Воскресенье, 17.11.2024, 04:26

Компьютерная помощь

Записки системного администратора

Меню сайта
Категории раздела
Компьютер [36]
Общекомпьютерные темы
Windows server [18]
Статьи по версиям windows для серверов.
Windows [30]
Статьи по версиям windows для рабочих станций.
Unix [65]
Статьи на тему unix-подобных систем. Linux, FreeBSD и т.п.
Видеомонтаж [10]
Статьи по нелинейному видеомонтажу
Программирование [9]
Заметки по программированию
Databases [10]
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Вход на сайт

Поиск

Главная » Статьи » Windows server

Добавление контроллера домена под управлением Windows 2008

Эта статья предназначена для тех, у кого контроллер домена находится под управлением Windows 2000 или Windows 2003, и кто хочет добавить контроллер домена под управлением Windows 2008.

Для этого нужно сделать следующее.

Чтобы в существующем домене установить дополнительный контроллер домена под управлением Windows Server 2008 или Windows Server 2008 R2, используйте одну из следующих процедур.

При установке дополнительного контроллера домена Windows Server 2008 в лесу Windows Server 2008 не нужно выполнять подготовку леса перед началом установки. Однако если устанавливаемый дополнительный контроллер домена является первым контроллером домена Windows Server 2008 в существующем домене Windows Server 2003 или Windows 2000 Server, необходимо выполнить указанные ниже задачи.


ПРИМЕЧАНИЕ.
Если хозяин леса 32-х разрядная Windows, команду adprep нужно запускать для 32 разрядных версий. То есть вида: adprep32 /forestprep.

Более подробно о вышеназванных процедурах:

http://technet.microsoft.com/ru-ru/library/cc733027%28WS.10%29.aspx

Далее. Бывают случаи что действующие дополнительные контроллеры домена не понижены в статусе и не выведены из домена, но физически отключены, и подключить их нет возможности. В этом случае команда adprep выдает ошибку. Исправить ошибку поможет нижеследующая статья.


Данная статья посвящена процессу удаления данных из Active Directory после неудачного понижения роли контроллера домена.

Предупреждение. Неправильное изменение атрибутов объектов Active Directory с помощью оснастки редактирования ADSI, средства LDP или любого другого клиента LDAP версии 3 может привести к возникновению серьезных неполадок. В некоторых случаях их устранение связано с переустановкой Windows 2000 Server, Windows Server 2003, Exchange 2000 Server, Exchange Server 2003 или операционной системы Windows одновременно с сервером Exchange. Корпорация Майкрософт не гарантирует устранения неполадок, являющихся результатом неправильного изменения атрибутов объектов службы каталогов Active Directory. Ответственность за результаты произведенных действий несет пользователь.

Мастер установки Active Directory (программа Dcpromo.exe) используется для повышения роли сервера до контроллера домена и для понижения роли контроллера домена до рядового сервера (или изолированного сервера в составе рабочей группы, если этот контроллер был последним в данном домене). В процессе понижения роли контроллера домена программа Dcpromo.exe удаляет из Active Directory сведения о его конфигурации. Эти сведения представлены объектом NTDS Settings, который является дочерним для объекта-сервера в оснастке "Active Directory – cайты и службы".

Сведения хранятся в Active Directory по адресу:

CN=NTDS Settings,CN=<имя_сервера>,CN=Servers,CN=<имя_узла>,CN=Sites,CN=Configuration,DC=<домен>...

Атрибуты объекта NTDS Settings содержат данные о способе идентификации контроллера домена участниками репликации, контексты именования, существующие на компьютере, политику запросов по умолчанию и данные о том, является ли контроллер домена сервером глобального каталога. Объект NTDS Settings является контейнером, который может содержать дочерние объекты, представляющие собой прямых участников репликации данного контроллера домена. Эти данные необходимы для работы контроллера домена, но становятся ненужными после понижения его роли.

Если объект NTDS Settings не был удален корректно (например, после попытки понижения роли), администратор может вручную удалить метаданные объекта сервера. В ОС Windows Server 2008 и Windows Server 2008 R2 администратор может сделать это, удалив объект сервера в оснастке "Пользователи и компьютеры Active Directory".

В ОС Windows Server 2003 и Windows 2000 Server для удаления объекта NTDS Settings администратор может использовать программу Ntdsutil.exe. Ниже приведены инструкции по удалению объекта NTDS Settings из Active Directory для заданного контроллера домена. В каждом меню программы Ntdsutil для получения сведений о доступных параметрах можно использовать команду help.

Перейти к началу страницы

Windows Server 2003 с пакетом обновления 1 (SP1) или более поздним: усовершенствованная версия программы Ntdsutil.exe

Версия программы Ntdsutil.exe, входящая в пакет обновления 1 (SP1) или более поздний пакет обновления для Windows Server 2003, была усовершенствована для обеспечения полноты процесса очистки метаданных. При очистке метаданных программа Ntdsutil.exe в составе пакета обновления 1 (SP1) или более позднего пакета обновления выполняет описанные ниже операции.

  • Удаляет объект NTDSA или NTDS Settings.
  • Удаляет объекты входящих подключений Active Directory, которые используются существующими конечными контроллерами домена для репликации из удаляемого исходного контроллера домена.
  • Удаляет учетную запись компьютера.
  • Удаляет объект члена FRS.
  • Удаляет объекты подписчиков FRS.
  • Выполняет попытку перехвата ролей одиночного гибкого хозяина операций (также именуемых операциями одиночного гибкого хозяина или FSMO), которыми обладает удаляемый контроллер домена.

Внимание! Перед удалением объекта NTDS Settings вручную убедитесь, что после понижения роли была произведена репликация. Неправильное использование программы NTDSUTIL может повлечь за собой частичную или полную неработоспособность службы Active Directory.

Перейти к началу страницы

Первый метод: только для Windows Server 2003 с пакетом обновления 1 (SP1) или более поздним пакетом обновления

  1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
  2. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  3. Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
  4. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
  5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.

    Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:

Ошибка 2094. Невозможно удалить объект DSA0x2094

  1. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  2. Введите команду select operation target и нажмите клавишу ВВОД.
  3. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
  4. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
  5. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
  6. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
  7. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
  8. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
  9. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  10. Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO.

Ошибка 8419 (0x20E3)
Не удается найти объект DSA



Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.

  1. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера.
  2. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.

    Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
  3. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.

    Внимание! Если удаляется DNS-сервер, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен.

    Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
  4. Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:

a.      Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку .

b.     Разверните контейнер Domain NC.

c.      Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.

d.     Разверните узел CN=System.

e.      Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.

  1. Для удаления контроллера домена с помощью оснастки "Active Directory – cайты и службы" Для этого выполните следующие действия:

 .        Запустите оснастку "Active Directory – сайты и службы".

a.      Разверните элемент Узлы.

b.     Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name.

c.      Разверните элемент Сервер.

d.     Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.

  1. При использовании репликации DFS в системе Windows Server 2008 или более поздней версии текущая версия средства Ntdsutil.exe не выполняет очистку объекта репликации DFS. В этом случае объекты репликации DFS для доменных служб Active Directory (AD DS) можно исправить вручную с помощью оснастки Adsiedit.msc. Для этого выполните действия, указанные ниже.

 .        Войдите на контроллер домена как администратор домена.

a.      Запустите оснастку Adsiedit.msc.

b.     Подключитесь к контексту именования по умолчанию.

c.      Найдите следующий контейнер топологии репликации DFS:

CN=Topology,CN=Domain System Volume,CN=DFSR-Globalsettings,CN=System,DC=Your Domain,DC=Domain Suffix

.

d.                 Удалите объект CN msDFSR-Member с именем старого компьютера.

Перейти к началу страницы

Второй метод: Windows 2000 (все версии) Windows Server 2003 RTM

  1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
  2. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  3. Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
  4. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
  5. Введите команду connect to server имя_сервераи нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.

    Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:

Ошибка 2094. Невозможно удалить объект DSA0x2094

  1. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  2. Введите команду select operation target и нажмите клавишу ВВОД.
  3. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
  4. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
  5. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
  6. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
  7. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
  8. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
  9. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  10. Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Если появляется следующее сообщение об ошибке:

Ошибка 8419 (0x20E3)
Не удается найти объект DSA.

Это значит, что объект NTDS Settings был удален ранее другим администратором или в результате репликации удаления объекта после запуска программы Dcpromo.

Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.

  1. Введите во всех меню команду quit, чтобы завершить работу Ntdsutil. Появится сообщение об отключении от сервера.
  2. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись, то она может быть использована существующими контроллерами домена.

    Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.

После удаления объекта NTDS Settings можно удалить учетную запись компьютера, объект FRS, запись типа cname (Alias) в контейнере _msdcs, запись A (Host) в DNS, объект trustDomain удаленного дочернего домена и контроллер домена.

Примечание. Удалять объект FRS в Windows Server 2003 RTM вручную не нужно, потому что программа Ntdsutil.exe удаляет его при ее запуске. Метаданные учетной записи компьютера не могут быть удалены, если учетная запись контроллера домена содержит другой оконечный листовой объект. Например, на контроллере домена могут быть установлены службы удаленной установки (RIS).

Средство Adsiedit входит в состав пакета средств поддержки для Windows 2000 Server и Windows Server 2003. Чтобы установить пакет средств поддержки, выполните следующие действия:

  • Windows 2000 Server: Перейдите в папку Support\Tools, находящуюся на компакт-диске Windows 2000 Server, дважды щелкните файл Setup.exe и следуйте инструкциям, появляющимся на экране.
  • Windows Server 2003: Перейдите в папку Support\Tools, находящуюся на компакт-диске Windows 2003 Server, дважды щелкните файл Suptools.msi, нажмите кнопку Установить и следуйте инструкциям мастера установки.
  1. Для удаления учетной записи компьютера с помощью ADSIEdit Для этого выполните следующие действия:

a.      Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК.

b.     Разверните контейнер Domain NC.

c.      Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.

d.     Разверните узел OU=Domain Controllers.

e.      Щелкните правой кнопкой мыши CN=имя контроллера домена и выберите команду Удалить.

Если появится сообщение об ошибке "Невозможно удалить объект DSA", измените значение параметра UserAccountControl. Для этого щелкните правой кнопкой мыши контроллер домена в ADSIEdit и выберите команду Properties. В списке Select a property to view выберите параметр UserAccountControl. Нажмите кнопку Clear, введите значение 4096 и нажмите кнопку Set. Теперь объект можно удалить.

Примечание. Объект подписчика FRS является дочерним объектом учетной записи компьютера и удаляется одновременно с объектом-компьютером.

  1. Для удаления объекта FRS с помощью средства ADSIEdit Для этого выполните следующие действия:

 .        Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК.

a.      Разверните контейнер Domain NC.

b.     Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.

c.      Разверните узел CN=System.

d.     Разверните узел CN=File Replication Service.

e.      Разверните узел CN=Domain System Volume (SYSVOL share).

f.       Правой кнопкой мыши щелкните подлежащий удалению контроллер домена и выберите команду Удалить.

  1. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Кроме того, необходимо удалить запись типа cname (Alias) в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.

    Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS щелкните правой кнопкой мыши имя домена в списке Зоны прямого просмотра, выберите пункт Свойства и удалите сервер на вкладке Серверы имен.

    Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
  2. Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:

 .       Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК.

a.      Разверните контейнер Domain NC.

b.     Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.

c.      Разверните узел CN=System.

d.     Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.

  1. Для удаления контроллера домена с помощью оснастки "Active Directory – cайты и службы" Для этого выполните следующие действия:

 .        Запустите оснастку "Active Directory – сайты и службы".

a.      Разверните элемент Узлы.

b.     Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name.

c.      Разверните элемент Сервер.

d.     Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.

Дополнительный синтаксис с расширенными возможностями в программе Ntdsutil.exe, содержащейся в пакете обновления 1 (SP1) или более позднем пакете обновления

В Windows Server 2003 с пакетом обновления 1 (SP1) может использоваться новый синтаксис. При использовании нового синтаксиса нет необходимости выполнять привязывание к службе каталогов и выбирать цель операции. Для использования нового синтаксиса необходимы сведения относительно DN объекта NTDS Settings понижаемого сервера. Чтобы воспользоваться новым синтаксисом для очистки метаданных, выполните следующие действия.

  1. Запустите строку ntdsutil.
  2. Выберите команду очистки метаданных prompt.
  3. Запустите следующую команду:

remove selected server <DN of the server object in the config container>

Ниже приведен пример этой команды.

Примечание. Указанная команда состоит из одной строки, которая была разбита на несколько.

Remove selected server cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=<forest_root_domain>

  1. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.

    Кроме того, рекомендуется удалять имя компьютера и другие, связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
  2. Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:

a.      Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку .

b.     Разверните контейнер Domain NC.

c.      Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.

d.     Разверните узел CN=System.

e.      Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.

  1. Для удаления контроллера домена с помощью оснастки "Active Directory – cайты и службы" Для этого выполните следующие действия:

 .        Запустите оснастку "Active Directory – сайты и службы".

a.      Разверните элемент Узлы.

b.     Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name.

c.      Разверните элемент Сервер.

d.     Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.

 Более подробно: http://support.microsoft.com/kb/216498

 

Работа с программой Adprep.exe: http://technet.microsoft.com/ru-ru/library/dd464018%28v=ws.10%29.aspx

 

 

Категория: Windows server | Добавил: admin (26.03.2012)
Просмотров: 7585 | Комментарии: 10 | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *: