Further reading
Active Directory in Windows Server 2008 and Windows Server 2008 R2Migrate Server Roles to Windows Server 2008 R2Migrating to Active Directory 2008 R2Migrating to Active Directory 2008 R2Migrating an Active Directory Domain Controller from Windows 2000 to Windows 2008 R2Migrate Active Directory from 2003 R2 to 2008 R2 Server CoreWindows Server 2008 R2 Migration Guide – Replacing Existing Domain ControllersUpgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains (DOC)Upgrading Active Directory Domains to Windows Server 2008 and Windows Server 2008 R2 AD DS Domains (WEB)Upgrading Domain Controllers: Microsoft Support Quick Start for Adding Windows Server 2008 or Windows Server 2008 R2 Domain Controllers to Existing DomainsRunning ADPREP To Upgrade the AD Forest/Domain
Parameters
Parameter |
Description |
---|---|
/forestprep |
Prepares a forest for the introduction of a domain controller that runs Windows Server 2008. You run this command only once in the forest. You must run this command on the domain controller that holds the schema operations master role (also known as flexible single master operations or FSMO) for the forest. You must be a member of all the following groups to run this command:
|
/domainprep |
Prepares a domain for the introduction of a domain controller that runs Windows Server 2008. You run this command after the forestprep command finishes and after the changes replicate to all the domain controllers in the forest. Run this command in each domain where you plan to add a domain controller that runs Windows Server 2008. You must run this command on the domain controller that holds the infrastructure operations master role for the domain. You must be a member of the Domain Admins group to run this command. |
/domainprep /gpprep |
Performs similar updates as domainprep. However, this command also provides updates that are necessary to enable Resultant Set of Policy (RSOP) Planning Mode functionality. In Active Directory environments that run Microsoft Windows 2000, this command performs updates during off-peak hours. This minimizes replication traffic that is created in those environments by updates to file system permissions and Active Directory permissions on existing Group Policy objects (GPOs). This command is also available on Microsoft Windows Server 2003 with Service Pack 1 (SP1) or later. Run this command after the forestprep command finishes and after the changes replicate to all domain controllers in the forest. You must run this command on the infrastructure master for the domain. For more information about running this command in Windows 2000 Active Directory environments, see Prepare Your Infrastructure for Upgrade (https://go.microsoft.com/fwlink/?LinkId=94798). |
/rodcprep |
Updates permissions on application directory partitions to enable replication of the partitions to read-only domain controllers (RODCs). This operation runs remotely; it contacts the infrastructure master in each domain to update the permissions. You need to run this command only once in the forest. However, you can rerun this command any time if it fails to complete successfully because an infrastructure master is not available. You can run this command on any computer in the forest. You must be a member of the Enterprise Admins group to run this command. |
/wssg |
Returns an expanded set of exit codes, instead of just 0 (Success) and 1 (Failure). |
/silent |
Specifies that no standard output is returned from an operation. This parameter can be used only if /wssg is also used. |
quit |
Returns to the prior menu. |
Help |
Displays Help for this command. |
Displays Help for this command. |
Новые и измененные параметры политики DNS для Windows Server 2003 и более поздних версий
-
Политика обновления доменных зон верхнего уровня
Если указана эта политика, она создает запись в следующем подкайке реестра:
Ниже следующую запись значений для:
— Включено (0x1). Параметр 0x1 означает, что компьютеры могут пытаться обновить зоны TopLevelDomain. То есть, если параметр включен, компьютеры, к которым применяется эта политика, отправляют динамические обновления в любую зону, которая является авторитетной для записей ресурсов, которые компьютер должен обновить, за исключением корневой зоны.
— Отключено (0x0). Параметр 0x0 означает, что компьютерам не разрешается пытаться обновлять зоны TopLevelDomain. То есть, если этот параметр отключен, компьютеры, к которым применяется эта политика, не отправляют динамические обновления в корневую зону или в доменные зоны верхнего уровня, которые являются авторитетными для записей ресурсов, которые компьютер должен обновить. Если этот параметр не настроен, политика не применяется к компьютерам, а компьютеры используют локализованную конфигурацию. -
Политика записей реестра PTR
Новое возможное значение 0x2 записи было добавлено в следующем подкое реестра:
Ниже следующую запись значений для:
— 0x2. Регистрация только в том случае, если регистрация записей «A» будет успешной. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR только в том случае, если они успешно зарегистрировали соответствующие записи ресурсов «A».
