Gumagana ang domain controller. Pag-configure ng mga controller ng domain sa iba't ibang mga subnet. Itaas ang Mga Serbisyo ng Domain sa isang Kontroler ng Domain

Ito ay nangyari sa aming organisasyon na ang imprastraktura ay kailangang gawin nang mabilis, at ang pagbili ng mga lisensya ay nagtagal. Samakatuwid ito ay nagpasya na gamitin Mga larawan sa Windows Pagsusuri ng Server 2012R2, at pagkatapos ng panahon ng pagsubok ito ay magiging lisensyado. Noon, walang nakakaalam na hindi ka basta makakasulat ng Standard na lisensya sa Evaluation release at makakuha ng lisensyadong Standard bilang resulta, kung hindi, sa tingin ko, bumili ka muna ng mga lisensya. Ngunit walang magawa, kung ano ang mayroon kami ay kung ano ang aming pinagtatrabahuhan. Kaya.

Gawain: Pagkatapos bumili ng mga lisensya ng Microsoft para sa Windows server 2012R2 Standard, kailangan mong i-activate ang mga ito sa aming mga server. Magsimula na tayo.

Nagkaroon ng problema habang isinasagawa ang gawain. Dahil una naming na-install ang Windows server 2012R2 Standard Evaluation, kapag sinubukan naming magrehistro ng key para sa Standard, sinasabi ng server na hindi angkop ang key na ito para dito. Nagsimula kaming maghanap ng solusyon sa problema ng paglilipat ng server mula sa bersyon ng Pagsusuri patungo sa Standard na bersyon. Ang sagot ay natagpuan sa website ng Microsoft sa isang artikulo ng TechNet.

Ang artikulo ay bahagyang nakatulong sa paglutas ng problema. Nagawa naming baguhin ang bersyon sa tatlong pisikal na server at i-activate ang mga ito gamit ang aming mga lisensya. Ngunit, sa kasamaang-palad, hindi lahat ay napakasimple sa mga controllers ng domain. Ang artikulo sa itaas ay tahasang nagsasaad na ang mga controller ng domain ay HINDI maililipat mula sa Evaluation patungo sa Standard. Kailangan nating gawin ito sa lalong madaling panahon sa lalong madaling panahon, dahil Ang PDC ay naubusan ng mga opsyon sa /rearm, at wala pang 3 araw ang natitira hanggang sa matapos ang trial na bersyon.

May nakita akong dalawang opsyon para malutas ang isyu. O, halili sa pagitan ng BDC at PDC, ilipat ang mga karapatan ng may-ari ng scheme at iba pang mga tungkulin, i-demote ito sa mga server ng miyembro at pagkatapos ay itaas ito muli. Ngunit tinanggihan ko ang ideya ng domain na ito ng volleyball, dahil sa ang katunayan na ginagawa ko ang lahat ng ito sa unang pagkakataon at natatakot akong masira ito.

Samakatuwid, napagpasyahan na itaas ang isang bagong server, i-promote ito sa isang domain controller at ilipat ang may-ari ng circuit dito, at pagkatapos ay i-off ang lumang PDC at italaga ang IP nito sa bago ang pagpipiliang ito ay tila mas simple at mas ligtas sa ako noon. Napansin ko na pagkatapos ng mga pangyayaring inilarawan sa ibaba, naniniwala pa rin ako dito magandang desisyon, Ni kahit man lang ang lahat ay napunta nang walang insidente, kung hindi, ang artikulo ay magkakaroon ng ganap na naiibang pamagat, o hindi na ito umiral.

Ang scheme ay maaaring kopyahin nang walang mga problema sa araw ng trabaho. May isang araw at kalahating natitira, kaya walang oras upang mangarap tungkol sa kung paano ko gagawin ang lahat ng ito, kailangan kong magsimula nang mapilit. Karagdagang hakbang hakbang-hakbang.

1. Gumawa ng bago virtual machine na may mga parameter na naaayon sa kasalukuyang PDC. Maipapayo na likhain ito sa isang pisikal na server kung saan walang iba pang mga controllers ng domain, ngunit ito ay kung mayroon kang ilang mga hypervisors, tulad ng sa aking kaso, kung hindi, kung gayon hindi ito mahalaga, ang tanging tanong ay ang pagpapahintulot sa kasalanan. Buweno, kung nagtatrabaho ka hindi sa mga hypervisors, ngunit sa mga tunay na server, kung gayon ang pagpapahintulot sa kasalanan ng PDC at BDC ay isang bagay na siyempre.

2. I-install Windows Server 2012R2. Piliin ang Standard na edisyon na may graphical na interface. Kino-configure namin ang TCP/IP at pinapalitan ang pangalan ng server alinsunod sa mga karaniwang pangalan sa imprastraktura ng IT.

3. Pagkatapos ng pag-install, paganahin ang mga bagong tungkulin para sa server sa Server Manager. Interesado kami sa AD, DNS at iba pang mga tungkulin at bahagi na ginagamit sa kasalukuyang mga controller ng domain.

4. Pino-promote namin ang server sa isang domain controller. Nagaganap ang pagtitiklop sa pagitan ng pangunahing domain controller at ng bago.

5. Inilipat namin ang mga tungkulin ng may-ari ng circuit mula sa lumang DC patungo sa bago.
Upang gawin ito, pumunta sa controller ng domain kung saan itatalaga ang mga tungkulin ng FSMO, ilunsad ang command line, at ilagay ang mga command sa pagkakasunud-sunod na ipinahiwatig sa ibaba:

ntdsutil
mga tungkulin
mga koneksyon
kumonekta sa server<имя сервера PDC>
q

Sa matagumpay na pagkonekta sa server, makakatanggap kami ng imbitasyon na pamahalaan ang mga tungkulin (pagpapanatili ng FSMO), at maaari na kaming magsimulang maglipat ng mga tungkulin:

paglipat ng pagpapangalan ng master- paglipat ng tungkulin ng may-ari ng domain name.
ilipat ang master ng imprastraktura- paglipat ng tungkulin ng may-ari ng imprastraktura;
ilipat rid master- paglipat ng RID master role;
master ng schema ng paglipat- paglipat ng papel ng may-ari ng scheme;
ilipat ang pdc- paglipat ng PDC emulator role

Upang isara ang Ntdsutil, ilagay ang q command.

6. Pagkatapos ilipat ang may-ari ng circuit, tingnan syslog at dcdiag para sa mga error. Hindi sila dapat umiral. Kung meron, ayusin natin. (Nakaranas ako ng dns error, kung saan nagreklamo ang server tungkol sa mga maling tinukoy na forwarder. Sa parehong araw, nalaman ko na hindi dapat ipahiwatig ng mga DNS forwarder ang server kung saan naka-install ang DNS (kadalasan ang mga server ay tinukoy DNS provider at Yandex (Google), na sa pangkalahatan ay lohikal, ito ay mahalagang lumilikha ng isang loop sa DNS.

7. Kung ang mga pagkakamali ay naitama o hindi. Simulan natin ang pagpapalit ng mga IP address. Nagtatalaga kami ng anumang libreng IP address sa network sa lumang PDC, at itinalaga ang address ng luma sa bagong PDC.

8. Muli naming sinusuri kung may mga error. Nagsasagawa kami ng mga pagsubok. I-off ang lumang PDC at BDC. Sinusuri namin ang posibilidad ng awtorisasyon sa domain. Pagkatapos ay iiwan lamang namin ang BDC na naka-enable at suriin kung ito ay tumatagal sa papel ng isang domain controller kung ang PDC ay hindi magagamit.

9. Kung matagumpay na pumasa ang lahat ng pagsusulit. Maaari mong sirain ang lumang PDC at simulan ang pagbabago ng bersyon ng BDC.

10. Sa aming kaso, ang lumang PDC ay hindi pa rin maitatapon sa basurahan dahil ang DFS namespace na papel ay gumagana dito, at hindi namin alam kung paano ito i-replicate sa bagong server.

11. Ang lahat ay naging napakasimple. Ipinasok namin ang graphical na snap-in na "DFS Management". Sa "Namespace" nagdaragdag kami ng mga umiiral nang namespace, pagkatapos ay nagdaragdag kami ng isang namespace server sa bawat namespace at iyon talaga. ugat ng dfs awtomatikong lumalabas sa c:\ kasama ang mga link sa mga mapagkukunan ng network at gumagana ang lahat. Kung sakali, sinusuri namin ang operasyon sa pamamagitan ng pag-off sa lumang PDC. Sa una, hindi magagamit ang mga mapagkukunan ng network (kailangan ng DFS ng 300 segundo upang ma-replicate). Pagkatapos ng 5 minuto, dapat na maging available muli ang mga mapagkukunan ng network.

12. Hinahayaan naming naka-off ang lumang PDC at pagkaraan ng ilang oras, i-demote namin ito sa isang server ng miyembro at pagkatapos ay tanggalin ito. Posible, siyempre, kaagad, ngunit natakot ako at hanggang kamakailan ay hindi ako naniniwala na ang lahat ay gumagana nang walang mga problema.

P.S.: Ang lahat ng mga aksyon sa itaas ay isinagawa pagkatapos ng maingat na pag-aaral Mga aklat sa Windows server 2012R2 - Kumpletong Gabay. Sa partikular, ang mga kabanata na partikular na nakatuon sa AD, DNS at DFS, pati na rin sa mga controllers ng domain. Mas mainam na huwag simulan ang mga pagkilos na ito nang walang pag-unawa at pagpaplano, dahil... Maaaring mawala ang iyong gumaganang imprastraktura.

Umaasa ako na ang artikulong ito ay magiging kapaki-pakinabang at kinakailangan para sa isang tao. Salamat sa iyong pansin!

Ang pagiging pamilyar sa maliit na negosyo mula sa loob, palagi akong interesado sa mga sumusunod na tanong. Ipaliwanag kung bakit dapat gamitin ng isang empleyado ang browser na gusto ng administrator ng system sa kanyang computer sa trabaho? O kumuha ng iba software, halimbawa, ang parehong archiver, mail client, kliyente mga instant message... Malumanay akong nagpapahiwatig sa standardisasyon, at hindi batay sa personal na pakikiramay ng tagapangasiwa ng system, ngunit sa batayan ng kasapatan ng pag-andar, ang halaga ng pagpapanatili at suporta ng mga ito mga produkto ng software. Simulan nating isaalang-alang ang IT bilang isang eksaktong agham, at hindi bilang isang craft, kapag ginawa ng lahat ang kanilang pinakamahusay na ginagawa. Muli, marami ring problema dito sa maliliit na negosyo. Isipin na ang isang kumpanya sa isang mahirap na oras ng krisis ay nagbabago ng ilan sa mga administrador na ito, ano ang dapat gawin ng mga mahihirap na gumagamit sa ganoong sitwasyon? Patuloy na muling sanayin?

Tingnan natin mula sa kabilang panig. Dapat maunawaan ng sinumang tagapamahala kung ano ang kasalukuyang nangyayari sa kanyang kumpanya (kabilang ang IT). Ito ay kinakailangan para sa pagsubaybay kasalukuyang sitwasyon, para sa agarang pagtugon sa paglitaw ng iba't ibang uri ng mga problema. Ngunit ang pag-unawang ito ay mas mahalaga para sa estratehikong pagpaplano. Pagkatapos ng lahat, ang pagkakaroon ng matibay at maaasahang pundasyon, maaari tayong magtayo ng isang bahay na may 3 o 5 palapag, gumawa ng bubong na may iba't ibang hugis, gumawa ng mga balkonahe o hardin ng taglamig. Katulad nito, sa IT, mayroon tayong maaasahang pundasyon - maaari pa tayong gumamit ng mas kumplikadong mga produkto at teknolohiya upang malutas ang mga problema sa negosyo.

Ang unang artikulo ay magsasalita tungkol sa naturang pundasyon - Mga serbisyo ng Active Directory. Ang mga ito ay idinisenyo upang maging isang matibay na pundasyon para sa imprastraktura ng IT ng isang kumpanya ng anumang laki at anumang lugar ng aktibidad. Ano ito? Kaya pag-usapan natin ito...

Simulan natin ang pag-uusap sa mga simpleng konsepto– Domain at serbisyo ng Active Directory.

Domain ay ang pangunahing yunit ng administratibo sa imprastraktura ng network ng isang enterprise, na kinabibilangan ng lahat ng bagay sa network tulad ng mga user, computer, printer, nakabahaging mapagkukunan at marami pang iba. Ang koleksyon ng mga naturang domain ay tinatawag na kagubatan.

Mga Serbisyo sa Aktibong Direktoryo (Mga Serbisyong Aktibong Direktoryo) ay isang distributed database na naglalaman ng lahat ng domain object. Ang kapaligiran ng domain ng Active Directory ay nagbibigay ng isang punto ng pagpapatunay at awtorisasyon para sa mga user at application sa buong enterprise. Ito ay sa organisasyon ng isang domain at ang pag-deploy ng mga serbisyo ng Active Directory na magsisimula ang pagtatayo ng isang enterprise IT infrastructure.

Ang database ng Active Directory ay naka-imbak sa mga nakalaang server - mga controller ng domain. Ang Active Directory Services ay isang tungkulin ng operating system ng server Mga sistema ng Microsoft Windows Server. Ang Active Directory Services ay mayroong sapat na pagkakataon scaling. Mahigit sa 2 bilyong bagay ang maaaring gawin sa isang Active Directory na kagubatan, na nagpapahintulot sa serbisyo ng direktoryo na maipatupad sa mga kumpanyang may daan-daang libong mga computer at user. Hierarchical na istraktura Binibigyang-daan ka ng mga domain na flexible na sukatin ang imprastraktura ng IT sa lahat ng sangay at rehiyonal na dibisyon ng mga kumpanya. Para sa bawat sangay o dibisyon ng isang kumpanya, maaaring gumawa ng hiwalay na domain, na may sariling mga patakaran, sariling mga user at grupo. Para sa bawat child domain, maaaring italaga ang administratibong awtoridad sa mga lokal na administrator ng system. Kasabay nito, ang mga domain ng bata ay nasa ilalim pa rin ng kanilang mga magulang.

Bukod, Mga aktibong serbisyo Pinapayagan ka ng direktoryo na i-configure relasyong tiwala sa pagitan ng domain forest. Ang bawat kumpanya ay may sariling kagubatan ng mga domain, bawat isa ay may sariling mga mapagkukunan. Ngunit kung minsan kailangan mong magbigay ng access sa iyong mga mapagkukunan ng korporasyon mga empleyado ng ibang kumpanya - nagtatrabaho kasama pangkalahatang mga dokumento at mga aplikasyon sa loob pinagsamang proyekto. Upang magawa ito, maaaring i-set up ang mga ugnayan ng tiwala sa pagitan ng mga kagubatan ng organisasyon, na magbibigay-daan sa mga empleyado ng isang organisasyon na mag-log in sa domain ng isa pa.

Para matiyak ang fault tolerance para sa mga serbisyo ng Active Directory, dapat kang mag-deploy ng dalawa o higit pang domain controller sa bawat domain. Ang lahat ng mga pagbabago ay awtomatikong ginagaya sa pagitan ng mga controller ng domain. Kung nabigo ang isa sa mga controllers ng domain, hindi maaapektuhan ang functionality ng network, dahil patuloy na gumagana ang mga natitira. Karagdagang antas Tinitiyak ng fault tolerance na ang mga DNS server ay inilalagay sa mga domain controller sa Active Directory, na nagbibigay-daan sa bawat domain na magkaroon ng maramihang mga DNS server na nagsisilbi sa pangunahing domain zone. At sa kaso ng pagkabigo ng isa sa DNS server ov, ang natitira ay patuloy na gagana. Pag-uusapan natin ang papel at kahalagahan ng mga DNS server sa imprastraktura ng IT sa isa sa mga artikulo sa serye.

Pero yun lang teknikal na aspeto pagpapatupad at pagpapanatili ng mga serbisyo ng Active Directory. Pag-usapan natin ang mga benepisyong nakukuha ng kumpanya sa pamamagitan ng paglayo sa peer-to-peer networking at paggamit ng mga workgroup.

1. Isang punto ng pagpapatunay

SA grupong nagtatrabaho sa bawat computer o server kakailanganin mong manu-manong idagdag buong listahan mga gumagamit na nangangailangan access sa network. Kung biglang nais ng isa sa mga empleyado na baguhin ang kanyang password, kakailanganin itong baguhin sa lahat ng mga computer at server. Mabuti kung ang network ay binubuo ng 10 mga computer, ngunit paano kung marami pa? Kapag gumagamit domain Aktibo Iniimbak ng directory ang lahat ng user account sa isang database, at ina-access ito ng lahat ng computer para sa pahintulot. Ang lahat ng mga user ng domain ay kasama sa mga naaangkop na pangkat, halimbawa, "Accounting", "Finance Department". Ito ay sapat na upang magtakda ng mga pahintulot para sa ilang mga grupo nang isang beses, at lahat ng mga gumagamit ay magkakaroon ng naaangkop na access sa mga dokumento at application. Kung ang isang bagong empleyado ay sumali sa kumpanya, ang isang account ay nilikha para sa kanya, na kasama sa naaangkop na grupo - ang empleyado ay makakakuha ng access sa lahat ng mga mapagkukunan ng network kung saan siya ay dapat payagan na ma-access. Kung ang isang empleyado ay huminto, pagkatapos ay i-block lamang siya at agad siyang mawawalan ng access sa lahat ng mga mapagkukunan (mga computer, mga dokumento, mga aplikasyon).

2. Isang punto ng pamamahala ng patakaran

Sa isang workgroup, lahat ng mga computer ay may pantay na karapatan. Wala sa mga computer ang maaaring makontrol ang iba; Kapag gumagamit ng iisang Active Directory, ang lahat ng user at computer ay hierarchically distributed sa kabuuan mga yunit ng organisasyon, sa bawat isa ay pareho mga patakaran ng grupo. Nagbibigay-daan sa iyo ang mga patakaran na magtakda ng magkatulad na mga setting at mga setting ng seguridad para sa isang pangkat ng mga computer at user. Kapag ang isang bagong computer o user ay idinagdag sa isang domain, awtomatiko itong nakakatanggap ng mga setting na sumusunod sa mga tinatanggap na pamantayan ng kumpanya. Gamit ang mga patakaran, maaari kang magtalaga ng mga printer ng network sa mga user, i-install ang mga kinakailangang application, itakda ang mga setting ng seguridad ng browser, at i-configure ang mga application ng Microsoft Office.

3. Tumaas na antas ng seguridad ng impormasyon

Ang paggamit ng mga serbisyo ng Active Directory ay makabuluhang nagpapataas ng antas ng seguridad ng network. Una, ito ay isang solong at secure na imbakan ng account. Sa isang kapaligiran ng domain, ang lahat ng mga password ng user ng domain ay iniimbak sa mga nakalaang server ng controller ng domain, na kadalasang pinoprotektahan mula sa panlabas na pag-access. Pangalawa, kapag gumagamit ng isang domain environment, ang Kerberos protocol ay ginagamit para sa authentication, na mas secure kaysa sa NTLM, na ginagamit sa mga workgroup.

4. Pagsasama sa mga aplikasyon ng negosyo at kagamitan

Ang isang malaking bentahe ng mga serbisyo ng Active Directory ay ang pagsunod nito sa pamantayan ng LDAP, na sinusuportahan ng ibang mga system, hal. mga mail server(Exchange Server), mga proxy server (ISA Server, TMG). Bukod dito, ito ay hindi lamang kinakailangan Mga produkto ng Microsoft. Ang bentahe ng pagsasamang ito ay hindi kailangang tandaan ng user malaking bilang mga login at password upang ma-access ang isang partikular na application, sa lahat ng mga application ang user ay may parehong mga kredensyal - ang kanyang pagpapatotoo ay nangyayari sa iisang Active Directory. Nagbibigay ang Windows Server ng RADIUS protocol para sa pagsasama sa Active Directory, na sinusuportahan isang malaking bilang kagamitan sa network. Kaya, posible, halimbawa, upang matiyak ang pagpapatunay ng mga gumagamit ng domain kapag kumokonekta sa pamamagitan ng VPN mula sa labas, gamit ang Wi-Fi mga access point sa kumpanya.

5. Isang imbakan mga pagsasaayos ng aplikasyon

Iniimbak ng ilang application ang kanilang configuration sa Active Directory, gaya ng Exchange Server. Ang pag-deploy ng serbisyo ng direktoryo ng Active Directory ay kinakailangan para gumana ang mga application na ito. Ang pag-iimbak ng configuration ng application sa isang serbisyo ng direktoryo ay nag-aalok ng kakayahang umangkop at pagiging maaasahan ng mga benepisyo. Halimbawa, kung sakali ganap na pagtanggi Exchange server, mananatiling buo ang buong configuration nito. Upang maibalik ang pag-andar corporate mail, sapat na upang muling i-install ang Exchange Server sa recovery mode.

Upang buod, nais kong muling bigyang-diin na ang mga serbisyo ng Active Directory ay ang puso ng imprastraktura ng IT ng isang enterprise. Sa kaso ng pagkabigo, ang buong network, lahat ng mga server, at ang gawain ng lahat ng mga gumagamit ay paralisado. Walang sinuman ang makakapag-log in sa computer o makaka-access sa kanilang mga dokumento at aplikasyon. Samakatuwid, ang isang serbisyo sa direktoryo ay dapat na maingat na idinisenyo at i-deploy, na isinasaalang-alang ang lahat posibleng mga nuances, Halimbawa, bandwidth mga channel sa pagitan ng mga sangay o opisina ng isang kumpanya (ang bilis ng pag-login ng user sa system, pati na rin ang pagpapalitan ng data sa pagitan ng mga controllers ng domain, direktang nakasalalay dito).

UPD: Gumawa ako ng video channel sa YouTube kung saan unti-unti akong nagpo-post ng mga video ng pagsasanay sa lahat ng larangan ng IT na bihasa ako, mag-subscribe: http://www.youtube.com/user/itsemaev

UPD2: Tradisyonal na binabago ng Microsoft ang karaniwang syntax sa command line, kaya ang mga tungkulin sa bawat isa Mga bersyon ng Windows Maaaring iba ang tunog ng server. Hindi na fsmo ang tawag sa kanila, kundi operation masters. Kaya, para sa mga tamang utos sa console pagkatapos ng pagpapanatili ng fsmo, isulat lang? at ipapakita nito sa iyo ang magagamit na mga utos.

Sa aking Abril magazine na "System Administrator" kumuha sila ng isang artikulo sa paksang "Walang sakit na pagpapalit ng isang lipas na o nabigong domain controller na may Nakabatay sa Windows server"

At nagbayad pa sila ng isang daang dolyar at binigyan ako ng isang bag ng utak)) Onotole na ako ngayon.


Walang sakit na palitan ang isang lipas na o nabigong Windows Server domain controller.(kung may nangangailangan nito, padadalhan kita ng mga larawan)

Kung nabigo ang iyong domain controller o ganap na luma na at nangangailangan ng kapalit, huwag magmadaling magplanong gugulin sa susunod na katapusan ng linggo sa paggawa ng bagong domain sa isang bagong server at maingat na paglilipat ng mga user machine dito. Mahusay na pamamahala Ang isang backup na domain controller ay makakatulong sa iyo nang mabilis at walang sakit na palitan ang nakaraang server.

Halos lahat ng administrator na nagtatrabaho sa mga server na nakabatay sa Windows, maaga o huli, ay nahaharap sa pangangailangang palitan ang isang ganap na hindi napapanahong pangunahing domain controller, ang karagdagang pag-upgrade na hindi na makatuwiran, na may bago na higit na nakakatugon sa mga modernong kinakailangan. Mayroong mas masahol pang mga sitwasyon - ang domain controller ay nagiging hindi na magagamit dahil sa mga pagkasira sa pisikal na antas, at ang mga backup at larawan ay luma na o nawala
Sa prinsipyo, ang isang paglalarawan ng pamamaraan para sa pagpapalit ng isang domain controller sa isa pa ay matatagpuan sa iba't ibang mga forum, ngunit ang impormasyon ay ibinibigay sa mga fragment at, bilang panuntunan, nalalapat lamang sa tiyak na sitwasyon, gayunpaman, ay hindi nagbibigay ng aktwal na solusyon. Bilang karagdagan, kahit na pagkatapos basahin ang maraming mga forum, mga base ng kaalaman at iba pang mga mapagkukunan sa Ingles- Nagawa ko nang tama ang pamamaraan para sa pagpapalit ng isang domain controller nang walang mga error sa pangatlo o ikaapat na pagkakataon lamang.
Kaya gusto kong dalhin hakbang-hakbang na mga tagubilin pagpapalit ng isang domain controller, hindi alintana kung ito ay gumagana o hindi. Ang pagkakaiba lang ay sa kaso ng "nahulog" na controller, makakatulong lang ang artikulong ito kung nag-ingat ka nang maaga at nag-deploy backup na controller domain.

Paghahanda ng mga server para sa pag-promote/pagbaba ng tungkulin sa tungkulin

Ang pamamaraan para sa paggawa ng backup na domain controller ay simple - pinapatakbo lang namin ang dcpromo wizard sa anumang server sa network. Gamit ang dcpromo wizard, gumagawa kami ng domain controller sa isang umiiral nang domain. Bilang resulta ng mga manipulasyong ito, nakakakuha kami ng naka-deploy na serbisyo ng direktoryo ng AD sa aming karagdagang server(Tatawagin ko itong pserver at ang pangunahing controller dcserver).
Susunod, kung ang dcpromo mismo ay hindi nag-aalok nito, patakbuhin ito Pag-install ng DNS server. Hindi mo kailangang baguhin ang anumang mga setting, hindi mo rin kailangang lumikha ng isang zone - ito ay nakaimbak sa AD, at lahat ng mga tala ay awtomatikong ginagaya sa backup na controller. Pansin - ang pangunahing zone sa DNS ay lilitaw lamang pagkatapos ng pagtitiklop, upang mapabilis kung saan maaaring i-reboot ang server. Sa mga setting ng TCP/IP ng network card ng backup na domain controller, dapat ipahiwatig ng address ng pangunahing DNS server ang IP address ng pangunahing domain controller.
Ngayon ay madali mong masusuri ang functionality ng backup na domain controller pserver. Maaari kaming lumikha ng isang gumagamit ng domain sa parehong pangunahin at backup na mga controller ng domain. Kaagad pagkatapos ng paglikha, ito ay lilitaw sa duplicate na server, ngunit sa loob ng isang minuto (habang nagaganap ang pagtitiklop) ito ay ipinapakita bilang hindi pinagana, pagkatapos nito ay nagsisimula itong lumitaw nang magkapareho sa parehong mga controller.
Sa unang sulyap, ang lahat ng mga hakbang upang lumikha ng isang gumaganang scheme para sa pakikipag-ugnayan ng ilang mga controllers ng domain ay nakumpleto na, at ngayon, sa kaganapan ng isang pagkabigo ng "pangunahing" domain controller, ang "backup" controllers ay awtomatikong gaganap ang mga function nito . Gayunpaman, habang ang pagkakaiba sa pagitan ng isang "pangunahin" at isang "backup" na domain controller ay puro nominal, ang "pangunahing" domain controller ay may ilang mga tampok (FSMO roles) na hindi dapat kalimutan. Kaya, ang mga pagpapatakbo sa itaas ay hindi sapat para sa normal na paggana ng serbisyo ng direktoryo kapag nabigo ang "pangunahing" domain controller, at ang mga aksyon na dapat isagawa upang mahusay na ilipat/sakupin ang tungkulin ng pangunahing domain controller ay ilalarawan sa ibaba.

Isang maliit na teorya

Kailangan mong malaman na ang mga controller ng domain ng Active Directory ay gumaganap ng ilang uri ng mga tungkulin. Ang mga tungkuling ito ay tinatawag na FSMO (Flexible single-master operations):
- Schema Master(Schema Master) - ang tungkulin ay responsable para sa kakayahang baguhin ang scheme - halimbawa, pag-deploy ng Exchange server o ISA server. Kung hindi available ang may-ari ng tungkulin - diagram umiiral na domain hindi ka maaaring magbago;
- Domain Naming Master (Domain naming operation master) - kailangan ang tungkulin kung mayroong ilang domain o subdomain sa iyong domain forest. Kung wala ito, hindi magiging posible na lumikha at magtanggal ng mga domain sa iisang domain na kagubatan;
- Relative ID Master (Relative ID Master) - ay responsable para sa paglikha ng isang natatanging ID para sa bawat AD object;
- Pangunahing Domain Controller Emulator - responsable ito sa pagtatrabaho sa mga user account at patakaran sa seguridad. Ang kakulangan ng komunikasyon dito ay nagpapahintulot sa iyo na mag-log in sa mga workstation gamit ang lumang password, na hindi mababago kung ang domain controller ay "bumagsak";
- Infrastructure Master (Infrastructure Master) - ang tungkulin ay responsable para sa pagpapadala ng impormasyon tungkol sa mga bagay ng AD sa iba pang mga controller ng domain sa buong kagubatan.
Ang mga tungkuling ito ay nakasulat sa sapat na detalye sa maraming base ng kaalaman, ngunit ang pangunahing tungkulin ay halos palaging nalilimutan - ito ang tungkulin ng Global Catalog. Sa katunayan, inilulunsad lang ng direktoryo na ito ang serbisyo ng LDAP sa port 3268, ngunit tiyak na hindi nito naa-access ang hindi magbibigay-daan mga gumagamit ng domain login. Ang kapansin-pansin ay ang papel pandaigdigang katalogo maaaring magkaroon ng lahat ng mga controller ng domain nang sabay-sabay.

Sa katunayan, maaari naming tapusin na kung mayroon kang primitive na domain para sa 30-50 machine, nang walang pinalawig na imprastraktura, na hindi kasama ang mga subdomain, maaaring hindi mo mapansin ang kakulangan ng access sa may-ari/may-ari ng unang dalawang tungkulin. Bilang karagdagan, ilang beses akong nakatagpo ng mga organisasyong nagtatrabaho mahigit isang taon walang domain controller sa lahat, ngunit sa isang domain infrastructure. Iyon ay, ang lahat ng mga karapatan ay ibinahagi nang matagal na ang nakalipas, habang tumatakbo ang domain controller, at hindi kailangang baguhin ang mga user ng kanilang mga password at tahimik na nagtrabaho;

Pagtukoy sa mga kasalukuyang may-ari mga tungkulin ng fsmo.

Hayaan akong linawin - matalino naming gustong palitan ang domain controller nang hindi nawawala ang alinman sa mga kakayahan nito. Kung sakaling mayroong dalawa o higit pang mga controller sa domain, kailangan nating malaman kung sino ang nagmamay-ari ng bawat isa sa mga tungkulin ng fsmo. Ito ay medyo madaling gawin gamit ang mga sumusunod na command:

dsquery server -hasfsmo schema
dsquery server - pangalan ng hasfsmo
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infr
dsquery server -forest -isgc

Ang bawat isa sa mga utos ay nagpapakita ng impormasyon tungkol sa kung sino ang may-ari ng hiniling na tungkulin (Larawan 1). Sa aming kaso, ang may-ari ng lahat ng mga tungkulin ay ang pangunahing domain controller dcserver.

Kusang-loob na paglipat ng mga tungkulin ng fsmo gamit ang mga console ng Active Directory.

Nasa amin ang lahat ng impormasyong kailangan para ilipat ang tungkulin ng PDC. Magsimula tayo: kailangan muna nating tiyakin na ang ating account ay miyembro ng mga pangkat ng Domain Admins, Schema Admins at Enterprise Admins group, at pagkatapos ay magpatuloy sa tradisyonal na pamamaraan paglipat ng tungkulin ng fsmo - pamamahala ng domain sa pamamagitan ng mga console ng Active Directory.

Para ilipat ang tungkuling “domain name master,” gawin ang mga sumusunod na hakbang:
- buksan ang "Mga Active Directory na Domain at Trust" sa controller ng domain kung saan gusto naming ilipat ang tungkulin. Kung makikipagtulungan kami sa AD sa controller ng domain kung saan gusto naming ilipat ang tungkulin, laktawan namin ang susunod na punto;
- i-click i-right click mouse sa icon ng Active Directory - Mga Domain at Trust at piliin ang command na Connect to a domain controller. Pinipili namin ang controller ng domain kung saan gusto naming ilipat ang tungkulin;
- i-right-click ang Active Directory - Domains and Trusts component at piliin ang Operation Masters command;
- sa dialog box ng Change Operations Owner, i-click ang Change button (Fig. 2).
- pagkatapos ng isang positibong tugon sa pop-up na kahilingan, nakatanggap kami ng matagumpay na nailipat na tungkulin.

Katulad nito, maaari mong gamitin ang Active Directory Users at Computers console upang ilipat ang mga tungkulin ng RID Master, PDC, at Infrastructure Master.

Upang ilipat ang tungkuling "master ng schema", kailangan mo munang irehistro ang library ng pamamahala ng schema ng Active Directory sa system:

Matapos mailipat ang lahat ng mga tungkulin, nananatili itong haharapin ang natitirang opsyon - ang tagapag-ingat ng pandaigdigang katalogo. Pumunta kami sa Active Directory: "Mga Site at Serbisyo", default na site, mga server, hanapin ang domain controller na naging pangunahing, at sa mga katangian ng mga setting ng NTDS nito, lagyan ng check ang kahon sa tabi ng global catalog. (Larawan 3)

Ang resulta ay binago namin ang mga may-ari ng tungkulin para sa aming domain. Para sa mga nangangailangan na sa wakas ay alisin ang lumang domain controller, ibina-downgrade namin ito sa isang server ng miyembro. Gayunpaman, ang pagiging simple ng mga aksyon na ginawa ay nagbabayad sa katotohanan na ang kanilang pagpapatupad sa ilang mga sitwasyon ay imposible, o nagtatapos sa isang pagkakamali. Sa mga kasong ito, tutulungan tayo ng ntdsutil.exe.

Kusang-loob na paglipat ng mga tungkulin ng fsmo gamit ang mga console ng ntdsutil.exe.

Kung sakaling mabigo ang paglipat ng mga tungkulin ng fsmo gamit ang mga AD console, lumikha ang Microsoft ng isang napaka-maginhawang utility - ntdsutil.exe - isang programa sa pagpapanatili ng direktoryo ng Active Directory. Ang tool na ito ay nagbibigay-daan sa iyo upang gumanap nang labis kapaki-pakinabang na mga aksyon- hanggang sa pagpapanumbalik ng buong database ng AD mula sa isang backup na kopya na ginawa mismo ng utility na ito huling pagbabago noong AD. Ang lahat ng mga kakayahan nito ay matatagpuan sa database Kaalaman sa Microsoft(Kodigo ng artikulo: 255504). SA sa kasong ito Pinag-uusapan natin ang katotohanan na ang ntdsutil.exe utility ay nagpapahintulot sa iyo na parehong ilipat ang mga tungkulin at "piliin" ang mga ito.
Kung gusto naming ilipat ang isang tungkulin mula sa isang umiiral na "pangunahing" domain controller patungo sa isang "backup", mag-log in kami sa "pangunahing" controller at magsisimulang maglipat ng mga tungkulin (transfer command).
Kung sa ilang kadahilanan ay wala kaming pangunahing controller ng domain, o hindi kami makapag-log in gamit ang isang administratibong account, mag-log in kami sa backup na domain controller at magsisimulang "pumili" ng mga tungkulin (seize command).

Kaya ang unang kaso ay ang pangunahing domain controller ay umiiral at gumagana nang normal. Pagkatapos ay pumunta kami sa pangunahing domain controller at i-type ang mga sumusunod na command:

ntdsutil.exe
mga tungkulin
mga koneksyon
kumonekta sa server_name ng server (ang gusto naming bigyan ng tungkulin)
q

Kung lumitaw ang mga error, kailangan naming suriin ang koneksyon sa controller ng domain kung saan sinusubukan naming kumonekta. Kung walang mga error, matagumpay kaming nakakonekta sa tinukoy na domain controller na may mga karapatan ng user kung saan kami naglalagay ng mga command.
Available ang kumpletong listahan ng mga command pagkatapos humiling ng pagpapanatili ng fsmo gamit ang karaniwang sign? . Dumating na ang oras para maglipat ng mga tungkulin. Ako kaagad, nang hindi nag-iisip, ay nagpasya na ilipat ang mga tungkulin sa pagkakasunud-sunod kung saan sila ay ipinahiwatig sa mga tagubilin para sa ntdsutil at dumating sa konklusyon na hindi ko mailipat ang tungkulin ng may-ari ng imprastraktura. Bilang tugon sa isang kahilingan na ilipat ang isang tungkulin, isang error ang ibinalik sa akin: "ang kasalukuyang may-ari ng tungkulin ng fsmo ay hindi makontak." Naghanap ako ng impormasyon sa Internet sa loob ng mahabang panahon at nalaman kong karamihan sa mga tao na umabot sa yugto ng paglipat ng tungkulin ay nahaharap sa error na ito. Ang ilan sa kanila ay nagsisikap na alisin ang tungkuling ito sa pamamagitan ng puwersa (hindi ito gumagana), ang ilan ay iniiwan ang lahat ng ito - at namumuhay nang masaya nang wala ang tungkuling ito.
Nalaman ko sa pamamagitan ng trial and error na kapag naglilipat ng mga tungkulin sa sa ganitong pagkakasunud-sunod Ang tamang pagkumpleto ng lahat ng mga hakbang ay ginagarantiyahan:
- may-ari ng mga identifier;
- may-ari ng scheme;
- master ng pagpapangalan;
- may-ari ng imprastraktura;
- controller ng domain;

Pagkatapos ng matagumpay na pagkonekta sa server, nakatanggap kami ng imbitasyon para pamahalaan ang mga tungkulin (fsmo maintenance), at maaari na kaming magsimulang maglipat ng mga tungkulin:
- ilipat ang master ng pagpapangalan ng domain
- transfer master ng imprastraktura
- transfer rid master
- master ng schema ng paglipat
- ilipat ang pdc master

Pagkatapos isagawa ang bawat utos, dapat lumitaw ang isang kahilingan na nagtatanong kung talagang gusto nating ilipat ang tinukoy na tungkulin sa tinukoy na server. Ang resulta ng matagumpay na pagpapatupad ng command ay ipinapakita sa Fig. 4.

Ang pandaigdigang tungkulin ng tagapag-alaga ng catalog ay itinalaga sa paraang inilarawan sa nakaraang seksyon.

Pinipilit ang mga tungkulin ng fsmo gamit ang ntdsutil.exe.

Ang pangalawang kaso ay gusto naming italaga ang tungkulin ng pangunahin sa aming backup na domain controller. Sa kasong ito, walang nagbabago - ang pagkakaiba lamang ay isinasagawa namin ang lahat ng mga operasyon gamit ang seize command, ngunit sa server kung saan gusto naming ilipat ang mga tungkulin upang magtalaga ng mga tungkulin.

sakupin ang domain name master
sakupin master imprastraktura
sakupin rid master
sakupin ang schema master
sakupin ang pdc

Pakitandaan - kung aalisin mo ang isang tungkulin mula sa isang domain controller na wala sa ngayon, pagkatapos kapag lumabas ito sa network, magsisimulang magkasalungat ang mga controller, at hindi mo maiiwasan ang mga problema sa paggana ng domain.

Magtrabaho sa mga pagkakamali.

Ang pinakamahalagang bagay na hindi dapat kalimutan ay hindi itatama ng bagong pangunahing domain controller ang mga setting ng TCP/IP sa sarili nitong: ipinapayong ngayon nito na tukuyin ang 127.0.0.1 bilang address ng pangunahing DNS server (at kung ang lumang domain controller + DNS server ay wala, pagkatapos ito ay sapilitan).
Bukod dito, kung mayroon kang DHCP server sa iyong network, kailangan mong pilitin itong ibigay sa address ng pangunahing DNS server ang ip ng iyong bagong server, kung walang DHCP, dumaan sa lahat ng mga makina at italaga ang pangunahing ito DNS sa kanila nang manu-mano. Bilang kahalili, maaari mong italaga ang parehong ip sa bagong controller ng domain bilang ang luma.

Ngayon ay kailangan mong suriin kung paano gumagana ang lahat at alisin ang mga pangunahing error. Upang gawin ito, iminumungkahi kong burahin ang lahat ng mga kaganapan sa parehong mga controller at i-save ang mga log sa folder kasama ng iba pa mga backup na kopya at i-reboot ang lahat ng mga server.
Pagkatapos i-on ang mga ito, maingat naming sinusuri ang lahat ng log ng kaganapan para sa mga babala at error.

Ang pinakakaraniwang babala pagkatapos ilipat ang mga tungkulin sa fsmo ay ang mensahe na "hindi mapangasiwaan nang tama ng msdtc ang naganap na promosyon/demotion ng domain controller."
Ang pag-aayos ay simple: sa menu na "Administrasyon" makikita namin ang "Mga Serbisyo"
mga bahagi". Doon namin binuksan ang "Component Services", "Computers", buksan ang mga katangian ng seksyong "My Computer", hanapin ang "MS DTC" doon at i-click ang "Security Settings" doon. Doon ay pinapayagan namin ang "Access sa DTC network" at i-click ang OK. Ire-restart ang serbisyo at mawawala ang babala.

Ang isang halimbawa ng error ay isang mensahe na hindi ma-load ang pangunahing DNS zone, o hindi nakikita ng DNS server ang domain controller.
Maiintindihan mo ang mga problema sa paggana ng domain gamit ang utility (Larawan 5):

Maaari mong i-install ang utility na ito mula sa orihinal na Windows 2003 disk mula sa folder na /support/tools. Ang utility ay nagpapahintulot sa iyo na suriin ang paggana ng lahat ng mga serbisyo ng domain controller ay dapat magtapos sa mga salita na matagumpay na naipasa. Kung nabigo ka (madalas ang mga ito ay mga pagsubok sa koneksyon o systemlog), maaari mong subukang awtomatikong gamutin ang error:

dcdiag /v /fix

Bilang panuntunan, dapat mawala ang lahat ng error na nauugnay sa DNS. Kung hindi, gamitin ang utility upang suriin ang katayuan ng lahat ng mga serbisyo sa network:

At siya kapaki-pakinabang na kasangkapan pag-troubleshoot:

netdiag /v /fix

Kung pagkatapos nito ay mayroon pa ring mga error na nauugnay sa DNS, ang pinakamadaling paraan ay alisin ang lahat ng mga zone mula dito at gawin ang mga ito nang manu-mano. Ito ay medyo simple - ang pangunahing bagay ay lumikha ng isang master zone sa pamamagitan ng domain name, na naka-imbak sa Active Directory at ginagaya sa lahat ng domain controllers sa network.
Higit pa detalyadong impormasyon Ang isa pang utos ay magbibigay tungkol sa mga error sa DNS:

dcdiag /test:dns

Sa pagtatapos ng gawaing ginawa, inabot ako ng humigit-kumulang 30 minuto upang malaman ang dahilan ng paglitaw ng ilang mga babala - Naisip ko ang pag-synchronize ng oras, pag-archive ng pandaigdigang catalog at iba pang mga bagay na hindi ko pa napupuntahan. dati. Ngayon ang lahat ay gumagana tulad ng clockwork - ang pinakamahalagang bagay ay tandaan na lumikha ng isang backup na domain controller kung gusto mong alisin ang lumang domain controller mula sa network.

Gaya ng kasabihan, "biglang lumitaw nang wala saan.... ....", walang nagbabadya ng gulo, ngunit nagsimulang mabigo ang pangunahing domain controller, at habang humihinga pa ito, nagpasya akong italaga ang mga karapatan ng pangunahing domain sa isa pa.

Para ilipat ang tungkuling “domain name master,” gawin ang mga sumusunod na hakbang:

Matapos mailipat ang lahat ng mga tungkulin, nananatili itong haharapin ang natitirang opsyon - ang tagapag-ingat ng pandaigdigang katalogo. Pumunta kami sa Direktoryo: "Mga Site at Serbisyo", default na site, mga server, hanapin ang domain controller na naging pangunahing, at sa mga katangian ng mga setting ng NTDS nito, lagyan ng check ang kahon sa tabi ng global catalog. (Larawan 3)

Ang resulta ay binago namin ang mga may-ari ng tungkulin para sa aming domain. Para sa mga nangangailangan na sa wakas ay alisin ang lumang domain controller, ibina-downgrade namin ito sa isang server ng miyembro. Gayunpaman, ang pagiging simple ng mga aksyon na ginawa ay nagbabayad sa katotohanan na ang kanilang pagpapatupad sa ilang mga sitwasyon ay imposible, o nagtatapos sa isang pagkakamali. Sa mga kasong ito, tutulungan tayo ng ntdsutil.exe.

Kusang-loob na paglipat ng mga tungkulin ng fsmo para sa mga console ng ntdsutil.exe.

Kung sakaling mabigo ang paglipat ng mga tungkulin ng fsmo sa mga AD console, lumikha ako ng isang napaka-maginhawang utility - ntdsutil.exe - pagpapanatili Direktoryo. Binibigyang-daan ka ng tool na ito na magsagawa ng matinding pagkilos - hanggang sa buong database ng AD mula sa backup na ginawa mismo nito noong huling pagbabago sa AD. Maaari mong gawing pamilyar ang iyong sarili sa lahat ng mga posibilidad nito sa kaalaman (Artikulo code: 255504). Sa kasong ito, pinag-uusapan natin ang katotohanan na pinapayagan ka ng ntdsutil.exe na parehong ilipat ang mga tungkulin at "piliin" ang mga ito.

Kung gusto naming ilipat ang isang tungkulin mula sa isang umiiral na "pangunahing" domain controller patungo sa isang "backup", pumunta kami sa "pangunahing" controller at simulan ang paglilipat ng mga tungkulin (command paglipat).

Kung sa ilang kadahilanan ay wala kaming pangunahing controller ng domain, o hindi kami makapag-log in gamit ang isang administratibong account, mag-log in kami sa backup na domain controller at magsisimulang "pumili" ng mga tungkulin (utos sakupin).

Kaya ang kaso ay ang pangunahing domain controller ay umiiral at gumagana nang normal. Pagkatapos ay pumunta kami sa pangunahing domain controller at i-type ang mga sumusunod na command:

ntdsutil.exe

kumonekta sa server_name (ang nais naming bigyan ng tungkulin)

Kung may mga lalabas na error, kailangan naming makipag-ugnayan sa controller ng domain kung saan sinusubukan naming kumonekta. Kung walang mga error, matagumpay kaming nakakonekta sa tinukoy na domain controller na may mga karapatan ng user kung saan kami naglalagay ng mga command.

Available ang kumpletong listahan sa pamamagitan ng paghiling ng pagpapanatili ng fsmo gamit ang karaniwang sign? . Dumating na ang oras para maglipat ng mga tungkulin. Ako kaagad, nang hindi nag-iisip, ay nagpasya na ilipat ang mga tungkulin sa pagkakasunud-sunod kung saan sila ay ipinahiwatig sa mga tagubilin para sa ntdsutil at dumating sa konklusyon na hindi ko mailipat ang tungkulin ng may-ari ng imprastraktura. Bilang tugon sa isang kahilingan na ilipat ang isang tungkulin, isang error ang ibinalik sa akin: "ang kasalukuyang may-ari ng tungkulin ng fsmo ay hindi makontak." Naghanap ako ng impormasyon sa loob ng mahabang panahon at nalaman kong karamihan sa mga tao na nakarating sa yugto ng paglilipat ng tungkulin ay nakatagpo ng error na ito. Ang ilan sa kanila ay nagsisikap na alisin ang tungkuling ito sa pamamagitan ng puwersa (hindi ito gumagana), ang ilan ay iniiwan ang lahat ng ito - at namumuhay nang masaya nang wala ang tungkuling ito.

Sa pamamagitan ng pagsubok at error, nalaman ko na kapag naglilipat ng mga tungkulin sa pagkakasunud-sunod na ito, ang tamang pagkumpleto ng lahat ng mga hakbang ay ginagarantiyahan:

May-ari ng mga identifier;

Ang may-ari ng scheme;

Master ng pagpapangalan;

May-ari ng imprastraktura;

Controller ng domain;

Pagkatapos ng matagumpay na pag-access sa server, nakatanggap kami ng imbitasyon para pamahalaan ang mga tungkulin (fsmo maintenance), at maaari na kaming magsimulang maglipat ng mga tungkulin:

- ilipat ang master ng pagpapangalan ng domain

Maglipat ng master ng imprastraktura

Ilipat ang rid master

Maglipat ng schema master

Maglipat ng pdc master

Pagkatapos ng bawat pagpapatupad, dapat lumitaw ang isang kahilingan na nagtatanong kung talagang gusto naming ilipat ang tinukoy na tungkulin sa tinukoy na server. Ang resulta ng matagumpay na pagpapatupad ay ipinapakita sa (Larawan 4).

Ang pandaigdigang tungkulin ng tagapag-alaga ng catalog ay itinalaga sa paraang inilarawan sa nakaraang seksyon.

Sapilitang pagtatalaga ng mga tungkulin ng fsmo sa ntdsutil.exe.

Ang pangalawang kaso ay gusto naming italaga ang tungkulin ng pangunahin sa aming backup na domain controller. Sa kasong ito, walang nagbabago - ang pagkakaiba lamang ay isinasagawa namin ang lahat ng mga operasyon gamit ang seize, ngunit sa server kung saan gusto naming ilipat ang mga tungkulin para sa pagtatalaga ng tungkulin.

sakupin ang pagpapangalan ng master

sakupin master imprastraktura

sakupin rid master

sakupin ang schema master

Pakitandaan na kung inalis mo ang isang tungkulin mula sa isang domain controller na kasalukuyang wala, kapag lumitaw ito, magsisimulang magsalungat ang mga controllers, at hindi mo maiiwasan ang mga problema sa paggana ng domain.

Magtrabaho sa mga pagkakamali.

Ang pinakamahalagang bagay na hindi dapat kalimutan ay hindi aayusin ng bagong pangunahing domain controller ang TCP/IP para sa sarili nito: ipinapayong ngayon na tukuyin nito ang 127.0.0.1 bilang pangunahing DNS address (at kung ang lumang domain controller + DNS nawawala, kung gayon ito ay sapilitan) Kung mayroon kang DHCP server, kailangan mong pilitin itong ibigay ang pangunahing DNS ip address ng iyong bagong server, kung walang DHCP, dumaan sa lahat ng mga makina at italaga ang pangunahing DNS na ito; sa kanila nang manu-mano. Bilang isang opsyon, italaga ang parehong ip sa bagong domain controller bilang ang lumang isa Ngayon ay kailangan mong makita kung paano gumagana ang lahat at alisin ang mga pangunahing error. Upang gawin ito, iminumungkahi kong burahin ang lahat ng mga kaganapan sa parehong mga controller, i-save ang mga log sa isang folder na may iba pang mga backup, at i-reboot ang lahat ng mga server Pagkatapos i-on ang mga ito, maingat na suriin ang lahat ng mga log ng kaganapan para sa mga babala at mga error Ang mga tungkulin ay ang mensahe na , na "hindi maproseso nang tama ng msdtc ang pag-promote/pagbaba ng loob ng isang domain controller na naganap." Ang pag-aayos ay simple: mula sa orihinal

Kung mayroon pa ring mga error na nauugnay sa DNS, alisin lamang ang lahat ng mga zone mula dito at gawin ang mga ito nang manu-mano. Ito ay medyo simple - ang pangunahing bagay ay lumikha ng isang master zone sa pamamagitan ng domain name, na naka-imbak sa at ginagaya sa lahat ng mga controllers ng domain sa network.

Ang isa pang utos ay magbibigay ng mas detalyadong impormasyon tungkol sa mga error sa DNS:

dcdiag /test:dns

Sa pagtatapos ng gawaing ginawa, tumagal ako ng humigit-kumulang 30 minuto upang malaman ang dahilan ng paglitaw ng maraming mga babala - Naisip ko ang pag-synchronize ng oras, pag-archive ng pandaigdigang catalog at iba pang mga bagay na hindi ko pa nakikita. dati. Ngayon ang lahat ay gumagana tulad ng isang alindog - ang pinakamahalagang bagay ay tandaan na lumikha ng isang backup na domain controller kung gusto mong alisin ang lumang domain controller mula sa network.

Para hindi na makapasok malaking bilang mga espesyal na termino, Ang mga controller ng domain ay mga server na sumusuporta sa Active Directory. Nag-iimbak sila ng impormasyon tungkol sa mga account ng user at computer na mga miyembro ng domain, ang schema, at ang kanilang sariling record-aware na kopya ng database ng Active Directory. Bilang karagdagan, ang mga controller ng domain ay kumikilos bilang pangunahing bahagi ng seguridad sa isang domain. Binibigyang-daan ka ng naturang organisasyon na madaling i-configure ang mga patakaran sa seguridad sa loob network ng korporasyon, pati na rin ang payagan, o kabaliktaran, na ipagbawal ilang grupo access ng mga user sa ilang partikular na mapagkukunan.

Mga pangunahing pag-andar ng isang domain controller:

  • Pag-imbak ng kumpletong kopya ng impormasyon ng Active Directory na nauugnay sa isang partikular na domain, pamamahala at pagkopya ng impormasyong ito sa iba pang mga controller na kasama sa domain na ito;
  • Pagtitiklop ng impormasyon ng direktoryo na nauugnay sa lahat ng mga bagay sa isang domain ng Active Directory;
  • Paglutas ng mga salungatan sa pagtitiklop kapag binago ang parehong katangian sa iba't ibang mga controller bago nasimulan ang pagtitiklop.

Mga benepisyo sa negosyo

Mga kalamangan sentralisadong sistema batay sa mga controllers ng domain:

  1. Isang database para sa pagpapatunay. Iniimbak ng domain controller ang lahat ng account sa isang database, at bawat user na bahagi ng domain ng computer ay nakikipag-ugnayan sa domain controller upang mag-log on. Ang paghahati sa mga user sa mga naaangkop na grupo ay nagpapadali sa pag-aayos ng distributed access sa mga dokumento at application. Kaya, kapag lumitaw ang isang bagong empleyado, sapat na upang lumikha para sa kanya account sa naaangkop na grupo at ang empleyado ay awtomatikong magkakaroon ng access sa lahat ng kinakailangan mga mapagkukunan ng network at mga device. Kapag umalis ang isang empleyado, sapat na upang i-block ang kanyang account upang bawiin ang lahat ng pag-access.
  2. Isang punto ng pamamahala ng patakaran. Binibigyang-daan ka ng isang domain controller na ipamahagi ang mga computer at user account sa mga unit ng organisasyon at maglapat ng iba't ibang mga patakaran ng grupo sa kanila, na tumutukoy sa mga setting at mga setting ng seguridad para sa isang pangkat ng mga computer at user (halimbawa, access sa mga network printer, isang hanay ng mga kinakailangang application, mga setting ng browser, atbp.). Kaya, kapag ang isang bagong computer o user ay idinagdag sa domain, awtomatiko nitong matatanggap ang lahat ng mga setting at pag-access na tinukoy para sa isang partikular na departamento.
  3. Kaligtasan. Ang nababaluktot na pagsasaayos ng mga pamamaraan ng pagpapatunay at awtorisasyon, na sinamahan ng sentralisadong pamamahala, ay maaaring makabuluhang mapataas ang seguridad ng imprastraktura ng IT sa loob ng organisasyon. Bilang karagdagan, ang domain controller ay pisikal na naka-install sa isang espesyal na lugar, na protektado mula sa panlabas na pag-access.
  4. Pinasimpleng pagsasama sa iba pang mga serbisyo. Ang paggamit ng domain controller bilang isang punto ng pagpapatunay ay nagbibigay-daan sa mga user na gamitin ang parehong account kapag nag-a-access ng mga karagdagang tool at serbisyo (hal. mga serbisyo sa koreo, mga programa sa opisina, mga proxy server, instant messenger, atbp.).

Mga setting

Ang isang Active Directory Domain Services na nakabatay sa domain controller ay pangunahing elemento Imprastraktura ng IT, na nagbibigay ng kontrol sa pag-access, pati na rin ang proteksyon ng data sa loob ng organisasyon. Ang paggana ng hindi lamang ng domain controller mismo, kundi pati na rin ang Active Directory sa kabuuan (halimbawa, ang pamamahagi ng mga patakaran sa seguridad at mga panuntunan sa pag-access), na nakakaapekto sa pagpapatakbo ng lahat ng nauugnay na serbisyo at tinutukoy din ang antas ng seguridad, ay nakasalalay sa tamang configuration ng domain controller. Piliin ang pinakamahusay na mga developer sa seksyon.



MGA KAUGNAY NA ARTIKULO