دامین کنترلر چیست؟ Active Directory: Domain Controllers

Domain Controller ها سرورهایی هستند که از Active Directory پشتیبانی می کنند. هر کنترل کننده دامنه دارای کپی مخصوص به خود از پایگاه داده است داده فعالدایرکتوری که از نوشتن پشتیبانی می کند. کنترل کننده های دامنه به عنوان مولفه امنیتی مرکزی در یک دامنه عمل می کنند.

تمامی عملیات امنیتی و تایید حساب روی دامین کنترلر انجام می شود. هر دامنه باید حداقل یک کنترل کننده دامنه داشته باشد. برای اطمینان از تحمل خطا، توصیه می شود حداقل دو کنترلر دامنه برای هر دامنه نصب کنید.

در سیستم عامل ویندوز NT، تنها یک کنترلر دامنه از نوشتن پایگاه داده پشتیبانی می کرد، به این معنی که برای ایجاد و تغییر تنظیمات حساب کاربری، اتصال به یک کنترل کننده دامنه مورد نیاز بود.

این کنترلر فراخوانی شد کنترل کننده دامنه اولیه (PDC). شروع با سیستم عاملویندوز 2000 معماری کنترلر دامنه را دوباره طراحی کرد تا به پایگاه داده اکتیو دایرکتوری در هر کنترل کننده دامنه امکان به روز رسانی شود. پس از به روز رسانی پایگاه داده در یک کنترل کننده دامنه، تغییرات به همه کنترل کننده های دیگر تکرار شد.

اگرچه همه کنترل کننده های دامنه از نوشتن پایگاه داده پشتیبانی می کنند، اما یکسان نیستند. دامنه ها و جنگل های Active Directory وظایفی دارند که توسط کنترل کننده های دامنه خاص انجام می شود. کنترل کننده های دامنه با مسئولیت های اضافی به عنوان شناخته می شوند استادان عملیات. در برخی از مواد مایکروسافت چنین سیستم هایی نامیده می شود عملیات منعطف تک اصلی (FSMO). بسیاری بر این باورند که اصطلاح FSMO برای مدت طولانی تنها به این دلیل استفاده شده است که مخفف آن هنگام تلفظ بسیار خنده دار به نظر می رسد.

پنج نقش اصلی عملیات وجود دارد. به طور پیش فرض، هر پنج نقش به اولین کنترل کننده دامنه در صادر می شود جنگل فعالفهرست راهنما. سه نقش اصلی عملیات در سطح دامنه استفاده می شود و به اولین کنترل کننده دامنه در دامنه ایجاد شده اختصاص داده می شود. ابزارهای Active Directory که در ادامه مورد بحث قرار می‌گیرند به شما امکان می‌دهند تا نقش‌های اصلی عملیات را از یک کنترل‌کننده دامنه به کنترل‌کننده دامنه دیگر منتقل کنید. علاوه بر این، می‌توانید کنترل‌کننده دامنه را مجبور کنید که نقش خاصی را به‌عنوان مستر عملیات بر عهده بگیرد.

دو نقش اصلی عملیات وجود دارد که در سطح جنگل عمل می کنند.

• استاد نام گذاری دامنه- هر زمان که تغییرات نام‌گذاری در سلسله مراتب جنگل انجام می‌شود، باید با این مسترهای عملیات تماس گرفت. کار استاد نامگذاری دامنه این است که اطمینان حاصل کند که نام دامنه در جنگل منحصر به فرد است. این نقش اصلی عملیات باید هنگام ایجاد دامنه های جدید، حذف دامنه ها یا تغییر نام دامنه ها در دسترس باشد
• استاد طرحواره- نقش schema master متعلق به تنها کنترل کننده دامنه در جنگل است که در آن می توان تغییراتی در طرحواره ایجاد کرد. پس از ایجاد تغییرات، آنها به همه کنترل کننده های دامنه دیگر در جنگل کپی می شوند. به عنوان نمونه ای از نیاز به ایجاد تغییرات در مدار، نصب را در نظر بگیرید محصول نرم افزاریمایکروسافت اکسچنج سرور. این طرح را تغییر می دهد تا به مدیر اجازه دهد تا به طور همزمان حساب های کاربری و صندوق های پستی را مدیریت کند.

هر نقش در سطح جنگل فقط می تواند متعلق به یک کنترل کننده دامنه در جنگل باشد. یعنی می‌توانید از یک کنترل‌کننده به‌عنوان مستر نام‌گذاری دامنه و از کنترل‌کننده دوم به‌عنوان Master schema استفاده کنید. علاوه بر این، هر دو نقش را می توان به یک کنترل کننده دامنه اختصاص داد. این توزیع نقش پیش فرض است.

هر دامنه در یک جنگل دارای یک کنترل کننده دامنه است که هر یک از نقش های سطح دامنه را انجام می دهد.

• شناسه نسبی Master (RID Master)- مستر شناسه های نسبی وظیفه تخصیص شناسه های نسبی را بر عهده دارد. شناسه های نسبی بخشی منحصر به فرد از شناسه امنیتی (SID) هستند که برای شناسایی یک شی امنیتی (کاربر، رایانه، گروه و غیره) در یک دامنه استفاده می شود. یکی از وظایف اصلی شناسه نسبی master حذف یک شی از یک دامنه و اضافه کردن یک شی به دامنه دیگر هنگام جابجایی اشیا بین دامنه ها است.
• استاد زیرساخت- وظیفه مالک زیرساخت همگام سازی عضویت گروه است. وقتی تغییراتی در ترکیب گروه‌ها ایجاد می‌شود، مالک زیرساخت به همه کنترل‌کننده‌های دامنه دیگر در مورد تغییرات اطلاع می‌دهد.
• شبیه ساز کنترل کننده دامنه اصلی (شبیه ساز PDC)- این نقش برای شبیه سازی یک کنترل کننده دامنه اصلی ویندوز NT 4 برای پشتیبانی از کنترل کننده های دامنه پشتیبان ویندوز NT 4 استفاده می شود.هدف دیگر از شبیه ساز کنترل کننده دامنه اصلی ارائه یک نقطه مرکزی مدیریت برای تغییرات در رمزهای عبور کاربر و همچنین قفل شدن کاربر است. سیاست های.

کلمه "policies" اغلب در این بخش برای اشاره به اشیاء استفاده می شود سیاست های گروه(اشیاء خط مشی گروه - GPO). اشیاء سیاست گروهی یکی از اصلی ترین ویژگی های مفید اکتیو دایرکتوری هستند و در مقاله مربوطه که در لینک زیر قرار دارد مورد بحث قرار گرفته اند.

در شرکت های متوسط ​​و بزرگ، استفاده از سرویس های دامنه با یک یا چند کنترل کننده برای مدیریت زیرساخت شبکه سازمانی رایج است. دامنه فعالدایرکتوری که سایت ها و جنگل ها را تشکیل می دهند. خدمات دامنه مورد بحث در این مقاله به شما امکان می‌دهد صحت کاربران و رایانه‌های مشتری را تأیید کنید، واحدهای زیرساخت سازمانی را با استفاده از خط‌مشی‌های گروه به‌طور مرکزی مدیریت کنید، و دسترسی به منابع مشترکو خیلی بیشتر. ساختار شناسایی و دسترسی شبکه شرکتی Active Directory شامل پنج فناوری است:

• خدمات دامنه اکتیو دایرکتوری خدمات دامنه- AD DS)؛
• خدمات گواهی اکتیو دایرکتوری (AD CS)؛
• خدمات مدیریت حقوق دایرکتوری فعال (AD RDS)؛
• خدمات فدراسیون Active Directory (AD FS)؛
• Active Directory Lightweight Directory Services (AD LDS).

فناوری اصلی Active Directory خدمات دامنه (AD DS) است. با کمک این سرویس است که می توانید یک Domain Controller را مستقر کنید که بدون آن به سادگی نیازی به خدمات اولیه نیست. نقش سرور دامنه خدمات فعالدایرکتوری را می توان با استفاده از هر دو نصب کرد رابط کاربری گرافیکیو از خط فرمان به طور کامل استفاده کنید نسخه ویندوزسرور 2008/2008 R2، و همچنین در نسخه های هسته سرور ویندوز سرور 2008/2008 R2 با استفاده از ابزارهای خط فرمان. این مقاله به طور خاص بر نصب نقش AD DS با استفاده از خط فرمان (مانند نسخه کاملو در حالت هسته، Active Directory Domain Services با استفاده از خط فرمان به همین ترتیب نصب می شوند. اما قبل از نصب این نقش، توصیه می کنم با برخی از اصطلاحات استفاده شده در این فناوری آشنا شوید:

کنترل کننده دامنه. دامین کنترلر سروری است که نقش را انجام می دهد خدمات دامنهیا همان طور که قبلاً سرویس های دایرکتوری نامیده می شد، همچنین میزبان داده های دایرکتوری و پروتکل Kerberos Key Distribution Center (KDC) است. این پروتکل احراز هویت اشیاء هویت در دامنه Active Directory را فراهم می کند.

دامنه. دامنه یک واحد اداری است که در آن رایانه‌ها، گروه‌های امنیتی و کاربران یک شبکه قرار دارند که توسط کنترل‌کننده دامنه با استفاده از قابلیت‌های تعریف شده مشترک مدیریت می‌شوند. یک کنترل کننده دامنه یک پارتیشن ذخیره داده را تکرار می کند که حاوی اطلاعات شناسایی کاربران، گروه ها و رایانه های موجود در دامنه است. علاوه بر این، حساب های کاربری و رایانه به صورت محلی در آن قرار ندارند کامپیوترهای مشتریو روی دامین کنترلر یعنی از آن استفاده می شود ورودی شبکهبه سیستم ها در تمام محل های کار. علاوه بر این، دامنه دامنه سیاست های اداری از انواع مختلف است.

جنگل. مجموعه‌ای از دامنه‌هایی که یک طرح دایرکتوری واحد را به اشتراک می‌گذارند، جنگل دامنه نامیده می‌شود. اساساً، جنگل بیرونی ترین مرز یک سرویس دایرکتوری است که اولین دامنه ایجاد شده ریشه نامیده می شود. هر جنگل از یک ساختار دایرکتوری مشترک و پیکربندی سرویس دایرکتوری استفاده می کند. جنگل شامل یک توضیح پیکربندی شبکه واحد و یک نمونه از دایرکتوری طرحواره است. یک جنگل می تواند از یک یا چند دامنه تشکیل شده باشد. در یک جنگل، دامنه ها توسط یک رابطه والد-فرزند به هم مرتبط می شوند. در این صورت نام دامنه فرزند باید شامل نام دامنه والد باشد.

درخت. در جنگل دامنه، فضای نام دامنه شامل درختان جنگل است. دامنه ها زمانی به درخت تعبیر می شوند که یک دامنه فرزند دیگری باشد. این بدان معنی است که نام دامنه ریشه درخت و همه دامنه های فرزند آن لازم نیست شامل شود نام و نام خانوادگیدامنه والد یک جنگل می تواند شامل یک یا چند درخت دامنه باشد.

سایت اینترنتی. یک سایت چیزی شبیه به این نامیده می شود شیء فعالدایرکتوری مانند یک کانتینر است که ارتباط شبکه خوبی را برای بخشی از سازمان فراهم می کند. وب سایت ها معمولاً توسط مشاغلی که در سراسر کشور شعبه دارند یا کشورهای مختلفو حتی قاره ها این سایت یک محیط برای تکرار و استفاده از خدمات اکتیو دایرکتوری ایجاد می کند. وظایف اصلی سایت ها مدیریت ترافیک تکرار و محلی سازی سرویس است. Replication به انتقال تغییرات از یک کنترل کننده دامنه به کنترلر دیگر اشاره دارد و محلی سازی سرویس به کاربران اجازه می دهد تا به هر کنترل کننده دامنه در کل سایت احراز هویت کنند.

نصب نقش Active Directory Domain Services

برای نصب GUI و خط فرمان برای ایجاد یک کنترل کننده دامنه، ابتدا باید نقش Active Directory Domain Services را نصب کنید و سپس Domain Services Installation Wizard را اجرا کنید که با استفاده از دستور Dcpromo.exe باز می شود. با استفاده از مثال ارائه شده در این مقاله، یک Domain Controller تحت Windows Server 2008 R2 در نصب کامل، اگرچه خود فرآیند با نصب در حالت هسته تفاوتی ندارد.

برای نصب نقش Active Directory Domain Services با استفاده از خط فرمان، باید از ابزار Server Configuration Management استفاده کنید. ServerManagerCmd. قبل از نصب نقش Active Directory Domain Services، مطمئن شوید که نام سرور شما تغییر کرده است و آدرس IPv4 رایانه را پیکربندی کرده اید. این مراحل را دنبال کنید:

برنج. 3. نصب نقش خدمات دامنه با استفاده از PowerShell

خدمات دامنه را به یک کنترل کننده دامنه ارتقا دهید

برای نصب اتوماتیککنترل کننده دامنه با استفاده از خط فرمان با استفاده از دستور Dcporomoبا برخی پارامترهای نصب خودکار حدود چهل پارامتر برای نصب خودکار موجود است. در مورد ما، از پارامترها استفاده نخواهیم کرد. بنابراین اگر می خواهید تمام پارامترها را بدانید، دستور را اجرا کنید Dcpromo /؟:ترفیع. بیایید به پارامترهایی که هنگام نصب یک کنترلر دامنه برای ما مفید هستند نگاه کنیم:

/NewDomain– این پارامتر نوع دامنه ای که باید ایجاد شود را تعیین می کند. گزینه های موجود: جنگل- دامنه ریشه جنگل جدید، درخت- دامنه ریشه یک درخت جدید در یک جنگل موجود، کودک- یک دامنه فرزند در یک جنگل موجود؛

/NewDomainDNSName- با استفاده از این پارامتر، نام کامل دامنه جدید (FQDN) را مشخص کنید.

/DomainNetBiosName- با استفاده از این پارامتر می توانید یک نام NetBIOS برای دامنه جدید اختصاص دهید.

/ForestLevel- با استفاده از این پارامتر می توانید حالت عملیات جنگل را هنگام ایجاد یک دامنه جدید در یک جنگل جدید مشخص کنید. گزینه های موجود: 0 - پایه ای حالت ویندوزسرور 2000 2 – حالت بومی ویندوز سرور 2003، 3 – حالت بومی ویندوز سرور 2008، 4 – حالت بومی ویندوز سرور 2008 R2؛

/ReplicaOrNewDomain– نشان می دهد که آیا نصب شود یا خیر کنترل کننده اضافیدامنه یا اولین کنترلر در دامنه. گزینه های موجود: المثنی، کپی دقیق- کنترل کننده دامنه اضافی در یک دامنه موجود، ReadOnlyReplica- کنترل کننده دامنه فقط خواندنی در یک دامنه موجود، دامنه- اولین کنترل کننده دامنه در دامنه.

/DomainLevel- حالت عملکرد دامنه را هنگام ایجاد یک دامنه جدید در یک جنگل موجود نشان می دهد و حالت عملکرد دامنه نمی تواند کمتر از حالت عملکرد جنگل باشد. مقدار پیش فرض روی همان مقدار /ForestLevel تنظیم شده است.

/InstallDNS- با استفاده از این پارامتر می توانید تعیین کنید که آیا یک سیستم نام دامنه برای این دامنه نصب می شود یا خیر.

/dnsOnNetwork– این پارامتر تعیین می کند که آیا یک سرویس DNS در شبکه وجود دارد یا خیر. این گزینه فقط در صورتی استفاده می شود که آداپتور شبکهاین رایانه نام سرور DNS پیکربندی شده برای تفکیک نام ندارد. معنی خیربه این معنی که یک سرور DNS برای تفکیک نام روی این رایانه نصب خواهد شد. در غیر این صورت، ابتدا باید نام سرور DNS را برای آداپتور شبکه پیکربندی کنید.

/DatabasePath– با استفاده از این پارامتر می توانید مسیر کامل (نه با فرمت UNC) را به دایرکتوری روی دیسک ثابت رایانه محلی که پایگاه داده دامنه در آن ذخیره می شود، مشخص کنید. به عنوان مثال، C:WindowsNTDS;

/LogPath– با استفاده از این پارامتر، می توانید مسیر کامل (نه با فرمت UNC) را به دایرکتوری روی یک دیسک ثابت رایانه محلی که حاوی فایل های ثبت دامنه است، مشخص کنید. به عنوان مثال، C:WindowsNTDS;

/SysVolPath- با استفاده از این پارامتر می توانید مسیر کامل (نه با فرمت UNC) را به دایرکتوری روی یک دیسک ثابت رایانه محلی مشخص کنید، به عنوان مثال C:WindowsSYSVOL.

/safeModeAdminPassword- با استفاده از این پارامتر، رمز عبور مربوط به نام مدیر را مشخص می کنید که برای ارتقاء نقش یک کنترل کننده دامنه استفاده می شود.

/RebootOnCompletion– این گزینه مشخص می کند که آیا کامپیوتر بدون توجه به موفقیت آمیز بودن عملیات راه اندازی مجدد شود یا خیر. گزینه های موجود: آرهو خیر.

در نتیجه برای نصب یک Domain Controller از دستور زیر استفاده می کنیم:

Dcpromo /unattend /InstallDNS:Yes /dnsOnNetwork:Yes /ReplicaOrNewDomain:Domain /NewDomain:Forest /NewDomainDNSName:testdomain.com /DomainNetBiosName:testdomain /DatabasePath:"NTWDSWS"/ : "سی :WindowsSYSVOL” /safeModeAdminPassword:P@ssw0rd /ForestLevel:4 /DomainLevel:4 /RebootOnCompletion:نه

برنج. 4. نصب کنترلر دامنه

نتیجه

در این مقاله با فناوری Active Directory Domain Services و معنای اصطلاحاتی مانند domain controller، domain، forest، tree و site آشنا شدید. این مقاله روند نصب نقش و کنترل کننده دامنه خدمات دامنه را با استفاده از ابزارهای خط فرمان ServerManagerCmd و Dcpromo.exe شرح می دهد. داده می شود توصیه های گام به گامبرای نصب نقش Active Domain Services ابزار دایرکتوریمدیریت پیکربندی سرور ServerManagerCmd و PowerShell cmdlet.

در این یادداشت، فرآیند پیاده‌سازی اولین کنترل‌کننده دامنه در یک سازمان را با جزئیات بررسی خواهیم کرد. و در مجموع سه مورد از آنها وجود خواهد داشت:

1) کنترل کننده دامنه اصلی، سیستم عامل - Windows Server 2012 R2 با رابط کاربری گرافیکی، نام شبکه: dc1.

گزینه پیش فرض را انتخاب کرده و Next را بزنید. سپس پروتکل پیش فرض IPv4 را انتخاب کرده و دوباره روی Next کلیک کنید.

در صفحه بعدی، شناسه شبکه را تنظیم می کنیم. در مورد ما، 192.168.0. در قسمت Reverse Lookup Zone Name خواهیم دید که چگونه آدرس منطقه جستجوی معکوس به طور خودکار وارد می شود. روی Next کلیک کنید.

در صفحه به روز رسانی پویا، یکی از این سه مورد را انتخاب کنید گزینه های ممکنبه روز رسانی پویا

فقط به‌روزرسانی‌های پویا امن را مجاز کنید.این گزینه تنها در صورتی در دسترس است که منطقه در Active Directory یکپارچه شده باشد.

به‌روزرسانی‌های پویا غیرایمن و امن را مجاز کنید.این سوئیچ به هر کلاینت اجازه می دهد تا در صورت وقوع تغییرات، سوابق منابع DNS خود را به روز کند.

به‌روزرسانی‌های پویا را مجاز نکنید.این گزینه پویا را غیرفعال می کند به روز رسانی DNS. فقط در صورتی باید از آن استفاده شود که منطقه با Active Directory یکپارچه نشده باشد.

گزینه اول را انتخاب کنید، روی Next کلیک کنید و با کلیک بر روی Finish تنظیمات را کامل کنید.

یکی دیگه گزینه مفید، که معمولاً در DNS پیکربندی می شوند، سرورهای فوروارد یا Forwarders هستند که هدف اصلی آنها کش کردن و هدایت پرس و جوهای DNS از یک سرور DNS محلی به یک سرور DNS خارجی در اینترنت است، به عنوان مثال، سروری که در ISP قرار دارد. مثلا ما می خواهیم کامپیوترهای محلیدر شبکه دامنه ما، در تنظیمات شبکهکسانی که دارای یک سرور DNS ثبت شده (192.168.0.3) می توانند به اینترنت دسترسی داشته باشند، لازم است که ما سرور dns محلیبرای حل درخواست های DNS از سرور بالادست پیکربندی شده است. برای پیکربندی سرورهای حمل و نقل (Forwarders)، به کنسول مدیریت DNS بروید. سپس در ویژگی های سرور به تب Forwarders بروید و روی Edit در آنجا کلیک کنید.

ما حداقل یک آدرس IP را نشان می دهیم. ترجیحا چندین. روی OK کلیک کنید.

حالا بیایید سرویس DHCP را پیکربندی کنیم. بیایید تجهیزات را راه اندازی کنیم.

ابتدا، بیایید طیف کاری کامل آدرس‌هایی را که از آن آدرس‌ها گرفته می‌شود تا برای مشتریان صادر شود، تنظیم کنیم. Action\New Scope را انتخاب کنید. جادوگر Add Area راه اندازی می شود. بیایید نام منطقه را تعیین کنیم.

سپس آدرس های شروع و پایان محدوده شبکه را نشان می دهیم.

در مرحله بعد، آدرس‌هایی را اضافه می‌کنیم که می‌خواهیم آنها را از صدور برای مشتریان حذف کنیم. روی Next کلیک کنید.

در صفحه Lease Duration، در صورت لزوم، زمان اجاره ای غیر از زمان پیش فرض را نشان خواهیم داد. روی Next کلیک کنید.

سپس موافقت می کنیم که اکنون می خواهیم این گزینه ها را پیکربندی کنیم: بله، اکنون می خواهم این گزینه ها را پیکربندی کنم.

ما به طور متوالی دروازه را نشان خواهیم داد، نام دامنه, آدرس های DNS، WINS را رد می کنیم و در پایان با کلیک کردن روی: بله، می خواهم این محدوده را فعال کنم، موافقت می کنیم. پایان

برای کار ایمنسرویس DHCP نیاز به راه اندازی یک حساب ویژه برای به روز رسانی پویا رکوردهای DNS دارد. این کار باید از یک طرف به منظور جلوگیری از ثبت پویا مشتریان در DNS با استفاده از حساب مدیریت دامنه و سوء استفاده احتمالی از آن و از طرف دیگر در صورت رزرو سرویس DHCP و خرابی اصلی انجام شود. سرور، امکان انتقال نسخه پشتیبان منطقه به سرور دوم وجود خواهد داشت و این به حساب سرور اول نیاز دارد. برای انجام این شرایط، در بخش اسنپ Active Directory Users and Computers، یک حساب کاربری به نام dhcp ایجاد کنید و با انتخاب گزینه: Password Never Expires یک رمز عبور دائمی اختصاص دهید.

به کاربر اختصاص دهید رمز عبور قویو DnsUpdateProxy را به گروه اضافه کنید. سپس با اختصاص دادن گروه DnsUpdateProxy به کاربر اصلی، کاربر را از گروه Domain Users حذف می کنیم. این حساب تنها مسئول به روز رسانی پویا رکوردها خواهد بود و به هیچ منبع دیگری که در آن حقوق پایه دامنه کافی است دسترسی نخواهد داشت.

روی Apply و سپس OK کلیک کنید. دوباره کنسول DHCP را باز کنید. در تب Advanced به ویژگی های پروتکل IPv4 بروید.

روی Credentials کلیک کنید و کاربر DHCP ما را در آنجا مشخص کنید.

روی OK کلیک کنید و سرویس را مجددا راه اندازی کنید.

بعداً به آن باز خواهیم گشت پیکربندی DHCP، هنگامی که رزرو سرویس DHCP را پیکربندی می کنیم، اما برای این کار باید حداقل کنترل کننده های دامنه را افزایش دهیم.

UPD:من یک کانال ویدیویی در یوتیوب ایجاد کردم که در آن به تدریج فیلم های آموزشی را در تمام زمینه های فناوری اطلاعات که به خوبی در آنها مسلط هستم ارسال می کنم، مشترک شوید: http://www.youtube.com/user/itsemaev

UPD2:مایکروسافت به طور سنتی نحو خط فرمان معمول را تغییر می دهد، بنابراین نقش ها در هر نسخه از سرور ویندوز ممکن است متفاوت به نظر برسد. آنها دیگر fsmo نامیده نمی شوند، بلکه به آنها Masters Operations گفته می شود. بنابراین، برای دستورات صحیح در کنسول پس از نگهداری fsmo، به سادگی بنویسید؟ و دستورات موجود را به شما نشان می دهد.

در مجله آوریل من" مدیر سیستممقاله ای با موضوع "تعویض بدون درد یک کنترل کننده دامنه قدیمی یا ناموفق با مبتنی بر ویندوزسرور"

و حتی صد دلار پرداخت کردند و یک کیسه مغز به من دادند)) من اکنون اونوتول هستم.

بدون دردسر یک کنترلر دامنه ویندوز سرور قدیمی یا خراب را جایگزین کنید.(اگه کسی نیاز داشت عکسشو براتون میفرستم)

اگر دامنه کنترلر شما از کار افتاده یا کاملاً قدیمی است و نیاز به جایگزینی دارد، عجله نکنید تا آخر هفته آینده را صرف ایجاد یک دامنه جدید در سرور جدید و انتقال پر زحمت ماشین های کاربر به آن کنید. مدیریت شایستهیک کنترلر دامنه پشتیبان به شما کمک می کند تا به سرعت و بدون دردسر سرور قبلی را جایگزین کنید.

تقریباً هر مدیری که با سرورهای مبتنی بر ویندوز کار می‌کند، دیر یا زود با نیاز به جایگزینی یک کنترل‌کننده دامنه اصلی کاملاً منسوخ مواجه می‌شود، که ارتقاء بیشتر آن دیگر منطقی نیست، با یک کنترلر جدید که بیشتر نیازهای مدرن را برآورده می‌کند. شرایط بدتری هم وجود دارد - کنترل کننده دامنه به دلیل خرابی در آن غیرقابل استفاده می شود سطح فیزیکیو نسخه‌های پشتیبان و تصاویر قدیمی یا گم شده‌اند
در اصل، شرح روش جایگزینی یک کنترل کننده دامنه با دیگری را می توان در انجمن های مختلف یافت، اما اطلاعات به صورت قطعات داده شده است و، به عنوان یک قاعده، فقط برای یک موقعیت خاص اعمال می شود، اما راه حل واقعی ارائه نمی دهد. علاوه بر این، حتی پس از خواندن بسیاری از انجمن ها، پایگاه های دانش و سایر منابع به زبان انگلیسی، من توانستم روش جایگزینی کنترل کننده دامنه را بدون خطا تنها بار سوم یا چهارم انجام دهم.
پس میخوام بیارم دستورالعمل های گام به گامجایگزینی کنترلر دامنه، صرف نظر از اینکه عملیاتی باشد یا خیر. تنها تفاوت این است که در مورد یک کنترلر "سقوط"، این مقاله تنها در صورتی به شما کمک می کند که از قبل مراقبت کرده باشید و یک کنترل کننده دامنه پشتیبان مستقر کرده باشید.

آماده سازی سرورها برای ارتقا/ تنزل نقش

روش ایجاد یک کنترلر دامنه پشتیبان ساده است - ما به سادگی جادوگر dcpromo را بر روی هر سروری در شبکه اجرا می کنیم. با استفاده از جادوگر dcpromo، یک کنترل کننده دامنه در یک دامنه موجود ایجاد می کنیم. در نتیجه این دستکاری ها، ما یک سرویس دایرکتوری AD مستقر در خود دریافت می کنیم سرور اضافی(من آن را pserver و کنترل کننده اصلی dcserver می نامم).
بعد، اگر خود dcpromo آن را ارائه نداد، آن را اجرا کنید نصب DNSسرور شما نیازی به تغییر تنظیمات ندارید، همچنین نیازی به ایجاد یک منطقه ندارید - در AD ذخیره می شود و تمام رکوردها به طور خودکار در کنترلر پشتیبان تکرار می شوند. توجه - منطقه اصلی در DNS فقط پس از تکرار ظاهر می شود، تا سرور را سریعتر راه اندازی مجدد کنید. در تنظیمات TCP/IP کارت شبکهاز کنترلر دامنه پشتیبان با آدرس اصلی سرور DNSو آدرس IP کنترل کننده دامنه اصلی باید مشخص شود.
اکنون می توانید به راحتی عملکرد سرور کنترل کننده دامنه پشتیبان را بررسی کنید. ما می‌توانیم یک کاربر دامنه روی هر دو کنترل‌کننده دامنه اصلی و پشتیبان ایجاد کنیم. بلافاصله پس از ایجاد، در سرور تکراری ظاهر می شود، اما در عرض یک دقیقه (در حالی که تکرار در حال انجام است) به عنوان غیرفعال نشان داده می شود، پس از آن شروع به نمایش یکسان در هر دو کنترلر می کند.
در نگاه اول، تمام مراحل برای ایجاد یک طرح کاری برای تعامل چندین کنترل کننده دامنه به پایان رسیده است و اکنون، اگر کنترل کننده دامنه "اولیه" از کار بیفتد، کنترل کننده های "پشتیبان" به طور خودکار وظایف خود را انجام می دهند. با این حال، در حالی که تفاوت بین کنترل‌کننده دامنه «اصلی» و «پشتیبان» صرفاً اسمی است، کنترل‌کننده دامنه «اصلی» دارای تعدادی ویژگی (نقش‌های FSMO) است که نباید فراموش شوند. بنابراین، عملیات‌های فوق برای عملکرد عادی سرویس دایرکتوری زمانی که کنترل‌کننده دامنه «اولیه» از کار می‌افتد کافی نیست، و اقداماتی که باید برای انتقال/تصرف نقش کنترل‌کننده دامنه اصلی انجام شوند، در زیر توضیح داده می‌شوند.

کمی تئوری

باید بدانید که کنترل کننده های دامنه Active Directory چندین نوع نقش را انجام می دهند. به این نقش ها FSMO (عملیات تک استاد انعطاف پذیر) می گویند:
- Schema Master (Schema Master) - نقش مسئول توانایی تغییر طرح است - به عنوان مثال، استقرار سرور Exchange یا سرور ISA. اگر مالک نقش در دسترس نباشد، نمی‌توانید طرح دامنه موجود را تغییر دهید.
- Domain Naming Master (Domain Naming Operation Master) - اگر چندین دامنه یا زیر دامنه در جنگل دامنه شما وجود داشته باشد، نقش مورد نیاز است. بدون آن، ایجاد و حذف دامنه در یک جنگل دامنه امکان پذیر نخواهد بود.
- Relative ID Master (Relative ID Master) - مسئول ایجاد یک ID منحصر به فرد برای هر شی AD است.
- شبیه ساز کنترل کننده دامنه اولیه - مسئولیت کار با حساب های کاربری و سیاست امنیتی را بر عهده دارد. عدم ارتباط با آن به شما امکان می دهد با رمز عبور قدیمی وارد ایستگاه های کاری شوید که در صورت "افتادن" کنترل کننده دامنه قابل تغییر نیست.
- Infrastructure Master (Infrastructure Master) - این نقش مسئول انتقال اطلاعات در مورد اشیاء AD به سایر کنترلرهای دامنه در سراسر جنگل است.
این نقش ها با جزئیات کافی در بسیاری از پایگاه های دانش نوشته شده اند، اما نقش اصلی تقریباً همیشه فراموش می شود - این نقش کاتالوگ جهانی است. در واقع، این دایرکتوری به سادگی سرویس LDAP را در پورت 3268 راه اندازی می کند، اما غیرقابل دسترس بودن آن به کاربران دامنه اجازه ورود به سیستم را نمی دهد. نکته قابل توجه این است که همه کنترل کننده های دامنه می توانند نقش کاتالوگ جهانی را همزمان داشته باشند.

در واقع، می‌توانیم نتیجه بگیریم که اگر یک دامنه اولیه برای 30 تا 50 ماشین، بدون زیرساخت توسعه‌یافته، که شامل زیر دامنه‌ها نمی‌شود، دارید، ممکن است متوجه عدم دسترسی به مالک/مالک دو نقش اول نشوید. علاوه بر این، چندین بار با سازمان هایی برخورد کردم که بیش از یک سال است که اصلاً بدون کنترلر دامنه، اما روی زیرساخت دامنه فعالیت می کنند. یعنی همه حقوق خیلی وقت پیش با اجرای کنترلر دامنه توزیع شد و نیازی به تغییر نبود؛ کاربران رمز عبور خود را تغییر ندادند و بی سر و صدا کار کردند.

صاحبان نقش فعلی fsmo را تعیین کنید.

اجازه دهید توضیح دهم - ما عاقلانه می خواهیم کنترل کننده دامنه را بدون از دست دادن هیچ یک از قابلیت های آن جایگزین کنیم. در صورتی که دو یا چند کنترلر در دامنه وجود داشته باشد، باید بدانیم که هر یک از نقش های fsmo متعلق به چه کسی است. انجام این کار با استفاده از دستورات زیر بسیار آسان است:

dsquery server -hasfsmo schema
سرور dsquery - نام hasfsmo
سرور dsquery - hasfsmo rid
سرور dsquery - hasfsmo pdc
سرور dsquery - hasfsmo infr
سرور dsquery -forest -isgc

هر یک از دستورات اطلاعاتی در مورد اینکه چه کسی مالک نقش درخواستی است را نشان می دهد (شکل 1). در مورد ما، مالک همه نقش‌ها، dcserver کنترل‌کننده دامنه اصلی است.

انتقال داوطلبانه نقش های fsmo با استفاده از کنسول های Active Directory.

ما تمام اطلاعات لازم برای انتقال نقش PDC را داریم. بیایید شروع کنیم: ابتدا باید مطمئن شویم که حساب ما در گروه های Domain Admins، Schema Administrators و Enterprise Administrators قرار گرفته است و سپس به روش سنتی fsmo برای انتقال نقش ها - مدیریت دامنه از طریق کنسول Active Directory ادامه دهیم.

برای انتقال نقش "مستر نام دامنه" مراحل زیر را انجام دهید:
- "Active Directory Domains and Trusts" را در کنترل کننده دامنه ای که می خواهیم نقش را از آن منتقل کنیم، باز کنید. اگر با AD روی دامنه کنترلر که می خواهیم نقش را به آن انتقال دهیم کار کنیم، از نقطه بعدی می گذریم.
- کلیک کلیک راستروی نماد Active Directory - Domains and Trusts قرار دهید و دستور Connect to a domain controller را انتخاب کنید. ما کنترل کننده دامنه ای را که می خواهیم نقش را به آن منتقل کنیم انتخاب می کنیم.
- روی مؤلفه Active Directory - Domains and Trusts راست کلیک کرده و دستور Operation Masters را انتخاب کنید.
- در کادر گفتگوی Change Operations Owner، روی دکمه Change کلیک کنید (شکل 2).
- پس از پاسخ مثبت به درخواست پاپ آپ، یک نقش با موفقیت منتقل شده است.

به طور مشابه، می توانید از کنسول Active Directory Users and Computers برای انتقال نقش های RID Master، PDC و Infrastructure Master استفاده کنید.

برای انتقال نقش "شما اصلی"، ابتدا باید کتابخانه مدیریت طرحواره Active Directory را در سیستم ثبت کنید:

پس از انتقال همه نقش ها، باید با گزینه باقی مانده - متولی کاتالوگ جهانی، مقابله کنیم. ما به اکتیو دایرکتوری می رویم: "سایت ها و خدمات"، سایت پیش فرض، سرورها، کنترل کننده دامنه را که اصلی شده است پیدا کنید و در ویژگی های تنظیمات NTDS آن، کادر کنار کاتالوگ جهانی را علامت بزنید. (شکل 3)

نتیجه این است که ما صاحبان نقش را برای دامنه خود تغییر دادیم. برای کسانی که باید بالاخره از شر دامین کنترلر قدیمی خلاص شوند، آن را به یک سرور عضو تنزل می دهیم. با این حال، سادگی اقدامات انجام شده در این واقعیت است که اجرای آنها در تعدادی از موقعیت ها غیرممکن است، یا به خطا ختم می شود. در این موارد، ntdsutil.exe به ما کمک خواهد کرد.

انتقال داوطلبانه نقش‌های fsmo با استفاده از کنسول‌های ntdsutil.exe.

در صورتی که انتقال نقش‌های fsmo با استفاده از کنسول‌های AD با شکست مواجه شود، مایکروسافت بسیار ایجاد کرده است ابزار مناسب- ntdsutil.exe - برنامه نگهداری دایرکتوری Active Directory. این ابزار به شما اجازه می دهد تا عملکرد فوق العاده ای داشته باشید اقدامات مفید- تا بازیابی کل پایگاه داده AD از یک نسخه پشتیبان که خود این ابزار در طی آن ایجاد کرده است آخرین تغییردر آگهی. تمامی قابلیت های آن در پایگاه دانش مایکروسافت (کد مقاله: 255504) موجود است. که در در این موردما در مورد این واقعیت صحبت می کنیم که ابزار ntdsutil.exe به شما امکان می دهد هم نقش ها را انتقال دهید و هم آنها را "انتخاب کنید".
اگر بخواهیم نقشی را از یک کنترل‌کننده دامنه «اصلی» موجود به یک «پشتیبان» منتقل کنیم، وارد کنترل‌کننده «اولیه» شده و شروع به انتقال نقش‌ها (فرمان انتقال) می‌کنیم.
اگر به دلایلی یک کنترل کننده دامنه اصلی نداریم یا نمی توانیم تحت مدیریت وارد شویم حساب- وارد کنترلر دامنه پشتیبان می شویم و شروع به "انتخاب" نقش ها می کنیم (دستور فرمان).

بنابراین اولین مورد این است که کنترل کننده دامنه اولیه وجود دارد و به طور عادی کار می کند. سپس به کنترل کننده دامنه اصلی می رویم و دستورات زیر را تایپ می کنیم:

ntdsutil.exe
نقش ها
اتصالات
اتصال به سرور server_name (کسی که می خواهیم نقش را به او بدهیم)
q

اگر خطا ظاهر شد، باید اتصال را با کنترل کننده دامنه ای که می خواهیم به آن متصل شویم بررسی کنیم. اگر خطایی وجود نداشته باشد، ما با حقوق کاربری که از طرف او دستورات را وارد می کنیم، با موفقیت به کنترل کننده دامنه مشخص شده متصل شده ایم.
لیست کاملی از دستورات پس از درخواست تعمیر و نگهداری fsmo با استفاده از علامت استاندارد موجود است؟ . زمان انتقال نقش ها فرا رسیده است. من بلافاصله، بدون فکر، تصمیم گرفتم نقش ها را به ترتیبی که در دستورالعمل های ntdsutil نشان داده شده است منتقل کنم و به این نتیجه رسیدم که نمی توانم نقش مالک زیرساخت را منتقل کنم. در پاسخ به درخواست انتقال نقش، خطایی به من برگردانده شد: "با مالک فعلی نقش fsmo نمی توان تماس گرفت." من مدت زیادی در اینترنت جستجو کردم و متوجه شدم اکثر افرادی که به مرحله انتقال نقش رسیده اند با این خطا مواجه هستند. برخی از آنها سعی می کنند به زور این نقش را از بین ببرند (این کار نمی کند)، برخی همه چیز را همانطور که هست رها می کنند - و بدون این نقش با خوشحالی زندگی می کنند.
من از طریق آزمون و خطا متوجه شدم که هنگام انتقال نقش به به این ترتیبتکمیل صحیح تمام مراحل تضمین شده است:
- صاحب شناسه ها؛
- صاحب طرح؛
- استاد نامگذاری؛
- مالک زیرساخت؛
- کنترل کننده دامنه؛

پس از اتصال موفقیت آمیز به سرور، ما یک دعوت نامه برای مدیریت نقش ها (Fsmo maintenance) دریافت می کنیم و می توانیم انتقال نقش ها را شروع کنیم:
- انتقال استاد نامگذاری دامنه
- استاد زیرساخت انتقال
- انتقال خلاص استاد
- استاد طرحواره انتقال
- انتقال pdf master

پس از اجرای هر دستور، یک درخواست ظاهر می شود که از شما می پرسد آیا واقعاً می خواهیم نقش مشخص شده را منتقل کنیم یا خیر به سرور مشخص شده. نتیجه اجرای موفقیت آمیز دستور در شکل 4 نشان داده شده است.

نقش نگهبان کاتالوگ جهانی به روشی که در بخش قبل توضیح داده شد واگذار می شود.

اجباری کردن نقش های fsmo با استفاده از ntdsutil.exe.

مورد دوم این است که می خواهیم نقش اولیه را به کنترل کننده دامنه پشتیبان خود اختصاص دهیم. در این مورد، هیچ چیز تغییر نمی کند - تنها تفاوت این است که ما همه عملیات را با استفاده از دستور seize انجام می دهیم، اما در سروری که می خواهیم نقش ها را به آن منتقل کنیم تا نقش ها را اختصاص دهیم.

مستر نامگذاری دامنه را مصادره کنید
استاد زیرساخت را تصرف کنید
استاد خلاص شوید
استاد طرحواره را به دست بگیرید
توقیف پی دی سی

لطفاً توجه داشته باشید - اگر نقشی را از یک کنترل کننده دامنه که در آن نیست حذف کنید این لحظه، هنگامی که در شبکه ظاهر می شود، کنترل کننده ها شروع به درگیری می کنند و شما نمی توانید از مشکلات در عملکرد دامنه جلوگیری کنید.

روی اشتباهات کار کنید.

مهم ترین چیزی که نباید فراموش شود این است که کنترل کننده دامنه اولیه جدید به تنهایی تنظیمات TCP/IP را اصلاح نمی کند: اکنون توصیه می شود 127.0.0.1 را به عنوان آدرس سرور DNS اصلی مشخص کند (و اگر کنترل کننده دامنه قدیمی + سرور DNS وجود ندارد، پس اجباری است).
علاوه بر این، اگر در شبکه خود دارید سرور DHCP، سپس باید آن را مجبور کنید تا آدرس سرور DNS اصلی را ip سرور جدید شما ارائه دهد؛ اگر DHCP وجود ندارد، تمام ماشین ها را مرور کنید و این را به آنها اختصاص دهید. DNS اولیهبه صورت دستی همچنین، می‌توانید همان ip را به کنترل‌کننده دامنه جدید نسبت دهید.

اکنون باید بررسی کنید که همه چیز چگونه کار می کند و از شر خطاهای اصلی خلاص شوید. برای انجام این کار، من پیشنهاد می‌کنم تمام رویدادهای هر دو کنترلر را پاک کنید و گزارش‌ها را با سایر کنترل‌ها در پوشه ذخیره کنید. نسخه های پشتیبانو همه سرورها را راه اندازی مجدد کنید.
پس از روشن کردن آن‌ها، همه گزارش‌های رویداد را برای هشدارها و خطاها به دقت تجزیه و تحلیل می‌کنیم.

متداول‌ترین هشدار پس از انتقال نقش‌ها به fsmo این پیام است که "msdtc نمی‌تواند به درستی با ارتقا/تنزل کنترلر دامنه که رخ داده است، مدیریت کند."
راه حل ساده است: در منوی "Administration" "خدمات" را پیدا می کنیم
اجزاء". در آنجا «خدمات مؤلفه»، «رایانه ها» را باز می کنیم، ویژگی های بخش «رایانه من» را باز می کنیم، «MS DTC» را در آنجا جستجو می کنیم و روی «تنظیمات امنیتی» در آنجا کلیک می کنیم. در آنجا ما به "دسترسی به شبکه DTC" اجازه می دهیم و روی OK کلیک می کنیم. سرویس دوباره راه اندازی می شود و هشدار ناپدید می شود.

یک مثال از یک خطا پیامی است مبنی بر اینکه منطقه اصلی DNS بارگیری نمی شود یا سرور DNS کنترل کننده دامنه را نمی بیند.
با استفاده از ابزار می توانید مشکلات عملکرد دامنه را درک کنید (شکل 5):

شما می توانید این ابزار را از دیسک اصلیویندوز 2003 از پوشه /support/tools. این ابزار به شما امکان می دهد تا عملکرد تمام خدمات کنترل کننده دامنه را بررسی کنید؛ هر مرحله باید با کلماتی که با موفقیت گذرانده شده است به پایان برسد. اگر شکست خوردید (اغلب اینها آزمایشات اتصال یا سیستم لاگ هستند)، می توانید سعی کنید به طور خودکار خطا را برطرف کنید:

dcdiag /v /fix

به عنوان یک قاعده، تمام خطاهای مربوط به DNS باید ناپدید شوند. اگر نه، از ابزار برای بررسی وضعیت همه خدمات شبکه استفاده کنید:

و او ابزار مفیدعیب یابی:

netdiag /v /fix

اگر بعد از این باز هم خطاهای مربوط به DNS وجود دارد، ساده ترین راه این است که همه مناطق را از آن حذف کنید و آنها را به صورت دستی ایجاد کنید. بسیار ساده است - نکته اصلی ایجاد یک منطقه اصلی با نام دامنه است که در اکتیو دایرکتوری ذخیره می شود و برای همه کنترل کننده های دامنه در شبکه تکرار می شود.
بیشتر اطلاعات دقیقدر باره خطاهای DNSدستور دیگری می دهد:

dcdiag /test:dns

در پایان کار انجام شده، حدود 30 دقیقه دیگر طول کشید تا دلیل ظاهر شدن تعدادی هشدار را پیدا کنم - همگام سازی زمان، بایگانی کاتالوگ جهانی و چیزهای دیگری را که هرگز به آنها نرسیده بودم کشف کردم. قبل از. اکنون همه چیز مانند ساعت کار می کند - مهم ترین چیز این است که اگر می خواهید کنترل کننده دامنه قدیمی را از شبکه حذف کنید، به یاد داشته باشید که یک کنترل کننده دامنه پشتیبان ایجاد کنید.

همانطور که می گویند، "ناگهان از ناکجاآباد ظاهر شد... ...."، هیچ چیز مشکلی را پیش بینی نمی کرد، اما سپس کنترل کننده دامنه اصلی شروع به از کار افتادن کرد و در حالی که هنوز نفس می کشید، تصمیم گرفت حقوق اصلی را تفویض کند. دامنه به دیگری

برای انتقال نقش "مستر نام دامنه" مراحل زیر را انجام دهید:

پس از انتقال همه نقش ها، باید با گزینه باقی مانده - متولی کاتالوگ جهانی، مقابله کنیم. ما به دایرکتوری می رویم: "سایت ها و خدمات"، سایت پیش فرض، سرورها، کنترل کننده دامنه را پیدا می کنیم که به اصلی تبدیل شده است و در ویژگی های تنظیمات NTDS آن، کادر کنار کاتالوگ جهانی را علامت بزنید. (شکل 3)

نتیجه این است که ما صاحبان نقش را برای دامنه خود تغییر دادیم. برای کسانی که باید بالاخره از شر دامین کنترلر قدیمی خلاص شوند، آن را به یک سرور عضو تنزل می دهیم. با این حال، سادگی اقدامات انجام شده در این واقعیت است که اجرای آنها در تعدادی از موقعیت ها غیرممکن است، یا به خطا ختم می شود. در این موارد، ntdsutil.exe به ما کمک خواهد کرد.

انتقال داوطلبانه نقش های fsmo برای کنسول های ntdsutil.exe.

در صورتی که انتقال نقش های fsmo با کنسول های AD با شکست مواجه شد، من یک ابزار بسیار راحت ایجاد کردم - ntdsutil.exe - تعمیر و نگهداری فهرست راهنما. این ابزار به شما امکان می دهد تا اقدامات شدید را انجام دهید - تا کل پایگاه داده AD از پشتیبان گیری که خود در طول آخرین تغییر در AD ایجاد کرده است. شما می توانید با تمام امکانات آن در دانش آشنا شوید (کد مقاله: 255504). در این مورد، ما در مورد این واقعیت صحبت می کنیم که ntdsutil.exe به شما امکان می دهد هم نقش ها را انتقال دهید و هم آنها را "انتخاب کنید".

اگر بخواهیم نقشی را از یک کنترلر دامنه «اولیه» موجود به یک «پشتیبان» منتقل کنیم، به کنترلر «اولیه» رفته و شروع به انتقال نقش ها می کنیم (فرمان انتقال).

اگر به دلایلی یک کنترل کننده دامنه اصلی نداریم، یا نمی توانیم با یک حساب مدیریت وارد شویم، وارد کنترلر دامنه پشتیبان می شویم و شروع به "انتخاب" نقش ها می کنیم (فرمان تصاحب کردن).

بنابراین مورد این است که کنترل کننده دامنه اولیه وجود دارد و به طور عادی کار می کند. سپس به کنترل کننده دامنه اصلی می رویم و دستورات زیر را تایپ می کنیم:

ntdsutil.exe

اتصال به server_name (کسی که می خواهیم نقش را به او بدهیم)

اگر خطاها ظاهر شوند، باید با کنترل کننده دامنه ای که می خواهیم به آن متصل شویم ارتباط برقرار کنیم. اگر خطایی وجود نداشته باشد، ما با حقوق کاربری که از طرف او دستورات را وارد می کنیم، با موفقیت به کنترل کننده دامنه مشخص شده متصل شده ایم.

یک لیست کامل با درخواست تعمیر و نگهداری fsmo با استفاده از علامت استاندارد موجود است؟ . زمان انتقال نقش ها فرا رسیده است. من بلافاصله، بدون فکر، تصمیم گرفتم نقش ها را به ترتیبی که در دستورالعمل های ntdsutil نشان داده شده است منتقل کنم و به این نتیجه رسیدم که نمی توانم نقش مالک زیرساخت را منتقل کنم. در پاسخ به درخواست انتقال نقش، خطایی به من برگردانده شد: "با مالک فعلی نقش fsmo نمی توان تماس گرفت." مدت زیادی به دنبال اطلاعات گشتم و متوجه شدم اکثر افرادی که به مرحله انتقال نقش رسیده اند با این خطا مواجه می شوند. برخی از آنها سعی می کنند به زور این نقش را از بین ببرند (این کار نمی کند)، برخی همه چیز را همانطور که هست رها می کنند - و بدون این نقش با خوشحالی زندگی می کنند.

از طریق آزمون و خطا، متوجه شدم که هنگام انتقال نقش ها به این ترتیب، تکمیل صحیح تمام مراحل تضمین می شود:

صاحب شناسه ها؛

صاحب طرح؛

استاد نامگذاری؛

مالک زیرساخت؛

کنترل کننده دامنه؛

پس از دسترسی موفقیت‌آمیز به سرور، ما یک دعوتنامه برای مدیریت نقش‌ها دریافت می‌کنیم (fsmo maintenance) و می‌توانیم انتقال نقش‌ها را آغاز کنیم:

- انتقال استاد نامگذاری دامنه

استاد زیرساخت انتقال

انتقال خلاص استاد

اصلی طرحواره انتقال

انتقال پی دی سی استاد

پس از هر اجرا، درخواستی باید ظاهر شود که بپرسد آیا واقعاً می خواهیم نقش مشخص شده را به سرور مشخص شده منتقل کنیم. نتیجه اجرای موفقیت آمیز در (شکل 4) نشان داده شده است.

نقش نگهبان کاتالوگ جهانی به روشی که در بخش قبل توضیح داده شد واگذار می شود.

تخصیص اجباری نقش های fsmo با ntdsutil.exe.

مورد دوم این است که می خواهیم نقش اولیه را به کنترل کننده دامنه پشتیبان خود اختصاص دهیم. در این مورد، هیچ چیز تغییر نمی کند - تنها تفاوت این است که ما همه عملیات را با استفاده از Seize انجام می دهیم، اما در سروری که می خواهیم نقش ها را برای تخصیص نقش به آن منتقل کنیم.

مصادره نام استاد

استاد زیرساخت را تصرف کنید

استاد خلاص شوید

استاد طرحواره را به دست بگیرید

لطفاً توجه داشته باشید که اگر نقشی را از یک کنترل کننده دامنه حذف کرده باشید که در حال حاضر وجود ندارد، پس از ظاهر شدن آن، کنترل کننده ها شروع به تداخل می کنند و نمی توانید از مشکلات در عملکرد دامنه جلوگیری کنید.

روی اشتباهات کار کنید.

مهمترین چیزی که نباید فراموش شود این است که کنترل کننده دامنه اولیه جدید TCP/IP را برای خود اصلاح نمی کند: اکنون توصیه می شود که 127.0.0.1 را به عنوان آدرس DNS اصلی (و اگر کنترل کننده دامنه قدیمی + DNS باشد) مشخص کند. وجود ندارد، پس اجباری است) اگر یک سرور DHCP دارید، باید آن را مجبور کنید تا آدرس IP DNS اصلی سرور جدید شما را ارائه دهد؛ اگر DHCP وجود ندارد، تمام ماشین ها را مرور کنید و این DNS اصلی را اختصاص دهید. به آنها به صورت دستی به عنوان یک گزینه، همان ip قبلی را به دامین کنترلر جدید اختصاص دهید، حالا باید ببینید همه چیز چگونه کار می کند و از شر خطاهای اصلی خلاص شوید. برای انجام این کار، پیشنهاد می کنم تمام رویدادهای هر دو کنترلر را پاک کنید، گزارش ها را در یک پوشه با پشتیبان های دیگر ذخیره کنید و همه سرورها را دوباره راه اندازی کنید. roles این پیام است که "msdtc نمی تواند به درستی ارتقا/ تنزل یک کنترل کننده دامنه را که اتفاق افتاده است پردازش کند." رفع مشکل ساده است: از نسخه اصلی

اگر باز هم خطاهای مربوط به DNS وجود دارد، کافی است تمام مناطق را از آن حذف کرده و به صورت دستی ایجاد کنید. این بسیار ساده است - نکته اصلی ایجاد یک منطقه اصلی با نام دامنه است که در همه کنترل کننده های دامنه در شبکه ذخیره شده و تکرار می شود.

دستور دیگری اطلاعات دقیق تری در مورد خطاهای DNS ارائه می دهد:

dcdiag /test:dns

در پایان کار انجام شده، حدود 30 دقیقه دیگر طول کشید تا دلیل ظهور تعدادی اخطار را بفهمم - همگام سازی زمان، بایگانی کاتالوگ جهانی و موارد دیگری که هرگز به آنها نرسیده بودم را کشف کردم. قبل از. اکنون همه چیز مانند یک طلسم عمل می کند - مهم ترین چیز این است که به خاطر داشته باشید که اگر می خواهید کنترل کننده دامنه قدیمی را از شبکه حذف کنید، یک کنترلر دامنه پشتیبان ایجاد کنید.