Как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2
Всем привет! Сегодня расскажу, как добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2. Напомню что ранее я описывал процесс "Как установить Active directory в windows server 2008R2", и один рабочий контроллер домена мы уже имеем. И не давно, когда я создавал тестовый домен msk.pyatilistnik.org я неправильно назвал DC и мне пришлось его переименовывать, советую почитать. Приступаем к добавлению второго контроллера в существующий лес, по времени это занимает около 5-10 минут.
Как видите я уже подготовил сервер для DC, у меня он называется dc3.msk.pyatilistnik.org, у него уже есть помимо имени статический ip адрес, установлены свежие патчи безопасности и антивирусное решение.
Для установки роли Active Directory откройте кнопку пуск и введите да более знакомое слово dcpromo в поисковой форме.
Откроется мастер установки доменных служб Active Directory, жмем запуска основного меню мастера инсталляции.
На первом окне мастера установки доменных служб Active Directory просто нажимаем кнопку "Далее"
Следующим окном мастера будет вводная информация, где вам расскажут про совместимость и усиленную безопасность, жмем далее.
Теперь ставим галку "Существующий лес, добавить контроллер домена в существующий домен"
указываем имя домена для присоединения
Выбираем домен для данного дополнительного контроллера домена
Выбираем сайт, в моем случае, это идущий по умолчанию "Default-First-Site-Name"
Начнется проверка конфигурации DNS
Далее указываем, что у нас север будет DNS сервером еще и Глобальным каталогом, контроллер для чтения нас не интересует.
Видим, что делегирование DNS сервера невозможно, но все равно мы нажимаем продолжить работу.
На следующем этапе мы можем задать каталоги хранения файлов базы данных, журналов и папки SYSVOL.
задаем пароль администратора режима восстановления служб каталогов AD, она может отличаться от пароля администратора домена
Последнее Далее. Начнется установка.
Ставим галку перезагрузка по завершении.
Через некоторое время сервер перезагрузится и вы получите второй домен контроллер. Откройте оснастку Active Directory Пользователи и компьютеры на первом DC, и перейдите в контейнер Domain Controllers, как видите DC03 появился в списке.
Откроем Power shell и проверим реплику командой repadmin /syncall. Проверять нужно минут через 5 после того как второй домен контроллер загрузился. Видим, что ошибок репликации нет.
Вот так вот просто добавить контроллер домена в существующий лес Active Directory Windows Server 2008 R2.
Материал сайта pyatilistnik.org
Спасибо за подробный рассказ, очень доступно объяснили.
А на Windows Server 2016, все так же будет?
Роман, конечно.
Подскажите, как исправить ошибку выдаваемую при проверке репликации на втором домен контроллере: СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Ошибка выдачи репликации: 8453 (0x2105):
Доступ к репликации отвергнут.
dsdiag выдал: Запуск проверки: NetLogons
[SRV-DC02] В учетных данных пользователя отсутствует разрешение на выполнение данной операции.
Учетная запись, используемая для этой проверки, должна иметь права на вход в сеть
для домена данного компьютера.
……………………. SRV-DC02 — не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
вы откройте командную строку от имени администратора, при наличии конечно прав админа домена.
А если домены в разных частях города и между ними только internet 15Mbit? Если стоит задачу быстро реплицировать туда базы, то почитайте у меня на сайте про внешний загрузочный носитель IFM.
Сайты вам в помощь, настраиваете два сайта с подсетками и делаете реплику, по умолчанию это 90 минут
Подскажите, я когда вызываю dcpromo, запускается мастер установки Active Directiry, но там написано следующее: «Этот компьютер уже является контроллером домена Active Directory. Этот мастер может использоваться для удаления службы каталогов Active Directory на этом контроллер домена». В результате дальше в мастере происходит удаление, а не создание нового. Подскажите, что делать в данной ситуации?
Отличная статья!Спасибо Вам за титанический труд, постоянно помогает Ваша работа, а так же пошаговая инструкция.
Вопрос следующий — Организация не большая, имеется DC1 с умирающим железом. Создал и добавил в лес по данной инструкции DC2. Как правильно вывести DC1?
Добрый день!
1. Передаете роли FSMO на подобие http://pyatilistnik.org/prinuditelnyiy-zahvat-roley-fsmo-v-active-directory/
2. Понижаете роль DC1, если он умрет то вот http://pyatilistnik.org/kak-udalit-nedostupnyiy-kontroller-domena-windows-server-2012/
Вопрос может глупый. В общем мне достался в «наследство» один контроллер домена, я по данной статье поднял дополнительный контроллер. Но вот в чем вопрос, а DNS сервер тоже нужно на этом серваке поднимать ?… он не продублировался с первого контроллера домена ?
Контроллер домена в идеале должен иметь на себе роль DNS, о умолчанию она ставится, если вы только не убирали галку. Откройте на втором контроллере домена оснастку DNS и посмотрите, есть роль или нет, доставить ее 5 минут.
Здравствуйте, по статье поднял второй контроллер домена. вопрос что указывать на первичном и вторичном контроллерах домена в качестве DNS ?
Сейчас у DC1 стоит 127.0.0.1 у DC2 — ip первого.
Себя, потом дублера. По поводу 127.0.0.1 ходит много споров и сломано много копий, лично я прописываю полный ip адрес, а не петлевой
Иван, здравствуйте. Как мне поступить правильно? Уже всю голову сломал. Имею сеть на 100 машин и один КД на WS 2008r2. Хочу добавить второй КД на server 2016. Я вообще могу добавить 2016 сервер вторым к 2008r2? Или надо сначала 2012 ?
И второе, домен называется как раньше советовали firma.local. Хотя мы и имеем зарегистрированное имя второго уровня domain.ru. Стоит ли переименовывать домен вообще сначала?
Да можете добавить, но нужно будет расширить схему, и уровень функцианирования домена и леса будет 2008, пока вы не избавитесь от 2008. Тут алгоритм простой, ставите 2016, все синхронизируете, передаете на него роли FSMO, проверяете все реплики, после чего можете понижать 2008 и за место него вводить еще один 2016.
DNS в настройках сети какой нужно указывать? Такие косяки обычно всплывают в самом конце.