Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server::Журнал СА 3.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6330
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7039
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4320
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3064
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3859
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3876
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6363
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3216
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3509
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7329
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10691
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12417
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14057
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9175
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7126
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5435
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4666
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3473
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3196
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3438
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3068
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server

Архив номеров / 2009 / Выпуск №3 (76) / Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server

Рубрика: Администрирование /  Продукты и решения

Кирилл Семаев

Безболезненная замена устаревшего
или отказавшего контроллера домена
на базе Windows Server

Если ваш контроллер домена вышел из строя или полностью устарел и требует замены, не спешите планировать провести ближайшие выходные за созданием нового домена на новом сервере и кропотливым переносом в него пользовательских машин. Грамотное управление резервным контроллером домена поможет быстро и безболезненно заменить предыдущий сервер.

Практически каждый администратор, работающий с серверами на базе Windows, рано или поздно сталкивается с необходимостью замены полностью устаревшего основного контроллера домена, дальнейший «апгрейд» которого больше не имеет смысла, на новый и более соответствующий современным требованиям. Бывают ситуации и хуже – контроллер домена просто-напросто пришел в негодность из-за поломок на физическом уровне, а резервные копии оказались не актуальными или потерялись.

Описание процедуры замены одного контроллера домена на другой можно найти на разных форумах. Информация, как правило, даётся отрывками и применима только к конкретной ситуации, поэтому общего плана действий не даёт. Кроме того, даже вдоволь начитавшись форумов [1], баз знаний [2, 3] и прочих ресурсов, я смог грамотно провести процедуру замены контроллера домена без ошибок только с третьего или четвёртого раза.

Таким образом, я хочу привести поэтапную инструкцию замены контроллера домена вне зависимости от того, работоспособен он или нет. Единственная разница заключается в том, что при «упавшем» контроллере эта статья поможет, только если вы заранее позаботились и развернули резервный контроллер домена.

Подготовка серверов к повышению/понижению роли

Процедура создания «резервного» контроллера домена элементарна – мы просто запускаем на любом рядовом сервере сети мастер dcpromo и с его помощью создаём контроллер домена в существующем домене. В результате проделанных манипуляций мы получаем развернутую службу каталогов AD на нашем дополнительном сервере (я буду называть его pserver, а основной контроллер – dcserver).

Дальше, если мастер сам не предложил, запускаем установку DNS-сервера. Никаких настроек изменять не надо, зону создавать также не надо – она хранится в AD, и все записи автоматически реплицируются на резервный контроллер. Хочется обратить внимание на то, что основная зона в DNS появится только после репликации, для ускорения которой сервер можно перезагрузить. В настройках TCP/IP сетевой карты резервного контроллера домена адресом первичного DNS-сервера должен быть указан IP-адрес основного контроллера домена.

Теперь можно легко проверить работоспособность резервного контроллера домена pserver. Мы можем создать учетную запись как на основном, так и на резервном контроллере домена. Сразу после создания она появляется на дублирующем сервере, но где-то в течение минуты (пока происходит репликация) она видна как отключенная, после чего начинает отображаться одинаково на обоих контроллерах.

На первый взгляд, все манипуляции по созданию исправной схемы взаимодействия как минимум двух контроллеров домена выполнены, и теперь в случае выхода из строя основного контроллера домена резервный контроллер будет автоматически выполнять его функции. Однако, хотя разница между основным и резервным контроллерами домена AD чисто номинальная, основной контроллер имеет ряд особенностей (роли FSMO), о которых не стоит забывать. Таким образом, вышеприведенных операций для нормального функционирования службы каталогов при отказе основного контроллера недостаточно, и действия, которые надо произвести для грамотной передачи/захвата роли основного контроллера домена, будут описаны дальше.

Немного теории

Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):

  • Schema Master (хозяин схемы) – роль отвечает за возможность изменения схемы – например, разворачивания Exchange server или ISA server. Если владелец роли будет недоступен, схему существующего домена вы изменить не сможете.
  • Domain Naming Master (хозяин операции именования доменов) – роль необходима в том случае, если в вашем лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в лесу.
  • Relative ID Master (хозяин относительных идентификаторов) – отвечает за создание уникального ID для каждого объекта AD.
  • Primary Domain Controller Emulator (эмулятор основного контроллера домена) – именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал».
  • Infrastructure Master (хозяин инфраструктуры) – роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.

Об этих ролях подробно написано во многих базах знаний. Зачастую администраторы забывают назначить роль хранителя глобального каталога. Его недоступность не позволит доменным пользователям входить в систему. Что примечательно, роль хранителя глобального каталога могут иметь все контроллеры домена одновременно.

Фактически можно сделать вывод: если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены, то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить.

Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были назначены при работающем контроллере домена и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.

Определение текущих владельцев ролей FSMO

Напомню, что мы хотим заменить контроллер домена, не нанеся вреда работе службы каталогов. Поэтому в том случае, если в домене два или более контроллеров, нам необходимо выяснить, кто является обладателем каждой из ролей FSMO.

Это достаточно просто сделать, использовав следующие команды:

dsquery server -hasfsmo schema

dsquery server -hasfsmo name

dsquery server -hasfsmo rid

dsquery server -hasfsmo pdc

dsquery server -hasfsmo infr

dsquery server -forest -isgc

Каждая из команд выводит нам информацию о том, кто является владельцем запрашиваемой роли (см. рис. 1). В нашем случае владелец всех ролей – основной контроллер домена dcserver.

Рисунок 1. Владелец роли rid master – dcserver

Рисунок 1. Владелец роли rid master – dcserver

Добровольная передача ролей FSMO при помощи консолей Active Directory

Вся информация, необходимая для передачи роли основного контроллера домена, у нас есть. Приступаем: для начала нужно убедиться в том, что наша учётная запись входит в группы «Администраторы домена», «Администраторы схемы» и «Администраторы предприятия», а затем приступить к традиционному методу передачи ролей fsmo – управлением доменом через консоли Active Directory.

Для передачи роли «хозяина именования домена» выполняем следующие шаги:

  • Открываем «Active Directory Домены и Доверие» на том контроллере домена, с которого мы хотим передать роль. Если мы работаем с AD на том контроллере домена, которому мы хотим передать роль, то следующий пункт пропускаем.
  • Щёлкаем правой кнопкой мыши на значке Active Directory – домены и доверие и выбираем команду «Подключение к контроллеру домена». Выбираем тот контроллер домена, которому хотим передать роль.
  • Щелкаем правой кнопкой мыши компонент Active Directory – домены и доверие и выбираем команду Хозяева операций.
  • В диалоговом окне «Изменение хозяина операций» нажимаем кнопку «Изменить» (см. рис. 2).
  • После утвердительного ответа на всплывающий запрос получаем успешно переданную роль.

Рисунок 2. Процесс передачи роли хозяина именования доменов серверу pserver

Рисунок 2. Процесс передачи роли хозяина именования доменов серверу pserver

Аналогичным образом при помощи консоли «Active Directory – пользователи и компьютеры» можно передать роли «хозяин RID», «основной контроллер домена» и «хозяин инфраструктуры».

Для передачи роли «хозяина схемы» необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory:

regsvr32 schmmgmt.dll

Далее в консоль mmc необходимо добавить оснастку «Схема Active Directory», в которой, аналогично предыдущим пунктам, можно изменить владельца роли.

После того как все роли переданы, остаётся разобраться с оставшейся опцией – хранителем глобального каталога. Заходим в «Active Directory – Сайты и Службы», далее выбираем «сайт по умолчанию», находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog (см. рис. 3).

Рисунок 3. Теперь глобальный каталог лежит на pserver

Рисунок 3. Теперь глобальный каталог лежит на pserver

Итог – мы поменяли владельца ролей FSMO для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена – понижаем его до рядового сервера. Однако в ряде ситуаций проведение операции по передаче ролей вышеописанным способом невозможно. В этих случаях нам поможет ntdsutil.exe.

Добровольная передача ролей FSMO при помощи утилиты ntdsutil

NTDSUTIL – программа обслуживания каталога Active Directory. Этот инструмент позволяет выполнять чрезвычайно полезные действия – вплоть до восстановления всей базы данных AD из резервной копии, которую эта утилита сама создала во время последнего изменения в AD. Со всеми её возможностями можно ознакомиться в базе знаний Microsoft (код статьи: 255504). В данном случае мы говорим о том, что утилита ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.

Если мы хотим передать роль от существующего основного контроллера домена к резервному, мы заходим в систему на основной контроллер и начинаем передавать роли (команда transfer). Если у нас по каким-то причинам отсутствует основной контролер домена или мы не можем войти под административной учетной записью, мы входим в систему на резервный контроллер домена и начинаем «отбирать» роли (команда seize).

Итак, первый случай – основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:

ntdsutil.exe

roles

connections

connect to server имя_сервера (того, кому хотим отдать роль)

q

Если выскакивают ошибки, нужно проверить связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет – значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.

Полный список команд доступен после запроса fsmo maintenance с параметром «?». Пришла пора передавать роли. Я с ходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil, и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне в ответ на запрос о передаче роли возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в сети и обнаружил, что большинство людей, дошедших до этапа передачи ролей, сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть и благополучно живёт без этой роли.

Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:

  • хозяин операции именования доменов;
  • хозяин инфраструктуры;
  • хозяин идентификаторов;
  • хозяин схемы;
  • контроллер домена.

 После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance) и можем начать передавать роли:

  • transfer domain naming master;
  • transfer infrastructure master;
  • transfer rid master;
  • transfer schema master;
  • transfer pdc master.

После выполнения каждой команды должен выходить запрос о том, действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения команды показан на рис. 4.

Рисунок 4. Так выглядит корректная передача роли rid master серверу pserver

Рисунок 4. Так выглядит корректная передача роли rid master серверу pserver

Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.

Принудительное присваивание ролей FSMO при помощи ntdsutil.exe

Второй случай – мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется – единственная разница в том, что мы проводим все операции с использованием команды seize, но уже на том сервере, которому хотим передать роли для присвоения роли.

Обратите внимание – если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в сети контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.

Работа над ошибками

Самое главное, о чём не следует забывать: новый основной контроллер домена сам себе настройки TCP/IP не исправит – ему адресом первичного DNS-сервера теперь желательно (а если старый контроллер домена + DNS-сервер будут отсутствовать, то обязательно) указать 127.0.0.1.

При этом если у вас в сети есть DHCP-сервер, то нужно заставить его выдавать адресом первичного DNS-сервера IP вашего нового сервера, если DHCP нет – пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, можно назначить новому контроллеру домена тот же IP, что был у старого.

Теперь необходимо проверить, как всё работает, и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все серверы.

После их включения внимательно анализируем все журналы событий на факт появления предупреждений и ошибок.

Самым распространённым предупреждением после передачи ролей fsmo является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».

Исправляется просто: в меню «Администрирование» находим «Службы компонентов». Раскрываем «Службы компонентов», «Компьютеры», открываем свойства раздела «Мой компьютер», ищем там «MS DTC» и жмем там «Настройки безопасности». Там разрешаем «Доступ к сети DTC» и нажимаем ОК. Служба будет перезапущена, и предупреждение исчезнет.

Примером ошибки может служить сообщение о том, что основная DNS-зона не может быть загружена либо DNS-сервер не видит контроллер домена.

Рисунок 5. Результат успешного выполнения команды dcdiag на pserver

Рисунок 5. Результат успешного выполнения команды dcdiag на pserver

Разобраться в проблемах функционирования домена можно при помощи утилиты (см. рис. 5):

dcdiag

Установить эту утилиту можно с оригинального диска Windows 2003 из папки /support/tools. Утилита позволяет проверить работоспособность всех служб контроллера домена, каждый её этап должен оканчиваться словами «successfully passed». Если результатом теста является надпись «failed» (чаще всего это тесты connection или systemlog), то ошибку можно попробовать «вылечить» в автоматическом режиме:

dcdiag /v /fix

Как правило, все ошибки, связанные с DNS, должны пропасть. Если нет – пользуемся утилитой проверки состояния всех сетевых служб:

netdiag

И её полезным инструментом устранения ошибок:

netdiag /v /fix

Если и после этого остаются ошибки, связанные с DNS, проще всего удалить из него все зоны и создать вручную. Это довольно просто – главное создать основную зону по имени домена, хранящуюся в Active Directory и реплицируемую на все контроллеры домена в сети.

Более подробную информацию об ошибках DNS даст ещё одна команда:

dcdiag /test:dns

По окончании проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений – я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы – самое главное, не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.

  1. http://technet.microsoft.com.
  2. http://www.petri.co.il.
  3. http://support.microsoft.com.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru