Архив форумов ЦИТФорума

[pegas]

Имеется 2 компьютера ( на обоих стоит win 2000 server)
на одном из них установлен контроллер домена
Как перевести контроллер домена с одного сервера на другой?

Заранее благодарен за ответ!

[bary]

Запускаеш на 2-й машине Dcpromo и поднимаеш Домен контроллер. Второй можно отпустить но не все так просто но можно. Поищи документацию Microsoft.com.

[pegas]

[bomber]

а не то так просто..
не всегда грамотно роли передаются..
половину приходится ручками делать
_________________
с Уважением

[pegas]

[bary]

Ты до этого форум читал?
http://forum.citforum.ru/viewtopic.php?t=35643

[4u3u]

Что вы человека пугаете... Если домен работает нормально, то операции добавления и удаления контроллеров проблем вызывать не должны.

Порядок таков:
0. Не отключать старый контроллер от сети, пока весь процесс не закончен. Сделать резервную копию базы AD, чтобы в случае форс-мажора можно было бы возвратиться к исходному состоянию.

1. На будущем доменном контроллере проверяете сетевые настройки, чтобы убедиться, что он сможет найти старый контроллер. проверять обычными способами - nslookup, ipconfig, ping

2. Запускаете dcpromo, указав в процессе, что хотите установить дополнительный контроллер в уже существующем домене. Если DNS установлен на старом контроллере, то на новом его тоже нужно поднять. Зоны на старом предпочтительно иметь Active Directory integrated, тогда репликация зон между DC будет происходить автоматически, так как зоны будут храниться в AD. Остальные службы, такие как WINS и DHCP, если они тоже на старом контроллере, переносите на новый вручную.

3. Делаете новый контроллер сервером глобального каталога

4. Если используется DHCP, то (при необходимости) изменяете адреса DNS, WINS и т.д. на новые.

5. Проверяете работоспособность домена с двумя контроллерами по логам на обоих контроллерах и клиентах

6. Когда все сделано и проверено, можно запускаеть dcpromo на старом контроллере. А можно и в ручную передать. Просто при понижении контроллера до рядового сервере dcpromo и так сам все роли передаст на новый контроллер.

[and3008]

[4u3u]

Согласен, несколько операций, особенно операций, влияющих на работоспособность домена, всегда безопаснее проводить по отдельности с проверкой успешности операции. Я просто хотел сказать, что функционал передачи ролей встроен в dcpromo. Использовать его или подстраховаться и перенести роли вручную - дело ваше.

[4u3u]

[pegas]

Всё запугали меня по полной программе(боюсь даже подходить к серверам)

А теперь серьёзно. В принципе у меня в сетке 3 сервера (w2000serv)
1-й главный контроллер домена
2-й вторичный контроллер домена
3-й тот на котором нужно поднять главный контроллер домена.
Запустил я на 3-м dcpromo - оно мне предложило удалить актив директорий из этого я понял что третий также является контроллером домена, но вторичным. На главном контроллере домена запуск программы dcpromo вообще не удался так как выдало сообщение что установлена служба сертификатов и необходимо сначала удалить её.

Вот я хочу узнать у профессионалов, дабы дров не наломать,
что необходимо сделать?
Может мне с главного контроллера нужно только роль передать на этот 3-й??? и этим дело закончиться, или нужно сделать что то ещё?
(И ещё вопросик все манипуляции можно через терминал или только с консоли?)

Заранее благодарен за помощь.

[4u3u]

Это вообще твоя сеть, или просто вломился в серверную?

Шучу, шучу... Но в каждой шутке...

Как можно не знать сколько у тебя DC? Достаточно в консоль ADUC заглянуть в контейнер Domain Controllers.

В общем, я бы посоветовал для начала собрать информацию о структуре сети и домена, о серверах и их ролях, построить схемы сети и сервисов. И все это задуокументировать ОБЯЗАТЕЛЬНО. После этого у тебя появится целостное представление о том, чем ты управляешь. И только после этого можно двигаться дальше.

Насчет сервера сертификатов - это отдельная песня. Если это корневой сервер сертификатов и он действительно используется в домене, а не просто служба установлена на всякий случай (что выяснится по выполнению инвенторизации IT инфраструктуры, о которой я говорил выше) - поздравляю. Корневой сервер сертификатов убирать НЕЛЬЗЯ. Я не специалист по службе сертификатов, но из того что я читал, знаю, что корневой сервер цдалить или перенести на другой физический сервер архисложно если не невозможно.

[4u3u]

А для переноса ролей логиниться на доменные контроллеры локально или через терминал совершенно необязательно. Достаточно установить на компьютер администратора Administration pack из дистрибутива Windows (adminpak.msi, лежит в папке i386) и пользоваться консолями управления доменом с этой машины.

А то, что "напугали" - это как раз хорошо. С такими сложными структурами как Active Directory Domain, шутки плохи. Это не клиентская станция, любая ошибка может быть фатальна. Незря говорят (ну, по крайней мере, я так говорю :]), что 40% работы администратора - чтение документации. Еще 40% - проверка в тестовом окружении. Оставшиеся 20% - ревльные действия с доменом по результатам предыдущих 80%.