Omdat ik kleine bedrijven van binnenuit goed ken, ben ik altijd geïnteresseerd geweest in de volgende vragen. Leg uit waarom een ​​medewerker op zijn werkcomputer de browser moet gebruiken die de systeembeheerder leuk vindt? Of neem een ​​andere software, bijvoorbeeld dezelfde archiver, e-mailclient, instant messaging-client... Ik zinspeel zachtjes op standaardisatie, en niet gebaseerd op de persoonlijke sympathie van de systeembeheerder, maar op basis van de toereikendheid van de functionaliteit , kosten voor onderhoud en ondersteuning van deze softwareproducten. Laten we IT gaan beschouwen als een exacte wetenschap, en niet als een ambacht, waarbij iedereen doet waar hij goed in is. Nogmaals, ook in kleine bedrijven zijn hier veel problemen mee. Stel je voor dat een bedrijf in een moeilijke crisistijd meerdere van deze beheerders verandert, wat moeten arme gebruikers in zo'n situatie doen? Voortdurend bijscholen?

Laten we vanaf de andere kant kijken. Elke manager moet begrijpen wat er momenteel in zijn bedrijf (ook in de IT) gebeurt. Dit is nodig om de huidige situatie te monitoren en snel te kunnen reageren op het ontstaan ​​van verschillende soorten problemen. Maar dit inzicht is belangrijker voor strategische planning. Met een sterke en betrouwbare basis kunnen we immers een huis bouwen met 3 of 5 verdiepingen, een dak met verschillende vormen maken, balkons of een wintertuin maken. Op dezelfde manier hebben we in de IT een betrouwbare basis: we kunnen later complexere producten en technologieën gebruiken om bedrijfsproblemen op te lossen.

Het eerste artikel gaat over een dergelijke basis: Active Directory-services. Ze zijn ontworpen om een ​​sterke basis te vormen voor de IT-infrastructuur van een bedrijf van elke omvang en elk activiteitengebied. Wat is het? Dus laten we hierover praten...

Laten we het gesprek beginnen met eenvoudige concepten: domein- en Active Directory-services.

Domein is de administratieve basiseenheid in de netwerkinfrastructuur van een onderneming en omvat alle netwerkobjecten zoals gebruikers, computers, printers, shares en meer. De verzameling van dergelijke domeinen wordt een forest genoemd.

Active Directory-services (Active Directory-services) zijn een gedistribueerde database die alle domeinobjecten bevat. De Active Directory-domeinomgeving biedt één enkel authenticatie- en autorisatiepunt voor gebruikers en applicaties in de hele onderneming. Met de organisatie van een domein en de implementatie van Active Directory-services begint de constructie van een zakelijke IT-infrastructuur.

De Active Directory-database wordt opgeslagen op speciale servers – domeincontrollers. Active Directory Services is een rol van Microsoft Windows Server-serverbesturingssystemen. Active Directory Services is zeer schaalbaar. In een Active Directory-forest kunnen meer dan 2 miljard objecten worden aangemaakt, waardoor de directoryservice kan worden geïmplementeerd in bedrijven met honderdduizenden computers en gebruikers. Door de hiërarchische structuur van domeinen kunt u de IT-infrastructuur flexibel schalen naar alle vestigingen en regionale afdelingen van bedrijven. Voor elke vestiging of divisie van een bedrijf kan een apart domein worden aangemaakt, met eigen beleid, eigen gebruikers en groepen. Voor elk onderliggend domein kan de administratieve bevoegdheid worden gedelegeerd aan lokale systeembeheerders. Tegelijkertijd zijn onderliggende domeinen nog steeds ondergeschikt aan hun ouders.

Bovendien kunt u met Active Directory Services vertrouwensrelaties tussen domeinforests configureren. Elk bedrijf heeft zijn eigen woud aan domeinen, elk met zijn eigen middelen. Maar soms moet u werknemers van een ander bedrijf toegang geven tot uw bedrijfsbronnen, waarbij u met gemeenschappelijke documenten en applicaties werkt als onderdeel van een gezamenlijk project. Om dit te doen kunnen vertrouwensrelaties tussen organisatieforesten worden opgezet, waardoor medewerkers van de ene organisatie kunnen inloggen op het domein van een andere organisatie.

Om fouttolerantie voor Active Directory-services te garanderen, moet u in elk domein twee of meer domeincontrollers implementeren. Alle wijzigingen worden automatisch gerepliceerd tussen domeincontrollers. Als een van de domeincontrollers uitvalt, wordt de functionaliteit van het netwerk niet beïnvloed, omdat de overige blijven werken. Er wordt een extra niveau van fouttolerantie geboden door DNS-servers op domeincontrollers in Active Directory te plaatsen, waardoor elk domein meerdere DNS-servers kan hebben die de hoofddomeinzone bedienen. En als een van de DNS-servers uitvalt, blijven de anderen werken. We zullen het hebben over de rol en het belang van DNS-servers in de IT-infrastructuur in een van de artikelen in de serie.

Maar dit zijn allemaal technische aspecten van het implementeren en onderhouden van Active Directory-services. Laten we het eens hebben over de voordelen die een bedrijf krijgt als het afstapt van peer-to-peer-netwerken en het gebruik van werkgroepen.

1. Eén authenticatiepunt

In een werkgroep moet u op elke computer of server handmatig een volledige lijst toevoegen van gebruikers die netwerktoegang nodig hebben. Als een van de medewerkers plotseling zijn wachtwoord wil wijzigen, dan zal dit op alle computers en servers moeten worden gewijzigd. Het is goed als het netwerk uit 10 computers bestaat, maar wat als het er meer zijn? Wanneer u een Active Directory-domein gebruikt, worden alle gebruikersaccounts in één database opgeslagen en kijken alle computers ernaar voor autorisatie. Alle domeingebruikers zijn opgenomen in de juiste groepen, bijvoorbeeld 'Boekhouding', 'Financiële afdeling'. Het volstaat om één keer machtigingen voor bepaalde groepen in te stellen, en alle gebruikers hebben de juiste toegang tot documenten en applicaties. Als een nieuwe medewerker bij het bedrijf komt, wordt er een account voor hem aangemaakt, dat in de juiste groep wordt opgenomen: de medewerker krijgt toegang tot alle netwerkbronnen waartoe hij toegang zou moeten krijgen. Als een medewerker ontslag neemt, blokkeer hem dan gewoon en hij verliest onmiddellijk de toegang tot alle bronnen (computers, documenten, applicaties).

2. Eén punt voor beleidsbeheer

In een werkgroep hebben alle computers gelijke rechten. Geen van de computers kan de ander besturen; het is onmogelijk om toezicht te houden op de naleving van uniform beleid en beveiligingsregels. Bij gebruik van één Active Directory worden alle gebruikers en computers hiërarchisch verdeeld over organisatie-eenheden, die allemaal onderworpen zijn aan hetzelfde groepsbeleid. Met beleid kunt u uniforme instellingen en beveiligingsinstellingen instellen voor een groep computers en gebruikers. Wanneer een nieuwe computer of gebruiker aan een domein wordt toegevoegd, ontvangt deze automatisch instellingen die voldoen aan geaccepteerde bedrijfsstandaarden. Met behulp van beleid kunt u netwerkprinters centraal aan gebruikers toewijzen, de benodigde applicaties installeren, browserbeveiligingsinstellingen instellen en Microsoft Office-applicaties configureren.

3. Verhoogd niveau van informatiebeveiliging

Het gebruik van Active Directory-services verhoogt het niveau van netwerkbeveiliging aanzienlijk. Ten eerste is het een enkele en veilige accountopslag. In een domeinomgeving worden alle domeingebruikerswachtwoorden opgeslagen op speciale domeincontrollerservers, die doorgaans beschermd zijn tegen externe toegang. Ten tweede wordt bij gebruik van een domeinomgeving het Kerberos-protocol gebruikt voor authenticatie, wat veel veiliger is dan NTLM, dat in werkgroepen wordt gebruikt.

4. Integratie met bedrijfsapplicaties en apparatuur

Een groot voordeel van Active Directory-services is de naleving van de LDAP-standaard, die wordt ondersteund door andere systemen, bijvoorbeeld mailservers (Exchange Server), proxyservers (ISA Server, TMG). En dit zijn niet noodzakelijkerwijs alleen Microsoft-producten. Het voordeel van een dergelijke integratie is dat de gebruiker niet een groot aantal logins en wachtwoorden hoeft te onthouden om toegang te krijgen tot een bepaalde applicatie. In alle applicaties heeft de gebruiker dezelfde inloggegevens - zijn authenticatie vindt plaats in één enkele Active Directory; Windows Server biedt het RADIUS-protocol voor integratie met Active Directory, dat wordt ondersteund door een groot aantal netwerkapparatuur. Zo is het bijvoorbeeld mogelijk om de authenticatie van domeingebruikers te garanderen bij verbinding via VPN van buitenaf, of het gebruik van Wi-Fi-toegangspunten in het bedrijf.

