Перенос роли хозяина операций на контроллере домена Windows 2012, домены ru перенос.

Перенос роли хозяина операций на контроллере домена Windows 2012

Содержание

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

  • MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 — единственный контроллер домена
  • DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

Выясняем, кто из контроллеров является хозяином операций:

Перенос ролей можно сделать двумя способами:

1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Запустить репликацию вручную и командной строки с административными правами

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

Исправность ресурсов SysVol и NetLogon можно проверить командой:

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.