Разворачиваем дополнительный контроллер домена на базе Windows Server 2012 R2. Репликация, настройка работы DHCP с основным контроллером домена.
Active Directory — это сервис каталогов корпорации Microsoft для операционных систем семейства Windows Server. Основная цель Active Directory — облегчить системным администраторам работу по администрированию и обслуживанию компьютеров, серверов и сети.
В этой статьe мы разобрали как развернуть контроллер домена на базе Windows Server 2012 R2. Теперь наша задача развернуть дополнительный контроллер домена, который будет подстраховкой в случае если основной выйдет из строя.
Итак мы имеем в работе:
- Основной контроллер домена Windows Server 2012 R2 (
DC1, jakonda.local, 192.168.0.2
) с развернутыми службамиAD DS, DNS, DHCP
.
Наша задача:
- Развернуть дополнительный контроллер домена на базе Windows Server 2012 R2, выполнить предварительную настройку системы.
- Поднять на дополнительном контроллере роли AD DS, DNS, DHCP.
- Настроить репликацию данных.
- Выполнить настройку работы DHCP сервера совместно с основным контроллером домена.
Проделываться все действия будут на виртуальной машине.
Установка Windows Server 2012 R2 и подготовительная настройка системы
Устанавливаем Windows Server 2012 R2 Standart with GUI
. После установки системы обязательно:
- Устанавливаем все имеющиеся обновления на текущий момент.
- Выставляем корректную временную зону (
+03:00 Moscow, St. Petersburg, Volgograd
). - Изменяем имя системы на (прим.
DC2
). - Указываем в системе статический IP-адрес (в моем случае это будет
192.168.0.3
), в качестве предпочитаемого DNS сервера указываем адрес DNS сервера на основном контроллере доменаDC1 (192.168.0.2)
и в качестве альтернативного DNS сервера указываем адрес который мы присвоили на текущем сервереDC2 (192.168.0.3)
.
- Вводим систему в имеющийся домен
jakonda.local
.
На этом подготовка системы завершена, можно приступать к развертыванию необходимых ролей.
Поднимаем роли AD DS + DNS на дополнительном контроллере домена
Все действия по развертыванию и настройке ролей на дополнительном контроллере домена, мы будем производить с основного контроллера домена. Поэтому заходим в моем случае на основной контроллер домена DC1 (192.168.0.2)
и добавим наш дополнительный сервер в основной, Manage - Add Servers
.
Переходим во вкладку DNS
, в поле Search
вбиваем IP-адрес нашего дополнительного сервера (в моем случае 192.168.0.3
), сервер должен появится в списке найденных, выделяем его и нажимаем кнопку переместить (>). Нажимаем ОК
.
После добавления сервера, если перейти в All Servers
, то мы увидим что у нас там теперь два сервера. Теперь можно из основного сервера добавлять, настраивать роли на другом сервере.
Добавляем новую роль на дополнительном сервере DC2
. Переходим Server Manager — Manage — Add Roles and Features
.
Выбираем первый пункт Role-based or feature-based installation
(Базовая установка ролей и компонентов).Нажимаем Next
.
Выбираем Select a server from the server pool
и выбираем сервер из списка, т.к. мы настраиваем дополнительный сервер, то выделяем dc2.jakonda.local
и нажимаем Next
.
Далее все как и в статье по развертыванию контроллера домена:
- Отмечаем галочкой роль
Active Directory Domain Services
, в подтверждающем запросе добавления роли и компонентов, необходимых для установки AD нажимаемAdd Features
. - В выборе установки дополнительных компонентов, ничего не выбираем.
- На завершающих этапах установки нажимаем
Next
иInstall
.
По завершении установки роли AD DS в Server Manager
нажимаем на значок Флажка с восклицательным знаком и выбираем Promote this server to a domain controller
(Повысить этот сервер до контроллера домена). Запустится мастер конфигурирования AD DS для сервера DC2
.
Т.к. мы разворачиваем дополнительный контроллер домена, то нужно добавить его в уже существующий домен. Выбираем Add a domain controller to an existing domai
n. Автоматические подставится название текущего домена (jakonda.local
) и какую доменную учетную запись использовать при выполнении данной операции. Нажимаем Next
.
Проверяем установлены ли галочки (Domain Name System (DNS) Server
, Global Catalog (GC)
), в пункте Site name
оставляем значение Default-First-Site-Name
и задаем пароль для восстановления служб каталогов. Нажимаем Next
.
Предупреждение о том что не может быть создано делегирование разворачиваемого DNS сервера, игнорируем. Нажимаем Next
.
В дополнительных опциях в пункте Replicate from
(Репликация из) выбираем основной контроллер домена DC1.jakonda.local
. Это мы указываем дополнительному контроллеру домена откуда производить репликацию данных AD
, DNS
. Нажимаем Next
.
Пути к каталогам оставляем по-умолчанию, далее просматриваем сводную информацию по конфигурации AD DS. Нажимаем Next
.
Если проверка выполнена успешно, то нажимаем Install
.
После того пройдет установка, если зайти на DC2
, то увидим что роли AD
, DNS
подняты, произведена репликация из DC1
.
Если необходимо посмотреть, изменить параметры репликации, то заходим Server Manager - Tools - Active Directory Sites and Services
.
Так же можно с помощью командной строки принудительно запустить процесс репликации, с помощью утилиты repadmin
:
repadmin /syncall DC2
Так же с помощью данной утилиты можно посмотреть результат последних репликаций:
repadmin /showrepl
Теперь перейдем к развертыванию DHCP на дополнительном сервере DC2 и его настройке в совместном режиме работы с DHCP на основном сервере DC1.
Поднимаем на дополнительном сервере службу DHCP и настраиваем ее режим работы
Устанавливаем роль DHCP Server
аналогично как описано в этой статье только в качестве установки роли выбираем дополнительный сервер.
- Запускаем
Server Manager — Manage — Add Roles and Features
. - Выбираем первый пункт
Role-based or feature-based installation
(Базовая установка ролей и компонентов). - Выбираем
Select a server from the server pool
и выбираем серверdc2.jakonda.local
. - Отмечаем галочкой роль
DHPC Server
, в подтверждающем запросе добавления роли и компонентов, необходимых для установкиDHCP Server
нажимаемAdd Features
. - В выборе установки дополнительных компонентов, ничего не выбираем.
- На завершающих этапах установки нажимаем
Install
.
После установки DHCP-сервер роли, в Server Manager
нажимаем на значок Флажка с восклицательным знаком и выбираем Complete DHCP configuration
(Завершить конфигурацию DHCP). Запустится мастер после установочной конфигурации DHCP. В мастере выполняем следующие действия:
- На информационной странице нажимаем
Next
. - Нажимаем
Commit
что бы завершить процесс авторизации в Active Directory. - Если процесс создания групп безопасности и авторизация в AD успешен, то получим вывод
Done
. - Нажимаем
Close
.
На основном контроллере домена DC1
, настроен DHCP-сервер
, нужно решить как будет работать DHCP-сервер
на дополнительном контроллере домена DC2
. Пути решения могут быть такие:
Split Scope
(Использование разделенных областей) — возможность распределения адресного пула между двумя серверами. Например DC1 назначает 80% адресов, а DC2 назначает 20%. В случае если DC1 не доступен, то клиент сможет всегда получить адрес с DC2.Failover
(Отказоустойчивый) — В случае если DC1 отказывает, то DC2 принимает на себя нагрузку. Данный механизм работает в двух режимах:Load Balance Mode
(Балансировка нагрузки) — Работа данного режима предполагает работу двух серверов DC1 и DC2 одновременно предоставляющих IP-адреса клиентам. Запросы можно распределить в процентном отношении между серверами, по-умолчанию 50 на 50.Hot Standby Mode
(Режим горячей замены) — Работа данного режима предполагает что основной сервер DC1 (активный), который отвечает за выдачу IP-адресов клиентам, а дополнительный сервер DC2 (пассивный) принимает эту роль на себя в случае, отказа основного сервера.
Настройка Split Scope (использование разделенных областей)
Открываем оснастку DHCP
на основном сервере DC1: Server Manager - Tools - DHCP
. Нажимаем правой кнопкой мыши по имени области и выбираем Advanced...
— Split Scope
.
Описание режима Split-Scope. Нажимаем Next
.
Указание дополнительного DHCP сервера, в моем случае DC2
. Нажимаем Add Server
.
Отмечаем пункт This authorized DHCP server
и выбираем дополнительный сервер (dc2.jakonda.local
). Нажимаем ОК
и следом Next
.
Задаем процентное соотношение распределения адресного пула между двумя серверами DC1
и DC2
. Ниже видно с какого по какой адрес будет выдаваться основным и дополнительным сервером. Нажимаем Next
.
Указываем задержку ответа серверов в мс. Укажем для дополнительного сервера DC2
задержку в 10 мс
, выдавать все адреса будет основной сервер DC1
, а дополнительный только при недоступности основного или заполнении его пула адресов.
Вывод сводной информации по настройке. Нажимаем Finish
.
Если все заданные нами параметры успешно установлены, то напротив каждого пункта будет Successful
. Нажимаем Close
.
Открываем оснастку DHCP
на дополнительном сервере DC2: Server Manager - Tools - DHCP
. Нажимаем правой кнопкой мыши по имени области и выбираем Activate
.
Теперь при отказе или заполнении выделенного на основной сервер DC1
пула адресов, его подстрахует дополнительный сервер DC2
.
