Обновление контроллеров домена до windows server 2016

Сводка

Желание удалить конфигурацию домена единой метки часто является причиной переименования домена. Сведения о совместимости приложений в этой статье применимы ко всем сценариям, в которых можно было бы учесть переименование домена.

По следующим причинам лучше всего создавать новые домены Active Directory с полностью квалифицированными именами DNS:

  • Имена DNS с одной меткой не могут быть зарегистрированы с помощью регистратора Интернета.

  • Клиентские компьютеры и контроллеры доменов, которые присоединяются к доменам с одной меткой, требуют дополнительной конфигурации для динамической регистрации записей DNS в зонах DNS с одной меткой.

  • Клиентские компьютеры и контроллеры домена могут требовать дополнительной конфигурации для решения запросов DNS в зонах DNS с одной меткой.

  • Некоторые серверные приложения несовместимы с однофамильными доменными именами. Поддержка приложений может не существовать в начальном выпуске приложения или поддержка может быть отброшена в будущем выпуске.

  • Переход с однометного доменного имени DNS на полностью квалифицированное имя DNS нетривиален и состоит из двух вариантов. Перенос пользователей, компьютеров, групп и других государств в новый лес. Или сделайте домен переименованием существующего домена. Некоторые серверные приложения несовместимы с функцией переименования домена, поддерживаемой в Windows Server 2003 и новыми контроллерами домена. Эти несовместимости либо блокируют функцию переименования домена, либо затрудняет использование функции переименования домена при попытке переименовать имя DNS с одной меткой в полностью квалифицированное доменное имя.

  • Мастер установки Active Directory (Dcpromo.exe) в Windows Server 2008 предупреждает о создании новых доменов с однометным DNS-именами. Так как нет никаких бизнес-или технических причин для создания новых доменов с однометными именами DNS, мастер установки Active Directory в Windows Server 2008 R2 явно блокирует создание таких доменов.

Примеры приложений, несовместимых с переименованием домена, включают в себя следующие продукты:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center диспетчер операций 2007 SP1
  • Microsoft System Center 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

SyncAll exited with fatal Win32 error: 8440 (0x20f8), ошибка репликации в AD

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали методы оплаты телефона Билайн, я привел вам варианты использования самых известных банков, мы сэкономили время, самый ценный ресурс в мире. Двигаемся дальше и сегодня разберем серьезную ошибку, которая может вам доставить уйму проблем при ее диагностике и в работе пользователей. Речь пойдет, о проблемах репликации между контроллерами домена, где на сбойном контроллере вы будите получать тьму ошибок, одной из которых будет «The target principal name is incorrect. SyncAll exited with fatal Win32 error: 8440 (0x20f8)». Давайте восстанавливать правильную работу нашего AD.

Пошаговые инструкции по обновлению до Windows Server 2016

ниже приведен простой пример обновления леса Contoso с Windows Server 2012 R2 до Windows Server 2016.

  1. присоедините новый Windows Server 2016 к лесу. При появлении запроса перезагрузите компьютер.

  2. войдите в новую Windows Server 2016 с учетной записью администратора домена.

  3. В Диспетчер серверав разделе Добавление ролей и компонентовустановите службы домен Active Directory на новом Windows Server 2016. Программа Adprep будет автоматически запущена в лесу и домене 2012 R2.

  4. В Диспетчер серверащелкните желтый треугольник и в раскрывающемся списке выберите повысить уровень сервера до контроллера домена.

  5. На экране Конфигурация развертывания выберите Добавить контроллер домена в существующий лес и нажмите кнопку Далее.

  6. На экране параметры контроллера домена введите пароль в режиме восстановления служб каталогов (DSRM) и нажмите кнопку Далее.

  7. В оставшейся части экрана нажмите кнопку Далее.

  8. На экране Проверка готовности нажмите кнопку установить. После завершения перезагрузки можно снова войти в систему.

  9. на сервере Windows Server 2012 R2 в диспетчер серверав разделе средства выберите Active Directory модуль для Windows PowerShell.

  10. В Windows PowerShell используйте Move-ADDirectoryServerOperationMasterRole, чтобы переместить роли FSMO. Можно ввести имя каждого параметра-Оператионмастерроле или использовать числа, чтобы указать роли. Дополнительные сведения см. в разделе Move-аддиректорисервероператионмастерроле .

  11. чтобы убедиться, что роли перемещены, перейдите на Windows Server 2016 сервер, в диспетчер серверав разделе средствавыберите Active Directory модуль для Windows PowerShell. Используйте командлеты и для просмотра владельцев ролей FSMO.

  12. понизьте и удалите контроллер домена Windows Server 2012 R2. Сведения о понижении роли контроллера домена см. в статье понижение роли контроллеров доменов и доменов .

  13. После понижения и удаления сервера можно повысить функциональные уровни работы леса и домена, чтобы Windows Server 2016.

Предварительные требования

рекомендуемый способ обновления домена — повысить уровень контроллеров домена, на которых работают более новые версии Windows Server, и при необходимости понизить прежние контроллеры домена. Этот метод является предпочтительным для обновления операционной системы существующего контроллера домена. в этом списке описаны общие шаги, которые необходимо выполнить перед повышением уровня контроллера домена, на котором работает более новая версия Windows Server.

  1. Убедитесь, что целевой сервер отвечает требованиям к системе.
  2. Проверьте совместимость приложений.
  3. проверьте Рекомендации для перехода на Windows Server 2016
  4. Проверьте параметры безопасности. Дополнительные сведения см. в разделе устаревшие функции и изменения в работе, связанные с AD DS в Windows Server 2016.
  5. Проверьте подключение к целевому серверу с компьютера, где планируется установка.
  6. Проверьте доступность необходимых ролей хозяина операций.
    • чтобы установить первый контроллер домена, работающий Windows Server 2016 в существующем домене и лесу, на компьютере, где выполняется установка, необходимо подключиться к хозяину схемы , чтобы запустить adprep/forestprep и хозяин инфраструктуры для запуска adprep/домаинпреп.
    • Чтобы установить первый контроллер домена в домене, где схема леса уже расширена, требуется подключение только к хозяину инфраструктуры.
    • Для установки или удаления домена в существующем лесу необходимо подключение к хозяину именования доменов.
    • Для установки контроллера домена также требуется подключение к хозяину RID.
    • Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, вам потребуется подключение к хозяину инфраструктуры для каждого раздела каталога приложений, также известного как контекст именования не в ДОМЕНЕ или нднк.

Этапы установки и требуемые административные уровни

В следующей таблице приведена сводка этапов обновления и требования к разрешениям для выполнения этих действий.

Действие установки Требования к учетным данным
Установка нового леса Локальный администратор на целевом сервере
Установка нового домена в существующем лесу Администраторы предприятия
Установка дополнительного контроллера домена в существующем домене Администраторы домена
Выполнение команды adprep /forestprep Администраторы схемы, администраторы предприятия и администраторы домена
Выполнение команды adprep /domainprep Администраторы домена
Выполнение команды adprep /domainprep /gpprep Администраторы домена
Выполнение команды adprep /rodcprep Администраторы предприятия

дополнительные сведения о новых возможностях в Windows Server 2016 см. в разделе новые возможности Windows Server 2016.

Параметры подготовки

Если вход с учетными данными, достаточными для запуска команд adprep.exe, не выполнен, а запуск adprep необходим для завершения установки, отображается приглашение ввести учетные данные для запуска adprep.exe. для добавления первого контроллера домена, выполняющего Windows Server 2012 к существующему домену или лесу, требуется выполнение Adprep. В частности:

  • для добавления первого контроллера домена, выполняющего Windows Server 2012 к существующему лесу, необходимо запустить Adprep/forestprep. Для выполнения этой команды необходимо быть членом группы «Администраторы предприятия», группы «Администраторы схемы» и группы «Администраторы домена» для домена, в который входит хозяин схемы. Для успешного выполнения команды должно существовать соединение между компьютером, на котором выполняется команда, и хозяином схемы леса.

  • для добавления первого контроллера домена, выполняющего Windows Server 2012 к существующему домену, необходимо выполнить команду Adprep/domainprep. Эта команда должна выполняться членом группы «Администраторы домена» домена, в котором устанавливается контроллер домена, на котором выполняется Windows Server 2012. Для успешного выполнения команды должно существовать соединение между компьютером, на котором выполняется команда, и хозяином инфраструктуры домена.

  • Запуск adprep /rodcprep необходим, чтобы добавить первый RODC в существующий лес. Для выполнения этой команды необходимо быть членом группы «Администраторы предприятия». Для успешного выполнения команды должно существовать соединение между компьютером, на котором выполняется команда, и хозяином инфраструктуры всех разделов каталога приложений леса.

Дополнительные сведения о программе Adprep.exe см. в разделах и Запуск программы adprep.exe.

Мост связей сайтов

Мост связи сайтов — это объект Active Directory, представляющий набор связей сайтов, все сайты которых могут обмениваться данными с помощью общего транспорта. Мосты связей сайтов позволяют подключать контроллеры домена, которые не соединены напрямую через канал связи для репликации друг с другом. Как правило, мост связей сайтов соответствует маршрутизатору (или набору маршрутизаторов) в IP-сети.

По умолчанию KCC может формировать транзитный маршрут через все связи сайтов, на которых имеются общие сайты. Если такое поведение отключено, каждая связь сайтов представляет собственную отдельную и изолированную сеть. Наборы связей сайтов, которые можно рассматривать как один маршрут, выражаются через мост связей сайтов. Каждый мост представляет среду изолированного взаимодействия для сетевого трафика.

Мосты связей сайтов — это механизм, логически отражающий транзитивное физическое подключение между сайтами. Мост связей сайтов позволяет KCC использовать любое сочетание входящих в него связей сайтов, чтобы определить наименее дорогостоящий маршрут к разделам каталога Interconnect, которые хранятся на этих сайтах. Мост связей сайтов не обеспечивает фактическое подключение к контроллерам домена. Если мост связей сайтов удален, репликация по Объединенным связям сайтов будет продолжаться до тех пор, пока не будут удалены ссылки.

Мосты связей сайтов необходимы только в том случае, если сайт содержит контроллер домена, на котором размещается раздел каталога, который также не размещается на контроллере домена соседнего сайта, но контроллер домена, на котором размещается этот раздел каталога, находится на одном или нескольких сайтах в лесу. Смежные сайты определяются как любые два или больше сайтов, входящих в одну связь сайтов.

Мост связей сайтов создает логическое подключение между двумя связями сайтов, предоставляя транзитный путь между двумя отключенными сайтами с помощью промежуточного сайта. В целях создания межсайтовых топологий (ISTG) мост подразумевает физическое подключение с использованием промежуточного сайта. Мост не подразумевает, что контроллер домена на промежуточном сайте предоставит путь репликации. Тем не менее, если промежуточный сайт содержал контроллер домена, на котором размещен раздел каталога для репликации, в этом случае мост связей сайтов не требуется.

Добавляется стоимость каждой связи сайтов, что приводит к созданию суммированных затрат для итогового пути. Мост связей сайтов будет использоваться, если промежуточный сайт не содержит контроллер домена, на котором размещается раздел каталога, а ссылка с более низкими затратами не существует. Если промежуточный сайт содержал контроллер домена, на котором размещается раздел каталога, два отключенных сайта настроили подключения репликации к промежуточному контроллеру домена и не используют мост.

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет

Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно

Примечание: некоторые рассуждения, а также множество ссылок на полезный материал, вы можете найти в моей статье Пара слов про именование доменов Active Directory. Рекомендую ознакомиться с ней, а также со списком использованных источников.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Примечание: отключение синхронизации с хостом виртуализации — самый простой и быстрый вариант. Тем не менее, это не best practic. Согласно рекомендациям Microsoft, нужно отключать синхронизацию с хостом лишь частично . Для понимания принципа работы читайте официальную документацию , которая в последние годы радикально подскочила вверх по уровню изложения материала.

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS :

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Параметры RODC

При установке контроллера домена только для чтения (RODC) отображаются следующие параметры.

  • Делегированные учетные записи администратора получают локальные права администратора для RODC. Эти пользователи могут действовать с привилегиями, эквивалентными группе администраторов локального компьютера. Они не являются членами групп администраторов домена или встроенных учетных записей администраторов домена. Этот параметр полезен при делегировании администрирования филиалом без выдачи разрешения на администрирование домена. Настройка делегирования прав администратора не требуется. Дополнительные сведения см. в разделе Делегирование прав администратора.

  • Политика репликации паролей действует как список управления доступом (ACL). Она определяет, разрешается ли RODC кэширование пароля. После того как RODC получает запрос на вход прошедшего проверку пользователя или компьютера, он обращается к политике репликации паролей, чтобы определить, нужно ли кэшировать пароль учетной записи. После этого следующие входы под данной учетной записью станут более эффективными.

    Политика репликации паролей перечисляет те учетные записи, пароли от которых разрешено кэшировать, и те, пароли от которых кэшировать явным образом запрещено. Перечисление учетных записей пользователей и компьютеров, которые разрешено кэшировать, не означает, что RODC обязательно кэширует пароли этих учетных записей. Администратор, например, может заранее указать учетные записи, которые RODC будет кэшировать. Таким образом, RODC может проверить подлинность этих учетных записей, даже если ссылка глобальной сети на узловой сайт неактивна.

    Если пользователям или компьютерам не разрешено (в том числе неявно) или отказано в кэшировании пароля, кэширование не производится. Если вышеупомянутые пользователи или компьютеры не имеют доступа к доступному для записи контроллеру домена, они не могут получить доступ к ресурсам и функциональным возможностям доменных служб Active Directory. Дополнительные сведения о репликации паролей см. в разделе Политика репликации паролей. Дополнительные сведения об управлении политикой репликации паролей см. в разделе Администрирование политики репликации паролей.

Дополнительные сведения об установке контроллера домена только для чтения см. в разделе Установка контроллера домена Active Directory только для чтения для Windows Server 2012 (уровень 200).

Описание проблемы с вводом в домен

По идее присоединение компьютера к Active Directory  это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft

После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:

«Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»

После этого сообщения, сервер заходит в домен и перезагружается, затем к нему применяются групповые политики. Вы пытаетесь к нему подключиться и видите, такое сообщение

База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера

Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.

Создание контроллера домена для нового леса

Контроллер домена для нового леса можно создавать, когда
требуется обновить домен Windows NT, чтобы сделать его первым
доменом в новом лесу, разделить сеть на сегменты для создания
административной автономии, обеспечить защиту конфиденциальных
данных, изолировать область репликации каталогов или использовать
несвязанное пространство DNS-имен, отличающееся от существующего
леса в сети. Как показано в следующем примере, лес microsoft.com
является первым доменом Active Directory в организации.

Лес можно использовать в
качестве первого домена Active Directory в организации.

В этом разделе описаны основные шаги настройки контроллера
домена для нового леса в организации.

В этом процессе для установки на сервер Active Directory
используются мастер настройки сервера и мастер установки Active
Directory. После установки контроллера домена можно выполнить
дополнительную настройку.

В этом разделе:

Причины ошибки «Не удалось изменить DNS-имя основного контроллера домена»

Рассмотрим причины, по которым ваш компьютер не может пройти аутентификацию на DC и не содержится в его базе.

  • Остались хвосты от предыдущей учетной записи с тем же именем
  • Проблема в отключенном  NetBIOS в TCP/IP
  • Режет пакеты Firewall
  • На контроллере закрыт UDP-порт 137
  • Отсутствует PTR запись на dns имя этой учетной записи компьютера

Чистим старые хвосты в Active Directory

Сразу хочу отметить, что данный способ у меня отработал сразу. Я полностью удалил учетную запись компьютера, с которым были проблемы. После чего снова добавил нужный сервер в домен, и он уже не выдавал ошибку «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера». Учетная запись появилась в привычном контейнере «Computers»

Убедитесь, что включен NetBIOS через TCP/IP

Нажмите WIN+R и введите ncpa.cpl, у вас откроется окно «Панель управления\Все элементы панели управления\Сетевые подключения». Выберите ваш сетевой интерфейс, который смотрит в туже сеть, что и DC его аутентифицирующий. Перейдите в свойства сетевого интерфейса, выберите «Протокол Интернета версии 4 (TCP/IPv4)», далее кнопка «Дополнительно». На вкладке WINS, вам необходимо выбрать пункт «Включить NetBIOS» через TCP/IPv4 и сохранить настройки.

Так же на вкладке DNS, вы можете прописать дополнительные DNS суффиксы (полное имя домена), нажмите ок.

В принципе этого достаточно, чтобы избавится от ошибки «»Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»»

Если вам не помогли манипуляции, то ставьте варшарк и смотрите трафик и доступность портов, не блокирует ли у вас то-то.

Возможности режимов работы и требования

для Windows Server 2016 требуется функциональный уровень леса Windows Server 2003. это значит, что перед добавлением контроллера домена, выполняющего Windows Server 2016 к существующему Active Directory лесу, режим работы леса должен быть Windows Server 2003 или более поздней версии. Если в лесу есть контроллеры домена под управлением Windows Server 2003 или новее, но режим работы леса соответствует Windows 2000, то установка также блокируется.

перед добавлением контроллеров домена Windows Server 2016 в лес необходимо удалить контроллеры домена Windows 2000. В этом случае порядок действий будет следующим.

  1. Установите контроллеры домена под управлением Windows Server 2003 или более поздней версии. Эти контроллеры домена можно развертывать в ознакомительной версии Windows Server. Для этого шага нужно также запустить программу adprep.exe для соответствующей операционной системы.
  2. Удалите контроллеры домена под управлением Windows 2000. В частности, надлежащим образом понизьте уровень контроллеров домена под управлением Windows Server 2000 или принудительно удалите их из домена и при помощи компонента «Пользователи и компьютеры Active Directory» удалите учетные записи для всех удаленных контроллеров домена.
  3. Повысьте режим работы леса до Windows Server 2003 или выше.
  4. Установите контроллеры домена, на которых выполняется Windows Server 2016.
  5. Удалите контроллеры домена под управлением более ранних версий Windows Server.

Откат функциональных уровней

После настройки режима работы леса (FFL) на определенное значение невозможно выполнить откат или понижение режима работы леса, за исключением следующих:

  • при обновлении с Windows Server 2012 R2 FFL можно уменьшить до Windows Server 2012 R2.
  • при обновлении с Windows server 2008 R2 FFL можно уменьшить его до Windows Server 2008 R2.

После того как для режима работы домена задано определенное значение, откат или понижение режима работы домена невозможно, за исключением следующих:

при повышении режима работы домена до Windows Server 2016 а также в том случае, если режим работы леса Windows Server 2012 или ниже, вы можете вернуть функциональный уровень домена к Windows Server 2012 или Windows Server 2012 R2.

Дополнительные сведения о возможностях, доступных при более низких режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

  • Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
  • Устанавливаем контроллер домена во второй подсети и добавляем его в домен
  • Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться xs.local

Параметры удаления и предупреждения AD DS

Чтобы получить справку об использовании страницы «Просмотреть параметры», см. главу «Просмотр параметров»

Если на контроллере домена размещены дополнительные роли, такие как роль DNS-сервера или сервера глобального каталога, появляется следующая страница с предупреждением:

Чтобы подтвердить, что дополнительные роли более не будут доступны, сперва нужно нажать кнопку Продолжить удаление, а затем Далее.

При принудительном удалении контроллера домена все изменения объектов Active Directory, которые не были реплицированы на другие контроллеры в домене, будут утеряны. Помимо этого, если на контроллере домена размещены роли хозяина операций, глобального каталога или роль DNS-сервера, критические операции в домене и лесе могут быть изменены следующим образом. Перед удалением контроллера домена, на котором размещена роль хозяина операций, необходимо попытаться переместить роль на другой контроллер домена. Если передать эту роль невозможно, сначала удалите AD DS с этого компьютера, а затем воспользуйтесь служебной программой Ntdsutil.exe для захвата роли. Используйте программу Ntdsutil на контроллере домена, для которого планируется захватить роль; по возможности используйте последний партнер репликации на том же сайте, что и данный контроллер домена. Дополнительные сведения о переносе и захвате ролей хозяина операций см. в статье 255504 базы знаний Майкрософт. Если мастер не может определить, размещена ли на контроллере домена роль хозяина операций, необходимо запустить команду run netdom.exe, чтобы проверить, выполняет ли данный контроллер домена роли хозяина операций.

  • Глобальный каталог: пользователи могут испытывать проблемы со входом в домены леса. Перед удалением сервера глобального каталога необходимо убедиться, что в этом лесу и на сайте достаточно серверов глобального каталога для обслуживания входа пользователей в систему. При необходимости следует назначить другой сервер глобального каталога и обновить информацию клиентов и приложений.

  • DNS-сервер: все данные DNS, хранящиеся в интегрированных зонах Active Directory, будут утеряны. После удаления AD DS этот DNS-сервер не сможет выполнять разрешение имен для зон DNS, которые были интегрированы в Active Directory. Следовательно, рекомендуется обновить DNS-конфигурацию всех компьютеров, которые в настоящий момент обращаются к IP-адресу этого DNS-сервера для разрешения имен с IP-адресом нового DNS-сервера.

  • Хозяин инфраструктуры: клиенты в домене могут испытывать трудности с определением местоположения объектов в других доменах. Перед продолжением перенесите роль хозяина инфраструктуры на контроллер домена, не являющийся сервером глобального каталога.

  • Хозяин RID: возможны проблемы при создании новых учетных записей пользователей, компьютеров и групп безопасности. Перед продолжением перенесите роль хозяина RID на другой контроллер домена в том же домене.

  • Эмулятор основного контроллера домена (PDC): операции эмулятора PDC, например обновление групповых политик и смена пароля для учетных записей, отличных от учетных записей AD DS, будут осуществляться неправильно. Перед продолжением перенесите роль хозяина эмулятора PDC на другой контроллер домена в том же домене.

  • Хозяин схемы больше не сможет изменять схему этого леса. Перед продолжением перенесите роль хозяина схемы на контроллер домена в корневом домене леса.

  • Хозяин именования доменов: добавлять или удалять домены в этом лесу будет уже невозможно. Перед продолжением перенесите роль хозяина именования доменов на контроллер домена в корневом домене леса.

  • Все разделы каталога приложений на этом контроллере домена Active Directory будут удалены. Если контроллер домена содержит последний репликат одного или нескольких разделов каталога приложений, по завершении операции удаления эти разделы перестанут существовать.

Обратите внимание, что домен прекратит существование после удаления доменных служб Active Directory с последнего контроллера домена в домене. Если контроллер домена является DNS-сервером, которому делегированы права на размещение зоны DNS, на следующей странице можно будет удалить DNS-сервер из делегирования зоны DNS

Если контроллер домена является DNS-сервером, которому делегированы права на размещение зоны DNS, на следующей странице можно будет удалить DNS-сервер из делегирования зоны DNS.

Дополнительные сведения об удалении доменных служб Active Directory см. в разделах Удаление доменных служб Active Directory (уровень 100) и Понижение уровня контроллеров домена и доменов (уровень 200).

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: