Kako podesiti pametne telefone i računare. Informativni portal

Šta je kontroler domena. Active Directory: Kontrolori domena

12.06.2019 Windows telefon

Kontrolori domena su serveri koji podržavaju Active Directory. Svaki kontroler domene ima svoju kopiju baze podataka Active Directory koja se može pisati. Kontrolori domena djeluju kao centralna sigurnosna komponenta u domeni.

Sve operacije sigurnosti i verifikacije naloga se izvode na kontroloru domene. Svaka domena mora imati najmanje jedan kontroler domene. Radi tolerancije grešaka, preporučujemo da instalirate najmanje dva kontrolera domene po domeni.

U operativnom sistemu Windows NT samo je jedan kontroler domena podržavao pisanje u bazu podataka, odnosno bila je potrebna veza sa kontrolerom domena za kreiranje i promjenu postavki korisničkog naloga.

Ovaj kontroler se zove primarni kontroler domene (Primary Domain Controller - PDC). Počevši od operativnog sistema Windows 2000, arhitektura kontrolera domena je promijenjena kako bi se omogućilo ažuriranje baze podataka Active Directory na bilo kojem kontroleru domena. Nakon ažuriranja baze podataka na jednom kontroleru domene, promjene su replicirane na sve ostale kontrolere domene.

Iako svi kontroleri domena podržavaju pisanje u bazu podataka, oni nisu identični. U domenima i šumama Active Directory postoje zadaci koje izvode određeni kontrolori domena. Kontrolori domena sa dodatnim odgovornostima poznati su kao majstori operacija. Neki materijali Microsofta pominju ove sisteme kao Fleksibilne operacije sa jednim glavnim (FSMO). Mnogi ljudi vjeruju da se izraz FSMO koristi toliko dugo samo zato što skraćenica zvuči vrlo smiješno.

Postoji pet uloga gospodara operacija. Po defaultu, svih pet uloga je dodijeljeno prvom kontroleru domene u šumi Active Directory. Tri glavne uloge operacija koriste se na razini domene i dodjeljuju se prvom kontroleru domene u kreiranoj domeni. Uslužni programi Active Directory o kojima se dalje govori omogućavaju vam da prenesete glavne uloge operacija s jednog kontrolera domene na drugi kontroler domene. Osim toga, možete natjerati kontroler domene da preuzme određenu ulogu kao master operacije.

Postoje dvije uloge gospodara operacija koje djeluju na nivou šume.

  • Master imenovanja domena- Ovi masteri operacija se moraju kontaktirati svaki put kada se izvrše promjene imena unutar hijerarhije domena šume. Zadatak mastera imenovanja domena je osigurati da imena domena budu jedinstvena unutar šume. Ova glavna uloga operacija mora biti dostupna prilikom kreiranja novih domena, brisanja domena ili preimenovanja domena
  • Šema master- Uloga mastera sheme pripada jedinom kontroleru domene unutar šume gdje se mogu izvršiti promjene sheme. Jednom kada se izvrše promjene, one se repliciraju na sve ostale kontrolere domena unutar šume. Kao primjer potrebe za izmjenama šeme, razmotrite instaliranje softverskog proizvoda Microsoft Exchange Server. Ovo mijenja shemu kako bi se omogućilo administratoru da istovremeno upravlja i korisničkim nalozima i poštanskim sandučićima.

Svaka uloga na razini šume može pripadati samo jednom kontroleru domene unutar šume. To jest, možete koristiti jedan kontroler kao master za imenovanje domene, a drugi kontroler kao master sheme. Osim toga, obje uloge se mogu dodijeliti istom kontroleru domene. Ova distribucija uloga se koristi po defaultu.

Svaka domena unutar šume ima kontroler domene koji obavlja svaku od uloga na razini domene.

  • Relativni ID master (RID master)- Master relativnih identifikatora je odgovoran za dodjelu relativnih identifikatora. Relativni identifikatori su jedinstveni dio sigurnosnog identifikatora (Sigurnosni ID - SID) koji se koristi za identifikaciju sigurnosnog objekta (korisnika, računara, grupe, itd.) unutar domene. Jedan od glavnih zadataka mastera relativnog identifikatora je uklanjanje objekta iz jedne domene i dodavanje objekta u drugu domenu prilikom premeštanja objekata između domena.
  • Infrastrukturni majstor- Zadatak mastera infrastrukture je da sinhronizuje članstva u grupama. Kada se izvrše promjene u članstvu u grupi, master infrastrukture prenosi promjene svim ostalim kontrolerima domene.
  • Emulator primarnog kontrolera domene (PDC emulator)- Ova uloga se koristi za emulaciju Windows NT 4 primarnog kontrolera domene za podršku Windows NT 4 rezervnih kontrolera domena. Drugi zadatak emulatora primarnog kontrolera domene je da obezbijedi centralnu tačku administracije za promjene korisničke lozinke, kao i politike zaključavanja korisnika.

Reč "politike" se često koristi u ovom odeljku da se odnosi na objekte grupne politike (GPO). Objekti grupne politike su jedna od glavnih korisnih karakteristika Active Directory-a i o njima se govori u odgovarajućem članku, veza do koje je data u nastavku.

U srednjim i velikim kompanijama uobičajeno je koristiti usluge domena za upravljanje korporativnom mrežnom infrastrukturom s jednim ili više Active Directory kontrolera domena koji formiraju lokacije i šume. Usluge domena, o kojima će biti reči u ovom članku, omogućavaju vam autentifikaciju korisnika i klijentskih računara, centralno upravljanje infrastrukturnim jedinicama preduzeća koristeći grupne politike, omogućavanje pristupa zajedničkim resursima i još mnogo toga. Struktura identifikacije i pristupa korporativnim mrežama Active Directory uključuje pet tehnologija:

  • Active Directory Domain Services (AD DS);
  • Active Directory Certificate Services (AD CS);
  • Usluge upravljanja pravima Active Directory (AD RDS);
  • Active Directory Federation Services (AD FS);
  • Lightweight Directory Services (AD LDS).

Domain Services (AD DS) se smatra osnovnom tehnologijom Active Directory. Uz pomoć ove usluge možete postaviti kontroler domene, bez kojeg jednostavno nema potrebe za osnovnim uslugama. Uloga servera Active Directory Domain Services može se instalirati i pomoću grafičkog sučelja i alata komandne linije u punom izdanju Windows Server 2008/2008 R2, kao iu jezgru servera izdanja Windows Server 2008/2008 R2 koristeći alate komandne linije . Ovaj članak će se posebno fokusirati na instaliranje uloge AD DS pomoću komandne linije (i u punoj verziji iu režimu kernela, AD DS se instalira pomoću alata komandne linije na isti način). Ali prije instaliranja ove uloge, preporučujem da se upoznate s nekim od pojmova koji se koriste u ovoj tehnologiji:

Kontroler domena. Kontroler domene je poslužitelj koji obavlja ulogu domenskih usluga ili usluga direktorija, kako je ranije nazvan, on također ugošćuje skladište podataka direktorija i protokol Kerberos Key Distribution Center (KDC). Ovaj protokol pruža provjeru autentičnosti objekata identiteta u domeni Active Directory.

Domain. Domena je administrativna jedinica unutar koje se računari, sigurnosne grupe i korisnici nalaze na istoj mreži, kojom upravlja kontroler domene, koristeći iste specifične mogućnosti. Kontrolor domene replicira particiju skladišta podataka koja sadrži identifikacione podatke za korisnike, grupe i računare u domeni. Štaviše, korisnički i računalni nalozi se ne nalaze lokalno na klijentskim računarima, već na kontroleru domena, odnosno mrežna prijava se koristi na svim radnim stanicama. Osim toga, domen je djelokrug različitih administrativnih politika.

Šuma. Kolekcija domena koja koristi jednu shemu direktorija naziva se šuma domene. U suštini, šuma je najudaljenija granica usluge imenika, gdje se prva uspostavljena domena naziva korijenska domena. Unutar svake šume koristi se zajednička struktura direktorija i konfiguracija usluge direktorija. Šuma sadrži jedan opis mrežne konfiguracije i jednu instancu kataloga sheme. Šuma se može sastojati od jednog ili više domena. Unutar šume, domeni su povezani odnosom roditelj-dijete. U ovom slučaju, naziv podređenog domena nužno uključuje naziv nadređenog domena.

Drvo. Unutar šume domene, prostor imena domene sadrži stabla šume. Domene se tumače kao stabla ako je jedna domena dijete druge. To znači da ime korijenskog domena stabla i svih njegovih podređenih domena ne mora sadržavati potpuno kvalificirano ime roditeljske domene. Šuma može sadržavati jedno ili više stabala domena.

Website. Stranica je Active Directory objekt kao što je kontejner koji dijelu poduzeća pruža dobru mrežnu komunikaciju. Sajtove obično koriste kompanije koje imaju filijale raštrkane širom zemlje ili širom zemalja, pa čak i kontinenata. Stranica kreira perimetar replikacije i koristi usluge Active Directory. Glavni zadaci stranica su upravljanje prometom replikacije i lokalizacijom usluga. Replikacija se odnosi na premještanje promjena s jednog kontrolera domene na drugi, a lokalizacija usluge omogućava korisnicima da se autentifikuju na bilo koji kontroler domene na cijeloj web lokaciji.

Instaliranje uloge Active Directory domenskih usluga

I za GUI instalaciju i alate naredbene linije za kreiranje kontrolera domene, prvo morate instalirati AD DS ulogu, a zatim pokrenuti Čarobnjak za instalaciju domenskih usluga, koji se otvara naredbom Dcpromo.exe. Primer u ovom članku će instalirati kontroler domena pod Windows Server 2008 R2 u režimu pune instalacije, iako se sam proces ne razlikuje od instalacije u režimu kernela.

Da biste instalirali ulogu domenskih usluga Active Directory pomoću komandne linije, koristite alat za upravljanje konfiguracijom servera ServerManagerCmd. Prije instaliranja uloge Active Directory Domain Services, uvjerite se da je vaš server preimenovan i da ste konfigurirali IPv4 adresu uređaja. Uradite sljedeće:

Rice. 3. Instaliranje uloge Domain Services koristeći PowerShell

Podignite kontrolor domene usluga domene

Da biste automatski instalirali kontroler domene pomoću komandne linije, koristite naredbu Dcporomo sa određenim opcijama automatske instalacije. Za automatsku instalaciju dostupno je četrdesetak parametara. U našem slučaju nećemo koristiti parametre. Stoga, ako želite znati sve opcije, pokrenite naredbu Dcpromo /?:Promocija. Razmotrite parametre koji će nam biti korisni prilikom instaliranja kontrolera domene:

/NewDomain– ovaj parametar definira tip kreirane domene. Dostupne opcije: Šuma– korijenski domen nove šume, drvo– korijenski domen novog stabla u postojećoj šumi, Dijete– podređeni domen u postojećoj šumi;

/NewDomainDNSName– pomoću ovog parametra navodi se puno ime nove domene (FQDN);

/DomainNetBiosName– pomoću ovog parametra možete dodijeliti NetBIOS ime za novu domenu;

/ForestLevel- Koristeći ovaj parametar, možete odrediti funkcionalni način šume kada kreirate novu domenu u novoj šumi. Dostupne opcije: 0 – Windows 2000 Server izvorni način rada, 2 - Windows Server 2003 izvorni način rada, 3 - Windows Server 2008 izvorni način rada, 4 – Windows Server 2008 R2 izvorni način rada;

/ReplicaOrNewDomain- Određuje hoće li se instalirati dodatni kontroler domene ili prvi kontroler u domeni. Dostupne opcije: Replica- dodatni kontroler domene u postojećoj domeni, ReadOnlyReplica- kontroler domene samo za čitanje u postojećoj domeni, domena- prvi kontroler domene u domeni;

/DomainLevel- Određuje funkcionalni nivo domene prilikom kreiranja nove domene u postojećoj šumi, a funkcionalni nivo domene ne može biti niži od funkcionalnog nivoa šume. Zadana vrijednost je postavljena na istu vrijednost kao /ForestLevel;

/InstallDNS– pomoću ovog parametra možete odrediti da li će sistem imena domena biti instaliran za ovu domenu;

/dnsOnNetwork– Ovaj parametar određuje da li je DNS usluga dostupna na mreži. Ova postavka se koristi samo ako mrežni adapter ovog računara nije konfigurisan sa imenom DNS servera za razlučivanje imena. Značenje br znači da će na ovom računaru biti instaliran DNS server radi razlučivanja imena. U suprotnom, prvo morate konfigurisati ime DNS servera za mrežni adapter.

/DatabasePath– pomoću ovog parametra možete odrediti punu putanju (ne u UNC formatu) do direktorija na fiksnom disku lokalnog računala gdje je pohranjena baza podataka domene. Na primjer, C:WindowsNTDS;

/LogPath- ovom opcijom možete odrediti punu putanju (ne u UNC formatu) do direktorija na fiksnom disku lokalnog računala koji sadrži datoteke evidencije domene. Na primjer, C:WindowsNTDS;

/SysVolPath- pomoću ovog parametra možete odrediti punu putanju (ne u UNC formatu) do direktorija na fiksnom disku lokalnog računara, na primjer, C: WindowsSYSVOL;

/safeModeAdminPassword- Koristeći ovaj parametar, specificira se lozinka koja odgovara imenu administratora, koja se koristi za promociju uloge kontrolora domena;

/RebootOnCompletion- Ovaj parametar određuje da li da se ponovo pokrene računar bez obzira na to da li je operacija bila uspešna ili ne. Dostupne opcije: Da i br.

Kao rezultat toga, da instaliramo kontroler domene, koristit ćemo sljedeću naredbu:

Dcpromo /unattend /InstallDNS:Yes /dnsOnNetwork:Yes /ReplicaOrNewDomain:Domain /NewDomain:Forest /NewDomainDNSName:testdomain.com /DomainNetBiosName:testdomain /DatabasePath:"C:WinDSLogs:"C:WinDS"Path:"C:WinDS" :WindowsSYSVOL” /safeModeAdminPassword: [email protected]/ForestLevel:4 /DomainLevel:4 /RebootOnCompletion:No

Rice. 4. Instaliranje kontrolera domene

Zaključak

U ovom članku naučili ste o tehnologiji domenskih usluga Active Directory, saznali više o značenju pojmova kao što su kontroler domene, domena, šuma, stablo i lokacija. Ovaj članak detaljno opisuje proces instaliranja uloge Domain Services i kontrolera domene pomoću uslužnih programa ServerManagerCmd i Dcpromo.exe. Dato je uputstvo korak po korak za instaliranje uloge domenskih usluga Active Directory pomoću alata za upravljanje konfiguracijom servera ServerManagerCmd i PowerShell cmdleta.

U ovoj napomeni ćemo detaljno razmotriti proces uvođenja prvog kontrolera domena u preduzeće. A biće ih tri:

1) Primarni kontroler domena, OS - Windows Server 2012 R2 sa GUI, naziv mreže: dc1.

Odaberite zadanu opciju, kliknite na Next. Zatim odaberite zadani protokol IPv4 i ponovo kliknite na Next.

Na sljedećem ekranu postavite ID mreže (Network ID). U našem slučaju, 192.168.0. U polju Reverse Lookup Zone Name, vidjet ćemo kako se adresa zone obrnutog pretraživanja automatski zamjenjuje. Kliknite na Next.

Na ekranu za dinamičko ažuriranje izabraćemo jednu od tri moguće opcije dinamičkog ažuriranja.

Dozvoli samo sigurna dinamička ažuriranja. Ova opcija je dostupna samo ako je zona integrirana Active Directory.

Dozvolite i nesigurna i sigurna dinamička ažuriranja. Ovaj prekidač omogućava svakom klijentu da ažurira svoje zapise DNS resursa kada dođe do promjena.

Zabrani dinamička ažuriranja (Ne dozvoli dinamička ažuriranja). Ova opcija onemogućuje dinamička ažuriranja DNS-a. Trebalo bi da se koristi samo ako zona nije integrisana sa aktivnim direktorijumom.

Odaberite prvu opciju, kliknite Dalje i dovršite konfiguraciju klikom na Završi.

Još jedna korisna opcija koja se obično konfiguriše u DNS-u su prosleđivači ili prosleđivači, čija je glavna svrha keširanje i preusmeravanje DNS zahteva sa lokalnog DNS servera na eksterni DNS server na Internetu, na primer, onaj koji se nalazi kod ISP-a. Na primjer, želimo lokalne računare u našoj domenskoj mreži, koji imaju DNS server (192.168. . Da konfigurišete prosljeđivače (Forwarders), idite na DNS menadžersku konzolu. Zatim u svojstvima servera idite na karticu Prosljeđivači i tamo kliknite Uredi.

Navedite barem jednu IP adresu. Nekoliko ih je poželjno. Pritisnemo OK.

Sada da konfigurišemo DHCP uslugu. Pokrenimo alat.

Prvo, postavimo puni radni raspon adresa sa kojih će adrese biti preuzete za izdavanje klijentima. Odaberite Akcija\Novi opseg. Pokreće se čarobnjak za dodavanje područja. Postavite naziv područja.

Zatim navedite početnu i krajnju adresu mrežnog opsega.

Zatim dodajte adrese koje želimo isključiti iz izdavanja kupaca. Kliknite na Next.

Na ekranu Trajanje zakupa navedite nepodrazumevano vrijeme zakupa, ako je potrebno. Kliknite na Next.

Zatim se slažemo da želimo da konfigurišemo DHCP opcije: Da, sada želim da konfigurišem ove opcije.

Uzastopno ćemo naznačiti gateway, naziv domene, DNS adrese, WINS skip i na kraju se slažemo sa aktivacijom opsega klikom na: Da, želim sada da aktiviram ovaj opseg. Završi.


Da bi DHCP usluga bezbedno radila, poseban nalog mora biti konfigurisan za dinamičko ažuriranje DNS zapisa. To se mora učiniti, s jedne strane, kako bi se spriječila dinamička registracija klijenata u DNS-u korištenjem administrativnog računa domene i njegova moguća zloupotreba, s druge strane, u slučaju rezervacije DHCP usluge i kvara glavnog servera. , biće moguće prenijeti rezervnu kopiju zone na drugi server, što će zahtijevati nalog prvog servera. Da bismo ispunili ove uslove, u dodatku Active Directory Users and Computers kreiraćemo nalog pod nazivom dhcp i dodijeliti neograničenu lozinku odabirom opcije: Password Never Expires.

Dodijelite jaku lozinku korisniku i dodajte je u DnsUpdateProxy grupu. Zatim uklanjamo korisnika iz grupe Korisnici domene, nakon što primarnom korisniku dodijelimo DnsUpdateProxy grupu. Ovaj nalog će biti isključivo odgovoran za dinamičko ažuriranje zapisa i neće imati pristup drugim resursima gde su osnovna prava domena dovoljna.

Kliknite na Primijeni, a zatim na OK. Ponovo otvorite DHCP konzolu. Idite na svojstva IPv4 protokola na kartici Napredno.

Kliknite na Credentials i tamo navedite našeg DHCP korisnika.

Kliknite OK i ponovo pokrenite uslugu.

Na konfigurisanje DHCP-a ćemo se vratiti kasnije kada budemo konfigurisali rezervacije DHCP usluga, ali da bismo to uradili, moramo da podignemo barem i kontrolere domena.

UPD: Napravio sam video kanal na youtube-u na kojem postepeno objavljujem treninge iz svih oblasti IT-a u koje sam dobro upućen, pretplatite se: http://www.youtube.com/user/itsemaev

UPD2: Microsoft tradicionalno mijenja poznatu sintaksu na komandnoj liniji, tako da uloge u svakoj verziji Windows Servera mogu zvučati drugačije. Oni se više uopće ne zovu fsmo, već majstori operacija. Dakle, za ispravne komande u konzoli nakon fsmo održavanja, jednostavno napišite? i pokazaće vam dostupne komande.

Uzeli su od mene članak u aprilskom časopisu "System Administrator" na temu "Bezbolna zamjena zastarjelog ili neispravnog kontrolera domena baziranog na Windows Serveru"

I čak su platili sto dolara i dali mi paket sa mozgom)) Sad sam Onotole.


Bezbolna zamjena za zastarjeli ili neispravni kontroler domene baziran na Windows Serveru.(kome iznenada zatreba - pošaljite slike)

Ako je vaš kontroler domene u kvaru ili potpuno zastario i treba ga zamijeniti - nemojte žuriti s planiranjem da sljedeći vikend provedete kreirajući novu domenu na novom serveru i mukotrpno prebacujući korisničke mašine na njega. Pravilno upravljanje rezervnim kontrolerom domene pomoći će vam da brzo i bezbolno zamijenite prethodni server.

Gotovo svaki administrator koji radi sa Windows baziranim serverima, prije ili kasnije, suoči se s potrebom da potpuno zastarjeli primarni kontroler domene, čija daljnja nadogradnja više nema smisla, zamijeni novim i modernijim. Ima i gorih situacija - kontroler domene jednostavno postaje neupotrebljiv zbog kvarova na fizičkom nivou, a sigurnosne kopije i slike su zastarjeli ili izgubljeni
U principu, opis postupka zamjene jednog kontrolera domene drugim može se naći na raznim forumima, ali informacije su date u fragmentima i u pravilu su primjenjive samo na određenu situaciju, ali ne daju stvarno rješenje . Osim toga, čak i nakon što sam pročitao mnoštvo foruma, baza znanja i drugih resursa na engleskom, uspio sam kompetentno provesti proceduru zamjene kontrolera domena bez grešaka tek od trećeg ili četvrtog puta.
Stoga želim dati korak po korak instrukciju za zamjenu kontrolera domene, bez obzira da li je u funkciji ili ne. Jedina razlika je u tome što će kod “palog” kontrolera ovaj članak pomoći samo ako ste se unaprijed pobrinuli i postavili rezervni kontroler domene.

Priprema servera za unapređenje/degradaciju

Sama procedura za kreiranje rezervnog kontrolera domene je elementarna - jednostavno pokrećemo dcpromo čarobnjaka na bilo kom mrežnom serveru. Koristeći dcpromo čarobnjak, kreiramo kontroler domene u postojećoj domeni. Kao rezultat urađenih manipulacija, na našem dodatnom serveru (nazvat ću ga pserver, a glavni kontroler će biti dcserver) dobijamo raspoređenu AD direktorijsku uslugu.
Dalje, ako ga dcpromo nije sam ponudio, počinjemo instalaciju DNS servera. Ne morate mijenjati nikakva podešavanja, također ne morate kreirati zonu - ona je pohranjena u AD, a svi zapisi se automatski repliciraju u backup kontroler. Pažnja - glavna zona u DNS-u će se pojaviti tek nakon replikacije, kako bi se ubrzao server može ponovo pokrenuti. U TCP/IP postavkama mrežne kartice rezervnog kontrolera domena, adresa primarnog DNS servera mora biti postavljena na IP adresu primarnog kontrolera domena.
Sada možete lako provjeriti ispravnost servera kontrolera domene u stanju pripravnosti. Možemo kreirati korisnika domene i na primarnom i na rezervnom kontroleru domene. Odmah nakon kreiranja pojavljuje se na duplikatu servera, ali oko minut (dok se vrši replikacija) prikazuje se kao onemogućen, nakon čega počinje da se prikazuje na isti način na oba kontrolera.
Na prvi pogled, svi koraci za kreiranje radne šeme za interakciju nekoliko domenskih kontrolera su završeni, a sada će, u slučaju kvara "primarnog" kontrolera domene, "rezervni" kontroleri automatski obavljati svoje funkcije. . Međutim, dok je razlika između "primarnog" i "rezervnog" domenskog kontrolera čisto nominalna, "primarni" kontroler domene ima brojne karakteristike (FSMO uloge) koje treba imati na umu. Dakle, gore navedene operacije za normalno funkcioniranje usluge imenika u slučaju kvara "primarnog" kontrolora domene nisu dovoljne, a radnje koje se moraju poduzeti da bi se pravilno prenijela/zauzela uloga primarnog kontrolera domene će biti opisan u nastavku.

Malo teorije

Morate biti svjesni da Active Directory domenski kontroleri obavljaju nekoliko vrsta uloga. Ove uloge se zovu FSMO (Fleksibilne jednoglave operacije):
- Master sheme (Schema Master) - uloga je odgovorna za mogućnost promjene sheme - na primjer, postavljanje Exchange servera ili ISA servera. Ako je vlasnik uloge nedostupan, nećete moći promijeniti šemu postojeće domene;
- Master imenovanja domena - Ova uloga je potrebna ako vaša šuma domena ima više domena ili poddomena. Bez toga, neće biti moguće kreirati i brisati domene u jednoj šumi domena;
- Relative ID Master (Master relativnih identifikatora) - odgovoran je za kreiranje jedinstvenog ID-a za svaki AD objekat;
- Emulator primarnog kontrolera domene (Primary Domain Controller Emulator) - on je taj koji je odgovoran za rad sa korisničkim nalozima i sigurnosnom politikom. Nedostatak komunikacije s njim omogućava vam da na radne stanice ulazite sa starom lozinkom, koja se ne može promijeniti ako je kontroler domene "pao";
- Infrastructure Master (Infrastructure Master) - uloga je odgovorna za prijenos informacija o AD objektima na druge kontrolere domene unutar cijele šume.
O ovim ulogama se dosta detaljno piše u mnogim bazama znanja, ali se glavna uloga gotovo uvijek zaboravlja – to je uloga Globalnog kataloga (Global Catalog). Zapravo, ovaj direktorij jednostavno pokreće LDAP uslugu na portu 3268, ali njegova nepristupačnost će spriječiti korisnike domena da se prijave. Zanimljivo je da svi kontroleri domena mogu imati ulogu globalnog kataloga u isto vrijeme.

Zapravo, možemo zaključiti – ako imate primitivni domen za 30-50 mašina, bez proširene infrastrukture, koja ne uključuje poddomene – onda možda nećete primijetiti nedostatak pristupa vlasniku/vlasnicima prve dvije uloge. Osim toga, nekoliko puta sam naišao na organizacije koje rade više od godinu dana bez kontrolera domena, ali u domenskoj infrastrukturi. Odnosno, sva prava su distribuirana davno, sa funkcionalnim kontrolerom domene, i nije ih trebalo mijenjati, korisnici nisu mijenjali svoje lozinke i radili su tiho.

Odredite trenutne vlasnike fsmo uloga.

Pojašnjavam - kompetentno želimo zamijeniti kontroler domene bez gubitka njegovih mogućnosti. U slučaju da postoje dva ili više kontrolera u domeni, moramo saznati ko posjeduje svaku od fsmo uloga. Ovo je dovoljno lako uraditi pomoću sljedećih naredbi:

dsquery server -hasfsmo shema
dsquery server - hasfsmo ime
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infr
dsquery server -šuma -isgc

Svaka od naredbi prikazuje informacije o tome ko je vlasnik tražene uloge (slika 1). U našem slučaju, vlasnik svih uloga je primarni kontroler domene dcserver.

Dobrovoljni prijenos fsmo uloga korištenjem Active Directory konzola.

Imamo sve potrebne informacije za prijenos uloge primarnog kontrolora domene. Počnimo: prvo moramo biti sigurni da je naš račun član grupa "Domain Admins", "Schema Admins" i "Enterprise Admins", a zatim nastaviti s tradicionalnom metodom prijenosa fsmo uloga - upravljanje domenom putem Active Directory konzole.

Da biste prenijeli ulogu "majstora naziva domene", izvršite sljedeće korake:
- otvorite "Active Directory Domains and Trust" na kontroloru domene sa kojeg želimo da prenesemo ulogu. Ako radimo sa AD na kontroleru domena na koji želimo da prenesemo ulogu, onda preskačemo sledeću stavku;
- kliknite desnim tasterom miša na ikonu Active Directory - Domains and Trusts i izaberite Connect to a domain controller. Odabiremo kontroler domene na koji želimo prenijeti ulogu;
- kliknite desnim tasterom miša na komponentu Active Directory - domene i poverenja i izaberite komandu Operations Masters;
- u dijaloškom okviru Change Operations Master kliknite na dugme Change (Slika 2).
- nakon potvrdnog odgovora na pop-up zahtjev dobijamo uspješno prenesenu ulogu.

Slično, koristeći Active Directory Users and Computers konzolu, možete prenijeti uloge RID Master, PDC i Infrastructure Master.

Da biste prenijeli ulogu "majstora sheme", prvo morate registrirati biblioteku upravljanja shemama Active Directory u sistemu:

Nakon što su sve uloge prenesene, ostaje da se pozabavimo preostalom opcijom - čuvarom globalnog kataloga. Ulazimo u Active Directory: “Sites and Services”, zadana lokacija, serveri, pronalazimo kontroler domene koji je postao glavni i u svojstvima njegovih NTDS postavki označimo kućicu pored globalnog kataloga. (sl. 3)

Zaključak - promijenili smo vlasnike uloga za našu domenu. Ko treba konačno da se riješi starog kontrolera domene - spuštamo ga na server člana. Međutim, jednostavnost poduzetih radnji kompenzira se činjenicom da je njihova provedba u nizu situacija nemoguća, ili se završava greškom. U ovim slučajevima će nam pomoći ntdsutil.exe.

Dobrovoljni prijenos fsmo uloga pomoću konzola ntdsutil.exe.

U slučaju da prijenos fsmo uloga pomoću AD konzola ne uspije, Microsoft je kreirao vrlo zgodan uslužni program - ntdsutil.exe - program za održavanje Active Directory direktorija. Ovaj alat vam omogućava da izvršite izuzetno korisne radnje - do vraćanja cijele AD baze podataka iz sigurnosne kopije koju je ovaj uslužni program sam napravio prilikom posljednje promjene u AD-u. Sve njegove karakteristike možete pronaći u Microsoft bazi znanja (ID članka: 255504). U ovom slučaju govorimo o činjenici da uslužni program ntdsutil.exe omogućava i prijenos uloga i njihovo "odabir".
Ako želimo da prenesemo ulogu sa postojećeg “primarnog” domenskog kontrolera na “rezervni” kontroler, na “primarnom” kontroleru se ulogujemo u sistem i počinjemo sa prenosom uloga (transfer komanda).
Ako iz nekog razloga nemamo primarni kontroler domene, ili se ne možemo prijaviti pod administrativnim računom, prijavljujemo se na rezervni kontroler domene i počinjemo „odabrati“ uloge (komanda seize).

Dakle, prvi slučaj - glavni kontroler domene postoji i funkcioniše normalno. Zatim idemo na primarni kontroler domene i upisujemo sljedeće naredbe:

ntdsutil.exe
uloge
veze
povežite se na server server_name (onaj kojem želimo dati ulogu)
q

Ako se pojave greške, potrebno je provjeriti vezu s kontrolerom domene na koji se pokušavamo povezati. Ako nema grešaka, onda smo se uspješno povezali na navedeni kontroler domene sa pravima korisnika u čije ime unosimo komande.
Potpuna lista komandi je dostupna nakon upita za fsmo održavanje sa standardnim znakom? . Vrijeme je za predaju uloga. Odmah sam, bez oklijevanja, odlučio da prenesem uloge redoslijedom kojim su navedene u uputama za ntdsutil i došao do zaključka da ne mogu prenijeti ulogu mastera infrastrukture. Meni je kao odgovor na zahtjev za prijenos uloge vraćena greška: "nemoguće je kontaktirati trenutnog vlasnika fsmo uloge." Dugo sam tražio informacije na netu i otkrio da se većina ljudi koji dođu u fazu prijenosa uloga susreću s ovom greškom. Neki od njih pokušavaju da preuzmu ovu ulogu na silu (ne izlaze), neki ostave sve kako jeste - i žive srećno bez ove uloge.
Probama i greškama sam otkrio da je pri prijenosu uloga ovim redoslijedom zagarantovan ispravan završetak svih koraka:
- vlasnik identifikatora;
- vlasnik šeme;
- vlasnik naziva;
- vlasnik infrastrukture;
- kontroler domena;

Nakon uspješnog povezivanja na server, dobijamo pozivnicu za upravljanje ulogama (fsmo održavanje) i možemo početi s prijenosom uloga:
- prijenos master imenovanja domena
- master prenosne infrastrukture
- transfer rid master
- master sheme prijenosa
- prijenos pdc master

Nakon izvršavanja svake naredbe, trebao bi se pojaviti zahtjev koji pita da li zaista želimo prenijeti navedenu ulogu na navedeni server. Rezultat uspješnog izvršenja naredbe prikazan je na slici 4.

Uloga čuvara globalnog kataloga prenosi se na način opisan u prethodnom odjeljku.

Prisilna dodjela fsmo uloga korištenjem ntdsutil.exe.

Drugi slučaj - želimo da dodijelimo ulogu primarnog našem backup kontroleru domene. U ovom slučaju se ništa ne mijenja - jedina razlika je što sve operacije izvodimo pomoću naredbe seize, ali već na serveru na koji želimo prenijeti uloge za dodjelu uloge.

zauzeti master imenovanja domena
zaplijeniti gospodara infrastrukture
zgrabi se oslobodi majstora
seize schema master
seize pdc

Imajte na umu da ako ste oduzeli ulogu kontroleru domene koji trenutno nema, onda kada se pojavi na mreži, kontroleri će početi da se sukobljavaju i ne možete izbjeći probleme u funkcioniranju domene.

Radite na greškama.

Najvažnija stvar koju ne treba zaboraviti je da novi primarni kontroler domene neće popraviti TCP/IP postavke za sebe: sada je poželjno da navede 127.0.
Istovremeno, ako imate DHCP server na vašoj mreži, onda ga morate prisiliti da izda ip vašeg novog servera sa adresom primarnog DNS servera, ako nema DHCP, prođite kroz sve mašine i ručno registrirajte ovaj primarni DNS za njih. Alternativno, novom kontroleru domene možete dodijeliti istu IP adresu koju je imao stari.

Sada morate provjeriti kako sve funkcionira i riješiti se glavnih grešaka. Da biste to učinili, predlažem brisanje svih događaja na oba kontrolera, spremanje dnevnika u mapu s drugim rezervnim kopijama i ponovno pokretanje svih servera.
Nakon što ih omogućimo, pažljivo analiziramo sve dnevnike događaja na činjenice upozorenja i grešaka.

Najčešće upozorenje nakon prijenosa uloga na fsmo je poruka da "msdtc ne može ispravno upravljati promocijom/degradacijom kontrolera domene koja se dogodila."
Popravak je jednostavan: u meniju "Administracija" nalazimo "Usluge
komponente". Tamo proširimo "Usluge komponenti", "Računari", otvorimo svojstva odjeljka "Moj računar", tamo potražimo "MS DTC" i kliknemo "Sigurnosne postavke". Tamo dozvoljavamo "Pristup DTC mreži" i pritisnemo OK. Usluga će se ponovo pokrenuti i upozorenje će nestati.

Primjer greške je poruka u kojoj se navodi da se glavna DNS zona ne može učitati ili da DNS server ne vidi kontroler domene.
Možete razumjeti probleme funkcionisanja domene pomoću uslužnog programa (slika 5):

Možete instalirati ovaj uslužni program sa originalnog Windows 2003 diska iz fascikle /support/tools. Uslužni program vam omogućava da provjerite zdravlje svih usluga kontrolera domene, svaka njegova faza mora se završiti riječima uspješno prođenim. Ako ne uspete (najčešće su to testovi veze ili sistemskog dnevnika), onda možete pokušati da ispravite grešku automatski:

dcdiag /v /fix

Kao opšte pravilo, sve greške u vezi sa DNS-om treba da nestanu. Ako ne, koristimo uslužni program za provjeru statusa svih mrežnih usluga:

I njegov korisni alat za otklanjanje grešaka:

netdiag /v /fix

Ako i nakon toga ostanu greške vezane za DNS, najlakši način je ukloniti sve zone iz njega i kreirati ih ručno. Prilično je jednostavno - glavna stvar je kreirati primarnu zonu po imenu domene, pohranjenu u Active Directory i repliciranu na sve kontrolere domena na mreži.
Druga komanda će dati detaljnije informacije o DNS greškama:

dcdiag /test:dns

Na kraju obavljenog posla trebalo mi je još 30-ak minuta da saznam razlog pojavljivanja niza upozorenja - shvatio sam vremensku sinhronizaciju, arhiviranje globalnog kataloga i druge stvari koje nisam dobio u rukama na ranije. Sada sve radi kao sat - što je najvažnije, ne zaboravite da imate standby kontroler domene ako želite da uklonite stari kontroler domene sa mreže.

Kako se kaže "iznenada se pojavio niotkuda .... ....", ništa nije nagoveštavalo nevolje, ali tada je glavni kontroler domena počeo da otkazuje, i dok je još disao odlučio je da delegira prava glavnog domena drugome.

Da biste prenijeli ulogu "majstora naziva domene", izvršite sljedeće korake:

Nakon što su sve uloge prenesene, ostaje da se pozabavimo preostalom opcijom - čuvarom globalnog kataloga. Idemo u Direktorij: “Sites and Services”, zadana lokacija, serveri, pronalazimo kontroler domene koji je postao glavni i u svojstvima njegovih NTDS postavki označimo kućicu pored globalnog kataloga. (sl. 3)

rezultat - promijenili smo vlasnike uloga za našu domenu. Ko treba konačno da se riješi starog kontrolera domene - spuštamo ga na server člana. Međutim, jednostavnost poduzetih radnji kompenzira se činjenicom da je njihova provedba u nizu situacija nemoguća, ili se završava greškom. U ovim slučajevima će nam pomoći ntdsutil.exe.

Dobrovoljni prijenos fsmo uloga na konzolama ntdsutil.exe.

U slučaju da prijenos fsmo uloga sa AD konzolama nije uspio, napravio sam vrlo zgodan uslužni program - ntdsutil.exe - za servisiranje direktorija direktorija. Ovaj alat vam omogućava da izvodite ekstremne radnje - do cijele AD baze podataka iz sigurnosne kopije koju je sama kreirala prilikom posljednje promjene u AD-u. Da se upozna sa svim njegovim mogućnostima u znanju (šifra artikla: 255504). U ovom slučaju govorimo o tome da ntdsutil.exe omogućava i prijenos uloga i njihovo „odabranje“.

Ako želimo prenijeti ulogu sa postojećeg “primarnog” domenskog kontrolera na “rezervni” kontroler, idemo na “primarni” kontroler i počinjemo s prijenosom uloga (naredba transfer).

Ako iz nekog razloga nemamo primarni kontroler domene, ili se ne možemo prijaviti pod administrativnim računom, prijavljujemo se na rezervni kontroler domene i počinjemo „odabrati“ uloge (naredba uhvatiti).

Dakle, slučaj - primarni kontroler domene postoji i radi normalno. Zatim idemo na primarni kontroler domene i upisujemo sljedeće naredbe:

ntdsutil.exe

povežite se sa server_name (onim kojem želimo dati ulogu)

Ako se pojave greške, moramo komunicirati s kontrolorom domene na koji se pokušavamo povezati. Ako nema grešaka, onda smo se uspješno povezali na navedeni kontroler domene sa pravima korisnika u čije ime unosimo komande.

Kompletna lista dostupna je u upitu za održavanje fsmo sa standardnim znakom? . Vrijeme je za predaju uloga. Odmah sam, bez oklijevanja, odlučio da prenesem uloge redoslijedom kojim su navedene u uputama za ntdsutil i došao do zaključka da ne mogu prenijeti ulogu mastera infrastrukture. Meni je kao odgovor na zahtjev za prijenos uloge vraćena greška: "nemoguće je kontaktirati trenutnog vlasnika fsmo uloge." Dugo sam tražio informacije i otkrio da većina ljudi koji dođu do faze prijenosa uloga nailaze na ovu grešku. Neki od njih pokušavaju da preuzmu ovu ulogu na silu (ne izlaze), neki ostave sve kako jeste - i žive srećno bez ove uloge.

Probama i greškama sam otkrio da je pri prijenosu uloga ovim redoslijedom zagarantovan ispravan završetak svih koraka:

Vlasnik identifikatora;

Vlasnik sheme;

majstor imenovanja;

Vlasnik infrastrukture;

kontroler domene;

Nakon uspješnog povezivanja sa serverom, dobijamo pozivnicu za upravljanje ulogama (fsmo održavanje) i možemo početi s prijenosom uloga:

- prijenos master imenovanja domena

Master prijenos infrastrukture

Transfer rid master

Prijenos master sheme

Prijenos pdc mastera

Nakon izvršenja svakog od njih, trebao bi se pojaviti zahtjev koji pita želimo li zaista prenijeti navedenu ulogu na navedeni server. Rezultat uspješnog izvršenja prikazan je na (sl. 4).

Uloga čuvara globalnog kataloga prenosi se na način opisan u prethodnom odjeljku.

Forsiranje fsmo uloga na ntdsutil.exe.

Drugi slučaj je da želimo da dodijelimo ulogu primarnog našem rezervnom kontroleru domene. U ovom slučaju se ništa ne mijenja - jedina razlika je što sve operacije izvodimo koristeći seize, ali već na serveru na koji želimo prenijeti uloge za dodjelu uloge.

zgrabi majstora imenovanja

zaplijeniti gospodara infrastrukture

zgrabi se oslobodi majstora

seize schema master

Imajte na umu da ako ste oduzeli ulogu od kontrolera domene koji trenutno nema, onda kada se pojavi u kontrolerima, oni će početi da se sukobljavaju i ne možete izbjeći probleme u funkcioniranju domene.

Radite na greškama.

Najvažnija stvar koju ne treba zaboraviti je da novi primarni kontroler domene neće sam popraviti TCP/IP: sada je poželjno da navede 127.0. Ako imate DHCP server, onda ga morate prisiliti da izda primarna DNS ip adresa vašeg novog servera, ako nema DHCP, prođite kroz sve mašine i ručno im dodijelite ovaj primarni DNS. Kao opciju, novom domenskom kontroleru dodelite isti IP koji je imao stari.Sada treba da vidite kako sve funkcioniše i da se rešite glavnih grešaka. Da biste to uradili, predlažem da izbrišete sve događaje na oba kontrolera, sačuvate dnevnike u folder sa drugim rezervnim kopijama i ponovo pokrenete sve servere. Nakon što ih omogućite, pažljivo sve evidencije događaja za upozorenja i greške. da "msdtc ne može ispravno obraditi promociju/degradaciju kontrolera domene koji se dogodio." Popravak je jednostavan: iz originala

Ako greške vezane za DNS ostaju, samo izbrišite sve zone iz njega i kreirajte ih ručno. Prilično je jednostavno - glavna stvar je kreirati primarnu zonu po imenu domene, pohranjenu i repliciranu na sve kontrolere domena na mreži.

Druga komanda će dati detaljnije informacije o DNS greškama:

dcdiag /test:dns

Na kraju obavljenog posla trebalo mi je još 30-ak minuta da shvatim razlog pojavljivanja niza upozorenja - shvatio sam vremensku sinhronizaciju, arhiviranje globalnog kataloga i druge stvari koje mi nisu došle pod ruku. prije. Sada sve radi kao sat - što je najvažnije, ne zaboravite imati rezervni kontroler domene ako želite ukloniti stari kontroler domene s mreže.

Top Related Articles

AirSelfie Mini Flying Selfie Kamera Leteća Selfie Kamera
AirSelfie Mini Flying Selfie Kamera Leteća Selfie Kamera
Kako ga sami sastaviti?
Kako ga sami sastaviti?
Teslin kalem i demonstracija nevjerovatnih svojstava elektromagnetnog polja Tesline zavojnice
Teslin kalem i demonstracija nevjerovatnih svojstava elektromagnetnog polja Tesline zavojnice
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.