De belangrijkste functies van een domeincontroller zijn onder meer: Domeincontrollers. Verhoogd niveau van informatiebeveiliging

Het belangrijkste element van effectief bedrijfsnetwerk is de controleur domein Actief Directory, die veel services beheert en veel voordelen biedt.

Er zijn twee manieren om een ​​IT-infrastructuur op te bouwen: standaard en willekeurig, wanneer er minimaal voldoende inspanningen worden geleverd om opkomende problemen op te lossen, zonder een duidelijke en betrouwbare infrastructuur op te bouwen. Bijvoorbeeld het opbouwen van een peer-to-peer netwerk door de hele organisatie en het openen ervan publieke toegang voor iedereen de benodigde bestanden en mappen, zonder de mogelijkheid om gebruikersacties te controleren.

Het is duidelijk dat dit pad onwenselijk is, omdat je uiteindelijk een chaotische wirwar van systemen moet demonteren en op de juiste manier moet organiseren, anders zal het niet kunnen functioneren - en daarmee ook je bedrijf. Hoe eerder u dus de enige juiste beslissing neemt om een ​​bedrijfsnetwerk met een domeincontroller te bouwen, hoe beter voor uw bedrijf op de lange termijn. En hier is waarom.

“Een domein is de basiseenheid van de IT-infrastructuur gebaseerd op het besturingssysteem Windows-familie, de logische en fysieke vereniging van servers, computers, apparatuur en gebruikersaccounts.”

Domeincontroller (DC) - aparte server met Windows Server OS-running services Actieve map doen mogelijke baan een grote hoeveelheid software waarvoor een cd nodig is voor beheer. Voorbeelden van dergelijke software zijn Exchange mailserver, cloud Office-pakket 365 en anderen software-omgevingen ondernemingsniveau van Microsoft.

Naast het garanderen van de juiste werking van deze platforms, biedt CD bedrijven en organisaties de volgende voordelen:

  • Inzet terminal-server . Hiermee kunt u aanzienlijk middelen en moeite besparen door te vervangen constante update kantoor-pc’s met een eenmalige investering in plaatsing” dunne klanten” om verbinding te maken met een krachtige cloudserver.
  • Verhoogde veiligheid. Met CD kunt u beleid voor het maken van wachtwoorden instellen en gebruikers dwingen meer te gebruiken complexe wachtwoorden dan uw geboortedatum, qwerty of 12345.
  • Gecentraliseerde controle van toegangsrechten. In plaats van handmatige update wachtwoorden op elke computer afzonderlijk in te stellen, kan de CD-beheerder alle wachtwoorden centraal in één handeling vanaf één computer wijzigen.
  • Gecentraliseerd beheer van groepsbeleid. Met Active Directory-hulpmiddelen kunt u creëren groepsbeleid en stel toegangsrechten in voor bestanden, mappen en andere netwerkbronnen voor bepaalde gebruikersgroepen. Dit vereenvoudigt het opzetten van nieuwe gebruikersaccounts of het wijzigen van de instellingen van bestaande profielen aanzienlijk.
  • Pass-through-invoer. Active Directory ondersteunt pass-through login, bij het invoeren van uw gebruikersnaam en wachtwoord voor een domein wordt de gebruiker automatisch verbonden met alle andere diensten zoals mail en Office 365.
  • Sjablonen voor computerinstallaties maken. Elk opzetten aparte computer wanneer het wordt toegevoegd aan het bedrijfsnetwerk, kan het worden geautomatiseerd met behulp van sjablonen. Met behulp van speciale regels kunnen cd-drives of USB-poorten bijvoorbeeld centraal worden uitgeschakeld netwerkpoorten enzovoort. Dus in plaats van handmatige instellingen nieuw werkstation, neemt de beheerder het eenvoudigweg op in een specifieke groep en worden alle regels voor die groep automatisch toegepast.

Zoals u kunt zien, brengt het opzetten van een Active Directory-domeincontroller tal van gemakken en voordelen met zich mee voor bedrijven en organisaties van elke omvang.

Wanneer implementeer ik een Active Directory-domeincontroller in een bedrijfsnetwerk?

We raden u aan een domeincontroller voor uw bedrijf in te stellen als u meer dan tien computers op het netwerk hebt aangesloten, omdat het veel eenvoudiger is om het benodigde beleid voor tien machines in te stellen dan voor vijftig. Bovendien, aangezien deze server dat niet doet, bijzonder resource-intensieve taken uitvoeren. Een krachtige desktopcomputer kan heel goed geschikt zijn voor deze rol.

