Перенос роли хозяина операций на контроллере домена Windows 2012
В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.
- MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
- DC1 — единственный контроллер домена
- DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций
Описание проблемы с вводом в домен
По идее присоединение компьютера к Active Directory это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft
После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:
«Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»
После этого сообщения, сервер заходит в домен и перезагружается, затем к нему применяются групповые политики. Вы пытаетесь к нему подключиться и видите, такое сообщение
Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.
Компьютер является контроллером домена эта оснастка не может использоваться на контроллере домена
1. Указывайте версию Вашей ОС.
2. Запрещается размещать запросы и ссылки на кряки, серийники и т.п., а также вопросы нарушения лицензии ПО и его взлома.
3. Не разрешается давать советы из разряда «Поставь Linux».
4. Переустановка ОС — крайнее и безотказное лекарство, которое знают все. В таких советах никто не нуждается.
5. При публикации скриптов пользоваться тегами code. Тип подсветки кода выбирать строго в соответствии с языком публикуемого кода.
6. Прежде чем задать вопрос, обязательно загляните в FAQ и следуйте написанным рекомендациям для устранения проблемы. И если не помогло, а поиск по разделу не дал результатов — только тогда задавайте вопрос на форуме.
7. Вопросы, связанные с проблемами ПО, задавайте в разделе Программное обеспечение
Добрый день!
подскажите пожалуйста, как можно решить данную проблему
На сервере windows 2003 server STD Edition, запустив консоль управления windows, не отображается оснастка «локальные пользователи и группы».
необходимо добавить пользователя
для добавления оснастки делаю следующее —
1)вызываю консоль (пуск-выполнить- mmc)
2)Консоль-Добавить или удалить оснастку
3)Нажимаю «Добавить»- выбираю оснастку -(локальные пользователи и группы)-опять нажимаю «Добавить»
ВЫХОДИТЬ ОШИБКА — «Компьютер Server является контроллером домена. Эта остнастка не может использоваться на контроллере домена. «
Как можно обойти эту проблему.
Правильно. Не может быть локальных юзеров на контроллере домена. Используйте оснастку «Active Directory — пользователи и компьютеры».
Если рядовой сервер назначается контроллером домена, просмотр локальных учетных записей пользователей и групп с помощью оснастки «Локальные пользователи и группы» становится невозможен. Однако возможно использовать оснастку «Локальные пользователи и группы» контроллера домена для работы со сведениями на удаленных компьютерах сети, не являющихся контроллерами домена. Для управления пользователями и группами в службе каталогов Active Directory используется оснастка Active Directory — пользователи и компьютеры.
Добавлено 23.04.09, 08:50
Единственное мыслимое решение — временно понизить контроллер до сервера, внести необходимые изменения, вернуть роль контроллера.
Восстановление доверительных отношений в домене
Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:
- После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
- Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
- Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.
Основные признаки возможных неполадок учетной записи компьютера:
- Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
- Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
- Учетная запись компьютера в Active Directory отсутствует.
Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.
Поэтому необходимо сделать так :
Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.
Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.
C помощью учетной записи, относящейся к локальной группе «Администраторы»:
netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo
Настройка после развертывания сервиса
После развертывания контроллера домера, выполняем следующие действия.
Синхронизация времени
На контроллере домена с ролью PDC Emulator необходимо настроить источник синхронизации времени. Для этого открываем командную строку от администратора и вводим команду:
w32tm /config /manualpeerlist:»time.nist.gov,0x8 time.windows.com,0x8″ /syncfromflags:manual /reliable:yes /update
* данная команда задаст в качестве источника времени 2 сервера — time.nist.gov и time.windows.com.
* если мы не знаем, на каком контроллере у нас роль PDC Emulator, воспользуемся инструкцией Управление FSMO через powershell.
Соответствие рекомендациям Best Practice
1. Создание коротких имен файлов должно быть отключено
Ранее в DOS все файлы называли в формате 8.3 — 8 символов под имя, 3 для расширения. Необходимость такого подхода сильно устарело, однако по умолчанию для обеспечения совместимости может быть включено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Готово — поддержка создания коротких имен отключено.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В обычной командной строке от имени администратора вводим:
sc config srv start= demand
3. Некоторые сетевые адаптеры поддерживают RSS, но эта возможность отключена.
Необходимо для сетевого адаптера, который используется для подключения к сети, включить RSS.
Вводим команду в Powershell:
4. Некоторые сетевые адаптеры поддерживают IPsec TOv2, но эта возможность отключена.
Вводим команду в Powershell:
Настройка DNS
Как правило, на один сервер с ролью контроллера домена устанавливается DNS. В этом случае необходимо выполнить ряд действий.
1. Настройка перенаправления.
Если наш сервер DNS не может ответить на запрос, он должен передавать его на внешний сервер. Для настройки перенаправления открываем консоль управления сервером имен и кликаем правой кнопкой по названию сервера — выбираем Свойства:
Переходим на вкладку Сервер пересылки:
Кликаем по кнопке Изменить:
Вводим адреса серверов, на которые хотим переводить запросы:
* это могут быть любые DNS, например, глобальные от Google или Яндекса, а также серверы от Интернет-провайдера.
2. Удаление корневых ссылок
Если наш сервер не работает по Ipv6, стоит удалить корневые ссылки, которые работают по этой адресации. Для этого заходим в свойства нашего сервера DNS:
Переходим во вкладку Корневые ссылки:
Мы увидим список серверов имен — удаляем все с адресами IPv6.
3. Включение очистки
Чтобы в DNS не хранилось много ненужных записей, настраиваем автоматическую читску. Для этого открываем настройки сервера имен:
Переходим на вкладку Дополнительно:
Ставим галочку Разрешить автоматическое удаление устаревших записей и ставим количество дней, по прошествию которых считать запись устаревшей:
Что такое контроллер домена, когда он нужен и как его настроить?
Я хотел бы знать, что мы подразумеваем под контроллером домена и как сделать систему контроллером домена и когда нам нужно сделать систему DC?
Проще говоря, «домен» — это унифицированный набор компьютеров и учетных записей пользователей, управляемых серверными машинами, обозначенными как «контроллеры домена». (Это, конечно, неполное определение, но это хорошее начало.) Контроллер домена — это компьютер, на котором установлена одна из серверных операционных систем Microsoft, например Windows Server 2008 или Windows Server 2008 R2 в любом выпуске, кроме Web Edition, или один из ориентированных на малый бизнес серверных продуктов, для которого были выполнены следующие действия:
- Роль сервера доменных служб Active Directory (ADDS) включена.
- Сервер был «продвинут» как контроллер домена для вашей организации.
Чтобы сделать систему контроллером домена, выполните на своем сервере два действия, описанные выше. Оба они могут быть выполнены в одном процессе, так как вам будет предложено продвинуть сервер, как только вы закончите добавлять роль сервера.
Вы должны добавить контроллер домена в свою сеть, когда решите, что для вашей организации экономически выгодно иметь единую систему учетных данных, пользователей, групп и разрешений, которую предоставляет домен Active Directory, в дополнение к компьютеру и пользователю. политики, предоставляемые групповой политикой. Некоторые из преимуществ заключаются в том, что вы можете централизованно управлять несколькими настройками машины и пользователя, а пользователи могут войти на любой компьютер в сети с одним именем пользователя и паролем. Основным ущербом является стоимость: вам нужен компьютер, который будет выполнять роль контроллера домена (который может использоваться совместно с другими ролями сервера в небольшой организации), лицензия на серверное программное обеспечение Microsoft, клиентские лицензии на доступ ко всем компьютерам, присоединенным к домену, и персонал для администрирования домена (возможно, не другой сотрудник для одного сервера, но эточей-то день, будь то внутренний или консультант).
Создание домена Active Directory не следует воспринимать легкомысленно. Это имеет долгосрочные последствия для повседневной работы пользователей вашей организации. Пожалуйста, внимательно изучите проблему или подумайте о найме консультанта, прежде чем принять решение о создании домена AD в вашей организации.
+1 — Не подключать себя, но вот хороший нетехнический фон в Active Directory: serverfault.com/questions/18339/active-directory-explained/…
Прежде всего, домен — это набор взаимосвязанных ресурсов на платформе Windows, таких как принтеры, приложения и т. Д.) Для группы пользователей. Пользователям, которые являются частью домена (которым для входа в домен назначаются имена пользователей и пароли), предоставляются особые разрешения на доступ к ресурсам, которые могут находиться на одном или нескольких серверах в сети.
Другими словами, домен — это логическая группа компьютеров, которые совместно используют центральную базу данных, которая называется Active Directory (AD). База данных содержит информацию о безопасности пользователя и учетных записях для ресурсов в этом домене. Любой человек, который использует компьютеры в домене, получает свою учетную запись, которой назначается доступ к ресурсам в этом домене.
Когда это понято, контроллер домена (DC) или сетевой контроллер домена — это компьютерная система на базе Windows, которая используется для хранения данных учетной записи пользователя в центральной базе данных. Контроллер домена в компьютерной сети является центральным элементом служб Active Directory (AD), которые предоставляют пользователям общедоменные услуги, такие как применение политик безопасности, аутентификация пользователей и доступ к ресурсам.
Контроллер домена является отличным инструментом для системных администраторов, поскольку он позволяет им предоставлять или запрещать пользователям доступ к общесистемным ресурсам, таким как принтеры, документы, папки, сетевые папки и т. Д., Через одно имя пользователя и пароль. Как только контроллер домена настроен в компании, офисе или здании, он принимает на себя ответственность за ответы на запросы пользователей по аутентификации безопасности, такие как проверка разрешений, вход в систему и т. Д.
Когда клиентский компьютер присоединяется к домену, любой пользователь может войти в контроллер домена, используя этот компьютер. Это преимущество заключается в том, что независимо от того, с какого члена домена (компьютера) он входит в систему, он может получить доступ ко всем своим личным ресурсам, включая файлы, которые он поместил на рабочий стол, файлы в Документах, принтеры и свои персональные настройки рабочего стола.
Контроллер домена предоставляет сервисы аутентификации для сети компьютеров Windows. См. Статью Wikipedia для краткого введения. Если вам нужно создать его, вы можете сделать это с сервером Windows (любой из множества разновидностей, например, Windows 2003 Server) или запустить Samba на Linux. Я бы порекомендовал последний подход, и если вам нужен совет, какой дистрибутив Linux использовать, я бы порекомендовал Ubuntu .
Когда я набираю это, ответ был опущен, но это совершенно правильный ответ. Возможно, не самый лучший, но вполне допустимый.
Я бы сказал, что за то, что порекомендовал samba в Linux, кому-то, кто только начинает работать с AD, отказался.
Очень хорошая статья, которую я однажды написал о контроллере домена. Узнайте, что это такое, что он делает и как работает в этой статье:
Мы предпочитаем, чтобы наш ответ содержал контент, а не только указатели на контент. При размещении ссылок включайте краткое изложение основных вопросов (а не только заголовки, подобные вашим). Linkrot происходит, и когда будущие гуглеры найдут его, ответ все равно будет несколько полезен.