Регистрация Войти
Рейтинг:0
avatar Server

Два PDC, два AD, два домена — как реплицировать один домен/AD на другой?

флаг jo
InteXX

Вот история:

SERVER2 был сервером Essentials Edition 2016, автономным, без других контроллеров домена. ОС была повреждена в нескольких областях, поэтому было принято решение заменить ее. Автономная чистая установка была невозможна, поскольку приложения, работающие на рядовых серверах, в значительной степени зависят от SID пользователей AD.

Поэтому был введен второй DC, SERVER3, и домен/AD/DNS/PDC/fsmo были реплицированы с SERVER2 на SERVER3. На SERVER3 была выполнена очистка метаданных, чтобы избавиться от любых старых ссылок на SERVER2. Сервер SERVER2 теперь навсегда переведен в автономный режим.

Настроена совершенно новая версия SERVER2 Essentials Edition со своим собственным доменом/AD/DNS/PDC/fsmo. Отображаемые имена двух доменов одинаковы, но лежащие в их основе AD, конечно, разные.

Как сделать новый SERVER2 BDC для SERVER3, реплицировать все с SERVER3 на новый SERVER2, а затем сделать новый SERVER2 основным контроллером домена?

У меня была некоторая помощь экспертов, чтобы зайти так далеко, но, к сожалению, технику отозвали. Сейчас я один, в середине проекта.

Пожалуйста, порекомендуйте.

--РЕДАКТИРОВАТЬ--

я нашел это руководство, но, похоже, не учитывается, что у меня есть два PDC в разных существующих доменах.

48
0 + 0
joeqwerty avatar
флаг cv
joeqwerty
Если сервер 2 теперь является членом домена сервера 3, вам просто нужно повысить роль сервера 2 до контроллера домена после добавления роли AD DS (которая, как я предполагаю, уже установлена). Вы можете повысить уровень Сервера 2 до контроллера домена из диспетчера серверов.
0
Ответить
флаг jo
InteXX
У меня SERVER2 повышен до DC, и я думаю, что все переместилось с SERVER3 на SERVER2. Я использовал командлет Move-ADDirectoryServerOperationMasterRole, как описано [здесь] (https://theitbros.com/transfer-fsmo-roles-using-powershell/). Однако я получил ошибку «служба каталогов недоступна» для ролей «SchemaMaster» и «DomainNamingMaster», которую я преодолел с помощью параметра «-force». Он описывает удаление контроллера домена всякий раз, когда роли захватываются, поэтому я не уверен, что он имеет в виду, и даже относится ли это ко мне. Твое мнение?
0
Ответить
Рейтинг:1
Massimo avatar Server
флаг ng
Massimo

Основы Windows Server требует будучи контроллером домена, но его можно добавить в качестве реплики контроллера домена в существующий домен, если вы делаете это для целей миграции (т. е. если вы собираетесь удалить существующий контроллер домена):

https://docs.microsoft.com/en-us/windows-server-essentials/migrate/migrate-from-previous-versions-to-windows-server-essentials-or-windows-server-essentials-experience

У меня нет большого опыта работы с этой жестко заблокированной версией Windows, но если вы покопаетесь в документации, она должен можно заменить существующий сервер новым сервером Windows Server Essentials.

Однако вам определенно придется перестраивать новый сервер с нуля, потому что ваша текущая ситуация (каждый сервер размещает свой собственный домен Active Directory) — это тупик, и нет возможности «объединить» их.

0 + 0
флаг jo
InteXX
Думаю, я использовал неправильное слово «слился». Я хочу сбросить все на SERVER2, присоединиться к домену SERVER3 и реплицировать все с SERVER3 на SERVER2. Думаю, я на полпути, потому что я только что понизил статус SERVER2 и присоединился к домену SERVER3. Итак, теперь я ухожу, чтобы выяснить шаг репликации.
0
Ответить
Massimo avatar
флаг ng
Massimo
Вам просто нужно продвигать сервер как дополнительный DC в существующем домене. Репликация AD в автоматическом режиме.
0
Ответить
флаг jo
InteXX
ОК, у меня SERVER2 повышен до контроллера домена, и я думаю, что все переместилось с SERVER3 на SERVER2. Я использовал командлет Move-ADDirectoryServerOperationMasterRole, как описано [здесь] (https://theitbros.com/transfer-fsmo-roles-using-powershell/). Однако я получил ошибку «служба каталогов недоступна» для ролей «SchemaMaster» и «DomainNamingMaster», которую я преодолел с помощью параметра «-force». Он описывает удаление контроллера домена всякий раз, когда роли захватываются, поэтому я не уверен, что он имеет в виду, и даже относится ли это ко мне. Твое мнение?
0
Ответить
Massimo avatar
флаг ng
Massimo
Правильный способ избавиться от контроллера домена — понизить его в должности. Принудительное удаление следует использовать только в качестве крайней меры, когда контроллер домена больше не работает и вы не можете выполнить надлежащее понижение. Если вы понизите уровень контроллера домена, все ссылки на него будут должным образом удалены из AD, и вам не нужно будет ничего очищать.
0
Ответить
флаг jo
InteXX
Я путаюсь в терминологии здесь. Вы говорите: «Правильный способ избавиться от контроллера домена — понизить его». Это то, что я сделал с этим: `Move-ADDirectoryServerOperationMasterRole -Identity "SERVER2" SchemaMaster -Force`? (Обратите внимание, что когда я запустил его без `-Force`, я получил эту ошибку: `служба каталогов недоступна`). Что именно произошло, когда я запустил его с `-Force`, чтобы заставить его работать?
0
Ответить
Massimo avatar
флаг ng
Massimo
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/demoting-domain-controllers-and-domains--level-200-
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.