5. Uniforme opslag van applicatieconfiguratie

Sommige applicaties slaan hun configuratie op in Active Directory, zoals Exchange Server. De implementatie van de Active Directory-directoryservice is een vereiste om deze toepassingen te laten werken. Het opslaan van de applicatieconfiguratie in een directoryservice biedt voordelen op het gebied van flexibiliteit en betrouwbaarheid. Bij een volledige uitval van de Exchange-server blijft bijvoorbeeld de gehele configuratie intact. Om de functionaliteit van bedrijfsmail te herstellen, volstaat het om Exchange Server opnieuw te installeren in de herstelmodus.

Samenvattend zou ik nogmaals willen benadrukken dat Active Directory-services het hart vormen van de IT-infrastructuur van een onderneming. Bij een storing zal het hele netwerk, alle servers en het werk van alle gebruikers lamgelegd worden. Niemand kan inloggen op de computer of toegang krijgen tot zijn documenten en applicaties. Daarom moet de directoryservice zorgvuldig worden ontworpen en geïmplementeerd, waarbij rekening wordt gehouden met alle mogelijke nuances, bijvoorbeeld de bandbreedte van kanalen tussen filialen of kantoren van het bedrijf (de snelheid waarmee gebruikers inloggen op het systeem, evenals de gegevensuitwisseling tussen domeinen). controllers, hangt hiervan rechtstreeks af).

Eén van de mogelijkheden voor het opbouwen van een lokaal netwerk is een netwerkgebaseerd netwerk servers. Dit soort netwerken worden gebruikt wanneer het aantal computers groter is dan 15-20. In een dergelijke situatie is het niet langer ongepast om de zogenaamde te gebruiken werkgroepen, omdat een peer-to-peer-netwerk met zoveel knooppunten niet het noodzakelijke niveau van beheersbaarheid en controle kan bieden. In dit geval is het beter om besturingsfuncties toe te wijzen aan de beheerserver -.

Om de werking van de server te beheren, worden speciale versies van het besturingssysteem met geavanceerde beheerfuncties gebruikt. Voorbeelden van dergelijke besturingssystemen zijn WindowsServer 2008 of WindowsServer 2012.

Nadat een serverbesturingssysteem op een aparte computer is geïnstalleerd, moeten bepaalde instellingen worden gemaakt voordat het de werking van een lokaal netwerk kan organiseren. Het serverbesturingssysteem is een universeel mechanisme met zeer brede mogelijkheden, of, zoals ze vaak worden genoemd, rollen. Een van deze rollen, en waarschijnlijk de moeilijkste en verantwoordelijkste, is die van. Als u van plan bent een effectief nte hebben, moet u dit hoe dan ook configureren.

Het maken van een domeincontroller omvat het installeren van een systeemmechanisme zoals Actieve map– het belangrijkste hulpmiddel voor het aanmaken, configureren en beheren van gebruikers- en computeraccounts op een lokaal netwerk. Daarnaast worden in de regel rollen en direct toegevoegd aan de domeincontroller, waardoor de server een compleet en gebruiksklaar product wordt.

Een van de onbetwiste voordelen van een domeinsysteem is de mogelijkheid om groepsbeleid flexibel te configureren, waarmee u de toegang niet alleen tot de software, maar ook tot de hardware van de computer kunt beperken. U kunt bijvoorbeeld eenvoudig het gebruik van een dvd-station, flashdrives, enz. verbieden. Groepsbeleid start op het moment dat een gebruiker zich aanmeldt bij het netwerk. De gebruiker kan deze beperkingen dus op geen enkele manier omzeilen.

De domeincontroller is het belangrijkste en meest kwetsbare punt van het lokale netwerk, dus het wordt aanbevolen om een ​​back-upcontroller te maken. In dit geval wordt de extra domeincontroller een secundaire domeincontroller genoemd en wordt de primaire domeincontroller de primaire domeincontroller. Synchronisatie van accountgegevens en toegangsrechten vindt periodiek plaats, dus als de primaire controller uitvalt, wordt de secundaire onmiddellijk verbonden en wordt het werk op het netwerk geen seconde onderbroken. Daarnaast is het noodzakelijk om passieve domeinbescherming te bieden door een ononderbroken stroomvoorziening op de server te installeren.

Zonder in veel technisch jargon te vervallen: domeincontrollers zijn servers die Active Directory ondersteunen. Ze slaan informatie op over gebruikers- en computeraccounts die lid zijn van het domein, het schema en hun eigen recordbewuste kopie van de Active Directory-database. Bovendien fungeren domeincontrollers als de centrale beveiligingscomponent in een domein. Met zo'n organisatie kunt u op flexibele wijze het beveiligingsbeleid binnen het bedrijfsnetwerk configureren en bepaalde groepen gebruikers de toegang tot bepaalde bronnen toestaan ​​of juist weigeren.

Basisfuncties van een domeincontroller:

• Het opslaan van een volledige kopie van Active Directory-informatie die betrekking heeft op een specifiek domein, het beheren en repliceren van deze informatie naar andere controllers die in dit domein zijn opgenomen;
• Replicatie van directory-informatie gerelateerd aan alle objecten in een Active Directory-domein;
• Oplossing van replicatieconflicten wanneer hetzelfde kenmerk op verschillende controllers werd gewijzigd voordat de replicatie werd geïnitialiseerd.

Zakelijke voordelen

Voordelen van een gecentraliseerd systeem op basis van domeincontrollers:

1. Eén database voor authenticatie. De domeincontroller slaat alle accounts op in één database en elke gebruiker die deel uitmaakt van het domein van een computer neemt contact op met de domeincontroller om zich aan te melden. Door gebruikers in geschikte groepen te verdelen, wordt het eenvoudiger om gedistribueerde toegang tot documenten en applicaties te organiseren. Wanneer er dus een nieuwe medewerker verschijnt, volstaat het om een ​​account voor hem aan te maken in de juiste groep en krijgt de medewerker automatisch toegang tot alle benodigde netwerkbronnen en apparaten. Wanneer een medewerker vertrekt, volstaat het om zijn account te blokkeren om alle toegang in te trekken.
2. Eén punt voor beleidsbeheer. Met een domeincontroller kunt u computer- en gebruikersaccounts verdelen over organisatie-eenheden en daarop diverse groepsbeleidsregels toepassen, waarbij u instellingen en beveiligingsinstellingen definieert voor een groep computers en gebruikers (bijvoorbeeld toegang tot netwerkprinters, een reeks vereiste applicaties, browserinstellingen, instellingen, enz.). Wanneer een nieuwe computer of gebruiker aan het domein wordt toegevoegd, ontvangt deze dus automatisch alle instellingen en toegangen die voor een bepaalde afdeling zijn gedefinieerd.
3. Veiligheid. Flexibele configuratie van authenticatie- en autorisatieprocedures, gecombineerd met gecentraliseerd beheer, kan de veiligheid van de IT-infrastructuur binnen de organisatie aanzienlijk vergroten. Bovendien wordt de domeincontroller fysiek op een speciale plaats geïnstalleerd, beschermd tegen toegang van buitenaf.
4. Vereenvoudigde integratie met andere diensten. Door een domeincontroller als enkel authenticatiepunt te gebruiken, kunnen gebruikers dezelfde account gebruiken wanneer ze met extra tools en services werken (bijvoorbeeld e-mailservices, kantoorprogramma's, proxy's, instant messengers, enz.).

Instellingen

Een domeincontroller op basis van Active Directory Domain Service is een belangrijk onderdeel van de IT-infrastructuur en biedt zowel toegangscontrole als gegevensbescherming binnen de organisatie. Het functioneren van niet alleen de domeincontroller zelf, maar ook van Active Directory als geheel (bijvoorbeeld de distributie van beveiligingsbeleid en toegangsregels), wat op zijn beurt de werking van alle gerelateerde services beïnvloedt en ook het beveiligingsniveau bepaalt, hangt af van over de juiste configuratie van de domeincontroller. Kies de beste ontwikkelaars in de sectie.

Domeincontrollers zijn servers die Active Directory ondersteunen. Elke domeincontroller heeft zijn eigen beschrijfbare kopie van de Active Directory-database. Domeincontrollers fungeren als de centrale beveiligingscomponent in een domein.

Alle beveiligings- en accountverificatiebewerkingen worden uitgevoerd op de domeincontroller. Elk domein moet minimaal één domeincontroller hebben. Om fouttolerantie te garanderen, wordt aanbevolen dat u voor elk domein minimaal twee domeincontrollers installeert.

