Jak awansować serwer do kontrolera domeny w systemie Windows Server: kompletny i zaktualizowany przewodnik

Jeśli zarządzasz siecią na podstawie Windows Server, prawdopodobnie słyszałeś o usłudze Active Directory i kluczowym znaczeniu kontrolerów domeny dla zapewnienia bezpieczeństwa, stabilności i wysokiej dostępności infrastruktury. W środowiskach korporacyjnych kluczowe znaczenie ma zapewnienie redundancji i odporności na błędy, a dodawanie dodatkowych kontrolerów domeny staje się zalecaną najlepszą praktyką.

Awansowanie serwera do roli kontrolera domeny to bardzo ważny proces, nie tylko podczas tworzenia pierwszej domeny, ale również podczas wzmacniania jej o nowe serwery. Niezależnie od tego, czy chodzi o rozwój, bezpieczeństwo, równoważenie obciążenia czy wysoką dostępność, zrozumienie, jak poprawnie wykonać to zadanie, może zaoszczędzić Ci wielu kłopotów. W tym artykule wyjaśnimy szczegółowo, jak przeprowadzić ten proces Windows Server (wersje 2016, 2019 i nowsze), integrujące zalecenia, kroki i Tricks które zapewniają sukces i minimalizują ryzyko.

Dlaczego warto awansować serwer na kontroler domeny?

El kontroler domeny Kontroler domeny (DC) jest organizacyjnym filarem usługi Active Directory. Odpowiada za uwierzytelnianie użytkowników, zarządzanie uprawnieniami, przechowywanie krytycznych informacji sieciowych i zapewnianie ciągłości działania. Dlatego ograniczenie się do jednego rozwiązania oznacza pojedynczy punkt awarii.

• Nadmierność: Dodawanie (lub awansowanie) większej liczby kontrolerów domeny gwarantuje, że w przypadku awarii jednego, jego rolę przejmie inny.
• Równoważenie obciążenia: Żądania logowania i uwierzytelniania są dystrybuowane.
• Odzyskiwanie po awarii: Drugi kontroler domeny ułatwia odbudowę domeny po awariach.
• Dostępność geograficzna: Możesz mieć centra danych w różnych lokalizacjach fizycznych.

Z tego powodu większość ekspertów zaleca posiadanie co najmniej dwa kontrolery domeny w każdym środowisku produkcyjnym, niezależnie od wielkości organizacji.

Rozważania wstępne i wymagania zasadnicze

Zanim zaczniesz dodawać nowy kontroler domeny, nie powinieneś pomijać kilku czynników, które zagwarantują, że cały proces przebiegnie sprawnie:

• Statyczny adres IP: Zawsze przypisuj stały adres IP serwerowi, który zamierzasz promować. Dzięki temu zespoły nie stracą kontroli nad kontrolerem w przypadku zmiany adresu.
• Ustawienia DNS: Podstawowym lub preferowanym adresem DNS serwera musi być adres IP istniejącego kontrolera domeny w domenie. Jeśli to ma być pierwszy DC, niech będzie twój.
• Nazwa serwera: Stosuj jasną, opisową nomenklaturę zgodną z polityką Twojej organizacji.
• Aktualizacje bezpieczeństwa: Zainstaluj najnowsze poprawki przed jakąkolwiek zmianą ważnej roli.
• Konto administracyjne: Aby dokończyć promocję, musisz posiadać konto z odpowiednimi uprawnieniami w danej domenie.

Nie zaniedbuj czasu systemowego:Synchronizacja czasu jest kluczowa w przypadku usługi Active Directory. Upewnij się, że wszystkie serwery są prawidłowo zsynchronizowane, aby uniknąć problemów z uwierzytelnianiem i replikacją.

Instalowanie roli usług domenowych Active Directory (AD DS)

Zanim awansujesz serwer do DC, musisz dodać rolę Usługi domenowe Active Directory do serwera, o którym mowa. Instalacja jest prosta, wystarczy użyć Server Manager:Wersje systemu Windows Server obejmuje tę funkcję oraz inne dodatkowe funkcje niezbędne do prawidłowego funkcjonowania tej roli.

1. Uzyskaj dostęp do serwera Windows, który chcesz dodać.
2. Zaloguj się na konto z uprawnieniami administratora.
3. Otwórz Administrator serwera i poszukaj opcji Dodaj role i funkcje w podsumowaniu roli.
4. Przejdź przez początkowy ekran informacyjny i wybierz instalacja oparta na rolach lub funkcjach.
5. Wybierz serwer docelowy (upewnij się, że to właściwy serwer!).
6. Wybierz rolę Usługi domenowe Active Directory (AD DS).
7. Instalator zasugeruje również dodatkowe funkcje wymagane do prawidłowego funkcjonowania tej roli (takie jak: Zarządzanie zasadami grupy). Zaakceptuj je i idź dalej.
8. Potwierdź wybór i jeśli uznasz to za stosowne, aktywuj opcję Automatyczne ponowne uruchomienie serwer po instalacji, jeśli to konieczne.
9. Kliknij na zainstalować i poczekaj na zakończenie procesu.

Po zakończeniu instalacji zamknij okno. Możesz teraz awansować swój serwer do roli kontrolera domeny. Aby poszerzyć swoją wiedzę, możesz również sprawdzić, jak dołącz komputer do domeny Windows aby efektywniej zarządzać swoimi zasobami.

Awansowanie serwera do roli głównego lub dodatkowego kontrolera domeny

Nadszedł decydujący moment: przekształcenie serwera w DC. W zależności od tego, czy tworzysz nowy las/domenę, czy po prostu dodajesz zapasowy kontroler domeny do istniejącej domeny, opcje będą się nieznacznie różnić, ale podstawowy proces jest taki sam.

Awansuj pierwszy kontroler domeny

Jeśli w domenie nie ma jeszcze żadnych kontrolerów domeny, początkowa konfiguracja przebiega podobnie jak w innych systemach. Ważne jest jednak, aby uważnie wykonać każdy krok. Szczegóły można sprawdzić w naszym artykuł o problemach z usługami domenowymi jeśli napotkasz trudności na etapie początkowego tworzenia.

1. Kliknij na powiadomienie który pojawia się w Menedżerze serwera po zainstalowaniu roli AD DS (obok menu Zarządzaj).
2. wybierać Awansuj serwer do kontrolera domeny.
3. Wybierz opcję Dodaj nowy las i wpisz nazwę domeny głównej, upewniając się, że jest zgodna ze standardowymi praktykami nazewnictwa (na przykład lokalna firma).
4. Wybierz poziom funkcjonalny lasu i domeny. Warto dbać o ich aktualność, aby móc korzystać z najnowszych funkcji bezpieczeństwa.
5. Kreator wybiera domyślne opcje dla serwera: DNS i Katalog globalny (GC). Jeżeli jest to pierwszy DC, oba muszą zostać aktywowane.
6. definiuje Hasło trybu przywracania usług katalogowych (DSRM). Zapamiętaj lub przechowuj w bezpiecznym miejscu; jest kluczem do zadań odzyskiwania.
7. Nazwa NetBIOS: Wprowadź krótką nazwę domeny. Zwykle jest to nazwa domeny głównej bez sufiksów.
8. Kreator może wyświetlić ostrzeżenie, że nie można utworzyć delegacji DNS (częste w przypadku nowych wdrożeń lub gdy serwer DNS znajduje się w tym samym kontrolerze domeny). To ostrzeżenie można zignorować.
9. Wybierz folder, w którym będą przechowywane baza danych, pliki dziennika i SYSVOL. Najczęstszą metodą jest zachowanie tras domyślnych.
10. Zaznacz wszystkie opcje. Jeżeli wszystko jest w porządku, pozwól kreatorowi wykonać sprawdzenie warunków wstępnych i po zatwierdzeniu kliknij zainstalować.

Po zakończeniu serwer automatycznie uruchomi się ponownie, a Twój pierwszy kontroler domeny będzie gotowy do działania.

Dodaj kontroler domeny do istniejącej domeny

W celu równoważenia obciążenia, zapewnienia nadmiarowości lub rozwoju organizacji można dodać do istniejącej domeny dodatkowe serwery jako kontrolery domeny. Proces jest bardzo podobny, ale ma pewne niuanse. W tym celu wskazane jest zapoznanie się z informacjami na temat dołącz komputer do domeny w systemie Windows jeśli nie zostało jeszcze poprawnie połączone.

1. Sprawdź, czy serwer jest dołączony do istniejącej domeny (jeśli nie, dołącz z właściwości systemu i uruchom ponownie komputer).
2. Zaloguj się przy użyciu danych logowania administratora domeny (możesz użyć użytkownika w formacie DOMENA\użytkownik o użytkownik@domena.com).
3. Po zainstalowaniu roli usługi AD DS (jak opisano powyżej) uzyskaj dostęp do powiadomień Menedżera serwera i wybierz opcję Awansuj serwer do kontrolera domeny.
4. Na stronie kreatora wybierz Dodaj kontroler domeny do istniejącej domeny i wprowadź nazwę domeny docelowej.
5. Potwierdź, że użytkownik ma odpowiednie uprawnienia (możesz je zmienić, jeśli używasz innej sesji).
6. En Opcje kontrolera domeny, pozostawia aktywne opcje serwera DNS i katalogu globalnego (GC), chyba że zaistnieją szczególne potrzeby.
7. Wybierz sitio gdzie będzie zlokalizowany kontroler domeny, jeśli zdefiniowano ich kilka w usłudze Active Directory Sites and Services.
8. Wprowadź hasło dla DSRM (może być taki sam, jak administratora, ale zaleca się, aby był solidny i dobrze utrzymany).
9. Kreator może ostrzec Cię, że utworzenie delegacji DNS jest niemożliwe; W zdecydowanej większości przypadków jest to zbędne i można to zignorować.
10. En Dodatkowe opcje, wybierz, z którego istniejącego kontrolera domeny ma zostać wykonana początkowa replikacja (jeśli masz więcej niż jeden). Jeśli nie dysponujesz wystarczającą przepustowością między lokalizacjami, możesz dokonać instalacji z nośnika (IFM), choć zazwyczaj odbywa się to poprzez sieć.
11. Wskazuje lokalizację danych, dziennika i SYSVOL, zwykle domyślną.
12. Przejrzyj wszystkie opcje i pozwól usłudze Active Directory sprawdzić wymagania wstępne.
13. Kliknij na zainstalować i poczekaj na zakończenie procesu. Zostanie wyświetlony pasek postępu, a po zakończeniu serwer automatycznie zostanie ponownie uruchomiony.

Po uruchomieniu i ponownym połączeniu z siecią nowy kontroler domeny będzie gotowy do działania i po replikacji z pozostałymi kontrolerami przejmie w pełni funkcje uwierzytelniania, replikacji i obsługi sieci.

Kontrole po awansie

Chociaż kreator wykonuje wiele automatycznych walidacji, ważne jest, aby po pierwszej weryfikacji wykonać pewne kontrole boot:

• Status replikacji: Otwórz konsolę polecenia i biegnij dcdiag /v aby sprawdzić stan DC.
• Sprawdź wydarzenia: Podgląd zdarzeń dostarcza szczegółowych informacji o każdym zdarzeniu.
• DNS: Sprawdź, czy usługi DNS działają prawidłowo i czy nie występują żadne istotne błędy delegowania.
• Dostosuj ustawienia sieciowe: W każdym DC ustal jako Preferowany DNS drugiego DC i jako alternatywnego DNS, siebie samego. Optymalizuje to rozdzielczość i dostępność.

Dzięki temu w przypadku awarii dowolnego kontrolera domeny sieć nadal będzie działać bez problemów z uwierzytelnianiem i rozwiązywaniem nazw. W przypadkach, gdy usługi DNS mogą sprawiać trudności, należy przeprowadzić analizę przy użyciu zasobów takich jak: Narzędzia NirSoft Może okazać się przydatne sprawdzenie ustawień i statusu DNS.

Typowe rozwiązywanie problemów

Chociaż proces ten jest zazwyczaj prosty, czasami mogą pojawić się problemy:

• Nieprawidłowe poziomy funkcjonalne: Jeśli kreator wyświetla poprzednie lub niespójne wersje (na przykład „Windows Server Technical Preview” zamiast bieżącej wersji), zaktualizuj system, korzystając z najnowszej zbiorczej aktualizacji z witryny Windows Update przed promowaniem serwera.
• Błędy delegacji DNS: To ostrzeżenie jest powszechne i poza bardzo szczególnymi przypadkami złożonych topologii, zwykle jest nieszkodliwe.
• Problemy z replikacją: Jeśli zmiany nie zostaną zastosowane po instalacji, sprawdź łączność między kontrolerami domeny i upewnij się, że wymagane porty są otwarte. Aby rozwiązać te problemy, możesz również sprawdzić nasz poradnik, jak to zrobić otwórz porty w Active Directory.

Dobre praktyki dla środowisk solidnych i bezpiecznych

Aby w pełni wykorzystać infrastrukturę AD i uniknąć nieoczekiwanych problemów, zastosuj się do poniższych zaleceń:

• Zawsze aktualizuj swoje systemy tuż przed jakimkolwiek procesem awansu lub objęciem ważnego stanowiska.
• Unikaj testowania w środowiskach produkcyjnych:używać laboratoriów lub maszyny wirtualne kiedykolwiek możliwe.
• Udokumentuj wszystkie zmiany i przechowuj hasła DSRM w bezpiecznym miejscu.
• Monitoruj replikację okresowo, zwłaszcza po włączeniu nowych centrów danych.
• Zaplanuj fizyczną lokalizację kontrolerów (różne CPD, placówki itp.) w celu osiągnięcia większej odporności.
• Okresowo twórz kopie zapasowe, w tym stanu systemu, w celu odzyskania usługi AD w przypadku katastrofy.

Opanuj proces promowanie serwerów do kontrolerów domeny Profesjonalne zarządzanie siecią Windows jest niezbędne. Postępując zgodnie z instrukcjami i zaleceniami opisanymi w tym artykule, zbudujesz solidną i bezpieczną infrastrukturę, która będzie gotowa na wszelkie nieprzewidziane zdarzenia. Dzięki utrzymywaniu wielu centrów danych nie tylko zwiększasz bezpieczeństwo i dostępność swoich usług, ale także przyczyniasz się do sprawnego funkcjonowania i rozwoju swojej organizacji. Ponadto wdrażanie kontroli i najlepszych praktyk uzupełnia i wzmacnia wszystkie poprzednie działania, minimalizując zarówno obecne, jak i przyszłe ryzyka.

Podobne artykuł:

Usługi domenowe Active Directory są niedostępne [PEŁNA POPRAWKA]

Isaac

Pisarz z pasją zajmujący się światem bajtów i technologii w ogóle. Uwielbiam dzielić się swoją wiedzą poprzez pisanie i właśnie to będę robić na tym blogu, pokazywać Ci wszystkie najciekawsze rzeczy o gadżetach, oprogramowaniu, sprzęcie, trendach technologicznych i nie tylko. Moim celem jest pomóc Ci poruszać się po cyfrowym świecie w prosty i zabawny sposób.