admin / 15.01.2018
.
Содержание
По тем или иным причинам иногда требуется удалить роль «дополнительного» контроллера домена с сервера Windows Server 2012.
Желательно это делать полностью корректно и без неприятных последствий.
Процессом понижения роли и удаления служб можно управлять из консоли, но пользуясь новым диспетчером серверов все сделать проще. Итак в диспетчере серверов, в меню Управление нужно выбрать пункт «Удалить роли и компоненты»
Мастер удаления ролей и компонентов предложит на выбор с какого из подключенных серверов нужно произвести удаление.
Далее будет предложен список установленных ролей в котором с удаляемых ролей нужно снять флажок.
После снятия флажка мастер покажет какие сопутствующие средства могут быть так же удалены.
Если уровень роли контроллера домена еще не был понижен мастер сообщит об этом и предложит понизить роль.
Далее мастер настройки доменных служб запросит учетные данные обладающие правами администратора и предложит принудительное удаление роли. Принудительно удалять следует только в крайнем случае поскольку после такого действия придется вычищать метаданные, днс и возможно другие ненужные последствия.
В следующем окне будут показаны сопутствующие роли которые будут удалены.
В процессе понижения роли требуется смена пароля администратора.
Далее показан список производимых изменений и, если этот контроллер домена не последний в домене, то сервер будет присоединен к текущему домену.
В течении нескольких минут будет происходить процесс понижения роли с выводом подробных результатов.
После перезагрузки Windows Server 2012 роль контроллера домена уже удалена, но службы AD DS все еще остались и требуют настройки либо удаления.
Снова в диспетчере серверов, в меню Управление пункт «Удалить роли и компоненты» с удаляемых ролей следует снять флажок.
Подтвердить удаление средств управления.
Если нужно, можно так же удалить ненужные более компоненты, например WINS.
Далее будет предложен список всех производимых изменений в ролях и компонентах, с возможностью автоматической перезагрузки после завершения.
Пока проходит процесс удаления можно проследить за ходом выполнения или закрыть окно. Если закрыть окно, процесс удаления будет выполняться в фоновом режиме и если ранее была выбрана автоматическая перезагрузка, то она будет выполнена после завершения всех операций.
Если не была выбрана автоматическая перезагрузка, то мастер удаления ролей и компонентов, после завершения всех операций, будет ожидать перезагрузки для применения изменений.
После всех вышеуказанных действий перезагрузку можно выполнить вручную.
Рассказать:
Вокруг FSMO ролей Active Directory существует некоторое количество мифов, которые происходят, как несложно догадаться, от банального непонимания темы.
В этой статье я расскажу о том, для чего предназначены FSMO роли, что произойдет в случае недоступности сервера с этой ролью и как перенести роли на другой сервер.
Schema master
Схема содержит Классы (например, users, computers, groups) и Атрибуты (например, name, sIDHistory, title). Их использует не только Active Directory, но и некоторое корпоративное ПО (например, Exchange, System Center).
При обновлении уровня домена/леса (после обновления всех ОС контролеров домена разумеется), а также при установке ПО, в схему вносятся дополнительные Классы и Атрибуты, что, разумеется, не влияет на ПО, которое уже установлено. Поэтому не стоит бояться обновления схемы, несмотря на то, что это необратимое действие.
ЕСли Вы все-таки хотите перестраховаться, перед обновлением схемы, можно создать новый контролер, дождаться выполнения репликации и вывести его в offline. Если что-то пойдет не так, вы сможете его вернуть в online, назначить его schema master, предварительно навсегда выведя в offline контролер, на котором обновление прошло неудачно.
Схема едина для всего леса, хранится на каждом контролере домена, а реплицируется с контролера обладающего ролью Schema Master. При установке ПО, которое вносит измениния в схему, изменения будут вносится на контролер с ролью Schema master.
К этому контролеру будут обращаться другие контролеры в случае, если версия схемы на них будет отличаться.
Узнать текущую версию схемы используя PowerShell можно так (разумеется, вместо lab.local будт имя вашего домена):
Get-ADObject “cn=schema,cn=configuration,dc=lab,dc=local” -properties objectVersion
Актуальные на сегодняшний день версии:
69 = Windows Server 2012 R2
56 = Windows Server 2012
47 = Windows Server 2008 R2
44 = Windows Server 2008
31 = Windows Server 2003 R2
30 = Windows Server 2003
13 = Windows 2000
Другое ПО, изменяет другие объекты, например для Exchange Server это rangeUpper
Для того, чтобы использовать mmc оснастку Active Directory Schema (Схема Active Directory в русской локализации) необходимо выполнить:
regsvr32 schmmgmt.dll
Если контролер с ролью Schema Master будет недоступен, никто в пределах леса не сможет расширять схему (подымать уровень леса и устанавливать “тяжелое” ПО), а т.к. расширение схемы происходит очень редко, то жить без этой роли инфраструктура может годами.
Подробнее о Schema тут – http://msdn.microsoft.com/en-us/library/ms675085(v=vs.85).aspx
Domain naming master
Необходим в первую очередь для того, чтобы обеспечить уникальность NetBIOS имен доменов в пределах леса.
Если контролер с этой ролью будет недоступен, никто в пределах леса не сможет добавлять, удалять и переименовывать домены а т.к.
это происходит очень редко, то жить без этой роли инфраструктура тоже может годами.
Кроме того, без Domain naming master не будет работать добавление и удаление разделов каталогов приложений, а также перекрестные ссылки – но это уже совсем экзотика, не думаю что есть смысл об этом писать в рамках этой статьи.
RID Master
Для каждого Security Principal в домене, генерируется уникальный идентификатор безопасности – SID. В отличии от GUID, SID может меняться, например, при миграции между доменами.
В пределах одного домена, SIDы будут отличаться последним блоком – он называется RID (относительный идентификатор).
При создании нового Security Principal, SID, и, соответственно, RID выдается тем контролером, на котором выполняется создание.
Для того, чтобы предотвратить создание одинаковых RID, каждому контролеру RID marster назначает пул (по-умолчанию 500, но значение можно изменить). Когда у контролера пул приближается к концу (по-умолчанию 100 адресов, также можно изменить) он обращается к RID master, который выдает еще 500 значений.
Всего доступно 230 (это 1,073,741,823) RIDов – на первый взгляд это очень много, но если принять во внимание тот факт, что RID не мог быть назначен повторно (создание – удаление – создание объета отнимало 2 RIDa) в ряде случаев разблокировали 31й бит и получали 2,147,483,647 RID’ов.
Об улучшениях, которые были сделаны в 2012 Вы можете подробно узнать тут – http://blogs.technet.com/b/askds/archive/2012/08/10/managing-rid-issuance-in-windows-server-2012.aspx
Посмотреть, что у Вас происходит сейчас можно так:
dcdiag.exe /test:ridmanager /v
Таким образом, если контролер с этой ролью будет недоступен, контролеры исчерпавшие выданные им RID-пулы не смогут создавать новых Security Principals.
PDC Emulator
Несмотря на то, что PDC/BDC это термины из далекого NT-прошлого, это наиболее важная FSMO роль в операционной деятельности.
Опустим описание того, как быть с NT машинами, и перейдем к реальным вещам:
Если контролер с ролью PDC Emalator будет недоступен, не будет работать синхронизация времени и будут сложности с сохранением групповых политик и репликацией паролей, что скажется на операционной деятельности.
Infrastructure Master
Последняя роль – ее задача которой отслеживать пользователей из других доменов леса. Важность этой роли зависит от количества пользователей и ресурсов в разных доменах. Например, если у Вас один домен в лесу, Infrastructure Master будет просто ненужен.
netdom query fsmo
Открываем на “старом” сервере командную строку и запускаем:
ntdsutil
roles
connections
connect to server %new server name%
q
Transfer schema master
Transfer naming master
Transfer PDC
Transfer RID master
Transfer infrastructure master
q
q
Чтобы убедится что все прошло успешно, и роли переданы, снова выполним netdom query fsmo .
Теперь можно удалить роль AD DS со старого сервера, предварительно указав верные настройки DNS для нового сервера.
Подробнее о переносе ролей можно почитать тут: http://support.microsoft.com/kb/255504
Процедкра аналогична передаче ролей, только вместо Transfer нужно использовать Seize (захват).
Дело в том, что Global Catalog это не FSMO роль, а репозиторий данных предназначенный для того, чтобы пользователи и системы могли находить объекты по определенным атрибутам во всех доменах леса.
Это значит что контролер обозначенный как Global Catalog, хранит информацию не только о своем домене, но и частичную информацию о доменах своего леса.
Вот тут можно посмотреть, является ли контролер Global Catalog:
Разумеется, можно изменять состав атрибутов, по которым выполняется поиск, например из оснастки Active Directory Schema:
Таким образом, если контролер-Global Catalog будет недоступен, будут сложности с взаимодействием с ресурсами доменов леса.
Надеюсь озвученная информация будет полезной, а если нужна будет помощь — используйте форму на главной странице моего сайта.
This entry was posted in Windows Server on by Kagarlickij Dmitriy.
Updated: August 21, 2013
Applies To: Windows Server 2012 Essentials, Windows Server 2012 R2 Essentials
This section describes how to install Windows Server 2012 R2 Essentials and Windows Server 2012 R2 Standard (with the Windows Server Essentials Experience role enabled) as a domain controller.
For environments with up to 25 users and 50 devices, you can follow the steps in this guide to migrate from previous versions of Windows SBS to Windows Server 2012 R2 Essentials.
For environments with up to 100 users and 200 devices, you can follow the same guidance to migrate to the Standard and Datacenter editions of Windows Server 2012 R2 with the Windows Server Essentials Experience role installed. Both scenarios are covered in this documentation.
Warning
If you migrate to Windows Server 2012 R2 Essentials, the following error message is added to the event log each day during the 21-day grace period until you remove the Source Server from your network: The FSMO Role Check detected a condition in your environment that is out of compliance with the licensing policy.
The Management Server must hold the primary domain controller and domain naming master Active Directory roles. Please move the Active Directory roles to the Management Server now. This server will be automatically shut down if the issue is not corrected in 21 days from the time this condition was first detected. After the 21-day grace period, the Source Server will shut down.
Note
If the Configure Windows Server Essentials Wizard launches, cancel it.
To install Windows Server Essentials as a replica Windows Server 2012 R2 domain controller in an existing domain as global catalog, follow instructions in Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).
Transfer the FSMO roles from your Source Server.
Note
If Windows Server 2012 R2 Essentials is the only domain controller in the domain, the FSMO role is automatically moved to the server running Windows Server 2012 R2 Essentials when you demote the Source Server.
Open Server Manager and run the Add Roles and Features wizard.
If not installed, add the Windows Server Essentials Experience role.
After you install the Windows Server Essentials Experience role, the Configure Windows Server Essentials task appears in the notification area. Click the task to launch the Configure Windows Server Essentials wizard.
Follow the instructions to complete the configuration of Windows Server Essentials. Before you run the wizard, do the following:
Change the server name if needed, because you cannot change the name after you have completed the Configure Windows Server Essentials Wizard.
Ensure that the server’s time and settings are correct.
Verify the installation as follows:
Open the Dashboard.
Click to Users tab, and verify that the user accounts in your Active Directory are listed.
The operations master (also called flexible single master operations or FSMO) roles must be transferred from the Source Server to the Destination Server within 21 days of installing Windows Server 2012 R2 Essentials on the Destination Server.
On the Destination Server, open a Command Prompt window as an administrator. See To open a Command Prompt window as an Administrator.
At the command prompt, type NETDOM QUERY FSMO, and then press ENTER.
At the command prompt, type ntdsutil, and then press ENTER.
At the ntdsutil command prompt, enter the following commands:
Type activate instance NTDS, and then press ENTER.
Type roles, and then press ENTER.
Type connections, and then press ENTER.
Type connect to server<ServerName> (where <ServerName> is the name of the Destination Server), and then press ENTER.
At the command prompt, type q, and then press ENTER.
Type transfer PDC, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.
Type transfer infrastructure master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.
Type transfer naming master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.
Type transfer RID master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.
Type transfer schema master, press ENTER, and then click Yes in the Role Transfer Confirmation dialog box.
Type q, and then press ENTER until you return to the command prompt.
Note
From any server on the network, you can verify that the operations master roles have been transferred to the Destination Server. Open a Command Prompt window as an administrator (for more information, see To open a Command Prompt window as an Administrator). Type netdom query fsmo, and then press ENTER.
You have installed Windows Server 2012 R2 Essentials as a new replica domain controller. Now go to Step 3: Join computers to the new Windows Server 2012 R2 Essentials server.
To view all the steps, see Migrate to Windows Server 2012 R2 Essentials.
.
FILED UNDER : IT