Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Основной DC win 2003 server, дополнительный Win 2008 R2 (http://forum.oszone.net/showthread.php?t=239669)

vert01et 31-07-2012 10:29 1961951
Основной DC win 2003 server, дополнительный Win 2008 R2
 
Добрый день! Имеем контроллер домена на Виндовс 2003 сервер, приобрели новый сервер с Виндовс 2008 R2. Как более правильно сделать его дополнительным контроллером домена, так чтобы были равноправны и выключение\поломка одного из них не отражалась на работе пользователей? Что в таком случае делать с ролями FSMO, как грамотно всё распределить?

exo 31-07-2012 10:56 1961963
http://technet.microsoft.com/ru-ru/l...53437(v=ws.10)
http://technet.microsoft.com/ru-ru/l...54670(v=ws.10)

Оба глобальные каталоги. Роли FSMO я бы перенес все на 2008 R2

vert01et 31-07-2012 11:29 1961998
Спасибо, правда вторую ссылку я не понял, извиняюсь, но там про IIS7... То есть сначала на основном контроллере обновляем лес, используя диск с которого ставили систему на новый контроллер (в данном случае R2), затем добавляем в домен ещё один контроллер, на него глобальный каталог и роли. Правильно?

exo 31-07-2012 11:38 1962006
извиняюсь. ссылки подправил - скобки почему-то вновь не вошли в тег ссылки.
Цитата:
Цитата vert01et
То есть сначала на основном контроллере обновляем лес »
потом домен (это вторая ссылка) и устанавливаем роли контроллера домена на R2.

Anton04 31-07-2012 13:14 1962085
vert01et,

На всякий случай подкину статейку Миграция роли Active Directory c Windows Server 2003 на Windows Server 2008 R2 и перенос контроллера домена на другой сервер. Вдруг пригодится...

vert01et 31-07-2012 14:00 1962111
exo, спасибо, попробую.

Anton04, спасибо, отличная статья, почти в копейку мой случай, за исключением понижения роли первичного, думаю ещё как поможет.

Ещё немного ясности внёс этот материал:

читать дальше »
Немного теории

Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):

- Schema Master (Хозяин схемы) – роль отвечает за возможность изменения схемы – например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен – схему существующего домена вы изменить не сможете;
- Domain Naming Master (Хозяин операции именования доменов) – роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
- Relative ID Master (Хозяин относительных идентификаторов) – отвечает за создание уникального ID для каждого объекта AD;
- Primary Domain Controller Emulator (Эмулятор основного контроллера домена) – именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
- Infrastructure Master (Хозяин Инфраструктуры) – роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.

Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают – это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно – роль глобального каталога могут иметь все контроллеры домена одновременно.

Фактически можно сделать вывод – если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены - то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.

exo 31-07-2012 14:15 1962121
Цитата:
Цитата vert01et
Ещё немного ясности внёс этот материал: »
в чём неясность?

vert01et 31-07-2012 14:59 1962147
Просто я теперь уже понимаю что 2-х абсолютно одинаковых контроллеров получить нельзя, так как только роль глобального каталога может быть на нескольких КД, а остальные роли могут быть назначены только одному, что вполне устраивает, так как они без внесения в АД глобальных изменений не отражаются на работе пользователей, что при падении основного КД даст время на его оживление без паники. Ещё раз спасибо.

galygin89 31-07-2012 15:01 1962150
Цитата:
Цитата Anton04
Миграция роли Active Directory c Windows Server 2003 на Windows Server 2008 R2 и перенос контроллера домена на другой сервер. »
Блоги отвалились.


Warning: require_once(/home/i/itbloje2ru/blogs/public_html/engine/classes/Engine.class.php) [function.require-once]: failed to open stream: Нет такого файла или каталога in /usr/www/users/sysadmk/blogs/index.php on line 27

Fatal error: require_once() [function.require]: Failed opening required '/home/i/itbloje2ru/blogs/public_html/engine/classes/Engine.class.php' (include_path='.:/usr/local/lib/php/:/usr/www/users/sysadmk/blogs') in /usr/www/users/sysadmk/blogs/index.php on line 27



Кто нить попробуйте открыть ресурс?

вот еще ссылка

Anton04 01-08-2012 11:17 1962618
Цитата:
Цитата galygin89
Блоги отвалились. »
Таких статей и перепечаток в Интернете море, главное что вы теперь знаете какой запрос нужно задать в поисковике что бы получить ссылку на рабочую статью ;)

P.S. На данный момент ссылка работает.

galygin89 01-08-2012 11:20 1962621
да да=) уменя через 5 мин запустилась. есть видео и блог полезный в этой теме гляньте ТЕМА

galygin89 01-08-2012 14:30 1962758
Подскажите зачем выполнять вот эти действия, и последствия если не выполнишь! по этой статье

Действия которые необходима выполнить на сервер с Windows 2003 (исходный сервер) для переноса DNS
Останавливаем службу DNS
net stop dns
Экспортируем реестр
reg export “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters” %Windir%\System32\DNS\Dns- Service.REG
reg export “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server” %Windir%\System32\DNS\Dns-Software.REG
копируем базу xcopy %windir%\System32\DNS DNS /s
Запускаем службу DNS
net start dns
Действия которые необходима выполнить на сервер с Windows 2008 R2 (конечный сервер) для переноса DNS

Останавливаем службу DNS
net stop dns
Копируем нашу копию базы в %windir%System32DNS
Импортируем реестр. reg import %Windir%\System32\DNS\Dns-Service.REG
reg import %Windir%\System32\DNS\Dns-Software.REG
Запускаем службу DNS
net start dns
Теперь необходимо синхронизировать оба сервера, для этого нужно воспользоваться стандартными средствами Active Directory.
После чего необходимо проверить схождение DNS серверов, для этого скачаем скрипт доступный по адресу http://go.microsoft.com/fwlink/?LinkId=135502 DNSConvergeCheck <исходный DNS> <конечный DNS server> <fqdn домена>

exo 01-08-2012 14:53 1962777
Цитата:
Цитата galygin89
и последствия если не выполнишь! »
тогда во время репликации все записи сами "скопируются" на 2008 сервер...
а копирование ДНС руками - я этим не заморачивался )

galygin89 01-08-2012 15:11 1962806
вот!
Цитата:
Цитата exo
тогда во время репликации все записи сами "скопируются" на 2008 сервер »
Спасибо!

может глянешь темку?...

exo 01-08-2012 15:18 1962812
Цитата:
Цитата galygin89
может глянешь темку?... »
не мой профиль...

vert01et 06-08-2012 10:54 1965405
Anton04, спасибо, всё сделал, статья очень пригодилась, всё работает, оба контроллера чувствуют себя неплохо, все тесты проходят, 3 день наблюдаемся.


Время: 21:28.

Время: 21:28.
© OSzone.net 2001-