Windows server 2012 r2 перенос домена

Обновлено: 09.01.2025

Эта страница содержит ссылки на информацию и инструменты, которые помогут вам в процессе переноса ролей и компонентов в более новую версию Windows Server. Вы можете перенести файловые серверы и хранилище с помощью службы миграции хранилища, в то время как многие другие роли и компоненты можно перенести с помощью средств миграции Windows Server. Это набор командлетов PowerShell, которые были введены в Windows Server 2008 R2 для переноса ролей и компонентов.

Руководства по миграции охватывают перенос определенных ролей и компонентов с одного сервера на другой (не обновление на месте). Если в руководствах не указано иное, поддерживается перенос между физическими и виртуальными компьютерами, а также между серверами Windows Server, для которых была выполнена полная установка, и серверами, для которых была выполнена только установка основных серверных компонентов.

Перед началом работы

Перед началом переноса ролей и компонентов убедитесь, что исходный и целевой серверы работают под управлением операционных систем с последними пакетами обновления, которые для них доступны.

При миграции или обновлении до любой версии Windows Server следует просмотреть и понять политику сроков поддержки и период времени для этой версии и плана соответственно. Вы можете найти информацию о сроках для определенного выпуска Windows Server, который вас интересуют.

Windows Server 2019

Для переноса файловых серверов и хранилища на Windows Server 2019 или Windows Server 2016 рекомендуется использовать службу миграции хранилища. Сведения о переносе других ролей приведены в руководстве по Windows Server 2016 и Windows Server 2012 R2.

Windows Server 2016

Ниже приведены руководства по миграции для Windows Server 2016. Обратите внимание на то, что во многих случаях можно также использовать руководства по миграции для Windows Server 2012 R2.

Для переноса файловых серверов в Windows Server 2019 или Windows Server 2016 рекомендуется использовать службу миграции хранилища.

Windows Server 2012 R2

Следуйте инструкциям в этих руководствах для переноса ролей и компонентов с серверов под управлением Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2 на Windows Server 2012 R2. Средства миграции Windows Server в Windows Server 2012 R2 поддерживают перенос между различными подсетями.

Теперь доступна электронная книга руководства по миграции Windows Server 2012 R2 и Windows Server 2012. Чтобы получить дополнительные сведения и скачать электронную книгу, ознакомьтесь с коллекцией электронных книг по технологиям Майкрософт.

Windows Server 2012

Следуйте инструкциям в этих руководствах для переноса ролей и компонентов с серверов под управлением Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 на Windows Server 2012. Средства миграции Windows Server в Windows Server 2012 поддерживают перенос между различными подсетями.

Для получения дополнительных материалов по миграции ознакомьтесь с разделом Перенос ролей и компонентов на Windows Server.

Windows Server 2008 R2

Следуйте инструкциям в этих руководствах для переноса ролей и компонентов с серверов под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 на Windows Server 2008 R2. Средства миграции Windows Server в Windows Server 2008 R2 не поддерживают перенос между различными подсетями.

Для получения дополнительных материалов по миграции ознакомьтесь с разделом Migrate Server Roles to Windows Server 2008 R2 (Перенос ролей и компонентов в Windows Server 2008 R2).

Иногда случается что по тем или иным причинам необходимо передать или же насильно забрать роли FSMO с главного контроллера домена на резервный / новый контроллер домена. Рассмотрим на примере как это можно сделать.

• Главный контроллер домена на базе Windows Server 2012 R2 (DC1, jakonda.local, 192.168.0.2)
• Дополнительный контроллер домена на базе Windows Server 2012 R2 (DC2, jakonda.local, 192.168.0.3)

1. Главный контроллер домена DC1 начал глючить и необходимо передать права FSMO на резервный DC2. Понизить DC1 до уровня обычного сервера и вывести его использования.
2. Главный контроллер домена DC1 приказал долго жить и необходимо принудительно забрать роли FSMO на резервный DC2. На DC2 подчистить все упоминания о DC1.

Добровольная передача ролей FSMO с главного на резервный контроллер домена.

Перед тем как начать, нужно проверить состоит ли пользователь от которого будут выполнятся действия, в группах Domain Admins, Schema Admin. Запускаем от администратора командную строку на дополнительном контроллере домена DC2 (рекомендуется выполнять все действия на контроллере домена, которому назначаются роли FSMO). Смотрим список имеющихся контроллеров домена:

Проверим кто является владельцем ролей FSMO:

Видим что владельцем является DC1.jakonda.local

Переносить роли будем в командной строке при помощи утилиты NTDSUTIL (инструмент управления и обслуживания каталога Active Directory).

Перед тем как переносить FSMO роли на дополнительный контроллер домена, необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory. Если этого не сделать, то роль Schema перенести не удастся.

В командной строке вбиваем:

Теперь приступаем к переносу ролей. В командной строке запущенную от администратора вбиваем:

Выбираем сервер котором назначать роли:

После подключения к серверу DC2 мы получаем приглашение к управлению ролями (fsmo maintenance) и передаем ему роли:

В процессе переноса каждой роли будет запрошено подтверждение.

Выделяем оснастку Active Directory Schema, нажимаем Add > и подтверждаем добавление, ОК.

И теперь так же как и в предыдущих оснастках выполняем передачу роли.

После того как роли переданы, проверим кто теперь является владельцем всех ролей. В командной строке вбиваем:

Все роли переданы DC2.jakonda.local, как нам и нужно было.

Теперь понижаем роль AD DS на DC1 до обычного сервера. В Windows Server 2012 R2 понизить роль можно через PowerShell либо через Server Manager. Понижать роль будем через PowerShell, т.к. это удобней и быстрей. Запускаем PowerShell на DC1 и вводим:

Будет предложено задать пароль Администратора, задаем его и подтверждаем удаление AD DS (Y).

Запустится процесс удаления AD DS, по окончании появится уведомление и системам перезагрузится.

После понижения роли на DC1, службы AD DS не удаляются и при желании можно вновь повысить DC1 до уровня контроллера домена. Теперь осталось на DC2 почистить оставшиеся следы от DC1.

Подтверждаем два раза удаление сервера DC1. Нажимаем Yes, Yes.

Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним. DC2 стал главным контроллером домена, а DC1 выведен из эксплуатации.

Принудительный захват ролей FSMO с главного на резервный контроллер домена.

Принудительный захват ролей FSMO выполняется практически аналогично, добровольной передачи ролей. Только в нашем случае главный DC1 сломался, не включается и т.д. Все действия по захвату ролей будем производить на исправном DC2.

Перед тем как начать, нужно проверить наличие состоит ли пользователя от которого будут выполнятся действия, в группах Domain Admins, Schema Admin.

Регистрируем в системе библиотеку управления схемой Active Directory. Запускаем от администратора командную строку и вбиваем:

Хочу рассказать о том, как я обновлял главный контроллер домена (PDC) с Windows Server 2008 R2 на Windows Server 2012 R2. Матерым тру админам статья скорее всего не пригодится. Тут будут описаны очевидные им вещи. Однако, для простых эникейщиков эта заметка (слишком мала для статьи) вполне может быть полезна.

В моем распоряжении небольшая сеть. Развернут домен и всего 1 контроллер домена на базе Windows Server 2008 R2. Цель - обновить контроллер домена так, чтобы домен не вышел из стоя. В качестве рабочей машины у меня используется Windows 8.1. Это важно, потому что начиная с Windows 8 в клиентские версии операционных систем стали добавлять Hyper-V.

1. Создаем виртуальную машину и устанавливает на нее Windows Server 2012 R2.
2. Добавляем его в домен.
3. Добавляем серверу роль AD DS.
4. Делаем его масретом инфраструктуры, PDC, мастером RID, мастером схемы и мастером имен.
5. Удаляем с обновляемого сервера роль AD DS и все другие роли, которые реплицируются между контроллерами домена.
6. Выводим обновляемый сервер из домена вообще.
7. Устанавливаем (предварительно отформатировав диски) на нем Windows Server 2012 R2.
8. Добавляем новому серверу роль AD DS.
9. Делаем его масретом инфраструктуры, PDC, мастером RID, мастером схемы и мастером имен.
10. Удаляем с виртуального сервера роль AD DS и все другие роли, которые реплицируются между контроллерами домена.
11. Выводим виртуальный сервер из домана.
12. Удаляем виртуальную машину.

Т.е. все очень просто. На момент пока реального сервера не будет в живых, его функции будет выполнять виртуальный сревер.

Узнать кто у нас кто в домене можно командой:

Как переносить роли контроллеров домена:

Делается это с помощью команды ntdsutil . Запускать ее мы будем на %servername%, т.е. сервере, который хотим сделать самым главным.

1. roles - будем управлять владельцами NTDS ролей
2. connections - будем подключаться к какой AD DS
3. connect to server %servername% - подключаемся к серверу %servername%.
4. q - выходим из режима подключений
5. ? - смотрим что мы можем делать
6. transfer infrastructure master
7. transfer naming master
8. transfer PDC
9. transfer RID master
10. transfer schema master
11. выходим из утилиты набрав два раза q .

Разумеется после того, как контроллер домена (уже обновленный) вернулся на свое место, на нем необходимо развернуть все те роли, что были развернуты раньше. Вы ведь не забыли сделать бекап?

© 2006-2021 - Виталий Лещенко , сборка: 20201228.1-nanoserver-1809 .

12.12.2019

Active Directory, Windows Server 2012 R2, Windows Server 2016

комментариев 13

В этой статье мы рассмотрим, как определить контроллеры домена с ролями FSMO в Active Directory, способы передачи одной или нескольких FSMO ролей другому контроллеру домена (дополнительному), а также способ принудительного захвата FSMO ролей в случае выхода из строя контроллера домена, которой является владельцем роли.

Для чего нужны FSMO роли в домене Active Directory?

Кратко попытаюсь напомнить для чего нужный роли FSMO (Flexible Single Master Operation, операции с одним исполнителем) в домене Active Directory.

Не секрет, что в Active Directory большинство стандартных операций (таких как заведение новых учетных записей пользователей, групп безопасности, добавление компьютера в домен) можно выполнять на любом контроллере домена. За распространение этих изменений по всему каталогу AD отвечает служба репликации AD. Различные конфликты (например, одновременное переименование пользователя на нескольких контроллерах домена) разрешаются по простому принципу — кто последний тот и прав. Однако есть ряд операций, при выполнении которых недопустимо наличие конфликта (например, при создании нового дочернего домена/леса, изменении схемы AD и т.д). Для выполнения операций, требующих обязательной уникальности нужны контроллеры домена с ролями FSMO. Основная задача ролей FSMO – не допустить конфликты такого рода

Всего в домене Active Directory может быть пять ролей FSMO.

Две уникальные роли для леса AD:

1. Хозяин схемы (Schema master) – отвечает за внесение изменение в схему Active Directory, например, при расширении с помощью команды adprep /forestprep (для управления ролью нужны права “Schema admins”);
2. Хозяин именования домена (Domain naming master) – обеспечивает уникальность имен для всех создаваемых доменов и разделов приложений в лесу AD (для управления нужны права “Enterprise admins”);

И три роли для каждого домена (для управления этими ролями ваша учетная запись должна состоять в группе “Domain Admins”):

Просмотр владельцев FSMO ролей в домене

Как определить какой контролер домена является хозяином/владельцем конкретной FSMO роли?

Чтобы найти всех владельцев FSMO ролей в домене AD, выполните команду:

netdom query fsmo

Можно просмотреть FSMO роли для другого домена:

В этом примере видно, что все FSMO роли расположены на контроллере домена DC01. При развертывании нового леса AD (домена), все FSMO роли помещаются на первый DC. Любой контроллер домена кроме RODC может быть хозяином любой FSMO роли. Соответственно, администратора домена может передать любую FSMO роль на любой другой контроллер домен.

Можно получить информацию о FSMO ролях в домене через PowerShell с помощью Get-ADDomainController (должен быть установлен модуль Active Directory для PowerShell из состава RSAT):

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles |Where-Object

Или можно получить FSMO роли уровня леса и уровня домена так:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Общие рекомендации Microsoft по размещении FSMO ролей на контроллерах домена:

1. Роли уровня леса (Schema master и Domain naming master) нужно расположить на контроллере корневого домена, который одновременно является сервером глобального каталога (Global Catalog);
2. Все 3 доменные FSMO роли нужно разместить на одном DC с достаточной производительностью;
3. Все DC в лесу должны быть серверами глобального каталога, т.к. это повышает надежность и производительность AD, при этом роль Infrastructure Master фактически не нужна. Если у вас в домене есть DC без роли Global Catalog, нужно поместить FSMO роль Infrastructure Master именно на него;
4. Не размешайте другие задачи на DC, владельцах FSMO ролей.

В Active Directory вы можете передать FSMO роли несколькими способами: с помощью графических mmc оснасток AD, с помощью утилиты ntdsutil.exe или через PowerShell. О переносе ролей FSMO обычно задумываются при оптимизации инфраструктуры AD, при выводе из эксплуатации или поломке контроллера домена с ролью FSMO. Есть два способа передачи FSMO ролей: добровольный (когда оба DC доступны) или принудительный (когда DC с ролью FSMO недоступен/вышел из строя)

Передача FSMO ролей с помощью PowerShell

Самый простой и быстрый способ передачи FSMO ролей в домене – PowerShell командлет Move-ADDirectoryServerOperationMasterRole.

Вы можете передать на указанный DC одну или несколько FSMO ролей за раз. Следующая команда выполнит передачу двух ролей на DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

В аргументе OperationMasterRole можно указать как имя FSMO роли, так и ее индекс в соответствии с таблицей:

PDCEmulator	0
RIDMaster	1
InfrastructureMaster	2
SchemaMaster	3
DomainNamingMaster	4

Предыдущая команда в более коротком виде выглядит так:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1

А чтобы передать сразу все FSMO роли на дополнительный контроллер домена, выполните:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Передача FSMO ролей из графических оснасток Active Directory

Для переноса FSMO ролей можно использовать стандартные графические оснастки Active Directory. Операцию переноса желательно выполнять на DC с FSMO ролью. Если же консоль сервера не доступна, необходимо выполнить команду Change Domain Controller и выбрать контроллер домена в mmc-оснастке.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

Для передачи ролей уровня домена (RID, PDC, Infrastructure Master) используется стандартная консоль Active Directory Users and Computers (DSA.msc)

Передача роли Schema Master

Для переноса FSMO уровня леса Schema Master используется оснастка Active Directory Schema.

Передача FSMO роли Domain naming master

Передача FSMO ролей из командной строки с помощью утилиты ntdsutil

Внимание: Использовать утилиту ntdsutil необходимо с осторожностью, четко понимая, что вы делаете, иначе можно просто сломать ваш домен Active Directory!

1. На контроллере домена откройте командную строку и введите команду: ntdsutil
2. Наберите команду: roles
3. Затем: connections
4. Затем нужно подключиться к DC, на который вы хотите передать роль. Для этого наберите: connect to server <servername>
5. Введите q и нажмите Enter.
6. Для передачи FSMO роли используется команда: transfer role , где <role> это роль которую вы хотите передать. Например: transfer schema master , transfer RID и т.д.
7. Подтвердите перенос FSMO роли;
8. После переноса ролей нажмите q и Enter, чтобы завершить работу с ntdsutil.exe;
9. Перезагрузите контроллер домена.

Принудительный захват FSMO ролей Active Directory

Если DC с одной из FSMO ролью вышел из строя (и его не возможно восстановить), или недоступен длительное время, вы можете принудительно перехватить у него любую из FSMO ролей. Но при этом крайне важно убедиться, что сервер, у которого забрали FSMO роль никогда не должен появится в сети, если вы не хотите новых проблем с AD (даже если вы позднее восстановите DC из резервной копии). Если вы захотите вернуть потерянный сервер в домен, единственный правильный способ – удаление его из AD, чистая переустановка Windows под новым именем, установка роли ADDS и повышение сервера до контроллера домена

Вы можете принудительно захватить FSMO роли с помощью PowerShell или утилиты NTDSUtil.

Проще всего захватить FSMO роль через PowerShell. Для этого используется тот-же самый командлет Move-ADDirectoryServerOperationMasterRole, что и для переноса роли, но добавляется параметр –Force.

Например, чтобы захватить роль PDCEmulator и принудительно передать ее на DC02, выполните:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator –Force

Также вы можете перенести роли FSMO на сервер DC02 с помощью утилиты ntdsutil. Процедура захвата роли через ntdsutil похожа на обычную передачу. Используйте следующие команды:

ntdsutil
roles
connections
connect to server DC02 (на этот сервер вы перенесете роль)
quit

Для захвата различных ролей FSMO используйте команды:
seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit

Читайте также:

  
• Как развернуть окно на весь экран mac os
  
• Linux замена pulseaudio на pipewire
  
• Centos 7 vnc server настройка
  
• Подтверждение вашей личности windows 10 как убрать
  
• Как добавить поиск google в linux mint