In het Windows NT-besturingssysteem ondersteunde slechts één domeincontroller het schrijven van databases, wat betekent dat een verbinding met een domeincontroller vereist was om gebruikersaccountinstellingen te maken en te wijzigen.

Deze controleur werd gebeld primaire domeincontroller (PDC). Vanaf het Windows 2000-besturingssysteem werd de architectuur van domeincontrollers opnieuw ontworpen om de mogelijkheid te bieden de Active Directory-database op elke domeincontroller bij te werken. Nadat de database op één domeincontroller was bijgewerkt, werden de wijzigingen gerepliceerd naar alle andere controllers.

Hoewel alle domeincontrollers het schrijven naar databases ondersteunen, zijn ze niet identiek. Active Directory-domeinen en -forests hebben taken die worden uitgevoerd door specifieke domeincontrollers. Domeincontrollers met extra verantwoordelijkheden staan ​​bekend als operatie meesters. In sommige Microsoft-materialen worden dergelijke systemen genoemd Flexibele Single-Master-bewerkingen (FSMO). Velen geloven dat de term FSMO alleen al zo lang wordt gebruikt omdat het acroniem zo grappig klinkt als het wordt uitgesproken.

Er zijn vijf Operations-masterrollen. Standaard worden alle vijf de rollen toegekend aan de eerste domeincontroller in het Active Directory-forest. De drie operations-masterrollen worden gebruikt op domeinniveau en worden toegewezen aan de eerste domeincontroller in het gemaakte domein. Met de Active Directory-hulpprogramma's die hierna worden besproken, kunt u operations-masterrollen van de ene domeincontroller naar een andere domeincontroller overbrengen. Daarnaast kunt u een domeincontroller dwingen een specifieke rol als meester van de bewerking op zich te nemen.

Er zijn twee operations-masterrollen die op forestniveau werken.

• Domeinnaamgevingsmaster- Er moet contact worden opgenomen met deze bewerkingsmasters wanneer naamswijzigingen worden aangebracht binnen de forest-domeinhiërarchie. De taak van de domeinnaammeester is ervoor te zorgen dat domeinnamen uniek zijn binnen het forest. Deze rol van operations-master moet beschikbaar zijn bij het maken van nieuwe domeinen, het verwijderen van domeinen of het hernoemen van domeinen
• Schemameester- de rol van schemamaster behoort tot de enige domeincontroller binnen het forest waar wijzigingen in het schema kunnen worden aangebracht. Zodra er wijzigingen zijn aangebracht, worden deze gerepliceerd naar alle andere domeincontrollers in het forest. Als voorbeeld van de noodzaak om wijzigingen in het schema aan te brengen, kunt u overwegen het Microsoft Exchange Server-softwareproduct te installeren. Hierdoor wordt het schema gewijzigd, zodat de beheerder tegelijkertijd gebruikersaccounts en mailboxen kan beheren

Elke rol op forestniveau kan slechts eigendom zijn van één domeincontroller binnen het forest. Dat wil zeggen dat u één controller kunt gebruiken als domeinnaamgevingsmaster en een tweede controller als schemamaster. Bovendien kunnen beide rollen aan dezelfde domeincontroller worden toegewezen. Dit is de standaardrolverdeling.

Elk domein binnen een forest heeft een domeincontroller die elk van de rollen op domeinniveau uitvoert.

• Relatieve identificatiemaster (RID-master)- De meester van de relatieve identificatiegegevens is verantwoordelijk voor het toekennen van relatieve identificatiegegevens. Relatieve identificatiegegevens zijn een uniek onderdeel van de Beveiligings-ID (SID) die wordt gebruikt om een ​​beveiligingsobject (gebruiker, computer, groep, enz.) binnen een domein te identificeren. Een van de hoofdtaken van de relatieve identificatiemaster is het verwijderen van een object uit het ene domein en het toevoegen van een object aan een ander domein bij het verplaatsen van objecten tussen domeinen.
• Meester van de infrastructuur- de taak van de infrastructuureigenaar is het synchroniseren van het groepslidmaatschap. Wanneer er wijzigingen worden aangebracht in de samenstelling van groepen, informeert de infrastructuureigenaar alle andere domeincontrollers over de wijzigingen.
• Primaire domeincontroller-emulator (PDC-emulator)- Deze rol wordt gebruikt om een ​​primaire domeincontroller van Windows NT 4 te emuleren ter ondersteuning van back-updomeincontrollers van Windows NT 4. Een ander doel van de emulator van de primaire domeincontroller is het bieden van een centraal beheerpunt voor wijzigingen in gebruikerswachtwoorden en voor het blokkeren van gebruikers. beleid.

Het woord 'beleid' wordt in deze sectie vrij vaak gebruikt om te verwijzen naar groepsbeleidsobjecten (GPO's). Groepsbeleidsobjecten zijn een van de belangrijkste nuttige functies van Active Directory en worden besproken in het overeenkomstige artikel, hieronder gelinkt.

In onze organisatie gebeurde het zo dat de infrastructuur snel klaar moest zijn en dat het aanschaffen van licenties tijd kostte. Daarom werd besloten om Windows Server 2012R2 Evaluatie-images te gebruiken en deze na de testperiode in licentie te geven. Destijds wist niemand dat je niet zomaar een Standaardlicentie in de Evaluatieversie kon schrijven en als gevolg daarvan een gelicentieerde Standaard kon krijgen, anders had je, denk ik, eerst licenties gekocht. Maar er is niets aan te doen, wat we hebben is waar we mee werken. Dus.

Taak: Nadat u Microsoft-licenties voor Windows server 2012R2 Standard heeft aangeschaft, dient u deze op onze servers te activeren. Laten we beginnen.

Er is een probleem opgetreden tijdens het uitvoeren van de taak. Sinds we in eerste instantie Windows server 2012R2 Standard Evaluation hebben geïnstalleerd, zegt de server dat deze sleutel er niet geschikt voor is als we een sleutel voor Standard proberen te registreren. We zijn op zoek gegaan naar een oplossing voor het probleem van het overzetten van de server van de evaluatieversie naar de standaardversie. Het antwoord werd gevonden op de Microsoft-website in een TechNet-artikel.

Het artikel heeft gedeeltelijk geholpen het probleem op te lossen. Op drie fysieke servers hebben we de versie kunnen wijzigen en activeren met onze licenties. Maar helaas was niet alles zo eenvoudig met domeincontrollers. In het bovenstaande artikel staat expliciet dat domeincontrollers NIET van Evaluation naar Standard kunnen worden gemigreerd. We moeten dit zo snel mogelijk doen, omdat... PDC heeft geen /rearm-opties meer en er zijn nog minder dan 3 dagen over voordat de proefversie eindigt.

Ik zag twee opties om het probleem op te lossen. Of, afwisselend tussen de BDC en de PDC, de rechten van de eigenaar van het schema en andere rollen overdragen, het degraderen naar lidservers en het vervolgens weer verhogen. Maar ik verwierp het idee van dit domeinvolleybal, omdat ik dit allemaal gewoon voor het eerst deed en bang was het te verbreken.

Daarom werd besloten om een ​​nieuwe server op te richten, deze te promoveren tot domeincontroller en de eigenaar van het circuit ernaar over te dragen, en vervolgens de oude PDC uit te schakelen en het IP-adres aan de nieuwe toe te wijzen. Deze optie leek eenvoudiger en veiliger; ik dan. Ik merk op dat ik dit na de hieronder beschreven gebeurtenissen nog steeds een goede beslissing vind, alles is in ieder geval zonder incidenten verlopen, anders had het artikel een heel andere titel gehad, of zou het helemaal niet hebben bestaan.

Het schema kan gedurende de werkdag zonder problemen worden gereproduceerd. Er was nog anderhalve dag over, dus er was geen tijd om te dromen over hoe ik dit allemaal zou doen, ik moest dringend beginnen. Verdere stappen stap voor stap.

1. We creëren een nieuwe virtuele machine met parameters die overeenkomen met de huidige PDC. Het is raadzaam om het op een fysieke server te maken waarop geen andere domeincontrollers staan, maar als je meerdere hypervisors hebt, zoals in mijn geval, zo niet, dan is dit niet belangrijk, de enige vraag is fouttolerantie. Nou, als je niet met hypervisors werkt, maar met echte servers, dan is de fouttolerantie van PDC en BDC vanzelfsprekend.

2. Windows Server 2012R2 installeren. Selecteer de Standard-editie met een grafische interface. Wij configureren TCP/IP en hernoemen de server volgens de standaardnamen in de IT-infrastructuur.

3. Schakel na de installatie nieuwe rollen voor de server in Serverbeheer in. We zijn geïnteresseerd in AD, DNS en andere rollen en componenten die worden gebruikt op huidige domeincontrollers.

4. We promoveren de server naar een domeincontroller. Er vindt replicatie plaats tussen de primaire domeincontroller en de nieuwe.

5. We dragen de rollen van de circuiteigenaar over van het oude DC naar het nieuwe.
Om dit te doen, gaat u naar de domeincontroller waaraan FSMO-rollen worden toegewezen, start u de opdrachtregel en voert u de opdrachten in de onderstaande volgorde in:

ntdsutil
rollen
verbindingen
verbinding maken met de server<имя сервера PDC>
Q

Nadat we met succes verbinding hebben gemaakt met de server, ontvangen we een uitnodiging om rollen te beheren (FSMO-onderhoud) en kunnen we beginnen met het overdragen van rollen:

naamgevingsmaster overbrengen- overdracht van de rol van domeinnaamhouder.
infrastructuurmeester overdragen- overdracht van de rol van infrastructuureigenaar;
overdracht meester- overdracht van de RID-masterrol;
schemamaster overbrengen- overdracht van de rol van de eigenaar van de regeling;
overdracht pdc- overdracht van de PDC-emulatorrol

Om Ntdsutil af te sluiten, voert u de opdracht q in.

6. Nadat u de eigenaar van het circuit hebt overgedragen, controleert u het systeemlogboek en dcdiag op fouten. Ze zouden niet moeten bestaan. Als dat zo is, repareren we het. (Ik kwam een ​​dns-fout tegen, waarbij de server klaagde over verkeerd gespecificeerde doorstuurservers. Op dezelfde dag hoorde ik dat de DNS-doorstuurservers niet de server mogen aangeven waarop DNS is geïnstalleerd (meestal de DNS-servers van de provider en Yandex (Google) aangegeven), wat over het algemeen logisch is, creëert dit in wezen een lus in de DNS.

7. Of de fouten nu zijn gecorrigeerd of niet. Laten we beginnen met het wijzigen van IP-adressen. We wijzen elk vrij IP-adres op het netwerk toe aan de oude PDC en wijzen het adres van de oude toe aan de nieuwe PDC.

8. Wij controleren nogmaals op fouten. Wij voeren tests uit. Schakel de oude PDC en BDC uit. Wij controleren de mogelijkheid van autorisatie in het domein. Vervolgens laten we alleen de BDC ingeschakeld en controleren of deze de rol van domeincontroller op zich neemt als de PDC niet beschikbaar is.

9. Als alle tests met succes zijn geslaagd. Je kunt de oude PDC vernietigen en beginnen met het veranderen van de BDC-versie.

10. In ons geval kon de oude PDC nog steeds niet in de prullenbak worden gegooid omdat de DFS-naamruimterol erop functioneerde, en we niet wisten hoe we deze naar de nieuwe server moesten repliceren.

11. Alles bleek heel eenvoudig te zijn. We komen in de grafische module “DFS Management”. In "Naamruimte" voegen we bestaande naamruimten toe, vervolgens voegen we een naamruimteserver toe aan elke naamruimte en dat is het eigenlijk. De dfs-root verschijnt automatisch op c:\ samen met links naar netwerkbronnen en alles werkt. Voor de zekerheid controleren we de werking door de oude PDC uit te zetten. In eerste instantie zullen netwerkbronnen niet beschikbaar zijn (DFS heeft 300 seconden nodig om te repliceren). Na 5 minuten zouden netwerkbronnen weer beschikbaar moeten zijn.

12. We laten de oude PDC uitgeschakeld en na enige tijd degraderen we deze naar een ledenserver en verwijderen deze vervolgens. Het is natuurlijk meteen mogelijk, maar ik was bang en tot voor kort geloofde ik niet dat alles zonder problemen verliep.

P.S.: Alle bovenstaande stappen zijn uitgevoerd na het zorgvuldig bestuderen van het boek Windows server 2012R2 - The Complete Guide. In het bijzonder hoofdstukken die specifiek zijn gewijd aan AD, DNS en DFS, evenals aan domeincontrollers. Het is beter om deze acties niet te starten zonder begrip en planning, omdat... Het is mogelijk dat u uw werkende infrastructuur kwijtraakt.

Ik hoop dat dit artikel voor iemand nuttig en noodzakelijk zal zijn. Bedankt voor uw aandacht!