Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2
Всем привет сегодня расскажу как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2. Напомню что ранее я описывал процесс Как установить Active directory в windows server 2008R2, и один рабочий контроллер домена мы уже имеем. И не давно, когда я создавал тестовый домен msk.pyatilistnik.org я неправильно назвал DC и мне пришлось его переименовывать, советую почитать. Приступаем к добавлению второго контроллера в существующий лес, по времени это занимает около 5-10 минут.
Как видите я уже подготовил сервер для DC, у меня он называется dc3.msk.pyatilistnik.org, у него уже есть помимо имени статический ip адрес.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-008
Для установки AD откройте пуск и введите да боле знакомое слово dcpromo.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-009
Откроется мастер установки доменных служб, жмем Далее.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R20010
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-011
Следующим окном мастера будет вводная информация, жмем далее.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-012
Теперь ставим галку Существующий лес, добавить контроллер домена в существующий домен
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-013
указываем имя домена для присоединения
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-014
Выбираем домен для данного добавочного контроллера домена
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-015
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-016
Начнется проверка DNS
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-017
Далее указываем что у нас север будет DNS сервером еще и Глобальным каталогом.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-018
Делегируем DNS сервер
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-019
На следующем этапе мы можем задать каталоги хранения файлов базы данных
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-020
задаем пароль администратора восстановления AD.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-021
Последнее Далее. Начнется установка.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-022
Ставим галку перезагрузка по завершении.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-023
Через некоторое время сервер перезагрузится и вы получите второй домен контроллер. Откройте оснастку Active Directory Пользователи и компьютеры на первом DC, и перейдите в контейнер Domain Controllers, как видите DC03 появился в списке.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-024
Откроем Power shell и проверим реплику командой repadmin /syncall. Проверять нужно минут через 5 после того как второй домен контроллер загрузился. Видим, что ошибок репликации нет.
Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2-025
Вот так вот просто добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.
Поднимаем контроллер домена на Windows 2008 R2
У нас есть Windows Server 2008 R2 и сейчас мы сделаем из него Контроллер домена — Domain Controller (DC). Погнали!
Первым делом – запускаем Server Manager :
Затем выбираем опцию Roles и добавляем новую роль для нашего сервера, нажав Add Roles :
Нас встречает мастер установки ролей, а также просят убедиться, что учетная запись администратора имеет устойчивый пароль, сетевые параметры сконфигурированы и установлены последние обновления безопасности. Прочитав уведомление кликаем Next
Сервер, выступающий в роли DC обязан иметь статический IP адрес и настройки DNS Если данные настройки не были выполнены заранее, то нас попросят выполнить их в дальнейшем на одном из этапов.
В списке доступных ролей выбираем Active Directory Domain Services . Мастер сообщает, что для установки данной роли нужно предварительно выполнить установку Microsoft .NET Framework . Соглашаемся с установкой, нажав Add Required Features и кликаем Next
Нас знакомят с возможностями устанавливаемой роли Active Directory Domain Services (AD DS) и дают некоторые рекомендации. Например, рекомендуется установить, как минимум 2 сервера с ролями AD DS (т.е сделать 2 DC) на случай, чтобы при выходе из строя одного сервера, пользователи домена все ещё могли бы залогиниться с помощью другого. Также, нас предупреждают о том, что в сети должен быть настроен DNS сервер, а если его нет, то данному серверу нужно будет дать дополнительную роль – DNS. После того, как прочитали все рекомендации, кликаем Next чтобы продолжить установку.
Наконец, нам предоставляют сводную информацию об устанавливаемой роли и дополнительных компонентах для подтверждения. В данном случае, нас уведомляют о том, что будет установлена роль AD DS и компонент .NET Framework 3.5.1. Для подтверждения установки кликаем Install .
Дожидаемся пока завершится процесс установки роли и компонентов.
Через какое-то время перед нами появится результат установки, он должен быть успешным как для роли так и для компонентов Installation succeeded . Закрываем мастер установки, нажав Close .
Вернувшись в Server Manager мы увидим, что у нас появилась роль AD DS, однако ее статус неактивен. Чтобы продолжить настройку кликаем на Active Directory Domain Services .
Перед нами открывается уведомление о том, что наш сервер пока ещё не является контроллером домена, и чтобы это исправить нам следует запустить мастер настройки AD DS ( dcpromo.exe ). Кликаем на ссылку Run the Active Directory Domain Services Installation Wizard или же запускаем его через Пуск – Выполнить – dcpromo.exe.
Перед нами открывается мастер настройки AD DS. Расширенный режим установки можно не включать. Для продолжения кликаем Next
Нас встречает уведомление о том, что приложения и SMB клиенты, которые используют старые небезопасные криптографические алгоритмы Windows NT 4.0 при установке соединений, могут не заработать при взаимодействии с контроллерами домена на базе Windows Server 2008 и 2008 R2, поскольку по умолчанию, они не разрешают работу по данным алгоритмам. Принимаем данную информацию к сведению и кликаем Next
Далее нам нужно выбрать принадлежность данного контроллера домена. Если бы у нас уже имелся лес доменов, то данный DC можно было бы добавить туда, либо добавив его в существующий домен, либо же создав новый домен в существующем лесу доменов. Поскольку мы создаем контроллер домена с нуля, то на следующей вкладке мы выбираем создание нового домена и нового леса доменов Create a new domain in a new forest и кликаем Next .
После этого нам предлагают задать FQDN корневого домена нового леса. В нашем случае мы выбрали merionet.loc . Сервер проверит свободно ли данное имя и продолжит установку, нажимаем Next .
Далее задаем функциональный уровень леса доменов. В нашем случае — Windows Server 2008 R2 и кликаем Next .
Обратите внимание, что после задания функционального уровня, в данный лес можно будет добавлять только DC равные или выше выбранного уровня. В нашем случае от Windows Server 2008 R2 и выше.
Далее, нам предлагают выбрать дополнительные опции для данного DC. Выберем DNS Server и нажимаем Next .
В случае, если ваш сервер ещё не имеет статического IP адреса, перед вами появится следующее предупреждение с требованием установить статический IP адрес и адрес DNS сервера. Выбираем No, I will assign static IP addresses to all physical network adapters
Устанавливаем статические настройки IP адреса и DNS. В нашем случае – в роли DNS сервера выступает дефолтный маршрутизатор (Default Gateway) нашей тестовой сети.
Далее, установщик предлагает нам выбрать путь, по которому будут храниться база данных Active Directory, лог-файл и папка SYSVOL, которая содержит критичные файлы домена, такие как параметры групповой политики, сценарии аутентификации и т.п. Данные папки будут доступны каждому DC в целях репликации. Мы оставим пути по умолчанию, но для лучшей производительности и возможности восстановления, базу данных и лог-файлы лучше хранить в разных местах. Кликаем Next .
Далее нас просят указать пароль учетной записи администратора для восстановления базы данных Active Directory. Пароль данной УЗ должен отличаться от пароля администратора домена. После установки надежного сложного пароля кликаем Next .
Далее нам выводят сводную информацию о выполненных нами настройках. Проверяем, что все корректно и кликаем Next .
Мастер настройки приступит к конфигурации Active Directory Domain Services. Поставим галочку Reboot on completion , чтобы сервер перезагрузился по завершении конфигурирования.
После перезагрузки сервер попросит нас залогиниться уже как администратора домена MERIONET.
Поздравляем, Вы создали домен и контроллер домена! В следующей статье мы наполним домен пользователями и позволим им логиниться под доменными учетными записями.
Настройка резервного контроллера домена windows 2008 r2
Вопрос
Никак не могу разобраться в следующей проблеме.
Имеется контроллер домена под управлением Windows 2008 R2.
Необходимо развенуть резервный под той же ОС.
Делаю как описанно в инструкции (которых полно на просторах интернет):
1. Запускаю dcpromo
2. Ввожу пошагово необходимые данные
3. Запускаю установку
И вот во время репликации вылетает сообщение «Операция не может быть выполнена по следующей причине: Мастер установки доменных служб Active Directory не удается преобразовать учетную запись компьютера DC-2$ в учетную запись контроллера домена. «Отказано в доступе.»
Учетная запись используется администратора, в группу админов домена он входит .
Не подскажите где копать .
Заранее огромное спасибо за ответ !
Ответы
Огромное всем спасибо за ответы .
Помогла вот эта статья. (http://support.microsoft.com/kb/2002413?wa=wsignin1.0)
В групповой политике контроллера домена отсутствовали какие-либо пользователи которым разрешено осуществлять делегирование.
Все ответы
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
Основной контроллер домена:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : PROPLUS
Основной DNS-суффикс . . . . . . : emerson.sgpz
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : emerson.sgpz
Ethernet adapter DV_P:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #4
Физический адрес. . . . . . . . . : 00-10-18-F6-CF-85
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Маска подсети . . . . . . . . . . : 255.254.0.0
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter DV_s:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #3
Физический адрес. . . . . . . . . : 00-10-18-F6-CF-84
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Маска подсети . . . . . . . . . . : 255.254.0.0
NetBios через TCP/IP. . . . . . . . : Включен
Предполагаемый резерный контроллер домена:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : DC-2
Основной DNS-суффикс . . . . . . : emerson.sgpz
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : emerson.sgpz
Ethernet adapter Local Area Connection 2:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Broadcom NetXtreme 57xx Gigabit Controller
Физический адрес. . . . . . . . . : 00-26-B9-77-AE-9B
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::1549:fd02:bf46:96b4%12(Основной)
Маска подсети . . . . . . . . . . : 255.254.0.0
IAID DHCPv6 . . . . . . . . . . . : 268445369
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-4B-96-2D-00-07-E9-0A-75-3B
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Local Area Connection:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
Физический адрес. . . . . . . . . : 00-07-E9-0A-75-3B
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::11b1:68ff:3e7d:29d%10(Основной)
Маска подсети . . . . . . . . . . : 255.254.0.0
IAID DHCPv6 . . . . . . . . . . . : 234883049
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-4B-96-2D-00-07-E9-0A-75-3B
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер Local Area Connection* 8:
Состояние носителя. . . . . . . . : Носитель отключен
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Local Area Connection* 9:
Состояние носителя. . . . . . . . : Носитель отключен
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Можно впорос для чего вам 2 сети?
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
К сожалению прихоть не моя.
Это так сказать резервная сеть, таков проект.
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
К сожалению не нашел ничего что касалось бы моей темы 🙁
Что самое интересное ранее домен был под управлением Windows 2003 и все отлично развернулось.
На резервном интерфейсе уберите галку с регистрировать в DNS и попробуйте
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
Попробовал — не помогло .
Убрал галку на резервном КД. На основном надо ?
На основном КД кстати не выполнял ADPREP, может быть из-за этого ?
Наверно меня не так поняли на обоих КД убрать галку с резервной сетевухи
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
Убрал — результат нулевой, точнее все по старому, доступ запрещен 🙁
Мож где-то в групповых политиках есть какой-нить пункт .
скоро начнется истерика . %)
Вот здесь есть пара мыслей на эту тему. Попробуйте.
Если не поможет, логи DCPROMO.LOG and DCPROMOUI.LOG в студию.
Попробывал — результата нет 🙁
DCPROMO.LOG
06/13/2013 15:36:43 [INFO] Promotion request for replica domain controller
06/13/2013 15:36:43 [INFO] DnsDomainName emerson.sgpz
06/13/2013 15:36:43 [INFO] ReplicaPartner PROPLUS.emerson.sgpz
06/13/2013 15:36:43 [INFO] SiteName Default-First-Site-Name
06/13/2013 15:36:43 [INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
06/13/2013 15:36:43 [INFO] SystemVolumeRootPath C:\Windows\SYSVOL
06/13/2013 15:36:43 [INFO] Account emerson.sgpz\Administrator
06/13/2013 15:36:43 [INFO] Options 1179840
06/13/2013 15:36:43 [INFO] Validate supplied paths
06/13/2013 15:36:43 [INFO] Validating path C:\Windows\NTDS.
06/13/2013 15:36:43 [INFO] Path is a directory
06/13/2013 15:36:43 [INFO] Path is on a fixed disk drive.
06/13/2013 15:36:43 [INFO] Validating path C:\Windows\NTDS.
06/13/2013 15:36:43 [INFO] Path is a directory
06/13/2013 15:36:43 [INFO] Path is on a fixed disk drive.
06/13/2013 15:36:43 [INFO] Validating path C:\Windows\SYSVOL.
06/13/2013 15:36:43 [INFO] Path is on a fixed disk drive.
06/13/2013 15:36:43 [INFO] Path is on an NTFS volume
06/13/2013 15:36:43 [INFO] Start the worker task
06/13/2013 15:36:43 [INFO] Request for promotion returning 0
06/13/2013 15:36:44 [INFO] Forcing time sync
06/13/2013 15:36:44 [INFO] Принудительная синхронизация времени с PROPLUS.emerson.sgpz
06/13/2013 15:36:44 [INFO] Поиск контроллера для домена emerson.sgpz, который содержит учетную запись DC$
06/13/2013 15:36:45 [INFO] Найден контроллер PROPLUS.emerson.sgpz для домена emerson.sgpz
06/13/2013 15:36:45 [INFO] Directing kerberos authentication to PROPLUS.emerson.sgpz returns 0
06/13/2013 15:36:45 [INFO] DsRolepFlushKerberosTicketCache() successfully flushed the Kerberos ticket cache
06/13/2013 15:36:45 [INFO] Используется сайт Default-First-Site-Name для сервера PROPLUS.emerson.sgpz
06/13/2013 15:36:45 [INFO] Остановка службы NETLOGON
06/13/2013 15:36:45 [INFO] Остановка службы NETLOGON
06/13/2013 15:36:46 [INFO] Configuring service NETLOGON to 1 returned 0
06/13/2013 15:36:46 [INFO] Stopped NETLOGON
06/13/2013 15:36:46 [INFO] Deleting current sysvol path C:\Windows\SYSVOL
06/13/2013 15:36:46 [INFO] Created system volume path
06/13/2013 15:36:46 [INFO] Копирование файла исходной базы данных службы каталогов C:\Windows\system32\ntds.dit на C:\Windows\NTDS\ntds.dit
06/13/2013 15:36:46 [INFO] Установка службы каталогов
06/13/2013 15:36:46 [INFO] Calling NtdsInstall for emerson.sgpz
06/13/2013 15:36:46 [INFO] Запуск установки доменных служб Active Directory
06/13/2013 15:36:46 [INFO] Проверка предоставленных пользователем параметров
06/13/2013 15:36:46 [INFO] Определение сайта для установки
06/13/2013 15:36:46 [INFO] Обследование текущего леса.
06/13/2013 15:36:46 [INFO] Настройка локального компьютера, на котором будут установлены доменные службы Active Directory
06/13/2013 15:36:55 [INFO] EVENTLOG (Warning): NTDS General / Internal Configuration : 1463
Active Directory Domain Services has detected and deleted some possibly corrupted indices as part of initialization.
These deleted indices will be rebuilt.
06/13/2013 15:36:55 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2013
Active Directory Domain Services is rebuilding the following number of indices as part of the initialization process.
06/13/2013 15:36:56 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2014
Active Directory Domain Services successfully completed rebuilding the following number of indices.
06/13/2013 15:36:57 [INFO] Создание параметров объекта NTDSA для данного контроллера домена Active Directory на удаленном контроллере домена Active Directory PROPLUS.emerson.sgpz.
06/13/2013 15:36:57 [INFO] Репликация схемы разделов
06/13/2013 15:36:58 [INFO] Репликация CN=Schema,CN=Configuration,DC=emerson,DC=sgpz: получено 1000 из приблизительно 1266 объектов.
06/13/2013 15:36:59 [INFO] Репликация CN=Schema,CN=Configuration,DC=emerson,DC=sgpz: получено 1518 из приблизительно 1518 объектов.
06/13/2013 15:36:59 [INFO] Реплицирован контейнер схемы.
06/13/2013 15:36:59 [INFO] Кэш схемы обновлен доменными службами Active Directory.
06/13/2013 15:36:59 [INFO] Репликация конфигурации схемы разделов
06/13/2013 15:37:02 [INFO] Репликация CN=Configuration,DC=emerson,DC=sgpz: получено 999 из приблизительно 4885 объектов.
06/13/2013 15:37:02 [INFO] EVENTLOG (Informational): NTDS General / Replication : 1695
This directory service now supports linked-valued replication. Each value of a multivalued attribute now replicates individually to reduce network bandwidth and to provide a finer degree of conflict resolution.
06/13/2013 15:37:04 [INFO] Репликация данных CN=Configuration,DC=emerson,DC=sgpz: получено 1756 из приблизительно 4885 объектов и 20 из приблизительно 20 значений различающихся имен (DN).
06/13/2013 15:37:04 [INFO] Реплицирован контейнер конфигурации.
06/13/2013 15:37:04 [INFO] Error — Мастеру установки доменных служб Active Directory не удается преобразовать учетную запись компьютера DC$ в учетную запись контроллера домена. (5)
06/13/2013 15:37:04 [INFO] EVENTLOG (Error): NTDS General / Internal Processing : 1168
Internal error: An Active Directory Domain Services error has occurred.
Error value (decimal):
-1073741823
Error value (hex):
c0000001
Internal ID:
30014c7
06/13/2013 15:37:06 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1004
Active Directory Domain Services was shut down successfully.