Het is echter belangrijk om te onthouden dat deze server toegangswachtwoorden voor netwerkbronnen en een database met domeingebruikers, een schema van gebruikersrechten en groepsbeleid opslaat. Moet uitbreiden back-upserver met voortdurend kopiëren van gegevens om de continuïteit van de werking van de domeincontroller te garanderen, en dit kan veel sneller, eenvoudiger en betrouwbaarder worden gedaan met behulp van servervirtualisatie aangeboden bij het hosten van een bedrijfsnetwerk in de cloud. Dit voorkomt de volgende problemen:

  • Onjuiste DNS-serverinstellingen, wat leidt tot fouten in de locatie van bronnen in het bedrijfsnetwerk en op internet
  • Verkeerd geconfigureerde beveiligingsgroepen wat leidt tot fouten in de toegangsrechten van gebruikers tot netwerkbronnen
  • Onjuiste besturingssysteemversies. Elk Actieve versie Directory ondersteunt bepaalde versies desktop Windows-besturingssysteem voor thin clients
  • Afwezigheid of onjuiste instelling automatisch kopiëren gegevens op back-upcontroller domein.

Omdat ik kleine bedrijven van binnenuit goed ken, ben ik altijd geïnteresseerd geweest in de volgende vragen. Leg uit waarom een ​​medewerker op zijn werkcomputer de browser moet gebruiken die de systeembeheerder leuk vindt? Of neem een ​​andere software, bijvoorbeeld dezelfde archiver, e-mailclient, klant instant berichten... Ik zinspeel zachtjes op standaardisatie, en niet op basis van de persoonlijke sympathie van de systeembeheerder, maar op basis van de toereikendheid van functionaliteit, de kosten van onderhoud en ondersteuning hiervan softwareproducten. Laten we IT gaan beschouwen als een exacte wetenschap, en niet als een ambacht, waarbij iedereen doet waar hij goed in is. Nogmaals, ook in kleine bedrijven zijn hier veel problemen mee. Stel je voor dat een bedrijf in een moeilijke crisistijd meerdere van deze beheerders verandert, wat moeten arme gebruikers in zo'n situatie doen? Voortdurend bijscholen?

Laten we vanaf de andere kant kijken. Elke manager moet begrijpen wat er momenteel in zijn bedrijf (ook in de IT) gebeurt. Dit is nodig voor het volgen huidige situatie, voor een snelle reactie op het optreden van verschillende soorten problemen. Maar dit inzicht is belangrijker voor strategische planning. Met een sterke en betrouwbare basis kunnen we immers een huis bouwen met 3 of 5 verdiepingen, een dak met verschillende vormen maken, balkons of een wintertuin maken. Op dezelfde manier hebben we in de IT een betrouwbare basis: we kunnen later complexere producten en technologieën gebruiken om bedrijfsproblemen op te lossen.

Het eerste artikel gaat over een dergelijke basis: Active Directory-services. Ze zijn ontworpen om een ​​sterke basis te vormen voor de IT-infrastructuur van een bedrijf van elke omvang en elk activiteitengebied. Wat is het? Dus laten we hierover praten...

Laten we het gesprek beginnen met eenvoudige concepten– Active Directory-domein en services.

Domein is de belangrijkste administratieve eenheid in netwerk infrastructuur onderneming, die alle netwerkobjecten omvat, zoals gebruikers, computers, printers, gedeelde bronnen en nog veel meer. De verzameling van dergelijke domeinen wordt een forest genoemd.

Active Directory-services (Active Directory-services) zijn een gedistribueerde database die alle domeinobjecten bevat. De Active Directory-domeinomgeving biedt één enkel authenticatie- en autorisatiepunt voor gebruikers en applicaties in de hele onderneming. Met de organisatie van een domein en de implementatie van Active Directory-services begint de constructie van een zakelijke IT-infrastructuur.

De Active Directory-database wordt opgeslagen op speciale servers – domeincontrollers. Active Directory Services is een serverrol besturingssystemen Microsoft Windows Server. Active Directory Services heeft volop mogelijkheden schaalvergroting. In een Active Directory-forest kunnen meer dan 2 miljard objecten worden aangemaakt, waardoor de directoryservice kan worden geïmplementeerd in bedrijven met honderdduizenden computers en gebruikers. Hiërarchische structuur domeinen kunt u de IT-infrastructuur flexibel schalen naar alle vestigingen en regionale afdelingen van bedrijven. Voor elke vestiging of divisie van een bedrijf kan een apart domein worden aangemaakt, met eigen beleid, eigen gebruikers en groepen. Voor elk kinddomein kunnen administratieve bevoegdheden worden gedelegeerd aan lokaal systeembeheerders. Tegelijkertijd zijn onderliggende domeinen nog steeds ondergeschikt aan hun ouders.

