Для обеспечения отказоустойчивости и распределения нагрузки в Active Directory (AD) рекомендуется иметь как минимум два контроллера домена (DC). Дополнительные DC также полезны для удаленных площадок. В этой статье описан процесс развертывания дополнительного контроллера домена в существующем домене AD на Windows Server 2019 на русском языке, включая подготовку сервера, установку роли ADDS, повышение до DC и проверку репликации.
Подготовка Windows Server
1. Разверните сервер:
– Установите Windows Server 2019 (физический или виртуальный).
– Используйте ту же версию Windows Server, что и на других DC.
– Рекомендуется режим Server Core для минимизации ресурсов и повышения безопасности.
2. Ограничьте роли:
– Устанавливайте только роли ADDS, DNS и, при необходимости, DHCP.
– Допускаются агенты мониторинга и резервного копирования.
3. Настройте имя сервера:
– Задайте имя, например, spb-dc02:
Rename-Computer -NewName spb-dc02
4. Настройте сетевые параметры:
– Задайте статический IP-адрес и DNS-серверы (предпочитаемый: 127.0.0.1, альтернативный: IP существующего DC):
Get-NetAdapter
New-NetIPAddress -IPAddress 192.168.13.14 -DefaultGateway 192.168.13.1 -PrefixLength 24 -InterfaceIndex 6
Set-DNSClientServerAddress -InterfaceIndex 6 -ServerAddresses ("127.0.0.1","192.168.10.14")
5. Настройте время:
– Установите правильный часовой пояс и синхронизируйте время:
Set-TimeZone -Id "Russian Standard Time"
w32tm /resync
6. Обновите Windows:
– Установите последние обновления через Центр обновления Windows (Windows Update) или WSUS с помощью модуля PSWindowsUpdate:
Install-Module PSWindowsUpdate
Get-WUInstall -AcceptAll -AutoReboot
7. Включите RDP и добавьте сервер в домен:
– Включите удаленный доступ и присоедините сервер к домену:
Add-Computer -DomainName winitpro.loc
Restart-Computer -Force
8. Настройте сайт AD (для удаленной площадки):
– Откройте Сайты и службы Active Directory (Active Directory Sites and Services, dssite.msc).
– Создайте новый сайт (например, SPB) и привяжите к нему подсеть клиентов.
Установка роли Active Directory Domain Services (ADDS)
1. Через Server Manager:
– Откройте Диспетчер серверов (Server Manager) → Управление (Manage) → Добавить роли и компоненты (Add Roles and Features).
– Выберите Службы домена Active Directory (Active Directory Domain Services) и установите.
2. Через PowerShell:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools -Verbose
3. Проверка установки:
Get-WindowsFeature -Name *AD-Domain
Повышение сервера до контроллера домена
1. Через Server Manager:
– В Диспетчере серверов (Server Manager) щелкните по уведомлению Повысить роль сервера до контроллера домена (Promote this server to a domain controller).
– Выберите Добавить контроллер домена в существующий домен (Add a domain controller to an existing domain).
– Укажите домен ваш домен.
– Включите Сервер DNS (DNS server) и Глобальный каталог (Global Catalog).
– Задайте пароль для режима восстановления Режим восстановления служб каталогов (DSRM) (Directory Services Restore Mode).
– Выберите сайт AD (например в нашем случае, SPB, мы создали его ранее).
– Пропустите делегирование DNS.
– Выберите источник репликации (Любой контроллер домена (Any domain controller) или конкретный DC).
– Оставьте пути по умолчанию для NTDS (C:\Windows\NTDS) и SYSVOL (C:\Windows\SYSVOL).
– После проверки требований нажмите Установить (Install).
2. Через PowerShell:
Import-Module ADDSDeployment
Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -CriticalReplicationOnly:$false -DatabasePath "C:\Windows\NTDS" -DomainName "winitpro.loc" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SiteName "SPB" -SysvolPath "C:\Windows\SYSVOL" -Force:$true
Сервер автоматически перезагрузится после установки.
Использование Install from Media (IFM)
Для площадок с медленным каналом:
– Создайте снимок AD и SYSVOL на существующем DC:
ntdsutil
activate instance ntds
ifm
create full C:\IFM
quit
quit
– Скопируйте папку IFM на новый сервер.
– Укажите путь к IFM при повышении:
Install-ADDSDomainController -DomainName "winitpro.loc" -SiteName "SPB" -InstallationMediaPath "C:\IFM"
Проверка состояния нового контроллера домена
1. Проверка в ADUC:
– Откройте Пользователи и компьютеры Active Directory (Active Directory Users and Computers, dsa.msc).
– Убедитесь, что новый DC (spb-dc02) появился в контейнере Контроллеры домена (Domain Controllers).
2. Проверка через PowerShell:
Get-ADDomainController -Identity "SPB-DC02"
3. Проверка репликации:
– Проверьте состояние репликации:
repadmin /showrepl *
repadmin /replsummary
– Для конкретного DC:
repadmin /replsummary spb-dc02
– Если в replsummary отображается unknown, дождитесь завершения репликации или инициируйте её вручную:
repadmin /syncall
4. Ручная репликация через Sites and Services:
– Откройте Сайты и службы Active Directory (Active Directory Sites and Services, dssite.msc).
– Разверните сайт (SPB) → SPB-DC02 → NTDS Settings.
– Щелкните правой кнопкой по связи → Реплицировать все (Replicate All).
Устранение неполадок
– DC не отображается в ADUC:
– Проверьте успешность повышения в Просмотре событий (Event Viewer, журнал Службы каталогов (Directory Service)).
– Убедитесь, что DNS-серверы указаны корректно.
– Ошибки репликации:
– Проверьте сетевую доступность между DC (ping, telnet 389).
– Используйте repadmin /replsummary для диагностики.
– Медленная репликация:
– Используйте IFM для минимизации трафика.
– Проверьте WAN-канал на стабильность.
Добавление дополнительного контроллера домена в Active Directory повышает отказоустойчивость и производительность инфраструктуры. Подготовка сервера, установка роли ADDS, повышение до DC через Диспетчер серверов (Server Manager) или PowerShell и проверка репликации с помощью repadmin обеспечивают надежную интеграцию. Использование IFM и правильная настройка сайтов AD оптимизируют процесс для удаленных площадок, гарантируя стабильность и доступность домена.
