Сообщение об ошибке возникает при понижении уровня контроллера домена

Инструкции ADSIEdit

Предупреждение

Если вы используете ADSI (Интерфейсы службы active Directory) Изменить привязку, утилиту LDP или любой другой клиент версии LDAP (Облегченный протокол доступа к каталогу) и неправильно изменить атрибуты объектов Active Directory, вы можете вызвать серьезные проблемы. Эти проблемы могут потребовать переустановки Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 или Windows и Exchange. Корпорация Майкрософт не может гарантировать, что проблемы, которые возникают при неправильном изменении атрибутов объектов Active Directory, могут быть решены. Измените эти атрибуты на свой собственный риск.

1. Вставьте Windows cd сервера 2000.

2. Перейдите к каталогу.

3. Дважды щелкните по Support.cab файлу.

4. Найдите файлы adsiedit.msc и adsiedit.dll. Извлеките их в каталог.

5. Запуск regsvr32 adsiedit.dll.

6. Запустите консоль управления Майкрософт (MMC), а затем добавьте оснастку ADSI Edit.

7. Щелкните правой кнопкой мыши верхний узел и выберите Подключение .

8. Измените контекст именования на контейнер конфигурации, а затем выберите ОК для привязки и проверки подлинности.

9. Расширь узел Контейнер конфигурации, а затем расширь узел Конфигурация.

10. Размести узел cn=DisplaySpecifiers, а затем дважды щелкните CN=409.

    Примечание

    409 — это локальный ID для английского языка США. Если вы находитесь в многоязычной среде, может потребоваться внести изменения в другие коды. Большинство азиатских кодов уже за установлены.

    Международный союз электросвязи (МСЭ) и Международная организация по стандартизации (ISO) определяют страницы кода. Дополнительные сведения можно получить на веб-страницах МСЭ

11. В правой области откройте свойства для CN=user-Display.

12. Прокрутите в необязательный свойство createDialog.

13. Установите атрибут %< sn>.%<givenName >. Убедитесь, что вы выбрали Set.

    Примечание

    Только маркеры, которые могут быть отформатированы в dislayName% <sn> , % и % <givenName> <initials> .

14. Выберите ОК, чтобы закрыть диалоговое окно.

15. В Active Directory Пользователи и компьютеры создайте нового пользователя; Полное имя (и, таким образом, имя отображения) строится в соответствии с вашим правилом.

Внесение этих изменений может иметь негативные последствия.

Процедура переименования контроллера домена Windows Server 2008

Процедура переименования рядового сервера (Windows 2000/2003/2008) очень проста. Достаточно зайти в свойства системы, изменить имя и перегрузиться. Однако для контроллеров домена данный подход не годится. В этой статье мы рассмотрим правильную процедуру переименования контроллера.

Команда

Для переименования контроллера домена нам необходимо использовать команду NETDOM. В Windows Server 2008 данная команда встроена в операционную систему и не требует отдельной установки как в предыдущих версиях ОС.

Для начала вам необходимо указать новое полное доменное имя для контроллера домена. Все остальные контроллеры домена должны содержать обновленный SPN атрибут и все DNS сервера в домене должны содержать A запись нового имени. Оба имени – и старое и новое поддерживаются до тех пор, пока вы не удалите старое имя. Это гарантирует что не будет никаких проблем с аутентификацией клиентов.

Важно: Для переименования контроллера домена с помощью утилиты NETDOM функциональный уровень домена должен быть как минимум Windows Server 2003. Плохая новость: Как обычно, нам необходимо перегружать переименованный контроллер

Плохая новость: Как обычно, нам необходимо перегружать переименованный контроллер.

Отличная новость: Вам не нужно находиться непосредственно за контроллером, который вы переименовываете. Вы можете сделать это с любого компьютера где установлена утилита NETDOM, конечно если у вас есть соответствующие полномочия.

Права

Вы должны быть членом группы Domain Admins.

Процедура

Для переименования DC с именем KUKU-SERVER в домене на имя DC-SERVER выполните следующие шаги:

1. Откройте командную строку и наберите команду:

Эта команда обновит атрибут SPN в Active Directory для данного аккаунта компьютера и зарегистрирует нужные DNS записи для нового имени. Значение SPN должно быть реплицировано на все контроллеры домена и DNS записи должны разойтись по всем полномочным DNS серверам в домене. Если это не произойдет перед удалением старого имени то некоторые клиенты могут не найти данный контроллер домена ни по одному из имен

Поэтому очень важно чтобы Active Directory завершила полный цикл репликации. Вы можете проверить это с помощью утилит REPADMIN и REPLMON

Вы можете проверить что новое имя добавлено к компьютеру с помощью Перейдите в нужный объект и нажмите на нем правой кнопкой. Выберите Свойства

Прокрутите список доступных параметров до атрибута с именем msDS-AdditionalDnsHostName.

2. После этого можно выполнить следующую команду:

На данном этапе вы опять можете посмотреть изменения через Найдите тот же параметр что был указан в предыдущем пункте и убедитесь что там присутствует старое имя сервера.

3. Перегрузите компьютер.

4. Введите в командной строке следующую команду:

5. Убедитесь что изменения были успешно реплицированы на все контроллеры домена.

Полезная информация

Быстрый английский через Skype, с использованием лучших мультимедийных материалов. Занятия индивидуальные с носителем языка и русскоязычным преподавателем. Лучшие преподаватели со всего мира. Подготовка к экзаменам, собеседованию, поездке за границу. Индивидуальный подход. Низкие цены на обучение английскому языку. Всем клиентам предоставляются скидки и бонусы.

Способ 1

Этот способ связан с простым редактированием имеющихся значений от программы Windows Insider в реестре. Однако стоит отметить, что в любой момент настройка вновь может сброситься на значение по умолчанию, а значит процедуру придётся проделать заново.

1. Откройте «Параметры» и перейдите в раздел «Обновление и безопасность» -> «Программа предварительной оценки Windows».
2. Присоединитесь к программе Windows Insider, если не сделали это ранее, а затем убедитесь, что у вас выбран единственный доступный канал — Release Preview.
3. Нажмите комбинацию WIN + R, введите regedit и нажмите Enter.
4. Перейдите в ветку:
5. Двойным кликом нажмите по названию ключа UIBranch и измените его значение на Dev.
6. Перейдите в ветку:
7. Установите для ключа BranchName значение Dev.
8. Установите для ключа ContentType значение Mainline.
9. Установите для ключа Ring значение External.
10. Закройте редактор реестра и перезагрузите ПК.

Если всё прошло успешно, то в разделе «Обновление и безопасность» -> «Программа предварительной оценки Windows» должен отображаться канал Dev. Также вверху страницы будет отображаться сообщение о том, что ваш ПК несовместим с Windows 11, но его можно игнорировать. В «Центре уведомлений Windows» вы, вероятно, сможете увидеть обновление до инсайдерской сборки Windows 11.

Дополнение. Вы действительно сможете загрузить сборку Windows 11 через Windows Update, однако в процессе обновления появится окно, сообщающее о несовместимости вашего ПК с новой ОС. Для решения этой проблемы воспользуйтесь следующими шагами:

1. Откройте папку C:\$WINDOWS.~BT\Sources\ (она может быть скрытой).

2. Скачайте архив appraiserres.zip (cкачиваний: 2104)

   (либо с Cloud.Mail.ru), откройте его и распакуйте файл appraiserres.dll в папку Sources, согласившись на замену.

3. Откройте папку C:\$WINDOWS.~BT\DUDownload\Setup\Windows10.0-KB5005661-x64 и также поместите туда файл appraiserres.dll из архива, согласившись на замену.
4. Нажмите кнопку «Повторить» в «Центр обновления Windows».
5. После этого процесс обновления должен работать. Если это не помогло, то вы можете попробовать попросту удалить файл appraiserres.dll из обеих папок.

Данную процедуру придётся проводить при каждом крупном обновлении системы. Однако велика вероятность, что вплоть до релиза Microsoft будет присылать только накопительные обновления, а для их установки подмена DLL не нужна. Достаточно подключиться к каналу Dev.

Также прикладываем REG-файлы для быстрого переключения каналов Windows Insider:

• Переключение на Dev: windows-insider-dev.zip (cкачиваний: 1115)

  (или с Cloud.Mail.ru)

• Переключение на Release Preview: windows-insider-rp.zip (cкачиваний: 582)

  (или с Cloud.Mail.ru)

Настройка после развертывания сервиса

После развертывания контроллера домера, выполняем следующие действия.

Синхронизация времени

На контроллере домена с ролью PDC Emulator необходимо настроить источник синхронизации времени. Для этого открываем командную строку от администратора и вводим команду:

w32tm /config /manualpeerlist:»time.nist.gov,0x8 time.windows.com,0x8″ /syncfromflags:manual /reliable:yes /update

* данная команда задаст в качестве источника времени 2 сервера — time.nist.gov и time.windows.com.
* если мы не знаем, на каком контроллере у нас роль PDC Emulator, воспользуемся инструкцией Управление FSMO через powershell.

Соответствие рекомендациям Best Practice

1. Создание коротких имен файлов должно быть отключено

Ранее в DOS все файлы называли в формате 8.3 — 8 символов под имя, 3 для расширения. Необходимость такого подхода сильно устарело, однако по умолчанию для обеспечения совместимости может быть включено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Готово — поддержка создания коротких имен отключено.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В обычной командной строке от имени администратора вводим:

sc config srv start= demand

3. Некоторые сетевые адаптеры поддерживают RSS, но эта возможность отключена.

Необходимо для сетевого адаптера, который используется для подключения к сети, включить RSS.

Вводим команду в Powershell:

Enable-NetAdapterRss -Name *

4. Некоторые сетевые адаптеры поддерживают IPsec TOv2, но эта возможность отключена.

Вводим команду в Powershell:

Enable-NetAdapterIPsecOffload -Name *

Настройка DNS

Как правило, на один сервер с ролью контроллера домена устанавливается DNS. В этом случае необходимо выполнить ряд действий.

1. Настройка перенаправления.

Если наш сервер DNS не может ответить на запрос, он должен передавать его на внешний сервер. Для настройки перенаправления открываем консоль управления сервером имен и кликаем правой кнопкой по названию сервера — выбираем Свойства:

Переходим на вкладку Сервер пересылки:

Кликаем по кнопке Изменить:

Вводим адреса серверов, на которые хотим переводить запросы:

* это могут быть любые DNS, например, глобальные от Google или Яндекса, а также серверы от Интернет-провайдера.

2. Удаление корневых ссылок

Если наш сервер не работает по Ipv6, стоит удалить корневые ссылки, которые работают по этой адресации. Для этого заходим в свойства нашего сервера DNS:

Переходим во вкладку Корневые ссылки:

Мы увидим список серверов имен — удаляем все с адресами IPv6.

3. Включение очистки

Чтобы в DNS не хранилось много ненужных записей, настраиваем автоматическую читску. Для этого открываем настройки сервера имен:

Переходим на вкладку Дополнительно:

Ставим галочку Разрешить автоматическое удаление устаревших записей и ставим количество дней, по прошествию которых считать запись устаревшей:

Готово.

Переименование домена Windows 2008

2012-04-15 · Posted in Active Directory, Windows Server 2008

Недавно я уже публиковал статью, посвященную переимнованию контроллера домена Windows Server 2008. Сегодня я собираюсь опубликовать связанную, но совершенно другую задачу – переимнование домена. Переименование домена это процедура, которую выполняют очень редко в реальном окружении, если вообще когда либо выполняют. Однако например в тестовом окружении это бывает полезно, да и просто для широты кругозора это не помешает знать.

У Microsoft имеется много информации в документации, посвященной переименованию домена и я рекомендую использовать её(ссылка будет в конце статьи), особенно если дело касается домена в промышленной среде. Однако шаги ниже впринципе вполне полностью описывают процедуру переименования и достаточны для тестовых целей. Для начала опишем первоначальные требования к переименованию домена в среде с одним доменом в лесу:

• У вас должны быть права Enterprise Administrator.
• Домен должен функционировать в нормальном режиме, не должно быть ни каких ошибок.
• Функциональный уровень леса должен быть Windows Server 2003 или 2008, и все контроллеры домена должны быть под управлением как минимум Server 2003.
• Должна существовать DNS зона для нового домена.
• На рядовой сервер необходимо скопировать утилиты Rendom и Gpfixup для выполнения операции переименование. Данная операция не может быть выполнена с контроллера домена.
• Дополнительные требования выдвигаются к DFS, перемещаемым профилям, центру сертификации и серверу Exchange. По этим вопросам посмотрите ссылку на документацию на TechNet, которая будет в конце статьи.

Переименование домена выполняется утилитой Rendom, которая устанавливается вместе с Active Directory при запуске dcpromo. Далее выполняем следующие шаги.

1. Выполните команду“rendom /list” для генерации файла Domainlist.xml, содержащего текущую конфигурацию леса.
2. Отредактируйте полученный файл, заменив значения полей и на новое имя домена.
3. Выполните команду“rendom /showforest” для отображения потенциальный изменений. Этот шаг не делает никаких реальных изменений.
4. Выполните команду  “rendom /upload” для загрузки инструкции переименования на контроллер домена с ролью domain naming operations master. Данная инструкция будет реплицирована на все другие контроллеры в лесу. После репликации на все контроллеры инструкция будет готова к применению. Вы можете ускорить репликацию запустив команду “repadmin /syncall”.
5. Выполните команду “rendom /prepare” для проверки готовности всех контроллеров домена в лесу к процедуре переименования. Все контроллеры должны сообщить о готовности и не должно быть никаких ошибок.
6. Выполните команду “rendom /do” для проверки готовности всех контроллеров, затем будет запущена процедура переименования для каждого контроллера. На период выполнения будет прерывания работы домена. После окончания процедуры контроллеры будут перезагружены. Если в период выполнения процедуры произойдет ошибка будет выполнен откат изменений. Поэтому любой контроллер домена, который завершил процедуру переименования с ошибкой должен быть понижен до рядового сервера.
7. Выполните команду “gpfixup” для обновления всех ссылок на групповые политики.
8. Дважды перегрузите все клиентские компьютеры и рядовые сервера для получения нового доменного имени. Так как при процедуре переименования GUID домена остается старый, членство в домене не затрагивается. DNS суффикс на клиентских машинах будет обновлен автоматически если установлена опция “Change primary DNS suffix when domain membership changes”.
9. Выполните команду “rendom /clean” для удаления ссылок на устаревшее имя домена из Active Directory.
10. Выполните команду “rendom /end” для прекращения заморозки конфигурации леса и разрешения дальнейших изменений.

Если у вас проявились какие либо проблемы с определением клиентскими машинами нового имени домена то вы можете удалить их с помощью команды “netdom remove /Domain: /Force”, затем перегрузить и присоединить к новому домену. После того как переименование завершено, нам остается сделать только одно последнее действие. DNS суффикс контроллера домена не был изменен в ходе процедуры и нам необходимо сделать это вручную.

Для дальнейшего изучения публикую обещанную ссылку на документацию TechNet

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты:

Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:

… и нажимаем Далее.

Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:

В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:

Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:

Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:

Кликаем по Понизить уровень:

Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:

Сервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:

Uninstall-ADDSDomainController

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********

Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
Да — Y   Да для всех — A   Нет — N   Нет для всех — L   Приостановить — S   Справка
(значением по умолчанию является «Y»): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Как правильно переименовать контроллер домена

Переименовать компьютер просто — достаточно зайти в его свойства, сменить имя и перезагрузиться. Но если компьютер является контроллером домена, то все становиться несколько сложнее.

При попытке изменить подобным способом имя на контроллере домена вы получите предупреждение о том, что переименование может отрицательно повлиять на работу пользователей в домене. Действительно, изменения в доменной среде происходят не мгновенно и после переименования пользователи могут некоторое время обращаться к контроллеру по старому имени. В результате могут возникать ошибки авторизации, отказы в доступе к ресурсам и прочие неприятности. Избежать всего этого можно с помощью альтернативной процедуры переименования, предназначенной специально для контроллеров домена.

Мы с вами рассмотрим эту процедуру на примере сервера SRV2, который будет переименован в DC2.

Перед тем, как приступать к переименованию, надо соблюсти ряд условий:

• В домене должен быть еще как минимум один работоспособный контроллер домена; • Функциональный уровень домена должен быть не ниже Windows Server 2003; • На сервере не должно быть установлено роли центра сертификации (Certification Authority);

Если все условия выполнены, то можно приступать к переименованию. Для этого нам потребуется утилита командной строки NETDOM. Изначально эта утилита входила в состав Windows Server 2003 Support Tools, а начиная с Windows Server 2008 ее добавили непосредственно в операционную систему и она по умолчанию есть на любом сервере с ОС Windows Server.

Запускать утилиту не обязательно на том контроллере домена, который будет переименован, можно использовать любой доменный компьютер. Но пользователь, от имени которого производится переименование, обязательно должен входить в группу администраторов домена (Domain Admins).

На первом шаге откроем командную консоль и выполним команду:

netdom computername srv2.test.local /add:dc2.test.local

Эта команда добавит серверу дополнительное доменное имя и зарегистрирует его в DNS. Для проверки откроем оснастку ADSIEdit и в свойствах сервера найдем атрибут msDS-AdditionalDnsHostName. Именно в этом атрибуте должно быть прописано новое имя.

Дополнительно заглянем в DNS и убедимся в наличии новой записи.

Теперь сделаем новое имя основным. Для этого выполним команду:

netdom computername srv2.test.local /makeprimary:dc2.test.local

Обратите внимание, что для применения изменений необходима перезагрузка сервера

После перезагрузки произойдет смена имени. Для проверки откроем ADSIEdit и убедимся в том, что имя DC2 стало основным, а SRV2 — дополнительным.

Поскольку старое имя SRV2 нам больше не нужно, окончательно удалим его командой:

netdom computername dc2.test.local /remove:srv2.test.local

Имя сервера успешно изменено, но это еще не все. После переименования контроллера домена требуется обновить Distributed File System (DFS) или File Replication Service (FRS) Replication member object. Этот объект необходимо обновить с новым именем для того, чтобы контроллер смог реплицировать папку SYSVOL.

Для этого открываем оснастку Active Directory Users and Computers и в меню View отмечаем пункт Advanced Features.

Затем переходим в раздел System -> DFSR-GlobalSettings -> Domain System Volume -> Topology, находим объект msDFSR-Member со старым именем и переименовываем его.

Для проверки можно снова воспользоваться ADSIEdit. Надо найти объект DFSR-LocalSettings и убедиться в том, что у него в атрибуте msDFSR-MemberReference указано новое имя сервера.

На этом переименование закончено, остается только убедиться в том, что изменения реплицировались на все контроллеры домена.

При попытке добавить имя столкнулся с такой ошибкой: ″The specified domain either does not exist or could not be contacted″.

Как удалось выяснить, такая проблема может возникнуть при отсутствии на контроллере домена общего доступа к папке SYSVOL. Для избавления от ошибки надо в реестре, в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters найти параметр SysvolReady и задать ему значение 1.

После этого ошибка ушла и все команды отработали без проблем.

Удалённое переименование доменных компьютеров по списку из CSV

Для возможности удалённого централизованного переименования выборочного множества компьютеров под управлением Windows 10 в домене Active Directory сначала потребуется подготовить список компьютеров, подлежащих переименованию, в формате CSV в файл, например, с именем . Файл будет содержать в каждой отдельной строке старое и новое имя компьютера через разделитель — запятую. Первая строка файла должна остаться пустой.

Пример заполненного файла :

Рядом с файлом разместим сам скрипт следующего содержания:

Rename-Computers-CSV.ps1

$File = $PSScriptRoot + "\Rename-Computers-List.csv"
#
 If(!System.IO.File::Exists($File)) {       
     Write-Host -ForegroundColor Red "`nCSV file doesn't exist!`nCheck path : "$File
     Break
}
#      
$DomainCred = Get-Credential -Message "Enter domain admin account (DOMAIN\login)"
$LocalCred = Get-Credential -Message "Enter computer admin account (DOMAIN\login)"
$computerList = Import-Csv -Path $File -Delimiter "," -Header OldName,NewName
ForEach ($Computer in $computerList)
{
    Write-Host "`nProcessing:"$Computer.OldName
    If (Test-Connection -Computername $Computer.OldName -BufferSize 16 -Count 1 -Quiet) 
    {
     Write-Host "Ping OK. Renaming..."
     Rename-Computer -ComputerName $Computer.OldName `
                     -NewName $Computer.NewName `
                     -LocalCredential $LocalCred `
                     -DomainCredential $DomainCred `
                     -Force
    } 
    Else 
    {
     Write-Host -ForegroundColor Red "Host unavailable"
    }
}

Процедура переименования компьютеров в домене Active Directory подразумевает наличие административных прав, как на уровне компьютера, который переименовывается, так и на уровне объекта компьютера в каталоге AD. На практике встречаются организации, где эти разные уровни прав разделены между отдельными административными учётными записями. Данный скрипт учитывает такое разделение и отдельно запрашивает учётную запись уровня администратора объектов в домене …

… а затем учётную запись администратора рабочих станций для возможности удалённого подключения к ним …

После запроса учётных данных выполняется проверка наличия файла , затем по полученному из этого файла списка компьютеров (перед попыткой переименования) проверяется доступность каждого отдельного компьютера в сети.

По каждому компьютеру скрипт выдаст сообщение о результате проверки доступности, и, в случае доступности, сообщит о результате переименования.

Если компьютер окажется недоступен (или имя компьютера не сможет быть разрешено в DNS в IP-адрес), мы получим ошибку о недоступности хоста:

Обратите внимание на то, что скрипт не инициирует перезагрузки удалённых компьютеров после переименования, хотя командлет Rename-Computer такую возможность имеет при добавлении параметра .

Перед более массовым переименованием рекомендуется протестировать работу скрипта на небольшой группе компьютеров.

Проверено на следующих конфигурациях:

Версия PS на сервере	Версия ОС на клиентах
PowerShell 5.1.18362.752	Windows 10 Pro 10.0.18363

Автор первичной редакции:Алексей Максимов
Время публикации: 11.09.2020 16:43

Возможные симптомы, когда клиенты не могут динамически зарегистрировать записи DNS в зоне смотра с одной меткой.

Если в среде используется имя DNS с одной меткой, клиенты могут быть не в состоянии динамически зарегистрировать DNS-записи в зоне смотра с одной меткой вперед. Конкретные симптомы различаются в зависимости от установленной Windows Microsoft.

В следующем списке описываются симптомы, которые могут возникать:

• После настройки microsoft Windows для одного доменного имени метки все серверы, которые имеют роль контроллера домена, могут быть не в состоянии зарегистрировать записи DNS. Системный журнал контроллера домена может последовательно входить в журнал предупреждений NETLOGON 5781, которые напоминают следующий пример:

  Примечание

  Код состояния 0000232a совме-

• В файлах журналов, таких как Netdiag.log, могут отображаться следующие дополнительные коды состояния и коды ошибок:

• Windows компьютеры, настроенные для динамических обновлений DNS, не будут регистрироваться в домене с одной меткой. Предупреждающие события, похожие на следующие примеры, записывают в системный журнал компьютера:

Принудительная репликация контроллера домена через графический интерфейс

Windows-серверы часто используют GUI, что хорошо для начинающих системных администраторов. Его легче учить, а иногда помогает визуализировать, что на самом деле происходит.

1. Войдите в один из своих контроллеров домена и откройте сайты и службы Active Directory.

1. Перейдите на сайт, для которого вы хотите скопировать контроллеры домена. Разверните его, нажав стрелку рядом с именем сайта. Разверните Серверы. Разверните DC, который вы хотели бы скопировать. Нажмите на настройки NTDS.

1. На правой панели щелкните правой кнопкой мыши сервер и выберите «Реплицировать сейчас».

1. В зависимости от количества контроллеров домена это может занять от секунды до нескольких минут. По завершении вы увидите уведомление: «Доменные службы Active Directory реплицировали соединения». Нажмите OK, чтобы закончить.

Установка Active Directory Domain Services в Windows Admin Center

В Windows Admin Center очень удобно установить роли Active Directory Domain Services и DNS сервер, для этого нужно сделать буквально несколько кликов. Но, как уже было сказано, Windows Admin Center ещё не является полноценной заменой для других инструментов, поэтому когда придёт время Promote this server to a domain controller («Сделать этот сервер контроллером домена»), то это нужно будет сделать средствами Менеджера серверов, либо в PowerShell.

Подключитесь к вашему серверу в Windows Admin Center и перейдите на вкладку «Роли и компоненты».

Поставьте галочку напротив «Active Directory Domain Services» и нажмите кнопку «Установить».

Вам будет показан список устанавливаемых компонентов и их зависимостей, для продолжения нажмите «Да».

За процессом установки вы можете наблюдать в разделе уведомлений.

Переносимся на сервер, для которого мы устанавливаем Active Directory Domain Services. Визуально там ничего не изменилось, нажимаем кнопку «Refresh „Dashboard“».

Как можно увидеть, теперь появилась информация о работающем AD DS.

На самом сервере, в Менеджере серверов вы можете начать Promote this server to a domain controller («Сделать этот сервер контроллером домена»), но как это сделать удалённо на компьютере из Windows Admin Center я не знаю.

Опять переходим на компьютер с Windows Admin Center для того, чтобы установить роль «DNS Server». На самом деле, «Active Directory Domain Services», «DNS Server» и любые другие роли и компоненты можно было установить за один раз, просто выбрав несколько галочек.

Всё повторяется — нам показывают список зависимостей.

Наблюдаем за процессом установки.

Теперь в менеджере серверов мы можем убедиться, что DNS сервер работает.

Здесь же, в Windows Admin Center, вы можете и удалить роли и компоненты.

Если вы решите это делать в PowerShell (можно подключиться через соответствующую вкладку в Windows Admin Center), то для того чтобы повысить роль сервера до уровня контроллера домена выполняем команду:

Install-ADDSForest -DomainName "dc.hackware.ru" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainNetbiosName "DC" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$True -SysvolPath "C:\Windows\SYSVOL" -Force:$true

Обратите внимание на опции:

• -DomainName «dc.hackware.ru»
• -DomainNetbiosName «DC»

В них устанавливается имя контроллера доменов и имя NetBIOS. Замените их на собственные значения.

В приглашении командной строки укажите и подтвердите пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажмите «Enter».

НУЖНА ПОМОЩЬ hdsystems?

Если у Вас что-то не получается или просто нет времени заниматься решением этого вопроса, мы можем на платной основе оказать Вам техническую поддержку по телефону 8(499)391-28-78 или через программу удаленного доступа.

Прежде чем приступить к переименованию компьютера в домене , необходимо понимать, что сертификаты выданные на компьютер, перестанут работать. Т.е. всевозможные площадки, банк-клиенты могут перестать работать.

Итак, как переименовать компьютер в домене из командной строки ?Заходим в командную строку на контроллере домена и выполняем команду: netdom renamecomputer ИмяКомпьютера /newname:НовоеИмяКомпьютера /userd:ИмяДоменаИмяАдминистратора /passwordd:* Например: netdom renamecomputer pc-123 /newname:pc-001 /userd:hdsystems.localAdmin01 /passwordd:* После выполнения команды вводим пароль от пользователя Admin01

Следует отметить, что после переименования компьютер пользователя необходимо будет перезагрузить во избежании всевозможных глюков. Дать команду на удаленную перезагрузку можно ключом /reboot:ВремяВСекундахДоПерезагрузки

Как переименовать администратора домена и изменить формат выводимого имени пользователя

Переименование администратора домена

1. Нажимаем «Пуск» — «Диспетчер серверов».

2. В следующем окне выбираем «Средства», далее «Пользователи и компьютеры Active Directory».

3. Выбираем пользователя «Администратор», правой клавишей мыши — «Переименовать».

4. Переименовываем администратора домена, далее читаем предупреждение о том, что объект Администратор представляет текущего пользователя, который сейчас находится в системе. Для того, чтобы избежать различных конфликтов доступа, после переименования данного объекта необходимо выйти из системы и войти в нее заново с новым именем. Нажимаем «Да».

5. В новом окне задаем «Имя входа пользователя», далее «ОК».

6. После переименования администратора домена изменим описание этого пользователя. Для этого нажимаем правой клавишей мыши на переименованного администратора домена, далее «Свойства».

7. На вкладке «Общие» в «Описание» удаляем старое описание, добавляем новое, например «Служебный пользователь». Далее «ОК».

8. Далее выходим из системы или перезагружаем сервер. Производим вход под новым именем администратора домена.

9. В «Active Directory — пользователи и компьютеры» проверяем переименованного администратора.

Изменение формата выводимого имени пользователя

При добавлении нового пользователя в домене «Полное имя» добавляется и выводится в формате «Имя-Отчество-Фамилия». Это неудобно, но возможно изменить.

1. Нажимаем «Пуск» — «Средства администрирования Windows«.

2. В новом окне выбираем «Редактирование ADSI».

3. В следующем окне — «Действие» — «Подключение к…»

4. Изменяем «Выберите известный контекст именования:» на «Конфигурация». Далее «ОК».

5. Открываем конфигурацию сервера — «CN=DisplaySpecifiers» — «CN=419». В правом окне выбираем «CN=user-Display».

6. В новом окне выбираем «createDialog».

7. Задаем значение: «%<sn> %<givenName>». Далее «ОК».

8. После несложных манипуляций при добавлении нового пользователя формат выводимого имени будет удобным — «Фамилия-Имя-Отчество».

Посмотреть видео, как переименовать администратора домена, изменить формат выводимого имени, можно здесь:

https://youtube.com/watch?v=2Wn5lg-pxvs

Windows server 2019 — установка и настройка WSUS, создание и настройка GPO

Windows server 2019 — добавление и удаление компьютера в домене

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP 

Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене

Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO 

Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей