Есть два контроллера домена.
Один нужно вывести а на его место поставить новый.
http://support.microsoft.com/kb/324801/ru
Роли FSMO
В каждом лесу имеется как минимум пять ролей FSMO, назначенных одному или нескольким контроллерам домена. Это следующие роли.
* Хозяин схемы. Контроллер домена, являющийся хозяином схемы, управляет всеми обновлениями и изменениями схемы. Обновление схемы леса невозможно без доступа к хозяину схемы. В лесу может быть только один хозяин схемы.
* Хозяин именования доменов. Контроллер домена, исполняющий роль хозяина именования, управляет добавлением и удалением доменов из леса. В лесу может быть только один хозяин именования доменов.
* Хозяин инфраструктуры. Хозяин инфраструктуры отвечает за обновление ссылок объектов домена на объекты других доменов. Одновременно в домене может существовать только один хозяин инфраструктуры.
* Хозяин относительных идентификаторов (RID). Хозяин RID отвечает за обработку запросов на относительные идентификаторы от всех контроллеров в данном домене. Одновременно в домене может существовать только один хозяин RID.
* Эмулятор основного контроллера домена (PDC). Эмулятор PDC — это контроллер, объявляющий себя основным контроллером домена по отношению к рабочим станциям, серверам и контроллерам домена под управлением Windows более ранних версий. Например, если не все компьютеры в домене находятся под управлением Windows XP Professional и Windows 2000 или в нем имеются резервные контроллеры домена под управлением Windows NT, эмулятор PDC принимает роль основного контроллера домена Windows NT. Кроме того, он становится основным обозревателем домена и обрабатывает расхождения паролей. Одновременно в каждом домене леса может существовать только один эмулятор PDC.
Передача ролей FSMO выполняется с помощью программы Ntdsutil.exe (запускается из командной строки) или оснасток консоли MMC. В зависимости от передаваемой роли используются:
оснастка «Схема Active Directory»;
оснастка «Active Directory — домены и доверие»;
оснастка «Active Directory — пользователи и компьютеры».
Если компьютер больше не существует, роль необходимо присвоить с помощью программы Ntdsutil.exe.
Передача роли хозяина схемы
Для передачи роли хозяина схемы используется оснастка «Схема Active Directory». Перед ее запуском необходимо зарегистрировать файл Schmmgmt.dll.
Регистрация файла Schmmgmt.dll
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите в поле Открыть команду regsvr32 schmmgmt.dll и нажмите кнопку OK.
3. Получив сообщение об успешном завершении операции, нажмите кнопку ОК.
Передача роли хозяина схемы
1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду mmc и нажмите кнопку ОК.
2. В меню Файл выберите команду Добавить или удалить оснастку.
3. Нажмите кнопку Добавить.
4. Выберите в списке оснастку Схема Active Directory, нажмите кнопку Добавить, а затем — Закрыть и ОК.
5. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Изменение контроллера домена.
6. В поле Укажите имя введите имя контроллера домена, которому передается роль, и нажмите кнопку ОК.
7. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Хозяин операций.
8. Нажмите кнопку Изменить.
9. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Передача роли хозяина именования доменов
1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Active Directory — домены и доверие.
2. Щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите команду Подключение к контроллеру домена.
Примечание. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
3. Выполните одно из следующих действий.
* Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
или
* Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите пункт Хозяин операций.
5. Нажмите кнопку Изменить.
6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Передача ролей хозяина RID, эмулятора основного контроллера домена и хозяина инфраструктуры
1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем Active Directory — пользователи и компьютеры.
2. Щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры и выберите команду Подключение к контроллеру домена.
Примечание. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
3. Выполните одно из следующих действий.
* Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
или
* Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры, выберите пункт Все задачи, а затем — Хозяин операций.
5. Выберите вкладку, соответствующую передаваемой роли (RID, PDC или Инфраструктура), и нажмите кнопку Изменить.
6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
План такой:
Сделать новый сервер контроллером домена
Понизить старый сервер (удалить его из контроллеров домена).
Просматриваем какие роли у старого контроллера домена:
Загружаем остнастку Схема Active Directory
если ее нет в администрировании, то добавляем ее через mmc
И там правой кнопкой смотрим хозяина операций это и есть роль хозяина схемы.
Загружаем Active Directory — домены и доверие
И там правой кнопкой смотрим хозяина операций это и есть роль хозяина именования доменов.
Загружаем Active Directory — пользователи и компьютеры
И там правой кнопкой смотрим хозяев операций это и есть роли RID, PDC или Инфраструктура.
У меня у него только роль Хозяин инфраструктуры.
И нужно узнать где глобальный каталог
http://support.microsoft.com/kb/223346/ru
Размещение и оптимизация FSMO на контроллерах домена Active Directory
Контроллеры доменов Active Directory поддерживают обновления с несколькими хозяевами для репликации объектов (например учетных записей пользователей и компьютеров) в Active Directory. При наличии нескольких хозяев объекты и их свойства могут находиться на любом контроллере домена и становиться "заслуживающими доверия" с помощью репликации.
В этой статье рассмотрено размещение ролей FSMO (Flexible Single-Master Operation) Active Directory в домене и лесу.
Некоторые операции уровня домена или предприятия, для которых не подходит размещение с несколькими хозяевами, располагаются на одном контроллере домена в домене или лесу. Использование операций с единственным хозяином предотвращает возникновение конфликтных ситуаций в случаях, когда хозяин операции отключен. С другой стороны, владелец роли FSMO должен быть доступен, когда на уровне предприятия или домена выполняются зависящие от него действия. В противном случае необходимо вносить связанные с этой ролью изменения в каталог.
В мастере установки Active Directory (Dcpromo.exe) определены пять ролей FSMO: хозяин схемы, хозяин именования доменов, хозяин RID, эмулятор PDC и хозяин инфраструктуры. Роли хозяина схемы и хозяина именования доменов определяются для всего леса, а остальные три (хозяин RID, эмулятор PDC и хозяин инфраструктуры) — для каждого домена.
Лес, в котором существует один домен, имеет пять ролей. Каждый дополнительный домен добавляет три роли уровня домена. Количество ролей FSMO в лесу и число потенциальных владельцев этих ролей можно рассчитать по формуле "(количество доменов * 3) + 2".
Лес с тремя доменами (A.com с дочерним доменом B.A.com и внучатым доменом C.B.A.com) имеет 11 ролей FSMO:
1 хозяин схемы — на уровне леса, A.COM;
1 хозяин именования доменов — на уровне леса, A.COM;
3 эмулятора PDC (A.com, B.A.com и C.B.A.com);
3 хозяина RID (A.com, B.A.com и C.B.A.com);
3 хозяина инфраструктуры для каждого домена (A.com, B.A.com и C.B.A.com).
Когда в лесу создается первый контроллер домена Active Directory, Dcpromo.exe назначает ему все пять ролей. Когда создается первый контроллер домена Active Directory для нового домена в существующем лесу, ему назначаются три роли. В домене, работающем в смешанном режиме, в который входят контроллеры домена под управлением Windows NT 4.0, только контроллеры домена под управлением Windows Server 2003 или Windows 2000 могут владеть ролями FSMO уровня леса или домена.
Перейти к началу страницы
Наличие и размещение ролей FSMO
Dcpromo.exe выполняет первоначальное размещение ролей на контроллерах домена. Это размещение обычно подходит для каталогов, которые содержат небольшое количество контроллеров домена. Для каталогов, содержащих большое число контроллеров домена, размещение по умолчанию, как правило, не является оптимальным.
Для каждого домена необходимо определить основной и резервный контроллеры домена, обладающие ролями FSMO (на случай сбоя основного владельца ролей FSMO). Кроме того, можно выбрать внешних резервных владельцев на случай возникновения серьезных проблем на уровне сайта. При этом необходимо руководствоваться указанными ниже критериями.
* Если в домене только один контроллер домена, то ему будут принадлежать все роли уровня домена.
* В доменах с несколькими контроллерами домена с помощью оснастки "Active Directory — диспетчер сайтов и служб" выберите прямых партнеров репликации, имеющих постоянное и надежное соединение с данным контроллером.
* Для ускорения согласования репликации в большой группе компьютеров резервный сервер может располагаться на одном сайте с основным FSMO-сервером. С другой стороны, на случай возникновения серьезных проблем в основном месте расположения его можно поместить на удаленном сайте.
* Если резервный контроллер домена находится на удаленном сайте, для непрерывной репликации необходимо наличие надежного соединения.
Общие рекомендации по размещению ролей FSMO
* Размещайте роли хозяина RID и эмулятора PDC на одном контроллере домена. Кроме того, роли FSMO легче отслеживать, если они собраны на минимальном количестве компьютеров.
Для снижения нагрузки на основной FSMO-сервер роли хозяина RID и эмулятора основного контроллера домена можно расположить на разных контроллерах одного домена и сайта Active Directory, которые являются прямыми партнерами репликации.
* Как правило, хозяин инфраструктуры рекомендуется размещать на сервере неглобального каталога, который имеет объект прямого подключения к одному из глобальных каталогов в лесу (желательно на том же сайте Active Directory). Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, хозяин инфраструктуры, размещенный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. Для этого правила есть два исключения.
o Лес с одним доменом
Если лес содержит только один домен Active Directory, то в нем отсутствуют фантомы. Это значит, что хозяин инфраструктуры бездействует. В этом случае его можно разместить на любом контроллере домена, независимо от того, является ли этот контроллер домена сервером глобального каталога.
o Лес с несколькими доменами, в котором каждый контроллер домена хранит глобальный каталог
Если на каждом контроллере домена, входящего в лес с несколькими доменами, хранится глобальный каталог, фантомы отсутствуют и хозяин инфраструктуры бездействует. В этом случае его также можно разместить на любом контроллере данного домена.
* На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.
В режиме работы леса Windows Server 2003 не требуется помещать хозяин именования доменов в глобальный каталог.
С помощью одной из консолей управления (например Dsa.msc или Ntdsutil.exe) убедитесь в том, что доступны все роли FSMO.
Еще нужно посмотреть где глабальный каталог
Откройте консоль Active Directory Sites and Services, раскройте узел Sites->Default-First-Site-Name->имя_сервера->NTDS Settings. Откройте свойства узла NTDS Settings и псмотрите, установлен ли флажок Global Catalog. Проделайте ту же операцию для второго сервера в сайте.
У меня они оба глобальные каталоги.
Теперь делаю новый сервер контроллером домена (добавь роль контроллера домена).
Ругнулось, (как оказалось из-за того, что новый сервер был R2, а старые нет):
Операция не выполнена по следующей причине:
Ошибка проверки правильности схемы.
Продолжение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена. Для получения дополнительных сведений о команде Adprep см. справку Active Directory.
«Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере.»
http://support.microsoft.com/kb/278875/ru
Создание контроллера домена Windows Server 2003 в домене или лесу Windows 2000
Ошибки, описанные в разделе «Проблема», могут произойти при попытке повышения уровня изолированного или рядового сервера Windows Server 2003 до контроллера домена в следующей среде Active Directory Windows 2000:
* Дополнительный контроллер домена в существующем домене в лесу Windows 2000.
* Первый контроллер домена в новом домене существующего леса Windows 2000.
Перед включением дополнительного контроллера домена Windows Server 2003 в лес Windows 2000 администратору необходимо успешно выполнить команду adprep /forestprep на хозяине схемы и выполнить команду adprep /domainprep на хозяине инфраструктуры в лесу Windows 2000.
Перед созданием нового домена Windows Server 2003 в существующем лесу Windows 2000 администратору необходимо успешно выполнить команду adprep /forestprep на хозяине схемы. Кроме того, данные изменения должны быть полностью реплицированы на вспомогательный контроллер домена, используемый компьютером, на котором устанавливается Active Directory.
В итоге вспомогательный контроллер домена, используемый компьютером, на котором устанавливается Active Directory, должен реплицировать все входящие изменения, сделанные командами adprep /forestprep и adprep /domainprep.
Примечание. Вспомогательный контроллер домена представляет собой существующий контроллер домена, находящийся в домене или в лесу. Компьютеры, на которых устанавливается Active Directory, используют вспомогательный контроллер домена для получения доступа к имеющейся информации Active Directory при использовании мастера установки Active Directory для создания новых доменов в существующем лесу или для добавления контроллеров домена к существующему лесу.
adprep.exe находится на установочном диске w2k3
Я взял его со второго диска, откуда и ставил R2
Сделал
adprep /forestprep на хозяине схемы
Сделал
adprep /domainprep на хозяине инфраструктуры
Выдало еще такое
The new cross domain planning functionality for Group Policy, RSOP Planning
Mode, requires file system and Active Directory permissions to be updated
for existing Group Policy Objects (GPOs). You can enable this functionality
at any time by running "adprep.exe /domainprep /gpprep" on the DC that holds
the infrastructure operations master role.
This operation will cause all GPOs located in the policies folder of the
SYSVOL to be replicated once between the domain controllers in this domain.
Microsoft recommends reading KB Q324392, particularly if you have a large
number of Group policy Objects.
Сделал еще и
adprep.exe /domainprep /gpprep
Запускаю снова на новом сервере добавление роли Контролера Active Directory
Все прошло нормально.
Перезагрузка (обязательно).
Из журнала сообщений узнаем
------------------
Служба репликации файлов инициализирует системный том с помощью данных с другого контроллера домена. Компьютер SRVDC не может принять роль контроллера домена, пока этот процесс не будет завершен. Этот системный том станет общим ресурсом под именем SYSVOL.
Чтобы проверить наличие общего ресурса SYSVOL, введите:
net share
После завершения процесса инициализации службой репликации файлов должен появиться общий ресурс SYSVOL.
Для инициализации системного тома требуется некоторое время. Оно зависит от объема данных на системном томе, от наличия других контроллеров домена, и от частоты репликаций между контроллерами доменов.
----------------------
Ждем пока появятся шары
в командной строке:
net share
Появилось.
Теперь добавил роль dns-сервера.
Установил
Group Policy Management Console with Service Pack 1
чтобы управлять групповой политикой.
Загружаем Active Directory — пользователи и компьютеры
и передаю роль хозяина инфраструктуры на новый сервер.
Передал. Это быстро.
Active Directory Sites and Services
и убираем со старого сервера Глобальный каталог.
Ставим на новый сервер глобальный каталог.
Смотрим сообщения в журнале Служба каталогов, пока не появиться сообщение
Теперь этот контроллер домена является глобальным каталогом.
Теперь понижаю старый сервер до рядового, т.е. убираю контроллер Active Directory.
С первого раза до конца не понизилась роль, так как выдал ошибку: Таймаут при остановке службы Netlogon. Запустил еще раз, все прошло нормально.
Перезагрузка сменил ip.
Все ок.
Настроим
сервер времени:
