Jak przenieść rolę kontrolera domeny Active Directory (2000/2003) na nowy komputer

W przypadku, gdy w domenie Active Directory posiadamy jedynie jeden kontroler domeny (DC) i zachodzi konieczność przeniesienia tej roli na nowy komputer a następnie wyłączenia starego DC konieczne jest zachowanie odpowiedniej procedury przeprowadzenia tej operacji. Konieczne jest wykonanie kilku kroków, które pozwolą na zachowanie wszystkich danych domeny oraz pełnej jej funkcjonalności. Procedura ta jest prosta i jej zastosowanie nie powinno nastręczyć większych problemów każdemu z administratorów sieci opartej na Windows 2000/2003. Kolejne kroki procedur to:

  1. Dołączenie nowego serwera do domeny
  2. Wypromowanie nowego serwera do roli kontrolera domeny
  3. Synchronizacja danych
  4. Przeniesienie ról FSMO
  5. Usunięcie oryginalnego kontrolera z domeny

W naszym teoretycznym przykÅ‚adzie domeny “w2k.private”, którym bÄ™dziemy posÅ‚ugiwać siÄ™ w dalszej części artykuÅ‚u mamy istniejÄ…cy kontroler domeny DC1, który chcemy zastÄ…pić nowÄ… maszynÄ… o nazwie DC2.

1.Wypromowanie nowego serwera do roli kontrolera domeny
W celu wypromowania nowego kontrolera domeny, który ma przejąć zadania obecnie istniejącego kontroler (jak również i w przypadku gdy dokładamy go ze względu na redundancję rozwiązania) po zainstalowaniu świeżego systemu operacyjnego, dodaniu jako serwera członkowskiego do domeny, wstępnym go skonfigurowaniu oraz uaktualnieniu uruchamiamy proces promocji poprzez polecenie dcpromo.exe. Ponieważ jest to dodatkowy kontroler w istniejącej już domenie, przy odpowiednich pytaniach wskazujemy, iż ma być to kontroler dołączony do istniejącej już domeny, następnie zaś podajemy dane uwierzytelnienia użytkownika mającego uprawnienia administratora. Nasz nowy kontroler domeny podejmie pracę jak tylko zakończy synchronizację danych domeny z jednym z istniejących już kontrolerów.
Tylko jako przypomnienie zaznaczę że przed przystąpieniem do promowania nowego kontrolera domeny należy zadbać o poprawne rozwiązywanie nazw DNS domeny na obu serwrach.
Jeżeli pracujemy w domenie Windows 2000 a nowym kontrolerem domeny bÄ™dzie komputer dziaÅ‚ajÄ…cy pod kontrolÄ… Windows 2003 konieczne jest przygotowanie domeny do takiej operacji. Przygotowanie domeny AD opartej na Windows 2000 do wprowadzenie kontrolera domeny pracujÄ…cego na Windows 2003 polega na uruchomieniu narzÄ™dzia adprep.exe z parametrami /ForestPrep oraz /DomainPrep. Proces ten opisany jest Å›wietnie w ramach artykuÅ‚u Daniela Petri. Jeżeli w domenie tej pracuje serwer Exchange 2000 wykonanie tych operacji powoduje pewne problemy, które na szczęście Å‚atwo jest wyeliminować – ponownie, proces usniÄ™cia problemu opisany jest doskonale przez daniela Petri.

Opis promocji serwera do roli kontrolera domeny można znaleźć pod adresami:

2.Synchronizacja danych
Po dołączeniu nowego kontrolera do domeny inicjalizowany jest proces replikacji danych pomiędzy jednym z istniejących kontrolerów a nowo wypromowanym (korzystając z opcji plliku odpowiedzi przy promocji kontrolera możliwe jest wskazanie wprost partnera replikacji). Synchronizacja danych związanych z katalogiem obejmuje:

  • synchronizacje danych katalogu
  • synchronizacje zawartoÅ›ci wolumenu SYSVOL
  • synchronizacje danych DNS.

Serwer nie podejmie pracy jako kontroler domeny dopóki dane domeny oraz danej zawarte w ramach SYSVOL nie zostaną zreplikowane z istniejącego serwera. W zależności od ilości obiektów w domenie, liczby GPO, skryptów itp znajdujących się na udziale SYSVOL oraz jakości łącza proces replikacji może zająć dłuższy czas. Stan replikacji danych katalogi pomiędzy kontrolerami można sprawdzić posługując się narzędziami Replmon.exe lub repadmin.exe z pakietu Support Tools.
Jeżeli wczeÅ›niej na nowym kontrolerze domeny nie zostaÅ‚a zainstalowana usÅ‚uga serwera DNS musimy jÄ… zainstalować samodzielnie poprzez aplet “Add\Remove Windows components”. Dane DNS naszej domeny zostanÄ… zreplikowane do nowego serwera DNS razem z danymi domeny (strefa DNS dla domen Active Directory domyÅ›lnie tworzona jest jako zintegrowana z AD). Po zainstalowaniu usÅ‚ugi DNS i zsynchronizowaniu danych nowy kontroler domeny zostanie zarejestrowany przy starcie usÅ‚ugi NetLogon jako serwer NS dla naszej domeny.

Zabezpieczeni kluczy agenta odzyskiwania EFS

Przed przystÄ…pieniem do przeniesienia wszystkich kluczowych dla dziaÅ‚ania domeny elementów na nasz nowy serwer należy zabezpieczyć dodatkowo klucz agenta odzyskiwania EFS. W przypadku domeny rola ta domyÅ›lnie przypisywana jest kontu administratora domeny, a odpowiedni certyfikat i klucz prywatny przechowywane sÄ… na pierwszym zainstalowanym w sieci kontrolerze domeny. Jeżeli wiÄ™c kontroler, który mamy zamiar usunąć z sieci jest pierwszym instalowanym kontrolerem należy zabezpieczyć te dane poprzez wyeksportowanie ich na zewnÄ™trzny noÅ›nik. Eksport tego klucza na zewnÄ™trzny noÅ›nik jest zalecane w każdym przypadku, nawet gdy nie zamierzamy usuwać tego kontrolera z domeny – jest to jedna z dobrych praktyk administratora zwiÄ…zanych z EFS. Procedura eksportu certyfikatu i klucza prywatnego domyÅ›lnego agenta odzyskiwania danych w domenie opisana jest artykule KB 241201. Na nowej maszynie po jej wypromowaniu do roli kontrolera domeny można ten klucz przywrócić wedÅ‚ug procedury opisanej pod tym adresem. OczywiÅ›cie jeżeli klucz ten nie jest w danej chwili potrzebny zaleca siÄ™ pozostawienie go na noÅ›niku zewnÄ™trznym (odpowiednio zabezpieczonym).

3.Przeniesienie ról FSMO
Przed wyłączeniem starego serwera musimy zidentyfikować role FSMO jakie są do niego przypisane i przenieść je innemu serwerowi, na przykład nowo wypromowanemu w sieci. W przypadku operacji zmiany serwera pełniącego jedną z pięciu ról FSMO możemy dokonać dwóch operacji:

  • przeniesienia (ang. transfer),
  • przejÄ™cia (ang. seize).

W przypadku, gdy oba kontrolery domeny (obecnie pełniący daną rolę oraz kontroler który ma ją pełnić po zmianach) są dostępne w sieci dokonujemy operacji przeniesienia roli. Operacji tej możemy dokonać poprzez konsole MMC służące zarządzaniu domeną lub korzystając z narzędzia linii poleceń ntdsutil.exe, którą to metodą posłużymy się na potrzeby tegoż opisu.
Serwer może mieć przypisaną jedną lub wszystkie (co jest częstym przypadkiem w małych sieciach) pięć ról:

  • Schema master – rola obejmuje caÅ‚y las, jeden serwer w lesie,
  • Domain naming master – rola obejmuje caÅ‚y las, jeden serwer w lesie,
  • RID master – rola obejmuje domenÄ™, jeden serwer dla każdej domeny w lesie,
  • PDC – rola obejmuje domenÄ™, jeden serwer dla każdej domeny w lesie,
  • Infrastructure master – rola obejmuje domenÄ™, jeden serwer dla każdej domeny w lesie.

Sposób przeniesienia ról FSM na inny serwer przy użyciu ntdsutil.exe przedstawiony został w KB255504. Poniżej krótki opis jak tego dokonać z komentarzami:

  1. Uruchamiamy ntdsutil.exe poprzez Start->Run lub z poziomu linii poleceń cmd.exe. Następnie przechodzimy do opcji zarządzania rolami FSMO poprzez wydanie polecenia roles.
  2. Łączymy się z DC na którym wykonamy operacje przechodząc do opcji connections, następnie zaś wydając polecenie connect to server . Serwer, do którego się łączymy jest to kontroler domeny, na który przeniesiemy wybrane role (w naszym przykładzie DC2). Jeżeli konieczne jest określenie innych danych uwierzytelnienia niż dane bieżącego użytkownika możemy to zrobić przed połączeniem poprzez wydanie polecenia set creds . Powracamy do opcji zarządzania rolami poprzez wdanie polecenia quit.
  3. Identyfikujemy role FSMO, które są znane serwerowi do którego jesteśmy połączeni poprzez wydanie polecenia select operation target, a następnie list roles for selected server. Jak widać na poniższym rysunku w naszej przykładowej konfiguracji wszystkie role należą do serwera DC1, który planujemy wyłączyć. Przed wyłączeniem DC1 musimy więc przenieść je na serwr DC2. Wracamy do opcji zarządzania rolami poprzez wydanie polecenia quit.
  4. Przenosimy kolejne role na serwer do którego jesteśmy połączeni poprzez wydanie polecenia transfer z odpowiednią nazwą roli, i tak:
    • Schema master: wydajemy polecenie transfer schema master
    • Infrastructure master: wydajemy polecenie transfer infrastructure master
    • RID master: wydajemy polecenie transfer RID master
    • PDC Emulator: wydajemy polecenie transfer PDC
    • Domain Naming master: wydajemy polecenie transfer domain naming master

    Po zakończeniu tych operacji powtórzenie procedury z punktu 3, czyli identyfikacja serwerów pełniących role FSMO powinna wskazywać na nasz nowy serwer (DC2) jako serwer pełniący te role.
    Pozostaje nam jeszcze upewnić się iż dla naszych użytkowników dostępny będzie serwer Katalogu Globalnego (Global Catalog), nie jest to rola FSMO ale funkcja pełniona przez kontroler domeny wymagana do prawidłowej pracy domeny. W tym celu uruchamiamy na kontrolerze domeny konsole Active Directory Sites and Services i nawigujemy do ścieżki Sites -> -> Servers -> -> NTDS Settings, klikamy w tą pozycję prawym klawiszem i wybieramy Properties. Na zakładce General zaznaczamy opcje Global Catalog i zatwierdzamy zmiany.

    Utworzenie zasobów Katalogu Globalnego jest procesem, który zachodzi w ramach replikacji danych i zostanie on utworzony samodzielnie przez kontroler domeny.

  5. Kończymy pracę poprzez wydawanie polecenia quit aż do zamknięcia konsoli ntdsutil.

4.Usunięcie oryginalnego kontrolera z domeny
Przed ostatecznym usunięciem starego kontrolera domeny z sieci warto upewnić się, że wszystko działa poprawnie poprzez prosty test, czyli wyłączenie tego kontrolera i sprawdzenie działania usług katalogowych, możliwości logowania się użytkowników do stacji roboczych, przeprowadzenia zmian w AD (założenie użytkownika, zmiana członkostwa w grupach użytkowników). Jeżeli wszystkie testy przebiegną poprawnie możemy przystąpić do usunięcia roli kontrolera z serwera, w tym celu logujemy się na jego konsoli jako administratora i uruchamiamy dcpromo.exe, procedura jest trywialna więc nie będę jej tutaj opisywał, warto jednak zwrócić uwagę na dwie rzeczy:

  • nie należy zaznaczać w kreatorze dcpromo opcji “this server is last domain controller in a domain”
  • hasÅ‚o które podajemy w trakcie degradacji kontrolera domeny do roli zwykÅ‚ego serwera jest hasÅ‚em lokalnego konta administratora na tym serwerze, jeżeli bÄ™dzie on nadal używany w sieci należy podać odpowiednio skomplikowane hasÅ‚o.


Po zakoÅ„czeniu pracy kreatora nastÄ™puje restart systemu, po ponownym uruchomieniu serwer powinien być widziany w ramach domeny jako serwer czÅ‚onkowski – jeżeli ma być on wyÅ‚Ä…czony z pracy w sieci można go usunąć z domeny.

Jeżeli caÅ‚a operacja zakoÅ„czyÅ‚a siÄ™ sukcesem (a praktyka pokazuje że przeważnie tak jest) nowy kontroler podejmie pracÄ™ w sieci obsÅ‚ugujÄ…c użytkowników oraz peÅ‚niÄ…c przekazane mu role FSMO. W ramach tego opisu nie podejmowaÅ‚em tematu przeniesienia pozostaÅ‚ych usÅ‚ug sieciowych, jakie może peÅ‚nić serwer – o to należy już zadbać korzystajÄ…c z innych procedur.

PS. Podziękowania dla Grzegorza Kędziory za zwrócenie uwagi na konieczność uzupełnienia tego opisu o sekcje dotyczącą EFS.