Remontnouta.ru

ПК Ремонт техники
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как отключить контроллер домена в windows server 2008

Как отключить контроллер домена в windows server 2008

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите

, где — имя работоспособного контроллера домена, хозяина операций

, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

(вернемся в меню metadata cleanup)

Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

Всем привет сегодня хочется поделиться опытом как удалить домен Active Directory Windows Server 2008 R2. Под удалением домена подразумевается удаление последнего контроллера доме в домене. Я такое делал только в тестовых вещах, в жизни не приходилось так убивать Active Directory. Но такую практику я думаю нужно уметь делать, так как никогда неизвестно, что от вас потребуется.

Как удалить домен Active Directory Windows

Открываем пуск на последнем домене контроллере и вводим dcpromo, у вас должны быть права учетной записи которая входить в группу Администраторы предприятия в лесу. Если контроллер домена содержит DNS-зоны, интегрированные в Active Directory, то мастер удалит эти зоны. Кроме того, по умолчанию, он удалит DNS-делегирование для зон, которые указывают на контроллер домена

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-027

Запуститься мастер установки и удаления доменных служб Active Directory.

Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-029

Жмем далее, попадаем на окно в котором нужно поставить галку Удалить этот домен, поскольку данный сервер является в нем последним контроллером домена.

Как удалить домен Active Directory Windows Server 2008 R2-031

Читайте так же:
Драйвер canon mp140 для windows 10

Если вылезет предупреждение, что Доменные службы Active Directory сообщают о возможном наличии других контроллеров домена, то у вас ваш DC точно не последний и сначала нужно понизить его, и лишь потом удалять домен.

Как удалить домен Active Directory Windows Server 2008 R2-032

Начнется проверка удаления делегирования DNS

Как удалить домен Active Directory Windows Server 2008 R2-033

Далее вас попросят ввести пароль для новой учетной записи администратора на данном сервере, вводим два раза.

Как удалить домен Active Directory Windows Server 2008 R2-034

Все жмем далее и начнется процесс удаления домена AD,

Как удалить домен Active Directory Windows Server 2008 R2-035

Если все же DC не последний то вы получите ошибку при попытке удалить AD.

Операция не выполнена по следующей причине.

Контроллер домена Active Directory не является последним в этом домене.

Ну тут и без объяснений все понятно, из за чего она.

Как удалить домен Active Directory Windows Server 2008 R2-036

Подключение Samba4 к домену.

Прописываем primary DNS в resolv.conf:

Если ра з ница будет более пяти минут возникнут проблемы с подключением. Проверяем аутентификацию Kerberos:

Если в ответ на команду klist вы получили что-то наподобие:

то можно вводить Samba в домен:

Если в качестве DNS используется Bind, то:

При успешном выполнении увидим что-то наподобие:

Проверяем, создались ли записи DNS:

В случае сбоя придется добавить A-запись вручную:

Проверим разрешается ли objectGUID в новое имя хоста:

Результат должен быть примерно таким:

Для поиска objectGUID нового сервера:

Если в результате запись не будет найдена:

то придется создать (в нашем случае для каждой подсети):

Теперь проверим репликацию между контроллерами доменов:

Вот тут у меня выдало ошибку:

Хотя на PDC в RSAT в оснастке “Пользователи и компьютеры Active Directory” отображались оба домен-контроллера. Оказалось, нужно было исправить:

Перезапускаем Samba, проверяем настройки DNS

и заново смотрим информацию о репликации:

Для окончательной проверки успешной репликации необходимо создать по одному объекту на каждом контроллере домена. Например, создадим по одному пользователю на каждом контроллере домена и проверим, реплицируются ли они.

  1. Создадим пользователя testuser1 в Windows Server (PDC). Создадим пользователя в оснастке AD “Пользователи и компьютеры”, или через Powershell от имени администратора:

после того, как включили возможность управлять пользователями через Powershell создаем пользователя:

2. Создадим пользователя user2 в samba 4 server (BDC):

Смотрим список пользователей в Samba:

и в оснастке “Active Directory: Пользователи и компьютеры” в Windows Server (PDC).

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по УправлениеУдалить роли и компоненты:

Читайте так же:
Драйвер epson lq 100

Переходим к удалению ролей и компонентов

Среди серверов выбираем тот, на котором будем удалять роль:

Выбираем сервер для удаление роли

* сервер может быть только один. Тогда выбираем его.

Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:

Отмечаем для удаления роль Доменные службы Active Directory

Галочка для доменных служб будет снята:

Галочка на роли AD DS снята

. кликаем по Далее несколько раз.

В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:

Ставим галочку для автоматической перезагрузки сервера

Роль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Запускаем Powershell от администратора и вводим:

Remove-WindowsFeature -Name AD-Domain-Services

Роль контроллера будет удалена. Мы должны увидеть сообщение:

ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.

Дополнительная информация по статье

Командлет Install-AddsDomainController может запускать со следующими параметрами:
-SkipPreChecks
-DomainName
-SafeModeAdministratorPassword
-SiteName
-ADPrepCredential
-ApplicationPartitionsToReplicate
-AllowDomainControllerReinstall
-Confirm
-CreateDNSDelegation
-Credential
-CriticalReplicationOnly
-DatabasePath
-DNSDelegationCredential
-Force
-InstallationMediaPath
-InstallDNS
-LogPath
-MoveInfrastructureOperationMasterRoleIfNecessary
-NoDnsOnNetwork
-NoGlobalCatalog
-Norebootoncompletion
-ReplicationSourceDC
-SkipAutoConfigureDNS
-SiteName
-SystemKey
-SYSVOLPath
-UseExistingAccount
-Whatif

Жирным шрифтом помечены параметры, которые обязательны. Курсивом помечены параметры, которые можно задать и через Powershell, и через оснастку AD DS Configuration Wizard. Соответственен, простым шрифтом отображаются параметры, которые используются только через Powershell. Более подробно про все параметры можно на сайте technet.microsoft.com — Install a Replica Windows Server 2012 Domain Controller in an Existing Domain.

С помощью команды Get-command -module ADDSDeployment можно узнать все возможные командлеты по настройке ролей Activ Directory.

Install-ADDSDomain
Install-ADDSDomainController
Install-ADDSForest
Test-ADDSDomainControllerInstallation
Test-ADDSDomainControllerUninstallation
Test-ADDSDomainInstallation
Test-ADDSForestInstallation
Test-ADDSReadOnlyDomainControllerAccountCreation
Uninstall-ADDSDomainController

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Мастер повышения до DC Promote this server to a domain controller

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

добавить новый dc - Add a domain controller to an existing domain

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

роль глобального каталога и пароль dsrm режима

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

выбор источника начальной репликации для DC

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Читайте так же:
Драйвер via hd audio для windows 7

Запустите установку дополнительного контроллера домена

Второй контроллер домена 2008 r2

Контроллер домена (Domain Controller)— сервер, контролирующий область компьютерной сети (домен). Если более подробно, то DC позволяет централизованно администрировать все сетевые ресурсы, включая пользователей, файлы, периферийные устройства, доступ к службам, сетевым ресурсам, веб-узлам, базам данных и так далее. В компаниях в которых более 10 компьютеров рекомендуется для централизованного управления, рекомендуется создать доменную сеть, само собой первый сервер который должен появиться в доменной сети это контроллер домена. В этой статье пошагово опишу как установить роль контроллера домена на сервер Windows Server 2008 2008 R2.

Имеем установленную операционную систему Windows Server 2008 2008 R2 на которую необходимо развернуть роль Контроллера домена (DC). Но перед установкой DC необходимо подготовить сервер, с этого и начнем.

Подготовка к установке контроллера домена:

1 Установить все обновления на сервер.

Нажмите правой кнопкой мыши на «Компьютер» выберите «Свойства» , в окне свойств нажмите «Центр обновления Windows» проверьте и установите все обновления.

2 Установить часовой пояс и имя компьютера.

В окне «Диспетчер сервера» нажмите «Изменить свойства системы».

В закладке Имя компьютера нажмите кнопку «Изменить» и впишите необходимое имя. В этом примере я использую имя – DC. Нажмите «Ок«.

После этого необходимо перезагрузить сервер.
Что бы изменить часовой пояс необходимо нажать на часы в панели управления в правом углу, выбрать «Изменение настрое даты и времени» в открывшемся окне нажать «Изменить часовой пояс» и выбрать необходимые настройки часового пояса.

3 Настроить сетевую конфигурацию для котроллера домена.

Для контролера домена необходимо использовать статический IP адрес и маску подсети. Что бы указать сетевые настройки, необходимо в окне Диспетчера сервера нажать «Отобразить сетевые подключения»

На необходимом сетевом подключении нажать правой кнопкой мыши, выбрать «Свойства» в открывшемся окне свойств выбрать «Протокол интернета версии 4 (TCP/IPv4)», выбрать активизировавшуюся кнопку «Свойства» и заполнить поля сетевых настроек.

4 Подготовить имя домена и DNS-имя.

Домен должен иметь уникальное DNS-имя, в моем случае pk-help.com.

Установка роли контроллера домена.

Первым делом необходимо установить роль «Доменные службы Active Directory». Для этого запускаем «Диспетчер сервера- Роли» , нажимаем «Добавить роль».

Читаем информационное окно и нажимаем «Далее».

В окне Выбора ролей сервера ставим галочку напротив «Доменные службы Active Directory», появится окно о установки дополнительных компонентов, нажимаем «Добавить необходимые компоненты».

После этого появляется галочка напротив «Доменные службы Active Directory», нажимаем «Далее».

Читаем информационное окно и нажимаем «Далее».

В окне Подтверждения, утверждаем свой выбор и нажимаем «Установить».

После этого будет происходить установка ролей. По окончании, если все прошло успешно, увидите окно с подтверждением успешной установки, нажимаете «Закрыть».

На этом процесс установки контроллера домена не закончен, теперь необходимо, как и на Windows Server 2003, запустить команду DCPROMO. Для этого нажимаем «Пуск» и в строке поиска пишем DCPROMO и нажимаем «Enter».

Откроется мастер установки доменных служб AD, нажимаем «Далее».

Читаем очередное информационное окно и нажимаем «Далее».

Поскольку мы настраиваем первый домен в лесу, в окне выбора конфигурации развертывания, выбираем «Создать новый домен в новом лесу».

После этого указываем имя корневого домена леса. В данном примере я использовал имя – pk-help.com.

Для того, что бы использовать все преимущества контроллера домена развернутого на Windows Server 2008 R2 в окне выбора режима домена леса, необходимо указать Windows Server 2008 R2.

Читайте так же:
Драйвер hp laserjet 1000 для windows 10


По умолчанию будет выбран DNS- сервер. Мастер установки доменных служб AD создаст инфраструктуру DNS в процессе установки контролера домена. Первый контроллер домена в лесу должен быть сервером глобального каталога и не может быть контроллером домена только для чтения RODC. Все оставляем как есть и нажимаем «Далее».

Появится сообщение о том, что не удается делегировать для этого DNS-сервера невозможно создать, поскольку полномочная родительская зона не найдена или не использует DNS-сервер Windows. Нажимаем «Да».

В следующем окне можно изменить расположение баз данных, файлов журнала и папки Sysvol. Эти файлы лучше всего хранить в трех отдельных папках, где нет приложений и других файлов, которые не связанны с AD, благодаря этому повыситься производительность, а также эффективность архивации и восстановления. Поэтому не рекомендую менять пути, оставить все как есть и нажать кнопку «Далее».

Следующим шагом необходимо ввести пароль администратора для запуска режима восстановления. Поскольку при установке на сервер роли контроллера домена такое понятие как локальный администратор теряет всякий смысл.

В следующем окне проверяем все настройки и если все указано верно нажимаем «Далее».

Начнется установка первого контроллера домена в лесу. Процесс может занять 10-20 мин. Рекомендую установить галочку «Перезагрузить» по окончании.

После перезагрузки сервера, процесс настройки первого контроллера домена можно считать оконченной.

Для отказоустойчивой работы доменной сети, рекомендуется использовать два и более контроллера домена. Как настроить второй контроллер домена в сети, будет описано в следующих статьях.

Не так давно произошла нелепая ситуация — был утерян доступ к сетевому оборудованию, а точнее CISCO ASA. По итогу задача оказалась не сильно сложная, прошедшая без потери конфигурации, благо оказались материалы на официальном сайте CISCO. Для того, чтобы в дальнейшем память меня не подвела, при подобной ситуации, решил накидать русскоязычную инструкцию в формате «для чайников».
Continue reading »

Читайте так же:
Видеодрайвер перестал отвечать и был восстановлен решение

Idle master download link

Служба каталогов Active Directory – является сердцем ИТ-инфраструктуры предприятия. В случае её отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов. Например, структура сайтов должна строиться на основе физической топологии сети и пропускной способности каналов между филиалами или офисами компании, т.к. от этого напрямую зависит скорость входа пользователей в систему, а также репликация между контроллерами домена. Кроме того, на основании топологии сайтов Exchange Server 2007/2010 осуществляет маршрутизацию почты. Также нужно правильно рассчитать количество и размещение серверов глобального каталога, которые хранят списки универсальных групп, и множество других часто используемых атрибутов всех доменов леса. Именно поэтому компании возлагают задачи по внедрению, реорганизации или миграции службы каталогов Active Directory на системных интеграторов. Тем не менее, нужно не ошибиться при выборе системного интегратора, следует убедиться, что он сертифицирован на выполнение данного вида работ и имеет соответствующие компетенции.

Компания ЛанКей является сертифицированным системным интегратором и обладает статусом Microsoft Gold Certified Partner. ЛанКей имеет компетенцию Datacenter Platform (Advanced Infrastructure Solutions), что подтверждает наш опыт и квалификацию в вопросах связанных с развёртыванием Active Directory и внедрением серверных решений компании Microsoft.

Все работы в проектах выполняют сертифицированные Microsoft инженеры MCSE, MCITP, которые имеют богатый опыт участия в крупных и сложных проектах по построению ИТ-инфраструктур и внедрению доменов Active Directory.

Компания ЛанКей разработает ИТ-инфраструктуру, развернёт службу каталогов Active Directory и обеспечит консолидацию всех имеющихся ресурсов предприятия в единое информационное пространство. Внедрение Active Directory поможет снизить совокупную стоимость владения информационной системой, а также повысить эффективность совместного использования общих ресурсов. ЛанКей также оказывает услуги по миграции доменов, объединению и разделению ИТ-инфраструктур при слияних и поглощениях, обслуживанию и поддержке информационных систем.

Примеры некоторых проектов по внедрению Active Directory, реализованных компанией ЛанКей:

В связи с совершением сделки по покупке 100% акций компании ОАО «СИБУР-Минудобрения» (впоследствии переименован в ОАО «СДС-Азот») Холдинговой компаний «Сибирский деловой союз» в декабре 2011 года, возникла необходимость в отделении ИТ-инфраструктуры ОАО «СДС-Азот» от сети Холдинга СИБУР.

Комания ЛанКей произвела миграцию службы каталогов Active Directory подразделения СИБУР-Минудобрения из сети холдинга СИБУР в новую инфраструктуру. Также были перенсены учётные записи пользователей, компьютеры и приложения. По результатам проекта от заказчика получено благодарственное письмо.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector