W przypadku, gdy w domenie Active Directory posiadamy jedynie jeden kontroler domeny (DC) i zachodzi konieczność przeniesienia tej roli na nowy komputer a następnie wyłączenia starego DC konieczne jest zachowanie odpowiedniej procedury przeprowadzenia tej operacji. Konieczne jest wykonanie kilku kroków, które pozwolą na zachowanie wszystkich danych domeny oraz pełnej jej funkcjonalności. Procedura ta jest prosta i jej zastosowanie nie powinno nastręczyć większych problemów każdemu z administratorów sieci opartej na Windows 2000/2003. Kolejne kroki procedur to:
Dołączenie nowego serwera do domeny
Wypromowanie nowego serwera do roli kontrolera domeny
Synchronizacja danych
Przeniesienie ról FSMO
Usunięcie oryginalnego kontrolera z domeny
W naszym teoretycznym przykładzie domeny “w2k.private”, którym będziemy posługiwać się w dalszej części artykułu mamy istniejący kontroler domeny DC1, który chcemy zastąpić nową maszyną o nazwie DC2.
1.Wypromowanie nowego serwera do roli kontrolera domeny
W celu wypromowania nowego kontrolera domeny, który ma przejąć zadania obecnie istniejącego kontroler (jak również i w przypadku gdy dokładamy go ze względu na redundancję rozwiązania) po zainstalowaniu świeżego systemu operacyjnego, dodaniu jako serwera członkowskiego do domeny, wstępnym go skonfigurowaniu oraz uaktualnieniu uruchamiamy proces promocji poprzez polecenie dcpromo.exe. Ponieważ jest to dodatkowy kontroler w istniejącej już domenie, przy odpowiednich pytaniach wskazujemy, iż ma być to kontroler dołączony do istniejącej już domeny, następnie zaś podajemy dane uwierzytelnienia użytkownika mającego uprawnienia administratora. Nasz nowy kontroler domeny podejmie pracę jak tylko zakończy synchronizację danych domeny z jednym z istniejących już kontrolerów.
Tylko jako przypomnienie zaznaczę że przed przystąpieniem do promowania nowego kontrolera domeny należy zadbać o poprawne rozwiązywanie nazw DNS domeny na obu serwrach.
Jeżeli pracujemy w domenie Windows 2000 a nowym kontrolerem domeny będzie komputer działający pod kontrolą Windows 2003 konieczne jest przygotowanie domeny do takiej operacji. Przygotowanie domeny AD opartej na Windows 2000 do wprowadzenie kontrolera domeny pracującego na Windows 2003 polega na uruchomieniu narzędzia adprep.exe z parametrami /ForestPrep oraz /DomainPrep. Proces ten opisany jest świetnie w ramach artykułu Daniela Petri. Jeżeli w domenie tej pracuje serwer Exchange 2000 wykonanie tych operacji powoduje pewne problemy, które na szczęście łatwo jest wyeliminować - ponownie, proces usnięcia problemu opisany jest doskonale przez daniela Petri.
Opis promocji serwera do roli kontrolera domeny można znaleźć pod adresami:
http://www.w2k.pl/tech/w2k_ad3.html
http://www.windows2003.pl/articles_det.aspx?id=28
2.Synchronizacja danych
Po dołączeniu nowego kontrolera do domeny inicjalizowany jest proces replikacji danych pomiędzy jednym z istniejących kontrolerów a nowo wypromowanym (korzystając z opcji plliku odpowiedzi przy promocji kontrolera możliwe jest wskazanie wprost partnera replikacji). Synchronizacja danych związanych z katalogiem obejmuje:
synchronizacje danych katalogu
synchronizacje zawartości wolumenu SYSVOL
synchronizacje danych DNS.
Serwer nie podejmie pracy jako kontroler domeny dopóki dane domeny oraz danej zawarte w ramach SYSVOL nie zostaną zreplikowane z istniejącego serwera. W zależności od ilości obiektów w domenie, liczby GPO, skryptów itp znajdujących się na udziale SYSVOL oraz jakości łącza proces replikacji może zająć dłuższy czas. Stan replikacji danych katalogi pomiędzy kontrolerami można sprawdzić posługując się narzędziami Replmon.exe lub repadmin.exe z pakietu Support Tools.
Jeżeli wcześniej na nowym kontrolerze domeny nie została zainstalowana usługa serwera DNS musimy ją zainstalować samodzielnie poprzez aplet “Add\Remove Windows components”. Dane DNS naszej domeny zostaną zreplikowane do nowego serwera DNS razem z danymi domeny (strefa DNS dla domen Active Directory domyślnie tworzona jest jako zintegrowana z AD). Po zainstalowaniu usługi DNS i zsynchronizowaniu danych nowy kontroler domeny zostanie zarejestrowany przy starcie usługi NetLogon jako serwer NS dla naszej domeny.
Zabezpieczeni kluczy agenta odzyskiwania EFS
Przed przystąpieniem do przeniesienia wszystkich kluczowych dla działania domeny elementów na nasz nowy serwer należy zabezpieczyć dodatkowo klucz agenta odzyskiwania EFS. W przypadku domeny rola ta domyślnie przypisywana jest kontu administratora domeny, a odpowiedni certyfikat i klucz prywatny przechowywane są na pierwszym zainstalowanym w sieci kontrolerze domeny. Jeżeli więc kontroler, który mamy zamiar usunąć z sieci jest pierwszym instalowanym kontrolerem należy zabezpieczyć te dane poprzez wyeksportowanie ich na zewnętrzny nośnik. Eksport tego klucza na zewnętrzny nośnik jest zalecane w każdym przypadku, nawet gdy nie zamierzamy usuwać tego kontrolera z domeny - jest to jedna z dobrych praktyk administratora związanych z EFS. Procedura eksportu certyfikatu i klucza prywatnego domyślnego agenta odzyskiwania danych w domenie opisana jest artykule KB 241201. Na nowej maszynie po jej wypromowaniu do roli kontrolera domeny można ten klucz przywrócić według procedury opisanej pod tym adresem. Oczywiście jeżeli klucz ten nie jest w danej chwili potrzebny zaleca się pozostawienie go na nośniku zewnętrznym (odpowiednio zabezpieczonym).
3.Przeniesienie ról FSMO
Przed wyłączeniem starego serwera musimy zidentyfikować role FSMO jakie są do niego przypisane i przenieść je innemu serwerowi, na przykład nowo wypromowanemu w sieci. W przypadku operacji zmiany serwera pełniącego jedną z pięciu ról FSMO możemy dokonać dwóch operacji:
przeniesienia (ang. transfer),
przejęcia (ang. seize).
W przypadku, gdy oba kontrolery domeny (obecnie pełniący daną rolę oraz kontroler który ma ją pełnić po zmianach) są dostępne w sieci dokonujemy operacji przeniesienia roli. Operacji tej możemy dokonać poprzez konsole MMC służące zarządzaniu domeną lub korzystając z narzędzia linii poleceń ntdsutil.exe, którą to metodą posłużymy się na potrzeby tegoż opisu.
Serwer może mieć przypisaną jedną lub wszystkie (co jest częstym przypadkiem w małych sieciach) pięć ról:
Schema master - rola obejmuje cały las, jeden serwer w lesie,
Domain naming master - rola obejmuje cały las, jeden serwer w lesie,
RID master - rola obejmuje domenę, jeden serwer dla każdej domeny w lesie,
PDC - rola obejmuje domenę, jeden serwer dla każdej domeny w lesie,
Infrastructure master - rola obejmuje domenę, jeden serwer dla każdej domeny w lesie.
Sposób przeniesienia ról FSM na inny serwer przy użyciu ntdsutil.exe przedstawiony został w KB255504. Poniżej krótki opis jak tego dokonać z komentarzami:
Uruchamiamy ntdsutil.exe poprzez Start->Run lub z poziomu linii poleceń cmd.exe. Następnie przechodzimy do opcji zarządzania rolami FSMO poprzez wydanie polecenia roles.
A�ączymy się z DC na którym wykonamy operacje przechodząc do opcji connections, następnie zaś wydając polecenie connect to server . Serwer, do którego się łączymy jest to kontroler domeny, na który przeniesiemy wybrane role (w naszym przykładzie DC2). Jeżeli konieczne jest określenie innych danych uwierzytelnienia niż dane bieżącego użytkownika możemy to zrobić przed połączeniem poprzez wydanie polecenia set creds . Powracamy do opcji zarządzania rolami poprzez wdanie polecenia quit.
Identyfikujemy role FSMO, które są znane serwerowi do którego jesteśmy połączeni poprzez wydanie polecenia select operation target, a następnie list roles for selected server. Jak widać na poniższym rysunku w naszej przykładowej konfiguracji wszystkie role należą do serwera DC1, który planujemy wyłączyć. Przed wyłączeniem DC1 musimy więc przenieść je na serwr DC2. Wracamy do opcji zarządzania rolami poprzez wydanie polecenia quit.
Przenosimy kolejne role na serwer do którego jesteśmy połączeni poprzez wydanie polecenia transfer z odpowiednią nazwą roli, i tak:
Schema master: wydajemy polecenie transfer schema master
Infrastructure master: wydajemy polecenie transfer infrastructure master
RID master: wydajemy polecenie transfer RID master
PDC Emulator: wydajemy polecenie transfer PDC
Domain Naming master: wydajemy polecenie transfer domain naming master
Po zakończeniu tych operacji powtórzenie procedury z punktu 3, czyli identyfikacja serwerów pełniących role FSMO powinna wskazywać na nasz nowy serwer (DC2) jako serwer pełniący te role.
Pozostaje nam jeszcze upewnić się iż dla naszych użytkowników dostępny będzie serwer Katalogu Globalnego (Global Catalog), nie jest to rola FSMO ale funkcja pełniona przez kontroler domeny wymagana do prawidłowej pracy domeny. W tym celu uruchamiamy na kontrolerze domeny konsole Active Directory Sites and Services i nawigujemy do ścieżki Sites -> -> Servers -> -> NTDS Settings, klikamy w tą pozycję prawym klawiszem i wybieramy Properties. Na zakładce General zaznaczamy opcje Global Catalog i zatwierdzamy zmiany.
Utworzenie zasobów Katalogu Globalnego jest procesem, który zachodzi w ramach replikacji danych i zostanie on utworzony samodzielnie przez kontroler domeny.
Kończymy pracę poprzez wydawanie polecenia quit aż do zamknięcia konsoli ntdsutil.
4.Usunięcie oryginalnego kontrolera z domeny
Przed ostatecznym usunięciem starego kontrolera domeny z sieci warto upewnić się, że wszystko działa poprawnie poprzez prosty test, czyli wyłączenie tego kontrolera i sprawdzenie działania usług katalogowych, możliwości logowania się użytkowników do stacji roboczych, przeprowadzenia zmian w AD (założenie użytkownika, zmiana członkostwa w grupach użytkowników). Jeżeli wszystkie testy przebiegną poprawnie możemy przystąpić do usunięcia roli kontrolera z serwera, w tym celu logujemy się na jego konsoli jako administratora i uruchamiamy dcpromo.exe, procedura jest trywialna więc nie będę jej tutaj opisywał, warto jednak zwrócić uwagę na dwie rzeczy:
nie należy zaznaczać w kreatorze dcpromo opcji “this server is last domain controller in a domain”
hasło które podajemy w trakcie degradacji kontrolera domeny do roli zwykłego serwera jest hasłem lokalnego konta administratora na tym serwerze, jeżeli będzie on nadal używany w sieci należy podać odpowiednio skomplikowane hasło.
Po zakończeniu pracy kreatora następuje restart systemu, po ponownym uruchomieniu serwer powinien być widziany w ramach domeny jako serwer członkowski - jeżeli ma być on wyłączony z pracy w sieci można go usunąć z domeny.
Jeżeli cała operacja zakończyła się sukcesem (a praktyka pokazuje że przeważnie tak jest) nowy kontroler podejmie pracę w sieci obsługując użytkowników oraz pełniąc przekazane mu role FSMO. W ramach tego opisu nie podejmowałem tematu przeniesienia pozostałych usług sieciowych, jakie może pełnić serwer - o to należy już zadbać korzystając z innych procedur.
PS. Podziękowania dla Grzegorza Kędziory za zwrócenie uwagi na konieczność uzupełnienia tego opisu o sekcje dotyczącą EFS.
Instalacja serwera 2008 jako dodatkowego kontrolera domeny.
Installing an Additional Windows Server 2008 Domain Controller
If you are installing an additional Windows Server 2008 domain controller in a Windows Server 2008 forest, you do not have to prepare the forest before you begin the installation. However, if the additional domain controller that you are installing is the first Windows Server 2008 domain controller in an existing Windows Server 2003 or Windows 2000 Server domain, ensure that the following tasks are completed:
| • | Prepare the forest by running adprep /forestprep on the server that holds the schema master operations master role (also known as flexible single master operations or FSMO) to update the schema. For more information, see Prepare a Windows 2000 or Windows Server 2003 Forest Schema for a Domain Controller That Runs Windows Server 2008. |
| • | Prepare the domain by running adprep /domainprep /gpprep on the server that holds the infrastructure operations master role. For more information, see Prepare a Windows 2000 or Windows Server 2003 Domain for a Domain Controller That Runs Windows Server 2008. |
| • | If you are installing an RODC in an existing Windows Server 2003 domain, you must also run the adprep /rodcprep command. For more information, see Prepare a Forest for a Read-Only Domain Controller. |
You can install an additional Windows Server 2008 domain controller by using the following methods:
Installing an Additional Windows Server 2008 Domain Controller by Using the Windows Interface | |
| • | Installing an Additional Windows Server 2008 Domain Controller by Using the Command Line |
| • | Installing an Additional Windows Server 2008 Domain Controller by Using an Answer file Program dsdiagUmożliwia analizowanie stanu usługi Active Directoryhttp://technet2.microsoft.com/windowsserver/pl/library/dcb45984-1576-4b88-8f2d-ca66ffc985b61045.mspx?mfr=true ------------------------------------------------------------------------------------------------
Practical 4 Installing the Second Domain Controller This practical is to install Active Directory onto the second domain controller and install a second DNS server and do some tidying up. Installing Active Directory
Checking Active Directory Configuration If you want to, carry out the following checks.
Installing and Configuring DNS If you have two or more domain controllers, it is a good idea to install a second DNS server for resilience.
Switching to Native Mode
|
