Primarni kontroler domene. Sigurnosna kopija kontrolera domene s Veeamom

Microsoft Active Directory je standard u infrastrukturi gdje su potrebni provjera autentičnosti korisnika i centralizirano upravljanje. Gotovo je nemoguće zamisliti kako bi se administratori sustava nosili sa svojim poslom bez ove tehnologije. Međutim pomoću Active Imenik ne samo da donosi velika korist, ali nameće i veliku odgovornost, zahtijeva značajno vrijeme i razumijevanje procesa rada. Stoga vam skrećem pažnju na nekoliko članaka koji će vam reći kako uspješno izraditi sigurnosnu kopiju i vratiti Active Directory koristeći Veeam rješenja. Posebno ću objasniti kako vam Veeam pomaže napraviti kopije kontrolera domene (DC) ili pojedinačnih AD objekata i vratiti ih ako je potrebno.

Počet ću tako što ću reći da ću u današnjem postu govoriti o mogućnostima sigurnosnog kopiranja fizičkih i virtualni kontroleri domenu koju osigurava Veeam i što trebate zapamtiti tijekom sigurnosnog kopiranja. Za detalje - pod kat.


Usluge aktivnog imenika dizajnirane su imajući na umu redundanciju, pa se konvencionalna pravila i taktike sigurnosnog kopiranja moraju prilagoditi u skladu s tim. U u ovom slučaju Bilo bi pogrešno koristiti istu politiku sigurnosne kopije koja već radi za SQL ili Exchange poslužitelje. Evo nekoliko preporuka koje mogu pomoći pri razvoju politike sigurnosne kopije za Active Directory:

  1. Saznajte koji kontroleri domene u vašem okruženju obavljaju FSMO (Flexible Single Master Operations) uloge.
    Zdrav: jednostavna naredba provjeriti putem naredbenog retka: >netdom upit fsmo
    Izvođenje potpuni oporavak domene, bolje je započeti s kontrolerom domene s najveći broj FSMO uloge - obično poslužitelj s ulogom emulatora primarnog kontrolera domene (PDC). U suprotnom, nakon oporavka, morat ćete ručno ponovno dodijeliti odgovarajuće uloge (pomoću naredbe ntdsutil seize).
  2. Ako želite zaštititi pojedinačne objekte, tada ne morate sigurnosno kopirati sve kontrolere dostupne na mjestu proizvodnje. Za vraćanje pojedinačnih objekata bit će dovoljna jedna kopija baze podataka Active Directory (datoteka ntds.dit).
  3. Uvijek postoji opcija za smanjenje rizika od slučajnog ili namjernog brisanja ili izmjene AD objekata. Možemo preporučiti delegiranje administrativnih ovlasti, ograničenje pristupa od povišena prava, kao i replikacija na sigurnosno mjesto s unaprijed postavljenom odgodom.
  4. Obično se preporučuje sigurnosno kopiranje kontrolera domene jednog po jednog kako se ne bi preklapalo s DFS replikacija. Iako moderna rješenja znati kako riješiti ovaj problem.
  5. Ako koristite virtualno okruženje VMware, kontroler domene možda neće biti dostupan putem mreže (na primjer, nalazi se u DMZ zoni). U ovoj situaciji Veeam će se prebaciti na vezu putem VMware VIX i moći će obraditi ovaj kontroler.

Ako imate virtualni DC

Jer Aktivne usluge Budući da imenici troše mali dio sistemskih resursa, kontroleri domene obično su prvi kandidati za virtualizaciju. Da biste osigurali virtualizirani kontroler s Veeamom, trebate instalirati i konfigurirati Veeam sigurnosna kopija&Replikacija.

Važno! Rješenje radi s uključenim VM kontrolerom domene Windows poslužitelj 2003 SP1 i noviji, minimalna podržana funkcionalna razina šume je Windows 2003. Računu moraju biti dodijeljena administratorska prava Active Directory - možete raditi pod računom administratora poduzeća ili domene.
Proces instaliranja i konfiguriranja Veeam Backup & Replication već je nekoliko puta obrađen – na primjer, u videu koji je pripremio Veeam sistem inženjer, pa ćemo preskočiti detalje. Pretpostavimo da je sve postavljeno i spremno za rad. Sada trebate izraditi zadatak sigurnosne kopije kontrolera domene. Postupak postavljanja je prilično jednostavan:


Sigurnosna kopija se po želji može spremiti u oblak pomoću davatelja usluge Veeam Cloud Connect (VCC). Također ga možete premjestiti u drugo spremište sigurnosne kopije koristeći poslove arhiviranja sigurnosne kopije ili funkciju arhiviranja trake. Najvažnije je da je sigurnosna kopija sada pohranjena na sigurnom mjestu, a iz nje u svakom trenutku možete vratiti potrebne podatke.

Ako imate fizički DC

Iskreno, nadam se da idete u korak s vremenom, a vaša tvrtka već duže vrijeme virtualizira kontrolere domena. Ako to nije slučaj, onda se nadam da ih redovito ažurirate i da rade relativno moderne verzije Windows Server OS - Windows Server 2008 (R2) i noviji. (O nijansama rada sa starijim sustavima bit će poseban članak).

Dakle, imate jedan ili više fizičkih kontrolera domene sa sustavom Windows Server 2008 R2 i novijim i želite ih zaštititi. U ovom slučaju trebat će vam Veeam Endpoint Backup - rješenje dizajnirano posebno za zaštitu podataka fizička računala i poslužitelji. Veeam Endpoint Backup kopira potrebne podatke iz fizički stroj i sprema ih u datoteku sigurnosne kopije. U slučaju katastrofe, možete vratiti podatke "na goli metal" ili izvršiti oporavak na razini logičkog diska. Osim toga, možete vratiti pojedinačne objekte koristeći Veeam Explorer za Microsoft Active Directory.

Radimo sljedeće:


To je sve: sigurnosna kopija je dovršena, kontroler domene je zaštićen. Idite u spremište i pronađite rezervnu kopiju ili lance rezervnih kopija koje trebate.

Ako ste konfigurirali repozitorij Veeam Backup & Replication kao odredište za sigurnosne kopije, tada će novostvorene sigurnosne kopije biti prikazane na ploči Sigurnosne kopije > Infrastruktura diska, stavka Sigurnosne kopije krajnje točke.

Umjesto zaključka

Naravno, uspješna sigurnosna kopija je dobar početak, ali nije cijela priča. Očito je sigurnosna kopija bezvrijedna ako se podaci iz nje ne mogu vratiti. Stoga ću u sljedećem članku govoriti o različitim scenarijima Oporavak aktivan Imenik, uključujući oporavak kontrolera domene, kao i oporavak pojedinačnih obrisanih i izmijenjenih objekata korištenjem Microsoftovih alata i Veeam Explorera za Active Directory.

UPD: Stvorio sam video kanal na YouTubeu gdje postupno objavljujem video zapise o obuci o svim područjima IT-a u koja sam dobro upućen, pretplatite se: http://www.youtube.com/user/itsemaev

UPD2: Microsoft tradicionalno mijenja uobičajenu sintaksu naredbeni redak, tako da uloge u svakoj verziji sustava Windows Server mogu zvučati drugačije. Više se ne zovu fsmo, nego masteri operacija. Dakle, za ispravne naredbe u konzoli nakon održavanja fsmo jednostavno napišite? i pokazat će vam dostupne naredbe.

U mom travanjskom časopisu" Administrator sustava" preuzeo je članak na temu "Bezbolna zamjena zastarjelog ili neispravnog kontrolera domene s Temeljen na sustavu Windows poslužitelj"

I čak su platili sto dolara i dali mi vreću mozga)) Sada sam Onotole.


Bezbolno zamijenite zastarjeli ili pokvareni Windows Server kontroler domene.(ako nekome treba poslaću slike)

Ako je vaš kontroler domene otkazao ili je potpuno zastario i zahtijeva zamjenu, nemojte žuriti planirati provesti sljedeći vikend stvarajući novu domenu na novom poslužitelju i mukotrpno prebacujući korisnička računala na njega. Kompetentno upravljanje Rezervni kontroler domene pomoći će vam da brzo i bezbolno zamijenite prethodni poslužitelj.

Gotovo svaki administrator koji radi s Windows poslužiteljima, prije ili kasnije, susreće se s potrebom da potpuno zastarjeli primarni kontroler domene, čija daljnja nadogradnja više nema smisla, zamijeni novim koji više zadovoljava suvremene zahtjeve. Postoje još gore situacije - kontroler domene jednostavno postaje neupotrebljiv zbog kvarova na fizička razina, a sigurnosne kopije i slike su zastarjele ili izgubljene
U načelu, opis postupka zamjene jednog kontrolera domene drugim može se naći na raznim forumima, ali informacije su dane u fragmentima i u pravilu se odnose samo na konkretna situacija, međutim, ne pruža stvarno rješenje. Osim toga, čak i nakon čitanja puno foruma, baza znanja i drugih izvora na Engleski jezik- Proceduru zamjene kontrolera domene bez grešaka sam uspio ispravno provesti tek treći ili četvrti put.
Pa želim donijeti upute korak po korak zamjena kontrolera domene, neovisno o tome je li funkcionalan ili ne. Jedina je razlika u tome što će u slučaju "palog" kontrolera ovaj članak pomoći samo ako ste se unaprijed pobrinuli i postavili rezervni kontroler domene.

Priprema poslužitelja za unapređenje/degradiranje uloga

Sam postupak izrade rezervni kontroler domena je jednostavna - jednostavno pokrenemo dcpromo čarobnjaka na bilo kojem poslužitelju na mreži. Pomoću dcpromo čarobnjaka stvaramo kontroler domene u postojećoj domeni. Kao rezultat ovih manipulacija, dobivamo raspoređenu AD imeničku uslugu na našem dodatnom poslužitelju (nazvat ću ga pserver, a glavni kontroler - dcserver).
Zatim, ako ga sam dcpromo nije ponudio, pokrenite ga DNS instalacija poslužitelj. Ne morate mijenjati nikakve postavke, ne morate niti kreirati zonu - ona je pohranjena u AD-u, a svi se zapisi automatski repliciraju na rezervni kontroler. Pažnja - glavna zona u DNS-u pojavit će se tek nakon replikacije, da bi se ubrzala poslužitelj se može ponovno pokrenuti. U TCP/IP postavkama Mrežna kartica rezervni kontroler domene s adresom primarnog DNS poslužitelj i mora biti navedena IP adresa primarnog kontrolera domene.
Sada možete jednostavno provjeriti funkcionalnost rezervnog poslužitelja kontrolera domene. Možemo stvoriti korisnika domene i na primarnom i na rezervnom kontroleru domene. Odmah nakon izrade pojavljuje se na dupliciranom poslužitelju, no unutar jedne minute (dok traje replikacija) prikazuje se kao onemogućen, nakon čega se počinje identično pojavljivati ​​na oba kontrolera.
Na prvi pogled, svi koraci za stvaranje radne sheme za interakciju nekoliko kontrolera domene su dovršeni, a sada, ako "primarni" kontroler domene ne uspije, "rezervni" kontroleri će automatski obavljati svoje funkcije. Međutim, dok je razlika između "primarnog" i "rezervnog" kontrolera domene čisto nominalna, "primarni" kontroler domene ima brojne značajke (FSMO uloge) koje ne treba zaboraviti. Dakle, gore navedene operacije nisu dovoljne za normalno funkcioniranje imeničke usluge kada “primarni” kontroler domene zakaže, a radnje koje je potrebno izvršiti za kompetentan prijenos/preuzimanje uloge primarnog kontrolera domene bit će opisane u nastavku.

Malo teorije

Treba znati da kontrolori domena aktivna Imenici obavljaju nekoliko vrsta uloga. Ove se uloge nazivaju FSMO (Flexible single-master operations):
- Schema Master (Schema Master) - uloga je odgovorna za mogućnost promjene sheme - na primjer, proširenje Exchange poslužitelj ili ISA poslužitelj. Ako je vlasnik uloge nedostupan, nećete moći promijeniti shemu postojeće domene;
- Domain Naming Master (Domain naming operation master) - uloga je potrebna ako postoji nekoliko domena ili poddomena u vašoj šumi domena. Bez njega neće biti moguće stvarati i brisati domene u jednoj šumi domena;
- Relative ID Master (Relative ID Master) - odgovoran je za stvaranje jedinstvenog ID-a za svaki AD objekt;
- Primary Domain Controller Emulator - odgovoran je za rad s korisničkim računima i sigurnosnim politikama. Nedostatak komunikacije s njim omogućuje vam da se prijavite na radne stanice sa starom lozinkom, koja se ne može promijeniti ako kontroler domene "padne";
- Infrastructure Master (Infrastructure Master) - uloga je odgovorna za prijenos informacija o AD objektima drugim kontrolerima domene u šumi.
Ove su uloge dovoljno detaljno napisane u mnogim bazama znanja, ali se glavna uloga gotovo uvijek zaboravlja - to je uloga Globalnog kataloga. Zapravo, ovaj imenik jednostavno pokreće LDAP uslugu na portu 3268, ali upravo njegova nedostupnost neće dopustiti korisnici domene prijaviti se. Ono što je vrijedno pažnje je da svi kontroleri domene mogu imati ulogu globalnog kataloga u isto vrijeme.

Zapravo, možemo zaključiti da ako imate primitivnu domenu za 30-50 strojeva, bez proširene infrastrukture, koja ne uključuje poddomene, tada možda nećete primijetiti nedostatak pristupa vlasniku/vlasnicima prve dvije uloge. Osim toga, nekoliko sam puta naišao na organizacije koje rade više od godinu dana uopće bez kontrolera domene, ali u infrastrukturi domene. Odnosno, sva prava su davno raspodijeljena, s pokrenutim kontrolerom domene i nije ih trebalo mijenjati; korisnici nisu mijenjali svoje lozinke i radili su tiho.

Odredite trenutne vlasnike fsmo uloga.

Da pojasnim - mudro želimo zamijeniti kontroler domene bez gubitka njegovih mogućnosti. U slučaju da postoje dva ili više kontrolera u domeni, moramo saznati tko je vlasnik svake od fsmo uloga. To je prilično jednostavno učiniti pomoću sljedećih naredbi:

dsquery server -hasfsmo shema
dsquery poslužitelj - hasfsmo naziv
dsquery server - hasfsmo rid
dsquery poslužitelj - hasfsmo pdc
dsquery poslužitelj - hasfsmo infr
dsquery poslužitelj -šuma -isgc

Svaka od naredbi prikazuje podatke o tome tko je vlasnik tražene uloge (slika 1). U našem slučaju, vlasnik svih uloga je primarni kontroler domene dcserver.

Dobrovoljni prijenos fsmo uloga pomoću konzola Active Directory.

Imamo sve podatke potrebne za prijenos uloge PDC-a. Počnimo: prvo moramo biti sigurni da je naš račun uključen u grupe Administratori domene, Administratori sheme i Administratori poduzeća, a zatim prijeći na tradicionalnu fsmo metodu prijenosa uloga – upravljanje domenom putem konzole Active Directory.

Za prijenos uloge "majstora imenovanja domene" izvršite sljedeće korake:
- otvoriti “Active Directory Domains and Trusts” na kontroleru domene s kojeg želimo prenijeti ulogu. Ako radimo s AD-om na kontroleru domene na koji želimo prenijeti ulogu, tada preskačemo sljedeću točku;
- kliknite desnom tipkom miša na ikonu Active Directory - Domains and Trusts i odaberite naredbu Connect to domain controller. Odaberemo kontroler domene na koji želimo prenijeti ulogu;
- desnom tipkom miša kliknite komponentu Active Directory - Domains and Trusts i odaberite naredbu Operation Masters;
- u dijaloškom okviru Change Operations Owner kliknite gumb Change (Slika 2).
- nakon potvrdnog odgovora na pop-up zahtjev dobivamo uspješno prenesenu ulogu.

Slično, možete koristiti konzolu Active Directory Users and Computers za prijenos uloga RID Master, PDC i Infrastructure Master.

Da biste prenijeli ulogu "majstora sheme", prvo morate registrirati biblioteku upravljanja shemom Active Directory u sustavu:

Nakon što su sve uloge prenesene, preostaje se pozabaviti preostalom opcijom - čuvarom globalnog kataloga. Idemo u Active Directory: "Sites and Services", zadano mjesto, poslužitelji, pronađite kontroler domene koji je postao glavni, au njegovim svojstvima postavki NTDS označite okvir pored globalnog kataloga. (slika 3)

Rezultat je da smo promijenili vlasnike uloga za našu domenu. Za one koji se konačno trebaju riješiti starog kontrolera domene, vratit ćemo ga na članski poslužitelj. Međutim, jednostavnost poduzetih radnji se isplati činjenicom da je njihova provedba u nizu situacija nemoguća ili završava pogreškom. U tim slučajevima pomoći će nam ntdsutil.exe.

Dobrovoljni prijenos fsmo uloga pomoću ntdsutil.exe konzola.

U slučaju da prijenos fsmo uloga pomoću AD konzola ne uspije, Microsoft je stvorio vrlo zgodan uslužni program- ntdsutil.exe - program za održavanje Aktivni direktorij Imenik. Ovaj alat omogućuje vam iznimnu izvedbu korisne akcije- do vraćanja cijele AD baze podataka iz sigurnosne kopije koju je ovaj uslužni program sam stvorio tijekom Posljednja promjena u AD. Sve njegove mogućnosti mogu se pronaći u bazi podataka Microsoft znanje(Šifra artikla: 255504). U ovom slučaju govorimo o činjenici da vam uslužni program ntdsutil.exe omogućuje i prijenos uloga i njihov "odabir".
Ako želimo prenijeti ulogu s postojećeg “primarnog” kontrolera domene na “rezervni”, ulogiramo se na “primarni” kontroler i započnemo prijenos uloga (transfer command).
Ako iz nekog razloga nemamo primarni kontroler domene, ili se ne možemo prijaviti s administrativnim računom, prijavljujemo se na rezervni kontroler domene i počinjemo “odabirati” uloge (seize command).

Dakle, prvi slučaj je da primarni kontroler domene postoji i radi normalno. Zatim idemo na primarni kontroler domene i upisujemo sljedeće naredbe:

ntdsutil.exe
uloge
veze
spojiti se na poslužitelj server_name (onaj kome želimo dati ulogu)
q

Ako se pojave pogreške, moramo provjeriti vezu s kontrolerom domene na koji se pokušavamo spojiti. Ako nema grešaka, onda smo se uspješno spojili na navedeni kontroler domene s pravima korisnika u čije ime unosimo naredbe.
Potpuni popis naredbi dostupan je nakon zahtjeva za fsmo održavanje pomoću standardnog znaka? . Došlo je vrijeme za prijenos uloga. Odmah sam, bez razmišljanja, odlučio prenijeti uloge redoslijedom kako su navedene u uputama za ntdsutil i došao do zaključka da ne mogu prenijeti ulogu vlasnika infrastrukture. Kao odgovor na zahtjev za prijenos uloge, vraćena mi je pogreška: "trenutni vlasnik fsmo uloge nije moguće kontaktirati." Dugo sam tražio informacije na internetu i otkrio da se većina ljudi koji su došli do faze prijenosa uloga suočavaju s ovom pogreškom. Neki od njih pokušavaju silom oduzeti ovu ulogu (ne ide), neki ostavljaju sve kako jest - i žive sretno bez te uloge.
Metodom pokušaja i pogreške otkrio sam da prilikom prijenosa uloga na ovim redom Ispravno izvršavanje svih koraka je zajamčeno:
- vlasnik identifikatora;
- vlasnik sheme;
- majstor imenovanja;
- vlasnik infrastrukture;
- kontroler domene;

Nakon uspješnog spajanja na server dobivamo pozivnicu za upravljanje ulogama (fsmo održavanje), te možemo krenuti s prijenosom uloga:
- prijenos imena domene master
- gospodar prijenosne infrastrukture
- transfer rid master
- glavni prijenos sheme
- prijenos pdc mastera

Nakon izvršenja svake naredbe trebao bi se pojaviti zahtjev s pitanjem želimo li doista prenijeti navedenu ulogu na navedeni poslužitelj. Rezultat uspješnog izvršenja naredbe prikazan je na slici 4.

Uloga čuvara globalnog kataloga delegirana je na način opisan u prethodnom odjeljku.

Forsiranje fsmo uloga pomoću ntdsutil.exe.

Drugi slučaj je da želimo dodijeliti ulogu primarnog našem rezervnom kontroleru domene. U ovom slučaju ništa se ne mijenja - jedina razlika je u tome što sve radnje provodimo pomoću naredbe seize, ali na poslužitelju na koji želimo prenijeti uloge za dodjelu uloga.

zauzeti gospodar naziva domene
seize infrastruktura master
zgrabiti rid master
seize schema master
zaplijeniti pdc

Imajte na umu - ako oduzmete ulogu kontroleru domene koji nije u ovaj trenutak, tada kada se pojavi na mreži, kontroleri će se početi sukobljavati i ne možete izbjeći probleme u funkcioniranju domene.

Radite na greškama.

Najvažnija stvar koju ne treba zaboraviti je da novi primarni kontroler domene neće sam ispravljati TCP/IP postavke: sada je preporučljivo da navede 127.0.0.1 kao adresu primarnog DNS poslužitelja (i ako nedostaju stari kontroler domene + DNS poslužitelj, onda je to obavezno).
Štoviše, ako imate DHCP poslužitelj na svojoj mreži, tada ga trebate prisiliti da da adresu primarnog DNS poslužitelja kao ip vašeg novog poslužitelja; ako nema DHCP-a, prođite kroz sve strojeve i dodijelite ovaj primarni DNS im ručno. Alternativno, novom kontroleru domene možete dodijeliti isti ip kao i starom.

Sada morate provjeriti kako sve radi i riješiti se glavnih grešaka. Da biste to učinili, predlažem brisanje svih događaja na oba kontrolera i spremanje zapisa u mapu s drugim sigurnosne kopije i ponovno pokrenite sve poslužitelje.
Nakon što ih uključimo, pažljivo analiziramo sve zapisnike događaja radi upozorenja i pogrešaka.

Najčešće upozorenje nakon prijenosa uloga na fsmo je poruka da "msdtc ne može ispravno obraditi unapređenje/degradiranje kontrolera domene do kojeg je došlo."
Popravak je jednostavan: u izborniku "Administracija" nalazimo "Usluge"
komponente". Tamo otvaramo "Usluge komponenti", "Računala", otvaramo svojstva odjeljka "Moje računalo", tamo tražimo "MS DTC" i tamo kliknemo "Sigurnosne postavke". Tamo dopuštamo “Pristup DTC mreži” i kliknemo OK. Usluga će se ponovno pokrenuti i upozorenje će nestati.

Primjer pogreške bila bi poruka da se glavna DNS zona ne može učitati ili DNS poslužitelj ne vidi kontroler domene.
Pomoću uslužnog programa možete razumjeti probleme s funkcioniranjem domene (slika 5):

Ovaj uslužni program možete instalirati iz originalni disk Windows 2003 iz mape /support/tools. Uslužni program omogućuje provjeru funkcionalnosti svih usluga kontrolera domene; svaka faza mora završiti riječima uspješno položeno. Ako ne uspijete (najčešće su to testovi veze ili sistemskog dnevnika), možete pokušati automatski ispraviti grešku:

dcdiag /v /fix

U pravilu bi sve pogreške povezane s DNS-om trebale nestati. Ako nije, pomoću uslužnog programa provjerite status svih mrežnih usluga:

I njoj koristan alat rješavanje problema:

netdiag /v /fix

Ako i nakon toga postoje pogreške vezane uz DNS, najlakši način je ukloniti sve zone iz njega i kreirati ih ručno. Vrlo je jednostavno - glavna stvar je stvoriti glavnu zonu prema nazivu domene, pohranjenu u Active Directory i repliciranu na sve kontrolere domene na mreži.
Više detaljne informacije Druga naredba će dati o DNS pogreškama:

dcdiag /test:dns

Na kraju obavljenog posla, trebalo mi je još 30-ak minuta da otkrijem razlog pojavljivanja brojnih upozorenja - skužio sam sinkronizaciju vremena, arhiviranje globalnog kataloga i ostale stvari koje nikad nisam stigao shvatiti prije. Sada sve radi kao sat - najvažnije je ne zaboraviti stvoriti rezervni kontroler domene ako želite ukloniti stari kontroler domene s mreže.

Zadatak je prenijeti uloge s primarnog kontrolera domene Windows Server 2008 s Active Directory (AD) na rezervni kontroler domene Windows Servera 2012. Rezervni kontroler domene (DCSERVER) trebao bi postati primarni, a onaj koji je trenutno primarni (WIN-SRV-ST) bi trebao postati rezervni i biti rastavljen u budućnosti. Sve radnje se izvode na rezervnom poslužitelju DCSERVER. Oba poslužitelja rade i "vide" jedan drugog.

Prije nego počnete prenositi uloge, morate provjeriti koji je poslužitelj glavni. Da biste to učinili, pozovite naredbeni redak Win + R >> cmd i unesite naredbu:

netdom query fsmo – zahtjev za određivanje glavnog FSMO uloga

Na temelju rezultata izvršenja naredbe vidi se da je vlasnik svih uloga kontroler domene kojeg nazivamo Win-srv-st i on je sada glavni.

Kratke informacije:

FSMO (Flexible single-master operations) su vrste operacija koje izvode AD domenski kontroleri koji zahtijevaju obveznu jedinstvenost poslužitelja koji izvodi te operacije (wiki). To znači da ove uloge mogu biti samo na jednom kontroleru domene.

Schema Master – odgovoran je za mogućnost promjene postojeće AD sheme (na primjer, dodavanje Exchangea itd.)

Domain Naming Master – dodaje/oduzima domene (ako ih ima više u istoj šumi).

PDC (Primary Domain Controller Emulator) je primarni emulator kontrolera domene. Odgovoran za mijenjanje lozinki, njihovo repliciranje, mijenjanje pravila grupe, vremenska sinkronizacija i kompatibilnost sa ranije verzije Windows.

Pool manager RID (Relative ID Master) – stvara ID za svaki AD objekt.

Infrastructure Master – prenosi informacije o AD objektima između drugih kontrolera domene (na primjer, kada korisnici s jedne domene odu na susjednu).

Postoji još jedna vrlo važna uloga - Globalni katalog (GC) - iako to nije FSMO jer njen nositelj može biti više DC-ova istovremeno, bez nje je nemoguće normalno funkcioniranje domene i njenih usluga. GC održava kopije svih AD objekata i djelomične replike drugih domena u šumi. Korisnicima i aplikacijama omogućuje pronalaženje objekata u bilo kojoj domeni u postojećoj šumi, odgovoran je za provjeru autentičnosti korisničkog imena, pruža informacije o članstvu korisnika u univerzalnim grupama i može komunicirati s drugom šumom domene.

U najmanju ruku, račun mora biti član sljedećih grupa:

— administratori domena;

— administratori poduzeća;

- administratori shema.

Prijenos glavnih uloga operacijaOSLOBODITI, PDCi Infrastruktura.

Kliknite desnom tipkom miša na naziv domene u imeniku i odaberite stavku - Operations Masters...

U prozoru koji se otvori vidimo da je vlasnik u sve tri kartice RID, PDC i Infrastructure Win-Srv-St.SCRB.local. Ispod je napisano: Prenijeti ulogu nositelja poslova sljedeće računalo, kliknite gumb "Promijeni". Provjeravamo da je u samom donjem retku naziv poslužitelja na koji želimo prenijeti ulogu hosta i kliknemo na promjenu. Isto radimo na sve tri kartice.

U potvrdnom pitanju koje se pojavi kliknite Da.

Uloga domaćina uspješno je prenesena. U REDU. Vlasnik operacija postao je DCSERVER.SCRB.local.

Isto radimo na preostale dvije kartice PDC i Infrastruktura.

Prijenos uloge "Domain Naming Master".

U AD DS-u našeg poslužitelja odaberite Active Directory – Domene i povjerenje.

Kliknite desnom tipkom miša na ime i odaberite, kao i prije, liniju Operations Master...

Provjeravamo nazive poslužitelja i kliknemo Change.

DCSERVER je postao vlasnik poslovanja.

Prijenos uloge "Majstora sheme".

Najprije registrirajte biblioteku upravljanja AD shemom u sustavu pomoću naredbe regsvr32 schmmgmt.dll

Pritisnite WIN+R >> cmd

Upisujemo naredbu i dobivamo pogrešku: Modul “schmmgmt.dll je učitan, ali poziv DLLRegisterServeru nije uspio, šifra pogreške: 0x80040201.

Pogreška jer se naredbeni redak mora pokrenuti kao administrator. To se može učiniti, na primjer, iz izbornika Start. Odaberite naredbeni redak i kliknite Pokreni kao administrator.

Ponovno unesite naredbu regsvr32 schmmgmt.dll. Sada je sve išlo kako treba.

Pritisnite WIN+R, napišite mmc

U konzoli koja se otvori odaberite File >> Add or remove snap-in... (ili pritisnite CTRL+M)

Među dostupnim dodacima odaberite Shema aktivnog imenika i kliknite Dodaj. U REDU.

U korijenu konzole odaberite dodani snap-in, desnom tipkom miša kliknite na njega i odaberite redak "Operations Master..."

Trenutačni vlasnik sheme je Win-Srv-St.SCRB.local. Njegovo je ime također na dnu.

Kada kliknete gumb Promijeni, pojavljuje se poruka: Trenutačni kontroler domene Active Directory je glavni za operacije. Da biste prenijeli glavnu ulogu na drugi DC, trebate ciljati shemu Active Directory na taj DC.

Vraćamo se na snap-in i odabiremo RMB Change Active Directory Domain Controller.

U prozoru koji se otvori odaberite potreban poslužitelj. U našem slučaju, DCSERVER.SCRB.local. U REDU.

Konzola će prikazati poruku: Oprema Aktivne sheme Imenik nije povezan s masterom operacija sheme. Promjene se ne mogu napraviti. Promjene sheme mogu se izvršiti samo na shemi vlasnika FSMO-a.

U isto vrijeme, poslužitelj koji nam je potreban pojavio se u nazivu opreme.

Ponovno ga kliknite desnom tipkom miša i idite na master operacija. Provjerite nazive poslužitelja i kliknite gumb "Promijeni".

Uloga voditelja operacija uspješno je prenesena. U REDU.

Kako bismo bili sigurni da su uloge prenesene, ponovno unesite netdom query fsmo u naredbeni redak

Vlasnik uloge je sada DCSERVER.SCRB.local.

Globalni katalog.

Da biste razjasnili gdje se GC nalazi, trebate slijediti put: AD – Sites and Services >> Sites >> Default-First-Site-Name >> Servers >> DCSERVER

U usluzi NTDS Settings koja se pojavi kliknite desnom tipkom miša i odaberite Svojstva.

Ako postoji kvačica pored Globalnog kataloga, to znači da je na ovom poslužitelju. Općenito, u našem slučaju GC se nalazi na oba DC-a.

postavkeDNS.

U DNS postavke novog glavnog DC-a pišemo ovo:

U prvom redu je IP adresa bivšeg primarnog DC-a (Win-Srv-St), koji je sada postao rezervni DC 192.168.1.130.

U drugom redu 127.0.0.1 tj. sebe (također možete napisati svoj IP da budete precizniji).

U kontroleru domene koji je postao naša rezervna kopija piše ovako:

U prvom redu je IP glavnog DC-a.

U drugom redu je vaš IP. Sve radi.

DHCP ne radi na našoj mreži zbog lokalnih okolnosti, tako da nema potrebe ponovno ga konfigurirati. Ali morate proći kroz 200 računala i ručno se registrirati novi DNS. Iz tog razloga odlučeno je da se za sada ne rastavlja stari kontroler domene. U šest mjeseci sustavnog pretraživanja DNS-a, korisnici će se promijeniti.

PDC je najvažnije računalo u domeni. Implementira sigurnosnu politiku domene i primarno je mjesto za pohranu baze podataka računa. Također može biti primarni nositelj zajedničkih resursa domene. Međutim, nije nužno, a ponekad čak i nepoželjno, da PDC obavlja ovu funkciju.

Promjene u bazi podataka korisničkih računa vrše se samo na primarnom kontroleru domene, a zatim se prenose na rezervne kontrolere domene, gdje se pohranjuju kopije baze podataka samo za čitanje. Kada se prijavite kao administrator, sve promjene koje napravite unose se u bazu podataka na primarnom kontroleru domene, čak i ako zapravo radite na drugom računalu. Alat koji se koristi za rad s korisničkim računima zove se Korisnik Upravitelj za Domene (Domain User Manager). Kada pokrenete ovaj program, ne birate poslužitelj na kojem se trebate registrirati, već domenu koju želite administrirati,

Ako na mreži nema primarnog kontrolera domene, korisnici će se i dalje moći prijaviti i raditi ako ste stvorili jedan ili više rezervnih kontrolera domene i barem jedan od njih je dostupan. Međutim, nećete moći napraviti nikakve promjene u Računi korisnike ili grupe domene, dodajte nove korisnike ili nove grupe u domenu i uklonite ih dok se primarni kontroler domene ponovno ne pojavi ili dok jedan od rezervnih kontrolera ne postavite kao primarni kontroler domene.

Sigurnosni kontroler domene

Domena Windows NT poslužitelja može, iu većini slučajeva treba, uključivati ​​barem jedan rezervni kontroler domene. Svaki rezervni kontroler domene sadrži kopiju baze podataka računa i može upravljati prijavom (registracijom) korisnika i potvrditi njihova prava pristupa resursima. Ovo olakšava sigurnosno kopiranje kritičnih zajedničkih resursa sustava u slučaju katastrofalnog kvara na primarnom kontroleru domene. Jedan od rezervnih kontrolera domene može se prebaciti u način rada primarnog kontrolera domene, a mreža će nastaviti normalno funkcionirati (jedino neće biti pristupa resursima koji su bili fizički smješteni na primarnom kontroleru domene). U mala domena S ograničen broj Za korisnike, posjedovanje rezervnog kontrolera domene nije toliko potrebno, ali ipak neće biti suvišno. Ako na mreži postoji samo primarni kontroler domene, tada će cijela mreža postati neupotrebljiva kada (ovo će se definitivno dogoditi, tako da ovdje ne koristimo riječ "ako") taj poslužitelj postane nedostupan.

Računalo pod Windows kontrola NT Server može djelovati kao primarni kontroler domene, rezervni kontroler domene ili uopće ne može djelovati kao kontroler domene. Međutim, na računalu koje će se koristiti kao radna stanica, bolje je instalirati drugi operativni sustav. Radna stanica će raditi brže i njome će se lakše rukovati.

Radna stanica

Radne stanice mogu pokretati MS-DOS, OS/2, Microsoft Windows 3.x, Windows za radne grupe, Microsoft Windows 95, Microsoft Windows NT Workstation ili Macintosh OS. Za MS-DOS, OS/2, Macintosh OS i Windows 3.x trebat će vam klijentske licence(i mrežni softver). U ostalom operativni sustavi Mrežni softver uključen je u osnovni paket. Nadalje ćemo pretpostaviti da većina radnih stanica ima instaliran Windows 95. Režijski troškovi i hardverski zahtjevi za Windows 95 znatno su niži nego za Windows NT Workstation.

Jedina iznimka od korištenja Windowsa 95 na radnoj stanici bila bi ako stanicu koristite za razvoj. softver. Na tim je radnim stanicama isplativije koristiti Windows NT Workstation zbog veće stabilnosti i izolacije procesa. Windows NT Workstation obično zahtijeva znatno više memorije i računalna snaga od minimuma potrebnog za Windows 95. I premda je Windows 95 bolji od svojih prethodnika Windows verzije zaštićeni od procesa koji se nepravilno ponašaju, program izvan kontrole ipak može dovesti do gašenja samog sustava. Za Windows NT Workstation, vjerojatnost da se to dogodi je mnogo manja.

Neke radne stanice mogu biti dio radne grupe bez pripadnosti domeni. Windows 95, Windows NT Workstation i Windows for Workgroups daju korisniku mogućnost rada kao dio radne grupe ili domene. Ali da biste iskoristili prednosti strukture domene, računala moraju biti konfigurirana za prijavu na domenu. Ako su dio radne grupe, neće moći koristiti bazu podataka računa Windows korisnici NT poslužitelj i koristiti resurse kojima se pristup kontrolira pomoću ove baze podataka.

Odnos pun povjerenja

U mreži koja se sastoji od dvije ili više domena, svaka domena djeluje kao odvojena mreža s bazom podataka vašeg računa. Međutim, čak i u najstrože strukturiranoj organizaciji, neki korisnici u jednoj domeni mogu trebati neke resurse iz druge domene.

Kako ne biste kreirali podatke o računu za istog korisnika u različite domene, može se uspostaviti odnos povjerenja između domena.

Vjeruje svojim resursima. Ima domenu korisničke baze podataka
i informacije o resursima druge domene i

prava pristupa svojih korisnika

Domena od povjerenja omogućuje pristup svojim resursima korisnicima s druge domene (od povjerenja). Ponekad se pouzdana domena naziva domenom resursa, budući da sadrži poslužitelje čijim resursima korisnici pristupaju, računovodstvene informacije koji se nalazi u pouzdanim kontrolerima domene, koji se stoga naziva račun

Windows NT Server ima sve alate za konfiguriranje mreže s više domena između kontrolera domene odnosi povjerenja, koji vam omogućuje zaštitu osjetljivih područja resursa, a istovremeno spašava korisnike od nepotrebnih detalja i višestrukih lozinki.

Drugi bi trebao biti instaliran i konfiguriran, dodatni kontroler domena. Ovo je neophodno kako bi u slučaju gubitka komunikacije ili kvara prvog kontrolera domene dodatni kontroler domene mogao obraditi korisničke zahtjeve. Tada će rad na mreži biti non-stop; u slučaju problema s jednim od kontrolera, drugi će obavljati sve iste funkcije.

Instaliranje i konfiguriranje drugog kontrolera domene.

1. Na prvom kontroleru domene otvorite mrežne postavke prvi poslužitelj. Da biste to učinili, upišite ncpa.cpl u polje za pretraživanje. Zatim odaberite željeno mrežno sučelje, desnom tipkom miša kliknite - "Svojstva - IP verzija 4 (TCP/IPv4). - Svojstva". U polju alternativno sučelje, unesite IP adresu dodatnog kontrolera domene (u ovom slučaju 192.168.100.6).

2. Zatim idemo na drugi poslužitelj i postavljamo naziv budućeg poslužitelja: "Ovo računalo - Svojstva - Promjena postavki - Promjena." U polje "Naziv računala" unesite naziv poslužitelja, zatim "U redu". Morat ćete ponovno pokrenuti računalo, slažemo se.


3. Nakon ponovnog pokretanja, prijeđite na postavljanje mrežno sučelje. Da biste to učinili, upišite ncpa.cpl u polje za pretraživanje. Odaberite potrebno sučelje, desni klik - "Svojstva - IP verzija 4 (TCP/IPv4). - Svojstva". U prozoru koji se otvori ispunite polja:

  • IP adresa: IP adresa poslužitelja (na primjer 192.168.100.6)
  • Maska podmreže: npr. 255.255.255.0 (24-bitna maska)
  • Glavna vrata: na primjer 192.168.100.1
  • Preferirani DNS poslužitelj: IP adresa prvog poslužitelja (na primjer, 192.168.100.5)
  • Alternativni DNS poslužitelj: IP adresa drugog poslužitelja (na primjer, 192.168.100.6)

Zatim kliknite "OK".

4. Dodajte u domenu novi poslužitelj. Da biste to učinili, odaberite "Ovo računalo - Svojstva - Promjena postavki - Promjena." Označite potvrdni okvir "Je li član domene" i unesite naziv domene. Onda ok".

5. U dijaloškom okviru “Promjena naziva računala ili domene” unesite korisničko ime domene s administrativna prava(korisnik bi trebao moći dodavati računala u domenu), zatim "OK".


6. Ako je operacija uspješna, pojavit će se poruka “Dobrodošli u domenu...”. Pritisnite "OK".


7. Nakon ponovnog pokretanja računala, u prozoru "Prikaz osnovnih podataka o vašem računalu" možete označiti suprotno " Puno ime"da se računalo pridružilo domeni.


8. Na ovome pripremna faza završeno, vrijeme je za instaliranje potrebnih uloga na poslužitelj. Da biste to učinili, otvorite "Upravitelj poslužitelja" - "Dodaj uloge i komponente". Potrebno je instalirati DNS poslužitelj, Active Directory Domain Services i DHCP poslužitelj.


9. Pročitajte informacije u prozoru "Prije nego počnete", kliknite "Dalje". U sljedećem prozoru "Odabir vrste instalacije" ostavite potvrdni okvir "Instaliranje uloga ili komponenti" kao zadani i ponovno "Dalje". Odaberite naš poslužitelj iz skupa poslužitelja, zatim “Dalje”.


10. U prozoru "Odabir uloga poslužitelja" odaberite DNS poslužitelj, Active Directory Domain Services, DHCP poslužitelj. Kada dodate ulogu, pojavit će se poruka upozorenja, poput "Dodajte komponente potrebne za DHCP poslužitelj." Kliknite "Dodaj komponente". Nakon odabira potrebnih uloga, kliknite "Dalje".


11. U novom prozoru “Odaberite komponente” zanemarite “Odaberite jednu ili više komponenti za instalaciju na ovom poslužitelju,” kliknite Dalje. U sljedećem prozoru “DHCP server” čitamo na što treba obratiti pozornost prilikom instaliranja DHCP servera, zatim “Dalje”. U novom prozoru "Potvrda instalacije" provjerite odabrane uloge i kliknite "Instaliraj".


12. Pojavit će se prozor koji prikazuje napredak instalacije odabranih komponenti. Ovaj se prozor može zatvoriti; više ne utječe na proces instalacije.


13. Nakon što su odabrane komponente instalirane, u “Upravitelju poslužitelja” kliknite ikonu upozorenja u obrascu uskličnik, odaberite "Promakni ulogu ovog poslužitelja na razinu kontrolera domene."


14. Pojavljuje se "Čarobnjak za konfiguraciju usluga domene Active Directory". U prozoru "Konfiguracija implementacije" ostavite zadani potvrdni okvir "Dodaj kontroler domene u postojeću domenu", provjerite naziv domene u polju "Domena". Nasuprot polja (trenutni korisnik) kliknite gumb "Promijeni".


15. Unesite korisničko ime i lozinku korisnika u domeni s administratorskim pravima. Pritisnite "OK". Zatim "Dalje".


16. U prozoru "Postavke kontrolera domene" unesite lozinku za način vraćanja direktorijskih usluga (DSRM), ponovno "Dalje".


17. U prozoru " DNS postavke"ignorirajte upozorenje da se delegiranje za ovaj DNS poslužitelj ne može stvoriti jer autoritativna nadređena zona nije pronađena", jednostavno kliknite "Dalje".


18. U prozoru " Dodatne mogućnosti" ostavite izvor replikacije kao "Bilo koji kontroler domene", opet "Dalje".


19. Ostavite lokaciju AD DS baze podataka, log datoteka i mape SYSVOL kao zadanu, kliknite “Dalje”.


20. Pregledajte postavke konfigurirane u "Čarobnjaku za konfiguraciju usluga domene Active Directory", a zatim "Dalje".


21. U prozoru "Provjeri". preduvjeti"provjerite da se pojavljuje zeleni potvrdni okvir. Dakle, sve provjere spremnosti za instalaciju su uspješno dovršene. Kliknite "Instaliraj".


22. U sljedećem prozoru čitamo da je "Ovaj poslužitelj uspješno konfiguriran kao kontroler domene." Čitamo upozorenja i kliknemo “Zatvori”.


23. Vrijeme je za testiranje funkcionalnosti Usluge domene Active Directory i DNS poslužitelji. Da biste to učinili, otvorite "Upravitelj poslužitelja".


24. Odaberite “Alati” - “Korisnici i Aktivna računala Imenik".


25. Otvorite našu domenu i proširite odjeljak “Kontrolori domene”. U suprotnom prozoru provjeravamo prisutnost drugog poslužitelja kao kontrolera domene.



27. Provjeravamo prisutnost IP adrese drugog poslužitelja u zoni pretraživanja unaprijed iu zoni obrnutog pretraživanja.


28. Zatim odaberite "Active Directory - stranice i usluge".


29. Proširite stablo “Active Directory - Sites”. Provjeravamo prisutnost drugog kontrolera domene nasuprot "Poslužitelja".


30. Vrijeme je za konfiguriranje DHCP poslužitelja. Da biste to učinili, na drugom poslužitelju odaberite "Upravitelj poslužitelja" - "Alati" - "DHCP".


31. Odaberite dodatni poslužitelj, desnom tipkom miša kliknite - “Dodaj ili ukloni povezivanja”.


32. Provjerite konfiguraciju mrežnog sučelja preko kojeg će se DHCP klijenti posluživati ​​na drugom poslužitelju.


33. Kombiniramo dva DHCP poslužitelja. Konfiguracija visoka dostupnost, način balansiranja veliko opterećenje. Distribuiramo opterećenje na poslužiteljima 50x50. Za konfiguraciju na prvom poslužitelju na kojem je instaliran i konfiguriran DHCP poslužitelj odaberite “Upravitelj poslužitelja” - “Alati” - “DHCP”.


34. Desnom tipkom miša kliknite na opseg kreiran na DHCP poslužitelju, a zatim “Konfiguriraj prelazak u grešku...”.


35. Pojavljuje se čarobnjak Configure Failover, zatim Next.


36. Specificirajte partnerski poslužitelj za nadilaženje greške. Da biste to učinili, u polju "Partnerski poslužitelj" pomoću gumba "Dodaj poslužitelj" dodajte drugi (dodatni) poslužitelj na kojem je postavljena uloga DHCP poslužitelja. Zatim kliknite "Dalje".


37. Unesite lozinku u polje “Shared Secret”. Ostale postavke mogu se ostaviti kao zadane, uključujući postotak raspodjele opterećenja Lokalni poslužitelj- Server partner - 50% na 50%. Opet "Sljedeći".


38. Provjerite failover postavke između prvog poslužitelja i dodatni poslužitelj. Pritisnite "Završi".


39. Tijekom postavljanja failovera provjerite je li sve "Uspješno" i zatvorite čarobnjaka.


40. Otvorite drugi poslužitelj. "Upravitelj poslužitelja" - "Alati" - "Autoriziraj".


41. Provjerite "Address Pool". DHCP poslužitelji će se sinkronizirati.


Ovo dovršava proces instaliranja i konfiguriranja Active Directory, DHCP, DNS. Ovdje možete pogledati što i kako napraviti:



POVEZANI ČLANCI