— 0x1. Регистрация. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR независимо от успеха регистрации записей «A».
— 0x0. Не регистрируйтесь. Компьютеры никогда не пытаются реализовать регистрацию записей ресурсов PTR.
Первоначальная настройка
После создания леса и домена, а также после добавления одного или нескольких контроллером домена я обычно, как минимум делаю две вещи:
1. Конфигурирую зону (или зоны) обратного просмотра в DNS.
2. Конфигурирую привязки подсетей в настройках топологии сайтов Active Directory.
Настройка DNS зоны обратного просмотра
Зона обратного просмотра необходима для того, чтобы можно было найти имя компьютера по его IP-адресу.
Для настойки зоны обратного просмотра необходимо:
1. Запустить оснастку управления DNS.
2. В контекстном меню узла “Reverse Lookup Zone” выбрать пункт “New zone”.
3. На странице приветствия мастера настройки зоны обратного просмотра нажмите “Next”.
4. На странице выбора типа зоны выберите основной тип зоны (Primary zone) и укажите, что необходимо хранить зону в Active Directory (Store the zone in Active Directory). Нажмите “Next”.
5. Теперь укажем область репликации зоны. Мы будем реплицировать зону на все контроллеры домена в пределах нашего домена. Нажмите “Next”.
6. Мы будем создавать зону обратного просмотра только для протокола IPv4. Нажмите “Next“.
7. Один из ключевых шагов – правильно указать ID вашей подсети. Например, в моем случае базовый адрес сети следующий – 10.10.10.0/24. На соответствующей странице мастера мы указываем адрес сети в прямой последовательности, как показано ниже. Мастер автоматически преобразуем этот адрес в адрес зоны обратного просмотра. Нажмите “Next:.
8. На странице настройки динамического обновления нажмите “Next”.
9. На последней странице мастера нажмите “Finish”.
Привязка подсетей в настройках сайтов Active Directory
Для того, чтобы компьютер или сервер мог определить к какому сайту Active Directory он принадлежит необходимо выполнить настройки подсетей в соответствующей оснастке.
Настройка подсетей – важный шаг, если у вас географически распределенная инфраструктура. При неверном сопоставлении IP-подсетей и сайтов (или отсутствии сопоставления) компьютеры и серверы могут бегать, например, за данными через весь континент, вместо того, что отправить запрос серверу в соседнем кабинете.
С тем, что такой сайты Active Directory можно ознакомиться в документации Microsoft.
Настроим привязку нашей подсети 10.10.10.0/24 к нашему единственному сайту Active Directory:
1. Запустим оснастку “Active Directory Sites and Services”.
2. В контекстном меню узла “Subnets” выберите пункт “New Subnet…”.
3. В появившемся диалоговом окне в поле “Prefix” укажите базовый адрес сети (в нашем случае 10.10.10.0/24) и выберите в какому сайту Active Directory необходимо привязать подсеть (в нашем случае всего один сайт). Нажмите “ОК”.
4. В свойствах конкретного сайта вы можете посмотреть список IP-подсетей, которые к нему привязаны:
Обновление схемы AD до Windows Server 2012 R2 с помощью adprep
Монтируем установочный диск с 2008R2 и нам нужно скачать с него папку support\adprerp. Скопируем ее для примера в корень диска c:\
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-01
Adprep.exe — это средство командной строки, присутствующее на установочном диске любой версии Windows Server. Adprep.exe выполняет операции, которые должны быть выполнены в существующей среде Active Directory до того, как можно будет добавить контроллер домена, выполняющий эту версию Windows Server. Выполнение различных команд Adprep.exe с существующими контроллерами доменов для выполнения этих операций требуется в следующих случаях:
- Перед добавлением первого контроллера домена, работающего под управлением более поздней версии Windows Server, чем в существующем домене.При выполнении мастера установки доменных служб Active Directory (Dcpromo.exe), если программа Adprep.exe не выполнялась, выводится сообщение об ошибке.
- Перед обновлением существующего контроллера домена до более поздней версии Windows Server, если этот контроллер домена будет первым контроллером домена в домене или лесу, который будет выполнять эту версию Windows Server.
Открываем командную строку от имени администратора, и давайте посмотрим кто сейчас является Schema Master (Хозяин схемы), так как все действия нужно делать на нем. (более подробно о том Как определить FSMO хозяева операций читайте тут ) Вводим команду
netdom query fsmo
И видим что роли fsmo держит dc1.msk.pyatilistnik.org
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-02
Для того чтобы расширить схему леса AD вводим следующую команду из cmd.
adprep /forestprep
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-03
Вас уведомят каким требованиям должен соответствовать ваш парк DC, уверен что Windows 2000 уже как архаизм не используют нигде. Если все ок то вводим С и жмем enter
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-04
Версия схемы Active Directory в Windows Server 2012 — 69, Как узнать версию схемы Active Directory читаем тут. Следующим шагом нужно обновить схему домена, делается это командой.
adprep /damainprep
Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-05
После этого осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Можно не ждать а принудительно реплицировать контроллеры домена. Вот так вот просто подготовить и обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2.
Материал сайта pyatilistnik.org
Demote your old Domain Controllers
I’ve seen Domain Controllers became the prostitutes of the server room in many environments. Any software that didn’t require a dedicated server or was deemed highly dependent on the Active Directory was installed on the Domain Controller. When you’re one of the administrators treating their Domain Controllers like that you’re going to have a hard time demoting your Domain Controllers. Testing demotions in a separate (virtual) testing environment could give your a clear picture on the behavior of your ex-Domain Controllers though! Remember: “Everyone has a test environment, not just everyone has a production environment…”
From my personal experience I can tell you it’s not recommended to demote a Domain Controller when it has Exchange Server or Internet Information Services installed after it was promoted. You’re going to have to find another box to install these services on.
When your Windows Server 2003 (R2) / 2008 Domain Controllers are also Domain Name System (DNS) servers it is recommended to change the DNS zones into Active Directory Integrated DNS zones (when possible) so they get replicated to any Domain Controller running the DNS service. Installing the DNS Server role on a Windows Server 2008 R2 Domain Controller would then suffice to migrate DNS settings. Be sure to change the DNS information on your other servers and workstations, before removing DNS servers from your network.
You can safely demote a Domain Controller using the dcpromo.exe command. If you’re unsuccessful you might want to try to remove the server from Active Directory the hard way, which Jorge describes here. (leaving out the percussive maintenance option though)
Программное обеспечение и методологии, которые вызывают откаты USN
Когда используются следующие среды, программы или подсистемы, администраторы могут обойти проверки и проверки, разработанные Корпорацией Майкрософт при восстановлении состояния системы контроллера домена:
-
Запуск контроллера домена Active Directory, файл базы данных Active Directory которого был восстановлен (скопирован) с помощью такой программы изображений, как Norton Ghost.
-
Запуск ранее сохраненного виртуального жесткого диска контроллера домена. Следующий сценарий может привести к откату USN:
- Продвижение контроллера домена в виртуальной среде размещения.
- Создайте снимок или альтернативную версию виртуальной среды размещения.
- Позвольте контроллеру домена продолжать репликацию входящие и исходящие репликации.
- Запустите созданный файл изображений контроллера домена в шаге 2.
-
Примеры виртуализированных сред размещения, которые вызывают этот сценарий, включают Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 и EMC VMWARE. Другие виртуализированные среды размещения также могут вызывать этот сценарий.
-
Дополнительные сведения об условиях поддержки контроллеров домена в виртуальных средах хостинга см. в дополнительных сведениях о том, что следует учитывать при размещении контроллеров домена Active Directory в виртуальных средах размещения.
-
Запуск контроллера домена Active Directory, расположенного на томе, где дисковая подсистема загружается с помощью сохраненных ранее изображений операционной системы без необходимости восстановления состояния системы Active Directory.
-
Сценарий A. Запуск нескольких копий Active Directory, расположенных на дисковой подсистеме, которая хранит несколько версий тома
- Продвижение контроллера домена. Найдите файл Ntds.dit в подсистеме диска, которая может хранить несколько версий тома, в котором размещен файл Ntds.dit.
- Используйте дисковую подсистему для создания снимка тома, в котором размещен файл Ntds.dit для контроллера домена.
- Продолжайте, чтобы контроллер домена загружал Active Directory из тома, созданного на шаге 1.
- Запустите контроллер домена, сохраненный базой данных Active Directory в шаге 2.
-
Сценарий B. Запуск Active Directory с других дисков в разбитом зеркале
- Продвижение контроллера домена. Найдите файл Ntds.dit на зеркальном диске.
- Разломай зеркало.
- Продолжайте реплицировать входящие и исходящие репликации с помощью файла Ntds.dit на первом диске в зеркале.
- Запустите контроллер домена с помощью файла Ntds.dit на втором диске в зеркале.
-
Даже если они не предназначены, каждый из этих сценариев может привести к откату контроллеров домена в старую версию базы данных Active Directory неподтвердимыми методами. Единственный поддерживаемый способ отката содержимого Active Directory или локального состояния контроллера домена Active Directory — это использование утилиты резервного копирования и восстановления, известной в Active Directory, для восстановления резервного копирования состояния системы, которое возникло с одной и той же установки операционной системы и того же физического или виртуального компьютера, который восстанавливается.
Корпорация Майкрософт не поддерживает любой другой процесс, который делает снимок элементов системного состояния контроллера домена Active Directory и копирует элементы этого системного состояния на изображение операционной системы. Если администратор не вмешается, такие процессы вызывают откат USN. Это откат USN вызывает прямые и транзитные партнеры репликации неправильно восстановленного контроллера домена иметь несовместимые объекты в базах данных Active Directory.
In-place Upgrade Process
If you try to run in-place upgrade process without running adprep tool you will get following error as shown in the image:Active Directory on this domain controller does not contain Windows Server 2022 ADPREP /FORESTPREP updates.
Verify Current AD Schema
Run the following PowerShell command (in elevated mode) to verify :
Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion
We can see objectVersion is 87, this schema version is associated with “Windows Server 2016”, here is more information on various schema numbers:
AD version | objectVersion |
Windows Server 2000 | 13 |
Windows Server 2003 | 30 |
Windows Server 2003 R2 | 31 |
Windows Server 2008 | 44 |
Windows Server 2008 R2 | 47 |
Windows Server 2012 | 56 |
Windows Server 2012 R2 | 69 |
Windows Server 2016 | 87 |
Windows Server 2019 | 88 |
Windows Server 2022 | 88 |
We can see that Schema version 88 is same for both Servers 2019 & 2022. Hence, that’s the reason we don’t need to upgrade the schema in case of in-place upgrade from Windows Server 2019 version.
Open command prompt (elevated rights) on Domain controller and navigate to source directory of Windows Server ISO. In my case the location was d:\support\adprep\adprep.exe.
Run the command adprep.exe /forestprep
Type C and press enter to continue with upgrade of schema. This will upgrade current schema version from 87 to 88.
Schema update in Windows Server 2022 uses Sch88.ldf
This process creates 2 log files under c:\windows\debug\adprep\logs\yyyymmddhhmmss with name ADPrep.log & ldif.log.ADPrep.log will show you successful upgrade of Schema.ldif.log will show you attributes which has been extended to schema such as ms-PKI-DPAPIMasterKeys, ms-PKI-RoamingTimeStamp and others.
Run adprep.exe /domainprep to update the domain-wide information.
Let’s begin installation of Server 2022. Launch setup.exe with admin rights.
