Постановка задачі
У цій статті ми розглянемо як додати контролер домену Active Directory в існуючий ліс, а потім зробити його головним в нашому домені, тобто перенести на нього ролі господаря операцій. Про перенесення окремих ролей і компонентів можна прочитати в офіційній документації.
Додавання контролера домену
Потім слід перевірити наскільки гладко новий котроллер увійшов в домен.
Можна альтернативно запросити тугіше інформацію безпосередньо з каталогу Active Directory:
Подивимося короткий звіт про проведені між контролерами реплікації, чи є що-небудь в черзі, можна також подивитися більш детальний звіт:
Якщо реплікації були успішними, то можна запустити реплікацію примусово, але при цьому командний інтерпритатор cmd должне бути запущений з адміністративними правами:
Командою dcdiag можна більш детально діагностувати стан контролера домену, а також окремо запустити більш докладні тести для перевірки різних служб (офіц. Опис)
Перенесення ролі господаря операцій
Перш ніж почати перенесення ролей, бажано домогтися відсутності помилок в dcdiag.
Алгоритм перенесення ролей FSMO (Flexible Single-Master Operations) такий же як і при захопленні. У першому випадку використовується працює головний контролер домену (PDC), і переносяться ролі на ньому відключаються, якщо ж він втрачений, то ролі захоплюються новим контролером примусово.
Подивимося список контролерів домену mydomain.local:
З'ясовуємо, хто з контролерів є господарем операцій:
Перенесення ролей можна зробити двома способами:
1. через оснащення "Active Directory - Домени і довіру", відкривши її з Диспетчера серверів - Засоби.
2. консольної інструменту керування доменом ntdsutil (офіц. Документація). Якщо ролі передаються, то використовуємо команду transfer. якщо ж захоплюються, то seize. Нижче наведено алгоритм захоплення ролей новим контролером dc2:
Перебуваючи в розділі fsmo maintenance можна дізнатися список всіх ролей, пославши команду?.
У разі успішного захоплення ми повинні побачити наступне
Робота над помилками
Деякі приклади діагностики проблем з контролерами домену розглянуті в прикладах команди dcdiag
dcdiag видає помилку DNS:
Потрібно перевірити чи існує зворотна DNS зона і синхронізована вона між контролерами.
Помилка реплікації 8453
repadmin / showrepl видає помилку:
Запустити реплікацію вручну і командного рядка з адміністративними правами
На контролері немає мережевих ресурсів NetLogon і SysVol
Ця помилка означає, що реплікація даних з головного контролера домену (господаря операцій) на проблемний не була проведена до кінця.
Доступність мережевих ресурсів можна перевірити командою:
Справність ресурсів SysVol і NetLogon можна перевірити командою:
Офіційну інструкцію по пересозданию ресурсів NetLogon і SysVol англійською можна прочитати в статті Restoring and Rebuilding SYSVOL. Нижче наведено короткий алгоритм цього процесу.