Контроллер домена. Active Directory

[VladimirAd]

Если первый интегрирован, скорее всего и второй. Тогда лучше его не настраивать. Все делается при репликации АД автоматически.

[SinteZ]

Если первый интегрирован, скорее всего и второй. Тогда лучше его не настраивать. Все делается при репликации АД автоматически.

Второму я помнится руками давал роль днс сервера, указывал откуда брать если у него нема.

Ну да ладно, что означает интегрирован, какие плюсы, минусы. Представим ситуацию, падает основной.

выполняю
echo Захват роли PDC
ntdsutil roles conn "co t s srv-name.domain.local" q "seize PDC" q q


echo Захват роли Domain Naming Master
ntdsutil roles conn "co t s srv-name.domain.local" q "seize domain naming master" q q


echo Захват роли Infrastructure Master
ntdsutil roles conn "co t s srv-name.domain.local" q "seize infrastructure master" q q


echo Захват роли RID Master
ntdsutil roles conn "co t s srv-name.domain.local" q "seize RID master" q q


echo Захват роли Schema Master
ntdsutil roles conn "co t s srv-name.domain.local" q "seize schema master" q q



и апосля этого второй получает все роли и всё дальше нормально функционирует? Хочется заранее быть готовым, чтоб не терять лишнего времени и не получать громадную головную боль.

Вспомогательный был настроен мастером dcpromo как вспомогательный контроллер в уже существующем домене. Всё реплицировалось минут за пять и в контейнере контроллерс появилось имя второго сервера.

[VladimirAd]

Головной боли не будет и без этих замечательных команд. Очень небольшое количество действий требует этих ролей. Продержаться пару дней до починки первого сможете легко.
Если не секрет много пользователей и компьютеров в домене?

[Roks]

В составе adminpack-a идут утилиты dcdiag.exe (выдает информацию по контроллерам домена, запускается и с сервера, и с клиента) и nslookup.exe (проверка работоспособности DNS-servers). Компы в сети используют DHCP-server? Где он установлен, на PDC? В этом случае при падении PDC упадет и DHCP-server, компы не смогут получать IP-адреса. Хотя какое-то время и протянут, держа адреса в кэше (время кэша зависит от настройки политик и DHCP). Это навскидку. А так, не зная топологии Вашей сети, тяжело предугадать возможные проблемы. Желательно регуляно делать бекап состояния системы и PDC, и BDC.

[SinteZ]

Машин около сотни. DHCP на контроллере домена.

что есть pdc и bdc? ntbackup почаще?

Что есть аварийная дискета. если мастеру сказать полную, а не выборочную. Говорит про какую-то дискету.

[Viking]

что есть pdc и bdc?

PDC - Primary Domain Controller. BDC - скорей всего Backup (Back) Domain Controller, т.е. вспомогательный.
DHCP на контроллере домена и без резерва, и 100 компов... Ох и в засаду можешь попасть. Я у себя DHCP на кластере поднял.

[Roks]

Машин около сотни. DHCP на контроллере домена.

что есть pdc и bdc? ntbackup почаще?

Что есть аварийная дискета. если мастеру сказать полную, а не выборочную. Говорит про какую-то дискету.

PDC-Primary Domain Controller (первичный или главный)
BDC-Backup Domain Controller (резервный)
DHCP на первичном контроллере домена по идее работает некорректно (точно не помню с чем проблема, но кажется, с правами учетной записи, под которой запускается DHCP). Если посмотрите системные логи, то увидите сами. Поэтому DHCP лучше вынести на BDC.
По архивации: В виндовой справке по ntbackup почитайте архивация системных файлов. В Нете можно поискать инфо по архивации Active Directory.
Аварийная дискета просто позволяет загрузиться в случае падения операционки, AD с её помощью не восстановишь.
ntbackup почаще? - да, точно так. Должна быть продумана политика бэкапов, с какой периодичностью, в каком месте, количество архивов и какое время будут храниться архивы. То есть всегда должна быть свежая и работоспособная копия контроллеров AD.
ЗЫ: по количеству машин, сеть можно считать серьезной, поэтому эти нюансы уже надо отслеживать. Не знаю, как в кластере, но в одной подсети два DHCP-сервера работать не будут.

[Viking]

Не знаю, как в кластере, но в одной подсети два DHCP-сервера работать не будут.

Смысл кластера в том, что при падении одной из нод кластера все службы, которые были подняты на ней поднимаются на второй ноде автоматически. Т.е. на обоих нодах установлены все нужные службы, но фактически работают на одной из нод. Напрмер у меня на кластере подняты FTP, DHCP, Exchange и несколько расшареных ресурсов. Фактически Exchange живет на первой ноде, а все остальное на второй.

[SinteZ]

Так. А про кластер поподробней. AD со всеми моими службами может быть кластерной? как быть с dhcp? конечно резервирования не много, но для пущей стабильности.

Добавлено через 24 минуты
хрен.... стандарт не поддерживает кластера

[Viking]

Для AD и не нужен кластер, достаточно репликации на вспомогательный контроллер.

[SinteZ]

Головной боли не будет и без этих замечательных команд. Очень небольшое количество действий требует этих ролей. Продержаться пару дней до починки первого сможете легко.
Если не секрет много пользователей и компьютеров в домене?

Предположим что pdc полёг с концами и пара дней не выход.

[Viking]

Его функции тогда выполняет резервный.

[VladimirAd]

Зачем извращаться? ДХЦП поднимается в пять минут, после падения первого сервера. Никаких супер пуупер проблем не будет, если конечно вы не сделаете статические лизы на все компьютеры в сети.

Добавлено через 9 минут

Зачем извращаться? ДХЦП поднимается в пять минут, после падения первого сервера. Никаких супер пуупер проблем не будет, если конечно вы не сделаете статические лизы на все компьютеры в сети.

У вас сеть с АД - значит нет ни первичного, ни вторичного контроллера.
Есть роли, а с ними вы уже разобрались.

[SinteZ]

VladimirAd,
роли переполучать при аварии тем листингом бат файла который привёл?

[Roks]

VladimirAd, извините, но Вы не правы, почитайте литературу по Win2003, и Active Directory в частности.

SinteZ, в случае падения PDC действия должны быть примерно такие:
1. Захват ролей FSMO резервным контроллером. Корректность захвата проверяется командой dcdiag.exe, запущенной на BDC.
2. Восстановление операционки на рухнувшем сервере.
3. Удаление всех записей о рухнувшем сервере из DNS, DHCP, LDAP, каталогов и контейнеров Active Directory. В противном случае могут возникнуть проблемы при вводе машины в домен.
4. Заводим восстановленную машину в домен, поднимаем её до уровня BDC.
5. Если необходимо, передаем ей роли PDC, проверяем командой dcdiag.exe, рабочий контроллер во время передачи ролей понижается до уровня BDC.
В случае поднятия контроллера из имиджа диска тоже могут возникнуть проблемы с SID-ами компьютеров, так как SID-ы не статичны.
ЗЫ: листинг позже гляну. Вот, например, ссылка: http://www.osp.ru/win2000/2001/06/174942/
C BDC я ступил, каюсь, как понятие в Вин2000 и выше отсутствует, но присутствует понятие резервный контроллер домена (что по большому счету одно и тоже).
Ссылка на бэкап и восстановление состояния системы: http://net.mpei.ru/lang/rus/faqw2kxp/jsifaq/rh2003.htm

[VladimirAd]

VladimirAd, извините, но Вы не правы, почитайте литературу по Win2003, и Active Directory в частности.

C BDC я ступил, каюсь, как понятие в Вин2000 и выше отсутствует, но присутствует понятие резервный контроллер домена (что по большому счету одно и тоже).

Как бы их нет и первичных и вторичных - они просто домен контроллеры.

Offтопик:
У меня по АД и 2003 пара микрософтовских бумажонок в рамках, в числе других.

[SinteZ]

Так кому верить и слушать?

[VladimirAd]

SinteZ, Не знаю.
Если администрируете сеть, то скачайте или купите какую-нибудь книжку-раскраску по АД.

[SinteZ]

VladimirAd,
мелкософтовские бумажки в рамках и вы не можете подсказать как обезопасить себя от сбоев и как поступать во время сбоя? Занятно.

[materazzi]

В домене уровня W2K3 понятия PDC и BDC отсутствуют. Главное, чтобы оба контроллера были глобальными каталогами. Иначе при падении глобального каталога пользователи в компы не зайдут.
Про ДНС на втором контроллере:
Я ставлю роль ДНС перед установкой АД, но не создаю зоны а выбираю пункт "Настроить только корневые ссылки". После установки роли КД все зоны ДНС среплицируются автоматически.