Планирование учетных записей компьютеров. Изменение контроллера домена Active Directory

После перезагрузки сервера необходимо убедиться, что Основной режим разрешений (режим Windows Server 2003) установился. Для этого необходимо открыть оснастку « Active Directory – домены и доверие», «встать» мышкой на название своего домена и из меню выбрать «Изменение режима работы домена».

Если Основной режим разрешений не установлен, его необходимо установить.

Настройка DNS

Для настройки автоматически созданного при установке контроллера домена DNS следует загрузить оснастку DNS , нажать правой кнопкой мыши на вкладке «Зоны обратного просмотра» и из предложенного меню выбрать пункт «Создать новую зону».

Будет выполнен запуск Мастера создания новой зоны.

В окне «Тип зоны» нужно указать, какая зона будет создана. Поскольку производится настройка первого сервера DNS в домене, требуется выбрать пункт «Основная зона», и рекомендуется выбрать параметр «Хранить зону в Active Directory ».

Выбор в окне «Область репликации зоны, интегрированной в Active Directory » рекомендуется остановить на пункте «На все DNS -серверы в домене имя_созданного_домена . local ». Это позволит передавать зоны только в пределах конкретного домена в случае наличия леса.

Окно «Имя зоны обратного просмотра» задает описание, для каких IP -адресов будет вестись накопление информации и предоставление имен по запросу клиентов. Рекомендуется для простоты вводить именно код сети, представляющий собой количество значащих октетов в адресах локальной сети (Например: 192.168.1).

В форме «Динамическое обновление» требуется выбрать, каким образом может быть изменена информация, хранимая DNS -сервером. Для сетей, в состав которых входят клиенты Windows 2000 и старше, можно разрешать только безопасные динамические обновления. В общем же случае рекомендуется выбирать параметр «Разрешать любые динамические обновления».

После этого создание новой зоны обратного просмотра будет завершено, и появится информационное окно с кратким описанием создаваемой зоны. При необходимости можно вернуться назад и внести необходимые изменения.

После того, как создание зоны обратного просмотра будет завершено, можно просмотреть ее содержимое и корректность именования зоны.

Затем нужно произвести настройку зоны прямого просмотра. Для этого, «встав» в ветви «Зоны прямого просмотра» на зону с именем созданного домена, требуется правой кнопкой мыши вызвать меню и выбрать пункт «Свойства».

На вкладке «Общие», как было проделано при создании ветви обратного просмотра, так же рекомендуется задать параметр «Динамическое обновление» в значение «Небезопасные и безопасные».

На этом настройка сервера DNS заканчивается, и теперь необходимо создать записи для сетевых устройств и активного сетевого оборудования.

Создание записи выполняется следующим образом: на зоне с именем домена следует нажать правую кнопку мыши, и выбрать в меню пункт «Создать узел». В форме ввода информации о создаваемом узленужно ввести имя узла (полное доменное имя заполняется автоматически) и его IP -адрес, после чего проставить галочку на пункте «Создать соответствующую PTR -запись».

По нажатию кнопки «Добавить узел» запись будет внесена сразу в зоны прямого и обратного просмотра. Если галочка не стоит, в зоне обратного просмотра запись придется создавать отдельно.

Настоятельно не рекомендуется создавать записи для компьютеров и серверов домена в DNS вручную. Для корректного создания записи в меню «Пуск - Выполнить» лучше выполнить команду ipconfig / registerdns , которая выполнит регистрацию на DNS -сервере.

Все операционные системы, подключенные к домену должны быть настроены на использование локальных DNS-серверов (обычно ими являются доменные контроллеры) в качестве предпочитаемых и альтернативных. Если конфигурация протокола TCP/IP настроена верно, операционные системы выполняют создание записей в доменных зонах в автоматическом режиме (за исключением Windows 9X).

Установка и настройка DHCP

Применение службы DHCP упрощает администрирование сети и позволяет обеспечить уникальность используемых в домене IP -адресов. Для установки службы DHCP достаточно зайти в«Панель управления», запустить «Установка и удаление программ», и выбрать вкладку «Установка компонентов Windows », «встать» на строку «Сетевые службы», и нажать «Состав».

Нужно установить компонент « DHCP ».

(Компонент « DNS » был добавлен автоматически в ходе установки AD и снимать с него галочку нельзя).

По завершению установки компонента DHCP нужно загрузить оснастку « DHCP », встать на запись, содержащую имя установленного сервера, и, развернув правой кнопкой мыши меню, выбрать пункт «Создать область». Будет запущен Мастер создания области.

В окне «Имя области» требуется ввести имя создаваемой области раздаваемых адресов и описание к ней. Данная информация вводится для удобства, и принципиального значения введенные данные не имеют значения.

В окне «Диапазон адресов» следует ввести начальный и конечный адреса диапазона, который будет доступен для автоматического распределения между компьютерами домена, и задать маску подсети, выбранную на этапе планирования сети.

В диалоговом окне задан диапазон, включающий в себя все возможные значения адресов в сети. Для того, чтобы не происходила выдача используемых адресов (IP -адреса серверов, активного сетевого оборудования и другие устройства со статическими адресами) необходимо на форме «Добавление исключений» указать исключаемый из распределения диапазон адресов. Можно перечислить адреса, исключаемые из распределения, по одному вводя их в графу «Начальный IP -адрес».

После указания каждого исключаемого адреса либо диапазона требуется подтверждать ввод нажатием кнопки «Добавить», после чего запись будет добавлена в список исключений.

Окно «Срок действия аренды адреса» служит для указания периода времени, спустя который выданный сервером IP -адрес может быть выдан другому получателю динамических адресов. Для сети, в архитектуре и составе которой изменения достаточно редки, рекомендуется устанавливать достаточно длительный срок аренды.

Для уменьшения общего времени создания домена, рекомендуется ответить согласием на предложение мастера создания области произвести настройку параметров DHCP .

Окно «Маршрутизатор (основной шлюз)» заполняется при наличии такового в составе сети.

Если подобного устройства нет, то окно нужно оставить незаполненным. Добавление основного шлюза так же требует нажатия на кнопку «Добавить», после чего введенный адрес маршрутизатора будет добавлен в список.

Окно «Имя домена и DNS -серверы» требует особого внимания. В графу «Родительский домен» требуется ввести без каких-либо сокращений полное имя созданного домена (например: « domain 1. local »). Ошибка или неполный ввод имени домена повлечет за собой проблемы в работе сети, например, сложности с подключением компьютера к домену.

Тут же вводятся адреса DNS -серверов сети. Рекомендуется вводить не адрес DNS -сервера, а его имя, при нажатии на кнопку «Сопоставить» адрес сервера будет проставлен автоматически, после чего так же необходимо нажать на кнопку «Добавить». Если не произошло сопоставление имени DNS -сервера либо был возвращен неверный IP -адрес, это может означать наличие проблем либо в службе DNS , либо в настройке сетевого соединения.

Можно вводить адреса нескольких DNS -серверов, если в сети используется одновременно несколько DNS -серверов.

Если в сети нет серверов WINS , то окно « WINS -серверы» следует оставить пустым.

Окно «Активировать область» позволяет отложить активацию создаваемой области на произвольное время (например, когда настройка сервера производится в другой локальной сети, либо выдача адресов производится другой зоной, и создаваемая зона еще не используется). Если сервер настраивается первым необходимо выбрать пункт «Да, я хочу активизировать эту область сейчас».

На этом работа мастера создания зоны завершается, можно при необходимости вернуться и произвести требуемые изменения в параметрах создаваемой области.

После завершения работы мастера создания зоны требуется авторизовать DHCP в AD . Если этого не проделать, адреса клиентам выдаваться не будут.

Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Авторизовать».

Для того, чтобы выданные сервером адреса автоматически передавались в DNS , следует произвести дополнительную настройку сервера DHCP . Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Свойства».

На вкладке «Служба DNS » рекомендуется выставить те же параметры, что использовались ранее. Данная настройка обеспечит одновременно и передачу информации в DNS обо всех выданных адресах, вне зависимости от типа клиента, и будет выполнять автоматическое удаление устаревшей информации при истечении срока аренды адреса.

Работа клиентов Windows 9х в домене Windows Server 2003

В домене Windows Server 2003 был повышен уровень безопасности по умолчанию, что привело к появлению определенных сложностей в работе устаревших клиентских систем, таких как Windows 95, 98, NT 4.0.

Для того, чтобы позволить данным операционным системам производить работу в домене, рекомендуется выполнить установку на машины клиента Active Directory DSCLIENT.EXE (располагается на дистрибутивах Windows 2000 Server в папке CLIENTS\WIN9X), и произвести ряд модификаций политик безопасности.

