Pengawal domain utama. Sandaran Pengawal Domain dengan Veeam

Microsoft Active Directory ialah standard dalam infrastruktur yang memerlukan pengesahan pengguna dan pengurusan berpusat. Hampir mustahil untuk membayangkan bagaimana pentadbir sistem akan menangani kerja mereka tanpa teknologi ini. Namun begitu menggunakan Aktif Direktori bukan sahaja membawa besar manfaatnya, tetapi juga mengenakan tanggungjawab yang besar, memerlukan masa dan pemahaman yang signifikan tentang proses kerja. Oleh itu, saya membawa kepada perhatian anda beberapa artikel yang akan memberitahu anda bagaimana untuk berjaya membuat sandaran dan memulihkan Active Directory menggunakan penyelesaian Veeam. Khususnya, saya akan menerangkan cara Veeam membantu anda membuat salinan pengawal domain (DC) atau objek AD individu dan memulihkannya jika perlu.

Dan saya akan mulakan dengan mengatakan bahawa dalam siaran hari ini saya akan bercakap tentang kemungkinan membuat sandaran fizikal dan pengawal maya domain yang disediakan oleh Veeam, dan perkara yang anda perlu ingat semasa membuat sandaran. Untuk butiran - di bawah kucing.


Perkhidmatan Active Directory direka dengan mengambil kira redundansi, jadi dasar dan taktik sandaran konvensional mesti disesuaikan dengan sewajarnya. DALAM dalam kes ini Adalah salah untuk menggunakan dasar sandaran yang sama yang telah berfungsi untuk pelayan SQL atau Exchange. Berikut ialah beberapa cadangan yang boleh membantu semasa membangunkan dasar sandaran untuk Active Directory:

  1. Ketahui pengawal domain dalam persekitaran anda yang melaksanakan peranan FSMO (Flexible Single Master Operations).
    Sihat: perintah mudah untuk menyemak melalui baris arahan: > pertanyaan rangkaian fsmo
    Menjalankan pemulihan penuh domain, lebih baik bermula dengan pengawal domain dengan bilangan terbesar Peranan FSMO - biasanya pelayan dengan peranan emulator Pengawal Domain Utama (PDC). Jika tidak, selepas pemulihan, anda perlu menetapkan semula peranan yang sesuai secara manual (menggunakan arahan ntdsutil seize).
  2. Jika anda ingin melindungi objek individu, maka anda tidak perlu membuat sandaran semua pengawal yang tersedia di tapak pengeluaran. Untuk memulihkan objek individu, satu salinan pangkalan data Active Directory (fail ntds.dit) akan mencukupi.
  3. Sentiasa ada pilihan untuk mengurangkan risiko memadam atau mengubah suai objek AD secara tidak sengaja atau sengaja. Kami boleh mengesyorkan pewakilan kuasa pentadbiran, menyekat akses kepada hak yang ditinggikan, serta replikasi ke tapak sandaran dengan kelewatan pratetap.
  4. Ia biasanya disyorkan untuk menyandarkan pengawal domain satu demi satu dan supaya ia tidak bertindih dengannya Replikasi DFS. Walaupun penyelesaian moden tahu bagaimana untuk menyelesaikan masalah ini.
  5. Jika anda menggunakan persekitaran maya VMware, pengawal domain mungkin tidak boleh diakses melalui rangkaian (contohnya, ia berada dalam zon DMZ). Dalam keadaan ini, Veeam akan bertukar kepada sambungan melalui VMware VIX dan dapat memproses pengawal ini.

Jika anda mempunyai DC maya

Kerana Perkhidmatan aktif Memandangkan Direktori menggunakan sebahagian kecil sumber sistem, pengawal domain biasanya merupakan calon pertama untuk virtualisasi. Untuk menjamin pengawal maya dengan Veeam, anda perlu memasang dan mengkonfigurasi Sandaran Veeam&Replikasi.

Penting! Penyelesaian berfungsi dengan VM pengawal domain dihidupkan Pelayan Windows 2003 SP1 dan lebih tinggi, tahap kefungsian hutan yang disokong minimum ialah Windows 2003. Akaun mesti diberikan hak pentadbir Active Directory - anda boleh bekerja di bawah akaun pentadbir perusahaan atau domain.
Proses memasang dan mengkonfigurasi Veeam Backup & Replication telah pun dibincangkan beberapa kali - contohnya, dalam video yang disediakan oleh jurutera sistem Veeam, jadi kami akan melangkau butirannya. Mari kita anggap bahawa semuanya telah disediakan dan sedia untuk digunakan. Kini anda perlu membuat kerja sandaran pengawal domain. Proses persediaan agak mudah:


Sandaran boleh secara pilihan disimpan ke awan menggunakan pembekal perkhidmatan Veeam Cloud Connect (VCC). Anda juga boleh mengalihkannya ke repositori sandaran lain menggunakan kerja pengarkiban sandaran atau fungsi pengarkiban pita. Perkara yang paling penting ialah kini salinan sandaran disimpan di tempat yang selamat, dan data yang diperlukan boleh dipulihkan daripadanya pada bila-bila masa.

Jika anda mempunyai DC fizikal

Secara jujur, saya berharap anda mengikuti perkembangan zaman, dan dalam syarikat anda pengawal domain telah dimayakan untuk masa yang lama. Jika ini tidak berlaku, maka saya harap anda mengemas kininya dengan kerap dan mereka bekerja secara relatif versi moden Windows Server OS - Windows Server 2008 (R2) dan lebih tinggi. (Akan ada artikel berasingan tentang nuansa bekerja dengan sistem lama).

Jadi, anda mempunyai satu atau lebih pengawal domain fizikal yang menjalankan Windows Server 2008 R2 dan lebih tinggi, dan anda ingin melindunginya. Dalam kes ini, anda memerlukan Veeam Endpoint Backup - penyelesaian yang direka khusus untuk perlindungan data komputer fizikal dan pelayan. Veeam Endpoint Backup menyalin data yang diperlukan daripada mesin fizikal dan menyimpannya ke fail sandaran. Sekiranya berlaku bencana, anda boleh memulihkan data "kepada logam kosong" atau melakukan pemulihan pada tahap cakera logik. Selain itu, anda boleh memulihkan objek individu menggunakan Veeam Explorer untuk Microsoft Active Directory.

Kami melakukan perkara berikut:


Itu sahaja: sandaran selesai, pengawal domain dilindungi. Pergi ke repositori dan cari rantai sandaran atau sandaran yang anda perlukan.

Jika anda telah mengkonfigurasi repositori Sandaran & Replikasi Veeam sebagai destinasi untuk sandaran, maka sandaran yang baru dibuat akan dipaparkan dalam Sandaran > panel infrastruktur cakera, item Sandaran Titik Akhir.

Daripada kesimpulan

Sudah tentu, sandaran yang berjaya adalah permulaan yang baik, tetapi ia bukan keseluruhan cerita. Jelas sekali, sandaran tidak bernilai jika data tidak dapat dipulihkan daripadanya. Oleh itu, dalam artikel seterusnya saya akan bercakap tentang senario yang berbeza Aktif Pemulihan Direktori, termasuk pemulihan pengawal domain, serta pemulihan objek yang dipadam dan diubah suai menggunakan alat Microsoft sendiri dan Veeam Explorer untuk Direktori Aktif.

UPD: Saya mencipta saluran video di YouTube di mana saya menyiarkan video latihan secara beransur-ansur pada semua bidang IT yang saya mahir, langgan: http://www.youtube.com/user/itsemaev

UPD2: Microsoft secara tradisinya menukar sintaks biasa dalam baris arahan, jadi peranan dalam setiap versi Windows Server mungkin berbeza. Mereka tidak lagi dipanggil fsmo, tetapi induk operasi. Jadi, untuk arahan yang betul dalam konsol selepas penyelenggaraan fsmo, tulis sahaja? dan ia akan menunjukkan kepada anda arahan yang tersedia.

Dalam majalah April saya" Pentadbir Sistem" mengambil artikel mengenai topik "Penggantian kawalan domain yang lapuk atau gagal tanpa rasa sakit dengan berasaskan Windows pelayan"

Dan mereka juga membayar seratus dolar dan memberi saya satu beg otak)) Saya kini Onotole.


Gantikan pengawal domain Windows Server yang lapuk atau gagal tanpa rasa sakit.(jika ada yang memerlukannya, saya akan menghantar gambar kepada anda)

Jika pengawal domain anda telah gagal atau sudah lapuk sepenuhnya dan memerlukan penggantian, jangan tergesa-gesa merancang untuk menghabiskan hujung minggu seterusnya mencipta domain baharu pada pelayan baharu dan dengan bersusah payah memindahkan mesin pengguna kepadanya. Pengurusan yang cekap Pengawal domain sandaran akan membantu anda menggantikan pelayan sebelumnya dengan cepat dan tanpa rasa sakit.

Hampir setiap pentadbir yang bekerja dengan pelayan berasaskan Windows, lambat laun, berhadapan dengan keperluan untuk menggantikan pengawal domain utama yang sudah lapuk sepenuhnya, peningkatan selanjutnya yang tidak lagi masuk akal, dengan yang baharu yang lebih memenuhi keperluan moden. Terdapat situasi yang lebih teruk - pengawal domain menjadi tidak boleh digunakan kerana kerosakan dalam tahap fizikal, dan sandaran serta imej sudah lapuk atau hilang
Pada dasarnya, penerangan mengenai prosedur untuk menggantikan satu pengawal domain dengan yang lain boleh didapati di pelbagai forum, tetapi maklumat diberikan dalam serpihan dan, sebagai peraturan, hanya terpakai untuk situasi tertentu, bagaimanapun, tidak memberikan penyelesaian sebenar. Di samping itu, walaupun selepas membaca banyak forum, pangkalan pengetahuan dan sumber lain Bahasa Inggeris- Saya dapat menjalankan prosedur dengan betul untuk menggantikan pengawal domain tanpa ralat hanya untuk kali ketiga atau keempat.
Jadi saya nak bawa arahan langkah demi langkah menggantikan pengawal domain, tidak kira sama ada ia beroperasi atau tidak. Satu-satunya perbezaan ialah sekiranya pengawal "jatuh", artikel ini hanya akan membantu jika anda berhati-hati terlebih dahulu dan menggunakan pengawal domain sandaran.

Menyediakan pelayan untuk kenaikan pangkat/turun pangkat

Prosedur penciptaan itu sendiri pengawal sandaran domain adalah mudah - kami hanya menjalankan wizard dcpromo pada mana-mana pelayan pada rangkaian. Menggunakan wizard dcpromo, kami mencipta pengawal domain dalam domain sedia ada. Hasil daripada manipulasi ini, kami mendapat perkhidmatan direktori AD yang digunakan pada pelayan tambahan kami (saya akan memanggilnya pserver, dan pengawal utama - dcserver).
Seterusnya, jika dcpromo sendiri tidak menawarkannya, jalankannya Pemasangan DNS pelayan. Anda tidak perlu menukar sebarang tetapan, anda juga tidak perlu membuat zon - ia disimpan dalam AD, dan semua rekod direplikasi secara automatik kepada pengawal sandaran. Perhatian - zon utama dalam DNS akan muncul hanya selepas replikasi, untuk mempercepatkan pelayan boleh but semula. Dalam tetapan TCP/IP kad rangkaian pengawal domain sandaran dengan alamat utama pelayan DNS dan alamat IP pengawal domain utama mesti ditentukan.
Kini anda boleh menyemak kefungsian pengawal domain sandaran dengan mudah. Kami boleh mencipta pengguna domain pada kedua-dua pengawal domain utama dan sandaran. Sejurus selepas penciptaan, ia muncul pada pelayan pendua, tetapi dalam masa seminit (semasa replikasi sedang berlaku) ia ditunjukkan sebagai dilumpuhkan, selepas itu ia mula kelihatan sama pada kedua-dua pengawal.
Pada pandangan pertama, semua langkah untuk mencipta skema kerja untuk interaksi beberapa pengawal domain telah selesai, dan kini, jika pengawal domain "utama" gagal, pengawal "sandaran" akan melaksanakan fungsinya secara automatik. Walau bagaimanapun, walaupun perbezaan antara pengawal domain "utama" dan "sandaran" adalah nominal semata-mata, pengawal domain "utama" mempunyai beberapa ciri (peranan FSMO) yang tidak boleh dilupakan. Oleh itu, operasi di atas tidak mencukupi untuk fungsi normal perkhidmatan direktori apabila pengawal domain "utama" gagal, dan tindakan yang mesti dilakukan untuk memindahkan/merebut peranan pengawal domain utama dengan cekap akan diterangkan di bawah.

