DCPromo. Что внутри?


Чтобы добавить дополнительный контроллер домена для существующего домена, нужно использовать мастер DCPromo, о котором так небрежно говорят администраторы и о тайном знании всех параметров которого мечтают все специалисты техподдержки. Что же происходит во время этого процесса? В интернете конечно, имеется огромное количество статей-комиксов с картинками, «как поднять DC с нуля», поэтому мы сосредоточимся на самом главном — деталях установки. Итак, начнем.

Подготовка к установке AD DS

  • При запуске установщик DCPromo первым делом проверяет,установлены ли двоичные файлы для Доменных Служб Active Directory . При этом неважно, добавляем ли мы роль AD DS с помощью диспетчера сервера или используя командную строку.
  • Далее процесс проверяет предложенные пути для NTDS, включая путь для NTDS.DIT и путь  к System Volume Root Path (SYSVOL). Эти пути должны быть на томе NTFS и на фиксированном жестком диске.  🙂
  • Выполняется принудительная синхронизация времени с доступным контроллером домена.
  • Останавливается и конфигурируется служба Netlogon на повышаемом сервере.
  • По пути, указанному ранее в установщике, создается папка SYSVOL ,  в нее копируется содержимое исходной базы данных AD.
  • Проверяется ввод пользовательских параметров для установщика из интерфейса или файла ответов.
  • Проверяется существующая среда DS ,на предмет:
    • Существует ли уже такое имя сервера в сайте и правильность его RDN.
    • Существует ли указанный пользователем при установке сайт автоматическим либо прямым обнаружением.
  • Устанавливаются учетные данные для репликации.
  • Конфигурируется сервер для дальнейшей установки AD DS:
    • В реестре устанавливаются параметры конфигурации DS  по пути System\CurrentControlSet\Services\NTDS\Parameters. Некоторые параметры, такие как Корневой Домен, контекст именования Конфигурации,и другие задействуются на следующем этапе установки.
    • Конфигурируется регистрация событий категорий.

Начало установки AD DS

  • Из реестра считывается раздел Конфигурации DS.
  • Используя DRSR RPC , создается объект NTDS Settings  на удаленном контроллере домена для создаваемого контроллера домена.
  • Запускается репликация контекста именования  Схемы AD с удаленного контроллера  домена. После того, как репликация завершилась успешно, схема перезагружается.
  • Запускается репликация раздела Конфигурация.
  • Запускается репликация раздела Домен с удаленного контроллера  домена.
  • Учетная запись компьютера преобразовывается в учетную запись контроллера домена, для возможности репликации в следующем шаге.
  • Происходит репликация  критических объектов контекста именования Домена, которая отбирает для этого атрибуты, указанные в пункте 7.1.1.3  документа MS-ADTS[3]
  • После успешного завершения репликации критически важных объектов проверяется, не дублируется ли учетная запись компьютера в обновленном NTDS.DIT, который имел ту же учетную запись SAM . При совпадении учетная запись переименовывается.
  • Обновляется атрибут Replication Epoch в свойствах объекта NTDS Settings контроллера домена .
  • Для компьютера устанавливается корневой домен с тем же именем, к которому присоединяется компьютер .
  • Удаляются промежуточные ключи реестра, используемые при установке.

Тут я не могу не обратить внимание на такой интересный атрибут, как век ms-DS.

Век — это период, на протяжении которого домену присуще определенное имя. Новый век начинается при создании домена и при изменении имени домена, так что, если вы пришли утром на работу, а ваш домен уже кто-то переименовал, вы узнаете об этом 🙂

Атрибут ms-DS-ReplicationEpoch применяется к веку, во время которого реплицируются все контроллеры домена.

Наличие значения атрибута ms-DS-ReplicationEpoch обычно означает, что домен, в котором находится сервер, был переименован. В операционных системах Microsoft Windows Server™ 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition  и выше администраторы могут переименовывать домены в лесу Active Directory после создания структуры леса. В операционной системе Windows® 2000 Server администраторы не могут переименовывать домены в лесу Active Directory после создания структуры леса.

Структура леса Active Directory определяется порядком создания доменов и именами этих доменов в иерархии. Все начинается с домена корня леса. Все дочерние домены получают свои различающиеся имена и имена DNS по умолчанию от имени домена корня леса. Это применимо к каждому дополнительному дереву в лесу.

Структура иерархии существующего дерева доменов изменяется путем переименования доменов. Например, можно переименовать дочерний домен, чтобы тот стал принадлежать другому родительскому объекту или стал новым корневым доменом дерева. В обоих примерах существующий домен создает другую структуру дерева доменов.

Также можно переименовывать домены, не влияя на структуру. Например, при переименовании корневого домена изменятся и имена всех дочерних доменов под этим корневым доменом. Однако новой структуры дерева доменов создано не будет.

Но вернемся к нашему контроллеру, который мы оставили выполнять установку в одиночестве.

После окончания установки  система потребует перезагрузить компьютер, для  завершения процедуры установки и добавления его как дополнительный контроллер для существующего домена.Описанные  выше шаги важны для понимания глубинных процессов при реализации таких сложных сценариев, как присоединение контроллера домена Windows к не Windows домену.

Ссылки

[1]   «Steps for Installing AD DS», http://technet.microsoft.com/en-us/library/cc754438(WS.10).aspx

[2]  «How to use unattended mode to install and remove Active Directory Domain Services on Windows Server 2008-based domain controllers», http://support.microsoft.com/kb/947034

[3]  «[MS-ADTS]: Active Directory Technical Specification», http://msdn.microsoft.com/en-us/library/cc223122(PROT.10).aspx

Реклама

DCPromo. Что внутри?: Один комментарий

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s