Для выполнения модификаций следует запустить оснастки «Политика безопасности контроллера домена»,

затем «Политика безопасности домена», и отключить показанные параметры безопасности.

По информации Microsoft , достаточным является отключение параметра "Сервер сети Microsoft : использовать цифровую подпись (всегда)" в политике безопасности домена Windows 2003.

После завершения редактирования данных политик безопасности рекомендуется произвести перезагрузку сервера.

Лабораторная работа

Информатика, кибернетика и программирование

Лабораторная работа № 6. Создание домена Windows Server 2003 Цели работы: научиться создавать домен Windows Server 2003; научиться устанавливать службу каталога Active Directory; изучить структуру службы каталога Active Directory. Задание 1. Установить на сервере службу катало...

Лабораторная работа № 6 .

« Создание домена Windows Server 2003 »

Цели работы:

1. научиться создавать домен Windows Server 2003;
2. научиться устанавливать службу каталога Active Directory ;
3. изучить структуру службы каталога Active Directory .

Задание 1. Установить на сервере службу каталога Active Directory , создать домен mydomain. ru.

Задание 2 . Просмотреть созданный домен одним из способов.

Задание 3. Проверить работу службы DNS с помощью оснастки DNS.

Задание 4. Удалить службу Active Directory .

А также другие работы, которые могут Вас заинтересовать
71939.		Декабризм, и его значение в истории России	365 KB
	Движение декабристов является событием, длительное время приковывающим внимание историков. Это связано с тем, что события более чем 170-летней давности оказали значительное влияние на последующее развитие России; декабристы были первыми русскими революционерами, которые организовали открытое восстание против царизма.
71940.		ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ, УСТАНАВЛИВАЮЩИЕ ПОРЯДОК РАССЛЕДОВАНИЯ И УЧЕТА НЕСЧАСТНЫХ СЛУЧАЕВ НА ПРОИЗВОДСТВЕ	91 KB
	Формы документов необходимых для расследования и учета несчастных случаев на производстве утвержденные Минтрудом России следующие: извещение о групповом несчастном случае тяжелом несчастном случае несчастном случае со смертельным исходом; акт о несчастном случае...
71941.		Пыль. Средства индивидуальной защиты от пыли	179.5 KB
	Для этой цели используется классификация пыли по ее дисперсности и способу образования. Характер действия пыли на организм зависит от физико-химических свойств пылевых частиц. Ядовитые пыли свинца ртути мышьяка и т. растворяясь в биологических средах действуют как введенный в организм...
71942.		Пенсии по случаю потери кормильца	24.33 KB
	Пенсии по случаю потери кормильца - это ежемесячные денежные выплаты алиментарного характера из фонда социальной защиты населения или государственного бюджета назначаемые нетрудоспособным членам семьи умершего кормильца состоявшим на его иждивении в размерах соизмеримых с заработком кормильца.
71943.		Альберт Великий	41.55 KB
	После распада Римской Империи, сельское хозяйство на её западных территориях, занятых варварами пришло в упадок. Были утрачены знания и технологии Империи, площадь пахотных земель значительно сократилась.
71944.		Александр Васильевич Советов	149.42 KB
	Александр Васильевич Советов возглавлял Вольное Экономическое общество (ВЭО), в котором его первый отдел объединял агрономов, экономистов и естествоиспытателей, таких как Д.И. Менделеев, К.А. Тимирязев, а с 1875 года - Докучаев.
71945.		ДЕМОГРАФИЧЕСКАЯ ПОЛИТИКА	111.5 KB
	Она призвана воздействовать на формирование желательного для общества режима воспроизводства населения сохранения или изменения тенденций в области динамики численности и структуры населения темпов их изменений динамики рождаемости смертности семейного состава расселения внутренней...
71947.		Понятие сети ССП и ее базовые принципы	180.57 KB
	Пользователи получили доступ к услугам, о которых 10–15 лет назад и не задумывались. E-mail, Интернет, сотовый телефон стали обычными атрибутами повседневной жизни. За короткое время мы так привыкли к практически ежедневному появлению всевозможных новинок, что сами начали выдвигать требования по предоставлению новых услуг и приложений.

Не секрет, что окончание поддержки Windows Server 2003 все ближе. День Х назначен на 17 июля 2015 года, а значит остается все меньше времени, чтобы успеть перевести свою инфраструктуру на более современные версии операционной системы. На Хабре мы уже делали несколько анонсов об окончании поддержки, на портале Microsoft Virtual Academy опубликован курс по материалам Jump Start , есть . В этой статье будет рассказано о миграции Active Directory и приведен пошаговый алгоритм, которым поможет вам при реализации переноса.

Перенос Active Directory с Windows Server 2003 на Windows Server 2012 R2 является одной из первоочередных задач, которые необходимо решить в процессе миграции.
На самом деле, перенос Active Directory не несет в себе каких-либо сложностей. Нужно выполнить лишь несколько шагов, о которых будет подробно рассказано далее.
Сначала выполним небольшую настройку на контроллере домена с установленной на нем Windows Server 2003. Обязательно проверьте, что для существующего домена и леса в качестве режима работы (functional level) выбран Windows Server 2003.
Для того, что изменить режим работы домена и леса необходимо запустить оснастку Active Directory Domains and Trust. Для изменения режима работы домена щёлкаем правой кнопкой мыши по домену, для режима работы леса – по Active Directory Domains and Trusts. Выбираем Raise Domain Functional Level и Raise Forest Functional Level соответственно.




В обоих случаях режим работы должен быть установлен на Windows Server 2003.




Следующим шагом нам нужно добавить к нашей сети второй контроллер домена под управлением Windows Server 2012 R2. Для этого на сервер с Windows Server 2012 R2 устанавливаем роль Active Directory Domain Services.


После установки добавим новый контроллер домена к существующему домену. Для этого нам нужно будет использовать учетную запись, которая входит в группу Enterprise Admins и обладает соответствующими правами.


Необходимо указать, будет ли этот сервер выполнять роль DNS сервера и глобального каталога (Global Catalog – GC).


На экране Additional Options нужно указать с какого контроллера домена будет выполнена репликация на существующий. Нужно выбрать контроллер домена под управлением Windows Server 2003.


Для установки домена необходимо выполнить подготовку леса, домена и схемы. Если раньше для этого обязательно нужно было запустить команду adprep (причем сделать это надо было до начала конфигурации домена), то теперь эту задачу берет на себя мастер конфигурации ADDS, и подготовка может быть выполнена автоматически.


Далее нужно дождаться завершения установки и перезагрузить компьютер. В итоге, вы получите контроллер домена с установленной на нем Windows Server 2012 R2.
Теперь в оснастке Active Directory Users and Computers мы можем увидеть, что в нашей сети есть два контроллера домена.

После того, как выполнены предварительные шаги, мы можем перейти непосредственно к переносу Active Directory. Выполнять необходимые действия мы будем на контроллере домена под управлением Windows Server 2012 R2 в следующем порядке:

1. Перенос роли FSMO (Flexible Single Master Operations)
2. Изменение контроллера домена Active Directory
3. Изменение Мастера схемы (Schema Master)
4. Удаление контроллера домена под управлением Windows Server 2003 из глобального каталога (Global Catalog)

1. Перенос роли FSMO (Flexible Single Master Operations)

Для того, чтобы перенести роль FSMO, открываем оснастку Active Directory Users and Computers , щёлкаем правой кнопкой мышки по нашему домену и в появившемся подменю выбираем Operations Masters .


Нам нужно перенести роль хозяина операций. Для этого на каждой вкладке во вновь появившемся окне нажимаем кнопку Change и переносим роль с 2003 сервера на сервер под управлением 2012 R2.


Подтверждаем операцию переноса и дожидаемся ее благополучного завершения. Не забудьте проверить, что в итоге роль хозяина операций теперь находится на сервере под управлением Windows Server 2012 R2:

2. Изменение контроллера домена Active Directory

Теперь переходим к изменению контроллера домена Active Directory. Открываем консоль Active Directory Domains and Trusts , щёлкаем правой кнопкой мышки по лесу и выбираем пункт Change Active Directory Domain Controller .


В новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2.


Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master.


Переноси роль хозяина операций именования домена, нажав Change .

3. Изменение Мастера схемы (Schema Master)

Теперь приступаем к изменению мастера схемы (Schema Master). Запустите командную строку с правами Администратора и введите команду regsvr32 schmmgmt.dll


С помощью этой команды происходит первичная регистрация динамической библиотеки DLL, которая является обязательной для оснастки Active Directory Schema.
После того, как команда выполнена, можно закрыть командную строку, запустить консоль MMC и добавить оснастку Active Directory Schema (для этого выберите File > Add / Remove Snap - in ).


В этой же консоли MMC щёлкаем правой кнопкой мыши по Active Directory Schema и выбираем Change Active Directory Domain Controller. Аналогично действиям, которые мы выполняли в пункте 2, в новом окне выберите пункт This Domain Controller or AD LDS instance и укажите сервер под управлением Windows Server 2012 R2 и нажмите ОК . Появится предупреждение о том, что оснастка схемы Active Directory не подключена. Нажмите ОК для продолжения.
Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт Operations Master . Для переноса роли хозяина схемы в новом окне нажмите Change .
Теперь можно закрыть MMC консоль, открыть оснастку Active Directory Users and Computers и убедиться, что данные успешно реплицированы на ваш новый сервер под управлением Windows Server 2012 R2. Имейте ввиду, что процесс репликации может занять некоторое время (все зависит от количества объектов Active Directory, которые нужно реплицировать).

4. Удаление контроллера домена под управление Windows Server 2003 из глобального каталога (Global Catalog)

Осталось удалить контроллер домена под управлением Windows Server 2003 из глобального каталога. Для этого открываем Active Directory Sites and Services, разворачивает папку Sites, затем Default-First-Site-Name, затем Servers и, наконец, разворачиваем оба сервера.


Щёлкните правой кнопкой мышки по NTDS Settings для вашего старого сервера под управление Windows Server 2003, выберите Properties . Во вновь появившемся окне уберите галочку с пункта Global Catalog и нажмите ОК .

В Active Directory Users and Computers контроллер домена на Windows Server 2003 теперь не является глобальным каталогом.


Осталось проверить, что теперь роль FSMO запущена на Windows Server 2012 R2. Для этого в командной строке, открытой с правами Администратора запускаем команду netdom query fsmo


На этом миграция Active Directory завершена. На компьютере под управлением Windows Server 2003 запустите dcpromo (кстати, в Windows Server 2012 R2 dcpromo нет) для того, чтобы понизить роль компьютера с контроллера домена. Если после этого посмотреть на консоль Active Directory Users and Computers, вы увидите, что остался только один контроллер домена – под управлением Windows Server 2012 R2.

Надеюсь, что эта статья будем вам полезной!

Итак мы будем считать что у нас установлен Windows 2003 Server и на нем развернута Active Directory (Далее AD). AD позволяет нам управлять компьютерами и пользователями: устанавливать ограничения или наоборот задавать различные благоприятные условия работы. Теперь самое время перейти к созданию пользователей и компьютеров. В первую очередь необходимо создать пользователя и делать мы это будем в специальной консоли, доступ к которой можно получить так:

• "ПУСК" ? "Насройка" ? "Панель управления" ? "Администрирование" ? "Active Directory - пользователи и компьютеры";
• Или в меню: "ПУСК" ? "Выпонить" введите команду dsa.msc .

Некоторые скажут, что созание пользователей делается с помощью утилиты "Учетные записи пользователей", но после того как мы поставили Active Directory, эта утилита нам более не доступна. Убедиться в этом можно, если посмотреть в Панели управления.

Вам откроется программа "Active Directory - пользователи и компьютеры", состоящая из двух окон. Слева мы видим папки с параметрами, а справа сами параметры находящиеся в этих папках.

На данном этапе нас интересует папка "Users" (Пользователи). Нажимаем на ней правой кнопкой мышки и выбираем "Создать" ? "Пользователь"

Перед нами окно для создания пового пользователя. Задаем необходимые параметры и переходим дальше.

Если все было сделано правильно, то программа выдаст сообщение о создании нового пользователя.

Если Вы увидите окно с сообщением Active Directory: " Windows не удалось установить пароль для Имя пользователя поскольку: Пароль не отвечает требованиям политики. Проверьте минимальную длинну пароля, его сложность, отличие от ранее использованных паролей", то в первую чередь, как понятно из сообщения, проверьте политики.

Для тех кто не помнит, политика безопасности домена настраивается в одноименной утилите. На скриншоте внизу видно как и где задать параметры ограничения для создаваемых паролей.

Давайте теперь зайдем в свойства только что созданного пользователя и посмотрим, что мы можем менять в его настройках.

Вкладка "Член групп": тут можно включить нашего пользователя в различные группы.

Вкладка "Удаленное управление" позволяет разрешить/запретить пользователю подключаться к домену через удаленное соединение.

Еще одна интереная вкладка "Учетная запись", тут можно поменять имя пользователя и задать различные параметры для пароля.

Добавление компьютера в домен

Для подключения компьютера к домену все готово. Компьютеры, работающие под управлением Windows 2000/XP, при подключении к серверу будут добавляться автоматически в группу Computers. Для этого на каждом клиенте нужно выбрать «Мой Компьютер» ? «Свойства» ? «Имя компьютера .

После этого у нас есть два пути: либо вызвать мастера сетевой идентификации, нажав кнопку «Идентификация», либо сразу ввести необходимые параметры, нажав кнопку «Изменить» .

Если в вашей сети есть ПК, работающие под Windows 98, то они подключаются как клиенты Active Directory; в этом случае учетные записи компьютера не создаются. Для их работы необходимо установить программу dsclient.exe, которая имеется на установочном диске Win2k3.

Итак задаем имя домена и нажимаем ОК.

По умолчанию присоединять компьютер к домену имеют право только члены группы «Администраторы домена» . Чтобы разрешить это действие другим пользователям, необходимо на контроллере домена, выбрать необходимого пользователя и сделать его участником группы «Администраторы домена» . О том где это делать написано в начале статьи.

На следующем этапе, как раз и вводим логин и пароль пользователя которому разрешено добавлять компьютер к домену.

Если все хорошо, то мы увидим окно об успешном подключению к домену.

Перезагрузив компьютер мы можемзарегистрироваться в домене. Для этого воводим имя пользователя и пароль, которое мы зарегистрировали ранее на контроллере домена, выбираем домен и заходим.

После первой регистрации наш компьютер появится в контейнере Computers, где нам уже доступно управление данным компьютером.

На этом пока все, продолжение в следующих статьях...{odnaknopka}

Иходная ситуация - существует домен, testcompany.local . Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01 . DNS-сервер также на нем, основная зона интегрирована в Active Directory.

Сетевые настройки контроллера:

IP-адрес - 192.168.1.11
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-сервер - 192.168.1.11

Задача - установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.

Подготовительные работы

В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag , убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.

В первую очередь определяем держателя FSMO-ролей в домене, командой:

Утилита netdom.exe в состав Windows Server 2003 по умолчанию не входит, поэтому нужно установить Support Tools (http://support.microsoft.com/kb/926027). В рассматриваемом случае от нее смысла никакого нет, так как контроллер домена всего один и роли FSMO все равно все на нем. Тем же, у кого контроллеров домена больше одного, это будет полезно, чтобы знать, какие именно роли и откуда переносить. Результат команды будет примерно таким:

IP-адрес - 192.168.1.12
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-сервер - 192.168.1.11

и вводим его в существующий домен, testcompany.local в нашем случае.

Обновление схемы леса и домена

Следующий этап - обновление схемы леса и домена до Windows Server 2008 R2, что мы будем делать с помощью утилиты adprep . Вставляем установочный диск с Windows Server 2008 R2 в сервер dc01 . На диске нас интересует папка X:\support\adprep (X: - буква диска DVD-ROM). Если windows Server 2003 у вас 32-х битная, следует запускать запускать adprep32.exe, в случае 64-х битной - adprep.exe .

Для выполнения команды никаких требований к функциональному режиму леса нет. Для выполнения команды adprep /domainprep требуется, чтобы в домене использовался функциональный уровень домена не ниже Windows 2000 native.

Вводим команду:

X:\support\adprep>adprep32.exe /forestprep

После предупреждения о том, что все контроллеры домена Windows 2000 должны быть минимум с SP4 вводим С и нажимаем Enter:

Команда отрабатывает довольно долго, несколько минут и должна завершиться следующей фразой:

Adprep successfully updated the forest-wide information.

После этого вводим команду:

X:\support\adprep>adprep32.exe /domainprep /gpprep

Которая отработает не в пример быстрее:

Также стоит выполнить команду adprep /rodcprep . Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller - RODC), эта команда как минимум уберет ненужные сообщения об ошибках в журнале событий.

После завершения действия команд по обновлению схемы можно приступать к повышению роли нового сервера до контроллера домена.
На сервере dc02 заходим в Server Manager, добавляем роль Active Directory Domain Services . После установки роли, зайдя в Server Manager > Roles > Active Directory Domain Services, мы увидим желтую подсказку «Run the Active Directory Domain Services Installation Wizard (dcpromo.exe )». Ее и запускаем. Либо можно в командной строке набрать dcpromo , что будет равноценно вышеприведенному действию.

Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog .

Если галку Global Catalog и DNS Server не поставить, придется их переносить отдельно. А при миграции с 2003 на 2003 это придется делать в любом случае, так как в Windows 2003 такой возможности нет. О переносе глобального каталога и DNS-сервера будет немного ниже.

Завершаем установку контроллера домена, перезагружаем сервер. Теперь у нас есть два контроллера домена, работающих одновременно.

Передача ролей FSMO

Передачу ролей FSMO можно производить как через графический интерфейс, так и с помощью утилиты ntdsutil.exe . В этой статье будет описан способ с использованием графического интерфейса, как более наглядный, кого интересует другой способ, он по этой ссылке: http://support.microsoft.com/kb/255504 . Передача ролей FSMO будет состоять из следующих шагов:

Заходим на сервер dc02 , на тот, на который будем передавать роли. Для того, чтобы получить доступ к оснастке Active Directory Schema , сначала необходимо зарегистрировать библиотеку schmmgmt.dll . Это делается с помощью команды:

regsvr32 schmmgmt.dll

В дереве оснастки нужно щелкнуть правой кнопкой мыши элемент Active Directory Schema и выбрать пункт Change Domain Controller . Там меняем контроллер на dc02 .
Далее опять нажимаем правой кнопкой мыши элемент Active Directory Schema и выбираем пункт Operations Master . Появляется вот такое окно:

Нажимаем Change > Yes > OK и закрываем все эти окна.

Открываем оснастку , щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем команду Change Active Directory Domain Controller . Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК .
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts и выбираем пункт Operations Master . В появившемся окне нажимаем кнопку Change .

Чтобы подтвердить передачу роли, нажимаем кнопку ОК , а затем - Close .

Открываем оснастку . Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller . Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.

В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers , выбираем пункт All Tasks , а затем Operations Master .

Выбираем вкладку, соответствующую передаваемой роли (RID , PDC или Infrastructure Master ), и нажимаем кнопку Change .
Чтобы подтвердить передачу роли, нажимаем кнопку ОК , а затем - Close .

Перенос глобального каталога

Если мы делаем миграцию не на 2008, а на 2003, в котором при добавлении добавочного контроллера домена глобальный каталог не ставиться, либо вы не поставили галку Global Catalog в шаге 2, тогда нужно назначить роль глобального каталога новому контроллеру домена вручную. Для этого, заходим в оснастку Active Directory Sites and Services , ракрываем Sites > сайт Default-First-Site-Name > Servers > DC02 > щелкаем правой кнопкой мыши по NTDS Settings > Properties. В открывшемся окне ставим галку Global Catalog > OK.

После этого, в логах Directory Service появится сообщение, что повышение роли контроллера до глобального каталога будет отложено на 5 минут.

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1110
Date: 12.07.2011
Time: 22:49:31
User: TESTCOMPANY\Administrator

Description:
Promotion of this domain controller to a global catalog will be delayed for the following interval.

Interval (minutes):
5

This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.

http://go.microsoft.com/fwlink/events.asp .

Ждем пять минут и дожидаемся события 1119 о том, что этот контроллер стал глобальным каталогом.

Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1119
Date: 12.07.2011
Time: 22:54:31
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: dc02.testcompany.local
Description:
This domain controller is now a global catalog.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp .

Перенастройка интерфейсов, DNS и другие послеустановочные задачи

Далее, так как DNS-сервер на dc02 мы установили, теперь нужно в свойствах сетевого интерфейса первичным DNS-сервером указать самого себя, т.е. адрес 192.168.1.12. И на dc01 соответственно поменять на 192.168.1.12.

В свойствах DNS-сервера на dc02 проверьте вкладку Forwarders , на 2003, в отличие от 2008, она не реплицируется. После этого можно понижать контроллер домена dc01 до рядового сервера.

Если вам необходимо у нового контроллера оставить старое имя и IP-адрес, то это также делается без проблем. Имя меняется как для обычного компьютера, либо подобной командойnetdom renamecomputer .

После смены IP-адреса выполните команды ipconfig /registerdns и dcdiag /fix .