Как говориться "вдруг откуда ни возьмись появился.... ....", ни чего ни предвещало беды, но тут начал глючить основной контроллер домена, и пока он еще дышал решил делегировать права основного домена на другой.

Для передачи роли “хозяина именования домена” выполняем следующие шаги:

После того как все роли переданы остаётся разобраться с оставшейся опцией – хранителем глобального каталога. Заходим в Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)

итог – мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена – понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.

Добровольная передача ролей fsmo при консолей ntdsutil.exe.

На случай, если передача ролей fsmo при консолей AD не удалась, создал очень удобную утилиту – ntdsutil.exe – обслуживания каталога Directory. Этот инструмент позволяет выполнять чрезвычайно действия – вплоть до всей базы данных AD из резервной копии, которую эта сама создала во время последнего изменения в AD. Со всеми её возможностями ознакомиться в знаний (Код статьи: 255504). В данном случае мы говорим о том, что ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.

Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» – мы заходим в на «основной» контроллер и начинаем передавать роли (команда transfer ).

Если у нас по каким-то причинам отсутствует основной контролер домена, или мы не можем войти под административной учетной – мы входим в на резервный контроллер домена и начинаем «отбирать» роли (команда seize ).

Итак случай – основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:

ntdsutil.exe

connect to имя_сервера (того кому хотим отдать роль)

Если выскакивают ошибки – нужно связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет – значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.

Полный список доступен запроса fsmo maintenance стандартным знаком? . Пришла пора передавать роли. Я сходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне, в ответ на запрос о передаче роли, возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в и обнаружил, что большинство людей дошедших до этапа передачи ролей сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть – и благополучно живёт без этой роли.

Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:

Хозяин идентификаторов;

Хозяин схемы;

Хозяин именования;

Хозяин инфраструктуры;

Контроллер домена;

После успешного к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли:

- transfer domain naming master

Transfer infrastructure master

Transfer rid master

Transfer schema master

Transfer pdc master

После выполнения каждой должен выходить запрос о том – действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения показан на (рис.4).

Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.

Принудительное присваивание ролей fsmo при ntdsutil.exe.

Второй случай – мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется – единственная разница в том, что мы проводим все операции, с использованием seize, но уже на том сервере, которому хотим передать роли для присвоения роли.

seize naming master

seize infrastructure master

seize rid master

seize schema master

Обратите внимание – если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.

Работа над ошибками.

Самое главное, о чём не следует забывать – новый основной контроллер домена сам себе TCP/IP не исправит: ему адресом первичного DNS теперь желательно (а если старый контроллер домена + DNS будут отсутствовать, то обязательно) указать 127.0.0.1 .При этом если у вас в есть DHCP сервер, то нужно заставить его выдавать адресом первичного DNS ip вашего нового сервера, если DHCP нет – пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, назначить новому контроллеру домена тот же ip что был у старого.Теперь необходимо как всё работает и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все сервера.После их включения внимательно все журналы событий на факт появления предупреждений и ошибок.Самым распространённым предупреждением, передачи ролей fsmo, является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».Исправляется просто: в с оригинального

Если и этого остаются ошибки связанные с DNS – всего удалить из него все зоны и создать вручную. Это довольно просто – главное создать основную зону по имени домена, хранящуюся в и реплицируемую на все контроллеры домена в сети.

Более подробную информацию об ошибках DNS даст ещё одна команда:

dcdiag /test:dns

По окончанию проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений – я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы – самое главное не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.

Один из вариантов построения локальной сети – это сеть на основе сервера . Подобного рода сети используются в том случае, когда количество компьютеров превышает 15-20 штук. В такой ситуации уже неуместно использовать так называемые рабочие группы , поскольку одноранговая сеть с таким количеством узлов не может обеспечить необходимый уровень управляемости и контроля. В этом случае функции контроля лучше возложить на управляющий сервер – .

Для управления работой сервера используются специальные версии операционной системы с расширенными функциями администрирования. Примерами таких операционных систем являются Windows Server 2008 или Windows Server 2012 .

После установки на отдельный компьютер серверной операционной системы, прежде чем она сможет организовать работу локальной сети, требуется произвести определенные настройки. Серверная операционная система представляет собой универсальный механизм с очень широкими возможностями, или, как их часто называют, ролями. Одной из таковых ролей, причем, наверное, самой сложной и ответственной, является . Если вы планируете получить эффективный механизм управления пользователями сети, его придется в любом случае настроить.

Создание контроллера домена влечет за собой установку такого системного механизма, как Active Directory – основного средства создания, настройки и управления учетными записями пользователей и компьютеров локальной сети. Кроме того, как правило, на контроллер домена сразу же добавляются роли и , что делает сервер законченным и готовым к использованию продуктом.

Одним из безусловных плюсов доменной системы является возможность гибкой настройки групповых политик, с помощью которых можно ограничивать доступ не только к программной, но и к аппаратной части компьютера. Например, легко можно запретить использование DVD-привода, флеш-накопителей и т.д. Групповая политика начинается в момент входа пользователя в сеть, поэтому ему никак не удастся обойти эти ограничения.

Контроллер домена – наиболее важное и уязвимое место локальной сети, поэтому рекомендуется создавать резервный контроллер. В этом случае дополнительный контроллер домена получает название вторичного, а главный домен становится первичным контроллером домена. Периодически происходит синхронизация данных учетных записей и прав доступа, поэтому в случае выхода из строя первичного контроллера – сразу же подключается вторичный, и работа в сети не прерывается ни на секунду. Кроме того, необходимо обеспечивать пассивную защиту домена путем установки на сервер источника бесперебойного питания.

Контроллер домена — сервер, который работает под управлением операционной системы Windows Server, с установленной доменной службой Active Directory. В данной статье кратко рассмотрим назначение контроллера домена, его функции и важность правильной настройки.

Назначение

Чтобы не вдаваться в большое число специальных терминов, контроллеры доменов являются серверами, поддерживающими работу Active Directory. Они хранят информацию об учетных записях пользователей и компьютеров, входящих в домен, схему, а также собственную копию базы данных Active Directory, поддерживающую запись. Помимо этого, контроллеры домена выступают в роли центрального компонента безопасности в домене. Подобная организация позволяет гибко настраивать политики безопасности в рамках корпоративной сети, а также разрешать, или наоборот, запрещать определенным группам пользователей доступ к тем или иным ресурсам.

Основные функции контроллера домена:

• Хранение полной копии информации Active Directory, которая относится к конкретному домену, управление и репликация данной информации на другие контроллеры входящие в данный домен;
• Репликация информации каталога, относящейся ко всем объектам домена Active Directory;
• Разрешение конфликтов репликации, когда один и тот же атрибут был изменен на разных контроллерах до момента инициализации репликации.

Преимущества для бизнеса

Преимущества централизованной системы на базе контроллеров домена:

1. Единая база данных для аутентификации. Контроллер домена хранит все учетные записи в одной базе данных и каждый пользователь, входящего в домен компьютера, обращается к контроллеру домена для входа в систему. Разделение пользователей по соответствующим группам позволяет упростить организацию распределенного доступа к документам и приложениям. Таким образом, при появлении нового сотрудника, достаточно создать для него учетную запись в соответствующей группе и сотрудник автоматически получит доступ ко всех необходимым сетевым ресурсам и устройствам. При уходе сотрудника достаточно заблокировать его учетную запись для отзыва всех доступов.
2. Единая точка управления политиками. Контроллер домена позволяет распределять учетные записи компьютеров и пользователей по организационным подразделениям и применять к ним различные групповые политики, определяя настройки и параметры безопасности для группы компьютеров и пользователей (напр. доступ к сетевым принтерам, набор необходимых приложений, настройки браузера и т.д). Таким образом, при добавлении в домен нового компьютера или пользователя, он автоматически получит все настройки и доступы, определенные для того или иного подразделения.
3. Безопасность. Гибкая настройка процедур аутентификации и авторизации, в совокупности с централизованным управлением позволяют значительно повысить безопасность IT-инфраструктуры в рамках организации. Помимо этого, физически контроллер домена устанавливается в специальном месте, защищенном от внешнего доступа.
4. Упрощенная интеграция с другими сервисами. Использование контроллера домена в качестве единой точки аутентификации позволяет пользователям использовать одну и ту же учетную запись при работе с дополнительными инструментами и службами (напр. почтовые службы, офисные программы, прокси-серверы, мессенджеры, и т.д).

Настройка

Контроллер домена на базе доменной службы Active Directory является ключевым элементом IT-инфраструктуры, обеспечивающий контроль доступа, а также защиту данных в рамках организации. От корректной настройки контроллера домена зависит функционирование не только самого контроллера домена, но также и Active Directory в целом (например, распространение политик безопасности и правил доступа), что в свою очередь влияет на работу всех сопутствующих служб и сервисов, а также определяет уровень безопасности.

Именно поэтому, если ваша компания планирует оптимизировать процедуры доступа к корпоративным ресурсам, повысить безопасность и упростить рутинные административные задачи путем перехода на централизованное управление, специалисты IT Svit помогут в решении вопросов правильного планирования структуры масштабируемой корпоративной сети и ее компонентов, а также настройки и дальнейшего развертывания контроллера домена в данной сети.

Контроллеры доменов являются серверами, поддерживающими работу Active Directory. Каждый контроллер домена имеет собственную копию базы данных Active Directory, поддерживающую запись. Контроллеры домена выступают в роли центрального компонента безопасности в домене.

Все операции безопасности и проверки учетных записей выполняются на контроллере домена. Каждый домен должен иметь как минимум один контроллер домена. Для обеспечения устойчивости к ошибкам рекомендуется для каждого домена устанавливать как минимум два контроллера домена.

В операционной системе Windows NT запись в базу данных поддерживал только один контроллер домена, то есть для создания и изменения параметров учетных записей пользователей необходимо было подключение к контроллеру домена.

Такой контроллер назывался первичным контроллером домена (Primary Domain Controller - PDC) . Начиная с операционной системы Windows 2000 архитектура контроллеров доменов была изменена таким образом, чтобы обеспечить возможность обновления базы данных Active Directory на любом контроллере домена. После обновления базы данных на одном контроллере домена, изменения реплицировались на все остальные контроллеры.

Хотя все контроллеры домена поддерживают запись в базу данных, они не идентичны. В доменах и лесах Active Directory существуют задачи, которые выполняются определенными контроллерами домена. Контроллеры домена с дополнительными обязанностями известны как хозяева операций (operation masters) . В некоторых материалах компании Microsoft такие системы называются Flexible Single-Master Operations (FSMO) . Многие верят, что термин FSMO использовался так долго только из-за того, что произнесенная аббревиатура звучит очень смешно.

Существует пять ролей хозяев операций. По умолчанию все пять ролей выдаются первому контроллеру домена в лесу Active Directory. Три роли хозяев операций используются на уровне доменов и назначаются первому контроллеру домена в созданном домене. Утилиты Active Directory, которые рассматриваются далее, позволяют передавать роли хозяев операций от одного контроллера другому контроллеру домена. Кроме этого, можно заставить контроллер домена принять на себя определенную роль хозяина операции.

Существует две роли хозяев операций, которые работают на уровне леса.

• Хозяин именования домена (Domain naming master) - к этим хозяевам операций необходимо обращаться каждый раз, когда в пределах иерархии доменов леса вносятся изменения в именование. Задачей хозяина именования домена заключается в обеспечении уникальности имен доменов в пределах леса. Эта роль хозяина операций должна быть доступна при создании новых доменов, удалении доменов или переименовании доменов
• Хозяин схемы (Schema master) - роль хозяина схемы принадлежит единственному контроллеру домена в пределах леса, на котором можно вносить изменения в схему. Как только изменения внесены, они реплицируются на все остальные контроллеры домена в пределах леса. В качестве примера необходимости внесения изменений в схему можно рассмотреть установку программного продукта Microsoft Exchange Server. При этом в схему вносятся изменения, позволяющие администратору одновременно управлять учетными записями пользователей и почтовыми ящиками

Каждая из ролей на уровне леса может принадлежать только одному контроллеру домена в пределах леса. То есть, можно использовать один контроллер в роли хозяина именования домена, а второй контроллер в роли хозяина схемы. Кроме этого, обе роли можно назначить одному контроллеру домена. Такое распределение ролей используется по умолчанию.

Каждый домен в пределах леса имеет контроллер домена, выполняющий каждую из ролей уровня домена.

• Хозяин относительных идентификаторов (RID master) - хозяин относительных идентификаторов отвечает за назначение относительных идентификаторов. Относительные идентификаторы являются уникальной частью идентификатора безопасности (Security ID - SID), который используется для определения объекта безопасности (пользователя, компьютера, группы и т.д.) в пределах домена. Одной из главных задач хозяина относительных идентификаторов является удаление объекта из одного домена и добавление объекта в другой домен при перемещении объектов между доменами.
• Хозяин инфраструктуры (Infrastructure master) - задачей хозяина инфраструктуры является синхронизация членства в группах. При внесении изменений в состав групп, хозяин инфраструктуры сообщает об изменениях всем остальным контроллерам домена.
• Эмулятор первичного контроллера домена (PDC Emulator) - эта роль используется для эмуляции первичного контроллера домена Windows NT 4 для поддержки резервных контроллеров домена Windows NT 4. Еще одной задачей эмулятора первичного контроллера домена является предоставление центральной точки администрирования изменений в паролях пользователей, а также политик блокирования пользователей.

Слово "политики" достаточно часто используется в этом разделе для ссылки на объекты групповых политик (group policy objects - GPO). Объекты групповых политик являются одной из главных полезных особенностей Active Directory и рассматриваются в соответствующей статье, ссылка на которую представлена ниже.

Контроллер домена - это компьютер-сервер, управляющий доменом и хранящий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену .

Ниже перечислены функции контроллеров доменов .

• Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена.
• Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. Какие-либо изменения, вносимые в Active Directory, на самом деле производятся на одном из контроллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликации и количество данных, которое Windows будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена.
• Важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно.
• Active Directory использует репликацию с несколькими хозяевами (multimaster replication), в котором ни один из контроллеров домена не является главным. Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом.
• Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например записывать изменения в Active Directory.
• Контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.

Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу (роли, действующие в границах леса) :

• Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно.
• Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, то добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.

Существует три роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене (общедоменные роли) .

• Хозяин RID (Relative Identifier (RID) Master). Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть - общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан.
• Эмулятор основного контроллера домена (Primary Domain Controller (PDC) Emulator). Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC - регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обращение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход.
• Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры домена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master - передавать информацию об изменениях, внесенных в объекты, в другие домены.

Рис. 3.4. Принятое по умолчанию распределение ролей хозяина операций в лесе

Роль «Сервер глобального каталога» (GC - Global Catalog) может выполнять любой отдельный контроллер домена в домене - одна из функций сервера, которую можно назначить контроллеру домена . Серверы глобального каталога выполняют две важные задачи. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса. Глобальный каталог содержит подмножество информации из каждого доменного раздела и реплицируется между серверами глобального каталога в домене. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Другая задача глобального каталога, полезная независимо от того, сколько доменов в вашей сети, - участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись.