active directory

Довольно часто перед начинающими администраторами встает задача перенести контроллер домена на новое железо. В статье будет описан перенос контроллера домена под управлением Windows 2003 на новый сервер с установленной операционной системой Windows 2003. Переносить можно как с сохранением имени старого сервера, так и без сохранения имени. Статья рассчитана на совсем уж новичков, поэтому все будет разжевано.

 

 

Исходные данные:

  • Домен: company.local;
  • Старый сервер: Win2003, AD, DNS, DHCP, IP=192.168.0.100, имя=dc01;
  • Новый сервер: Win2003, IP=192.168.0.101, имя=dc02;

Итак, приступим.

1. Проверка действующего контроллера домена

На старом сервере запускаем утилиты dcdiag и netdiag и убеждаемся что никаких ошибок они не находят. Эти утилиты входят в состав Support Tools и если при запуске одной из утилит выскакивает сообщение

'название утилиты' is not recognized as an internal or external command, operable program or batch file.

, то их необходимо установить. Либо с установочного диска Windows 2003, либо с официального сайта. Если никаких ошибок не обнаружено, то идем дальше, если же появляются ошибки, то исправляем их. В принципе достаточно воспользоваться поиском по каждой из ошибок и найти решение.

2. Установка дополнительного контроллера домена

Далее необходимо поднять дополнительный контроллер домена на новом сервере (тот который 192.168.0.101). Для этого нужно запустить (Пуск–>Выполнить или Start–>Run) на нем команду

dcpromo

и в появившемся окне выбрать Additional domain controller for an existing domain

После установки AD, перезагружаемся.

3. Установка DNS и DHCP

Устанавливаем DNS  и если нужно, то DHCP на новый сервер. Заходим в Установку и удаление программ (Add or Remove Programs) и выбираем пункт установка компонентов Windows (Add/Remove Windows Components). В разделе Сетевые службы (Network Services) ставим галочки напротив DNS и DHCP и устанавливаем их.

Вполне вероятно что при установке AD, заодно поставился и DNS, поэтому не пугайтесь если DNS уже установлен.

На обоих контроллерах домена выставляем в настройках DNS, адрес нового сервера.

4. Перенос базы DHCP

Если нужно перенести базу DHCP, на старом сервере выполняем команду:

netsh dhcp server export C:\dhcp.txt all

переносим полученный файл на новый сервер и на новом сервере выполняем команду:

netsh dhcp server import C:\dhcp.txt all

Ну и соответственно в настройках DHCP выставляем всем клиентам DNS адрес нового сервера 192.168.0.101

5. Проверка контроллеров домена на ошибки

После всех предыдущих манипуляций, ждем минут 15-20, чтобы дать новому серверу перенести все настройки и записи в AD со старого. После чего, запускаем на обоих серверах уже знакомые нам утилиты dcdiag и netdiag и убеждаемся в отсутствии ошибок.

6. Перемещение Global Catalog

Теперь настала очередь перенести Global Catalog на новый сервер. Открываем на новом сервере Active Directory — сайты и службы (Sites and Services) –> Сайты (Sites) –> имя_сайта –> Серверы (Servers). Выбираем новый контроллер домена и в правом окне на объекте NTDS Settings выбираем Свойства (Properties). В появившемся окне ставим галку Global Catalog.

Ждем минут 5-10, в логах должно будет появиться сообщение This domain controller is now a global catalog, после чего можно удалять Global Catalog на старом сервере. Процедура таже, только теперь выбираем старый сервер и снимаем галку Global Catalog.

7. Перенос ролей FSMO

Для начала посмотрим, кто же все таки  является держателем ролей FSMO-ролей в домене, в этом нам поможет команда:

netdom query fsmo

Результат будет примерно таким:

Schema owner                dc01.company.local

Domain role owner           dc01.company.local

PDC role                    dc01.company.local

RID pool manager            dc01.company.local

Infrastructure owner        dc01.company.local

The command completed successfully.

Как видно из вывода, держателем ролей является наш старый сервер dc01. Исправим это недоразумение. Все дальнейшие действия производим на новом сервере.

Передача ролей хозяин RID, основной контроллер домена и хозяин инфраструктуры

Открываем оснастку Active Directory — пользователи и компьютеры (Users and Computers), щелкаем правой кнопкой по имени сайта и выбираем меню Хозяева операций (Operations Masters). В появившемся окне, на всех 3-х вкладках жмем на кнопку изменить (change) и соглашаемся с применением изменений.

Передача роли хозяина именования домена

Открываем оснастку Active Directory — домены и доверие (Domain and Trusts), и точно так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений.

Передача роли хозяина схемы

С передачей этой роли все происходит немного посложнее. Для начала нужно зарегистрировать в системе библиотеку schmmgmt.dll. Для этого выполняем команду:

regsvr32 schmmgmt.dll

Далее запускаем оснастку mmc:

mmc

и в появившемся окне в меню файл выбираем пункт Добавить или удалить оснастку (Add/Remove Snap-in).   Далее Добавить (Add) и Схема Active Directory (Active Directory Schema).

И добавляем схему. Далее  так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений. Если в поле изменить будет стоять адрес старого сервера, то достаточно выбрать пункт меню Изменение контролера домена (Change Domain Controller) и выбрать новый домен контроллер, после чего опять попытаться изменить хозяина.

Запускаем команду:

netdom query fsmo

И видим:

Schema owner                dc02.company.local

Domain role owner           dc02.company.local

PDC role                    dc02.company.local

RID pool manager            dc02.company.local

Infrastructure owner        dc02.company.local

The command completed successfully.

Ну что, все роли успешно перенесены на новый сервер.

8. Удаление старого контроллера домена

Теперь настала пора удалить старый домен контроллер из сети. Запускаем:

dcpromo

и следуя мастеру, удаляем старый домен контроллер и все его упоминания из сети. После этого старый сервер можно погасить или отправить его выполнять другие обязанности.

 

P.S. Если вам нужно перенести AD из старого сервера на новый, причем с сохранением имени старого сервера, то тут вам поможет еще один промежуточный сервер. Сначала делаете все эти операции с ним, выводите старый сервер из домена, заводите новый сервер с именем старого и проделываете эти же операции еще раз.