Microsoft Active Directory เป็นมาตรฐานในโครงสร้างพื้นฐานที่จำเป็นต้องมีการรับรองความถูกต้องของผู้ใช้และการจัดการแบบรวมศูนย์ แทบจะเป็นไปไม่ได้เลยที่จะจินตนาการว่าผู้ดูแลระบบจะรับมือกับงานของตนได้อย่างไรหากไม่มีเทคโนโลยีนี้ อย่างไรก็ตาม โดยใช้แอคทีฟไดเรกทอรีไม่เพียงแต่นำมา ประโยชน์ที่ดีแต่ยังมีความรับผิดชอบสูงซึ่งต้องใช้เวลาและความเข้าใจในกระบวนการทำงานเป็นอย่างมาก ดังนั้นฉันจึงนำเสนอบทความหลายบทความที่จะบอกวิธีสำรองและกู้คืน Active Directory ให้สำเร็จโดยใช้โซลูชัน Veeam โดยเฉพาะอย่างยิ่ง ฉันจะอธิบายว่า Veeam ช่วยคุณสร้างสำเนาของตัวควบคุมโดเมน (DC) หรือออบเจ็กต์ AD แต่ละรายการและกู้คืนหากจำเป็นได้อย่างไร

และฉันจะเริ่มต้นด้วยการบอกว่าในโพสต์ของวันนี้ฉันจะพูดถึงความเป็นไปได้ในการสำรองข้อมูลทางกายภาพและ ตัวควบคุมเสมือนโดเมนที่ Veeam มอบให้ และสิ่งที่คุณต้องจำระหว่างการสำรองข้อมูล สำหรับรายละเอียด - ใต้แมว

บริการ Active Directory ได้รับการออกแบบโดยคำนึงถึงความซ้ำซ้อน ดังนั้นนโยบายและกลยุทธ์การสำรองข้อมูลแบบเดิมๆ จึงต้องปรับเปลี่ยนให้สอดคล้องกัน ใน ในกรณีนี้การใช้นโยบายการสำรองข้อมูลเดียวกันกับที่ใช้กับเซิร์ฟเวอร์ SQL หรือ Exchange อยู่แล้วอาจเป็นเรื่องผิด คำแนะนำบางส่วนที่สามารถช่วยได้ในการพัฒนานโยบายการสำรองข้อมูลสำหรับ Active Directory:

1. ค้นหาว่าตัวควบคุมโดเมนใดในสภาพแวดล้อมของคุณที่มีบทบาท FSMO (Flexible Single Master Operations)
   สุขภาพดี: คำสั่งง่ายๆเพื่อตรวจสอบผ่านทางบรรทัดคำสั่ง: > แบบสอบถาม netdom fsmo
   ดำเนินการ ฟื้นตัวเต็มที่โดเมน ควรเริ่มต้นด้วยตัวควบคุมโดเมนด้วย จำนวนที่ใหญ่ที่สุดบทบาท FSMO - โดยทั่วไปคือเซิร์ฟเวอร์ที่มีบทบาทตัวจำลอง Primary Domain Controller (PDC) มิฉะนั้น หลังจากการกู้คืน คุณจะต้องกำหนดบทบาทที่เหมาะสมใหม่ด้วยตนเอง (โดยใช้คำสั่ง ntdsutil seize)
2. หากคุณต้องการปกป้องแต่ละอ็อบเจ็กต์ คุณไม่จำเป็นต้องสำรองข้อมูลคอนโทรลเลอร์ทั้งหมดที่มีอยู่ในไซต์การผลิต หากต้องการคืนค่าแต่ละออบเจ็กต์ สำเนาฐานข้อมูล Active Directory หนึ่งชุด (ไฟล์ ntds.dit) ก็เพียงพอแล้ว
3. มีตัวเลือกอยู่เสมอในการลดความเสี่ยงของการลบหรือแก้ไขออบเจ็กต์ AD โดยไม่ได้ตั้งใจหรือโดยเจตนา เราสามารถแนะนำการมอบอำนาจการบริหาร การจำกัดการเข้าถึงจาก สิทธิที่สูงขึ้นรวมถึงการจำลองข้อมูลไปยังไซต์สำรองข้อมูลด้วยความล่าช้าที่ตั้งไว้ล่วงหน้า
4. โดยปกติจะแนะนำให้สำรองข้อมูลตัวควบคุมโดเมนทีละตัว และเพื่อไม่ให้ทับซ้อนกัน การจำลองแบบ DFS- แม้ว่า โซลูชั่นที่ทันสมัยรู้วิธีการแก้ปัญหานี้
5. หากคุณกำลังใช้ สภาพแวดล้อมเสมือนจริง VMware ตัวควบคุมโดเมนอาจไม่สามารถเข้าถึงได้ผ่านเครือข่าย (ตัวอย่างเช่น อยู่ในโซน DMZ) ในสถานการณ์นี้ Veeam จะเปลี่ยนไปใช้การเชื่อมต่อผ่าน VMware VIX และสามารถประมวลผลคอนโทรลเลอร์นี้ได้

หากคุณมี DC เสมือน

เพราะ บริการที่ใช้งานอยู่เนื่องจากไดเร็กทอรีใช้ทรัพยากรระบบเพียงเล็กน้อย ตัวควบคุมโดเมนจึงมักจะเป็นตัวเลือกแรกสำหรับการจำลองเสมือน เพื่อรักษาความปลอดภัยตัวควบคุมเสมือนด้วย Veeam คุณต้องติดตั้งและกำหนดค่า วีม แบ็คอัพ&การจำลองแบบ

สำคัญ!โซลูชันนี้ใช้งานได้กับตัวควบคุมโดเมน VM วินโดวส์เซิร์ฟเวอร์ 2003 SP1 และสูงกว่า ระดับการทำงานของฟอเรสต์ที่รองรับขั้นต่ำคือ Windows 2003 บัญชีจะต้องได้รับสิทธิ์ผู้ดูแลระบบ Active Directory - คุณสามารถทำงานภายใต้บัญชีองค์กรหรือผู้ดูแลระบบโดเมนได้
กระบวนการติดตั้งและกำหนดค่า Veeam Backup & Replication ได้รับการกล่าวถึงหลายครั้งแล้ว - ตัวอย่างเช่นในวิดีโอที่จัดทำโดยวิศวกรระบบของ Veeam ดังนั้นเราจะข้ามรายละเอียดไป สมมติว่าทุกอย่างได้รับการตั้งค่าและพร้อมที่จะใช้งาน ตอนนี้คุณต้องสร้างงานสำรองข้อมูลตัวควบคุมโดเมน กระบวนการตั้งค่านั้นค่อนข้างง่าย:

สามารถเลือกบันทึกข้อมูลสำรองลงในคลาวด์ได้โดยใช้ผู้ให้บริการ Veeam Cloud Connect (VCC) คุณยังสามารถย้ายไปยังที่เก็บข้อมูลสำรองอื่นได้โดยใช้งานการสำรองข้อมูลแบบถาวรหรือฟังก์ชันการเก็บถาวรเทป สิ่งที่สำคัญที่สุดคือตอนนี้สำเนาสำรองถูกเก็บไว้ในที่ปลอดภัยและคุณสามารถกู้คืนข้อมูลที่จำเป็นได้ตลอดเวลา

หากคุณมี DC ทางกายภาพ

จริงๆ แล้ว ฉันหวังว่าคุณจะตามทัน และบริษัทของคุณก็ทำการจำลองโดเมนคอนโทรลเลอร์มาเป็นเวลานานแล้ว หากไม่เป็นเช่นนั้น ฉันหวังว่าคุณจะอัปเดตเป็นประจำและทำงานได้ค่อนข้างดี รุ่นที่ทันสมัยระบบปฏิบัติการ Windows Server - Windows Server 2008 (R2) และสูงกว่า (จะมีบทความแยกต่างหากเกี่ยวกับความแตกต่างของการทำงานกับระบบรุ่นเก่า)

ดังนั้น คุณมีตัวควบคุมโดเมนทางกายภาพอย่างน้อยหนึ่งตัวที่ใช้ Windows Server 2008 R2 และสูงกว่า และคุณต้องการปกป้องตัวควบคุมเหล่านั้น ในกรณีนี้ คุณจะต้องมี Veeam Endpoint Backup ซึ่งเป็นโซลูชันที่ออกแบบมาเพื่อการปกป้องข้อมูลโดยเฉพาะ คอมพิวเตอร์ทางกายภาพและเซิร์ฟเวอร์ Veeam Endpoint Backup จะคัดลอกข้อมูลที่จำเป็นจาก เครื่องทางกายภาพและบันทึกเป็นไฟล์สำรอง ในกรณีที่เกิดความเสียหาย คุณสามารถกู้คืนข้อมูล "เป็น Bare Metal" หรือทำการกู้คืนที่ระดับโลจิคัลดิสก์ได้ นอกจากนี้ คุณยังสามารถกู้คืนแต่ละอ็อบเจ็กต์ได้โดยใช้ Veeam Explorer สำหรับ Microsoft Active Directory

เราทำสิ่งต่อไปนี้:

เพียงเท่านี้ การสำรองข้อมูลเสร็จสมบูรณ์ ตัวควบคุมโดเมนได้รับการป้องกัน ไปที่พื้นที่เก็บข้อมูลและค้นหาเชนข้อมูลสำรองหรือข้อมูลสำรองที่คุณต้องการ

หากคุณได้กำหนดค่าพื้นที่เก็บข้อมูล Veeam Backup & Replication เป็นปลายทางสำหรับการสำรองข้อมูล การสำรองข้อมูลที่สร้างขึ้นใหม่จะแสดงในแผงการสำรองข้อมูล > โครงสร้างพื้นฐานของดิสก์ รายการ Endpoint Backups

แทนที่จะได้ข้อสรุป

แน่นอนว่าการสำรองข้อมูลที่ประสบความสำเร็จถือเป็นการเริ่มต้นที่ดี แต่ไม่ใช่เรื่องราวทั้งหมด แน่นอนว่าการสำรองข้อมูลจะไม่คุ้มค่าหากไม่สามารถกู้คืนข้อมูลได้ ดังนั้นในบทความหน้าผมจะพูดถึงสถานการณ์ต่างๆ การกู้คืนใช้งานอยู่ไดเร็กทอรี รวมถึงการกู้คืนตัวควบคุมโดเมน รวมถึงการกู้คืนออบเจ็กต์ที่ถูกลบและแก้ไขแต่ละรายการโดยใช้เครื่องมือของ Microsoft และ Veeam Explorer สำหรับ Active Directory

อัปเดต:ฉันสร้างช่องวิดีโอบน YouTube โดยฉันจะค่อยๆ โพสต์วิดีโอการฝึกอบรมเกี่ยวกับไอทีทุกด้านที่ฉันเชี่ยวชาญ ติดตาม: http://www.youtube.com/user/itsemaev

UPD2: Microsoft มักจะเปลี่ยนไวยากรณ์ตามปกติ บรรทัดคำสั่งดังนั้นบทบาทใน Windows Server แต่ละเวอร์ชันจึงอาจมีเสียงที่แตกต่างกัน พวกเขาไม่ได้เรียกว่า fsmo อีกต่อไป แต่เป็นผู้เชี่ยวชาญด้านการดำเนินการ ดังนั้นสำหรับคำสั่งที่ถูกต้องในคอนโซลหลังการบำรุงรักษา fsmo เพียงแค่เขียน? และมันจะแสดงคำสั่งที่ใช้ได้

ในนิตยสารเดือนเมษายนของฉัน" ผู้ดูแลระบบ" เอาบทความในหัวข้อ "การแทนที่ตัวควบคุมโดเมนที่ล้าสมัยหรือล้มเหลวโดยไม่เจ็บปวดด้วย ใช้ระบบปฏิบัติการ Windowsเซิร์ฟเวอร์"

และพวกเขายังจ่ายเงินหนึ่งร้อยดอลลาร์และมอบถุงสมองให้ฉันด้วย)) ตอนนี้ฉันคือโอโนโทลแล้ว

แทนที่ตัวควบคุมโดเมน Windows Server ที่ล้าสมัยหรือล้มเหลวอย่างไม่ลำบาก(ถ้าใครต้องการฉันจะส่งรูปให้คุณ)

หากตัวควบคุมโดเมนของคุณล้มเหลวหรือล้าสมัยโดยสิ้นเชิงและจำเป็นต้องเปลี่ยน อย่ารีบเร่งที่จะวางแผนที่จะใช้เวลาสุดสัปดาห์ถัดไปในการสร้างโดเมนใหม่บนเซิร์ฟเวอร์ใหม่และถ่ายโอนเครื่องของผู้ใช้ไปยังโดเมนนั้นอย่างอุตสาหะ การจัดการที่มีความสามารถตัวควบคุมโดเมนสำรองจะช่วยให้คุณเปลี่ยนเซิร์ฟเวอร์ก่อนหน้าได้อย่างรวดเร็วและไม่ลำบาก

ผู้ดูแลระบบเกือบทุกคนที่ทำงานกับเซิร์ฟเวอร์ที่ใช้ Windows ไม่ช้าก็เร็วต้องเผชิญกับความจำเป็นในการเปลี่ยนตัวควบคุมโดเมนหลักที่ล้าสมัยโดยสิ้นเชิง การอัปเกรดเพิ่มเติมนั้นไม่สมเหตุสมผลอีกต่อไปด้วยอันใหม่ที่ตรงตามข้อกำหนดที่ทันสมัยกว่า มีสถานการณ์ที่เลวร้ายยิ่งกว่านั้นอีก - ตัวควบคุมโดเมนใช้งานไม่ได้เนื่องจากการพังใน ระดับทางกายภาพและข้อมูลสำรองและรูปภาพล้าสมัยหรือสูญหาย
โดยหลักการแล้วคำอธิบายของขั้นตอนการแทนที่ตัวควบคุมโดเมนหนึ่งด้วยตัวควบคุมโดเมนอื่นสามารถพบได้ในฟอรัมต่าง ๆ แต่ข้อมูลจะได้รับเป็นส่วนย่อยและตามกฎแล้วใช้เฉพาะกับ สถานการณ์เฉพาะอย่างไรก็ตาม ไม่ได้ให้วิธีแก้ปัญหาที่แท้จริง นอกจากนี้ แม้จะอ่านฟอรั่ม ฐานความรู้ และแหล่งข้อมูลอื่นๆ มากมายแล้วก็ตาม ภาษาอังกฤษ- ฉันสามารถดำเนินการตามขั้นตอนการเปลี่ยนตัวควบคุมโดเมนได้อย่างถูกต้องโดยไม่มีข้อผิดพลาดเพียงครั้งที่สามหรือสี่เท่านั้น
เลยอยากนำมา. คำแนะนำทีละขั้นตอนแทนที่ตัวควบคุมโดเมน โดยไม่คำนึงว่าตัวควบคุมโดเมนจะทำงานหรือไม่ก็ตาม ข้อแตกต่างเพียงอย่างเดียวคือในกรณีของตัวควบคุม "ล้ม" บทความนี้จะช่วยได้ก็ต่อเมื่อคุณดูแลล่วงหน้าและปรับใช้ตัวควบคุมโดเมนสำรอง

การเตรียมเซิร์ฟเวอร์สำหรับการเลื่อนตำแหน่ง/ลดตำแหน่ง

ขั้นตอนการสร้างนั้นเอง ตัวควบคุมการสำรองข้อมูลโดเมนนั้นเรียบง่าย - เราเพียงเรียกใช้ตัวช่วยสร้าง dcpromo บนเซิร์ฟเวอร์ใดก็ได้บนเครือข่าย การใช้ตัวช่วยสร้าง dcpromo เราสร้างตัวควบคุมโดเมนในโดเมนที่มีอยู่ จากการเปลี่ยนแปลงเหล่านี้ เราจึงได้รับบริการไดเรกทอรี AD ที่ปรับใช้บนเซิร์ฟเวอร์เพิ่มเติมของเรา (ฉันจะเรียกมันว่าเซิร์ฟเวอร์ และตัวควบคุมหลัก - dcserver)
ถัดไป หาก dcpromo ไม่ได้แนะนำ ให้เรียกใช้งาน การติดตั้ง DNSเซิร์ฟเวอร์ คุณไม่จำเป็นต้องเปลี่ยนการตั้งค่าใดๆ และไม่จำเป็นต้องสร้างโซนด้วย โดยโซนจะถูกจัดเก็บไว้ใน AD และบันทึกทั้งหมดจะถูกจำลองไปยังตัวควบคุมการสำรองข้อมูลโดยอัตโนมัติ ข้อควรสนใจ - โซนหลักใน DNS จะปรากฏขึ้นหลังจากการจำลองแบบเท่านั้น เพื่อเร่งความเร็วในการรีบูตเซิร์ฟเวอร์ ในการตั้งค่า TCP/IP การ์ดเครือข่ายตัวควบคุมโดเมนสำรองพร้อมที่อยู่ของตัวควบคุมโดเมนหลัก เซิร์ฟเวอร์ DNSและต้องระบุที่อยู่ IP ของตัวควบคุมโดเมนหลัก
ตอนนี้คุณสามารถตรวจสอบการทำงานของเซิร์ฟเวอร์ตัวควบคุมโดเมนสำรองได้อย่างง่ายดาย เราสามารถสร้างผู้ใช้โดเมนได้ทั้งบนตัวควบคุมโดเมนหลักและสำรอง ทันทีหลังจากการสร้าง มันจะปรากฏบนเซิร์ฟเวอร์ที่ซ้ำกัน แต่ภายในหนึ่งนาที (ในขณะที่กำลังทำการจำลอง) มันจะแสดงเป็นปิดการใช้งาน หลังจากนั้นมันจะเริ่มปรากฏเหมือนกันบนคอนโทรลเลอร์ทั้งสองตัว
เมื่อดูอย่างรวดเร็ว ขั้นตอนทั้งหมดในการสร้างรูปแบบการทำงานสำหรับการโต้ตอบของตัวควบคุมโดเมนหลายตัวได้เสร็จสิ้นแล้ว และตอนนี้หากตัวควบคุมโดเมน "หลัก" ล้มเหลว ตัวควบคุม "สำรอง" จะทำหน้าที่ของมันโดยอัตโนมัติ อย่างไรก็ตาม แม้ว่าความแตกต่างระหว่างตัวควบคุมโดเมน "หลัก" และ "สำรอง" นั้นเป็นเพียงค่าเล็กน้อย แต่ตัวควบคุมโดเมน "หลัก" มีคุณลักษณะหลายประการ (บทบาท FSMO) ที่ไม่ควรลืม ดังนั้น การดำเนินการข้างต้นจึงไม่เพียงพอสำหรับการทำงานปกติของบริการไดเร็กทอรีเมื่อตัวควบคุมโดเมน "หลัก" ล้มเหลว และการดำเนินการที่ต้องดำเนินการเพื่อโอน/ยึดบทบาทของตัวควบคุมโดเมนหลักอย่างมีประสิทธิภาพจะอธิบายไว้ด้านล่าง

ทฤษฎีเล็กน้อย

จำเป็นต้องรู้ว่าผู้ควบคุม โดเมนใช้งานอยู่ไดเร็กทอรีมีบทบาทหลายประเภท บทบาทเหล่านี้เรียกว่า FSMO (การดำเนินการหลักเดียวที่ยืดหยุ่น):
- Schema Master (สคีมามาสเตอร์) - บทบาทมีหน้าที่รับผิดชอบในการเปลี่ยนแปลงสคีมา - เช่น การขยาย เซิร์ฟเวอร์แลกเปลี่ยนหรือเซิร์ฟเวอร์ ISA หากเจ้าของบทบาทไม่พร้อมใช้งาน คุณจะไม่สามารถเปลี่ยนสคีมาของโดเมนที่มีอยู่ได้
- Domain Naming Master (หลักการดำเนินการตั้งชื่อโดเมน) - บทบาทจำเป็นหากมีหลายโดเมนหรือโดเมนย่อยในฟอเรสต์โดเมนของคุณ หากไม่มีสิ่งนี้ จะไม่สามารถสร้างและลบโดเมนในฟอเรสต์โดเมนเดียวได้
- Relative ID Master (Relative ID Master) - รับผิดชอบในการสร้าง ID เฉพาะสำหรับวัตถุ AD แต่ละรายการ
- Primary Domain Controller Emulator - รับผิดชอบในการทำงานกับบัญชีผู้ใช้และนโยบายความปลอดภัย การขาดการสื่อสารทำให้คุณสามารถเข้าสู่เวิร์กสเตชันด้วยรหัสผ่านเก่าซึ่งไม่สามารถเปลี่ยนแปลงได้หากตัวควบคุมโดเมน "ตก"
- Infrastructure Master (Infrastructure Master) - บทบาทมีหน้าที่รับผิดชอบในการส่งข้อมูลเกี่ยวกับวัตถุ AD ไปยังตัวควบคุมโดเมนอื่นทั่วทั้งฟอเรสต์
บทบาทเหล่านี้เขียนในรายละเอียดเพียงพอในฐานความรู้หลายแห่ง แต่บทบาทหลักมักถูกลืมไปเกือบทุกครั้ง - นี่คือบทบาทของ Global Catalog ในความเป็นจริงไดเร็กทอรีนี้เพิ่งเปิดตัวบริการ LDAP บนพอร์ต 3268 แต่ไม่สามารถเข้าถึงได้อย่างแน่นอนซึ่งจะไม่อนุญาต ผู้ใช้โดเมนเข้าสู่ระบบ. สิ่งที่น่าสังเกตคือตัวควบคุมโดเมนทั้งหมดสามารถมีบทบาทแค็ตตาล็อกส่วนกลางได้ในเวลาเดียวกัน

ในความเป็นจริง เราสามารถสรุปได้ว่าหากคุณมีโดเมนดั้งเดิมสำหรับเครื่อง 30-50 เครื่อง โดยไม่มีโครงสร้างพื้นฐานเพิ่มเติม ซึ่งไม่รวมโดเมนย่อย คุณอาจไม่สังเกตเห็นการขาดการเข้าถึงของเจ้าของ/เจ้าของสองบทบาทแรก นอกจากนี้หลายครั้งที่ฉันเจอองค์กรที่ทำงานอยู่ มากกว่าหนึ่งปีโดยไม่มีตัวควบคุมโดเมนเลย แต่อยู่ในโครงสร้างพื้นฐานของโดเมน นั่นคือมีการเผยแพร่สิทธิ์ทั้งหมดมานานแล้ว โดยที่ตัวควบคุมโดเมนทำงานอยู่ และไม่จำเป็นต้องเปลี่ยน ผู้ใช้ไม่ได้เปลี่ยนรหัสผ่านและทำงานอย่างเงียบๆ

กำหนดเจ้าของบทบาท fsmo ปัจจุบัน

ให้ฉันชี้แจง - เราต้องการแทนที่ตัวควบคุมโดเมนอย่างชาญฉลาดโดยไม่สูญเสียความสามารถใดๆ ในกรณีที่มีตัวควบคุมตั้งแต่สองตัวขึ้นไปในโดเมน เราจำเป็นต้องค้นหาว่าใครเป็นเจ้าของแต่ละบทบาท fsmo มันค่อนข้างง่ายที่จะทำโดยใช้คำสั่งต่อไปนี้:

เซิร์ฟเวอร์ dsquery - สคีมา hasfsmo
เซิร์ฟเวอร์ dsquery - ชื่อ hasfsmo
เซิร์ฟเวอร์ dsquery - กำจัด hasfsmo
เซิร์ฟเวอร์ dsquery - hasfsmo pdc
เซิร์ฟเวอร์ dsquery - hasfsmo infr
เซิร์ฟเวอร์ dsquery -forest -isgc

แต่ละคำสั่งจะแสดงข้อมูลเกี่ยวกับใครเป็นเจ้าของบทบาทที่ร้องขอ (รูปที่ 1) ในกรณีของเรา เจ้าของบทบาททั้งหมดคือ dcserver ตัวควบคุมโดเมนหลัก

การถ่ายโอนบทบาท fsmo โดยสมัครใจโดยใช้คอนโซล Active Directory

เรามีข้อมูลทั้งหมดที่จำเป็นในการโอนบทบาท PDC มาเริ่มกันเลย: ก่อนอื่นเราต้องตรวจสอบให้แน่ใจว่าบัญชีของเรารวมอยู่ในกลุ่มผู้ดูแลระบบโดเมน ผู้ดูแลระบบสคีมา และผู้ดูแลระบบองค์กร จากนั้นดำเนินการตามวิธีการถ่ายโอนบทบาท fsmo แบบดั้งเดิม - การจัดการโดเมนผ่านคอนโซล Active Directory

หากต้องการโอนบทบาท "ต้นแบบการตั้งชื่อโดเมน" ให้ทำตามขั้นตอนต่อไปนี้:
- เปิด “Active Directory Domains and Trusts” บนตัวควบคุมโดเมนที่เราต้องการถ่ายโอนบทบาท หากเราทำงานกับ AD บนตัวควบคุมโดเมนที่เราต้องการถ่ายโอนบทบาท เราจะข้ามจุดถัดไป
- คลิกขวาที่ไอคอน Active Directory - Domains and Trusts และเลือกคำสั่ง Connect to Domain Controller เราเลือกตัวควบคุมโดเมนที่เราต้องการถ่ายโอนบทบาท
- คลิกขวาที่ส่วนประกอบ Active Directory - Domains and Trusts และเลือกคำสั่ง Operation Masters
- ในกล่องโต้ตอบ Change Operations Owner ให้คลิกปุ่ม Change (รูปที่ 2)
- หลังจากการตอบกลับที่ยืนยันต่อคำขอป๊อปอัป เราได้รับการโอนบทบาทสำเร็จ

ในทำนองเดียวกัน คุณสามารถใช้คอนโซลผู้ใช้ Active Directory และคอมพิวเตอร์เพื่อถ่ายโอนบทบาท RID Master, PDC และ Infrastructure Master

หากต้องการถ่ายโอนบทบาท "schema master" คุณต้องลงทะเบียนไลบรารีการจัดการ Schema Active Directory ในระบบก่อน:

หลังจากโอนบทบาททั้งหมดแล้ว ยังคงต้องจัดการกับตัวเลือกที่เหลือ นั่นคือผู้ดูแลแค็ตตาล็อกส่วนกลาง ไปที่ Active Directory: "ไซต์และบริการ" ไซต์เริ่มต้น เซิร์ฟเวอร์ ค้นหาตัวควบคุมโดเมนที่กลายเป็นตัวควบคุมหลักและในคุณสมบัติการตั้งค่า NTDS ให้ทำเครื่องหมายในช่องถัดจากแคตตาล็อกส่วนกลาง (รูปที่ 3)

ผลลัพธ์ก็คือเราได้เปลี่ยนเจ้าของบทบาทสำหรับโดเมนของเรา สำหรับผู้ที่ต้องการกำจัดตัวควบคุมโดเมนตัวเก่าในที่สุด เราจะดาวน์เกรดเป็นเซิร์ฟเวอร์สมาชิก อย่างไรก็ตาม ความเรียบง่ายของการดำเนินการนั้นให้ผลตอบแทนที่การนำไปปฏิบัติในหลายสถานการณ์เป็นไปไม่ได้ หรือจบลงด้วยข้อผิดพลาด ในกรณีเหล่านี้ ntdsutil.exe จะช่วยเรา

การถ่ายโอนบทบาท fsmo โดยสมัครใจโดยใช้คอนโซล ntdsutil.exe

ในกรณีที่การถ่ายโอนบทบาท fsmo โดยใช้คอนโซล AD ล้มเหลว Microsoft ได้สร้างไฟล์ very ยูทิลิตี้ที่สะดวก- ntdsutil.exe - โปรแกรมบำรุงรักษา ไดเรกทอรีที่ใช้งานอยู่ไดเรกทอรี เครื่องมือนี้ช่วยให้คุณทำงานได้อย่างมาก การกระทำที่เป็นประโยชน์- จนถึงการกู้คืนฐานข้อมูล AD ทั้งหมดจากสำเนาสำรองที่ยูทิลิตี้นี้สร้างขึ้นเอง โอกาสสุดท้ายในคริสตศักราช ความสามารถทั้งหมดสามารถพบได้ในฐานข้อมูล ความรู้ไมโครซอฟต์(รหัสบทความ: 255504) ในกรณีนี้เรากำลังพูดถึงความจริงที่ว่ายูทิลิตี้ ntdsutil.exe อนุญาตให้คุณถ่ายโอนบทบาทและ "เลือก" ได้
หากเราต้องการถ่ายโอนบทบาทจากตัวควบคุมโดเมน "หลัก" ที่มีอยู่ไปยังตัวควบคุม "สำรอง" เราจะลงชื่อเข้าใช้ตัวควบคุม "หลัก" และเริ่มถ่ายโอนบทบาท (คำสั่งถ่ายโอน)
หากเราไม่มีตัวควบคุมโดเมนหลักด้วยเหตุผลบางประการ หรือเราไม่สามารถเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบได้ เราจะเข้าสู่ระบบตัวควบคุมโดเมนสำรองและเริ่ม "เลือก" บทบาท (คำสั่ง seize)

กรณีแรกคือมีตัวควบคุมโดเมนหลักอยู่และทำงานได้ตามปกติ จากนั้นเราไปที่ตัวควบคุมโดเมนหลักแล้วพิมพ์คำสั่งต่อไปนี้:

ntdsutil.exe
บทบาท
การเชื่อมต่อ
เชื่อมต่อกับเซิร์ฟเวอร์ server_name (คนที่เราต้องการมอบบทบาทให้)
ถาม

หากเกิดข้อผิดพลาด เราจำเป็นต้องตรวจสอบการเชื่อมต่อกับตัวควบคุมโดเมนที่เราพยายามเชื่อมต่อ หากไม่มีข้อผิดพลาดแสดงว่าเราได้เชื่อมต่อกับตัวควบคุมโดเมนที่ระบุเรียบร้อยแล้วโดยมีสิทธิ์ของผู้ใช้ที่เราป้อนคำสั่งในนามของเรา
มีรายการคำสั่งทั้งหมดหลังจากร้องขอการบำรุงรักษา fsmo โดยใช้เครื่องหมายมาตรฐานหรือไม่ - ถึงเวลาย้ายบทบาทแล้ว ฉันตัดสินใจโอนบทบาทตามลำดับที่ระบุไว้ในคำแนะนำสำหรับ ntdsutil ทันทีโดยไม่ต้องคิดและได้ข้อสรุปว่าฉันไม่สามารถถ่ายโอนบทบาทของเจ้าของโครงสร้างพื้นฐานได้ เพื่อตอบสนองต่อคำขอโอนบทบาท จึงได้รับข้อผิดพลาดกลับมา: “ไม่สามารถติดต่อเจ้าของบทบาท fsmo คนปัจจุบันได้” ฉันค้นหาข้อมูลบนอินเทอร์เน็ตเป็นเวลานานและพบว่าคนส่วนใหญ่ที่มาถึงขั้นของการโอนบทบาทจะต้องเผชิญกับข้อผิดพลาดนี้ บางคนพยายามบังคับถอดบทบาทนี้ออกไป (ไม่ได้ผล) บางคนทิ้งทุกอย่างตามที่เป็นอยู่ - และใช้ชีวิตอย่างมีความสุขโดยไม่มีบทบาทนี้
ฉันค้นพบจากการลองผิดลองถูกว่าเมื่อโอนบทบาทไป ในลำดับนี้รับประกันความสมบูรณ์ถูกต้องทุกขั้นตอน:
- เจ้าของตัวระบุ
- เจ้าของโครงการ
- ผู้เชี่ยวชาญด้านการตั้งชื่อ
- เจ้าของโครงสร้างพื้นฐาน
- ตัวควบคุมโดเมน

หลังจากเชื่อมต่อกับเซิร์ฟเวอร์สำเร็จแล้ว เราได้รับคำเชิญให้จัดการบทบาท (การบำรุงรักษา fsmo) และเราสามารถเริ่มถ่ายโอนบทบาทได้:
- โอนย้ายการตั้งชื่อโดเมนหลัก
- โอนโครงสร้างพื้นฐานหลัก
- โอนกำจัดต้นแบบ
- โอนสคีมาต้นแบบ
- โอน pdc ต้นแบบ

หลังจากดำเนินการแต่ละคำสั่งแล้ว คำขอควรปรากฏขึ้นเพื่อถามว่าเราต้องการถ่ายโอนบทบาทที่ระบุจริงๆ หรือไม่ ไปยังเซิร์ฟเวอร์ที่ระบุ- ผลลัพธ์ของการดำเนินการคำสั่งที่สำเร็จจะแสดงในรูปที่ 4

บทบาทผู้ดูแลแค็ตตาล็อกส่วนกลางได้รับการมอบหมายในลักษณะที่อธิบายไว้ในส่วนก่อนหน้า

การบังคับใช้บทบาท fsmo โดยใช้ ntdsutil.exe

กรณีที่สองคือเราต้องการกำหนดบทบาทหลักให้กับตัวควบคุมโดเมนสำรองของเรา ในกรณีนี้ไม่มีอะไรเปลี่ยนแปลง - ข้อแตกต่างเพียงอย่างเดียวคือเราดำเนินการทั้งหมดโดยใช้คำสั่ง seize แต่บนเซิร์ฟเวอร์ที่เราต้องการถ่ายโอนบทบาทเพื่อกำหนดบทบาท

ยึดต้นแบบการตั้งชื่อโดเมน
ยึดต้นแบบโครงสร้างพื้นฐาน
ยึดนายออกไป
ยึดสคีมามาสเตอร์
ยึดพีดีซี

โปรดทราบ - หากคุณถอดบทบาทออกจากตัวควบคุมโดเมนที่ไม่อยู่ในนั้น ช่วงเวลานี้จากนั้นเมื่อปรากฏบนเครือข่าย คอนโทรลเลอร์จะเริ่มขัดแย้งกัน และคุณไม่สามารถหลีกเลี่ยงปัญหาในการทำงานของโดเมนได้

ทำงานกับข้อผิดพลาด

สิ่งสำคัญที่สุดที่ไม่ควรลืมก็คือ ตัวควบคุมโดเมนหลักใหม่จะไม่แก้ไขการตั้งค่า TCP/IP ด้วยตัวเอง ขอแนะนำให้ระบุ 127.0.0.1 เป็นที่อยู่ของเซิร์ฟเวอร์ DNS หลัก (และหาก ตัวควบคุมโดเมนเก่า + เซิร์ฟเวอร์ DNS หายไป ดังนั้นจึงจำเป็น)
ยิ่งไปกว่านั้น หากคุณมีเซิร์ฟเวอร์ DHCP บนเครือข่ายของคุณ คุณจะต้องบังคับให้เซิร์ฟเวอร์ระบุที่อยู่ของเซิร์ฟเวอร์ DNS หลักเป็น IP ของเซิร์ฟเวอร์ใหม่ของคุณ หากไม่มี DHCP ให้ดำเนินการผ่านเครื่องทั้งหมดและกำหนดที่อยู่หลักนี้ DNS ให้กับพวกเขาด้วยตนเอง หรือคุณสามารถกำหนด IP เดียวกันให้กับตัวควบคุมโดเมนใหม่เหมือนกับอันเก่าได้

ตอนนี้คุณต้องตรวจสอบทุกอย่างทำงานอย่างไรและกำจัดข้อผิดพลาดหลัก ในการดำเนินการนี้ ฉันขอแนะนำให้ลบเหตุการณ์ทั้งหมดบนตัวควบคุมทั้งสองตัวและบันทึกบันทึกลงในโฟลเดอร์ร่วมกับตัวอื่น สำเนาสำรองและรีบูตเซิร์ฟเวอร์ทั้งหมด
หลังจากเปิดใช้งานแล้ว เราจะวิเคราะห์บันทึกเหตุการณ์ทั้งหมดอย่างรอบคอบเพื่อหาคำเตือนและข้อผิดพลาด

คำเตือนที่พบบ่อยที่สุดหลังจากถ่ายโอนบทบาทไปยัง fsmo คือข้อความว่า "msdtc ไม่สามารถจัดการการเลื่อนระดับ/ลดระดับตัวควบคุมโดเมนที่เกิดขึ้นได้อย่างถูกต้อง"
การแก้ไขนั้นง่าย: ในเมนู "การดูแลระบบ" เราพบ "บริการ"
ส่วนประกอบ". ที่นั่นเราเปิด "บริการส่วนประกอบ", "คอมพิวเตอร์" เปิดคุณสมบัติของส่วน "คอมพิวเตอร์ของฉัน" ค้นหา "MS DTC" ที่นั่นแล้วคลิก "การตั้งค่าความปลอดภัย" ที่นั่น ที่นั่นเราอนุญาตให้ "เข้าถึงเครือข่าย DTC" แล้วคลิกตกลง บริการจะเริ่มต้นใหม่และคำเตือนจะหายไป

ตัวอย่างของข้อผิดพลาดอาจเป็นข้อความว่าไม่สามารถโหลดโซน DNS หลักได้ หรือเซิร์ฟเวอร์ DNS ไม่เห็นตัวควบคุมโดเมน
คุณสามารถเข้าใจปัญหาการทำงานของโดเมนได้โดยใช้ยูทิลิตี้ (รูปที่ 5):

คุณสามารถติดตั้งยูทิลิตี้นี้ได้จาก แผ่นดิสก์ต้นฉบับ Windows 2003 จากโฟลเดอร์ /support/tools ยูทิลิตี้นี้ช่วยให้คุณตรวจสอบการทำงานของบริการตัวควบคุมโดเมนทั้งหมด แต่ละขั้นตอนจะต้องลงท้ายด้วยคำที่ส่งสำเร็จ หากคุณล้มเหลว (ส่วนใหญ่มักเป็นการทดสอบการเชื่อมต่อหรือบันทึกระบบ) คุณสามารถลองแก้ไขข้อผิดพลาดได้โดยอัตโนมัติ:

dcdiag /v /แก้ไข

ตามกฎแล้ว ข้อผิดพลาดเกี่ยวกับ DNS ทั้งหมดควรหายไป ถ้าไม่เช่นนั้น ให้ใช้ยูทิลิตี้เพื่อตรวจสอบสถานะของบริการเครือข่ายทั้งหมด:

และเธอ เครื่องมือที่มีประโยชน์การแก้ไขปัญหา:

netdiag /v /แก้ไข

หากยังมีข้อผิดพลาดเกี่ยวกับ DNS หลังจากนี้ วิธีที่ง่ายที่สุดคือการลบโซนทั้งหมดออกจากโซนและสร้างด้วยตนเอง มันค่อนข้างง่าย - สิ่งสำคัญคือการสร้างโซนหลักตามชื่อโดเมนจัดเก็บไว้ใน Active Directory และจำลองไปยังตัวควบคุมโดเมนทั้งหมดบนเครือข่าย
มากกว่า รายละเอียดข้อมูลคำสั่งอื่นจะให้เกี่ยวกับข้อผิดพลาด DNS:

dcdiag /ทดสอบ:dns

เมื่อสิ้นสุดงาน ฉันใช้เวลาประมาณ 30 นาทีเพื่อค้นหาสาเหตุของคำเตือนจำนวนหนึ่ง - ฉันค้นหาการซิงโครไนซ์เวลา การเก็บถาวรแคตตาล็อกทั่วโลก และสิ่งอื่น ๆ ที่ฉันไม่เคยทำมาก่อน ก่อน. ตอนนี้ทุกอย่างทำงานเหมือนเครื่องจักร - สิ่งที่สำคัญที่สุดคืออย่าลืมสร้างตัวควบคุมโดเมนสำรองหากคุณต้องการลบตัวควบคุมโดเมนเก่าออกจากเครือข่าย

งานคือการถ่ายโอนบทบาทจากตัวควบคุมโดเมนหลักของ Windows Server 2008 ที่มี Active Directory (AD) ไปยังตัวควบคุมโดเมนสำรองของ Windows Server 2012 ตัวควบคุมโดเมนสำรอง (DCSERVER) ควรกลายเป็นตัวควบคุมโดเมนหลักและตัวควบคุมโดเมนที่มีอยู่ในปัจจุบัน อันหลัก (WIN-SRV-ST) ควรกลายเป็นข้อมูลสำรองและรื้อถอนในอนาคต การดำเนินการทั้งหมดดำเนินการบนเซิร์ฟเวอร์สำรอง DCSERVER เซิร์ฟเวอร์ทั้งสองทำงานและ "มองเห็น" ซึ่งกันและกัน

ก่อนที่คุณจะเริ่มถ่ายโอนบทบาท คุณต้องตรวจสอบว่าเซิร์ฟเวอร์ใดเป็นบทบาทหลัก หากต้องการทำสิ่งนี้ให้เรียกบรรทัดคำสั่ง Win + R >> cmd แล้วป้อนคำสั่ง:

netdom query fsmo – คำขอเพื่อกำหนดบทบาทหลักของ FSMO

จากผลของการดำเนินการคำสั่งคุณจะเห็นได้ว่าเจ้าของบทบาททั้งหมดคือตัวควบคุมโดเมนซึ่งเราเรียกว่า Win-srv-st และตอนนี้ก็เป็นบทบาทหลักแล้ว

ข้อมูลโดยย่อ:

FSMO (การดำเนินการหลักเดียวแบบยืดหยุ่น) คือประเภทของการดำเนินการที่ดำเนินการโดยตัวควบคุมโดเมน AD ที่ต้องการความเป็นเอกลักษณ์บังคับของเซิร์ฟเวอร์ที่ทำการดำเนินการเหล่านี้ (wiki) ซึ่งหมายความว่าบทบาทเหล่านี้สามารถอยู่บนตัวควบคุมโดเมนเดียวเท่านั้น

Schema Master – รับผิดชอบความสามารถในการเปลี่ยนแปลง AD schema ที่มีอยู่ (เช่น การเพิ่ม Exchange เป็นต้น)

ต้นแบบการตั้งชื่อโดเมน – เพิ่ม/ลบโดเมน (หากมีหลายโดเมนในฟอเรสต์เดียวกัน)

PDC (ตัวจำลองตัวควบคุมโดเมนหลัก) คือตัวจำลองตัวควบคุมโดเมนหลัก รับผิดชอบในการเปลี่ยนรหัสผ่าน ทำซ้ำ เปลี่ยนแปลง นโยบายกลุ่ม, การซิงโครไนซ์เวลาและความเข้ากันได้ด้วย รุ่นก่อนหน้าหน้าต่าง

RID ผู้จัดการพูล (Relative ID Master) – สร้าง ID สำหรับแต่ละออบเจ็กต์ AD

Infrastructure Master – ถ่ายโอนข้อมูลเกี่ยวกับอ็อบเจ็กต์ AD ระหว่างตัวควบคุมโดเมนอื่น (เช่น เมื่อผู้ใช้จากโดเมนหนึ่งไปยังโดเมนใกล้เคียง)

มีอีกบทบาทที่สำคัญมาก - Global Catalog (GC) - แม้ว่าจะไม่ใช่ FSMO เพราะก็ตาม เจ้าของสามารถเป็น DC ได้หลายรายในเวลาเดียวกัน หากไม่มีมัน การทำงานปกติของโดเมนและบริการจะเป็นไปไม่ได้ GC เก็บรักษาสำเนาของออบเจ็กต์ AD ทั้งหมดและแบบจำลองบางส่วนของโดเมนอื่นๆ ในฟอเรสต์ อนุญาตให้ผู้ใช้และแอปพลิเคชันค้นหาออบเจ็กต์ในโดเมนใดๆ ในฟอเรสต์ที่มีอยู่ รับผิดชอบในการตรวจสอบชื่อผู้ใช้ ให้ข้อมูลเกี่ยวกับการเป็นสมาชิกของผู้ใช้ในกลุ่มสากล และสามารถสื่อสารกับฟอเรสต์โดเมนอื่นได้

บัญชีอย่างน้อยจะต้องอยู่ในกลุ่มต่อไปนี้:

— ผู้ดูแลระบบโดเมน

— ผู้ดูแลระบบองค์กร

- ผู้บริหารโครงการ

การโอนบทบาทหลักปฏิบัติการกำจัด, พีดีซีและโครงสร้างพื้นฐาน

คลิกขวาที่ชื่อโดเมนในไดเร็กทอรีและเลือก – Operations Masters...

ในหน้าต่างที่เปิดขึ้น เราจะเห็นว่าเจ้าของในทั้งสามแท็บ RID, PDC และโครงสร้างพื้นฐานคือ Win-Srv-St.SCRB.local มีเขียนไว้ด้านล่าง: เพื่อโอนบทบาทของเจ้าของกิจการ คอมพิวเตอร์เครื่องถัดไปคลิกปุ่ม "เปลี่ยน" เราตรวจสอบให้แน่ใจว่าในบรรทัดล่างสุดคือชื่อของเซิร์ฟเวอร์ที่เราต้องการโอนบทบาทโฮสต์ไปและคลิกเปลี่ยน เราทำเช่นเดียวกันกับทั้งสามแท็บ

ในคำถามยืนยันที่ปรากฏขึ้น คลิกใช่

โอนบทบาทโฮสต์เรียบร้อยแล้ว ตกลง. เจ้าของการดำเนินการกลายเป็น DCSERVER.SCRB.local

เราทำเช่นเดียวกันกับสองแท็บที่เหลือ PDC และโครงสร้างพื้นฐาน

การโอนบทบาท "Domain Naming Master"

ใน AD DS ของเซิร์ฟเวอร์ของเรา ให้เลือก Active Directory – Domains and Trust

คลิกขวาที่ชื่อแล้วเลือกบรรทัด Operations Master...

เราตรวจสอบชื่อเซิร์ฟเวอร์แล้วคลิกเปลี่ยน

DCSERVER กลายเป็นเจ้าของการดำเนินงาน

โอนบทบาท “ต้นแบบโครงการ”

ขั้นแรก ให้ลงทะเบียนไลบรารีการจัดการ AD schema ในระบบโดยใช้คำสั่ง regsvr32 schmmgmt.dll

กด WIN+R >> cmd

เราป้อนคำสั่งและได้รับข้อผิดพลาด: โหลดโมดูล“ schmmgmt.dll แล้ว แต่การเรียกไปยัง DLLRegisterServer ล้มเหลว รหัสข้อผิดพลาด: 0x80040201

เกิดข้อผิดพลาดเนื่องจากต้องเรียกใช้บรรทัดคำสั่งในฐานะผู้ดูแลระบบ ซึ่งสามารถทำได้ เช่น จากเมนูเริ่ม เลือกบรรทัดคำสั่งแล้วคลิกเรียกใช้ในฐานะผู้ดูแลระบบ

ป้อนคำสั่ง regsvr32 schmmgmt.dll อีกครั้ง ตอนนี้ทุกอย่างเป็นไปตามที่ควรจะเป็น

กด WIN+R เขียน mmc

ในคอนโซลที่เปิดขึ้น ให้เลือกไฟล์ >> เพิ่มหรือลบสแน็ปอิน... (หรือกด CTRL+M)

ในบรรดาสแน็ปอินที่มีอยู่ ให้เลือก Active Directory Schema แล้วคลิกเพิ่ม ตกลง.

ในรูทของคอนโซล ให้เลือกสแน็ปอินที่เพิ่ม คลิกขวาที่มันแล้วเลือกบรรทัด “Operations Master...”

เจ้าของโครงการปัจจุบันคือ Win-Srv-St.SCRB.local ชื่อของเขายังอยู่ในบรรทัดล่างสุด

เมื่อคุณคลิกปุ่มเปลี่ยนแปลง ข้อความจะปรากฏขึ้น: ตัวควบคุมโดเมน Active Directory ปัจจุบันคือหลักการดำเนินงาน หากต้องการถ่ายโอนบทบาทหลักไปยัง DC อื่น คุณต้องกำหนดเป้าหมายสคีมา Active Directory ไปยัง DC นั้น

เรากลับไปที่สแน็ปอินและเลือก RMB Change Active Directory Domain Controller

ในหน้าต่างที่เปิดขึ้น ให้เลือก เซิร์ฟเวอร์ที่จำเป็น- ในกรณีของเรา DCSERVER.SCRB.local ตกลง.

คอนโซลจะแสดงข้อความ: อุปกรณ์ แผนการที่ใช้งานอยู่ไดเรกทอรีไม่ได้เชื่อมต่อกับต้นแบบการดำเนินงานสคีมา ไม่สามารถทำการเปลี่ยนแปลงได้ การเปลี่ยนแปลงสคีมาสามารถทำได้กับสคีมาของเจ้าของ FSMO เท่านั้น

ในเวลาเดียวกัน เซิร์ฟเวอร์ที่เราต้องการก็ปรากฏอยู่ในชื่อของอุปกรณ์

คลิกขวาอีกครั้งและไปที่หลักการดำเนินการ ตรวจสอบชื่อเซิร์ฟเวอร์แล้วคลิกปุ่ม "เปลี่ยน"

โอนบทบาท Operations Master สำเร็จแล้ว ตกลง.

เพื่อให้แน่ใจว่าบทบาทถูกถ่ายโอนแล้ว ให้ป้อนคำสั่ง netdom fsmo อีกครั้งในบรรทัดคำสั่ง

ตอนนี้เจ้าของบทบาทคือ DCSERVER.SCRB.local

แคตตาล็อกทั่วโลก.

เพื่อชี้แจงตำแหน่งของ GC คุณต้องปฏิบัติตามเส้นทาง: AD - ไซต์และบริการ >> ไซต์ >> ค่าเริ่มต้น-ชื่อไซต์แรก >> เซิร์ฟเวอร์ >> DCSERVER

ในบริการการตั้งค่า NTDS ที่ปรากฏขึ้น คลิกขวาและเลือก Properties

หากมีเครื่องหมายถูกถัดจาก Global Catalog แสดงว่าอยู่บนเซิร์ฟเวอร์นี้ โดยทั่วไป ในกรณีของเรา GC ตั้งอยู่บน DC ทั้งสองแห่ง

การตั้งค่าDNS.

ใน การตั้งค่า DNSของ DC หลักใหม่ที่เราเขียนดังนี้:

ในบรรทัดแรกคือที่อยู่ IP ของ DC หลักเดิม (Win-Srv-St) ซึ่งปัจจุบันกลายเป็น DC สำรอง 192.168.1.130

ในบรรทัดที่สอง 127.0.0.1 เช่น ตัวคุณเอง (คุณสามารถเขียน IP ของคุณให้เจาะจงมากขึ้นได้)

ในตัวควบคุมโดเมนที่กลายเป็นข้อมูลสำรองของเรานั้นเขียนดังนี้:

ในบรรทัดแรกคือ IP ของ DC หลัก

ในบรรทัดที่สองคือ IP ของคุณ ทุกอย่างทำงานได้

DHCP ไม่ทำงานบนเครือข่ายของเราเนื่องจากสถานการณ์ในท้องถิ่น ดังนั้นจึงไม่จำเป็นต้องกำหนดค่าใหม่ แต่คุณต้องผ่านพีซี 200 เครื่องและลงทะเบียนด้วยตนเอง DNS ใหม่- ด้วยเหตุนี้ จึงมีการตัดสินใจว่าจะไม่รื้อตัวควบคุมโดเมนตัวเก่าออกในตอนนี้ ภายในหกเดือนของการรวบรวมข้อมูล DNS อย่างเป็นระบบ ผู้ใช้จะมีการเปลี่ยนแปลง

PDC เป็นคอมพิวเตอร์ที่สำคัญที่สุดในโดเมน ใช้นโยบายความปลอดภัยของโดเมนและเป็นที่เก็บหลักสำหรับฐานข้อมูลบัญชี นอกจากนี้ยังอาจเป็นผู้ถือหลักของทรัพยากรที่ใช้ร่วมกันของโดเมน อย่างไรก็ตาม PDC ไม่จำเป็นต้องทำหน้าที่นี้ และบางครั้งก็ไม่เป็นที่พึงปรารถนาด้วยซ้ำ

การเปลี่ยนแปลงฐานข้อมูลบัญชีผู้ใช้จะทำบนตัวควบคุมโดเมนหลักเท่านั้น จากนั้นจึงเผยแพร่ไปยังตัวควบคุมโดเมนสำรอง ซึ่งเก็บสำเนาของฐานข้อมูลแบบอ่านอย่างเดียวไว้ เมื่อคุณเข้าสู่ระบบในฐานะผู้ดูแลระบบ การเปลี่ยนแปลงทั้งหมดที่คุณทำจะถูกส่งไปยังฐานข้อมูลบนตัวควบคุมโดเมนหลัก แม้ว่าคุณจะทำงานบนคอมพิวเตอร์เครื่องอื่นก็ตาม เครื่องมือที่ใช้ในการทำงานกับบัญชีผู้ใช้เรียกว่าผู้ใช้ ผู้จัดการสำหรับโดเมน (ตัวจัดการผู้ใช้โดเมน) เมื่อคุณเปิดโปรแกรมนี้ คุณไม่ได้เลือกเซิร์ฟเวอร์ที่คุณต้องการลงทะเบียน แต่เป็นโดเมนที่คุณต้องการจัดการ

หากไม่มีตัวควบคุมโดเมนหลักบนเครือข่าย ผู้ใช้จะยังสามารถเข้าสู่ระบบและทำงานได้หากคุณได้สร้างตัวควบคุมโดเมนสำรองอย่างน้อยหนึ่งรายการ และ อย่างน้อยหนึ่งในนั้นสามารถใช้ได้ อย่างไรก็ตาม คุณจะไม่สามารถทำการเปลี่ยนแปลงใดๆ ได้ บัญชีผู้ใช้หรือกลุ่มโดเมน เพิ่มผู้ใช้ใหม่หรือกลุ่มใหม่ลงในโดเมน และลบออกจนกว่าตัวควบคุมโดเมนหลักจะปรากฏขึ้นอีกครั้ง หรือจนกว่าคุณจะกำหนดให้ตัวควบคุมสำรองตัวใดตัวหนึ่งเป็นตัวควบคุมโดเมนหลัก

ตัวควบคุมโดเมนสำรอง

โดเมน Windows NT Server สามารถ และในกรณีส่วนใหญ่ควร รวมตัวควบคุมโดเมนสำรองอย่างน้อยหนึ่งรายการ ตัวควบคุมโดเมนสำรองแต่ละตัวจะมีสำเนาของฐานข้อมูลบัญชีและสามารถจัดการการเข้าสู่ระบบของผู้ใช้ (การลงทะเบียน) และตรวจสอบสิทธิ์ในการเข้าถึงทรัพยากรได้ ซึ่งทำให้ค่อนข้างง่ายที่จะตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลทรัพยากรระบบที่ใช้ร่วมกันที่สำคัญในกรณีที่เกิดความล้มเหลวอย่างรุนแรงในตัวควบคุมโดเมนหลัก ตัวควบคุมโดเมนสำรองตัวใดตัวหนึ่งสามารถเปลี่ยนเป็นโหมดตัวควบคุมโดเมนหลักได้ และเครือข่ายจะยังคงทำงานตามปกติ (จะไม่มีการเข้าถึงทรัพยากรที่อยู่ทางกายภาพบนตัวควบคุมโดเมนหลักเท่านั้น) ใน โดเมนขนาดเล็กกับ จำนวนจำกัดสำหรับผู้ใช้ การมีตัวควบคุมโดเมนสำรองนั้นไม่จำเป็น แต่ก็ไม่ได้ไม่จำเป็น หากมีเพียงตัวควบคุมโดเมนหลักบนเครือข่าย เครือข่ายทั้งหมดจะไม่สามารถใช้งานได้เมื่อ (สิ่งนี้จะเกิดขึ้นอย่างแน่นอน ดังนั้นเราจึงไม่ได้ใช้คำว่า "ถ้า" ในที่นี้) เซิร์ฟเวอร์นั้นไม่พร้อมใช้งาน

คอมพิวเตอร์ภายใต้ การควบคุมหน้าต่าง NT Server สามารถทำหน้าที่เป็นตัวควบคุมโดเมนหลัก ตัวควบคุมโดเมนสำรอง หรือไม่มีตัวควบคุมโดเมนเลย อย่างไรก็ตาม บนคอมพิวเตอร์ที่จะใช้เป็นเวิร์กสเตชัน ควรติดตั้งระบบปฏิบัติการอื่นจะดีกว่า เวิร์กสเตชันจะทำงานเร็วขึ้นและจัดการได้ง่ายขึ้น

สถานีงาน

เวิร์คสเตชั่นสามารถรัน MS-DOS, OS/2, ไมโครซอฟต์ วินโดวส์ 3.x, Windows สำหรับ Workgroups, Microsoft Windows 95, Microsoft Windows NT Workstation หรือ Macintosh OS สำหรับ MS-DOS, OS/2, Macintosh OS และ Windows 3.x คุณจะต้องมี ใบอนุญาตของลูกค้า(และซอฟต์แวร์เครือข่าย) ในส่วนที่เหลือ ระบบปฏิบัติการซอฟต์แวร์เครือข่ายรวมอยู่ในแพ็คเกจพื้นฐาน เราจะถือว่าเวิร์กสเตชันส่วนใหญ่ติดตั้ง Windows 95 ไว้แล้ว ต้นทุนค่าโสหุ้ยและข้อกำหนดด้านฮาร์ดแวร์สำหรับ Windows 95 นั้นต่ำกว่าเวิร์กสเตชัน Windows NT อย่างมาก

ข้อยกเว้นสำหรับการไม่ใช้ Windows 95 บนเวิร์กสเตชันคือหากคุณใช้สเตชันเพื่อการพัฒนา ซอฟต์แวร์- บนเวิร์กสเตชันเหล่านี้ การใช้ Windows NT Workstation จะทำกำไรได้มากกว่า เนื่องจากความเสถียรและการแยกกระบวนการที่มากกว่า โดยทั่วไปแล้วเวิร์กสเตชัน Windows NT ต้องใช้หน่วยความจำมากขึ้นและ พลังการคำนวณกว่าขั้นต่ำที่จำเป็นสำหรับ Windows 95 และถึงแม้ว่า Windows 95 จะดีกว่ารุ่นก่อนก็ตาม เวอร์ชันของ Windowsได้รับการปกป้องจากกระบวนการที่ทำงานไม่ถูกต้อง โปรแกรมที่อยู่นอกการควบคุมยังสามารถนำไปสู่การปิดระบบได้ สำหรับเวิร์กสเตชัน Windows NT ความเป็นไปได้ของเหตุการณ์นี้จะต่ำกว่ามาก

เวิร์กสเตชันบางเครื่องสามารถเป็นส่วนหนึ่งของเวิร์กกรุ๊ปโดยไม่ต้องเป็นของโดเมน Windows 95, Windows NT Workstation และ Windows for Workgroups ช่วยให้ผู้ใช้สามารถทำงานเป็นส่วนหนึ่งของเวิร์กกรุ๊ปหรือโดเมนได้ แต่เพื่อใช้ประโยชน์จากโครงสร้างโดเมน คอมพิวเตอร์จะต้องได้รับการกำหนดค่าให้เข้าสู่ระบบโดเมน ในขณะที่ดำเนินการเป็นส่วนหนึ่งของกลุ่มงานจะไม่สามารถใช้ฐานข้อมูลบัญชีได้ ผู้ใช้วินโดวส์ NT Server และใช้ทรัพยากรที่ควบคุมการเข้าถึงโดยใช้ฐานข้อมูลนี้

ความสัมพันธ์ที่ไว้วางใจ

ในเครือข่ายที่ประกอบด้วยสองโดเมนขึ้นไป แต่ละโดเมนจะทำหน้าที่เป็น เครือข่ายที่แยกจากกันด้วยฐานข้อมูลบัญชีของคุณ อย่างไรก็ตาม แม้จะอยู่ในองค์กรที่มีโครงสร้างที่เข้มงวดที่สุด ผู้ใช้บางรายในโดเมนหนึ่งอาจต้องการทรัพยากรจากอีกโดเมนหนึ่ง

เพื่อไม่ให้สร้างข้อมูลบัญชีให้กับผู้ใช้คนเดียวกันค่ะ โดเมนที่แตกต่างกันสามารถสร้างความสัมพันธ์ที่น่าเชื่อถือระหว่างโดเมนได้

เชื่อถือทรัพยากรของตน มีโดเมนฐานข้อมูลผู้ใช้
และข้อมูลเกี่ยวกับทรัพยากรของโดเมนอื่นและ

สิทธิ์การเข้าถึงของผู้ใช้

โดเมนที่เชื่อถือได้ให้การเข้าถึงทรัพยากรแก่ผู้ใช้จากโดเมนอื่น (ที่เชื่อถือได้) บางครั้งโดเมนที่เชื่อถือได้เรียกว่าโดเมนทรัพยากร เนื่องจากมีเซิร์ฟเวอร์ที่ผู้ใช้ทรัพยากรเข้าถึง ข้อมูลทางบัญชีซึ่งอยู่ในตัวควบคุมโดเมนที่เชื่อถือได้ ซึ่งจึงเรียกว่าบัญชี

Windows NT Server มีเครื่องมือทั้งหมดเพื่อกำหนดค่าเครือข่ายหลายโดเมนระหว่างตัวควบคุมโดเมน ความสัมพันธ์ที่ไว้วางใจซึ่งช่วยให้คุณปกป้องพื้นที่ทรัพยากรที่ละเอียดอ่อน ในขณะเดียวกันก็ช่วยผู้ใช้จากรายละเอียดที่ไม่จำเป็นและรหัสผ่านหลายชุด

อันที่สองควรได้รับการติดตั้งและกำหนดค่า ตัวควบคุมเพิ่มเติมโดเมน. นี่เป็นสิ่งจำเป็นในกรณีที่สูญเสียการสื่อสารหรือความล้มเหลวของตัวควบคุมโดเมนตัวแรก ตัวควบคุมโดเมนเพิ่มเติมจะสามารถประมวลผลคำขอของผู้ใช้ได้ จากนั้นงานบนเครือข่ายจะไม่หยุดนิ่งในกรณีที่เกิดปัญหากับคอนโทรลเลอร์ตัวใดตัวหนึ่งตัวที่สองจะทำหน้าที่เดียวกันทั้งหมด

การติดตั้งและกำหนดค่าตัวควบคุมโดเมนตัวที่สอง

1. บนตัวควบคุมโดเมนตัวแรก ให้เปิด การตั้งค่าเครือข่ายเซิร์ฟเวอร์แรก เมื่อต้องการทำเช่นนี้ ให้พิมพ์ ncpa.cpl ในช่องค้นหา จากนั้นเลือกอินเทอร์เฟซเครือข่ายที่ต้องการ คลิกขวา - "คุณสมบัติ - IP เวอร์ชัน 4 (TCP/IPv4) - คุณสมบัติ" ในสนาม อินเทอร์เฟซทางเลือกให้ป้อนที่อยู่ IP ของตัวควบคุมโดเมนเพิ่มเติม (ในกรณีนี้คือ 192.168.100.6)

2. จากนั้นเราไปที่เซิร์ฟเวอร์ที่สองและตั้งชื่อเซิร์ฟเวอร์ในอนาคต: “ คอมพิวเตอร์เครื่องนี้ - คุณสมบัติ - เปลี่ยนการตั้งค่า - เปลี่ยน” ในช่อง "ชื่อคอมพิวเตอร์" ให้ป้อนชื่อเซิร์ฟเวอร์ จากนั้น "ตกลง" คุณจะต้องรีสตาร์ทคอมพิวเตอร์ เรายอมรับ

3. หลังจากรีบูตแล้ว ให้ดำเนินการตั้งค่าต่อ เชื่อมต่อเครือข่าย- หากต้องการทำสิ่งนี้ ให้เขียน ncpa.cpl ในช่องค้นหา เลือก อินเทอร์เฟซที่จำเป็นคลิกขวา - "คุณสมบัติ - IP เวอร์ชัน 4 (TCP/IPv4) - คุณสมบัติ" ในหน้าต่างที่เปิดขึ้น ให้กรอกข้อมูลในช่องต่างๆ:

• ที่อยู่ IP: ที่อยู่ IP ของเซิร์ฟเวอร์ (เช่น 192.168.100.6)
• ซับเน็ตมาสก์: เช่น 255.255.255.0 (มาสก์ 24 บิต)
• ประตูหลัก: เช่น 192.168.100.1
• เซิร์ฟเวอร์ DNS ที่ต้องการ: ที่อยู่ IP ของเซิร์ฟเวอร์เครื่องแรก (เช่น 192.168.100.5)
• เซิร์ฟเวอร์ DNS ทางเลือก: ที่อยู่ IP ของเซิร์ฟเวอร์ที่สอง (เช่น 192.168.100.6)

จากนั้นคลิก "ตกลง"

4. เพิ่มลงในโดเมน เซิร์ฟเวอร์ใหม่- ในการดำเนินการนี้ ให้เลือก "พีซีเครื่องนี้ - คุณสมบัติ - เปลี่ยนการตั้งค่า - เปลี่ยน" ทำเครื่องหมายที่ช่อง "เป็นสมาชิกของโดเมน" และป้อนชื่อโดเมน จากนั้น "ตกลง"

5. ในกล่องโต้ตอบ “เปลี่ยนชื่อคอมพิวเตอร์หรือชื่อโดเมน” ให้ป้อนชื่อผู้ใช้โดเมนด้วย สิทธิ์ในการบริหาร(ผู้ใช้ควรจะสามารถเพิ่มคอมพิวเตอร์ลงในโดเมนได้) จากนั้นให้ "ตกลง"

6. หากการดำเนินการสำเร็จ ข้อความ "ยินดีต้อนรับสู่โดเมน..." จะปรากฏขึ้น คลิก "ตกลง"

7. หลังจากรีสตาร์ทคอมพิวเตอร์ ในหน้าต่าง "ดูข้อมูลพื้นฐานเกี่ยวกับคอมพิวเตอร์ของคุณ" คุณสามารถตรวจสอบสิ่งที่ตรงกันข้าม " ชื่อเต็ม“ว่าคอมพิวเตอร์ได้เข้าร่วมโดเมนแล้ว

8. เกี่ยวกับเรื่องนี้ ขั้นตอนการเตรียมการเสร็จแล้วก็ถึงเวลาติดตั้งบทบาทที่จำเป็นบนเซิร์ฟเวอร์ ในการดำเนินการนี้ ให้เปิด "ตัวจัดการเซิร์ฟเวอร์" - "เพิ่มบทบาทและส่วนประกอบ" จำเป็นต้องติดตั้งเซิร์ฟเวอร์ DNS, Active Directory Domain Services และเซิร์ฟเวอร์ DHCP

9. อ่านข้อมูลในหน้าต่าง “ก่อนเริ่ม” แล้วคลิก “ถัดไป” ในหน้าต่าง "เลือกประเภทการติดตั้ง" ถัดไป ให้ปล่อยให้ช่องทำเครื่องหมาย "การติดตั้งบทบาทหรือส่วนประกอบ" เป็นค่าเริ่มต้น และ "ถัดไป" อีกครั้ง เลือกเซิร์ฟเวอร์ของเราจากกลุ่มเซิร์ฟเวอร์ จากนั้นเลือก "ถัดไป"

10. ในหน้าต่าง “เลือกบทบาทเซิร์ฟเวอร์” ให้เลือกเซิร์ฟเวอร์ DNS, บริการโดเมน Active Directory, เซิร์ฟเวอร์ DHCP เมื่อคุณเพิ่มบทบาท ข้อความเตือนจะปรากฏขึ้น เช่น "เพิ่มส่วนประกอบที่จำเป็นสำหรับเซิร์ฟเวอร์ DHCP" คลิก "เพิ่มส่วนประกอบ" หลังจากเลือกบทบาทที่ต้องการแล้ว คลิก "ถัดไป"

11. ในหน้าต่าง "เลือกส่วนประกอบ" ใหม่ ให้ข้าม "เลือกส่วนประกอบหนึ่งรายการขึ้นไปเพื่อติดตั้งบนเซิร์ฟเวอร์นี้" คลิกถัดไป ในหน้าต่างถัดไป “เซิร์ฟเวอร์ DHCP” เราจะอ่านสิ่งที่ต้องใส่ใจเมื่อติดตั้งเซิร์ฟเวอร์ DHCP จากนั้นอ่าน “ถัดไป” ในหน้าต่าง "ยืนยันการติดตั้ง" ใหม่ ให้ตรวจสอบบทบาทที่เลือกแล้วคลิก "ติดตั้ง"

12. หน้าต่างจะปรากฏขึ้นเพื่อแสดงความคืบหน้าในการติดตั้งส่วนประกอบที่เลือก หน้าต่างนี้สามารถปิดได้ แต่จะไม่ส่งผลต่อกระบวนการติดตั้งอีกต่อไป

13. หลังจากติดตั้งส่วนประกอบที่เลือกแล้ว ใน “Server Manager” ให้คลิกไอคอนคำเตือนในแบบฟอร์ม เครื่องหมายอัศเจรีย์เลือก "เลื่อนระดับบทบาทของเซิร์ฟเวอร์นี้เป็นระดับตัวควบคุมโดเมน"

14. "ตัวช่วยสร้างการกำหนดค่าบริการโดเมน Active Directory" ปรากฏขึ้น ในหน้าต่าง "การกำหนดค่าการปรับใช้" ให้ปล่อยช่องทำเครื่องหมายเริ่มต้น "เพิ่มตัวควบคุมโดเมนไปที่" โดเมนที่มีอยู่" ให้ตรวจสอบชื่อโดเมนในช่อง "โดเมน" ตรงข้ามช่อง (ผู้ใช้ปัจจุบัน) คลิกปุ่ม "เปลี่ยน"

15. ป้อนชื่อผู้ใช้และรหัสผ่านของผู้ใช้ในโดเมนที่มีสิทธิ์ระดับผู้ดูแลระบบ คลิก "ตกลง" จากนั้น "ถัดไป"

16. ในหน้าต่าง "Domain Controller Settings" ให้ป้อนรหัสผ่านสำหรับ Directory Services Restore Mode (DSRM) อีกครั้ง "Next"

17. ในหน้าต่าง " การตั้งค่า DNS"ละเว้นคำเตือนว่าไม่สามารถสร้างการมอบหมายสำหรับเซิร์ฟเวอร์ DNS นี้ได้เนื่องจากไม่พบโซนหลักที่เชื่อถือได้" เพียงคลิก "ถัดไป"

18. ในหน้าต่าง " ตัวเลือกพิเศษ" ปล่อยให้แหล่งการจำลองเป็น "ตัวควบคุมโดเมนใด ๆ" อีกครั้ง "ถัดไป"

19. ปล่อยให้ตำแหน่งของฐานข้อมูล AD DS, ไฟล์บันทึก และโฟลเดอร์ SYSVOL เป็นค่าเริ่มต้น คลิก “ถัดไป”

20. ตรวจสอบการตั้งค่าที่กำหนดค่าไว้ใน "ตัวช่วยสร้างการกำหนดค่าบริการโดเมน Active Directory" จากนั้น "ถัดไป"

21. ในหน้าต่าง "ตรวจสอบ" ข้อกำหนดเบื้องต้น"ตรวจสอบว่าช่องทำเครื่องหมายสีเขียวปรากฏขึ้น ดังนั้นการตรวจสอบความพร้อมในการติดตั้งทั้งหมดจึงเสร็จสมบูรณ์ คลิก "ติดตั้ง"

22. ในหน้าต่างถัดไป เราอ่านว่า “เซิร์ฟเวอร์นี้ได้รับการกำหนดค่าเป็นตัวควบคุมโดเมนสำเร็จแล้ว” เราอ่านคำเตือนแล้วคลิก "ปิด"

23. ถึงเวลาทดสอบฟังก์ชันการทำงานแล้ว บริการโดเมน Active Directory และเซิร์ฟเวอร์ DNS หากต้องการทำสิ่งนี้ ให้เปิด "ตัวจัดการเซิร์ฟเวอร์"

24. เลือก “เครื่องมือ” - “ผู้ใช้และ คอมพิวเตอร์ที่ใช้งานอยู่ไดเร็กทอรี".

25. เปิดโดเมนของเราและขยายแผนก “ตัวควบคุมโดเมน” ในหน้าต่างตรงข้าม เราจะตรวจสอบการมีอยู่ของเซิร์ฟเวอร์ตัวที่สองเป็นตัวควบคุมโดเมน

27. เราตรวจสอบการมีอยู่ของที่อยู่ IP ของเซิร์ฟเวอร์ที่สองในโซนการค้นหาไปข้างหน้าและในโซนการค้นหาแบบย้อนกลับ

28. จากนั้นเลือก "Active Directory - ไซต์และบริการ"

29. ขยายแผนผัง “Active Directory - ไซต์” เราตรวจสอบการมีอยู่ของตัวควบคุมโดเมนตัวที่สองที่อยู่ตรงข้ามกับ "เซิร์ฟเวอร์"

30. ถึงเวลากำหนดค่าเซิร์ฟเวอร์ DHCP ในการดำเนินการนี้บนเซิร์ฟเวอร์ที่สองให้เลือก "ตัวจัดการเซิร์ฟเวอร์" - "เครื่องมือ" - "DHCP"

31. เลือกเซิร์ฟเวอร์เพิ่มเติม คลิกขวา - “เพิ่มหรือลบการเชื่อมโยง”

32. ตรวจสอบการกำหนดค่าอินเทอร์เฟซเครือข่ายที่จะให้บริการไคลเอ็นต์ DHCP บนเซิร์ฟเวอร์ที่สอง

33. เรารวมเซิร์ฟเวอร์ DHCP สองเซิร์ฟเวอร์เข้าด้วยกัน การกำหนดค่า ความพร้อมใช้งานสูง, โหมดปรับสมดุล โหลดสูง- เรากระจายโหลดบนเซิร์ฟเวอร์ 50x50 หากต้องการกำหนดค่าบนเซิร์ฟเวอร์แรกที่ติดตั้งและกำหนดค่าเซิร์ฟเวอร์ DHCP ให้เลือก “ตัวจัดการเซิร์ฟเวอร์” - “เครื่องมือ” - “DHCP”

34. คลิกขวาที่ขอบเขตที่สร้างในเซิร์ฟเวอร์ DHCP จากนั้นคลิก “Configure Failover...”

35. วิซาร์ด Configure Failover จะปรากฏขึ้น จากนั้นเลือก Next

36. ระบุเซิร์ฟเวอร์พันธมิตรสำหรับการเฟลโอเวอร์ ในการดำเนินการนี้ ในช่อง "เซิร์ฟเวอร์พันธมิตร" โดยใช้ปุ่ม "เพิ่มเซิร์ฟเวอร์" ให้เพิ่มเซิร์ฟเวอร์ตัวที่สอง (เพิ่มเติม) ที่มีการปรับใช้บทบาทเซิร์ฟเวอร์ DHCP จากนั้นคลิก "ถัดไป"

37. ป้อนรหัสผ่านในช่อง “ความลับที่ใช้ร่วมกัน” การตั้งค่าที่เหลือสามารถปล่อยให้เป็นค่าเริ่มต้นได้ รวมถึงเปอร์เซ็นต์ของการกระจายโหลดด้วย เซิร์ฟเวอร์ท้องถิ่น- พันธมิตรเซิร์ฟเวอร์ - 50% ถึง 50% "ถัดไป" อีกครั้ง

38. ตรวจสอบการตั้งค่าเฟลโอเวอร์ระหว่างเซิร์ฟเวอร์แรกและ เซิร์ฟเวอร์เพิ่มเติม- คลิก "เสร็จสิ้น"

39. ในระหว่างการตั้งค่าเฟลโอเวอร์ ให้ตรวจสอบว่าทุกอย่าง "สำเร็จ" แล้วปิดวิซาร์ด

40. เปิดเซิร์ฟเวอร์ที่สอง "ตัวจัดการเซิร์ฟเวอร์" - "เครื่องมือ" - "อนุญาต"

41. ตรวจสอบ “กลุ่มที่อยู่” เซิร์ฟเวอร์ DHCP จะถูกซิงโครไนซ์

ขั้นตอนการติดตั้งและกำหนดค่า Active Directory, DHCP, DNS เสร็จสิ้น คุณสามารถดูสิ่งที่ต้องทำและวิธีดำเนินการได้ที่นี่: