admin / 15.01.2018

Резервный контроллер домена 2012 r2

.

Удаление второго контроллера домена или понижение роли AD DS Windows Server 2012

По тем или иным причинам иногда требуется удалить роль «дополнительного» контроллера домена с сервера Windows Server 2012.

Установка дополнительного контроллера домена на базе Windows 2012 R2 (сore)

Желательно это делать полностью корректно и без неприятных последствий.

Процессом понижения роли и удаления служб можно управлять из консоли, но пользуясь новым диспетчером серверов все сделать проще. Итак в диспетчере серверов, в меню Управление нужно выбрать пункт «Удалить роли и компоненты»

Мастер удаления ролей и компонентов предложит на выбор с какого из подключенных серверов нужно произвести удаление.

Далее будет предложен список установленных ролей в котором с удаляемых ролей нужно снять флажок.

После снятия флажка мастер покажет какие сопутствующие средства могут быть так же удалены.

Если уровень роли контроллера домена еще не был понижен мастер сообщит об этом и предложит понизить роль.

Далее мастер настройки доменных служб запросит учетные данные обладающие правами администратора и предложит принудительное удаление роли. Принудительно удалять следует только в крайнем случае поскольку после такого действия придется вычищать метаданные, днс и возможно другие ненужные последствия.

В следующем окне будут показаны сопутствующие роли которые будут удалены.

В процессе понижения роли требуется смена пароля администратора.

Далее показан список производимых изменений и, если этот контроллер домена не последний в домене, то сервер будет присоединен к текущему домену.

В течении нескольких минут будет происходить процесс понижения роли с выводом подробных результатов.

После перезагрузки Windows Server 2012 роль контроллера домена уже удалена, но службы AD DS все еще остались и требуют настройки либо удаления.

Снова в диспетчере серверов, в меню Управление пункт «Удалить роли и компоненты» с удаляемых ролей следует снять флажок.

Подтвердить удаление средств управления.

Если нужно, можно так же удалить ненужные более компоненты, например WINS.

Далее будет предложен список всех производимых изменений в ролях и компонентах, с возможностью автоматической перезагрузки после завершения.

Пока проходит процесс удаления можно проследить за ходом выполнения или закрыть окно. Если закрыть окно, процесс удаления будет выполняться в фоновом режиме и если ранее была выбрана автоматическая перезагрузка, то она будет выполнена после завершения всех операций.

Если не была выбрана автоматическая перезагрузка, то мастер удаления ролей и компонентов, после завершения всех операций, будет ожидать перезагрузки для применения изменений.

После всех вышеуказанных действий перезагрузку можно выполнить вручную.

Рассказать:

Вокруг FSMO ролей Active Directory существует некоторое количество мифов, которые происходят, как несложно догадаться, от банального непонимания темы.

В этой статье я расскажу о том, для чего предназначены FSMO роли, что произойдет в случае недоступности сервера с этой ролью и как перенести роли на другой сервер.

Начнем с уровня леса:

Schema master

Схема содержит Классы (например, users, computers, groups) и Атрибуты (например, name, sIDHistory, title). Их использует не только Active Directory, но и некоторое корпоративное ПО (например, Exchange, System Center).

При обновлении уровня домена/леса (после обновления всех ОС контролеров домена разумеется), а также при установке ПО, в схему вносятся дополнительные Классы и Атрибуты, что, разумеется, не влияет на ПО, которое уже установлено. Поэтому не стоит бояться обновления схемы, несмотря на то, что это необратимое действие.

ЕСли Вы все-таки хотите перестраховаться, перед обновлением схемы, можно создать новый контролер, дождаться выполнения репликации и вывести его в offline. Если что-то пойдет не так, вы сможете его вернуть в online, назначить его schema master, предварительно навсегда выведя в offline контролер, на котором обновление прошло неудачно.

Схема едина для всего леса, хранится на каждом контролере домена, а реплицируется с контролера обладающего ролью Schema Master. При установке ПО, которое вносит измениния в схему, изменения будут вносится на контролер с ролью Schema master.

К этому контролеру будут обращаться другие контролеры в случае, если версия схемы на них будет отличаться.

Узнать текущую версию схемы используя PowerShell можно так (разумеется, вместо lab.local будт имя вашего домена):

Get-ADObject “cn=schema,cn=configuration,dc=lab,dc=local” -properties objectVersion

Актуальные на сегодняшний день версии:

69 = Windows Server 2012 R2

56 = Windows Server 2012

47 = Windows Server 2008 R2

44 = Windows Server 2008

31 = Windows Server 2003 R2

30 = Windows Server 2003

13 = Windows 2000

Другое ПО, изменяет другие объекты, например для Exchange Server это rangeUpper

Для того, чтобы использовать mmc оснастку Active Directory Schema (Схема Active Directory в русской локализации) необходимо выполнить:

regsvr32 schmmgmt.dll

Если контролер с ролью Schema Master будет недоступен, никто в пределах леса не сможет расширять схему (подымать уровень леса и устанавливать “тяжелое” ПО), а т.к. расширение схемы происходит очень редко, то жить без этой роли инфраструктура может годами.

Подробнее о Schema тут – http://msdn.microsoft.com/en-us/library/ms675085(v=vs.85).aspx

 

Domain naming master

Необходим в первую очередь для того, чтобы обеспечить уникальность NetBIOS имен доменов в пределах леса.

Если контролер с этой ролью будет недоступен, никто в пределах леса не сможет добавлять, удалять и переименовывать домены а т.к.

Как сделать бекап домен контроллера Server 2012 R2

это происходит очень редко, то жить без этой роли инфраструктура тоже может годами.

Кроме того, без Domain naming master не будет работать добавление и удаление разделов каталогов приложений, а также перекрестные ссылки – но это уже совсем экзотика, не думаю что есть смысл об этом писать в рамках этой статьи.

 

На уровне домена располагаются такие роли:

RID Master

Для каждого Security Principal в домене, генерируется уникальный идентификатор безопасности – SID. В отличии от GUID, SID может меняться, например, при миграции между доменами.

В пределах одного домена, SIDы будут отличаться последним блоком – он называется RID (относительный идентификатор).

При создании нового Security Principal, SID, и, соответственно, RID выдается тем контролером, на котором выполняется создание.

Для того, чтобы предотвратить создание одинаковых RID, каждому контролеру RID marster назначает пул (по-умолчанию 500, но значение можно изменить). Когда у контролера пул приближается к концу (по-умолчанию 100 адресов, также можно изменить) он обращается к RID master, который выдает еще 500 значений.

Всего доступно 230 (это 1,073,741,823) RIDов – на первый взгляд это очень много, но если принять во внимание тот факт, что RID не мог быть назначен повторно (создание – удаление – создание объета отнимало 2 RIDa) в ряде случаев разблокировали 31й бит и получали 2,147,483,647 RID’ов.

Об улучшениях, которые были сделаны в 2012 Вы можете подробно узнать тут – http://blogs.technet.com/b/askds/archive/2012/08/10/managing-rid-issuance-in-windows-server-2012.aspx

Посмотреть, что у Вас происходит сейчас можно так:

dcdiag.exe /test:ridmanager /v

Таким образом, если контролер с этой ролью будет недоступен, контролеры исчерпавшие выданные им RID-пулы не смогут создавать новых Security Principals.

 

PDC Emulator

Несмотря на то, что PDC/BDC это термины из далекого NT-прошлого, это наиболее важная FSMO роль в операционной деятельности.

Опустим описание того, как быть с NT машинами, и перейдем к реальным вещам:

  1. Источник времени. Синхронизация времени важна для работы Kerberos (и не только), поэтому все контролеры (и, соответственно, клиенты) синхронизируют свое время с PDC, который должен синхронизироваться с внешним NTP. Подробнее о настройке времени в домене я уже писал, можно почитать тут.
  2. Сохранение групповых политик по-умолчанию происходит на контролер с ролью PDC, и с него реплицируется на другие контролеры (начиная с 2008 используется DFS).
  3. Репликация паролей. Коль уже смена пароля признана важной, реплицируется она не стандартным методом, а так называемым urgent (подробнее о репликации Active Directory – ищите мою статью поиском). Это значит, что контролер, на котором был сменен пароль, срочно реплицируется с контролером, который PDC Emulator. На практике выглядит так: пользователь вводит новый пароль, который ближайший контролер еще не знает. Этот контролер обратится к PDC, и тот подтвердит что пароль правильный, таким образом, предотвращается ряд проблем.

Если контролер с ролью PDC Emalator будет недоступен, не будет работать синхронизация времени и будут сложности с сохранением групповых политик и репликацией паролей, что скажется на операционной деятельности.

 

Infrastructure Master

Последняя роль – ее задача которой отслеживать пользователей из других доменов леса. Важность этой роли зависит от количества пользователей и ресурсов в разных доменах. Например, если у Вас один домен в лесу, Infrastructure Master будет просто ненужен.

 

Как узнать, кто сейчас владеет FSMO ролями?

netdom query fsmo

 

Как передать FSMO роли новому серверу?

Открываем на “старом” сервере командную строку и запускаем:

ntdsutil

roles

connections

connect to server %new server name%

q

Transfer schema master

Transfer naming master

Transfer PDC

Transfer RID master

Transfer infrastructure master

q

q

Чтобы убедится что все прошло успешно, и роли переданы, снова выполним netdom query fsmo .

Теперь можно удалить роль AD DS со старого сервера, предварительно указав верные настройки DNS для нового сервера.

Подробнее о переносе ролей можно почитать тут: http://support.microsoft.com/kb/255504

 

Что делать, если старый сервер вышел из строя, а FSMO роли нужно назначить новому?

Процедкра аналогична передаче ролей, только вместо Transfer нужно использовать Seize (захват).

 

А где же Global Catalog?

Дело в том, что Global Catalog это не FSMO роль, а репозиторий данных предназначенный для того, чтобы пользователи и системы могли находить объекты по определенным атрибутам во всех доменах леса.

Это значит что контролер обозначенный как Global Catalog, хранит информацию не только о своем домене, но и частичную информацию о доменах своего леса.

Вот тут можно посмотреть, является ли контролер Global Catalog:

Разумеется, можно изменять состав атрибутов, по которым выполняется поиск, например из оснастки Active Directory Schema:

Таким образом, если контролер-Global Catalog будет недоступен, будут сложности с взаимодействием с ресурсами доменов леса.

Надеюсь озвученная информация будет полезной, а если нужна будет помощь — используйте форму на главной странице моего сайта.

Related

This entry was posted in Windows Server on by Kagarlickij Dmitriy.

Step 2: Install Windows Server 2012 R2 Essentials as a new replica domain controller

  • 4 minutes to read

Updated: August 21, 2013

Applies To: Windows Server 2012 Essentials, Windows Server 2012 R2 Essentials

This section describes how to install Windows Server 2012 R2 Essentials and Windows Server 2012 R2 Standard (with the Windows Server Essentials Experience role enabled) as a domain controller.

For environments with up to 25 users and 50 devices, you can follow the steps in this guide to migrate from previous versions of Windows SBS to Windows Server 2012 R2 Essentials.

For environments with up to 100 users and 200 devices, you can follow the same guidance to migrate to the Standard and Datacenter editions of Windows Server 2012 R2 with the Windows Server Essentials Experience role installed. Both scenarios are covered in this documentation.

Warning

If you migrate to Windows Server 2012 R2 Essentials, the following error message is added to the event log each day during the 21-day grace period until you remove the Source Server from your network: The FSMO Role Check detected a condition in your environment that is out of compliance with the licensing policy.

Как организовать резервный контроллер домена Windows Server 2012 R2?

The Management Server must hold the primary domain controller and domain naming master Active Directory roles. Please move the Active Directory roles to the Management Server now. This server will be automatically shut down if the issue is not corrected in 21 days from the time this condition was first detected. After the 21-day grace period, the Source Server will shut down.

Install Windows Server 2012 R2 Essentials or Windows Server 2012 R2 Standard on the Destination Server

  1. Install Windows Server 2012 R2 Essentials or Windows Server 2012 R2 Standard with the Windows Server Essentials Experience role enabled by following the instructions in Install and Configure Windows Server 2012 R2 Essentials.

Note

If the Configure Windows Server Essentials Wizard launches, cancel it.

  1. To install Windows Server Essentials as a replica Windows Server 2012 R2 domain controller in an existing domain as global catalog, follow instructions in Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

  2. Transfer the FSMO roles from your Source Server.

Note

If Windows Server 2012 R2 Essentials is the only domain controller in the domain, the FSMO role is automatically moved to the server running Windows Server 2012 R2 Essentials when you demote the Source Server.

  1. Open Server Manager and run the Add Roles and Features wizard.

  2. If not installed, add the Windows Server Essentials Experience role.

  3. After you install the Windows Server Essentials Experience role, the Configure Windows Server Essentials task appears in the notification area. Click the task to launch the Configure Windows Server Essentials wizard.

  4. Follow the instructions to complete the configuration of Windows Server Essentials. Before you run the wizard, do the following:

    • Change the server name if needed, because you cannot change the name after you have completed the Configure Windows Server Essentials Wizard.

    • Ensure that the server’s time and settings are correct.

  5. Verify the installation as follows:

    1. Open the Dashboard.

    2. Click to Users tab, and verify that the user accounts in your Active Directory are listed.

Transfer the operations master roles

The operations master (also called flexible single master operations or FSMO) roles must be transferred from the Source Server to the Destination Server within 21 days of installing Windows Server 2012 R2 Essentials on the Destination Server.

To transfer the operations master roles
  1. On the Destination Server, open a Command Prompt window as an administrator. See To open a Command Prompt window as an Administrator.

  2. At the command prompt, type NETDOM QUERY FSMO, and then press ENTER.

  3. At the command prompt, type ntdsutil, and then press ENTER.

  4. At the ntdsutil command prompt, enter the following commands:

    1. Type activate instance NTDS, and then press ENTER.

    2. Type roles, and then press ENTER.

    3. Type connections, and then press ENTER.

    4. Type connect to server<ServerName> (where <ServerName> is the name of the Destination Server), and then press ENTER.

    5. At the command prompt, type q, and then press ENTER.

      1. Type transfer PDC, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.

      2. Type transfer infrastructure master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.

      3. Type transfer naming master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.

      4. Type transfer RID master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.

      5. Type transfer schema master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.

    6. Type q, and then press ENTER until you return to the command prompt.

Note

From any server on the network, you can verify that the operations master roles have been transferred to the Destination Server. Open a Command Prompt window as an administrator (for more information, see To open a Command Prompt window as an Administrator). Type netdom query fsmo, and then press ENTER.

Next steps

You have installed Windows Server 2012 R2 Essentials as a new replica domain controller. Now go to Step 3: Join computers to the new Windows Server 2012 R2 Essentials server.

To view all the steps, see Migrate to Windows Server 2012 R2 Essentials.

.

FILED UNDER : IT

Submit a Comment

Must be required * marked fields.

:*
:*