Sedikit teori

Perlu tahu bahawa pengawal domain Aktif Direktori melaksanakan beberapa jenis peranan. Peranan ini dipanggil FSMO (Operasi induk tunggal yang fleksibel):
- Sarjana Skema (Induk Skema) - peranan bertanggungjawab ke atas keupayaan untuk menukar skema - contohnya, mengembangkan Pelayan pertukaran atau pelayan ISA. Jika pemilik peranan tidak tersedia, anda tidak akan dapat menukar skema domain sedia ada;
- Induk Penamaan Domain (Induk operasi penamaan domain) - peranan diperlukan jika terdapat beberapa domain atau subdomain dalam hutan domain anda. Tanpanya, ia tidak mungkin untuk mencipta dan memadam domain dalam hutan domain tunggal;
- Relative ID Master (Relative ID Master) - bertanggungjawab untuk mencipta ID unik untuk setiap objek AD;
- Emulator Pengawal Domain Utama - ia bertanggungjawab untuk bekerja dengan akaun pengguna dan dasar keselamatan. Kekurangan komunikasi dengannya membolehkan anda log masuk ke stesen kerja dengan kata laluan lama, yang tidak boleh diubah jika pengawal domain "jatuh";
- Sarjana Infrastruktur (Master Infrastruktur) - peranan bertanggungjawab untuk menghantar maklumat tentang objek AD kepada pengawal domain lain di seluruh hutan.
Peranan ini ditulis dengan terperinci yang mencukupi dalam banyak pangkalan pengetahuan, tetapi peranan utama hampir selalu dilupakan - ini ialah peranan Katalog Global. Sebenarnya, direktori ini hanya melancarkan perkhidmatan LDAP pada port 3268, tetapi sebenarnya ketidakbolehaksesannya yang tidak akan membenarkan pengguna domain log masuk. Apa yang patut diberi perhatian ialah semua pengawal domain boleh mempunyai peranan katalog global pada masa yang sama.

Malah, kami boleh membuat kesimpulan bahawa jika anda mempunyai domain primitif untuk 30-50 mesin, tanpa infrastruktur lanjutan, yang tidak termasuk subdomain, maka anda mungkin tidak menyedari kekurangan akses kepada pemilik/pemilik dua peranan pertama. Selain itu, beberapa kali saya terserempak dengan organisasi yang bekerja lebih setahun tanpa pengawal domain sama sekali, tetapi dalam infrastruktur domain. Iaitu, semua hak telah diedarkan lama dahulu, dengan pengawal domain berjalan, dan tidak perlu ditukar pengguna tidak menukar kata laluan mereka dan bekerja dengan senyap.

Tentukan pemilik peranan fsmo semasa.

Biar saya jelaskan - kami bijak mahu menggantikan pengawal domain tanpa kehilangan sebarang keupayaannya. Sekiranya terdapat dua atau lebih pengawal dalam domain, kita perlu mengetahui siapa yang memiliki setiap peranan fsmo. Ini agak mudah dilakukan menggunakan arahan berikut:

pelayan dsquery -hasfsmo skema
pelayan dsquery - nama hasfsmo
pelayan dsquery - hasfsmo rid
pelayan dsquery - hasfsmo pdc
pelayan dsquery - hasfsmo infr
pelayan dsquery -hutan -isgc

Setiap arahan memaparkan maklumat tentang siapa pemilik peranan yang diminta (Gamb. 1). Dalam kes kami, pemilik semua peranan ialah dcserver pengawal domain utama.

Pemindahan sukarela peranan fsmo menggunakan konsol Active Directory.

Kami mempunyai semua maklumat yang diperlukan untuk memindahkan peranan PDC. Mari kita mulakan: mula-mula kita perlu memastikan bahawa akaun kita disertakan dalam kumpulan Pentadbir Domain, Pentadbir Skema dan Pentadbir Perusahaan, dan kemudian teruskan ke kaedah fsmo tradisional untuk memindahkan peranan - mengurus domain melalui konsol Active Directory.

Untuk memindahkan peranan "tuan penamaan domain", lakukan langkah berikut:
- buka "Domain dan Amanah Direktori Aktif" pada pengawal domain dari mana kami ingin memindahkan peranan. Jika kami bekerja dengan AD pada pengawal domain yang kami ingin pindahkan peranannya, maka kami melangkau titik seterusnya;
- klik kanan pada Active Directory - ikon Domain dan Amanah dan pilih arahan pengawal Sambung ke domain. Kami memilih pengawal domain yang kami ingin pindahkan peranannya;
- klik kanan komponen Active Directory - Domain dan Amanah dan pilih perintah Master Operasi;
- dalam kotak dialog Pemilik Operasi Tukar, klik butang Tukar (Gamb. 2).
- selepas respons afirmatif kepada permintaan pop timbul, kami menerima peranan yang berjaya dipindahkan.

Begitu juga, anda boleh menggunakan konsol Pengguna dan Komputer Direktori Aktif untuk memindahkan peranan RID Master, PDC dan Infrastructure Master.

Untuk memindahkan peranan "induk skema", anda mesti mendaftarkan perpustakaan pengurusan skema Direktori Aktif dalam sistem dahulu:

Selepas semua peranan telah dipindahkan, ia masih perlu berurusan dengan pilihan yang tinggal - penjaga katalog global. Kami pergi ke Direktori Aktif: "Tapak dan Perkhidmatan", tapak lalai, pelayan, cari pengawal domain yang telah menjadi yang utama, dan dalam sifat tetapan NTDSnya, tandai kotak di sebelah katalog global. (Gamb. 3)

Hasilnya ialah kami menukar pemilik peranan untuk domain kami. Bagi mereka yang akhirnya perlu menyingkirkan pengawal domain lama, kami menurunkan tarafnya kepada pelayan ahli. Walau bagaimanapun, kesederhanaan tindakan yang diambil membuahkan hasil kerana pelaksanaannya dalam beberapa situasi adalah mustahil, atau berakhir dengan ralat. Dalam kes ini, ntdsutil.exe akan membantu kami.

Pemindahan sukarela peranan fsmo menggunakan konsol ntdsutil.exe.

Sekiranya pemindahan peranan fsmo menggunakan konsol AD ​​gagal, Microsoft telah mencipta sangat utiliti yang selesa- ntdsutil.exe - program penyelenggaraan Direktori aktif Direktori. Alat ini membolehkan anda melakukan dengan sangat baik tindakan yang berguna- sehingga memulihkan keseluruhan pangkalan data AD daripada salinan sandaran yang semasa utiliti ini dicipta sendiri peluang terakhir dalam AD. Semua keupayaannya boleh didapati dalam pangkalan data pengetahuan Microsoft(Kod artikel: 255504). Dalam kes ini, kita bercakap tentang hakikat bahawa utiliti ntdsutil.exe membolehkan anda memindahkan kedua-dua peranan dan "memilih" mereka.
Jika kami ingin memindahkan peranan daripada pengawal domain "utama" sedia ada kepada "sandaran", kami log masuk ke pengawal "utama" dan mula memindahkan peranan (perintah pemindahan).
Jika atas sebab tertentu kami tidak mempunyai pengawal domain utama, atau kami tidak boleh log masuk dengan akaun pentadbiran, kami log masuk ke pengawal domain sandaran dan mula "memilih" peranan (merebut arahan).

Jadi kes pertama ialah pengawal domain utama wujud dan berfungsi secara normal. Kemudian kita pergi ke pengawal domain utama dan taip arahan berikut:

ntdsutil.exe
peranan
sambungan
sambung ke pelayan server_name (orang yang kami ingin berikan peranan)
q

Jika ralat muncul, kami perlu menyemak sambungan dengan pengawal domain yang kami cuba sambungkan. Jika tiada ralat, maka kami telah berjaya menyambung ke pengawal domain yang ditentukan dengan hak pengguna yang bagi pihak kami memasukkan arahan.
Senarai lengkap arahan tersedia selepas meminta penyelenggaraan fsmo menggunakan tanda standard? . Masa telah tiba untuk memindahkan peranan. Saya segera, tanpa berfikir, memutuskan untuk memindahkan peranan dalam susunan yang ditunjukkan dalam arahan untuk ntdsutil dan membuat kesimpulan bahawa saya tidak dapat memindahkan peranan pemilik infrastruktur. Sebagai tindak balas kepada permintaan untuk memindahkan peranan, ralat telah dikembalikan kepada saya: "pemilik semasa peranan fsmo tidak boleh dihubungi." Saya mencari maklumat di Internet untuk masa yang lama dan mendapati bahawa kebanyakan orang yang telah mencapai tahap pemindahan peranan menghadapi ralat ini. Sesetengah daripada mereka cuba mengambil secara paksa peranan ini (ia tidak berfungsi), ada yang meninggalkan segala-galanya seperti sedia ada - dan hidup bahagia tanpa peranan ini.
Saya mendapat tahu melalui percubaan dan kesilapan bahawa apabila memindahkan peranan kepada dalam susunan ini Penyelesaian yang betul bagi semua langkah dijamin:
- pemilik pengecam;
- pemilik skim;
- pakar penamaan;
- pemilik infrastruktur;
- pengawal domain;

Selepas berjaya menyambung ke pelayan, kami menerima jemputan untuk mengurus peranan (penyelenggaraan fsmo), dan kami boleh mula memindahkan peranan:
- pindahkan induk penamaan domain
- pemindahan tuan infrastruktur
- pindahkan rid master
- induk skema pemindahan
- pindahkan tuan pdc

Selepas melaksanakan setiap arahan, permintaan akan muncul bertanya sama ada kita benar-benar mahu memindahkan peranan yang ditentukan ke pelayan yang ditentukan. Keputusan pelaksanaan arahan yang berjaya ditunjukkan dalam Rajah 4.

Peranan penjaga katalog global diwakilkan mengikut cara yang diterangkan dalam bahagian sebelumnya.

Memaksa peranan fsmo menggunakan ntdsutil.exe.

Kes kedua ialah kami ingin menetapkan peranan utama kepada pengawal domain sandaran kami. Dalam kes ini, tiada apa-apa perubahan - satu-satunya perbezaan ialah kami menjalankan semua operasi menggunakan arahan rampas, tetapi pada pelayan yang kami ingin pindahkan peranan untuk menetapkan peranan.

rampas induk penamaan domain
rampas tuan infrastruktur
rampas lepas tuan
rampas tuan skema
rampas pdc

Sila ambil perhatian - jika anda mengambil peranan daripada pengawal domain yang tidak ada masa ini, maka apabila ia muncul pada rangkaian, pengawal akan mula bercanggah, dan anda tidak boleh mengelakkan masalah dalam fungsi domain.

Bekerja pada kesilapan.

Perkara yang paling penting yang tidak boleh dilupakan ialah pengawal domain utama baharu tidak akan membetulkan tetapan TCP/IP dengan sendirinya: kini dinasihatkan untuk menetapkan 127.0.0.1 sebagai alamat pelayan DNS utama (dan jika pengawal domain lama + pelayan DNS tidak hadir, maka ia adalah wajib).
Lebih-lebih lagi, jika anda mempunyai pelayan DHCP pada rangkaian anda, maka anda perlu memaksanya untuk memberikan alamat pelayan DNS utama ip pelayan baharu anda, jika tiada DHCP, pergi melalui semua mesin dan tetapkan utama ini DNS kepada mereka secara manual. Sebagai alternatif, anda boleh menetapkan ip yang sama kepada pengawal domain baharu seperti yang lama.

Sekarang anda perlu menyemak bagaimana semuanya berfungsi dan menyingkirkan ralat utama. Untuk melakukan ini, saya cadangkan memadamkan semua acara pada kedua-dua pengawal dan menyimpan log ke folder dengan yang lain salinan sandaran dan but semula semua pelayan.
Selepas menghidupkannya, kami menganalisis semua log peristiwa dengan teliti untuk amaran dan ralat.

Amaran yang paling biasa selepas memindahkan peranan kepada fsmo ialah mesej bahawa "msdtc tidak dapat mengendalikan promosi/penurunan pangkat pengawal domain dengan betul yang telah berlaku."
Penyelesaiannya adalah mudah: dalam menu "Pentadbiran" kita dapati "Perkhidmatan"
komponen". Di sana kami membuka "Perkhidmatan Komponen", "Komputer", buka sifat bahagian "Komputer Saya", cari "MS DTC" di sana dan klik "Tetapan Keselamatan" di sana. Di sana kami membenarkan "Akses ke rangkaian DTC" dan klik OK. Perkhidmatan akan dimulakan semula dan amaran akan hilang.

Contoh ralat ialah mesej bahawa zon DNS utama tidak boleh dimuatkan atau pelayan DNS tidak melihat pengawal domain.
Anda boleh memahami masalah fungsi domain menggunakan utiliti (Gamb. 5):

Anda boleh memasang utiliti ini dari cakera asal Windows 2003 daripada folder /support/tools. Utiliti membolehkan anda menyemak kefungsian semua perkhidmatan pengawal domain setiap peringkat mesti berakhir dengan perkataan yang berjaya diluluskan. Jika anda gagal (selalunya ini adalah ujian sambungan atau log sistem), maka anda boleh cuba memulihkan ralat secara automatik:

dcdiag /v /fix

Sebagai peraturan, semua ralat berkaitan DNS akan hilang. Jika tidak, gunakan utiliti untuk menyemak status semua perkhidmatan rangkaian:

Dan dia alat yang berguna penyelesaian masalah:

netdiag /v /fix

Jika selepas ini masih terdapat ralat berkaitan DNS, cara paling mudah ialah membuang semua zon daripadanya dan menciptanya secara manual. Ia agak mudah - perkara utama ialah mencipta zon induk mengikut nama domain, disimpan dalam Active Directory dan direplikasi kepada semua pengawal domain pada rangkaian.
Lagi maklumat terperinci Perintah lain akan memberikan tentang ralat DNS:

dcdiag /test:dns

Pada akhir kerja yang dilakukan, saya mengambil masa kira-kira 30 minit lagi untuk mengetahui sebab munculnya beberapa amaran - Saya mengetahui penyegerakan masa, mengarkibkan katalog global dan perkara lain yang tidak pernah saya ketahui. sebelum ini. Kini semuanya berfungsi seperti jam - perkara yang paling penting ialah ingat untuk mencipta pengawal domain sandaran jika anda ingin mengalih keluar pengawal domain lama daripada rangkaian.

Tugasnya adalah untuk memindahkan peranan daripada pengawal domain utama Windows Server 2008 dengan Active Directory (AD) kepada pengawal domain sandaran Windows Server 2012. Pengawal domain sandaran (DCSERVER) harus menjadi yang utama dan yang kini sedang yang utama (WIN-SRV-ST) harus menjadi sandaran dan dibongkar pada masa hadapan. Semua tindakan dilakukan pada pelayan sandaran DCSERVER. Kedua-dua pelayan beroperasi dan "melihat" satu sama lain.

Sebelum anda mula memindahkan peranan, anda mesti menyemak pelayan mana yang menjadi induk peranan. Untuk melakukan ini, panggil baris arahan Win + R >> cmd dan masukkan arahan:

pertanyaan netdom fsmo – meminta untuk menentukan tuan bagi peranan FSMO

Berdasarkan hasil pelaksanaan arahan, anda dapat melihat bahawa pemilik semua peranan ialah pengawal domain, yang kami panggil Win-srv-st, dan ia kini menjadi yang utama.

Maklumat ringkas:

FSMO (Operasi induk tunggal yang fleksibel) ialah jenis operasi yang dilakukan oleh pengawal domain AD yang memerlukan keunikan mandatori pelayan yang melaksanakan operasi ini (wiki). Ini bermakna bahawa peranan ini hanya boleh berada pada satu pengawal domain.

Sarjana Skema – bertanggungjawab ke atas keupayaan untuk menukar skema AD sedia ada (contohnya, menambah Exchange, dsb.)

Guru Penamaan Domain – menambah/menolak domain (jika terdapat beberapa daripadanya dalam hutan yang sama).

PDC (Primary Domain Controller Emulator) ialah emulator pengawal domain utama. Bertanggungjawab untuk menukar kata laluan, mereplikasinya, menukar dasar kumpulan, penyegerakan masa dan keserasian dengan versi terdahulu Windows.

Pengurus kolam RID (Relative ID Master) – mencipta ID untuk setiap objek AD.

Induk Infrastruktur – memindahkan maklumat tentang objek AD antara pengawal domain lain (contohnya, apabila pengguna dari satu domain pergi ke domain yang berdekatan).

Terdapat satu lagi peranan yang sangat penting - Katalog Global (GC) - walaupun ia bukan FSMO kerana pemegangnya boleh menjadi beberapa DC pada masa yang sama tanpanya, fungsi normal domain dan perkhidmatannya adalah mustahil. GC mengekalkan salinan semua objek AD dan replika separa domain lain dalam hutan. Ia membolehkan pengguna dan aplikasi mencari objek dalam mana-mana domain dalam hutan sedia ada, bertanggungjawab untuk pengesahan nama pengguna, menyediakan maklumat tentang keahlian pengguna dalam kumpulan universal dan boleh berkomunikasi dengan hutan domain lain.

Sekurang-kurangnya, akaun mestilah ahli kumpulan berikut:

— pentadbir domain;

— pentadbir perusahaan;

- pentadbir skim.

Memindahkan Peranan Induk OperasiRID, PDCdan Infrastruktur.

Klik kanan pada nama domain dalam direktori dan pilih item - Master Operasi...

Dalam tetingkap yang terbuka, kami melihat bahawa pemilik dalam ketiga-tiga tab RID, PDC dan Infrastruktur ialah Win-Srv-St.SCRB.local. Di bawah ditulis: Untuk memindahkan peranan pemilik operasi komputer seterusnya, klik butang "Tukar". Kami memastikan bahawa di baris paling bawah adalah nama pelayan yang kami ingin pindahkan peranan hos dan klik tukar. Kami melakukan perkara yang sama pada ketiga-tiga tab.

Dalam soalan pengesahan yang muncul, klik Ya.

Peranan hos telah berjaya dipindahkan. OKEY. Pemilik operasi menjadi DCSERVER.SCRB.local.

Kami melakukan perkara yang sama pada baki dua tab PDC dan Infrastruktur.

Memindahkan peranan "Induk Penamaan Domain".

Dalam AD DS pelayan kami, pilih Active Directory - Domain dan Trust.

Klik kanan pada nama dan pilih, seperti sebelumnya, baris Master Operasi...

Kami menyemak nama pelayan dan klik tukar.

DCSERVER menjadi pemilik operasi.

Memindahkan peranan "Induk Skim".

Mula-mula, daftarkan perpustakaan pengurusan skema AD dalam sistem menggunakan perintah regsvr32 schmmgmt.dll

Tekan WIN+R >> cmd

Kami memasukkan arahan dan mendapat ralat: Modul "schmmgmt.dll dimuatkan, tetapi panggilan ke DLLRegisterServer gagal, kod ralat: 0x80040201.

Ralat kerana baris arahan mesti dijalankan sebagai pentadbir. Ini boleh dilakukan, sebagai contoh, dari menu Mula. Pilih baris arahan dan klik jalankan sebagai pentadbir.

Masukkan arahan regsvr32 schmmgmt.dll sekali lagi. Kini semuanya berjalan sebagaimana mestinya.

Tekan WIN+R, tulis mmc

Dalam konsol yang terbuka, pilih Fail >> Tambah atau alih keluar snap-in... (atau tekan CTRL+M)

Antara snap-in yang tersedia, pilih Skema Direktori Aktif dan klik Tambah. OKEY.

