Распределение ролей серверов
 

Приветствую всех!

В организации установлены 2 DC. Один из них выполняет роли ДНС и АД. Второй просто как реплика стоит на АД. Кэширования ДНС'a нет.
Каким образом настроить роли так, чтобы при выходе из строя одного сервера, второй перехватывал все функции на себя?
Сейчас получается, что первый DC - основной, а второй реплика, и когда первый "падает", ничего не работает..

Заранее спасибо!

AD, DNS и глобальный каталог - должны присутствовать на обоих серверах. Роли FSMO (мастера RID, PDC, инфраструктуры, схемы и именования доменов) - как хочешь (вообще говоря на том который более доступен и живуч, но в случае чего без этих ролей, как правило, можно прожить некоторое время, в крайнем случае их можно захватить)

Достаточно просто в оснастке сайт и служб выставить галку Глобального каталога на нужном контроллере.

Я так понимаю, что ГК должен стоять только на одном контроллере.. А если вот этот сервак загнется, где ГК, как тогда? Можно ли установить ГК на оба DC?
Michael, а ДНС ставить на втором DC как кэширующий? Или так же как на первом DC?

Да отчего же. Если у вас 2 ГК, то это обеспечивает повышенную отказоустойчивость для входа в систему. Если же у вас контроллеров 2, а ГК только один, то второй сервер - просто реплика AD на случай физической поломки первого сервера и не более. При установке флага на втором контроллере проводить авторизацию клиентов будут оба сервера, в зависимости от загруженности.
DNS сервер на втором сервера надо настроить как вторичный и настроить репликацию данных между DNS серверами.

Понятно. С этим разобрался.. Теперь, в "Operation Master..", во вкладках - RID, PDC, Infrastructure нужно ли что-нибудь менять? Во всех вкладках установлен первый DC.
Это в каком случае менять? Для каких целей служит?

Всего у сервера 5 ролей. Их разнесение на разные контроллеры необходимо опять же для обеспечения отказоустойчивости сети. В случае сети с одним контроллером все 5 ролей принадлежат одному серверу. Если серверов более одного, но ГК один, то роль мастера инфраструктуры можно перенести на дополнительный сервер. Т.к. у Вас 2 ГК, то можно роли оставить как есть.

2003

Все, разобрался! Вроде работает....
Спасибо всем за помощь! =)

Недопонял я по поводу DNS. А при чем тут кеширование, первичность и вторичность, если начиная с приснопамятных времен Windows Server 2000, появилась возможность делать DNS интегрированным в Active Directory? Это более простое и управляемое решение, чем хранение в файле.
По поводу глобального каталога. А насколько часто он Вам нужен? Вы часто используете ссылки на глобальные объекты леса? И насколько густ Ваш лес? Одно дерево с одним листочком в виде единственного домена? Ну упадет PDC, захватите роли Schema Master и Domain Naming Master, вот Вам и новый Global Catalog. Хотя конечно второй GC особой нагрузки то и не несет, тем более, если оба контроллера в одном сайте, так что пусть себе стоит.
При любом обращении к контроллеру первым делом выполняется DNS-запрос, и тот контроллер из списка, который откликнется раньше, станет для данного объекта основным, остальные бэкап-контроллерами. При очередном обращении к основному контроллеру не получаем от него ответа, автоматом стучимся на бэкап-контроллер. Вот и вся отказоустойчивость :D
P.S. Прочитал то, что написал - ужаснулся :D Сумбур :)

наверное имелось ввиду, что ДНС может кешировать запросы, при разрешении имён внешних ресурсов. А первичность\вторично, наверное имелось ввиду для хостинга внешних веб-сайтов.

А если DNS будет интегрирован в АД, общение клиента с сервером будет проходить все по тому же порту ДНС 53? Или используется иной порт?

stolyar, по тому же 53. Интеграция ДНС в АД на протокол ДНС не влияет.

интегрирован, не интегрирован, не играет роли просто за службой DNS закреплен порт 53 (примерно как FTP-21 HTTP-80 8080)

А при интеграции ДНС в АД у меня будут все те же возможности управления, как при установки службы ДНС? Или некоторые будут урезаны? Интеграция снижает трафик или хотя бы нагрузку сервера?

stolyar, да всё будет тоже самое. + безопаснее. Не все смогут управлять ДНС, а лишь тем, у кого есть права.

Это хорошо! Теперь вопрос:

А есть ли возможность интегрировать ДНС в АД, если у меня сервер поднят до уровня DC и служба ДНС там уже стоит?

ну вообще-то ДК не установится без интеграции в него ДНС.

Я немного запутался....
Роль ДНСа на сервере стоит. Это означает, что ДНС интегрирован в АД?
Как вообще определить интегрирован DNS или нет?

если есть ДК, то один из ДНС серверов всегда будет интегрирован в АД, т.к. я уже говорил - ДК без ДНС не может существовать.

Но многие админы ручонками правят тип хранения зоны. Что неправославно. Хотя это связано с известными косяками обработки зон Windows Server 2000...

Неправда. Можно хранить зону в файле. Причем на всех контроллерах. но очень трудно администрировать.

Немного неверно. Домен без DNS не может существовать. DNS может быть и сторонним..
Службы DNS и Active Directory

А если я установил сначала ДНС на сервак, а потом АД и поднял до DC? ДНС что-ли интегрируется автоматически?
А если я поднял реплику на втором серваке, тогда там тоже ДНС интегрирован?

эм... короче когда устанавливаете АД, вот тогда сервак и становится ДК. Одновременно.
При установке АД у вас спрашивают: где ДНС сервер. Вот тогда он и интегрируется.

А он стоит себе снаружи...
Выбираются типы хранения зон DNS.

Есть еще проблема такая. Когда рабочие станции загоняются в домен, в ДНС-е хост этого компа прописывается не сразу, а через некоторое время. Даже было, что через сутки только прописалась запись в ДНСе. Почему так? И ошибка выходит Event ID: 11164

stolyar,
У Вас явно описаны причины в тексте ошибки - а) и б) - разрешите динамические обновления.

На сервере динамические обновления выставлены "Только безопасные". Обновляются по-умолчанию - раз в неделю. Или сменить период обновления, сделать поменьше?
И что значит этот режим - "Только Безопасные" ?

Ну-ну. На то они и динамические, чтобы сразу обновляться.
Прямо под этим окошком объяснение есть. Проверьте и обратную зону на предмет динамического обновления. Дайте ipconfig /all с клиента и сервера.

Проверил реверсную зону - выставлено так же: режим "Только безопасные" и обновление раз в 7 дней.
Кстати, у меня на одном сервере, в реверсной зоне, его подсеть настроена на репликацию "На все DC в AD этого домена" (рисунок srv1.jpg) , а на втором сервере выставлена репликация "На все DNS сервера в AD этого домена" (рисунок srv2.jpg) . Это может вызвать неправильную работу ДНСа, его репликацию? Может выставить один режим?

Это не имеет значения, если DNS находятся только на DC. Но почему бы не поставить одинаково?