Under Product key page provide the KMS client setup key. Following are the keys for your reference based upon the version you are using:
Windows Server 2022 Datacenter: WX4NM-KYWYW-QJJR4-XV3QB-6VM33Windows Server 2022 Standard: VDYBN-27WPP-V4HQT-9VMD4-VMK7H
Click here for provide by Microsoft.
As these are the KMS keys, this needs to be activated later with KMS server within your environment.
On Select Image page, I am going with Windows Server 2022 Datacenter (Desktop Experience) version for full GUI experience, click Next.
Under Applicable notices and license terms page, click Accept.
Under Choose what to keep, this is the page which actually helps us going with the real need of in-place upgrade without loosing files, settings and apps, click Next.
It will first check for available updates, and you might see Getting Updates.
Once ready to install, hit Install button.
Передача ролей RID Master, PDC Emulator и Infrastructure Master
Открываем оснастку Active Directory Users and Computers. Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers, выбираем пункт All Tasks, а затем Operations Master.
Выбираем вкладку, соответствующую передаваемой роли (RID, PDC или Infrastructure Master), и нажимаем кнопку Change. Чтобы подтвердить передачу роли, нажимаем кнопку ОК, а затем — Close.
Службы федерации Active Directory
Active Directory запускает ряд служб, которые аутентифицировать различные аспекты вашей системы или помочь сплоченности между доменами. Одним из примеров услуги является Службы сертификатов Active Directory (AD CS), которая контролирует сертификаты открытых ключей для систем шифрования, таких как безопасность транспортного уровня. Служба, которая имеет отношение к доменам и лесам, является Службы федерации Active Directory (AD FS).
AD FS — это система единого входа, которая распространяет аутентификацию вашей сети на службы, управляемые другими организациями. Примерами систем, которые могут быть включены в этот сервис, являются средства Google G-Suite и Office 365..
система единого входа обменивается токенами аутентификации между вашей реализацией AD и удаленной службой, поэтому, как только пользователи войдут в вашу сеть, им не нужно будет снова входить в участвующую удаленную службу единого входа.
Сводка
В этой статье описывается сбой репликации Active Directory, вызванный откатом номера последовательности обновления (USN). Откат USN возникает при неправильном восстановлении или вклеии старой версии базы данных Active Directory.
При откате usN изменения объектов и атрибутов, которые происходят на одном контроллере домена, не реплицируется в другие контроллеры домена в лесу. Поскольку партнеры репликации считают, что у них есть дополнивая копия базы данных Active Directory, средства мониторинга и устранения неполадок, такие как Repadmin.exe, не сообщают об ошибках репликации.
Контроллеры домена журнал Directory Services Event 2095 в журнале событий Службы каталогов при обнаружении отката usN. Текст сообщения события направляет администраторов в эту статью, чтобы узнать о вариантах восстановления.
Пример записи журнала Event 2095
В следующих темах обсуждаются вопросы обнаружения и восстановления отката usN в контроллере домена на Windows сервере.
Домены, деревья и леса
Концепция домена обычно понимается сетевым сообществом. Веб-сайт является доменом и идентифицируется во Всемирной паутине по доменному имени. Другое использование этого термина заключается в адресации в сети, где все компьютеры находятся в одном адресном пространстве, или ‘сфера.»
В терминологии Active Directory домен — это область сети, охватываемая единой базой данных аутентификации. Хранилище этой базы данных называется контроллер домена.
Все знают, что такое лес в реальном мире — это территория, покрытая деревьями. Итак, где находятся деревья в Active Directory?
Несколько доменов могут быть связаны вместе в древовидная структура. Таким образом, вы можете иметь родительский домен с дочерние домены связано с этим. Дочерние домены наследуют адресное пространство родителя, поэтому дочерний домен является поддоменом. Вершина древовидной структуры является корневой домен. Вся группа родителей и детей образует дерево. Дочерний по отношению к одному домену также может быть родительским по отношению к другим доменам.
Итак, представьте себе группу доменов, которые имеют тот же адрес корневого домена, что и дерево. Как только вы увидите деревья, вы сможете понять, что такое лес: это коллекция деревьев.
Архитектура ADPrep и проверки предварительных требований
Средство Adprep больше не обязательно запускать на хозяине схемы. Его можно запускать удаленно с компьютера с 64-разрядной версией Windows Server 2008 или более поздней версии.
Примечание
Средство Adprep использует протокол LDAP для импорта файлов Schxx.ldf и не переподключается автоматически, если во время импорта подключение к хозяину схемы прерывается. В процессе импорта хозяин схемы переводится в специальный режим, а переподключение отключается, так как при повторном подключении по протоколу LDAP режим станет иным. В этом случае схема будет обновлена неправильно.
Проверка предварительных требований обеспечивает соблюдение определенных условий. Эти условия необходимы для успешной установки доменных служб Active Directory. Если некоторые обязательные условия не выполняются, вы можете устранить проблемы, а затем продолжить установку. Также проверяется готовность леса или домена к автоматическому выполнению кода развертывания Adprep.
Исполняемые файлы, файлы DLL, LDF и другие файлы ADPrep
- ADprep.dll
- Ldifde.dll
- Csvde.dll
- Sch14.ldf — Sch56.ldf
- Schupgrade.cat
- *dcpromo.csv
Код подготовки Active Directory, который ранее помещался в файле ADprep.exe, прошел рефакторинг и теперь находится в файле adprep.dll. Это позволяет как программе ADPrep.exe, так и модулю Windows PowerShell ADDSDeployment использовать библиотеку для выполнения одних и тех же задач с помощью одинаковых возможностей. Программа Adprep.exe имеется на установочном носителе, но автоматические процессы не обращаются к ней напрямую — администратор должен запустить ее вручную. Она может выполняться в 64-разрядной версии Windows Server 2008 и более поздних операционных системах. Программы ldifde.exe и csvde.exe также имеют DLL-версии, прошедшие рефакторинг, которые загружаются процессом подготовки. Для расширения схемы по-прежнему используются заверенные подписями LDF-файлы, как в предыдущих версиях операционной системы.
Важно!
32-разрядного средства Adprep32.exe для Windows Server 2012 не существует. Для подготовки леса и домена необходим по крайней мере один компьютер с Windows Server 2008 (64-разрядной версии), Windows Server 2008 R2 или Windows Server 2012, работающий как контроллер домена, рядовой сервер или член рабочей группы. Средство Adprep.exe нельзя запустить в 64-разрядной версии Windows Server 2003.
Настройка после развертывания сервиса
После развертывания контроллера домера, выполняем следующие действия.
Синхронизация времени
На контроллере домена с ролью PDC Emulator необходимо настроить источник синхронизации времени. Для этого открываем командную строку от администратора и вводим команду:
w32tm /config /manualpeerlist:»time.nist.gov,0x8 time.windows.com,0x8″ /syncfromflags:manual /reliable:yes /update
* данная команда задаст в качестве источника времени 2 сервера — time.nist.gov и time.windows.com.
* если мы не знаем, на каком контроллере у нас роль PDC Emulator, воспользуемся инструкцией Управление FSMO через powershell.
Соответствие рекомендациям Best Practice
1. Создание коротких имен файлов должно быть отключено
Ранее в DOS все файлы называли в формате 8.3 — 8 символов под имя, 3 для расширения. Необходимость такого подхода сильно устарело, однако по умолчанию для обеспечения совместимости может быть включено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Готово — поддержка создания коротких имен отключено.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В обычной командной строке от имени администратора вводим:
sc config srv start= demand
3. Некоторые сетевые адаптеры поддерживают RSS, но эта возможность отключена.
Необходимо для сетевого адаптера, который используется для подключения к сети, включить RSS.
Вводим команду в Powershell:
Enable-NetAdapterRss -Name *
4. Некоторые сетевые адаптеры поддерживают IPsec TOv2, но эта возможность отключена.
Вводим команду в Powershell:
Enable-NetAdapterIPsecOffload -Name *
5. Некоторые сетевые адаптеры поддерживают LSO, но эта возможность отключена.
Вводим команду в Powershell:
Enable-NetAdapterLso -Name *
6. Значение … не соответствует рекомендуемому на этом сервере.
Система может предложить более оптимальные параметры для опций:
- Smb2CreditsMin — 128.
- Smb2CreditsMax — 2048.
- DurableHandleV2TimeoutInSeconds — 30.
- AutoDisconnectTimeout — 0.
- CachedOpenLimit — 5.
- AsynchronousCredits — 64.
Выставить данные опции можно командой Set-SmbServerConfiguration:
Set-SmbServerConfiguration -Smb2CreditsMin 128 -Smb2CreditsMax 2048 -DurableHandleV2TimeoutInSeconds 30 -AutoDisconnectTimeout 0 -CachedOpenLimit 5 -AsynchronousCredits 64 -Confirm:$false
7. Для повышения производительности SmbDirect отключите подписывание и шифрование.
Вводим команду в Powershell:
Disable-NetAdapterRdma *
Настройка DNS
Как правило, на один сервер с ролью контроллера домена устанавливается DNS. В этом случае необходимо выполнить ряд действий.
1. Настройка перенаправления.
Если наш сервер DNS не может ответить на запрос, он должен передавать его на внешний сервер. Для настройки перенаправления открываем консоль управления сервером имен и кликаем правой кнопкой по названию сервера — выбираем Свойства:
Переходим на вкладку Сервер пересылки:
Кликаем по кнопке Изменить:
Вводим адреса серверов, на которые хотим переводить запросы:
* это могут быть любые DNS, например, глобальные от Google или Яндекса, а также серверы от Интернет-провайдера.
2. Удаление корневых ссылок
Если наш сервер не работает по Ipv6, стоит удалить корневые ссылки, которые работают по этой адресации. Для этого заходим в свойства нашего сервера DNS:
Переходим во вкладку Корневые ссылки:
Мы увидим список серверов имен — удаляем все с адресами IPv6.
3. Включение очистки
Чтобы в DNS не хранилось много ненужных записей, настраиваем автоматическую читску. Для этого открываем настройки сервера имен:
Переходим на вкладку Дополнительно:
Ставим галочку Разрешить автоматическое удаление устаревших записей и ставим количество дней, по прошествию которых считать запись устаревшей:
Готово.
Install additional Domain Controllers
Installing additional Windows Server 2008 R2 Domain Controllers is as easy as purchasing them, licensing them, installing them and promoting them. There’s really nothing to it: Once you’ve introduced the first Windows Server 2008 R2 Domain Controller you know how to do it.
If you find installing loads of Domain Controllers is a tedious job you might want to promote servers to Domain Controllers using answer files. When Domain Controllers need to be placed in locations with limited connectivity or bandwidth constraints you might want to explore the Install from Media (IFM) possibilities.
Установка контроллера домена Windows Server 2019 с помощью Powershell
Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.
# Импорт модуля ServerManager Import-Module ServerManager # Установка роли AD DS со всеми зависимыми компонентами Add-WindowsFeature –Name AD-Domain-Services –IncludeAllSubFeature –IncludeManagementTools # Импорт модуля ADDSDeployment Import-Module ADDSDeployment # Установка нового леса Install-ADDSForest ` # Не включать делегирование -CreateDnsDelegation:$false ` # Путь к базе данных AD -DatabasePath «C:\Windows\NTDS» ` # Режим работы домена -DomainMode «WinThreshold» ` # Задаем имя домена -DomainName «partner.pyatilistnik.info» ` # Задаем короткое NetBIOS имя -DomainNetbiosName «PARTNER» ` # Задаем режим работы леса -ForestMode «WinThreshold» ` # Указываем, что будем устанавливать DNS-сервер -InstallDns:$true ` # Задаем путь к NTDS -LogPath «C:\Windows\NTDS» ` # Если требуется перезагрузка, то перезагружаемся -NoRebootOnCompletion:$false ` # Задаем путь до папки SYSVOL -SysvolPath «C:\Windows\SYSVOL» ` -Force:$true
Скачать скрипт установки доменных служб Active Directory
Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.
Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.
Предварительная проверка.
Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.