Репликация контроллера Active Directory.


09.06.2017

Знакомство с Windows Server 2016. Репликация контроллера домена.

Ранее я писал о том, что контроллер домена должен реплицироваться на другую физическую машину. Это делается для безопасности и сохранности данных. Например, если что-то случиться с основным контроллерам домена, все клиентские машины смогут обращается к репликации на другой машине. Также это критично в ежедневном рабочем моменте для удалённых филиалов. Т.е. если филиалы организации находятся в разных городах, либо просто в разных частях одно города и используют один и тот же контроллер домена, то в таком случае используется система сайтов. Здесь имеется ввиду "Сайт" - как дополнительная область доменной структуры. В таком случае маршрутизация таких областей (сайтов) происходит, опираясь на адреса подсетей. Зачем это нужно вообще - ведь есть контроллер домена в головном филиале и можно все запросы отправлять на него. Конечно можно, но что, если между филиалами узкий канал, который и без того забит служебным трафиком. И вот тогда мы просто разворачиваем ещё один контроллер домена, который будет стоять на удалённом филиале и на который будут отправлять запросы клиентские машины этого удалённого филиала. Мы скажем этому удалённому контроллеру что периодически надо синхронизировать базу с основным контроллером домена, предположим раз в час. В такой ситуации контроллер домена и все клиентские машины удалённого филиала будут рассматриваться как один сайт, а головной филиал с главным контроллером - другой сайт. И благодаря такой конфигурации клиентские машины удалённого филиала не будут отправлять запросы на контроллер основного филиала, в результате имеем приличную экономию трафика. Как клиентская машина ориентируется на какой контроллер отправлять запрос - об этом уже сказано - через адрес подсети. Т.е. клиентская машина в первую очередь пошлёт запрос, серверу, который с ней в одной подсети. Но сейчас мы рассмотрим простую репликацию в рамках одного сайта.

Итак, создадим второй контроллер домена. В условиях нашего стенда это ещё одна виртуальная машина с Windows server 2016.


*********
имя: DC2
оперативная память: 2048 мб
сеть: Int
размер диска: 50 Гб
********

Через диспетчер сервера проводим первоначальные настройки (часовой пояс, имя компьютера, разрешить RDP подключение, назначить статический адрес. Присвоим адрес "192.168.1.3"):

После чего перезагрузим наш сервер и убедимся, что имя сменилось на "DC2"

Устанавливаем роль "Доменные службы Active Directory". После установки роли перезагружаем сервер. И в процессе процедуры повышения роли сервера до контроллера домена, в отличии от предыдущей установки, мы выбираем "Добавить контроллер домена в существующий домен":

Вписываем главный домен, с которого будет репликация. А также жмём кнопку изменить, чтобы ввести данные администратора домена mrstudio.local. Обратите внимание что в поле пользователь мы пишем полное правильное доменное имя пользователя - "Администратор@mrstudio.local":

На следующем диалоге вводим пароли восстановления. Также обратите внимание на раздел "Имя сайта" - здесь мы могли выбрать заранее созданный сайт, например, если бы мы настраивали домен-репликацию на удалённом филиале.

В следующем диалоге о создании DNS-сервера жмём далее. Затем у нас диалог "Дополнительные параметры". Тут мы изменим "Источник репликации" на наш домен "DC.mrstudio.local"

Далее оставляем или меняем на свой - пути хранения базы данных AD DS и SYSVOL. Ждём проверку предварительных требований. После прокрутим диалог вниз - видим, что все проверки готовности выполнены успешно и жмём "Установить":

Ждём установки и проведения репликации, затем наш "DC2" сам пойдёт в перезагрузку. А мы вернёмся на основной контроллер домена "DC". И в разделе "Средства" - "Пользователи и компьютеры Active Directory" мы жмём по разделу "Domain Controllers" и видим, что у нас теперь два контроллера в одном сайте:

Давайте проверим репликацию. На основном контроллере "DC" в подразделении mrstudio - Users - мы создадим пользователя - Иванову Тамару, с учётной записью "Buh2@mrstudio.local"

Обратите внимание что по умолчанию новый пользователь становится членом группы "Пользователи домена"

И теперь если мы обратимся в тот же раздел контроллера «DC2», то увидим там нашего нового пользователя. А также если зайти в оснастку "DNS" мы увидим те же самые записи зоны прямого просмотра, что и на DNS сервере нашего основного контроллера домена. Репликация прошла успешно!