Di akar konsol, pilih snap-in yang ditambahkan, klik kanan padanya dan pilih baris "Operations Master..."

Pemilik semasa skim ini ialah Win-Srv-St.SCRB.local. Namanya juga berada di baris bawah.

Apabila anda mengklik butang Tukar, mesej muncul: Pengawal domain Active Directory semasa ialah induk operasi. Untuk memindahkan peranan induk kepada DC yang lain, anda perlu menyasarkan skema Active Directory kepada DC tersebut.

Kami kembali ke snap-in dan pilih RMB Change Active Directory Domain Controller.

Dalam tetingkap yang terbuka, pilih pelayan yang diperlukan. Dalam kes kami, DCSERVER.SCRB.local. OKEY.

Konsol akan memaparkan mesej: Peralatan Skim aktif Direktori tidak disambungkan kepada induk operasi skema. Perubahan tidak boleh dibuat. Perubahan skema hanya boleh dibuat pada skema pemilik FSMO.

Pada masa yang sama, pelayan yang kami perlukan muncul atas nama peralatan.

Klik kanan padanya sekali lagi dan pergi ke induk operasi. Semak nama pelayan dan klik butang "Tukar".

Peranan Induk Operasi telah berjaya dipindahkan. OKEY.

Untuk memastikan bahawa peranan dipindahkan, mari masukkan pertanyaan rangkaian fsmo sekali lagi pada baris arahan

Pemilik peranan kini ialah DCSERVER.SCRB.local.

Katalog global.

Untuk menjelaskan di mana GC terletak, anda perlu mengikut laluan: AD – Sites and Services >> Sites >> Default-First-Site-Name >> Servers >> DCSERVER

Dalam perkhidmatan Tetapan NTDS yang muncul, klik kanan dan pilih Properties.

Jika terdapat tanda semak di sebelah Katalog Global, ini bermakna ia berada pada pelayan ini. Secara umum, dalam kes kami, GC terletak pada kedua-dua DC.

tetapanDNS.

DALAM Tetapan DNS daripada DC utama baru kami menulis ini:

Dalam baris pertama ialah alamat IP bekas DC utama (Win-Srv-St), yang kini telah menjadi sandaran DC 192.168.1.130.

Dalam baris kedua 127.0.0.1 i.e. sendiri (anda juga boleh menulis IP anda untuk lebih spesifik).

Dalam pengawal domain yang menjadi sandaran kami ia ditulis seperti ini:

Dalam baris pertama ialah IP DC utama.

Di baris kedua ialah IP anda. Semuanya berfungsi.

DHCP tidak berfungsi pada rangkaian kami kerana keadaan setempat, jadi tidak perlu mengkonfigurasinya semula. Tetapi anda perlu melalui 200 PC dan mendaftar secara manual DNS baharu. Atas sebab ini, ia telah memutuskan untuk tidak membongkar pengawal domain lama buat masa ini. Dalam enam bulan merangkak DNS sistematik, pengguna akan berubah.

PDC ialah komputer terpenting dalam domain. Ia melaksanakan dasar keselamatan domain dan merupakan lokasi storan utama untuk pangkalan data akaun. Ia juga mungkin merupakan pemegang utama sumber kongsi domain. Walau bagaimanapun, ia tidak perlu, dan kadang-kadang tidak diingini, untuk PDC melaksanakan fungsi ini.

Perubahan kepada pangkalan data akaun pengguna dibuat hanya pada pengawal domain utama dan kemudian disebarkan kepada pengawal domain sandaran, di mana salinan baca sahaja pangkalan data disimpan. Apabila anda log masuk sebagai pentadbir, semua perubahan yang anda buat dibuat pada pangkalan data pada pengawal domain utama, walaupun anda sebenarnya bekerja pada komputer lain. Alat yang digunakan untuk bekerja dengan akaun pengguna dipanggil Pengguna Pengurus untuk Domain (Pengurus Pengguna Domain). Apabila anda melancarkan program ini, anda tidak memilih pelayan yang anda perlukan untuk mendaftar, tetapi domain yang anda ingin tadbir,

Jika tiada pengawal domain utama pada rangkaian, pengguna masih boleh log masuk dan berfungsi jika anda telah mencipta satu atau lebih pengawal domain sandaran dan sekurang-kurangnya salah satunya tersedia. Walau bagaimanapun, anda tidak akan dapat membuat sebarang perubahan pada Akaun pengguna atau kumpulan domain, tambah pengguna baharu atau kumpulan baharu pada domain dan alih keluar mereka sehingga pengawal domain utama muncul semula atau sehingga anda menjadikan salah satu pengawal sandaran sebagai pengawal domain utama.

Pengawal Domain Sandaran

Domain Windows NT Server boleh, dan dalam kebanyakan kes harus, menyertakan sekurang-kurangnya satu pengawal domain sandaran. Setiap pengawal domain sandaran mengandungi salinan pangkalan data akaun dan boleh mengendalikan log masuk pengguna (pendaftaran) dan mengesahkan hak mereka untuk mengakses sumber. Ini menjadikannya agak mudah untuk memastikan sumber sistem perkongsian kritikal disandarkan sekiranya berlaku kegagalan besar pada pengawal domain utama. Salah satu pengawal domain sandaran boleh ditukar kepada mod pengawal domain utama dan rangkaian akan terus berfungsi seperti biasa (hanya tidak akan ada akses kepada sumber yang terletak secara fizikal pada pengawal domain utama). DALAM domain kecil Dengan bilangan terhad Bagi pengguna, mempunyai pengawal domain sandaran tidak begitu diperlukan, tetapi ia masih tidak diperlukan. Jika hanya terdapat pengawal domain utama pada rangkaian, maka keseluruhan rangkaian akan menjadi tidak dapat digunakan apabila (ini pasti akan berlaku, jadi kami tidak menggunakan perkataan "jika" di sini) pelayan itu menjadi tidak tersedia.

Komputer di bawah Kawalan Windows NT Server boleh bertindak sebagai pengawal domain utama, pengawal domain sandaran, atau tiada pengawal domain langsung. Walau bagaimanapun, pada komputer yang akan digunakan sebagai stesen kerja, adalah lebih baik untuk memasang sistem pengendalian yang berbeza. Stesen kerja akan berjalan lebih pantas dan lebih mudah dikendalikan.

Stesen kerja

Stesen kerja boleh menjalankan MS-DOS, OS/2, Microsoft Windows 3.x, Windows untuk Kumpulan Kerja, Microsoft Windows 95, Microsoft Windows NT Workstation atau Macintosh OS. Untuk MS-DOS, OS/2, Macintosh OS dan Windows 3.x anda perlukan lesen pelanggan(dan perisian rangkaian). Dalam selebihnya sistem operasi Perisian rangkaian disertakan dalam pakej asas. Kami selanjutnya akan menganggap bahawa kebanyakan stesen kerja memasang Windows 95 Kos overhed dan keperluan perkakasan untuk Windows 95 adalah jauh lebih rendah daripada Windows NT Workstation.

Satu-satunya pengecualian untuk menggunakan Windows 95 pada stesen kerja adalah jika anda menggunakan stesen untuk pembangunan. perisian. Pada stesen kerja ini, adalah lebih menguntungkan untuk menggunakan Windows NT Workstation kerana kestabilan dan pengasingan proses yang lebih baik. Windows NT Workstation biasanya memerlukan lebih banyak memori dan kuasa pengkomputeran daripada minimum yang diperlukan untuk Windows 95. Dan walaupun Windows 95 lebih baik daripada pendahulunya Versi Windows dilindungi daripada proses berkelakuan tidak betul, program di luar kawalan masih boleh membawa kepada penutupan sistem itu sendiri. Untuk Windows NT Workstation, kemungkinan ini berlaku adalah lebih rendah.

Sesetengah stesen kerja boleh menjadi sebahagian daripada kumpulan kerja tanpa kepunyaan domain. Windows 95, Windows NT Workstation dan Windows for Workgroups memberi pengguna keupayaan untuk bekerja sebagai sebahagian daripada kumpulan kerja atau domain. Tetapi untuk memanfaatkan struktur domain, komputer mesti dikonfigurasikan untuk log masuk ke domain. Semasa beroperasi sebagai sebahagian daripada kumpulan kerja, mereka tidak akan dapat menggunakan pangkalan data akaun pengguna Windows NT Server dan gunakan sumber yang aksesnya dikawal menggunakan pangkalan data ini.

Hubungan mempercayai

Dalam rangkaian yang terdiri daripada dua atau lebih domain, setiap domain bertindak sebagai rangkaian berasingan dengan pangkalan data akaun anda. Walau bagaimanapun, walaupun dalam organisasi berstruktur paling ketat, sesetengah pengguna dalam satu domain mungkin memerlukan beberapa sumber daripada domain lain.

Untuk tidak membuat maklumat akaun untuk pengguna yang sama dalam domain yang berbeza, hubungan kepercayaan boleh diwujudkan antara domain.

Mempercayai sumbernya Mempunyai domain pangkalan data pengguna
dan maklumat tentang sumber domain lain dan

hak akses penggunanya

Domain yang dipercayai menyediakan akses kepada sumbernya kepada pengguna daripada domain lain (dipercayai). Kadangkala domain yang dipercayai dipanggil domain sumber, kerana ia mengandungi pelayan yang akses pengguna sumbernya, maklumat perakaunan yang terletak dalam pengawal domain yang dipercayai, yang oleh itu dipanggil akaun

Pelayan Windows NT mempunyai semua alat untuk mengkonfigurasi rangkaian berbilang domain antara pengawal domain hubungan kepercayaan, yang membolehkan anda melindungi kawasan sensitif sumber, sambil menyelamatkan pengguna daripada butiran yang tidak perlu dan berbilang kata laluan.

Yang kedua harus dipasang dan dikonfigurasikan, pengawal tambahan domain. Ini adalah perlu supaya sekiranya berlaku kehilangan komunikasi atau kegagalan pengawal domain pertama, pengawal domain tambahan akan dapat memproses permintaan pengguna. Kemudian kerja pada rangkaian akan menjadi tanpa henti jika berlaku masalah dengan salah satu pengawal, yang kedua akan melaksanakan semua fungsi yang sama.

Memasang dan mengkonfigurasi pengawal domain kedua.

1. Pada pengawal domain pertama, buka tetapan rangkaian pelayan pertama. Untuk melakukan ini, taip ncpa.cpl dalam medan carian. Seterusnya, pilih antara muka rangkaian yang dikehendaki, klik kanan - "Properties - IP version 4 (TCP/IPv4). - Properties". Di padang antara muka alternatif, masukkan alamat IP pengawal domain tambahan (dalam kes ini 192.168.100.6).

2. Kemudian kami pergi ke pelayan kedua dan tetapkan nama pelayan masa depan: "Komputer ini - Properties - Tukar tetapan - Tukar." Dalam medan "Nama komputer", masukkan nama untuk pelayan, kemudian "OK". Anda perlu memulakan semula komputer anda, kami bersetuju.


3. Selepas but semula, teruskan ke persediaan antara muka rangkaian. Untuk melakukan ini, tulis ncpa.cpl dalam medan carian. pilih antara muka yang diperlukan, klik kanan - "Properties - IP version 4 (TCP/IPv4). - Properties". Dalam tetingkap yang terbuka, isikan medan:

  • alamat IP: Alamat IP pelayan (contohnya 192.168.100.6)
  • Topeng subnet: cth. 255.255.255.0 (topeng 24 bit)
  • Pagar utama: contohnya 192.168.100.1
  • Pelayan DNS pilihan: Alamat IP pelayan pertama (contohnya, 192.168.100.5)
  • Pelayan DNS alternatif: Alamat IP pelayan kedua (contohnya, 192.168.100.6)

Kemudian klik "OK".

4. Tambahkan pada domain pelayan baharu. Untuk melakukan ini, pilih "PC ini - Properties - Tukar tetapan - Tukar." Tandai kotak semak "Adalah ahli domain" dan masukkan nama domain. Kemudian "OK".

5. Dalam dialog "Tukar komputer atau nama domain", masukkan nama pengguna domain dengan hak pentadbiran(pengguna sepatutnya boleh menambah komputer pada domain), kemudian "OK".


6. Jika operasi berjaya, mesej “Selamat Datang ke domain...” akan muncul. Klik "OK".


7. Selepas memulakan semula komputer anda, dalam tetingkap "Lihat maklumat asas tentang komputer anda", anda boleh menyemak sebaliknya " Nama penuh"bahawa komputer telah menyertai domain.


8. Mengenai ini peringkat persediaan selesai, sudah tiba masanya untuk memasang peranan yang diperlukan pada pelayan. Untuk melakukan ini, buka "Pengurus Pelayan" - "Tambah peranan dan komponen". Ia perlu memasang pelayan DNS, Perkhidmatan Domain Direktori Aktif dan pelayan DHCP.


9. Baca maklumat dalam tetingkap "Sebelum anda mula", klik "Seterusnya". Dalam tetingkap "Pilih jenis pemasangan" seterusnya, biarkan kotak semak "Memasang peranan atau komponen" sebagai lalai dan "Seterusnya" sekali lagi. Pilih pelayan kami dari kumpulan pelayan, kemudian "Seterusnya".


10. Dalam tetingkap "Pilih peranan pelayan", pilih pelayan DNS, Perkhidmatan Domain Direktori Aktif, pelayan DHCP. Apabila anda menambah peranan, mesej amaran akan muncul, seperti "Tambah komponen yang diperlukan untuk pelayan DHCP." Klik "Tambah komponen". Selepas memilih peranan yang diperlukan, klik "Seterusnya".


11. Dalam tetingkap “Pilih komponen” baharu, abaikan “Pilih satu atau lebih komponen untuk dipasang pada pelayan ini”, klik Seterusnya. Dalam tetingkap seterusnya "pelayan DHCP" kita membaca perkara yang perlu diberi perhatian apabila memasang pelayan DHCP, kemudian "Seterusnya". Dalam tetingkap "Pengesahan Pemasangan" baharu, semak peranan yang dipilih dan klik "Pasang".


12. Tetingkap akan muncul menunjukkan kemajuan pemasangan komponen yang dipilih. Tetingkap ini boleh ditutup; ia tidak lagi menjejaskan proses pemasangan.


13. Selepas komponen yang dipilih dipasang, dalam "Pengurus Pelayan" klik ikon amaran dalam borang tanda seru, pilih "Promosikan peranan pelayan ini ke tahap pengawal domain."


14. "Wizard Konfigurasi Perkhidmatan Domain Direktori Aktif" muncul. Dalam tetingkap "Konfigurasi Penerapan", biarkan kotak pilihan lalai "Tambah pengawal domain ke domain sedia ada", semak nama domain dalam medan "Domain". Bertentangan dengan medan (pengguna semasa) klik butang "Tukar".


15. Masukkan nama pengguna dan kata laluan pengguna dalam domain dengan hak pentadbiran. Klik "OK". Kemudian "Seterusnya".


16. Dalam tetingkap "Tetapan Pengawal Domain", masukkan kata laluan untuk Mod Pemulihan Perkhidmatan Direktori (DSRM), sekali lagi "Seterusnya".


17. Dalam tingkap " Tetapan DNS"abaikan amaran bahawa delegasi untuk pelayan DNS ini tidak boleh dibuat kerana zon induk yang berwibawa tidak ditemui," cuma klik "Seterusnya."


18. Dalam tingkap " Pilihan tambahan" biarkan sumber replikasi sebagai "Mana-mana pengawal domain", sekali lagi "Seterusnya".


19. Biarkan lokasi pangkalan data AD DS, fail log dan folder SYSVOL sebagai lalai, klik "Seterusnya".


20. Semak tetapan yang dikonfigurasikan dalam "Wizard Konfigurasi Perkhidmatan Domain Direktori Aktif", kemudian "Seterusnya".


21. Dalam tetingkap "Semak". prasyarat"semak bahawa kotak semak hijau muncul. Oleh itu, semua semakan untuk kesediaan pemasangan telah berjaya diselesaikan. Klik "Pasang".


22. Dalam tetingkap seterusnya kita membaca bahawa "Pelayan ini telah berjaya dikonfigurasikan sebagai pengawal domain." Kami membaca amaran dan klik "Tutup".


23. Sudah tiba masanya untuk menguji kefungsian Perkhidmatan Domain Direktori Aktif dan pelayan DNS. Untuk melakukan ini, buka "Pengurus Pelayan".


24. Pilih “Alat” - “Pengguna dan Komputer aktif Direktori".


25. Buka domain kami dan kembangkan bahagian "Pengawal Domain". Di tetingkap bertentangan, kami menyemak kehadiran pelayan kedua sebagai pengawal domain.



27. Kami menyemak kehadiran alamat IP pelayan kedua dalam zon carian hadapan dan dalam zon carian terbalik.


28. Kemudian pilih "Direktori Aktif - Tapak dan Perkhidmatan".


29. Kembangkan pokok "Direktori Aktif - Tapak". Kami menyemak kehadiran pengawal domain kedua bertentangan dengan "Pelayan".


30. Sudah tiba masanya untuk mengkonfigurasi pelayan DHCP. Untuk melakukan ini, pada pelayan kedua, pilih "Pengurus Pelayan" - "Alat" - "DHCP".


31. Pilih pelayan tambahan, klik kanan - "Tambah atau alih keluar pengikatan".


32. Semak konfigurasi antara muka rangkaian di mana pelanggan DHCP akan disampaikan pada pelayan kedua.


33. Kami menggabungkan dua pelayan DHCP. Konfigurasi ketersediaan yang tinggi, mod pengimbangan beban yang tinggi. Kami mengagihkan beban pada pelayan 50x50. Untuk mengkonfigurasi pada pelayan pertama di mana pelayan DHCP dipasang dan dikonfigurasikan, pilih "Pengurus Pelayan" - "Alat" - "DHCP".


34. Klik kanan pada skop yang dibuat dalam pelayan DHCP, kemudian “Configure failover...”.


35. Wizard Konfigurasi Failover muncul, kemudian Seterusnya.


36. Tentukan pelayan rakan kongsi untuk failover. Untuk melakukan ini, dalam medan "Pelayan Rakan Kongsi", menggunakan butang "Tambah Pelayan", tambah pelayan kedua (tambahan) di mana peranan pelayan DHCP digunakan. Kemudian klik "Seterusnya".


37. Masukkan kata laluan dalam medan "Rahsia Dikongsi". Selebihnya tetapan boleh dibiarkan sebagai lalai, termasuk peratusan pengagihan beban Pelayan tempatan- Rakan kongsi pelayan - 50% hingga 50%. "Seterusnya" lagi.


38. Semak tetapan failover antara pelayan pertama dan pelayan tambahan. Klik "Selesai".


39. Semasa persediaan failover, pastikan semuanya "Berjaya" dan tutup wizard.


40. Buka pelayan kedua. "Pengurus Pelayan" - "Alat" - "Kebenaran".


41. Semak “Kolam Alamat”. Pelayan DHCP akan disegerakkan.


Ini melengkapkan proses memasang dan mengkonfigurasi Active Directory, DHCP, DNS. Anda boleh melihat apa yang perlu dilakukan dan bagaimana untuk melakukannya di sini:



ARTIKEL BERKAITAN