Windows Server: wypromowanie drugiego kontrolera domeny

Nadmiarowość czyli tak zwana redundancja jest kluczowym elementem ciagłości działań usług IT – podwajamy praktycznie wszystko od zasilaczy po łącza, wielokrontie na różnych mediach wykonujemy kopie tych samych środowisk, nie wspominając już o rozwiązaniach RAID dla obszaru przechowywania danych czy usługach klastrowych. Zawsze chodzi o to aby w przypadku awarii, niedostępności jednego punktu stycznego cała usługa czy rozwiązanie działało dalej w oparciu o kolejny element.
Tą samą zasadę administratorzy przyjmują w przypadku kluczowych usług takich jak usługa katalogowa Active Directory. Najprostszym sposobem zachowanie ciągłości jej działania jest posiadanie drugiego kontrolera domeny. W jaki sposób dodać drugi kontroler domeny? Jak wypromować kolejny kontroler domeny?

Zacznijmy od opisu środowiska – nasze obecne Active Directory to jedna domena w lesie i posiada jeden kontroler domeny o nazwie ad11.sprawdzone.it
Liste kontrolerów możemy uzyskać na wiele sposobów – poniżej przedstawiamy widok z przystawki mmc Active Directory Users and Computers oraz jako wynik polecenia PowerShell Get-ADDomainController

Get-ADDomainController -Filter *

Aby zwikeszyć dostepność naszej usługi (np w przypadku awarii maszyn dc11) dodamy do naszej domeny drugą maszynę która będzie pełnić rolę kontrolera domeny.

Po utworzeniu środowiska i wstępnym jej skonfigurowaniu (hostname, sały adres IP), dodajemy do niej rolę kontrolera domeny – UWAGA: maszyna nie może być dodana do domeny w kótej ma być kontrolerem. Zaczynamy odrazu od dodania do niej roli z poziomu Server Managera

UZUPEŁNIĆ



Po instalacji roli należy jeszcze nasz serwer wypromować do roli kontrolera – poinformuje nas o tym informacja odnośnie konfiguracji, klikamy Promote this server to a domain controller

Klikamy wybierz/Select i wprowadzamy poświadczenia administratora naszej domeny:

Pojawi się lista dostępnych domen – wskazujemy domenę do której chcemy dodać kontroler:

Usługa Active Directory jest ściśle powiązana z usługą DNS – zalecam pozostawienie checka który zainstaluje również role DNS, UWAGA: Global Catalog (GC) w Active Directory (AD) jest specjalnym typem serwera, który przechowuje pełne kopie wszystkich obiektów w swojej własnej domenie oraz częściowe, ale przeszukiwalne kopie wszystkich obiektów w innych domenach w lesie AD. Global Catalog jest kluczowym elementem infrastruktury AD, ponieważ umożliwia szybkie wyszukiwanie informacji o wszystkich obiektach w lesie AD, niezależnie od domeny, w której się znajdują. Niektórzy wskazują na dobrą praktykę odnośnie posiadania jednego GC w danej lokalizacji – nam jednak zależy na tym aby nasza usługa była wysoko dostępna – pozostawiamy więc domyślną wartość zaznaczonego checku.
Pole odnośnie kontrolera w trybie tylko do odczytu (RODC) pozostawiamy odznaczone.
Jeżeli mamy kilka lokalizacji logicznych tzw. site możemy wskazać do jakiej dodać promowany kontroler (mamy tylko jedną i to domyślnie nazwaną Default-First-Site-Name).

Pozostaje nam wprowadzić hasło którego będziemy używać w przypadku odzyskiwania usługi katalogowej Directory Services Restore Mode (DSRM)

Sprawdźmy jeszcze liste dostępnych kontrolerów w naszym Active Directory jeszcze raz używając polecenia Get-ADDomainController

Get-ADDomainController -Filter *

lub sprawdzając OU Domain Controllers:

W taki właśnie sprawdzony sposób mamy już drugi kontroler w naszym Active Directory, a mając dwie maszyny pełniące tą rolę możemy rozważyć przeniesienie ról FSMO.


Jeżeli mój wpis Ci się spodobał, pomógł w pracy? Chcesz mnie wspierać? Postaw kawę! To dzięki waszemu wsparciu nie ma reklam! Poniżej kod QR do płatności który jest jednocześnie linkiem do PayPal możesz też wpłacić BLIK z użyciem Przelewy24.pl