Ondrej Sevecek's Blog

Dneska jsem dostal velmi zajímavou otázku, nad kterou jsem se musel trošku víc zamyslet. A protože by to mohlo zajímat víc lidí, tak odpovídám rovnou tímto způsobem.

Otázka

Mám jeden Active Directory forest. V něm jsou dvě AD domény gopas.virtual a ad.sevecek.com. Doména gopas.virtual je forest root doménou, doména ad.sevecek.com je ve stejném forestu, ale je to jiný strom (tree).

Každá doména má více, například 5, řadičů domény (domain controller, DC). Pro příklad by to mohlo být tak, jak je v následující tabulce. Schválně jsem role rozdělil na více DC. A mám schválně jen jeden GC, a také jen jeden DNS server, který obsahuje všechny potřebné DNS AD integrated zóny:

Otázka zní - potřebuji přidat do domény ad.sevecek.com další DC. Které řadiče k tomu musí být online? Nešlo by to celé nějak "offline"?

Odpověď

Tohle není vůbec jednoduché :-) Nejprve si uvědomme zapeklitost takové otázky. Kdy mají být online? Přidání dalšího DC může mít dvě fáze. Nejprve fáze přípravná, dokud ještě nespouštíte DCPROMO na cílovém počítači. A potom teprve fáze, kdy to DCPROMO opravdu pouštím. Jen pro pořádek, pojmem DCPROMO (které už ve Windows 2012 není plně funkční) myslím jednoduše proces DC promotion.

Co obsahuje přidání dalšího DC do existující domény? Musí (za určitých podmínek) se provést tyto věci:

• vytvořit účet DC v oné existující doméně. Tohle může provést DC promotion process buď online, nebo tam ten účet už může být předem. Například, pokud je počítač členem domény ještě předtím, než ho povyšujete na DC.
  • na tohle by byl potřeba alespoň jeden libovolný DC z cílové domény
  • to DC, na kterém se bude vytvářet nový účet, musí mít k dispozici volný RID. Pokud ho nemá, bude muset kontaktovat RID master FSMO ze stejné domény
  • poznámka - pokud jen předpřipravíte RODC účet (prestage), tak neobsahuje heslo toho nového DC. V tomhle případě je to pak stejné, jako kdyby tam ten účet ještě nebyl a dělali jste RODC promotion online
  • pokud děláte klonování, tak účet nového DC (klonu) vznikne až online na PDC, jakmile probíhá operace klonování po startu klonu
• možná se musí zvýšit funkční úroveň forestu (forest functional level), a tedy i všech starších domén (domain functional level)
  • tohle se dá udělat předem, před samotným DC promotion processem
  • v případě Windows 2008, které neumí už pracovat ve FFL na úrovni Windows 2003 Interim
  • v případě Windows 2012, které vyžadují FFL na úrovni alespoň Windows 2003
  • v případě RODC - a to i na verzi Windows 2008 - musíte mít FFL alespoň Windows 2003
  • na zvýšení FFL potřebujete schema master FSMO a na zvýšení DFL potřebujete PDC z dané domény
• musí se povýšit schéma (schema extension - ADPREP /forestprep), pokud ještě není na úrovni pro novou verzi operačního systému DC. Upozorňuju, že Schema master FSMO je jen jeden v celém forestu. Je tudíž možná v jiné doméně.
  • opět to můžeme udělat předem, před DC promotion processem
  • zase potřebujete schema master FSMO
• musí se opravit zabezpečení a další parametry cílové domény - ADPREP /domainprep (/gpoprep a /rodcprep)
  • zase to jde dopředu a potřebujete k tomu infrastructure master z dané domény
• účet počítače DC se musí změnit tak, aby byl skutečně DCčkem. Dokud se tak nestane, ostatní řadiče mu nebudou ochotny dát repliku svých databází, ani nebudou replikovat zpět z tohoto nového DC.
  • změní se mu atribut userAccountControl a dostane do něho SERVER_TRUST_ACCOUNT atribut
  • přibude server objekt v sites kontejnetu a k tomu nTDSSettings replikační objekt a tyhle dvě věci se napojí
  • tohle se musí udělat online během DC promotion processu
• na novém DC se musí vytvořit kopie NTDS.DIT databáze jako její replika a také obsah SYSVOL. K vytvoření repliky se dají použít tři metody
  • online replikace z jiného DC - k tomu by bylo potřeba jedno DC z cílové domény
  • instalace z IFM (install from media) - což se dá připravit dopředu. Prostě se z nějakého živého DC cílové domény vyexportuje pomocí NTDSUTIL databáze a SYSVOL a překopíruje se na to DC budoucí
    • i v tomto případě se musí online pozměnit parametry počítačového účtu řadiče
  • klonování (dc cloning, jen Windows 2012) - k tomu potřebujete online PDC z cílové domény, které je současně Windows 2012 a novější
    • při klonování nový účet vzniká také až online na PDC. Nevím dokonce ani, jestli by ten účet mohl existovat už dopředu. Podle mě nikoliv.

Offline přidání DC?

Z předchozího plyne, že pro úvodní přípravu nového DC musíte mít:

• možná schema master kvůli zvýšení FFL a rozšíření schema
• možná PDC master v cílové doméně, kvůli povýšení DFL
• možná infrastructure master v cílové doméně kvůli ADPREP /domainprep
• pokud bych počítač budoucího řadiče připojoval do domény již dopředu, tak je možné, že došly RIDy a musí být tedy k dispozici ještě RID master
• určitě nepotřebujete domain naming master
• pokud budete klonovat, nebo generovat IFM, potřebujete libovolné DC z cílové domény
• na to, abyste se přihlásili jako členové skupiny Administrators, není potřeba GC (global catalog). Řekl bych tedy, že všechny tyto přípravné kroky můžete provádět úplně bez přítomnosti GC. To ale nemám ověřeno
  • co mám ověřeno, je fakt, že kvůli klonování, při volání New-ADDSCloneConfig byste museli použít přepínač -Offline.

To je příprava. A potom v průběhu DC promotion processu:

• alespoň jedno DC z cílové domény, aby bylo možno pozměnit (případně vytvořit) účet počítače
  • a to i v případě instalace z IFM
• v případě klonování musíte mít ještě navíc PDC z cílové domény, které je verze Windows 2012
• replika se pak vytvoří buď zase online, jako klon, nebo z IFM
• protože to vyžaduje za všech okolností online komunikaci, musí být dostupný také DNS server
• nové DC přidáváte pod účtem skupiny Administrators, takže byste nejspíš nemuseli potřebovat GC