none
Второй контроллер домена на виртуальной машине RRS feed

  • Вопрос

  • Здравствуйте!

    Имеется один контроллер домена на физической машине. Когда приходят обновления и необходимо перезагрузиться, то соединения теряют все пользователи, серверы и пр. А в последнее время мне работа сервера вообще не нравится, поэтому хотелось бы поднять второй контроллер домена.

    На физ. сервере - Windows Server 2012 R2, хочу создать второй на виртуалке с такой же системой. 

    Какие подводные камни могу получить? Начитался, что есть проблемы с репликацией AD и при неверном использовании весь лес может порушиться.

    Буду рад ответу, спасибо!

    7 ноября 2017 г. 8:02

Ответы

Все ответы

  • Проблемы могут быть любые, но это не повод отказываться от реализации задачи :)

    Что же касаемо проблем именно на вашем пути то тут не предугадаешь, как правило процедура проблем не вызывает если оба сервера будут настроены правильно. Для того что бы убедиться что все настраиваете правильно, найдите хороший гайд и следуйте ему. 

    Перед началом проделайте DCDiag и убедитесь что с настройками DNS у вас все правильно, а дальше все довольно тривиально.

    Конечно не стоит забывать про бекап 1го КД, и виртуалку второго КД создавайте 2го поколения если речь идет про Hyper-V

    После добавления второго КД так же выполните DCdiag на обеих КД, и что они оба зарегались в DNS. Потом можно пробовать выключать первый для проверки работы второго. Так же стоит помнить о том что в DNS клиентов должны значиться оба контроллера


    The opinion expressed by me is not an official position of Microsoft

    7 ноября 2017 г. 8:08
    Модератор
  • В общем представлении между виртуальной и физической инфраструктурой разницы нет. Тем не менее, попытки оптимизировать виртуализованные системы приводят к тому, что множество "ненужных" прослоек эмулированных устройств заменяют более быстрыми и надежными синтетическими аналогами, а в некоторых случаях вообще убирают (например шина ide в 2 generation vm).

    Именно поэтому разница между виртуальным сервером и физическим минимальна. Но даже этот минимум очень существенен в том случае, если в роли гостя выступает контроллер домена. Именно об этих нюансах и рассказывается в официальном гайде по виртуализации КД: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-virtualization который я настоятельно рекомендую изучить вдоль и поперек.

    В остальном используйте стандартную процедуру ввода в домен нового КД и проверки функционирования, описанную много лет назад:

    https://technet.microsoft.com/en-us/library/cc794717%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 

    • Предложено в качестве ответа Vector BCOModerator 7 ноября 2017 г. 8:40
    • Помечено в качестве ответа Vector BCOModerator 18 ноября 2017 г. 21:21
    7 ноября 2017 г. 8:33
  • Спасибо!

    Что насчет синхронизации времени между КД? Прочел, что синхронизацию лучше отключить, чтобы избежать проблем с репликацией AD. 

    В принципе, все понятно. Прочел не только много статей как на русском, так и на английском языках, но и посомтрел много роликов на ютубе. Но, как говориться, дьявол кроется в деталях :)


    7 ноября 2017 г. 8:49
  • Время - это та основа, на которой держится весь домен. Сам факт того, что керберос основан на метках времени говорит о том, что время - критически важный параметр. Не понимаю откуда вы нашли совет синхронизацию времени МЕЖДУ КД лучше отключать...

    Наверно речь идет о синхронизации времени виртуальной машины с хостом? Если так, то в принципе это утверждение справедливо. Тем не менее, почитайте статьи:

    http://blog.bissquit.com/windows/windows-server/pdc-emulator/ 

    http://blog.bissquit.com/windows/windows-server/nastrojka-active-directory-domain-services/#i-4

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/windows-time-service/how-the-windows-time-service-works

    https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/


    • Изменено Egor Vasilev 7 ноября 2017 г. 8:57
    • Помечено в качестве ответа Vector BCOModerator 18 ноября 2017 г. 21:21
    7 ноября 2017 г. 8:55
  • Спасибо!

    Что насчет синхронизации времени между КД? Прочел, что синхронизацию лучше отключить, чтобы избежать проблем с репликацией AD. 

    В принципе, все понятно. Прочел не только много статей как на русском, так и на английском языках, но и посомтрел много роликов на ютубе. Но, как говориться, дьявол кроется в деталях :)

    Синхронизацию нужно отключить между гипервизором и КД. Все КД синкаются с PDC эмулятором. Машины синкают время с рядовыми КД

    The opinion expressed by me is not an official position of Microsoft

    7 ноября 2017 г. 8:58
    Модератор
  • Всем большое спасибо!

    Если не трудно, поделитесь ссылками на хорошие блоги\мануалы по windows server?

    Крайне интересно)

    7 ноября 2017 г. 10:24
  • Всем большое спасибо!

    Если не трудно, поделитесь ссылками на хорошие блоги\мануалы по windows server?

    Крайне интересно)

    Для администрирования КД вам будет достаточно тех ссылок, которые я скинул выше. Также не ленитесь читать источники, упомянутые в этих статьях.

    Также обратите внимание на головную страницу по Windows Server https://docs.microsoft.com/en-us/windows-server/windows-server - тут и гайды со скриншотами и чисто теоретические статьи с глубоким разбором (а-ля "deep dive")

    7 ноября 2017 г. 10:30