Копия статьи отсюда: https://fromreallife.wordpress.com/2012/04/30/dcpromo/
Век — это период, на протяжении которого домену присуще определенное имя. Новый век начинается при создании домена и при изменении имени домена, так что, если вы пришли утром на работу, а ваш домен уже кто-то переименовал, вы узнаете об этом :)
Атрибут ms-DS-ReplicationEpoch применяется к веку, во время которого реплицируются все контроллеры домена.
Наличие значения атрибута ms-DS-ReplicationEpoch обычно означает, что домен, в котором находится сервер, был переименован.
В операционных системах Microsoft Windows Server™ 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition и выше администраторы могут переименовывать домены в лесу Active Directory после создания структуры леса. В операционной системе Windows® 2000 Server администраторы не могут переименовывать домены в лесу Active Directory после создания структуры леса.
Структура леса Active Directory определяется порядком создания доменов и именами этих доменов в иерархии. Все начинается с домена корня леса. Все дочерние домены получают свои различающиеся имена и имена DNS по умолчанию от имени домена корня леса. Это применимо к каждому дополнительному дереву в лесу.
Структура иерархии существующего дерева доменов изменяется путем переименования доменов. Например, можно переименовать дочерний домен, чтобы тот стал принадлежать другому родительскому объекту или стал новым корневым доменом дерева. В обоих примерах существующий домен создает другую структуру дерева доменов.
Также можно переименовывать домены, не влияя на структуру. Например, при переименовании корневого домена изменятся и имена всех дочерних доменов под этим корневым доменом. Однако новой структуры дерева доменов создано не будет.
Но вернемся к нашему контроллеру, который мы оставили выполнять установку в одиночестве.
После окончания установки система потребует перезагрузить компьютер, для завершения процедуры установки и добавления его как дополнительный контроллер для существующего домена.Описанные выше шаги важны для понимания глубинных процессов при реализации таких сложных сценариев, как присоединение контроллера домена Windows к не Windows домену.
Ссылки
[1] «Steps for Installing AD DS», http://technet.microsoft.com/en-us/library/cc754438(WS.10).aspx
[2] «How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers», http://support.microsoft.com/kb/947034
[3] «[MS-ADTS]: Active Directory Technical Specification», http://msdn.microsoft.com/en-us/library/cc223122(PROT.10).aspx
Чтобы добавить дополнительный контроллер домена для существующего домена, нужно использовать мастер DCPromo, о котором так небрежно говорят администраторы и о тайном знании всех параметров которого мечтают все специалисты техподдержки. Что же происходит во время этого процесса? В интернете конечно, имеется огромное количество статей-комиксов с картинками, «как поднять DC с нуля», поэтому мы сосредоточимся на самом главном — деталях установки. Итак, начнем.
Подготовка к установке AD DS
- При запуске установщик DCPromo первым делом проверяет,установлены ли двоичные файлы для Доменных Служб Active Directory . При этом неважно, добавляем ли мы роль AD DS с помощью диспетчера сервера или используя командную строку.
- Далее процесс проверяет предложенные пути для NTDS, включая путь для NTDS.DIT и путь к System Volume Root Path (SYSVOL). Эти пути должны быть на томе NTFS и на фиксированном жестком диске. :)
- Выполняется принудительная синхронизация времени с доступным контроллером домена.
- Останавливается и конфигурируется служба Netlogon на повышаемом сервере.
- По пути, указанному ранее в установщике, создается папка SYSVOL , в нее копируется содержимое исходной базы данных AD.
- Проверяется ввод пользовательских параметров для установщика из интерфейса или файла ответов.
- Проверяется существующая среда DS ,на предмет:
- Существует ли уже такое имя сервера в сайте и правильность его RDN.
- Существует ли указанный пользователем при установке сайт автоматическим либо прямым обнаружением.
- Устанавливаются учетные данные для репликации.
- Конфигурируется сервер для дальнейшей установки AD DS:
- В реестре устанавливаются параметры конфигурации DS по пути System\CurrentControlSet\Services\NTDS\Parameters. Некоторые параметры, такие как Корневой Домен, контекст именования Конфигурации,и другие задействуются на следующем этапе установки.
- Конфигурируется регистрация событий категорий.
- Из реестра считывается раздел Конфигурации DS.
- Используя DRSR RPC , создается объект NTDS Settings на удаленном контроллере домена для создаваемого контроллера домена.
- Запускается репликация контекста именования Схемы AD с удаленного контроллера домена. После того, как репликация завершилась успешно, схема перезагружается.
- Запускается репликация раздела Конфигурация.
- Запускается репликация раздела Домен с удаленного контроллера домена.
- Учетная запись компьютера преобразовывается в учетную запись контроллера домена, для возможности репликации в следующем шаге.
- Происходит репликация критических объектов контекста именования Домена, которая отбирает для этого атрибуты, указанные в пункте 7.1.1.3 документа MS-ADTS[3]
- После успешного завершения репликации критически важных объектов проверяется, не дублируется ли учетная запись компьютера в обновленном NTDS.DIT, который имел ту же учетную запись SAM . При совпадении учетная запись переименовывается.
- Обновляется атрибут Replication Epoch в свойствах объекта NTDS Settings контроллера домена .
- Для компьютера устанавливается корневой домен с тем же именем, к которому присоединяется компьютер .
- Удаляются промежуточные ключи реестра, используемые при установке.
Век — это период, на протяжении которого домену присуще определенное имя. Новый век начинается при создании домена и при изменении имени домена, так что, если вы пришли утром на работу, а ваш домен уже кто-то переименовал, вы узнаете об этом :)
Атрибут ms-DS-ReplicationEpoch применяется к веку, во время которого реплицируются все контроллеры домена.
Наличие значения атрибута ms-DS-ReplicationEpoch обычно означает, что домен, в котором находится сервер, был переименован.
В операционных системах Microsoft Windows Server™ 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition и выше администраторы могут переименовывать домены в лесу Active Directory после создания структуры леса. В операционной системе Windows® 2000 Server администраторы не могут переименовывать домены в лесу Active Directory после создания структуры леса.
Структура леса Active Directory определяется порядком создания доменов и именами этих доменов в иерархии. Все начинается с домена корня леса. Все дочерние домены получают свои различающиеся имена и имена DNS по умолчанию от имени домена корня леса. Это применимо к каждому дополнительному дереву в лесу.
Структура иерархии существующего дерева доменов изменяется путем переименования доменов. Например, можно переименовать дочерний домен, чтобы тот стал принадлежать другому родительскому объекту или стал новым корневым доменом дерева. В обоих примерах существующий домен создает другую структуру дерева доменов.
Также можно переименовывать домены, не влияя на структуру. Например, при переименовании корневого домена изменятся и имена всех дочерних доменов под этим корневым доменом. Однако новой структуры дерева доменов создано не будет.
Но вернемся к нашему контроллеру, который мы оставили выполнять установку в одиночестве.
После окончания установки система потребует перезагрузить компьютер, для завершения процедуры установки и добавления его как дополнительный контроллер для существующего домена.Описанные выше шаги важны для понимания глубинных процессов при реализации таких сложных сценариев, как присоединение контроллера домена Windows к не Windows домену.
Ссылки
[1] «Steps for Installing AD DS», http://technet.microsoft.com/en-us/library/cc754438(WS.10).aspx
[2] «How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers», http://support.microsoft.com/kb/947034
[3] «[MS-ADTS]: Active Directory Technical Specification», http://msdn.microsoft.com/en-us/library/cc223122(PROT.10).aspx
Комментариев нет:
Отправить комментарий