Принудительная репликация между двумя контроллерами домена в Active Directory

Принудительная репликация между двумя контроллерами домена в Active Directory

Представьте, что в вашем доме всего одна дверь. Нет окон, нет двери патио, только одна дверь. Что произойдет, если вы не сможете открыть эту дверь? Дом и все в нем бесполезно для вас.

Контроллер домена, в некотором смысле, похож на дверь. Один с вышибалой на это. Это ворота, чтобы попасть внутрь к вещам, которые вы хотите. Active Directory (AD) — это вышибала у двери. Он проверяет ваши учетные данные, определяет, разрешено ли вам проходить через дверь, и к каким ресурсам вы можете получить доступ один раз внутри.

Если вы используете какую-либо сеть и имеете только один контроллер домена, вы живете в доме с одной дверью. Если что-то случится с этим контроллером домена, вся ваша система серверов развалится. Всегда иметь более одного контроллера домена (DC).

Но как убедиться, что оба контроллера домена имеют одинаковую информацию? Допустим, вы внесли изменения, связанные с безопасностью, на одном DC. Вы хотите, чтобы изменения немедленно реплицировались на другие контроллеры домена. Зачем ждать 15 минут или больше, чтобы это произошло по расписанию? Вам нужно форсировать репликацию контроллеров домена в Active Directory,

Есть 3 способа приблизиться к этому; через графический интерфейс пользователя (GUI), через интерфейс командной строки (CLI) или через PowerShell.

С первого взгляда ничего сложного тут нет, IUser.Name соответствует логину в Active Directory, но это не всегда так. Пользователь может изменить фамилию, имя и т.д., что может заставить администраторов Active Directory изменить ему имя входа в каталоге. Имя входа в DIRECTUM можно перегенерировать, однако, получить объект IUser с помощью ServiceFactory.GetUserByName по новому имени не получится. Для решения такой ситуации нужно проверить компоненту Пользователи на наличие данного логина и получить объект IUser сотрудника на основе данных поля Имя.

Еще один момент который стоит учесть: у пользователя может быть несколько записей справочника Работники. Как тут поступать надо решать в каждом конкретном случае.

Сайт системного администратора

17 сентября, 2015 | Автор: admin

Итак, начнем с теории. Active Directory (далее AD) — служба каталогов корпорации Microsoft для ОС семейства WindowsNT. AD позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать ПО на множестве компьютеров через групповые политики посредством System Center Configuration Manager, устанавливать и обновлять ОС. AD хранит данные и настройки среды в централизованной базе данных. Сети AD могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Приступим.

2. Подготовка

Что бы установить роль AD нам необходимо:
1) Задать адекватное имя компьютеру
Открываем Пуск -> Панель управления -> Система, слева жмем на «Изменить параметры«. В «Свойствах системы» на вкладке «Имя компьютера» нажимаем кнопку «Изменить» и в поле «Имя компьютера» вводим имя (я ввел ADserver) и жмем «ОК«. Появится предупреждение о необходимости перезагрузки системы, что бы изменения вступили в силу, соглашаемся нажав «ОК«. В «Свойствах системы» жмем «Закрыть» и соглашаемся на перезагрузку.

2) Задать настройки сети
Открываем Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера. После нажатия правой кнопкой на подключении выбираем пункт «Свойства» из контекстного меню. На вкладке «Сеть» выделяем «Протокол интернета версии 4 (TCP/IPv4)» и жмем «Свойства«.
Я задал:
IP-адрес: 192.168.10.252
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.10.1

Предпочтительный DNS-сервер: 127.0.0.1 (так как тут будет располагаться локальный DNS-сервер)
Альтернативный DNS-сервер: 192.168.10.1

После чего жмем «ОК» и «Закрыть«.
Подготовка закончилась, теперь преступим к установке роли.

3. Установки роли

Для установки роли AD на компьютер откроем Пуск -> Диспетчер сервера. Выберем «Добавить роли и компоненты«.

После чего запустится «Мастер добавления ролей и компонентов«.

3.1 На первом этапе мастер напоминает, что нужно сделать перед началом добавления роли на компьютер, просто нажимаем «Далее«.

3.2 Теперь выбираем «Установка ролей и компонентов» и жмем «Далее«.

3.3 Выберем компьютер, на котором хотим установить роль AD и опять «Далее«.

3.4 Теперь нужно выбрать какую роль мы хотим установить, выбираем «Доменные службы Active Directory» и нам предложат установить необходимые компоненты и службы ролей для роли AD соглашаемся нажав «Добавить компоненты» и опять «Далее«.

3.5 Тут предложат установить компоненты, но нам они пока не нужны, так что просто жмем «Далее«.

3.6 Теперь нам выведут описание роли «Доменных служб Active Directory«. Прочитаем внимательно и жмем «Далее«.

3.7 Мы увидим, что же именно мы будем ставить на сервер, если все хорошо, то жмем «Установить«.

3.8 После установки просто жмем «Закрыть«.

4. Настройка доменных служб Active Directory

Теперь настроим доменную службу запустив «Мастер настройки доменных служб Active Directory» (жмем на иконку «Уведомления» (флажок) в «Диспетчере сервера» и после этого выбираем «Повысить роль этого сервера до уровня контроллера домена«).

4.1 Выбираем «Добавить новый лес» и вписываем наш домен в поле «Имя корневого домена» (я решил взять стандартный домен для таких случаев test.local) и жмем «Далее«.

4.2 В данном меню можно задать совместимость режима работы леса и корневого домена. Так как у меня все с нуля я оставлю по умолчанию (в режиме работы «Windows Server 2012«). А еще можно отключить DNS-сервер, но я решил оставить это, так как хочу иметь свой локальный DNS-сервер. И еще необходимо задать пароль DSRM(Directory Service Restore Mode — режим восстановления службы каталога), задаем пароль и тыкаем «Далее«.

4.3 На данном этапе мастер настройки предупреждает нас, что домен test.local нам не делегирован, ну это и логично, нам ни кто его не давал, он будет существовать только в нашей сети, так, что жмем просто «Далее«.

4.4 Можно изменить NetBIOS имя, которое было автоматически присвоено, я не буду этого делать, так, что жмем «Далее«.

4.5 Тут можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services — доменная служба AD), файлам журнала, а так же каталогу SYSVOL. Не вижу смысла в изменении, так что просто жмем «Далее«.

4.6 Теперь мы видим небольшой итог, какие настройки мы выбрали.

Тут же, нажав на кнопку «Просмотреть сценарий» мы можем увидеть PowerShell сценарий для развертывания AD DS выглядит он примерно так:

4.7 Мастер проверит соблюдены ли предварительные требования, видим несколько замечаний, но они для нас не критичны, так что жмем кнопку «Установить«.

4.8 После завершения установки, компьютер перезагрузится.

5. Добавление нового пользователя

5.1 Запустим Пуск -> Панель управления -> Администрирование -> Пользователи и компьютеры Active Directory. Или через панель управления сервером:

5.2 Выделяем название домена (test.local), нажимаем правой кнопкой и выбираем «Создать» -> «Подразделение«.

После чего вводим имя подразделения, а так же можем снять защиту контейнера от случайного удаления. Нажимаем «ОК«.

Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)

5.3 Теперь создадим пользователя в подразделении «Пользователи«. Правой кнопкой на подразделение и выбираем в нем «Создать» -> «Пользователь«. И заполняем основные данные: Имя, Фамилия, логин.

Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)

Жмем «Далее«.
Теперь зададим пароль, для пользователя. Так же тут можно задать такие вещи как:
— Требовать смены пароля пользователя при следующем входе в систему — при входе пользователя в наш домен, ему будет предложено сменить пароль.
— Запретить смену пароля пользователем — отключает возможность смены пароля пользователем.
— Срок действия пароля не ограничен — пароль можно не менять сколько угодно.
— Отключить учетную запись — делает учетную запись пользователя не активной.
Жмем «Далее«.

И теперь «Готово«.

5.4 Выделим созданного пользователя и в контекстном меню выберем «Свойства«. На вкладке «Учетная запись» ставим галочку напротив «Разблокировать учетную запись«, после чего нажимаем «Применить«, затем «ОК«.

Список команд для быстрого ввода в домен через консоль

В данном разделе собраны команды из раздела Ввод в домен консольными командами. Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).

1. Настройте NTP-клиент

Здесь введите своё FQDN имя контроллера домена.

2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.

Для РЕД ОС версии 7.1 или 7.2:

Для РЕД ОС версии 7.3 и старше:

При успешном вводе машины в домен вы увидите сообщение «* Successfully enrolled machine in realm»

3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние категории.

4. Чтобы убрать предупреждение «rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)» при выводе команды testparm -s :

Ключевые возможности Active Directory

— Единая регистрация в сети. Позволяет настроить вход пользователя в рабочее пространство под своей учётной записью. Функционал аутентификации позволяет администрировать доступы пользователе ко всем ресурсам и информационным системам организации, настраивать интеграцию аутентификации c другими службами авторизации (использование единого доступа сотрудника, например, к компьютеру, к электронной почте, корпоративному порталу, 1С и т.д.).

— Безопасность информации. Централизованная настройка ролей и прав доступа группам или отдельным пользователям в рабочей сети, в зависимости от поставленной задачи.

— Лёгкий поиск. Поиск объектов осуществляется при помощи имени пользователя/компьютера или адреса электронной почты.

— Удобный интерфейс. Позволяет проектировать каталоги в виде древовидной структуры или задавать связь и права доступа между несколькими деревьями, обозначающими филиалы в разных зданиях или городах.

— Централизованное управление. Позволяют производить изменения сразу для всей рабочей сети, а не настраивать каждый объект отдельно. Отличное решение, если стоит задача, например, расширить (ограничить) права доступа к конкретному объекту сети или подключить отдельный сервер только для юридического отдела. Такие массовые изменения осуществляются при помощи групповых политик Active Directory.

Групповые политики Active Directory — отвечают за управление компьютерами, которые являются элементами домена, и позволяют максимально оперативно и централизованно настроить рабочее пространство пользователя и систему безопасности.

Возможности групповых политик Active Directory:

• администрирование операционной системы;
• настройка безопасности доступов к системному и прикладному программному обеспечению (установка разрешений, включение пользователей в группы);
• установка, настройка и обновление, удаление программного обеспечения (одновременно на всех необходимых устройствах сети удаленно);
• обслуживание компонентов операционных систем;
• интеграция с другими сервисами и приложениями, которые работают по сети, используя функционал групповых политик;
• настройка правил с зависимостью от местоположения пользователя;
• выполнение скриптов и многое другое.

Исправление: доменные службы Active Directory в настоящее время недоступны для Windows 7, 8 и 10.

Ошибка Доменные службы Active Directory недоступны в настоящее время означает, что система не может найти и подключиться к вашему принтеру, поэтому процесс остановлен и не может продолжаться дальше. Этот процесс позволяет компьютеру управлять ресурсами и распределять их. Если эта ошибка возникает, это означает, что, скорее всего, проблема связана с разрешениями, драйверами, UAC и т. Д.

Мы перечислили ряд решений, которые вы можете проверить. Начните с первого и постепенно спускайтесь вниз.

Решение 1. Сброс настроек диспетчера очереди печати принтера

Служба диспетчера очереди печати — это программа, которая отвечает за управление всеми заданиями на печать, отправляемыми на компьютерный принтер. Служба диспетчера очереди печати обычно видна пользователям, и они также могут отменить задание печати, которое обрабатывается. Это также позволяет им управлять заданиями, которые в настоящее время находятся в списке ожидания.

Мы можем попробовать перезапустить эту службу и проверить, решает ли это проблему.

1. Нажмите Windows + R , чтобы запустить приложение «Выполнить». Введите « services.msc » в диалоговом окне и нажмите Enter.
2. Найдите службу « Диспетчер очереди печати »присутствует в списке услуг. Дважды щелкните его, чтобы открыть его свойства. Нажмите кнопку « Стоп » под статусом системы и нажмите « Ok », чтобы сохранить изменения.

1. Поскольку мы отключили службу, теперь мы можем сосредоточиться на удалении файлов принтера. . Нажмите Windows + E , чтобы запустить быстрый доступ, и нажмите « Этот компьютер » на левой панели навигации.
2. Перейдите по следующему пути:

C: Windows System32 spool PRINTERS

Для доступа к следующей папке может потребоваться разрешение. При появлении запроса нажмите «Продолжить».

1. Оказавшись в папке, удалите все файлы в папке ПРИНТЕРЫ и закройте окно.
2. Теперь вернитесь назад. на вкладку Службы и Запустите службу « Диспетчер очереди печати ». Также не забудьте оставить тип запуска как « Автоматический ».

1. Перезагрузите компьютер и проверьте, правильно ли подключается принтер.

Решение 2. Добавление принтера вручную и обновление драйверов

Если перезапуск диспетчера очереди печати у вас не работает, мы можем попробовать снова добавить принтер в твой компьютер. В большинстве случаев принтер автоматически добавляется к вашему ПК, когда вы подключаетесь со всеми устанавливаемыми драйверами. Мы можем попробовать обновить драйверы и снова добавить принтер..

1. Прежде чем мы начнем процесс, нам нужно удалить принтер из вашего списка подключенных устройств. Нажмите Windows + R , чтобы запустить приложение «Выполнить». Введите « панель управления » в диалоговом окне и нажмите Enter.
2. На панели управления выберите « Большие значки . », Используя раскрывающийся список в правом верхнем углу экрана, и выберите« Устройства и принтеры ».

1. Найдите свой принтер, щелкните его правой кнопкой мыши и выберите « Удалить устройство ». Появится всплывающее окно UAC с просьбой подтвердить свои действия в качестве администратора.

1. В том же окне щелкните« Добавить принтер »в верхней части экрана. . Мастер подскажет, как добавить принтер к компьютеру. Убедитесь, что принтер правильно подключен к вашему компьютеру. Если вы используете принтер в беспроводной сети, попробуйте подключить его к компьютеру через USB.

1. Перейдите на официальный сайт производителя и загрузите последние версии драйверов в доступное место. Нажмите Windows + R, введите « devmgmt.msc » и нажмите Enter.
2. Перейдите к подкатегории « Очереди печати », разверните его, выберите свой принтер, щелкните его правой кнопкой мыши и выберите« Обновить драйвер ».

1. Выберите второй вариант « Найдите на моем компьютере драйверы ».

1. Перейдите в папку, в которую вы загрузили последние версии драйверов для вашего принтера. Выберите его и установите, нажав « Далее ». По завершении процесса перезагрузите компьютер и проверьте, решена ли проблема.

Решение 3. Предоставление доступа к PrinterPorts и Windows

Если оба вышеуказанных решения не работают, мы можем попробовать изменение прав доступа к файлам в редакторе реестра. Возможно, ошибка продолжает появляться, потому что у вашей учетной записи нет доступа к некоторым важным ключам (таким как PrinterPorts и т. Д.).

Примечание: редактор реестра это мощный инструмент. Неправильное использование или смена клавиш, о которых вы ничего не знаете, может повредить ваш компьютер и сделать его непригодным для использования.

1. Нажмите Windows + R , чтобы запустить Run заявление. Введите « regedit » в диалоговом окне и нажмите Enter..
2. В редакторе реестра перейдите по следующему пути к файлу:

HKEY_CURRENT_USER> Программное обеспечение> Microsoft > Windows NT> CurrentVersion

1. Щелкните правой кнопкой мыши « Devices » и выберите « Разрешения… ».

1. Выберите свою учетную запись из списка и установите все флажки в столбце « Разрешить ». Убедитесь, что в столбце «Запретить» не отмечен ни один элемент.

1. Выполните ту же процедуру для записей « PrinterPorts » и « Windows ».

1. После завершения перезапустите ваш компьютер и проверьте, решена ли проблема.

Примечание: вам следует переустановить принтер снова после внесения вышеуказанных изменений, если принтер по-прежнему не работает. не работает.

Решение 4. Распознавание принтера с помощью других приложений

Другой способ решения этой проблемы — распознать принтер с помощью других приложений. Мы продемонстрируем это с помощью Блокнота, так как это приложение установлено почти на каждом компьютере по умолчанию.

1. Щелкните правой кнопкой мыши на рабочем столе, выберите Создать> Текстовый документ

1. Тип что-нибудь в пустом месте. Нажмите Файл> Печать

1. Появится новое окно со всеми принтерами, установленными в данный момент на вашем компьютере. Если вы не можете найти свой принтер, нажмите « Найти принтер… » в правой части окна. Теперь Windows начнет обнаруживать ваш принтер и, надеюсь, проблема будет решена.

Примечание. Были также некоторые отчеты, в которых пользователи заявляли, что обновляют свой офисный пакет Решил проблему. Похоже, что были повреждены некоторые конкретные файлы, которые вызывали проблему.

Кроме того, вы также должны убедиться, что ваша ОС Windows обновлен до последней сборки с помощью диспетчера обновлений Windows. Если принтер по-прежнему не работает на вашем компьютере, вы можете попробовать запустить средство устранения неполадок с принтером , а также попробовать использовать принтер на другом компьютере. Это поможет изолировать проблему.

Возможные проблемы

В процессе активации AD и RSAT может возникнуть ряд трудностей, например, заранее не активирована опция запуска программ от имени иного пользователя. К тому же надо помнить, что средство удаленного управления невозможно установить на ПК, работающем на Домашней или Стандартной версии Win 10. Инструмент RSAT удастся добавить только в Корпоративную или Профессиональную ОС.

Находится это средство на сайте «Майкрософт». Разработчики предлагают программы для конкретной версии Win 10. Если тип редакции не указан, нужно использовать RTM (полный выпуск ОС Виндовс) для скачивания RSAT.

Для того чтобы загрузить дополнительные компоненты для работы на удаленном сервере, не нужно искать специальное ПО. Выполнить это действие удастся с помощью Мастера Add Features Wizard. Рекомендуется заранее добавить дублер контроллера домена для предупреждения возможных сбоев в работе.