Заметки IT Менеджера

06.07.2010

Что нужно не забыть сделать после перехода на домен Windows 2008 R2


обновлено 06.07.2010
Эта запись не претендует на полноту. В общем-то, как и многие другие мои сообщения здесь, она сделана для себя. Просто чтобы при повторе не забыть что делать и куда смотреть :-)
Итак:
  • Настроить синхронизацию времени на DC с ролью PDC эмулятора с внешним источником.
    Я как-то уже делал инструкцию Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2, правда тогда еще для 2003 сервера. Вчера потратил весь день на 2008 R2 сервере в попытках настроить, ничего не получалось. А уже вечером выяснилось, что наш сетевой инженер еще на выходных перепрошил циску, которая у нас служит источником точного времени и на вчера этот сервис просто не работал :-(. Но есть и плюсы, я отшлифовал поиск проблем при настройке этого сервиса и обновил инструкцию :-)

  • Включить Strict replication consistency на всех контроллерах домена.

    repadmin /regkey dc.domain.ua +strict
Почитать обо всем этом можно по следующим ссылкам:
http://technet.microsoft.com/en-us/library/dd723692(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc949134(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc949134(WS.10).aspx#BKMK_Use_Repadmin

  • Правильно прописать DNS на контроллерах домена.
    Во первых, на каждом из DC должны быть прописаны или все существующие DNS сервера на других DC, или, если их много, то ближайшие. Во вторых, первым должен быть прописан ip адрес самого DC. Ну и последним я ставлю адрес 127.0.0.1
  • Следует перевести репликацию Sysvol от службы FRS к службе DFSR
    Еще начиная с Windows 2003 R2 в Windows Server появилась новая служба репликации. По каким-то, мне не совсем понятным причинам, рудимент в виде службы FRS для репликации Sysvol просуществовал аж до Windows 2008 R2. Если домен был промигрирован с предыдущих версий, то нужно перевести и эту службу на другую технологию.

    Итак, основной источник SYSVOL Replication Migration Guide: FRS to DFS Replication, то же самое, но в виде файла. Кроме того, хорошо все описано в блоге Storage Team — SYSVOL Migration Series и еще кое-что в блоке Active Directory — Verifying File Replication during the Windows Server 2008 DFSR SYSVOL Migration – Down and Dirty Style
  • Включить Client failback для SYSVOL и NETLOGON
    Для этого нужно на каждом из контроллеров домена создать параметр с именем SysvolNetlogonTargetFailback типа DWORD со значением 1 в ветке реестра
    HKLM\System\CurrentControlSet\Services\Dfs\Parameters
  • Провести миграцию для доменных “корней” DFS из режима 2000 в режим 2008
    В общем-то, эта функция появилась еще в Windows Server 2003 SP1, но мало ли … :-)
    Зачем это? Все это нужно для access-based enumeration и улучшенной стабильности в работе DFS. Зачем нужна access-based enumeration и что она дает? Это такая полезная функция, которая делает так, что у пользователей у которых нету прав на DFS target его и не видят. Аналогичная функция есть и для простых share.

    Ссылка на оригинальную инструкцию: Migrate a Domain-based Namespace to Windows Server 2008 Mode
  • Включить Recycle Bin для Active Directory
    C выходом Windows Server 2008 R2 наконец-то появилась функция, которая должна была быть еще в NT 3.51 – это корзина для объектов Active Directory. В общем-то, и раньше можно было что-то восстановить, но это было не очень удобно. Напомню, что для этого уровень домена и леса должен быть Windows 2008 R2.

    Итак, делается это все просто, следует на каком-нибудь из DC нажать Start, затем Administrative Tools, правая кнопка на Active Directory Module for Windows PowerShell и, затем, выбрать  Run as administrator. Когда появится окно PowerShell выполнить там команду:
    Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domain,DC=ua’ –Scope ForestOrConfigurationSet –Target ‘domain.ua’
    Понятное дело, что domain.ua следует заменить на свой домен :-)
    Подробнее о самой функции, о различных способах ее включения и т.д. можно почитать в статье Active Directory Recycle Bin Step-by-Step Guide. Там же можно прочитать о встроенных способах восстановления. Но эти способы не очень удобны.
    Есть отличное и простое решение! Нужно скачать и установить Power GUI, а к нему скачать и установить Active Directory Recycle Bin PowerPack. В общем-то, Power GUI с его встроенным редактором и отладчиком для PowerShell должен быть на каждом рабочем месте админа.
    Кстати, если кто не в курсе, то эта команда работает в компании Quest Software, так вот у них давно уже есть замечательные и бесплатные командлеты PowerShell для управления Active Directory — PowerShell Commands for Active Directory. Хотя с выходом PowerShell 2.0 и Windows 2008 Server появилась и встроенная возможность по управлению AD из PowerShell, их компоненты не потеряли актуальности, я уже молчу про то, что они работают и в более ранних версиях.
  • Создание центрального хранилища GPO
    Еще начиная с Windows Server 2008 появилась полезная возможность – создание центрального хранилища GPO.
    Что это такое и зачем это нужно? Ну что это такое – понятно, это централизованное хранилище шаблонов групповых политик. А нужно оно затем, чтобы сделать единый, обновляемый и реплицируемый репозиторий шаблонов избежать всяких неприятных ситуаций. Например с заменой шаблона, что вероятно при редактировании одной и той же политики из разных мест. Или, что бывает чаще, часть параметров видна только в виде ключей реестра, это если на компьютере с которого ведется редактирование нету нужного шаблона.
Итак, как создать центральное хранилище GPO?
Открываю папку \\domain.ua\sysvol\domain.ua\policies
На контроллере домена Windows 2008 Server R2 открываю папку C:\Windows и копирую папку PolicyDefinitions в папку, открытую на предыдущем этапе. Затем, открываю папку C:\Windows\PolicyDefinitions на рабочей станции под управлением Windows 7 и копирую ее содержимое в папку \\domain.ua\sysvol\domain.ua\policies\PolicyDefinitions с заменой файлов. Внутри папки PolicyDefinitions будут подпапки с языковыми версиями шаблонов политик. Как минимум одна en-US должна быть всегда. Оставлять ли другие локализации – решайте сами.
После этого, можно добавить туда и другие административные шаблоны из тех, что у вас есть. Например, практически всем нужны шаблоны для MS Office
Ну и, напоследок, проверяю, что центральное хранилище работает. Запускаю утилиту Group Policy Management Policy с какой-нибудь рабочей станции, нахожу любую политику у которой установлен хоть какой-нибудь параметр в разделе Administrative Templates, в правом окне выбираю Settings  и раскрываю секцию Administrative Templates. Прямо под ней должна быть фраза Policy definitions (ADMX files) retrieved from the central store.
Реклама

17 комментариев »

  1. Извините что пишу тут, не нашел на сайте контактов. Можно с вами связаться, желательно в мессенджере (ася, джаббер, скайп)? У меня есть несколько вопросов относительно windows server 2008 r2, которые я не могу решить с помощью гугла… Ответьте пожалуйста на stefantsov(a)gmail.com

    комментарий от B-Real — 06.05.2010 @ 17:19 | Ответить

  2. Не люблю я мессенджеры. В скайпе иногда появляюсь, но иногда. id: padla1

    Лучше спрашивайте прямо здесь, если сталкивался — помогу :-)

    комментарий от itpadla — 06.05.2010 @ 17:23 | Ответить

  3. Похоже ты не в сети :( Напиши на мыло что-ли…

    комментарий от B-Real — 06.05.2010 @ 18:58 | Ответить

  4. Большое спасибо за этот FAQ, оч помог, но есть некоторые моменты чтобы прояснить.
    В частности — «Включить Client failback для SYSVOL и NETLOGON» для Win2008R2 Домена.
    У тебя не указано какой ключ создать…:)
    Вот в этой статье:
    http://support.microsoft.com/kb/905846/en-us?fr=1 написано про ключ, который включает выдачу ссылок на DFS клиентам, с учетом сайтов.
    Вот он:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs\Parameters
    Value Name: SiteCostedReferrals
    Data Type: REG_DWORD
    Value: 1

    Обрати внимание — нигде не сказано, что при этом включается failback для SYSVOL и NETLOGON — т.е. клиент не возвращается на «свой» контроллер в «своем сайте», когда тот становится вновь доступен… Ключ для failback пока в поиске

    комментарий от Shadowkeeper — 29.11.2010 @ 12:25 | Ответить

    • Примечание. Ключ в 4 посте -должен быть добавлен на всех контроллерах доменов.

      комментарий от Shadowkeeper — 29.11.2010 @ 12:29 | Ответить

      • У меня так и написано «нужно на каждом из контроллеров домена создать параметр»

        комментарий от itpadla — 29.11.2010 @ 12:43

    • Спасибо за замечание, имя ключа забыл ввести, когда добавлял. Имя ключа SysvolNetlogonTargetFailback, уже исправил.

      комментарий от itpadla — 29.11.2010 @ 12:41 | Ответить

      • нижний пост не затирай — там сцылок есть немного длля почитать…
        И первый ключег — тоже весьма полезен.
        Он по-умолчанию не включен — можно проверить dfsutil.exe /PKTINFO

        комментарий от Shadowkeeper — 29.11.2010 @ 13:16

  5. Вот нужный ключ для Failback на SYSVOL и NETLOGON:

    SysvolNetlogonTargetFailback
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs\Parameters
    Value Name: SysvolNetlogonTargetFailback
    Data Type: REG_DWORD
    Value: 1

    Описание тут:

    http://technet.microsoft.com/ru-ru/library/cc736868(WS.10).aspx

    При этом, для корректного переключения failback необходима поддержка на стороне клиента.
    вот ссылка на патчи и описание клиентской части:
    http://support.microsoft.com/kb/898900/?FR=1

    комментарий от Shadowkeeper — 29.11.2010 @ 13:09 | Ответить

    • Так я уже исправил в статье :-) У себя-то я сразу сделал, а вот когда статью писал — забыл имя поместить.

      комментарий от itpadla — 29.11.2010 @ 13:12 | Ответить

      • Ок, я просто сначала инфо написал — потом твой комент увидел, не ожидал что так скоро ответишь :)

        Оффтопик…
        У меня кстати есть еще несколько косяков с DFS есть после переезда на R2, а как решить — не знаю… они еще до переезда были, но после перезда стали выглядеть устрашающе.
        Мож сталкивался? — у меня DFS-руты через консоль в Win2008 не создаются — ошибка запроса имени пространства, RPC недоступен… Причем никакие — ни удаленные, ни новые…
        Пока обхожусь созданием корня через консоль Win2k3, затем его удалением и тут-же созданием корня 2008 с тем же именем — прокатывает. Но ИМХО кривоватый способ…
        Технет молчит как рыба об лед… я уж грешным делом все намеки на IPv6 поотключал, чтоб косяков тут не было…
        Черкани на почту плз — s_h_a_d_o_w_kee_per@n_ig_htma_il.ru, подчеркивания удалить…

        комментарий от Shadowkeeper — 29.11.2010 @ 13:25

      • Да можно и без почты обойтись, офтопик здесь только спам, а если по делу …

        Что касается проблемы, то у мея такой нету. Опять же, чтобы промигрировать корни до 2008 версии, их, по сути, удалить нужно и создать заново. Все это можно из коммандной строки делать (http://technet.microsoft.com/en-us/library/cc753875.aspx)

        Только что попробовал, у меня нормально создаются и через панель управления …

        комментарий от itpadla — 29.11.2010 @ 14:24

      • Ок… пошел копать инет дальше :)
        Еще раз сенкс за FAQ

        комментарий от Shadowkeeper — 29.11.2010 @ 14:48

  6. «Правильно прописать DNS на контроллерах домена»

    До недавнего времени также считал, как в статье, что первым ДНС- сервером должен быть прописан сам ДЦ.
    Best Practice уверяют, что это плохо…
    Чем вызвана именно такая рекомендация?

    комментарий от Shadowkeeper — 28.07.2011 @ 12:50 | Ответить

    • В серверах 2000/2003 нужно было первым прописывать другие dns, т.к. при некоторых обстоятельствах контроллер замыкался в себе. В 2008R2 это предусмотрели и стали рекомендовать прописывать себя. Где именно … я уже не помню. Встроенный Best Practice на мои настройки не ругается. По крайней мере, на эти :-)

      комментарий от itpadla — 28.07.2011 @ 13:39 | Ответить

  7. Написано «Затем, открываю папку C:\Windows\PolicyDefinitions на рабочей станции под управлением Windows 7 и копирую ее содержимое в папку \\domain.ua\sysvol\domain.ua\policies с заменой файлов.»

    Может надо копировать в папку \\domain.ua\sysvol\domain.ua\policies\PolicyDefinitions ????

    комментарий от Денис — 12.11.2015 @ 15:35 | Ответить

    • Вы абсолютно правы, именно так. Исправил

      комментарий от itpadla — 12.11.2015 @ 18:34 | Ответить


RSS feed for comments on this post. TrackBack URI

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

Блог на WordPress.com.

%d такие блоггеры, как: