом домене.
вопрос - как повысить его до главного контроллера домена, удалить старый?
после удаления старого, не произойдет ли какого либо сбоя при входе в домен?

jabob, все ли ты тесты у вас проходят нормально?!
а чем собственно проблема?! почему бы не оставить два контролле домена - лишняя отказоустойчивать никогда бы не помешала

дело в том, что главный пережил пожар и очень нестабильно работает (то сам по себе отлючит питание, то просто висит)
тесты - единственное, что смущает - http://forum.oszone.net/showthread.php?p=1185954#post1185954

Подскажите мне на счёт резервного контроллера домена... Т.к. его копии, хз как назвать. В общем объясняю, что мне необходимо. Есть сейчас w2k3, AD, DNS. Пользователи, права, всё настроено. Не хочется всё потерять когда ляжет винт, или ещё что-то... Инфа (файл-серв) бекапится. А вот как быть с контроллером домена? Есть ещё одна машина, хочется сделать так, чтобы если ляжет первый КД, то пользователи питались со второго. Или, если первый выключить, на второй смогут зайти? Нужно именно это... Спасибо.

clin,


чуть выше давали ссылку на вот это Q: Как правильно создать и настроить дополнительный контроллер домена Windows 2003?

A:

1. Выполняем проверку конфигурации первого контроллера домена
Например как указано в этой статье MS KB:
"Рекомендации по настройке контроллеров домена Windows"
конфигурация TCP/IP контроллера: IP статический, Предпочитаемый DNS указывает на собственный IP адрес.
проверям Журналы событий на предмет наличия ошибок при настройке этого КД
также можно выполнить команды netdiag.exe и dcdiag.exe из дополнительного набора инструментов Resource Kit Tools для Windows 2003)

2. Делаем резервную копию первого КД
(Например удачным решением будет использовать Автоматический набор восстановления системы ASR - в ntbackup.exe)

3. На новый сервер устанавливаем ОС

4. Выполняем настройки TCP/IP: IP адрес статический и уникальный, Предпочитаемый DNS указывает на IP адрес первого контроллера - тк он и есть DNS сервер.

5. Выполняем подключение этой системы к домену по DNS имени домена (Servers - - [NTDS Settings] -> Servers - your.domain.local - [NTDS Settings]).
Если на этом этапе возникают ошибки - значит инфраструктура DNS развернута не правильно.

6. Регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server)

7. Если спросят указываем выборочную конфигурацию (Custom) и выбираем новую роль Контроллера домена (Domain Controller)
(Если есть необходимость развернуть новый контроллер удаленно можно использовать резервную копию первого КД для оперции загрузки базы AD)

8. В мастере создания контроллера домена выбираем режим Дополнительного контроллера домена и указываем DNS имя домена

9. Выполняем дополнительные настройки (пути к каталогам, пароли и тп) и дожидаемся окончания процесса конфигурации и переноса базы данных

10. Выполняем перезагрузку нового контроллера домена и выполняем проверку журналов системы (Event Viewer)

11. Если все в порядке, то открываем мастер Управления данным сервером (Manage Your Server) второй раз и выполняем добавление роли DNS сервера на эту систему (кстати эту операцию можно выполнить перед поднятием роли контроллера домена)

12. На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД)

13. Используем консоль управления DNS сервером для того чтобы убедиться что необходимые зоны появились (_msdcs.your.domain.local> и your.domain.local). Иначе перезагружаем сервер.

14. Теперь в сети инфраструктура DNS была изменена и DNS сервера теперь 2. Поэтому на всех ОС, входящих в домен необходимо эти изменения отобразить:

15. В качестве предпочитаемого DNS сервера на системах уже должен был быть установлен IP адрес первого КД, а вот теперь в качестве альтернативного нужно указать IP адрес второго контроллера домена.

16. Особо отмечу что эта конфигурация должна быть отображена на всех системах в домене: контроллеры, сервера и клиенты. (Если только не используется особые режимы настрйки инфраструктыры DNS)

17. Также добавить на второй КД роль Глобального Каталога (в дополнении к первому):
На втором КД - открываем консоль [Active Directory Сайты и службы] - [Default-First-Site-Name] - Servers - ДК2 - [NTDS Settings] открываем свойства и помечаем данный сервер как носитеть Глобального Каталога.

18. Анализируем журнал Directory Service на втором контроллере, дожидаемся репликации и подтверждения принятия роли ГК. Перегружаемся.
Что это даст? Это методика позволяет в случае выхода из строя первого контроллера домена - находить второй контроллер и работать с базой данных Active Directory.
Конечно, если первый контроллер будет отключен, то не будут доступны хозяева операций - 5 штук. Самым нужным кторым для клиента является Хозяин - "Эмулятор PDC". Например он нужен клиентским системам чтобы выполнять некоторые операции для осблуживания клиентов.

Как это все проверить? очень просто: отключаем от сети первый контроллер, далее:
а. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени сторого доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу
б. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени нового для этой станции доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу опять
в. можно пойти еще дальше и перезагрузить в таком состоянии сети второй контроллер домена (и повторить операцию а. или б.) конечно на всех операциях нужно выполнить анализ Журналов Системы (локальной станции и второго контроллера).

выход из строя второго контроллера наверно интересно проэмулировать только с целью получения данных об ошибках в журналах работы доменных служб на первом КД.

Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума:
Создание дополнительного контроллера домена Windows 2003


http://www.oszone.net/3644/#1

возможно я сейчас задам очень глупый вопрос:
есть два контроллера домена win2003
dcdiag и netdiag везде проходят успешно
при изменении на одном из КД чего либо на другом КД изменения тоже видны

НО почему-то в логах "службы репликации файлов" нету сообщений с того времени как сервера были включены!
но тем не менее репликация есть.

объясните пожалуйста или тыкните носом в логах я могу увидеть только предупрждения и ошибки? или все таки уведомления о каждой репликации должны регистрироваться?!

за счёт чего контроллер домена имеет статус Primary ? роли FSMO ? а если эти роли раскидать по нескольким контроллерам ?

за счёт чего контроллер домена имеет статус Primary ? »
Нет такого понятия в доменах 2003. Это название осталось по привычке от доменов NT. В 2003 все домены равны между собой, просто один может быть глобальным каталогом и обслуживать вход клиентов в систему, а другой просто репликой AD ну и, может быть, нести какую либо роль FSMO.

а если глобальных каталогов будет несколько ?
P.S. например в моей сети утилита Dame Ware определяет один DC так - Windows NT Primary, а остальные NT Backup (все серверы 2003). это на том основании что первый является глобальным каталогом ?

в моей сети утилита Dame Ware определяет один DC так - Windows NT Primary, а остальные NT Backup »
Dameware может определять как угодно, как разработчики решили, так и нарисовали надпись. Принцип, как DameWare определяет сеть, мне неизвестен :)
а если глобальных каталогов будет несколько ? »
Значит их будет несколько. Помимо реплик AD они будут еще и обслуживать вход клиентов в систему.

:)
Принцип, как DameWare определяет сеть, мне неизвестен »
По носителю роли PDC эмулятор :)

По носителю роли PDC эмулятор »
Ну если только так, через WMI запрашивает и выводит :)

Добрый час ! есть вопрос... преамбула к вопросу: собираюсь переносить контроллер домена, основные операции "согласованы" тут (http://forum.oszone.net/thread-145390.html) , общая схема переноса Delirium-a :). ОДНАКО, моя схема отличается в том что я собираюсь вернуть новый DC на место старого (в смысле IP). Т.е. на том IP где сейчас работает "старый" будет новый DC с новым именем. На сколько я понял нельзя просто взять и поменять IP на контроллере. Или можно ? на данный момент я уже сделал новый сервак доп контроллером и видмо зря. я полагаю правильно всё это сделать можно с помощью 3 ёх компов
1. делаем промежуточный DC репликой главного и передаём ему все роли DNS и т.д.
2. понижаем и тушим старый сервант
3. включаем с его IP новый сервер и делаем пункт 1 только обратно.

есть какие мысли по этому поводу ?

Есть. Во-первых нет никаких ролей DNS. Есть роли FSMO. И это абсолютно не то.
Во-вторых третий шаг лишний. Не надо поднимать дополнительный промежуточный сервер. Достаточно сменить новому контроллеру адресацию, и выполнить netdiag /fix. Этой командой Вы перерегистрируете ресурсные записи, ивсе будет хорошо. Но это будет работать при условии наличия ПРАВИЛЬНО настроенного DNS.

Есть. Во-первых нет никаких ролей DNS. Есть роли FSMO. И это абсолютно не то.»
пардон, я запятую не поставил между ролями и DNS :)

далее хотелось бы поподробнее, о "смене новому контроллеру адресации". и как понять что DNS настроен правильно.

спасибо заренее

поподробнее, о "смене новому контроллеру адресации »
Тут подробнее некуда. Меняете адреса на сетевом интерфейсе нового контроллера на те, котоые были у старого. Естественно, старый должен быть понижен и отключен от сети, или иметь уже другую адресацию. Затем выполняете netdiag /fix (не уверен, есть ли команда в дистрибутиве, вполне возможно нужно будет установить Support Tools). Для верности можно еще и DNS перезапустить. Но это лишнее.
как понять что DNS настроен правильно »
Он должен принимать безопасные обновления (читай разрешать запись компьютерам - членам домена) и иметь зону обратного просмотра.

понятно я когда спрашивал накануне я и имел ввиду это, просто думал это недопустимо для контроллера домена, ввиду привязки ДНС к старому IP

Он должен принимать безопасные обновления (читай разрешать запись компьютерам - членам домена) и иметь зону обратного просмотра. »

каким способом можно проверить ? в сети есть 10 DC, 3 DNS, обратная зона не настроена вроде бы

P.S. еслия вношу измененения в ДНС одного сервера и эти изменения отображаются на нужно, считаем что он (сервер) принимает безопасные обновления ?