I controller di dominio sono server che supportano Active Directory. Ciascun controller di dominio dispone della propria copia del database di Active Directory, che è scrivibile. I controller di dominio fungono da componente di sicurezza centrale in un dominio.
Tutte le operazioni di sicurezza e i controlli dell'account vengono eseguiti sul controller di dominio. Ogni dominio deve avere almeno un controller di dominio. Per maggiore robustezza, si consiglia di installare almeno due controller di dominio per ogni dominio.
In Windows NT, solo un controller di dominio supportava la scrittura nel database, il che significava che era necessaria una connessione a un controller di dominio per creare e modificare le impostazioni dell'account utente.
Tale controller è stato chiamato Controller di dominio primario (PDC)... A partire dal sistema operativo Windows 2000, l'architettura del controller di dominio è stata riprogettata per fornire la possibilità di aggiornare il database di Active Directory su qualsiasi controller di dominio. Dopo aver aggiornato il database su un controller di dominio, le modifiche sono state replicate su tutti gli altri controller di dominio.
Sebbene tutti i controller di dominio supportino la scrittura nel database, non sono identici. I domini e le foreste di Active Directory dispongono di attività eseguite da controller di dominio specifici. I controller di dominio con responsabilità aggiuntive sono noti come maestri delle operazioni... Alcuni materiali Microsoft fanno riferimento a tali sistemi Operazioni flessibili a master singolo (FSMO)... Molte persone credono che il termine FSMO sia stato usato per così tanto tempo solo perché l'abbreviazione che dice suona molto divertente.
Sono disponibili cinque ruoli di master operazioni. Per impostazione predefinita, tutti e cinque i ruoli vengono assegnati al primo controller di dominio nella foresta di Active Directory. I tre ruoli di master operazioni vengono utilizzati a livello di dominio e vengono assegnati al primo controller di dominio nel dominio creato. Le utilità di Active Directory, discusse in seguito, consentono di trasferire i ruoli di master operazioni da un controller di dominio a un altro controller di dominio. Inoltre, è possibile imporre al controller di dominio di assumere un ruolo specifico come master operazioni.
Esistono due ruoli di master operazioni che operano a livello di foresta.
- Maestro dei nomi di dominio- Questi master operazioni devono essere consultati ogni volta che vengono apportate modifiche ai nomi all'interno della gerarchia di domini della foresta. Il compito del master dei nomi di dominio è garantire che i nomi di dominio siano univoci all'interno della foresta. Questo ruolo di master operazioni deve essere disponibile durante la creazione di nuovi domini, l'eliminazione di domini o la ridenominazione dei domini
- Maestro dello schema- Il ruolo di master schema appartiene all'unico controller di dominio all'interno della foresta in cui è possibile apportare modifiche allo schema. Una volta apportate le modifiche, vengono replicate in tutti gli altri controller di dominio nella foresta. Come esempio della necessità di modifiche allo schema, considerare l'installazione del prodotto software Microsoft Exchange Server. Allo stesso tempo, vengono apportate modifiche allo schema che consentono all'amministratore di gestire contemporaneamente account utente e caselle di posta.
Ogni ruolo a livello di foresta può appartenere a un solo controller di dominio all'interno della foresta. In altre parole, è possibile utilizzare un controller come master dei nomi di dominio e un secondo controller come master dello schema. Inoltre, entrambi i ruoli possono essere assegnati a un controller di dominio. Questa distribuzione dei ruoli viene utilizzata per impostazione predefinita.
Ogni dominio all'interno di una foresta dispone di un controller di dominio che esegue ciascuno dei ruoli a livello di dominio.
- maestro RID- il master degli identificatori relativi è responsabile dell'assegnazione degli identificatori relativi. Gli identificatori relativi sono la parte univoca di un ID di sicurezza (SID) utilizzato per identificare un oggetto di sicurezza (utente, computer, gruppo e così via) all'interno di un dominio. Uno dei compiti principali di un master ID relativo è rimuovere un oggetto da un dominio e aggiungere un oggetto a un altro dominio quando si spostano oggetti tra domini.
- Maestro delle infrastrutture- È responsabilità del proprietario dell'infrastruttura sincronizzare le appartenenze ai gruppi. Quando vengono apportate modifiche alla composizione dei gruppi, il master dell'infrastruttura comunica le modifiche a tutti gli altri controller di dominio.
- Emulatore controller di dominio primario (emulatore PDC)- Questo ruolo viene utilizzato per emulare un controller di dominio primario di Windows NT 4 per supportare i controller di dominio di backup di Windows NT 4. Un altro ruolo per l'emulatore di controller di dominio primario consiste nel fornire un punto centrale di amministrazione per le modifiche alle password utente e ai criteri di blocco degli utenti.
La parola "criteri" viene spesso utilizzata in questa sezione per fare riferimento a oggetti criteri di gruppo (GPO). Gli oggetti Criteri di gruppo sono una delle principali funzionalità utili di Active Directory e sono discussi nell'articolo correlato collegato di seguito.
Nelle aziende di medie e grandi dimensioni, è prassi comune utilizzare Servizi di dominio con uno o più controller di dominio (DC) di Active Directory per gestire l'infrastruttura di rete aziendale per formare siti e foreste. I servizi di dominio discussi in questo articolo consentono di autenticare utenti e computer client, gestire centralmente le unità dell'infrastruttura aziendale utilizzando Criteri di gruppo, fornire l'accesso alle risorse condivise e molto altro. La struttura di identificazione e accesso delle reti aziendali Active Directory comprende cinque tecnologie:
- Servizi di dominio Active Directory (AD DS);
- Servizi certificati Active Directory (AD CS)
- Servizi di gestione dei diritti di Active Directory (AD RDS)
- Servizi federativi di Active Directory (ADFS)
- Servizi di directory leggera Active Directory (AD LDS).
Domain Services (AD DS) è considerato la tecnologia di base di Active Directory. È con questo servizio che puoi distribuire un controller di dominio, senza il quale semplicemente non c'è bisogno di servizi di base. Il ruolo del server Servizi di dominio Active Directory può essere installato utilizzando l'interfaccia grafica o la riga di comando nell'edizione completa di Windows Server 2008/2008 R2, nonché nelle edizioni principali di Windows Server 2008/2008 R2 utilizzando la riga di comando. Questo articolo si concentrerà in particolare sull'installazione del ruolo di Servizi di dominio Active Directory utilizzando la riga di comando (sia nella versione completa che in modalità kernel, Servizi di dominio Active Directory viene installato utilizzando la riga di comando allo stesso modo). Ma prima dei comandi per l'installazione di questo ruolo, ti consiglio di familiarizzare con alcuni dei termini utilizzati in questa tecnologia:
Controller di dominio... Un controller di dominio è un server che funge da servizi di dominio o servizi di directory come precedentemente chiamato e ospita anche l'archivio informazioni sulla directory e il protocollo Kerberos Key Distribution Center (KDC). Questo protocollo fornisce l'autenticazione degli oggetti identità in un dominio Active Directory.
Dominio... Un dominio è un'unità amministrativa all'interno della quale si trovano computer, gruppi di sicurezza e utenti sulla stessa rete, gestiti da un controller di dominio, utilizzando un'unica funzionalità definita. Un controller di dominio replica una partizione dell'archivio dati che contiene dati di identificazione per utenti, gruppi e computer nel dominio. Inoltre, gli account utente e computer non si trovano localmente sui computer client, ma su un controller di dominio, ovvero l'accesso alla rete viene utilizzato su tutte le workstation. Inoltre, il dominio è l'ambito di vari criteri amministrativi.
foresta... La raccolta di domini che utilizzano un singolo schema di directory è denominata foresta di domini. Fondamentalmente, la foresta è il limite più esterno del servizio directory, dove il primo dominio installato è chiamato dominio radice. All'interno di ogni foresta viene utilizzata una struttura di directory comune e una configurazione del servizio di directory. La foresta contiene una singola descrizione della configurazione di rete e un'istanza del catalogo degli schemi. Una foresta può essere costituita da uno o più domini. All'interno di una foresta, i domini sono collegati da relazioni padre-figlio. In questo caso, il nome del dominio figlio include necessariamente il nome del dominio padre.
Albero... All'interno di una foresta di dominio, lo spazio dei nomi di dominio contiene gli alberi della foresta. I domini vengono interpretati come alberi se un dominio è figlio di un altro. Ciò significa che il nome del dominio radice dell'albero e tutti i relativi domini figlio non devono contenere il nome completo del dominio padre. Una foresta può contenere uno o più alberi di dominio.
Luogo... Un sito è un oggetto di Active Directory, ad esempio un contenitore, che fornisce a una parte di un'azienda una buona comunicazione di rete. I siti sono generalmente utilizzati da aziende con filiali sparse in tutto il paese o in diversi paesi e persino continenti. Il sito crea un perimetro per la replica e l'utilizzo dei servizi di Active Directory. I compiti principali dei siti sono la gestione del traffico di replica e la localizzazione dei servizi. La replica si riferisce al trasferimento delle modifiche da un controller di dominio a un altro e la localizzazione del servizio consente agli utenti di autenticarsi a qualsiasi controller di dominio nell'intero sito.
Installazione del ruolo Servizi di dominio Active Directory
Sia per l'installazione grafica che per gli strumenti della riga di comando per creare un controller di dominio, è necessario prima installare il ruolo Servizi di dominio Active Directory e quindi eseguire l'Installazione guidata Servizi di dominio, che si apre con il comando Dcpromo.exe. L'esempio fornito in questo articolo installerà un controller di dominio in Windows Server 2008 R2 in modalità di installazione completa, sebbene il processo stesso non sia diverso dall'installazione in modalità kernel.
Per installare il ruolo Servizi di dominio Active Directory utilizzando la riga di comando, utilizzare lo strumento di gestione della configurazione del server Server ManagerCmd... Prima di installare il ruolo Servizi di dominio Active Directory, assicurati che il tuo server sia stato rinominato e di aver configurato un indirizzo di computer IPv4. Segui questi passi:
Riso. 3. Installazione del ruolo Servizi di dominio tramite PowerShell
Promozione dei servizi di dominio a un controller di dominio
Per installare automaticamente un controller di dominio utilizzando la riga di comando, utilizzare il comando Dcporomo con specifiche opzioni di installazione automatica. Sono disponibili una quarantina di parametri per l'installazione automatica. Nel nostro caso, non utilizzeremo parametri. Pertanto, se vuoi conoscere tutti i parametri, esegui il comando Dcpromo / ?: Promozione... Consideriamo i parametri che ci saranno utili durante l'installazione di un controller di dominio:
/Nuovodominio- questo parametro definisce il tipo di dominio da creare. Le opzioni disponibili sono: foresta- il dominio radice della nuova foresta, Albero- il dominio radice di un nuovo albero in una foresta esistente, Bambino- un dominio figlio in una foresta esistente;
/NuovoNomeDNSDominio- tramite questo parametro viene specificato il nome completo del nuovo dominio (FQDN);
/ DomainNetBiosName- tramite questo parametro è possibile assegnare un nome NetBIOS per il nuovo dominio;
/ Livello foresta- utilizzando questo parametro è possibile specificare il livello di funzionalità della foresta durante la creazione di un nuovo dominio in una nuova foresta. Le opzioni disponibili sono: 0 - Modalità principale di Windows 2000 Server, 2 - Modalità principale di Windows Server 2003, 3 - Modalità principale di Windows Server 2008, 4 - Modalità principale di Windows Server 2008 R2;
/ReplicaONuovodominio- Indica se installare un controller di dominio aggiuntivo o il primo controller di dominio nel dominio. Le opzioni disponibili sono: Replica- un controller di dominio aggiuntivo in un dominio esistente, Replica in sola lettura- un controller di dominio di sola lettura in un dominio esistente, Dominio- il primo controller di dominio nel dominio;
/ Livello di dominio- specifica il livello di funzionalità del dominio quando si crea un nuovo dominio in una foresta esistente e il livello di funzionalità del dominio non può essere inferiore al livello di funzionalità della foresta. Per impostazione predefinita, il valore è impostato sullo stesso valore di / ForestLevel;
/ InstallDNS- tramite questo parametro è possibile specificare se verrà installato il sistema dei nomi a dominio per questo dominio;
/ dnsOnNetwork- Questo parametro determina se la rete dispone di un servizio DNS. Questo parametro viene utilizzato solo se il nome di un server DNS per la risoluzione dei nomi non è stato configurato per la scheda di rete di questo computer. Senso # significa che un server DNS verrà installato su questo computer per la risoluzione dei nomi. In caso contrario, è necessario prima configurare il nome del server DNS per la scheda di rete.
/ DatabasePath- tramite questo parametro è possibile specificare il percorso completo (non in formato UNC) della directory sul disco fisso del computer locale dove è memorizzato il database del dominio. Ad esempio, C: WindowsNTDS;
/ LogPath- tramite questo parametro è possibile specificare il percorso completo (non in formato UNC) della directory sul disco fisso del computer locale che contiene i file di log del dominio. Ad esempio, C: WindowsNTDS;
/ SysVolPath- tramite questo parametro è possibile specificare il percorso completo (non in formato UNC) della directory sul disco fisso del computer locale, ad esempio C: WindowsSYSVOL;
/safeModeAdminPassword- tramite questo parametro si specifica la password corrispondente al nome dell'amministratore che viene utilizzato per promuovere il ruolo di controller di dominio;
/ Riavvia al completamento- Questo parametro specifica se riavviare il computer indipendentemente dall'esito positivo dell'operazione. Opzioni disponibili: sì e #.
Di conseguenza, per installare un controller di dominio, utilizzeremo il seguente comando:
Dcpromo / unattend / InstallDNS: Yes / dnsOnNetwork: Yes / ReplicaOrNewDomain: Domain / NewDomain: Forest /NewDomainDNSName:testdomain.com / DomainNetBiosName: testdomain / DatabasePath: "C: WindowsNTDS" / LogPath: "C: WindowsNTDS" / Sysvol : WindowsSYSVOL ” /safeModeAdminPassword: [e-mail protetta]/ ForestLevel: 4 / DomainLevel: 4 / RebootOnCompletion: No
Riso. 4. Installazione di un controller di dominio
Conclusione
In questo articolo hai appreso la tecnologia di Servizi di dominio Active Directory e il significato di termini come controller di dominio, dominio, foresta, albero e sito. In questo articolo viene descritto come installare il ruolo Servizi di dominio e il controller di dominio utilizzando le utilità della riga di comando ServerManagerCmd e Dcpromo.exe. Fornisce linee guida dettagliate per l'installazione del ruolo Servizi di dominio Active Directory tramite lo strumento di gestione della configurazione del server ServerManagerCmd e il cmdlet di PowerShell.
In questo post, daremo un'occhiata più da vicino al processo di implementazione del primo controller di dominio in un'azienda. E ce ne saranno tre in totale:
1) Controller di dominio primario, sistema operativo - Windows Server 2012 R2 con GUI, nome di rete: dc1.
Seleziona l'opzione predefinita, fai clic su Avanti. Quindi selezionare il protocollo IPv4 predefinito e fare nuovamente clic su Avanti.
Nella schermata successiva, imposteremo l'ID di rete. Nel nostro caso 192.168.0. Nel campo Nome zona di ricerca inversa, vedremo come verrà automaticamente sostituito l'indirizzo della zona di ricerca inversa. Fare clic su Avanti.
Nella schermata Aggiornamento dinamico, seleziona una delle tre opzioni di aggiornamento dinamico.
Consenti solo aggiornamenti dinamici protetti. Questa opzione è disponibile solo se la zona è integrata in Active Directory.
Consenti aggiornamenti dinamici protetti e non sicuri. Questa opzione consente a qualsiasi client di aggiornare i propri record di risorse DNS in caso di modifiche.
Non consentire aggiornamenti dinamici. Questa opzione disabilita gli aggiornamenti DNS dinamici. Dovrebbe essere utilizzato solo se la zona non è integrata con Active Directory.
Selezioniamo la prima opzione, facciamo clic su Avanti e completiamo l'installazione facendo clic su Fine.
Un'altra opzione utile che di solito viene configurata in DNS è Forwarder o Forwarder, il cui scopo principale è quello di memorizzare nella cache e reindirizzare le richieste DNS da un server DNS locale a un server DNS esterno su Internet, ad esempio quello situato presso l'ISP. Ad esempio, vogliamo computer locali nella nostra rete di dominio con un server DNS (192.168.0.3) registrato nelle impostazioni di rete per poter accedere a Internet, è necessario che il nostro server DNS locale sia configurato per risolvere le richieste DNS dall'upstream server... Per configurare i Forwarder, vai alla console del gestore DNS. Quindi, nelle proprietà del server, vai alla scheda Inoltri e fai clic su Modifica lì.