Bovendien kunt u met Active Directory Services configureren vertrouwensrelatie tussen domeinbossen. Elk bedrijf heeft zijn eigen woud aan domeinen, elk met zijn eigen middelen. Maar soms moet u toegang verlenen tot uw bedrijfsbronnen werknemers van een ander bedrijf - waarmee ze samenwerken algemene documenten en toepassingen binnen gezamenlijk project. Om dit te doen kunnen vertrouwensrelaties tussen organisatieforesten worden opgezet, waardoor medewerkers van de ene organisatie kunnen inloggen op het domein van een andere organisatie.

Om fouttolerantie voor Active Directory-services te garanderen, moet u in elk domein twee of meer domeincontrollers implementeren. Alle wijzigingen worden automatisch gerepliceerd tussen domeincontrollers. Als een van de domeincontrollers uitvalt, wordt de functionaliteit van het netwerk niet beïnvloed, omdat de overige blijven werken. Extra niveau Fouttolerantie zorgt ervoor dat DNS-servers op domeincontrollers in Active Directory worden geplaatst, waardoor elk domein meerdere DNS-servers kan hebben die de hoofddomeinzone bedienen. En als een van de DNS-servers uitvalt, blijven de anderen werken. We zullen het hebben over de rol en het belang van DNS-servers in de IT-infrastructuur in een van de artikelen in de serie.

Maar dat is alles technische aspecten implementatie en onderhoud van Active Directory-diensten. Laten we het eens hebben over de voordelen die een bedrijf krijgt als het afstapt van peer-to-peer-netwerken en het gebruik van werkgroepen.

1. Eén authenticatiepunt

IN werkgroep op elke computer of server moet u handmatig toevoegen volledige lijst gebruikers die dat nodig hebben netwerktoegang. Als een van de medewerkers plotseling zijn wachtwoord wil wijzigen, dan zal dit op alle computers en servers moeten worden gewijzigd. Het is goed als het netwerk uit 10 computers bestaat, maar wat als het er meer zijn? Wanneer u een Active Directory-domein gebruikt, worden alle gebruikersaccounts in één database opgeslagen en kijken alle computers ernaar voor autorisatie. Alle domeingebruikers zijn opgenomen in de juiste groepen, bijvoorbeeld 'Boekhouding', 'Financiële afdeling'. Het volstaat om één keer machtigingen voor bepaalde groepen in te stellen, en alle gebruikers hebben de juiste toegang tot documenten en applicaties. Als een nieuwe medewerker bij het bedrijf komt, wordt er een account voor hem aangemaakt, dat in de juiste groep wordt opgenomen: de medewerker krijgt toegang tot alle netwerkbronnen waartoe hij toegang zou moeten krijgen. Als een medewerker ontslag neemt, blokkeer hem dan gewoon en hij verliest onmiddellijk de toegang tot alle bronnen (computers, documenten, applicaties).

2. Eén punt voor beleidsbeheer

In een werkgroep hebben alle computers gelijke rechten. Geen van de computers kan de ander controleren; het is onmogelijk om toezicht te houden op de naleving van uniform beleid en beveiligingsregels. Bij gebruik van één Active Directory worden alle gebruikers en computers hiërarchisch verdeeld over organisatie-eenheden, die allemaal onderworpen zijn aan hetzelfde groepsbeleid. Met beleid kunt u uniforme instellingen en beveiligingsinstellingen instellen voor een groep computers en gebruikers. Wanneer een nieuwe computer of gebruiker aan een domein wordt toegevoegd, ontvangt deze automatisch instellingen die voldoen aan geaccepteerde bedrijfsstandaarden. Met behulp van beleid kunt u netwerkprinters centraal aan gebruikers toewijzen, de benodigde applicaties installeren, browserbeveiligingsinstellingen instellen en configureren Microsoft-applicaties Kantoor.

3. Verhoogd niveau informatiebeveiliging

Het gebruik van Active Directory-services verhoogt het niveau van netwerkbeveiliging aanzienlijk. Ten eerste is het een enkele en veilige accountopslag. In een domeinomgeving worden alle wachtwoorden van domeingebruikers opgeslagen op speciale domeincontrollerservers, waartegen ze doorgaans beschermd zijn externe toegang. Ten tweede wordt bij gebruik van een domeinomgeving het Kerberos-protocol gebruikt voor authenticatie, wat veel veiliger is dan NTLM, dat in werkgroepen wordt gebruikt.

4. Integratie met zakelijke toepassingen en uitrusting

Een groot voordeel van Active Directory-services is dat ze voldoen aan de LDAP-standaard, die door andere systemen wordt ondersteund, b.v. mailservers (Exchange-server), proxyservers (ISA Server, TMG). Bovendien is dit niet alleen nodig Microsoft-producten. Het voordeel van deze integratie is dat de gebruiker niets hoeft te onthouden groot aantal logins en wachtwoorden om toegang te krijgen tot een bepaalde applicatie, in alle applicaties heeft de gebruiker dezelfde inloggegevens - zijn authenticatie vindt plaats in een enkele Active Directory. Windows Server biedt het RADIUS-protocol voor integratie met Active Directory, dat wordt ondersteund een groot aantal netwerkapparatuur. Op deze manier is het bijvoorbeeld mogelijk om authenticatie te verzorgen domein gebruikers bij verbinding via VPN van buitenaf, gebruik van wifi toegangspunten in het bedrijf.

5. Enkele opslag applicatieconfiguraties

Sommige applicaties slaan hun configuratie op in Active Directory, zoals Exchange Server. Service-implementatie Actieve mappen Directory is voorwaarde om deze toepassingen te laten werken. Het opslaan van de applicatieconfiguratie in een directoryservice biedt voordelen op het gebied van flexibiliteit en betrouwbaarheid. Bijvoorbeeld in het geval volledige mislukking Exchange-server, blijft de volledige configuratie intact. Om de functionaliteit te herstellen zakelijke post, is het voldoende om Exchange Server opnieuw te installeren in de herstelmodus.

Samenvattend zou ik nogmaals willen benadrukken dat Active Directory-services het hart vormen van de IT-infrastructuur van een onderneming. Bij een storing zal het hele netwerk, alle servers en het werk van alle gebruikers lamgelegd worden. Niemand kan inloggen op de computer of toegang krijgen tot zijn documenten en applicaties. Daarom moet een directoryservice zorgvuldig worden ontworpen en geïmplementeerd, waarbij met alles rekening wordt gehouden mogelijke nuances, Bijvoorbeeld, bandbreedte kanalen tussen filialen of kantoren van een bedrijf (de snelheid waarmee gebruikers inloggen op het systeem, evenals de gegevensuitwisseling tussen domeincontrollers, hangt hiervan rechtstreeks af).

Om er niet op in te gaan groot aantal speciale voorwaarden Domeincontrollers zijn servers die Active Directory ondersteunen. Ze slaan informatie op over gebruikers- en computeraccounts die lid zijn van het domein, het schema en hun eigen recordbewuste kopie van de Active Directory-database. Bovendien fungeren domeincontrollers als de centrale beveiligingscomponent in een domein. Met zo'n organisatie kunt u op flexibele wijze het beveiligingsbeleid binnen het bedrijfsnetwerk configureren, maar ook toestaan ​​of, omgekeerd, weigeren bepaalde groepen gebruikers toegang tot bepaalde bronnen.

Basisfuncties van een domeincontroller:

  • Het opslaan van een volledige kopie van Active Directory-informatie die betrekking heeft op een specifiek domein, het beheren en repliceren van deze informatie naar andere controllers die in dit domein zijn opgenomen;
  • Replicatie van directory-informatie gerelateerd aan alle objecten in een Active Directory-domein;
  • Replicatieconflicten oplossen wanneer hetzelfde attribuut is gewijzigd verschillende controleurs totdat de replicatie is gestart.

Zakelijke voordelen

Voordelen gecentraliseerd systeem gebaseerd op domeincontrollers:

  1. Eén database voor authenticatie. De domeincontroller slaat alle accounts op in één database en elke gebruiker die deel uitmaakt van het domein van een computer neemt contact op met de domeincontroller om zich aan te melden. Door gebruikers in geschikte groepen te verdelen, wordt het eenvoudiger om gedistribueerde toegang tot documenten en applicaties te organiseren. Dus wanneer er een nieuwe medewerker verschijnt, volstaat het om voor hem te creëren rekening in de juiste groep en de medewerker heeft automatisch toegang tot alle benodigde netwerkbronnen en apparaten. Wanneer een medewerker vertrekt, volstaat het om zijn account te blokkeren om alle toegang in te trekken.
  2. Eén punt voor beleidsbeheer. Met een domeincontroller kunt u computer- en gebruikersaccounts verdelen over organisatie-eenheden en daarop verschillende groepsbeleidsregels toepassen, waarbij u instellingen en beveiligingsinstellingen definieert voor een groep computers en gebruikers (bijvoorbeeld toegang tot netwerkprinters, uitrusting noodzakelijke toepassingen, browserinstellingen, enz.). Wanneer een nieuwe computer of gebruiker aan het domein wordt toegevoegd, ontvangt deze dus automatisch alle instellingen en toegangen die voor een bepaalde afdeling zijn gedefinieerd.
  3. Veiligheid. Flexibele configuratie van authenticatie- en autorisatieprocedures, gecombineerd met gecentraliseerd beheer, kan de veiligheid van de IT-infrastructuur binnen de organisatie aanzienlijk vergroten. Bovendien wordt de domeincontroller fysiek op een speciale plaats geïnstalleerd, beschermd tegen toegang van buitenaf.
  4. Vereenvoudigde integratie met andere diensten. Door een domeincontroller als enkel authenticatiepunt te gebruiken, kunnen gebruikers hetzelfde account gebruiken wanneer ze ermee werken extra gereedschap en diensten (bijv. postdiensten, kantoorprogramma's, proxyservers, instant messengers, enz.).

Instellingen

Domeincontroller gebaseerd domein dienst Actieve Directory is sleutelelement IT-infrastructuur, die toegangscontrole en gegevensbescherming binnen de organisatie biedt. Van juiste instellingen De domeincontroller is afhankelijk van het functioneren van niet alleen de domeincontroller zelf, maar ook van Active Directory als geheel (bijvoorbeeld de distributie van beveiligingsbeleid en toegangsregels), wat op zijn beurt de werking van alle gerelateerde services beïnvloedt en ook de niveau van beveiliging. Kies de beste ontwikkelaars in de sectie.

Zoals het gezegde luidt: "verscheen plotseling uit het niets... ....", niets voorspelde problemen, maar toen begon de hoofddomeincontroller te falen, en terwijl deze nog ademde, besloot ik de rechten van de domeincontroller te delegeren hoofddomein naar een ander.

Om de rol “domain naming master” over te dragen, voert u de volgende stappen uit:

Nadat alle rollen zijn overgedragen, blijft het de resterende optie: de bewaarder mondiale catalogus. We gaan naar de Directory: "Sites en Services", standaardsite, servers, zoeken de domeincontroller die de belangrijkste is geworden en vinken in de eigenschappen van de NTDS-instellingen het vakje naast de globale catalogus aan. (Afb. 3)

Het resultaat is dat we de roleigenaren voor ons domein hebben gewijzigd. Voor degenen die eindelijk van de oude domeincontroller af moeten, downgraden we deze naar een ledenserver. De eenvoud van de ondernomen acties werpt echter zijn vruchten af ​​in het feit dat de implementatie ervan in een aantal situaties onmogelijk is of in een fout eindigt. In deze gevallen zal ntdsutil.exe ons helpen.

Vrijwillige overdracht van fsmo-rollen voor ntdsutil.exe-consoles.

In het geval dat de overdracht van fsmo-rollen met AD-consoles mislukte, heb ik een very handig hulpprogramma– ntdsutil.exe – onderhoud Directory. Met deze tool kunt u extreme acties uitvoeren - tot en met de gehele AD-database vanaf de back-up die deze zelf heeft gemaakt laatste verandering in AD. U kunt kennismaken met alle mogelijkheden op het gebied van kennis (artikelcode: 255504). IN in dit geval We hebben het over het feit dat u met ntdsutil.exe zowel rollen kunt overdragen als ze kunt "selecteren".

Als we een rol van een bestaande ‘primaire’ domeincontroller willen overdragen naar een ‘back-up’, gaan we naar de ‘primaire’ controller en beginnen we met het overdragen van rollen (opdracht overdracht).

Als we om wat voor reden dan ook geen primaire domeincontroller hebben, of als we niet kunnen inloggen met een beheerdersaccount, loggen we in op de back-updomeincontroller en beginnen we rollen te "selecteren" (opdracht grijpen).

Het geval is dus dat de primaire domeincontroller bestaat en normaal functioneert. Vervolgens gaan we naar de primaire domeincontroller en typen de volgende opdrachten:

ntdsutil.exe

maak verbinding met servernaam (degene aan wie we de rol willen geven)

Als er fouten optreden, moeten we communiceren met de domeincontroller waarmee we verbinding proberen te maken. Als er geen fouten zijn, hebben we met succes verbinding gemaakt met de opgegeven domeincontroller met de rechten van de gebruiker namens wie we de opdrachten invoeren.

Een volledige lijst is beschikbaar door fsmo-onderhoud aan te vragen met behulp van een standaardbord? . Het is tijd om rollen over te dragen. Ik besloot onmiddellijk, zonder na te denken, de rollen over te dragen in de volgorde waarin ze worden aangegeven in de instructies voor ntdsutil en kwam tot de conclusie dat ik de rol van de infrastructuureigenaar niet kon overdragen. Als reactie op een verzoek om een ​​rol over te dragen, kreeg ik een foutmelding: “Er kan geen contact worden opgenomen met de huidige eigenaar van de fsmo-rol.” Ik heb lang naar informatie gezocht en ontdekt dat de meeste mensen die de fase van roloverdracht hebben bereikt, deze fout tegenkomen. Sommigen van hen proberen deze rol met geweld weg te nemen (het werkt niet), sommigen laten alles zoals het is - en leven gelukkig zonder deze rol.

Ik kwam er met vallen en opstaan ​​achter dat bij het overdragen van rollen naar in deze volgorde Een correcte uitvoering van alle stappen is gegarandeerd:

Eigenaar van identificatiegegevens;

De eigenaar van de regeling;

Meester in het benoemen;

Eigenaar van de infrastructuur;

Domeincontroller;

Na succesvolle toegang tot de server ontvangen we een uitnodiging om rollen te beheren (fsmo-onderhoud) en kunnen we beginnen met het overdragen van rollen:

- overdracht domeinnaammaster

Infrastructuurmaster overdragen

Breng de ontdoende meester over

Overdracht schemameester

Pdc-master overzetten

Na elke uitvoering zou er een verzoek moeten verschijnen met de vraag of we de opgegeven rol echt naar de opgegeven server willen overbrengen. Het resultaat van een succesvolle uitvoering wordt getoond in (Fig. 4).

De rol van de globale catalogusbeheerder wordt gedelegeerd op de manier die in de vorige sectie is beschreven.

Geforceerde toewijzing van fsmo-rollen met ntdsutil.exe.

Het tweede geval is dat we de rol van primair willen toewijzen aan onze back-updomeincontroller. In dit geval verandert er niets - het enige verschil is dat we alle bewerkingen uitvoeren met behulp van seize, maar op de server waarnaar we rollen willen overdragen voor roltoewijzing.

beslag leggen op de naamgeving van meester

beslag leggen op de infrastructuurmeester

grijpen ontdoen meester

schemamaster grijpen

Houd er rekening mee dat als u een rol wegneemt van een domeincontroller die er niet in zit op dit moment, en als het verschijnt, zullen de controllers in conflict komen en kun je problemen in de werking van het domein niet vermijden.

Werk aan fouten.

Het belangrijkste dat niet mag worden vergeten is dat de nieuwe primaire domeincontroller TCP/IP niet voor zichzelf zal repareren: het is nu raadzaam om 127.0.0.1 op te geven als het primaire DNS-adres (en als de oude domeincontroller + DNS ontbreken, dan is het verplicht) je daar in DHCP-server, dan moet je het forceren om het primaire DNS-ip-adres van je nieuwe server door te geven, alle machines doorlopen en deze primaire DNS handmatig aan hen toewijzen; Wijs optioneel hetzelfde IP-adres toe aan de nieuwe domeincontroller als de oude. Nu moet je zien hoe alles werkt en de belangrijkste fouten verwijderen. Om dit te doen, raad ik aan om alle gebeurtenissen op beide controllers te wissen en de logs in de map met andere op te slaan reservekopieën en start alle servers opnieuw op. Nadat u ze hebt ingeschakeld, controleert u zorgvuldig alle gebeurtenislogboeken op waarschuwingen en fouten. De meest voorkomende waarschuwing met betrekking tot fsmo-roloverdrachten is het bericht dat "msdtc de promotie/degradatie van een domeincontroller die heeft plaatsgevonden niet correct kan verwerken." Het is eenvoudig te repareren: van origineel

Als er nog steeds fouten zijn met betrekking tot DNS, verwijder dan gewoon alle zones en maak ze handmatig. Dit is vrij eenvoudig: het belangrijkste is het creëren van een masterzone op domeinnaam, opgeslagen in en gerepliceerd naar alle domeincontrollers op het netwerk.

