Добрый день! Имеем контроллер домена на Виндовс 2003 сервер, приобрели новый сервер с Виндовс 2008 R2. Как более правильно сделать его дополнительным контроллером домена, так чтобы были равноправны и выключение\поломка одного из них не отражалась на работе пользователей? Что в таком случае делать с ролями FSMO, как грамотно всё распределить?

http://technet.microsoft.com/ru-ru/library/cc753437(v=ws.10)
http://technet.microsoft.com/ru-ru/library/cc754670(v=ws.10)

Оба глобальные каталоги. Роли FSMO я бы перенес все на 2008 R2

Спасибо, правда вторую ссылку я не понял, извиняюсь, но там про IIS7... То есть сначала на основном контроллере обновляем лес, используя диск с которого ставили систему на новый контроллер (в данном случае R2), затем добавляем в домен ещё один контроллер, на него глобальный каталог и роли. Правильно?

извиняюсь. ссылки подправил - скобки почему-то вновь не вошли в тег ссылки.
То есть сначала на основном контроллере обновляем лес »
потом домен (это вторая ссылка) и устанавливаем роли контроллера домена на R2.

vert01et,

На всякий случай подкину статейку Миграция роли Active Directory c Windows Server 2003 на Windows Server 2008 R2 и перенос контроллера домена на другой сервер (http://blogs.sysadminz.ru/blog/MS/11.html). Вдруг пригодится...

exo, спасибо, попробую.

Anton04, спасибо, отличная статья, почти в копейку мой случай, за исключением понижения роли первичного, думаю ещё как поможет.

Ещё немного ясности внёс этот (http://zocomp.ru/index.php?option=com_content&view=article&id=53:-fsmo-&catid=34:articles&Itemid=55) материал:

Немного теории

Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):

- Schema Master (Хозяин схемы) – роль отвечает за возможность изменения схемы – например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен – схему существующего домена вы изменить не сможете;
- Domain Naming Master (Хозяин операции именования доменов) – роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
- Relative ID Master (Хозяин относительных идентификаторов) – отвечает за создание уникального ID для каждого объекта AD;
- Primary Domain Controller Emulator (Эмулятор основного контроллера домена) – именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
- Infrastructure Master (Хозяин Инфраструктуры) – роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.

Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают – это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно – роль глобального каталога могут иметь все контроллеры домена одновременно.

Фактически можно сделать вывод – если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены - то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.

Ещё немного ясности внёс этот материал: »
в чём неясность?

Просто я теперь уже понимаю что 2-х абсолютно одинаковых контроллеров получить нельзя, так как только роль глобального каталога может быть на нескольких КД, а остальные роли могут быть назначены только одному, что вполне устраивает, так как они без внесения в АД глобальных изменений не отражаются на работе пользователей, что при падении основного КД даст время на его оживление без паники. Ещё раз спасибо.

Миграция роли Active Directory c Windows Server 2003 на Windows Server 2008 R2 и перенос контроллера домена на другой сервер. »
Блоги отвалились.


Warning: require_once(/home/i/itbloje2ru/blogs/public_html/engine/classes/Engine.class.php) [function.require-once]: failed to open stream: Нет такого файла или каталога in /usr/www/users/sysadmk/blogs/index.php on line 27

Fatal error: require_once() [function.require]: Failed opening required '/home/i/itbloje2ru/blogs/public_html/engine/classes/Engine.class.php' (include_path='.:/usr/local/lib/php/:/usr/www/users/sysadmk/blogs') in /usr/www/users/sysadmk/blogs/index.php on line 27



Кто нить попробуйте открыть ресурс?

вот еще ссылка (http://terehov.org/?p=76)

Блоги отвалились. »

Таких статей и перепечаток в Интернете море, главное что вы теперь знаете какой запрос нужно задать в поисковике что бы получить ссылку на рабочую статью ;)

P.S. На данный момент ссылка работает.

да да=) уменя через 5 мин запустилась. есть видео и блог полезный в этой теме гляньте ТЕМА (http://forum.oszone.net/thread-239692.html)

Подскажите зачем выполнять вот эти действия, и последствия если не выполнишь! по этой статье (eugenpavlenko.wordpress.com/2010/04/08/migration/)

Действия которые необходима выполнить на сервер с Windows 2003 (исходный сервер) для переноса DNS
Останавливаем службу DNS
net stop dns
Экспортируем реестр
reg export “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters” %Windir%\System32\DNS\Dns- Service.REG
reg export “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server” %Windir%\System32\DNS\Dns-Software.REG
копируем базу xcopy %windir%\System32\DNS DNS /s
Запускаем службу DNS
net start dns
Действия которые необходима выполнить на сервер с Windows 2008 R2 (конечный сервер) для переноса DNS

Останавливаем службу DNS
net stop dns
Копируем нашу копию базы в %windir%System32DNS
Импортируем реестр. reg import %Windir%\System32\DNS\Dns-Service.REG
reg import %Windir%\System32\DNS\Dns-Software.REG
Запускаем службу DNS
net start dns
Теперь необходимо синхронизировать оба сервера, для этого нужно воспользоваться стандартными средствами Active Directory.
После чего необходимо проверить схождение DNS серверов, для этого скачаем скрипт доступный по адресу http://go.microsoft.com/fwlink/?LinkId=135502 DNSConvergeCheck <исходный DNS> <конечный DNS server> <fqdn домена>

и последствия если не выполнишь! »
тогда во время репликации все записи сами "скопируются" на 2008 сервер...
а копирование ДНС руками - я этим не заморачивался )

вот!тогда во время репликации все записи сами "скопируются" на 2008 сервер »
Спасибо!

может глянешь темку?... (http://forum.oszone.net/thread-239761.html)

может глянешь темку?... »
не мой профиль...

Anton04, спасибо, всё сделал, статья очень пригодилась, всё работает, оба контроллера чувствуют себя неплохо, все тесты проходят, 3 день наблюдаемся.