Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: [решено] Создание дополнительного контроллера домена Windows 2003
Показать сообщение отдельно

Аватара для SkyF

Vladimir


Сообщения: 1070
Благодарности: 17

Профиль | Отправить PM | Цитировать

galex
Цитата:
Есть сервер, контроллер домена Windpws Server 2003 с DNS и WINS. Купили еще один сервер. Хочется сделать его дополнительным контроллером домена, а также вторым сервером DNS, и вторым WINS. Подскажите какие шаги необходимо сделать. Начал настраивать DNS, испортил зону на основном сервере. Как его вторым DNS сделать?
давайте расставим все точки на свои места в этом замечательном вопросе.
Прочитаем: Контрольный список для создания дополнительного контроллера домена в существующем домене
  1. выполняем проверку конфигурации первого контроллера домена
    (например как указано тут Рекомендации по настройке контроллеров домена Windows
    конфигурация TCP/IP контроллера: IP статический, Предпочитаемый DNS указывает на собственный IP адрес. ,
    проверям Журналы событий на предмет наличия ошибок при настройке этого КД
    также можно выполнить команды netdiag.exe и dcdiag.exe из дополнительного набора инструментов Resource Kit Tools для Windows 2003)
  2. делаем резервную копию первого КД
    (Например удачным решением будет использовать Автоматический набор восстановления системы ASR - в ntbackup.exe)
  3. на новый сервер устанавливаем ОС
  4. выполняем настройки TCP/IP: IP адрес статический и уникальный, Предпочитаемый DNS указывает на IP адрес первого контроллера - тк он и есть DNS сервер.
  5. Выполняем подключение этой системы к домену по DNS имени домена (<your.domain>).
    Если на этом этапе возникают ошибки - значит инфраструктура DNS развернута не правильно.
  6. регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server)
  7. Если спросят указываем выборочную конфигурацию (Custom) и выбираем новую роль Контроллера домена (Domain Controller)
    (Если есть необходимость развернуть новый контроллер удаленно можно использовать резервную копию первого КД для оперции загрузки базы AD)
  8. В мастере создания контроллера домена выбираем режим Дополнительного контроллера домена и указываем DNS имя домена
  9. Выполняем дополнительные настройки (пути к каталогам, пароли и тп) и дожидаемся окончания процесса конфигурации и переноса базы данных
  10. Выполняем перезагрузку нового контроллера домена и выполняем проверку журналов системы (Event Viewer)
  11. Если все в порядке, то открываем мастер Управления данным сервером (Manage Your Server) второй раз и выполняем добавление роли DNS сервера на эту систему (кстати эту операцию можно выполнить перед поднятием роли контроллера домена).
  12. На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД)
  13. Используем консоль управления DNS сервером для того чтобы убедиться что необходимые зоны появились (_msdcs.<your.domain> и <your.domain>). Иначе перезагружаем контроллер домена - служба Netlogon выполнит автоматическую настройку этих зон.
  14. Теперь в сети инфраструктура DNS была изменена и DNS сервера теперь 2. Поэтому на всех ОС, входящих в домен необходимо эти изменения отобразить:
  15. В качестве предпочитаемого DNS сервера на системах уже должен был быть установлен IP адрес первого КД, а вот теперь в качестве альтернативного нужно указать IP адрес второго контроллера домена.
  16. Особо отмечу что эта конфигурация должна быть отображена на всех системах в домене: контроллеры, сервера и клиенты.
    (Если только не используется особые режимы настрйки инфраструктыры DNS)
  17. Также добавить на второй КД роль Глобального Каталога (в дополнении к первому):
    На втором КД - открываем консоль [Active Directory Сайты и службы] - [Default-First-Site-Name] - Servers - <ДК2> - [NTDS Settings] открываем свойства и помечаем данный сервер как носитеть Глобального Каталога.
  18. Анализируем журнал Directory Service на втором контроллере, дожидаемся репликации и подтверждения принятия роли ГК. Перегружаемся.

Что это даст? Это методика позволяет в случае выхода из строя первого контроллера домена - находить второй контроллер и работать с базой данных Active Directory.
Конечно, если первый контроллер будет отключен, то не будут доступны хозяева операций - 5 штук. Самым нужным кторым для клиента является Хозяин - "Эмулятор PDC". Например он нужен клиентским системам чтобы выполнять некоторые операции для осблуживания клиентов.

Важно также отметить - что если первый DNS сервер имел особую дополнительную конфигурацию (например, включенный режим перенаправления (forwarding) запросов на внешние DNS сервера вашего провайдера) - необходимо сделать соответствующие изменения и на втором сервере DNS + если сеть защищена сетевым экраном - внести изменения и в его параметры, разрешая дополнительному серверу DNS выполнят внешние подключения.

Если вы хотите теперь удалить первый контроллер домена из вашей сети - теперь сделать это самое время.
1. На первом контроллере домена (Он сейчас является владельцем 5 хозяев ролей и глобального каталога) регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server)
2. Выбираем режим обавления удаления ролей (Add/Rmove role)
3. Выбираем роль - Контроллера домена (Active Directory) (Domain Controller (Active Directory) ) и устанавливаем флаг "удалить эту роль". Нажимаем Далее.
4. Мастер установки Active Directory выдаст запрос о том, является ли этот сервер в сети - поседним контроллером домена, оставляем этот флаг пустым.
5. Задаем новый пароль для учетной записи локального администратора и завершаем работу мастера. и выполняем перезагрузку.
6. При этом все 5 хозяев операций переносятся на второй контролер домена. Роль глобального каталога с первого контроллера - также снимается.
7. После регистрации в системе - необходимо опять обратиться к консоли Управление Данным сервером (Manage Your Server) и удалить остальные роли с этого сервера (если они вам не нужны, или вы планируете выполнить переформатирование/переустановку системы на бывшем контроллере домена 1).
8. На оставшихся контроллерах домена - необходимо выполнить проверку журналов событий и выполнить коррекию конфигурации для DNS сервера. А именно - в свойствах всех зон необходимо удалить упоминания о бывшем контроллере домена (это записи о серверах имен - name Servers).
9. Можно выполнить простую проверку: на любой из систем домена ввести запрос для разрешения имен DNS: nslookup <your.domain>
Вы должны получить список только существующих серверов имен (если было всего два контроллера домена и одновременно серверов DNS - то выводиться должен IP адреса последнего ( второго контроллера)).
10. Затем следйет изменить настройки всех систем в домене по использованию DNS в конфигурации TCP/IP (как на рабочи станциях, так и на серверах). Так как у нас больше службы на сервере DNS (который мы только что понизили) - то его IP адрес необхоимо убрать из списка "предпочитаемых DNS серверов", а на его место необходимо "поднять из альтернативных" IP адрес нашего единственного контроллера домена (или поправить весь список, если DNS серверов несколько).
11. После перезагрузки ОС - опять выполните проверку разрешения DNS имен на ваших системах (серверах и клиентах). Через команду nslookup. Выполните анализ системных журналов.
12. Сделайте резервную копию вашего доменного контроллера (ов).

Дополню, что если возникает необходимость переустановить коннтроллер домена, можно использовать вот эту тему (в ней обсуждалось именно переустановка первого КД) - fix! Переустановка основного контроллера домена!


2all если кто вспомнит какие операции он выполняет в различных режимах работы домена - кидайте с эту тему. будет полезно всем. сейчас времени нет мне искать.

ЗЫ Как это все проверить? очень просто: отключаем от сети первый контроллер, далее:
а. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени сторого доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу
б. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени нового для этой станции доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу опять
в. можно пойти еще дальше и перезагрузить в таком состоянии сети второй контроллер домена (и повторить операцию а. или б.)

конечно на всех операциях нужно выполнить анализ Журналов Системы (локальной станции и второго контроллера).

ЗЫЫ выход из строя второго контроллера наверно интересно проэмулировать только с целью получения данных об ошибках в журналах работы доменных служб на первом КД.


ИМХО Примерно так.

-------
любить!!!

Правила , FAQ и решенные темы раздела Windows Server 2003

Последний раз редактировалось SkyF, 15-03-2006 в 17:06.

Отправлено: 14:41, 22-10-2005 | #18

Название темы: [решено] Создание дополнительного контроллера домена Windows 2003