DCPromo. Что внутри?

Чтобы добавить дополнительный контроллер домена для существующего домена, нужно использовать мастер DCPromo, о котором так небрежно говорят администраторы и о тайном знании всех параметров которого мечтают все специалисты техподдержки. Что же происходит во время этого процесса? В интернете конечно, имеется огромное количество статей-комиксов с картинками, “как поднять DC с нуля”, поэтому мы сосредоточимся на самом главном – деталях установки. Итак, начнем.

Подготовка к установке AD DS

• При запуске установщик DCPromo первым делом проверяет,установлены ли двоичные файлы для Доменных Служб Active Directory . При этом неважно, добавляем ли мы роль AD DS с помощью диспетчера сервера или используя командную строку.
• Далее процесс проверяет предложенные пути для NTDS, включая путь для NTDS.DIT и путь  к System Volume Root Path (SYSVOL). Эти пути должны быть на томе NTFS и на фиксированном жестком диске.  🙂
• Выполняется принудительная синхронизация времени с доступным контроллером домена.
• Останавливается и конфигурируется служба Netlogon на повышаемом сервере.
• По пути, указанному ранее в установщике, создается папка SYSVOL ,  в нее копируется содержимое исходной базы данных AD.
• Проверяется ввод пользовательских параметров для установщика из интерфейса или файла ответов.
• Проверяется существующая среда DS ,на предмет:
  • Существует ли уже такое имя сервера в сайте и правильность его RDN.
  • Существует ли указанный пользователем при установке сайт автоматическим либо прямым обнаружением.
• Устанавливаются учетные данные для репликации.
• Конфигурируется сервер для дальнейшей установки AD DS:
  • В реестре устанавливаются параметры конфигурации DS  по пути System\CurrentControlSet\Services\NTDS\Parameters. Некоторые параметры, такие как Корневой Домен, контекст именования Конфигурации,и другие задействуются на следующем этапе установки.
  • Конфигурируется регистрация событий категорий.

Начало установки AD DS

• Из реестра считывается раздел Конфигурации DS.
• Используя DRSR RPC , создается объект NTDS Settings  на удаленном контроллере домена для создаваемого контроллера домена.
• Запускается репликация контекста именования  Схемы AD с удаленного контроллера  домена. После того, как репликация завершилась успешно, схема перезагружается.
• Запускается репликация раздела Конфигурация.
• Запускается репликация раздела Домен с удаленного контроллера  домена.
• Учетная запись компьютера преобразовывается в учетную запись контроллера домена, для возможности репликации в следующем шаге.
• Происходит репликация  критических объектов контекста именования Домена, которая отбирает для этого атрибуты, указанные в пункте 7.1.1.3  документа MS-ADTS^[3]
• После успешного завершения репликации критически важных объектов проверяется, не дублируется ли учетная запись компьютера в обновленном NTDS.DIT, который имел ту же учетную запись SAM . При совпадении учетная запись переименовывается.
• Обновляется атрибут Replication Epoch в свойствах объекта NTDS Settings контроллера домена .
• Для компьютера устанавливается корневой домен с тем же именем, к которому присоединяется компьютер .
• Удаляются промежуточные ключи реестра, используемые при установке.

Тут я не могу не обратить внимание на такой интересный атрибут, как век ms-DS.

Век — это период, на протяжении которого домену присуще определенное имя. Новый век начинается при создании домена и при изменении имени домена, так что, если вы пришли утром на работу, а ваш домен уже кто-то переименовал, вы узнаете об этом 🙂

Атрибут ms-DS-ReplicationEpoch применяется к веку, во время которого реплицируются все контроллеры домена.

Наличие значения атрибута ms-DS-ReplicationEpoch обычно означает, что домен, в котором находится сервер, был переименован. В операционных системах Microsoft Windows Server™ 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition  и выше администраторы могут переименовывать домены в лесу Active Directory после создания структуры леса. В операционной системе Windows® 2000 Server администраторы не могут переименовывать домены в лесу Active Directory после создания структуры леса.

Структура леса Active Directory определяется порядком создания доменов и именами этих доменов в иерархии. Все начинается с домена корня леса. Все дочерние домены получают свои различающиеся имена и имена DNS по умолчанию от имени домена корня леса. Это применимо к каждому дополнительному дереву в лесу.

Структура иерархии существующего дерева доменов изменяется путем переименования доменов. Например, можно переименовать дочерний домен, чтобы тот стал принадлежать другому родительскому объекту или стал новым корневым доменом дерева. В обоих примерах существующий домен создает другую структуру дерева доменов.

Также можно переименовывать домены, не влияя на структуру. Например, при переименовании корневого домена изменятся и имена всех дочерних доменов под этим корневым доменом. Однако новой структуры дерева доменов создано не будет.

Но вернемся к нашему контроллеру, который мы оставили выполнять установку в одиночестве.

После окончания установки  система потребует перезагрузить компьютер, для  завершения процедуры установки и добавления его как дополнительный контроллер для существующего домена.Описанные  выше шаги важны для понимания глубинных процессов при реализации таких сложных сценариев, как присоединение контроллера домена Windows к не Windows домену.

Ссылки

[1]   “Steps for Installing AD DS”, http://technet.microsoft.com/en-us/library/cc754438(WS.10).aspx

[2]  “How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers”, http://support.microsoft.com/kb/947034

[3]  “[MS-ADTS]: Active Directory Technical Specification”, http://msdn.microsoft.com/en-us/library/cc223122(PROT.10).aspx