Настройка Failover (Отказоустойчивый)
Открываем оснастку DHCP
на основном сервере DC1: Server Manager — Tools — DHCP
. Нажимаем правой кнопкой мыши по имени области и выбираем Configure Failover...
Выбираем пул к которому хотим применить Failover
. Нажимаем Next
.
В поле Partner Server
выберем второй сервер (dc2.jakonda.loca
l). Пункт Reuse existing failover relationships configured with this server (if any exist)
(Использовать существующие отношения отработки отказа с этим сервером (если доступно)) будет активно, если ранее уже создавалось отказоустойчивый профиль, то мастер предложит воспользоваться существующим профилем. Нажимаем Next
.
Задание отказоустойчивых параметров:
Relationship Name
(Название конфигурации) — задается уникальное название создаваемой конфигурации.Maximum Client Lead Time
(Максимальное время упреждения клиента) — максимальное время аренды IP-адреса выдаваемого доступным сервером.Mode
(Режим работы):Load Balance
(балансировка нагрузки) — процентное отношение нагрузки между серверами. По-умолчанию 50 на 50.Hot Standby
(горячей замены) — выбираем состояние работы дополнительного сервера:Активный / Резервный
и задаем количество IP-адресов в процентом отношении, для резервирования дополнительного сервера.
State Switchover Interval
(Переключение режима по таймауту) — интервал автоматического переключения режима в режим отказа дополнительного сервера, по истечении заданного времени в минутах.Enable Message Authentication
(Включение проверки подлинности сообщений) — Для настройки проверки подлинности сообщений между серверами.Shared Secret
(пароль) — Задается пароль для аутентификации серверов между собой.
Задаем нужные нам параметры. Нажимаем Next
.
Вывод сводной информации по указанной конфигурации. Нажимаем Finish
.
Если все заданные нами параметры успешно установлены, то напротив каждого пункта будет Successful
. Нажимаем Close
.
В рамках текущей задачи, мы настроили работу дополнительного контроллера домена DC2
, который в случае отказа основного контроллера домена DC1
подстрахует его.
Добрый день.
Подскажите, что может быть. Сделал 2 резервный КД, все работает. Но если отключить основй КД, то компы в сети не видят по именам другие компы. Если вручную поменять местами днс на компе, то все сразу становится нормально.
Почему компы не опрашивают 2 днс сервер у себя в настройках?
По поводу траблшута.
Я сижу сейчас на серверах WS22. Дата: 20.12.21, все последние обновления установлены
Тут все несколько иначе. Не получится так просто взять и добавить сервер.
Если хочешь добавить второй сервер в список серверов:
1) На добавляемом сервере в продвинутых настройках сети укажи сервер DNS, а также WINS.
2) Добавляй сервер под дефолтной учеткой Administrator, потому что под другой у меня не захотела.
3) Kerberos в локальном GPM трогать не надо, как многие советуют.
Благодарю !!! Очень полезная статья… Недавно разкомпелировались сервера, сначала пропал доступ к файлам, на файловом сервере, а потом вообще актив дирекори перестал пк принимать!
Спасибо! Статья очень помогла!
Здравствуйте!
Все настроил, работает, спасибо за статью.
Возникают ошибки на втором DC в DNS:
1. 4004 -The DNS server was unable to complete directory service enumeration of zone _msdcs.test.local. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is «». The event data contains the error.
2. 4015- The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is «». The event data contains the error.
Эти две ошибки вылазят каждые пол часа, бывает не появляются по пол дня, а потом опять. На функционал это не влияет, но хотелось бы понять где причина и что исправить. Статьи по этим ошибкам уже пересмотрел, но фиксы не работают. Возможно сталкивались с таким и можете подсказать куда смотреть?
После репликации домен контроллера 2012 R2 на 2019, пользователи не могут зайти в файл шару
Хотя все роли я дал 2019 контроллеру домена и когда на проверку выключаю полностью 2012, люди не могут открыть файл шару, куда я должен копать?
Ранее 2012 был DC1.kaspex.local.kz (2012R2).
Щас роли все у DC3.kaspex.local.kz (2019).
netdom query fsmo на 2019 пишет что у него роли все и это для меня правильно, но после выкл 2012, оставив как основу 2019 люди перестают заходить в файл шару
Автор хочу спросить. Будет ли работать допустим такой сценарий: допустим 2 сервера на 2012 ос, хочу сделать как по вашему гайду, но с 1 исключением 1 dhcp настроен на 1 шлюз, второй на другой, будет ли работать балансировка и будет ли это вообще работать. У меня просто такая ситуация. 2 сервера: 1 на 2008р2 у него роли ad,dhcp,dns. Второй на 2012 на нем работают бухгалтера и куча куча документов. Первый сволоч отмирает. Все чаще сбоит, падает интернет или просто понижается скорость до такого что по нету доступа. Падает проверка подлинности и на сервер2 не зайти пока не перезагрузить 1. Сейчас ожидаю когда прийдет новый сервер на него хочу сделать миграцию ad,dhcp,dns, и сделать резервный тот где работают люди. Есть 2 провайдера, с гигабитным интернетом. От тех робот провайдера не застрахован никто.
Добрый день, создаю резервный Домен контроллер чтобы заменить основной домен контроллер с 2008 на 2016
вроде получилось поднять DC2, сделать его резервным — кроме DHCP
по вашей инструкции (Настройка Split Scope (использование разделенных областей). ) — в моем DHCP нет области, по которой вы кликаете и выбираете,
http://joxi.ru/LmGgB5xhJ1jdxm
ладно я ее создал, и потом я должен по вашей инструкции (Указание дополнительного DHCP сервера, в моем случае DC2. Нажимаем Add Server.) но я вижу что несущий DHCP — мой DC2 а не DC1 как у вас на скрине http://joxi.ru/E2p3yBoCay0qjm
Области DHCP нет, потому что вероятно у вас он на сетевом оборудовании. Если так то этот шаг вам нужно пропустить
не-не, DHCP на DC1 как раз таки, я больше изза него и делаю новый контроллер через резервный DC, пользователей единицы а вот DHCP большой и надо сохранить его… резервы и т.д., сейчас просто пришло переосмысление в ИТ отделе и реанимируем домен вновь
вот у меня http://joxi.ru/eAOE9RVHplVgPm — DHCP указан текущего домена DC2
у вас же указан DC1 и вы потом в качестве второго указываете уже свой новый домен контроллер DC2
надеюсь понятно объяснил
кажется я понял в чем дело) у меня основной домен — 2008r2
а он оказывается не поддерживает синхронизацию DHCP
)))
спасибо за инструкцию, детальная и понятная
А DNS на втором КД разве разворачивать не нужно???
Роль DNS будет добавлена автоматически, поэтому выбирать ее нет необходимости.
Я бы добавил несколько абзацев про то как работает (логику) и на что влияют параметры Maximum Client Lead Time и State Switchover Interval.
Ведь там не все так просто, и однозначно как кажется на первый взгляд.
День добрый! Спасибо за статью — все понятно и доступно. У меня ситуация следующая. Мне надо физически заменить один сервер на другой. Если позволите — буду благодарен за ответы))).
1. Я могу второй физический сервер, который сделал вторичным ДЦ потом переименовать по аналогии с основным, который надо заменить? И если да, то какие доп. настройки нужно будет сделать?
2. Хотел заморочиться с миграцией, но потом понял, что этот вариант самый оптимальный. Штука в том, что я уже импортировал DHCP с основного сервака на новый. Пока сервера находятся в разных сегментах и даже территориально. Поэтому и хотел его по максимуму подготовить новый для быстрого внедрения. Но с экспортом / импортом AD целая возня. Повлияет как-то на процедуру настройки вторичного ДЦ уже импортированые зоны DHCP или они затрутся при настройке передачи прав.
3. И последнее. В этой статье один ДЦ страхует второго. По сути, если я погашу основной сервер после всех настроек, то второй должен будет работать без проблем. С той лишь разницей, что он должен быть с таким же именем как и выключенный. На это имя просто очень много внешних настроек — так бы не заморачивался.
Заранее спасибо. Простите, если что коряво спросил или объяснил. Такую задачу первый раз выполняю.
Спасибо большое за помощь. Очень конкретная статья.
Рад что смог помочь!
Настроил все по этой статье, прошло все гладко, без ошибок, был уверен, что все верно, но когда выключил основной сервер (КД) , сразу пропал доступ в Интернет и к общим папкам. Ждать и экспериментировать времени не было, сразу запустил основной снова, стабильность вернулась. Возникает вопрос, при отключении основного КД как быстро срабатывает второй сервер на раздачу ролей, незамедлительно?
Все по полочкам..профессионал своего дела
Нет такой же статьи по разворачиванию DC AD (основного) и настройки DNC DHCP?
Спасибо! Рад что статья оказалась полезной!
Статья по развертыванию основного ADDS есть, вот она http://jakondo.ru/razvorachivaem-kontroller-domena-na-baze-windows-server-2012-r2-nastrojka-sluzhb-ad-ds-dns-dhcp/
спасибо за отличную статью, без лишних слов, всё по дело с отличным пояснением! =) Спасибо!!!
Рад что чем то смог помочь! 🙂
Спасибо! То что надо!
Полезная статья! Очень помогла. Спасибо.
Не за что ! рад что был полезен !
статейка супер, спсб