Indicheremo almeno un indirizzo IP. Diversi sono desiderabili. Fare clic su OK.
Ora configuriamo il servizio DHCP. Lanciamo lo snap-in.
Innanzitutto, impostiamo l'intervallo di lavoro completo di indirizzi da cui verranno presi gli indirizzi per l'emissione ai client. Scegli Azione \ Nuovo ambito. Viene avviata l'Aggiunta guidata regione. Impostiamo il nome dell'area.
Successivamente, indicheremo l'indirizzo iniziale e finale dell'intervallo di rete.
Successivamente, aggiungiamo gli indirizzi che vogliamo escludere dall'emissione dei client. Fare clic su Avanti.
Nella schermata Durata leasing, specificare un periodo di leasing diverso da quello predefinito, se necessario. Fare clic su Avanti.
Quindi siamo d'accordo che vogliamo configurare queste opzioni DHCP: Sì, voglio configurare queste opzioni ora.
Indicheremo in sequenza il gateway, il nome di dominio, gli indirizzi DNS, WINS e skip e alla fine acconsentiremo all'attivazione dell'ambito facendo clic su: Sì, desidero attivare questo ambito ora. Fine.
Per il funzionamento sicuro del servizio DHCP, è necessario configurare un account speciale per aggiornare dinamicamente i record DNS. Questo deve essere fatto, da un lato, al fine di prevenire la registrazione dinamica dei client in DNS utilizzando un account amministrativo di dominio e possibili abusi dello stesso, dall'altro, in caso di prenotazione di un servizio DHCP e di guasto del principale server, sarà possibile trasferire una copia di backup della zona su un secondo server, e ciò richiederà l'account del primo server. Per soddisfare queste condizioni, nello snap-in Utenti e computer di Active Directory, creare un account denominato dhcp e assegnare una password illimitata selezionando l'opzione: La password non scade mai.
Assegnare una password complessa all'utente e aggiungerla al gruppo DnsUpdateProxy. Quindi rimuoveremo l'utente dal gruppo Domain Users, avendo precedentemente assegnato il gruppo “DnsUpdateProxy” all'utente primario. Questo account sarà responsabile esclusivamente dell'aggiornamento dinamico dei record e non avrà accesso ad altre risorse in cui i diritti di dominio di base sono sufficienti.
Fare clic su Applica e poi su OK. Apri di nuovo la console DHCP. Vai alle proprietà del protocollo IPv4 nella scheda Avanzate.
Fare clic su Credenziali e specificare lì il nostro utente DHCP.
Fare clic su OK, riavviare il servizio.
In seguito torneremo alla configurazione DHCP quando configureremo la prenotazione del servizio DHCP, ma per questo dobbiamo alzare almeno i controller di dominio.
AGGIORNAMENTO: Ho creato un canale video su youtube, dove pubblico gradualmente video di formazione in tutte le aree dell'IT, di cui sono molto esperto, iscriviti: http://www.youtube.com/user/itsemaev
UPD2: Microsoft cambia tradizionalmente la sinassi familiare nella riga di comando, quindi i ruoli in ogni versione di Windows Server potrebbero sembrare diversi. Ora non sono generalmente chiamati fsmo ma maestri delle operazioni. Quindi, per i comandi corretti nella console, dopo la manutenzione di fsmo, scrivi semplicemente? e ti mostrerà i comandi disponibili.
Nella rivista di aprile "Amministratore di sistema" ho ricevuto un articolo sull'argomento "Sostituzione indolore di un controller di dominio obsoleto o guasto basato su Windows Server"
E anche cento dollari sono stati pagati e hanno ricevuto un pacchetto con il cervello)) Ora sono Onotole.
Sostituzione indolore di un controller di dominio basato su Windows Server obsoleto o guasto.(chi ne ha bisogno - mando foto)
Se il tuo controller di dominio è fuori servizio o completamente obsoleto e richiede la sostituzione, non affrettarti a pianificare di trascorrere il prossimo fine settimana creando un nuovo dominio su un nuovo server e trasferendo faticosamente le macchine degli utenti su di esso. La gestione intelligente del controller di dominio di backup può aiutarti a sostituire rapidamente e senza problemi il tuo server precedente.
Quasi tutti gli amministratori che lavorano con server basati su Windows prima o poi dovranno affrontare la necessità di sostituire un controller di dominio primario completamente obsoleto, il cui ulteriore aggiornamento non ha più senso, con uno nuovo e più moderno. Ci sono situazioni e peggio: il controller di dominio diventa semplicemente inutilizzabile a causa di guasti a livello fisico e i backup e le immagini sono obsoleti o persi
In linea di principio, una descrizione della procedura per sostituire un controller di dominio con un altro può essere trovata in diversi forum, ma le informazioni sono fornite per estratti e, di norma, sono applicabili solo a una situazione specifica, ma non forniscono una soluzione effettiva . Inoltre, anche dopo aver letto molti forum, basi di conoscenza e altre risorse in inglese, sono stato in grado di eseguire con competenza la procedura per sostituire un controller di dominio senza errori solo dalla terza o quarta volta.
Pertanto, desidero fornire istruzioni dettagliate per la sostituzione di un controller di dominio, indipendentemente dal fatto che sia integro o meno. L'unica differenza è che per un controller di dominio in crash, questo articolo sarà utile solo se ti sei occupato e distribuito in anticipo di un controller di dominio di backup.
Preparazione dei server per la promozione/retrocessione
La procedura stessa per creare un controller di dominio di backup è elementare: eseguiamo semplicemente la procedura guidata dcpromo su qualsiasi server della rete. Utilizzando la procedura guidata dcpromo, creiamo un controller di dominio in un dominio esistente. Come risultato delle manipolazioni eseguite, otteniamo un servizio di directory AD distribuito sul nostro server secondario (lo chiamerò pserver e il controller principale - dcserver).
Inoltre, se lo stesso dcpromo non lo offre, avviamo l'installazione del server DNS. Non è necessario modificare alcuna impostazione, non è nemmeno necessario creare una zona: è archiviata in AD e tutti i record vengono replicati automaticamente sul controller di backup. Attenzione: la zona principale in DNS apparirà solo dopo la replica, per velocizzare il riavvio del server. Nelle impostazioni TCP/IP della NIC del controller di dominio di backup, l'indirizzo del server DNS primario deve essere l'indirizzo IP del controller di dominio primario.
Ora puoi facilmente testare l'integrità del controller di dominio di backup pserver. Possiamo creare un utente di dominio sia sul controller di dominio primario che su quello di backup. Immediatamente dopo la creazione, appare sul server duplicato, ma per circa un minuto (mentre è in corso la replica) - viene mostrato come disabilitato, dopodiché inizia a comparire lo stesso su entrambi i controller.
A prima vista, tutti i passaggi per creare uno schema funzionante per l'interazione di più controller di dominio sono stati completati e ora, in caso di guasto del controller di dominio "primario", i controller "di backup" eseguiranno automaticamente le sue funzioni. Tuttavia, mentre la differenza tra controller di dominio "primario" e "in standby" è puramente nominale, il controller di dominio "primario" ha una serie di funzionalità (ruoli FSMO) che non devono essere dimenticate. Pertanto, le operazioni di cui sopra non sono sufficienti per il normale funzionamento del servizio directory in caso di guasto del controller di dominio "primario", e i passaggi che devono essere eseguiti per trasferire / assumere correttamente il ruolo di controller di dominio primario sarà descritto di seguito.
Un po' di teoria
Tieni presente che i controller di dominio di Active Directory svolgono diversi tipi di ruoli. Questi ruoli sono chiamati FSMO (operazioni flessibili a master singolo):
- Schema Master: il ruolo è responsabile della possibilità di modificare lo schema, ad esempio distribuendo un server Exchange o un server ISA. Se il proprietario del ruolo non è disponibile, non è possibile modificare lo schema del dominio esistente;
- Domain Naming Master: questo ruolo è obbligatorio se la foresta di domini dispone di più domini o sottodomini. Senza di esso, non sarà possibile creare ed eliminare domini in un'unica foresta di domini;
- Relative ID Master - è responsabile della creazione di un ID univoco per ogni oggetto AD;
- Primary Domain Controller Emulator: è lui che è responsabile di lavorare con gli account utente e la politica di sicurezza. La mancanza di connessione con esso permette di accedere alle postazioni con la vecchia password, che non può essere modificata in caso di "crash" del controller di dominio;
- Infrastructure Master: il ruolo è responsabile della comunicazione delle informazioni sugli oggetti AD ad altri controller di dominio nella foresta.
Questi ruoli sono stati scritti in modo sufficientemente dettagliato in molte basi di conoscenza, ma il ruolo principale è quasi sempre dimenticato: questo è il ruolo del Catalogo globale (Catalogo globale). In effetti, questa directory avvia semplicemente il servizio LDAP sulla porta 3268, ma la sua inaccessibilità impedirà agli utenti del dominio di accedere al sistema. È interessante notare che tutti i controller di dominio possono avere contemporaneamente il ruolo di catalogo globale.
Infatti, possiamo concludere che se hai un dominio primitivo per 30-50 macchine, senza infrastruttura estesa, che non include sottodomini, allora potresti non notare la mancanza di accesso al proprietario/proprietari dei primi due ruoli. Inoltre, diverse volte mi sono imbattuto in organizzazioni che lavorano da più di un anno senza alcun controller di dominio, ma in un'infrastruttura di dominio. Cioè, tutti i diritti sono stati distribuiti molto tempo fa, con il controller di dominio in esecuzione e non è stato necessario modificarli, gli utenti non hanno modificato le password e hanno lavorato in silenzio.
Determinazione degli attuali proprietari dei ruoli fsmo.
Per chiarire, vogliamo sostituire con competenza il controller di dominio senza perdere nessuna delle sue capacità. Nel caso in cui ci siano due o più controller nel dominio, dobbiamo scoprire chi è il proprietario di ciascuno dei ruoli fsmo. È abbastanza facile farlo usando i seguenti comandi:
dsquery server -hasfsmo schema
dsquery server - nome hasfsmo
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infra
dsquery server -forest -isgc
Ciascuno dei comandi ci mostra informazioni su chi è il proprietario del ruolo richiesto (Fig. 1). Nel nostro caso, il proprietario di tutti i ruoli è il controller di dominio primario dcserver.
Trasferimento volontario di ruoli fsmo utilizzando le console di Active Directory.
Disponiamo di tutte le informazioni necessarie per trasferire il ruolo di controller di dominio primario. Cominciamo: in primo luogo, è necessario assicurarsi che il nostro account sia membro dei gruppi Domain Admins, Schema Admins e Enterprise Admins, quindi procedere al metodo tradizionale di trasferimento dei ruoli fsmo: gestione del dominio tramite le console di Active Directory.
Per trasferire il ruolo di “domain naming master”, eseguiamo i seguenti passaggi:
- aprire "Active Directory Domains and Trust" sul controller di dominio da cui vogliamo trasferire il ruolo. Se lavoriamo con AD sul controller di dominio a cui vogliamo trasferire il ruolo, saltiamo l'elemento successivo;
- fare clic con il tasto destro del mouse sull'icona Active Directory - Domini e trust e selezionare il comando Connetti al controller di dominio. Selezioniamo il controller di dominio a cui vogliamo trasferire il ruolo;
- Fare clic con il pulsante destro del mouse sul componente Domini e trust di Active Directory e selezionare il comando Operations Masters;
- nella finestra di dialogo Cambia master of operations, cliccare sul pulsante Change (Fig. 2).
- dopo una risposta affermativa alla richiesta pop-up, riceviamo il ruolo trasferito con successo.
Allo stesso modo, è possibile trasferire i ruoli di master RID, controller di dominio primario e master infrastruttura utilizzando la console Utenti e computer di Active Directory.
Per trasferire il ruolo "schema master", è necessario prima registrare la libreria di gestione dello schema di Active Directory nel sistema:
Dopo che tutti i ruoli sono stati trasferiti, resta da occuparsi dell'opzione rimanente: il custode del catalogo globale. Andiamo su Active Directory: "Siti e servizi", il sito predefinito, server, troviamo il controller di dominio, che è diventato il principale, e nelle proprietà delle sue impostazioni NTDS mettiamo un segno di spunta davanti al catalogo globale. (fig. 3)
Di conseguenza, abbiamo cambiato i proprietari dei ruoli per il nostro dominio. Chi ha bisogno di sbarazzarsi finalmente del vecchio controller di dominio - lo declassiamo a un server membro. Tuttavia, la semplicità delle azioni eseguite ripaga in quanto la loro implementazione in una serie di situazioni è impossibile o termina con un errore. In questi casi, ntdsutil.exe ci aiuterà.
Trasferimento volontario di ruoli fsmo utilizzando le console ntdsutil.exe.
Nel caso in cui il trasferimento dei ruoli fsmo tramite le console AD non vada a buon fine, Microsoft ha creato un'utilità molto utile - ntdsutil.exe - un'utilità di manutenzione della directory di Active Directory. Questo strumento consente di eseguire azioni estremamente utili, incluso il ripristino dell'intero database AD da un backup creato dall'utilità stessa durante l'ultima modifica ad AD. Tutte le sue funzionalità sono disponibili nella Microsoft Knowledge Base (ID articolo: 255504). In questo caso, stiamo parlando del fatto che l'utilità ntdsutil.exe consente sia di trasferire i ruoli che di "selezionarli".
Se vogliamo trasferire un ruolo dal controller di dominio “primario” esistente a quello di “backup”, accediamo al controller di dominio “primario” e avviamo il trasferimento dei ruoli (comando di trasferimento).
Se per qualche motivo non disponiamo di un controller di dominio primario o non possiamo accedere con un account amministrativo, accediamo al sistema sul controller di dominio di backup e iniziamo a "selezionare" i ruoli (seize command).
Quindi il primo caso: il controller di dominio primario esiste e funziona normalmente. Quindi andiamo al controller di dominio principale e digitiamo i seguenti comandi:
ntdsutil.exe
ruoli
connessioni
connettersi al server server_name (quello a cui vogliamo dare il ruolo)
Q
Se compaiono errori, dobbiamo controllare la connessione con il controller di dominio a cui stiamo tentando di connetterci. Se non ci sono errori, ci siamo collegati correttamente al controller di dominio specificato con i diritti dell'utente per conto del quale stiamo inserendo i comandi.
Un elenco completo dei comandi è disponibile dopo la query di manutenzione di fsmo con il segno standard? ... È ora di trasferire i ruoli. Ho subito, senza esitazione, deciso di trasferire i ruoli nell'ordine in cui sono indicati nelle istruzioni per ntdsutil e sono giunto alla conclusione che non potevo trasferire il ruolo di master dell'infrastruttura. In risposta a una richiesta di trasferimento di un ruolo, ho ricevuto un errore: "impossibile contattare l'attuale proprietario del ruolo fsmo". Ho cercato a lungo in rete e ho scoperto che la maggior parte delle persone che sono arrivate alla fase di trasferimento dei ruoli si trovano di fronte a questo errore. Alcuni di loro cercano di assumere questo ruolo con la forza (non esce), alcuni lasciano tutto così com'è - e vivono felici senza questo ruolo.
Io, per tentativi ed errori, ho scoperto che quando si trasferiscono i ruoli in questo ordine, è garantito il corretto completamento di tutti i passaggi:
- il titolare degli identificativi;
- il titolare del regime;
- nomina del proprietario;
- il proprietario dell'infrastruttura;
- controller di dominio;
Dopo aver effettuato correttamente la connessione al server, riceviamo un invito a gestire i ruoli (manutenzione fsmo) e possiamo iniziare a trasferire i ruoli:
- trasferire il dominio dei nomi di dominio
- maestro dell'infrastruttura di trasferimento
- trasferisci il maestro di rid
- schema di trasferimento master
- trasferire master pdc
Dopo l'esecuzione di ogni comando, dovrebbe esserci una richiesta se vogliamo davvero trasferire il ruolo specificato al server specificato. Il risultato di una corretta esecuzione del comando è mostrato in Fig. 4.
Il ruolo del custode del catalogo globale viene trasferito nel modo descritto nella sezione precedente.
Assegnazione forzata di ruoli fsmo tramite ntdsutil.exe.
Nel secondo caso, vogliamo assegnare al nostro controller di dominio standby il ruolo di primario. In questo caso, non cambia nulla: l'unica differenza è che eseguiamo tutte le operazioni utilizzando il comando seize, ma già sul server a cui vogliamo trasferire i ruoli per assegnare un ruolo.
impadronirsi del maestro dei nomi di dominio
impadronirsi del padrone dell'infrastruttura
impadronisciti del padrone
impadronisciti dello schema master
sequestrare pdc
Tieni presente che se hai tolto il ruolo a un controller di dominio attualmente assente, quando appare sulla rete, i controller inizieranno a entrare in conflitto e non potrai evitare problemi nel funzionamento del dominio.
Lavora sui bug.
La cosa più importante da ricordare è che il nuovo controller di dominio primario non correggerà da solo le impostazioni TCP/IP: ora è auspicabile che utilizzi l'indirizzo del server DNS primario (e se il vecchio controller di dominio + server DNS lo essere assente, quindi assicurarsi di) specificare 127.0.0.1.
Inoltre, se hai un server DHCP sulla tua rete, devi forzarlo a emettere l'indirizzo dell'ip del server DNS primario del tuo nuovo server, se non c'è DHCP, passa attraverso tutte le macchine e registra questo DNS primario per loro manualmente. In alternativa, puoi assegnare lo stesso IP al nuovo controller di dominio di quello vecchio.
Ora devi controllare come funziona tutto e sbarazzarti degli errori di base. Per fare ciò, suggerisco di cancellare tutti gli eventi su entrambi i controller, salvare i log nella cartella con altri backup e riavviare tutti i server.
Dopo averli attivati, analizziamo attentamente tutti i registri degli eventi per il fatto di avvisi ed errori.
Il messaggio di avviso più comune dopo il trasferimento dei ruoli fsmo è che "msdtc non è in grado di gestire correttamente una promozione/declassamento del controller di dominio che si è verificata".
È facile da risolvere: nel menu "Amministrazione" troviamo "Servizi
componenti”. Lì apriamo "Servizi componenti", "Computer", apriamo le proprietà della sezione "Risorse del computer", cerchiamo "MS DTC" e facciamo clic su "Impostazioni di sicurezza" lì. Lì abilitiamo "Accesso alla rete DTC" e premiamo OK. Il servizio verrà riavviato e l'avviso scomparirà.
Un esempio di errore è un messaggio che indica che non è possibile caricare la zona DNS primaria o che il server DNS non vede il controller di dominio.
È possibile comprendere i problemi di funzionamento del dominio utilizzando l'utilità (Fig. 5):
È possibile installare questa utility dal disco originale di Windows 2003 dalla cartella /support/tools. L'utilità consente di verificare lo stato di tutti i servizi del controller di dominio, ogni fase deve terminare con le parole passate correttamente. Se fallisci (il più delle volte si tratta di test di connessione o di log di sistema), puoi provare a correggere l'errore automaticamente:
dcdiag / v / fix
Di norma, tutti gli errori relativi al DNS dovrebbero essere spariti. In caso contrario, utilizziamo l'utility per verificare lo stato di tutti i servizi di rete:
Ed è un utile strumento di risoluzione dei problemi:
netdiag / v / fix
Se dopo ci sono ancora errori relativi al DNS, il modo più semplice è eliminare tutte le zone da esso e crearle manualmente. È abbastanza semplice: la cosa principale è creare una zona primaria per nome di dominio, archiviata in Active Directory e replicata su tutti i controller di dominio sulla rete.
Un altro comando fornirà informazioni più dettagliate sugli errori DNS:
dcdiag / test: dns
Alla fine del lavoro svolto, ho impiegato circa 30 minuti per scoprire il motivo della comparsa di una serie di avvisi: ho capito la sincronizzazione dell'ora, l'archiviazione del catalogo globale e altre cose che non ero mai riuscito a ottenere le mie mani prima. Ora tutto funziona come un orologio - cosa più importante, non dimenticare di avviare un controller di dominio di backup se vuoi rimuovere il vecchio controller di dominio dalla rete.
Come dice il proverbio "improvvisamente dal nulla è apparso .... ....", nessuno dei quali ha prefigurato problemi, ma poi il controller di dominio principale ha iniziato a funzionare male, e mentre respirava ancora, ha deciso di delegare i diritti di il dominio principale a un altro.
Per trasferire il ruolo di “domain naming master”, eseguiamo i seguenti passaggi:
Dopo che tutti i ruoli sono stati trasferiti, resta da occuparsi dell'opzione rimanente: il custode del catalogo globale. Andiamo nella Directory: "Siti e servizi", il sito predefinito, il server, troviamo il controller di dominio che è diventato il principale e nelle proprietà delle sue impostazioni NTDS mettiamo un segno di spunta davanti al catalogo globale. (fig. 3)
Di conseguenza, abbiamo cambiato i proprietari dei ruoli per il nostro dominio. Chi ha bisogno di sbarazzarsi finalmente del vecchio controller di dominio - lo declassiamo a un server membro. Tuttavia, la semplicità delle azioni eseguite ripaga in quanto la loro implementazione in una serie di situazioni è impossibile o termina con un errore. In questi casi, ntdsutil.exe ci aiuterà.
Trasferimento volontario di ruoli fsmo con console ntdsutil.exe.
Nel caso in cui il trasferimento dei ruoli fsmo con le console AD fallisse, ho creato un'utilità molto comoda - ntdsutil.exe - per mantenere la directory Directory. Questo strumento consente di eseguire azioni estremamente complesse, fino all'intero database di AD da un backup che ha creato durante l'ultima modifica di AD. Per familiarizzare con tutte le sue capacità nella conoscenza (codice articolo: 255504). In questo caso, stiamo parlando del fatto che ntdsutil.exe ti consente sia di trasferire i ruoli che di "selezionarli".
Se vogliamo trasferire il ruolo dal controller di dominio "primario" esistente al "backup", andiamo al controller "primario" e iniziamo a trasferire i ruoli (comando trasferimento).
Se per qualche motivo non disponiamo di un controller di dominio primario o non possiamo accedere con un account amministrativo, accediamo al controller di dominio di backup e iniziamo a "selezionare" i ruoli (comando prendere).
Quindi il caso: il controller di dominio primario esiste e funziona normalmente. Quindi andiamo al controller di dominio principale e digitiamo i seguenti comandi:
ntdsutil.exe
connettersi a server_name (quello a cui vogliamo dare il ruolo)
Se compaiono errori, dobbiamo comunicare con il controller di dominio a cui stiamo tentando di connetterci. Se non ci sono errori, ci siamo collegati correttamente al controller di dominio specificato con i diritti dell'utente per conto del quale stiamo inserendo i comandi.
Un elenco completo è disponibile dalla query di manutenzione fsmo con il segno standard? ... È ora di trasferire i ruoli. Ho subito, senza esitazione, deciso di trasferire i ruoli nell'ordine in cui sono indicati nelle istruzioni per ntdsutil e sono giunto alla conclusione che non potevo trasferire il ruolo di master dell'infrastruttura. In risposta a una richiesta di trasferimento di un ruolo, ho ricevuto un errore: "impossibile contattare l'attuale proprietario del ruolo fsmo". Ho cercato informazioni a lungo e ho scoperto che la maggior parte delle persone che sono arrivate alla fase di trasferimento dei ruoli riscontrano questo errore. Alcuni di loro cercano di assumere questo ruolo con la forza (non esce), alcuni lasciano tutto così com'è - e vivono felici senza questo ruolo.
Io, per tentativi ed errori, ho scoperto che quando si trasferiscono i ruoli in questo ordine, è garantito il corretto completamento di tutti i passaggi:
Maestro degli identificatori;
Maestro dello schema;
Maestro di denominazione;
Maestro dell'infrastruttura;
Controller di dominio;
Dopo l'esito positivo del server, riceviamo un invito a gestire i ruoli (manutenzione fsmo) e possiamo iniziare a trasferire i ruoli:
- trasferire il dominio dei nomi di dominio
Maestro dell'infrastruttura di trasferimento
Trasferisci maestro di rid
Trasferimento schema master
Trasferimento master pdc
Dopo ogni esecuzione, dovrebbe esserci una richiesta se vogliamo davvero trasferire il ruolo specificato al server specificato. Il risultato della corretta esecuzione è mostrato in (Fig. 4).
Il ruolo del custode del catalogo globale viene trasferito nel modo descritto nella sezione precedente.
Assegnazione forzata di ruoli fsmo con ntdsutil.exe.
Nel secondo caso, vogliamo assegnare al nostro controller di dominio standby il ruolo di primario. In questo caso, non cambia nulla: l'unica differenza è che eseguiamo tutte le operazioni utilizzando seize, ma già sul server a cui vogliamo trasferire i ruoli per assegnare un ruolo.
impadronirsi del maestro dei nomi
impadronirsi del padrone dell'infrastruttura
impadronisciti del padrone
impadronisciti dello schema master
Tieni presente che se hai tolto il ruolo a un controller di dominio attualmente assente, quando viene visualizzato, i controller inizieranno a entrare in conflitto e non potrai evitare problemi nel funzionamento del dominio.
Lavora sui bug.
La cosa più importante da ricordare è che il nuovo controller di dominio primario non riparerà il TCP/IP stesso: ora è auspicabile che utilizzi l'indirizzo DNS primario (e se il vecchio controller di dominio + DNS sarà assente, allora è obbligatorio ) per specificare 127.0.0.1. Se hai un server DHCP, devi forzarlo a emettere l'indirizzo dell'ip DNS primario del tuo nuovo server, se non c'è DHCP, passa attraverso tutte le macchine e registra questo DNS primario per loro manualmente. In alternativa, assegna lo stesso IP al nuovo controller di dominio di quello vecchio.Ora devi farlo funzionare ed eliminare gli errori di base. Per fare ciò, propongo di cancellare tutti gli eventi su entrambi i controller, salvando i log nella cartella con altri backup e riavviando tutti i server. Dopo averli accesi, accuratamente tutti i log degli eventi per il fatto di avvisi ed errori. L'avviso più comune, trasferimento dei ruoli fsmo, è il messaggio che "msdtc non può gestire correttamente l'avvenuta promozione/declassamento di un controller di dominio".
Se gli errori relativi al DNS rimangono, elimina tutte le zone da esso e creale manualmente. È piuttosto semplice: la cosa principale è creare una zona primaria per nome di dominio, archiviata e replicata su tutti i controller di dominio sulla rete.
Un altro comando fornirà informazioni più dettagliate sugli errori DNS:
dcdiag / test: dns
Alla fine del lavoro svolto, ho impiegato circa 30 minuti per scoprire il motivo della comparsa di una serie di avvisi: ho capito la sincronizzazione dell'ora, l'archiviazione del catalogo globale e altre cose che non ero mai riuscito a ottenere le mie mani prima. Ora tutto funziona come un orologio - cosa più importante, non dimenticare di avviare un controller di dominio di backup se vuoi rimuovere il vecchio controller di dominio dalla rete.
