Обновлено 12.06.2017
Всем привет сегодня расскажу как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2. Напомню что ранее я описывал процесс Как установить Active directory в windows server 2008R2, и один рабочий контроллер домена мы уже имеем. И не давно, когда я создавал тестовый домен msk.pyatilistnik.org я неправильно назвал DC и мне пришлось его переименовывать, советую почитать. Приступаем к добавлению второго контроллера в существующий лес, по времени это занимает около 5-10 минут.
Как видите я уже подготовил сервер для DC, у меня он называется dc3.msk.pyatilistnik.org, у него уже есть помимо имени статический ip адрес.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-008
Для установки AD откройте пуск и введите да боле знакомое слово dcpromo.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-009
Откроется мастер установки доменных служб, жмем Далее.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R20010
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-011
Следующим окном мастера будет вводная информация, жмем далее.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-012
Теперь ставим галку Существующий лес, добавить контроллер домена в существующий домен
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-013
указываем имя домена для присоединения
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-014
Выбираем домен для данного добавочного контроллера домена
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-015
Выбираем сайт
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-016
Начнется проверка DNS
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-017
Далее указываем что у нас север будет DNS сервером еще и Глобальным каталогом.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-018
Делегируем DNS сервер
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-019
На следующем этапе мы можем задать каталоги хранения файлов базы данных
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-020
задаем пароль администратора восстановления AD.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-021
Последнее Далее. Начнется установка.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-022
Ставим галку перезагрузка по завершении.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-023
Через некоторое время сервер перезагрузится и вы получите второй домен контроллер. Откройте оснастку Active Directory Пользователи и компьютеры на первом DC, и перейдите в контейнер Domain Controllers, как видите DC03 появился в списке.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-024
Откроем Power shell и проверим реплику командой repadmin /syncall. Проверять нужно минут через 5 после того как второй домен контроллер загрузился. Видим, что ошибок репликации нет.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-025
Вот так вот просто добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.
Материал сайта pyatilistnik.org
Структура организации следующая: есть домен для сотрудников под названием domain.int, есть также и его поддомен для других нужд – subdomain.domain.int. Возникла задача перевести существующий поддомен под управлением Windows Server 2003 R2 на Windows Server 2008 R2. Причем главный домен уже переведен.
Просто накатить сверху систему нельзя – 2003 R2 является 32-битной версией, а 2008 R2, соответственно, – 64-битная. А было бы здорово. Выбор невелик, поэтому решили сделать следующее:
- Устанавливаем дополнительный контроллер домена (КД) на Windows Server 2008 R2
- Новый контроллер должен иметь роли глобального каталога и DNS
- Проверяем работу и репликацию обоих контроллеров
- Указываем, что новый КД (2008) – хозяин операций
- Удаляем из схемы старый КД (2003)
- Проверяем работу и начинаем подготовку к настройке уже реально другого дополнительного КД, чтобы на выходе получить два КД под управлением 2008 R2
- Забываем, что когда-то у нас в сети был КД под управлением 2003 R2
Почему решили перевести КД на другую схему, думаю, всем ясно. На дворе уже 2013 год, 2014 не за горами. Почему бы не воспользоваться проверенными и более новыми технологиями? Windows Server 2012 на момент написания статьи пока не вышел в релизе R2. А исходя из многолетнего опыта использования Microsoft, не стоит что-то внедрять на том, что вышло совсем недавно. К тому же немного бесит, что статей в интернете по новым продуктам мало. Именно поэтому сделали выбор на системе Windows Server 2008 R2. В данной статье я буду описывать последовательные действия для 1 и 2 пункта моего плана.
Что подвигло написать статью? Ответ прост: в интернете мало статей по субдоменам. И пускай ничего супер-естественного в настройке нет. Зато наши читатели узнают, что все проходит достаточно просто и последовательно, как по аналогии при лесе с одним доменом. А наш сайт любит хоть и маленькие, но все же эксклюзивы. К тому же, излагаться все будет просто и на обычном языке, понятным даже для самых маленьких админов.
Для начала надо подготовить площадку для будущего дополнительного КД. Проверяем активацию, часовой пояс, брандмауер, сетевые интерфейсы, имя компьютера и другое:
Далее кликаем на установке новой роли и указываем, что нам надо “Доменные службы Active Directory”:
Начинаем установку этой роли:
Заметили, что автоматом поставился компонент .Net Framework 3.5? Поэтому после всех установок сразу “подхватываются” обновления:
Ну вот и все установилось. Даже не пришлось перезагружаться. Я начинаю приятно удивляться Microsoft. Посудите сами – одна из самых серьезных ролей и компонент только что установились, да еще и обновления, а перезагрузка не требуется. Заметили самую первую ошибку? Причина ошибки написана выше, а именно то, что надо бы настроить наш будущий КД:
Поэтому прямо оттуда или из режима командной строки запускаем утилиту DCPROMO.EXE:
Не надо нажимать нам “расширенный режим”. Делаем все по стандартно. По-хорошему, в лучших традициях Microsoft все должно быть по сценарию Далее+Далее+Финиш=Все_работает. Посмотрим как это будет дальше. Соглашаемся с первым окном приветствия:
Затем подсказываем мастеру, что у нас будет добавочный КД:
Затем прописываем имя домена. Можно главный domain.int, а можно и поддомен – subdomain.domain.int. И учетную запись администратора домена само собой. Вы же под ней и делаете?
Теперь главное не перепутать и указать уже точно, в каком домене будем работать. Нам надо поддомен subdomain.domain.int:
Ну вот… начинаются приключения. Так и знал:
Сам виноват, не подготовил домен для перехода. Зато все теперь последовательно все исправим. Идем на главный КД под управлением Windows Server 2003 R2 и вставляем туда диск с нашей системой 2008 R2. Я скопировал все утилиты на диск С, но это необязательно. Запускаем утилиту adprep /domainprep:
Вот я снова невнимательный. Утилита-то 64-битной версии. Поэтому пробуем на 32-битной редакции. Кажется получилось, хотя могли бы и вывести сообщение об успехе:
Теперь запускаем снова утилиту DCPROMO и проделываем все тоже самое. Вместо ошибки получаем следующее окно мастера. Значит та утилита все-таки помогла подготовить домен. Мастер нас спрашивает, какой точно сайт нам нужен. У меня их 3, у вас может быть другое количество. Название не спутаешь, поэтому с уверенностью кликаем “далее”:
Затем мастер спрашивает, добавить ли из будущему КД роли DNS и Global Catalog. Это пригодится будущем, поэтому соглашаемся. Пугаться не надо: в сети может быть несколько DNS и глобальных каталогов. Это, кстати, очень хорошо с точки зрения отказоустойчивости:
Системные папки для хранения баз данных Active Directory и другого оставляем по-умолчанию:
Указываем пароль для восстановления каталогов. И хоть его надо в любом случае сохранить, я очень надеюсь, что он вам не пригодится:
Кажется на этом наши настройки закончились. Нажимаем далее и ждем, пока все сделается:
Видим, что все установилось, поэтому смело перезагружаемся:
И на этом все. Репликация получилась, КД начал функционировать нормально. Еще совет для малоопытных админов – не торопитесь и делайте все последовательно. Могу также в качестве бонуса сообщить один нюанс. Загрузка КД и репликация с главным контроллером может происходить очень долго. Лично у нас все “поднялось” спустя несколько часов. Были моменты, когда казалось, что КД не работает как контроллер. Но мы набрались терпения и дождались результата. Все остальные действия моего плана выполнились практически без каких-либо происшествий. Их можно посмотреть в интернете, информации полно.
Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!
Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!
- Remove From My Forums
-
Вопрос
-
Здравствуйте!
Имеется домен под управлением Windows Server 2003 R2. Купили новый сервер под управлением Windows Server 2008 R2.
На старом сервере (2003) выполнил команды:
adprep32 /forestPrep adprep32 /domainprep /gpprep adprep32 /rodcPrep
На новом сервере поднял Active Directory и сделал его вторым контроллером домена. Тут всё прошло, вроде, без проблем.
Однако, если погасить старый контроллер домена (2003) и оставить только новый, то домен становится недоступен. Пытаюсь назначить хозяином операций новый контроллер домена (2008), однако это не получается сделать, и выходит ошибка:
Данный контроллер домена является хозяином операций. Чтобы передать роль хозяина операций другому компьютеру необходимо сначала подключиться к нему.
Подскажите, пожалуйста, что я делаю неправильно? Моя конечная цель: оставить контроллер домена под управлением Windows Server 2008 R2, а старый контроллер понизить до роли обычного рядового сервера. В будущем — поставить ещё один контроллер домена
(второй) под управлением Windows Server 2008 R2.
Ответы
-
Всем спасибо! Разобрался.
Проблема была в репликации. В логах постоянно вылазила такая ошибка:
Тип события: Ошибка Источник события: NtFrs Категория события: Отсутствует Код события: 13568 Дата: 28.04.2010 Время: 14:02:04 Пользователь: Н/Д Компьютер: GARANT-MAIN Описание: Служба репликации файлов обнаружила ошибку JRNL_WRAP_ERROR для набора репликации "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)". Имя набора репликации: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" Корневой путь репликации: "k:windowssysvoldomain" Корневой том репликации: "\.K:" Ошибка JRNL_WRAP_ERROR возникает, когда набор репликации не находит запись, которую пытается прочитать из журнала NTFS USN. Это может быть вызвано одной из следующих причин. [1] Том "\.K:" был отформатирован. [2] Журнал NTFS USN на томе "\.K:" был удален. [3] Журнал NTFS USN на томе "\.K:" был усечен. Программа Chkdsk может выполнить усечение журнала, если обнаружит в конце журнала поврежденные записи. [4] Служба репликации файлов давно не запускалась на данном компьютере. [5] Показатель активности дискового ввода-вывода на "\.K:" слишком высок для службы репликации файлов. Если установить параметр реестра "Enable Journal Wrap Automatic Restore" равным 1, будет выполнена описанная ниже процедура восстановления для автоматического исправления ошибки. [1] При первом опросе, который производится каждые 5 минут, данный компьютер будет удален из набора репликации. Чтобы не ждать 5 минут, можно выполнить команду "net stop ntfrs" и затем команду "net start ntfrs" для перезапуска службы репликации файлов. [2] При первом опросе после удаления компьютер будет заново включен в набор репликации. Повторное включение инициирует полную синхронизацию дерева для набора репликации. Предупреждение. В процессе восстановления данные дерева репликации могут стать недоступными. Необходимо установить описанный выше параметр реестра равным 0, чтобы автоматическое восстановление не привело к недоступности данных при повторении ошибки. Для изменения параметра реестра запустите программу regedit. Нажмите кнопку "Пуск", выберите команду "Выполнить" и введите "regedit". Разверните раздел HKEY_LOCAL_MACHINE. Щелкните последовательно разделы пути: "SystemCurrentControlSetServicesntFrsParameters" Дважды щелкните параметр "Enable Journal Wrap Automatic Restore" и обновите его значение. Если этого параметра нет в реестре, его можно добавить с помощью команды "Создать->Параметр DWORD" в меню "Правка". Введите имя параметра точно так, как написано выше. Дополнительные сведения можно найти в центре справки и поддержки, в http://go.microsoft.com/fwlink/events.asp.
Сделал всё как написано в решении этой проблемы. После чего всё заработало как надо
-
Помечено в качестве ответа
29 апреля 2010 г. 7:53
-
Помечено в качестве ответа
Одним из простейших путей по повышению отказоустойчивости домена и его контроллера, является добавление второго контроллера домена. Второй контроллер домена полностью реплицирует первый и наоборот. При отказе одного из них active directory полностью будет функционировать на работающем контроллере домена.
Для создания второго контроллера домена потребуется контроллер домена в действующем домене и сервер, который находится в домене.
Шаг 1. Открываем Диспетчер серверов и добавляем роль доменные службы active directory.
Шаг 2. Система предложит добавить необходимые компоненты. Нажимаем Далее.
Шаг 3. В компонентах оставляем всё без изменений. Нажимаем Далее.
Шаг 4. В AD DS нажимаем Далее. Проверяем всё ли верно указано.
Шаг 5. Нажимаем Установить. На данном этапе появится строка с предложением повысить роль сервера до контроллера домена, нажимаем на эту строку.
Шаг 6. Выбираем Добавить контроллер домена в существующий домен.
Шаг 7. Если требуется на втором контроллере разместить DNS-сервер, то указываем галочку, «Глобальный каталог» должен обязательно стоять, вводим пароль для восстановления служб каталогов и нажимаем Далее.
Шаг 8. Указываем в источнике репликации наш первый контроллер домена. Нажимаем Далее и Установить.
Шаг 9. Происходит установка, во время которой сервер перезагрузится, сразу после перезагрузки у нас в сети появится второй контроллер домена.
Рисунок 1 — Domain controllers
Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг.
Гораздо проще создать дополнительный контроллер домена на Windows Server 2008R2, чем второй контроллер домена, но есть некоторые тонкости, требующие внимания.
Демонстрационное помещение:
1. Настройте IP-адрес, DNS.
2. Отключите брандмауэр.
3. Проверьте возможность подключения.
Создайте новую зону прямого просмотра DNS для дополнительных контроллеров домена на корневом контроллере домена.
Выберите «Основная область»
Доменное имя для дополнительного DC: leo.com
Здесь выберите «Разрешить незащищенные и безопасные динамические обновления»
Просмотр информации о добавленной записи DNS
Настройте мастер AD для работы на сервере, на котором будет построен дополнительный DC.
Установить AD
Обратите внимание, что здесь выберите «Существующий лес», а затем «Добавить контроллер домена в существующий домен».
Введите доменное имя корневого контроллера домена и информацию об учетных данных корневого контроллера домена.
Здесь следует отметить, что здесь выбирается корневой DC, посмотрите на отметку ×××, вот дополнительный контроллер домена
Нажмите «Да» прямо под
Редукционный пароль дополнительного DC
Вам также необходимо обратить внимание на это место. Здесь могут появляться ошибки. Если сборка не удалась, вам все равно нужно перестроить DC, а затем построить дополнительный DC, поэтому вероятность успеха относительно велика.
Два сервера постоянного тока, один основной и один резервный (дополнительный)
Проверьте взаимосвязь синхронизации данных между дополнительным DC и основным DC.
Создайте нового пользователя на дополнительном DC
Проверил основной DC и обнаружил, что он сразу синхронизировался.Демонстрация установки дополнительных контроллеров домена на Windows Server 2008R2 окончена.
Эта статья перенесена из блога vbers, исходная ссылка: http://blog.51cto.com/vbers/2058314Если вам нужно перепечатать, пожалуйста, свяжитесь с первоначальным автором
В данном руководстве подробно описан и продемонстрирован процесс установки роли Active Directory Domain Services (контроллер домена) на Windows Server 2008 R2.
Для установки роли Active Directory Domain Services на Windows Server 2008 R2 потребуется компьютер, под управлением Windows Server 2008 R2 (О том как установить Windows Server 2008 R2 можно прочитать в данной статье: «Установка и активация Windows Server 2008 R2 с USB флешки» ).
.
I. Настройка имени сервера и статического IP-адреса
1. Откройте окно диспетчера сервера и выберите Изменить свойства системы (Рис.1).
Рис.1
.
2. В Свойствах системы выберите вкладку Имя компьютера и нажмите Изменить… . В появившемся окне укажите новое имя сервера в поле Имя компьютера, затем нажмите ОК (Рис.2).
Рис.2
.
3. Система предупредит о том, что для применения новых настроек необходимо перезагрузить сервер. Нажмите кнопку ОК (Рис.3).
Рис.3
.
4. После перезагрузки сервера откройте окно диспетчера сервера и выберите Отобразить сетевые подключения (Рис.4).
Рис.4
.
5. В открывшемся окне Сетевые подключения нажмите правой кнопкой мыши на сетевом подключении и выберите пункт Свойства. В появившемся окне выделите Протокол Интернета версии 4 (TCP/IPv4) и нажмите Свойства (Рис.5).
Рис.5
.
6. В свойствах, на вкладке Общие выберите пункт Использовать следующий IP-адрес. В соответствующие поля введите свободный IP-адрес, маску подсети и основной шлюз. Затем выберите пункт Использовать следующие адреса DNS-серверов. В поле предпочитаемый DNS-сервер введите IP-адрес сервера, после чего нажмите ОК (Рис.6).
Примечание! В данном руководстве, в качестве примера, был выбран свободный IP-адрес 192.168.0.104, маска подсети установлена по умолчанию 255.255.255.0, а в качестве основного шлюза выступает Wi-Fi роутер с адресом 192.168.0.1. Помните, что предпочитаемый DNS-сервер должен совпадать с введённым выше IP-адресом сервера.
Рис.6
.
II. Установка роли Active Directory Domain Services
1. Откройте окно диспетчера сервера, выберите пункт Роли, затем Добавить роли (Рис.7).
Рис.7
.
8. В появившемся окне нажмите Далее (Рис.8).
Рис.8
.
9. Выберите роль Доменные службы Active Directory, в появившемся окне нажмите Добавить необходимые компоненты (Рис.9).
Рис.9
.
10. Убедитесь, что после установки необходимых компонентов напротив Доменные службы Active Directory стоит галочка, затем нажмите Далее (Рис.10).
Рис.10
.
11. Ознакомьтесь с дополнительной информацией касательно роли Active Directory Domain Services, затем нажмите Далее (Рис.11).
Рис.11
.
12. Для начала установки роли нажмите Установить (Рис.12).
Рис.12
.
13. После окончания установки нажмите Закрыть (Рис.13).
Рис.13
.
14. Откройте Пуск и введите в поле поиска dcpromo, затем запустите файл dcpromo (Рис.14).
Рис.14
.
15. В открывшемся окне Мастера установки доменных служб Active Directory нажмите Далее (Рис.15).
Рис.15
.
16. Ознакомьтесь с дополнительной информацией касательно функционала Windows Server 2008 R2, затем нажмите Далее (Рис.16).
Рис.16
.
17. В данном руководстве рассматривается добавление нового леса, поэтому выберите пункт Создать новый домен в новом лесу, затем выберите Далее (Рис.17).
Рис.17
.
18. В поле Полное доменное имя корневого домена леса введите имя домена (прим. в данном руководстве это example.local, Вы можете выбрать любое другое), затем нажмите Далее (Рис.18).
ВАЖНО! Домен вида .local или аналогичный можно использовать в качестве тестового, однако, он имеет ряд недостатков, а именно: 1) Вы никак не сможете подтвердить владение им для получения публичного SSL-сертификата; 2) Такое имя невозможно использовать из внешней сети; 3) Данный способ именования вступает в противоречие с глобальным DNS, так как не гарантирует его уникальность что приводит к потенциальным коллизиям.
Рекомендуется создавать согласованное пространство имен. Например имея домен lyapidov.ru (который использует сайт), домен Active Directory делать суб-доменом, например: server.lyapidov.ru. Либо использовать разные домены например lyapidov.ru — для сайта, а lyapidov.net — для Active Directory.
Рис.18
.
19. Если вы добавляете новый лес и планируете в дальнейшем использовать серверы на базе операционной системы Windows Server 2008 R2, выберите в выпадающем списке Windows Server 2008 R2, затем нажмите Далее (Рис.19).
Рис.19
.
20. Установите галочку напротив DNS-сервер, затем нажмите Далее (Рис.20).
Рис.20
.
21. На данном этапе Мастер установки доменных служб Active Directory предупредит, что делегирование для этого DNS-сервера не может быть создано. Нажмите Далее (Рис.21).
Рис.21
.
22. Оставьте настройки по умолчанию и нажмите Далее (Рис.22).
Рис.22
.
23. Придумайте и введите пароль для режима восстановления служб каталогов в соответствующие поля, затем нажмите Далее (Рис.23).
Рис.23
.
24. В окне со сводной информацией по настройке сервера нажмите Далее (Рис.24).
Рис.24
.
25. Начнётся процесс настройки доменных служб Active Directory. Установите галочку напротив Перезагрузка по завершении, для того чтобы новые настройки вступили в силу (Рис.25).
Рис.25
.
26. После перезагрузки сервера войдите в систему.
.
Установка контроллера домена Active Directory в Windows Server 2008 R2 завершена!
.