Meer gedetailleerde informatie Een ander commando geeft over DNS-fouten:

dcdiag /test:dns

Aan het einde van het verrichte werk kostte het me nog ongeveer 30 minuten om de reden voor het verschijnen van een aantal waarschuwingen te achterhalen - ik ontdekte tijdsynchronisatie, archivering van de globale catalogus en andere dingen waar ik nog nooit aan was toegekomen voor. Nu werkt alles als een tierelier - het belangrijkste is om te onthouden dat u een back-updomeincontroller moet maken als u de oude domeincontroller uit het netwerk wilt verwijderen.

In onze organisatie gebeurde het zo dat de infrastructuur snel klaar moest zijn en dat het aanschaffen van licenties tijd kostte. Daarom werd besloten om gebruik te maken van Windows-afbeeldingen Server 2012R2 Evaluatie, en na de testperiode wordt er een licentie voor verleend. Destijds wist niemand dat je niet zomaar een Standaardlicentie in de Evaluatieversie kon schrijven en als gevolg daarvan een gelicentieerde Standaard kon krijgen, anders had je denk ik eerst licenties gekocht. Maar er is niets aan te doen, wat we hebben is waar we mee werken. Dus.

Taak: na aankoop Microsoft-licenties op Windows-server 2012R2 Standard moet geactiveerd worden op onze servers. Laten we beginnen.

Er is een probleem opgetreden tijdens het uitvoeren van de taak. Sinds we in eerste instantie Windows server 2012R2 Standard Evaluation hebben geïnstalleerd, zegt de server wanneer we een sleutel voor Standard proberen te registreren dat deze sleutel er niet geschikt voor is. We zijn op zoek gegaan naar een oplossing voor het probleem van het overzetten van de server van de evaluatieversie naar de standaardversie. Het antwoord werd gevonden op de Microsoft-website in een TechNet-artikel.

Het artikel heeft gedeeltelijk geholpen het probleem op te lossen. Op drie fysieke servers hebben we de versie kunnen wijzigen en activeren met onze licenties. Maar helaas was niet alles zo eenvoudig met domeincontrollers. In het bovenstaande artikel staat expliciet dat domeincontrollers NIET van Evaluation naar Standard kunnen worden gemigreerd. We moeten dit zo snel mogelijk doen zo snel mogelijk, omdat PDC heeft geen /rearm-opties meer en er zijn nog minder dan 3 dagen over voordat de proefversie eindigt.

Ik zag twee opties om het probleem op te lossen. Of, afwisselend tussen de BDC en de PDC, de rechten van de eigenaar van het schema en andere rollen overdragen, het degraderen naar lidservers en het vervolgens weer verhogen. Maar ik verwierp het idee van dit domeinvolleybal, omdat ik dit allemaal gewoon voor het eerst deed en bang was het te verbreken.

Daarom werd besloten om te verhogen nieuwe server, promoveer het naar een domeincontroller en draag de eigenaar van het circuit ernaar over, en schakel vervolgens de oude PDC uit en wijs zijn IP toe aan de nieuwe, deze optie leek mij toen eenvoudiger en veiliger. Ik merk op dat ik dit na de hieronder beschreven gebeurtenissen nog steeds geloof goede beslissing, Door ten minste alles verliep zonder incidenten, anders had het artikel een heel andere titel gehad, of had het helemaal niet bestaan.

Het schema kan gedurende de werkdag zonder problemen worden gereproduceerd. Er was nog anderhalve dag over, dus er was geen tijd om te dromen over hoe ik dit allemaal zou doen, ik moest dringend beginnen. Verdere stappen stap voor stap.

1. Maak een nieuwe virtuele machine met parameters die overeenkomen met de huidige PDC. Het is raadzaam om te creëren fysieke server, waarop geen andere domeincontrollers staan, maar dit is als je meerdere hypervisors hebt, zoals in mijn geval, als dat niet het geval is, dan maakt dit niet uit, de enige vraag is fouttolerantie. Nou, als je niet met hypervisors werkt, maar met echte servers, dan is de fouttolerantie van PDC en BDC vanzelfsprekend.

2. Windows Server 2012R2 installeren. Selecteer de standaardeditie met grafische interface. Wij configureren TCP/IP en hernoemen de server volgens de standaardnamen in de IT-infrastructuur.

3. Schakel na de installatie nieuwe rollen voor de server in Serverbeheer in. We zijn geïnteresseerd in AD, DNS en andere rollen en componenten die worden gebruikt op huidige domeincontrollers.

4. We promoveren de server naar een domeincontroller. Er vindt replicatie plaats tussen de primaire domeincontroller en de nieuwe.

5. We dragen de rollen van de circuiteigenaar over van het oude DC naar het nieuwe.
Om dit te doen, gaat u naar de domeincontroller waaraan FSMO-rollen worden toegewezen en voert u deze uit opdrachtregel en voer de opdrachten in de onderstaande volgorde in:

ntdsutil
rollen
verbindingen
verbinding maken met de server<имя сервера PDC>
Q

Nadat we met succes verbinding hebben gemaakt met de server, ontvangen we een uitnodiging om rollen te beheren (FSMO-onderhoud) en kunnen we beginnen met het overdragen van rollen:

naamgevingsmaster overbrengen- overdracht van de rol van domeinnaamhouder.
infrastructuurmeester overdragen- overdracht van de rol van infrastructuureigenaar;
overdracht meester- overdracht van de RID-masterrol;
schemamaster overbrengen- overdracht van de rol van de eigenaar van de regeling;
overdracht pdc- overdracht van de PDC-emulatorrol

Om Ntdsutil af te sluiten, voert u de opdracht q in.

6. Kijk na de overdracht van de eigenaar van het circuit systeemlog en dcdiag voor fouten. Ze zouden niet moeten bestaan. Als dat zo is, repareren we het. (Ik kwam een ​​dns-fout tegen waarbij de server klaagde over onjuist gespecificeerde servers doorsturen. Op dezelfde dag leerde ik dat DNS-forwarders niet de server mogen aangeven waarop DNS is geïnstalleerd (meestal geven ze aan DNS-server provider en Yandex (Google), wat over het algemeen logisch is, dit creëert in wezen een lus in de DNS.

7. Of de fouten nu zijn gecorrigeerd of niet. Laten we beginnen met het wijzigen van IP-adressen. We wijzen elk vrij IP-adres op het netwerk toe aan de oude PDC en wijzen het adres van de oude toe aan de nieuwe PDC.

8. Wij controleren nogmaals op fouten. Wij voeren tests uit. Schakel de oude PDC en BDC uit. Wij controleren de mogelijkheid van autorisatie in het domein. Vervolgens laten we alleen de BDC ingeschakeld en controleren of deze de rol van domeincontroller op zich neemt als de PDC niet beschikbaar is.

9. Als alle tests succesvol verlopen. Je kunt de oude PDC vernietigen en beginnen met het veranderen van de BDC-versie.

10. In ons geval kon de oude PDC nog steeds niet in de prullenbak worden gegooid omdat de DFS-naamruimterol erop functioneerde, en we niet wisten hoe we deze naar de nieuwe server moesten repliceren.

11. Alles bleek heel eenvoudig te zijn. We komen in de grafische module “DFS Management”. In "Naamruimte" voegen we bestaande naamruimten toe, vervolgens voegen we een naamruimteserver toe aan elke naamruimte en dat is het eigenlijk. dfs-wortel automatisch samen met links naar netwerkbronnen verschijnt op c:\ en alles werkt. Voor de zekerheid controleren we de werking door de oude PDC uit te zetten. In eerste instantie zullen netwerkbronnen niet beschikbaar zijn (DFS heeft 300 seconden nodig om te repliceren). Na 5 minuten zouden netwerkbronnen weer beschikbaar moeten zijn.

12. We laten de oude PDC uitgeschakeld en na enige tijd degraderen we deze naar een ledenserver en verwijderen deze vervolgens. Het is natuurlijk meteen mogelijk, maar ik was bang en tot voor kort geloofde ik niet dat alles zonder problemen verliep.

P.S.: Alle bovenstaande acties werden na zorgvuldige studie uitgevoerd Windows-boeken server 2012R2 - Volledige gids. In het bijzonder hoofdstukken die specifiek zijn gewijd aan AD, DNS en DFS, evenals aan domeincontrollers. Het is beter om deze acties niet te starten zonder begrip en planning, omdat... Het is mogelijk dat u uw werkende infrastructuur kwijtraakt.

Ik hoop dat dit artikel voor iemand nuttig en noodzakelijk zal zijn. Bedankt voor uw aandacht!



GERELATEERDE ARTIKELEN