Обновление доменных служб Active Directory (AD DS) до Windows Server 2016
Рет қаралды 18,310
Күн бұрын
@alderkr Жыл бұрын
Юрий, спасибо за ваш труд и такой полезный материал!
@ZviadGogilava 7 жыл бұрын
С наступившим вас! Всех благ!
@YuriyLebedev 7 жыл бұрын
Спасибо, с наступившими и наступающими вас.
@AlexAttol 4 жыл бұрын
Очень хороший материал публикуете
@YuriyLebedev 4 жыл бұрын
Спасибо, стараюсь.
@ЕвгенийАлексеев-г7е 7 жыл бұрын
Если кто будет переводить впервые с FRS на DFS-R то знайте, что по-умолчанию, DfS будет c выключенным режимом autorecovery. То есть если у вас произойдет uexpected shutdown , то репликация встанет колом. Для авто-продолжения репликации после неожиданной перезагрузки контроллера, на каждом DC в реестре включите autorecovery (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters StopReplicationOnAutoRecovery = 0)
@YuriyLebedev 7 жыл бұрын
В Windows Server 2008 R2 эту проблему устранял hotfix 2780453. Так как начиная с WS2012 он на борту, то служба не должна отваливаться после жесткой перезагрузки или отката на моментальный снимок.
@ЕвгенийАлексеев-г7е 7 жыл бұрын
Данная проблема возникает не из-за неисправности, а из-за настроенного по дефолту поведения службы DFS-R (выключено autorecovery) . Причем, если в организации нет SCOM с MP DFS, то контроллер будет коварно умалчивать о проблеме с репликацией :) MS считает, что после "dirty shutdown" администратор должен сделать резервную копию на шарах и выполнить команду на подтверждение продолжения репликации для того чтоб не произошла ошибочная перезапись. blogs.technet.microsoft.com/filecab/2012/07/23/understanding-dfsr-dirty-unexpected-shutdown-recovery/
@victorkhrapko459 7 жыл бұрын
Подскажите пожалуйста какого типа должен быть этот параметр.. Я пока поставил REG_DWORD
@karalka3 5 жыл бұрын
Отличное видео. У меня есть небольшой вопрос. Есть два DC на win 2008r2, например, с адресами 10.0.0.1 и 10.0.0.2. Добавляю два новых DC на win 2016 с IP адресами 10.0.0.3 и 10.0.0.4. Когда все операции по переходу\обновлению будут выполнены могу я но новых контроллерах домена вернуть старые IP адреса ?
@YuriyLebedev 5 жыл бұрын
Если это необходимо, то после вывода старых контроллеров из эксплуатации, меняете IP-адрес на нужный сначала на одном контроллере домена, перезагружаете его (в процессе загрузки он перерегистрирует все свои служебные записи в DNS), затем повторяете процедуру на втором.
@sergeysovransky7114 4 жыл бұрын
добрый день, Юрий, спасибо за полезный материал. Подскажите а что делать при переносе DHCP с 2008r2 на 2016?
@ЮрийНиколаев-ы1м 2 жыл бұрын
зачем редакцию Datazenter на контроллеры домена надо? денег много? поверхность атаки больше - короче стандарт норм
@KonstK.Y.T 4 жыл бұрын
Первым в dns настройках адаптера должен идти другой КД. А вот вторым себя можно указывать. Иначе при рестарте могут возникнуть ошибки и тормоза из-за недоступности службы dns
@YuriyLebedev 4 жыл бұрын
Для Windows Server 2003 и более ранних - это было действительно так.
@Vlad-em1bx 7 жыл бұрын
Здравствуйте уважаемый Юрий. Хотелось бы спросить. Поставил windows server 2016. создали политики. политики применились как надо к машинам в ос windows xp и windows 7. а вот на машины с windows 10 политики просто не применяются. В чем может быть дело. Подскажите пожалуйста! заранее благодярен! :)
@ИванИванов-о8я9с 5 жыл бұрын
Вопрос. если у меня всего 1 контролер домена 2008R2 нужно провести процедуру репликации sysvol с frs на dfs? или это только для тех у кого несколько контролеров домена? Спасибо.
@andreyandreev1800 7 жыл бұрын
Юрий Вы бы могли просвятить по поводу PKI а то практически нигде нет информации...
@YuriyLebedev 7 жыл бұрын
Времени на все не хватает, может быть позже.
@vpnhitmany 7 жыл бұрын
Юрий спасибо за новый ролик! С наступившим вас! Подскажите как работает 2016? Надежно? Есть ли проблемы? В Win10 постоянно были проблемы после глобальных обновлений Для серверов это критично
@YuriyLebedev 7 жыл бұрын
Спасибо, с наступившими и наступающими вас. С Windows 10 сложности возникали только после глобальных обновлений, например, с 15XX на 16XX, при этом ничего критичного мною замечено не было, инженеры все устраняли в течении часа. С серверами пока ничего подобного я не заметил, да и ставить подобного рода обновления без предварительного тестирования не рекомендую. На данный момент перевел часть собственной инфраструктуры на Windows Server 2016, по ощущениям в ряде задач работают быстрее чем WS 2012 R2, но в некоторых моментах нет, например, контроллеры домена стали чуть более требовательны к дискам. Я перехожу на Windows Server 2016 из-за новых возможностей в отказоустойчивых кластерах, Hyper-V, службах хранилища и сетях, если все сложится - скоро я многое из этого продемонстрирую.
@vpnhitmany 7 жыл бұрын
Требовательный к дискам? Очень интересно, т.е. SATA, не пойдут нужно SAS или SSD? У нас как раз контроллер домена и виртуалки на одном сервере
@YuriyLebedev 7 жыл бұрын
Я имел в виду, не формат диска, нет, Windows Server 2016 прекрасно работает на механике (SAS/SATA) в том числе 5400 rpm, я имел в виду несколько другое. По сравнению с Windows Server предыдущих версий, количество IOPS у контроллера домена на базе Windows Server 2016 больше.
@sabo5991 3 жыл бұрын
Юрий а если мигрировать с 2008 на 2012r2 то тоже надо делать процедуру миграции frs на dfs
@YuriyLebedev 3 жыл бұрын
Через ADSI проверьте какой у вас используется транспорт репликации и если там FRS, то мигрируйте на DFS-R. Лучше это сделать ещё на 2008-ом сервере, прежде чем добавлять новые контроллеры домена.
@МихаилДемидов-щ1з 6 жыл бұрын
Хороший материал, повторил в тестовой среде. Не могли бы вы ответить на пару вопросов? Есть доменная инфраструктура на windows server 2012r2 standart rus. Буду добавлять второй контроллер домена и обновлять доменные службы до windows server 2016. Думаю ставить eng редакцию. Стоит ли переезжать с русской на английскую? Есть ли какие-нибудь грабли с переездом с русской редакции на английскую? Последний вопрос. После обновления ОС на контроллере домена, нужно ли менять имя сервера или оставить старое? По идее информация о старом сервере должна удалятся из active directory если контроллер был корректно понижен. Был случай, приходилось принудительно удалять контроллер домена и вычищать записи о нем. Люди советовали в таких случаях сменить имя сервера для нового контроллера, т.к. не все записи могли быть удалены из active directory. Благодарю.
@YuriyLebedev 5 жыл бұрын
> Не могли бы вы ответить на пару вопросов? Постараюсь. > Стоит ли переезжать с русской на английскую? Есть ли какие-нибудь грабли с переездом с русской редакции на английскую? Несколько раз проделывал подобное, проблем не было, технически начиная с Windows Server 2008 все возможные сложности устранены. А стоит ли переезжать на английскую - решать вам. > После обновления ОС на контроллере домена, нужно ли менять имя сервера или оставить старое? Имя сервера менять не нужно. > Был случай, приходилось принудительно удалять контроллер домена и вычищать записи о нем. Такое обычно диагностируется при помощи dcdiag.exe до начала процедуры понижения, а про очистку доменных служб Active Directory при помощи ntdsutil.exe я делал отдельный веб-каст. > Люди советовали в таких случаях сменить имя сервера для нового контроллера, т.к. не все записи могли быть удалены из active directory. И вновь dcdiag.exe покажет вам если что-то не удалено. А способ с переименованием - очень плохой самый лучший вариант.
@МихаилДемидов-щ1з 5 жыл бұрын
Благодарю.
@it-eng6636 7 жыл бұрын
Юрий, спасибо. Если дефолтные политики в домене отвязаны от своих OU - обновляться без них можно? И второе. Как PKI AD отреагирует на апгрейд до 2016?
@YuriyLebedev 7 жыл бұрын
Привязка Default Domain Policy и Default Domain Controller Policy на обновление никак не повлияют. PKI AD - это Active Directory Certificate Services? Здесь важно сколько уровней в иерархии и какие версии операционной системы используются.
@vagiff1984 7 жыл бұрын
Юрий, а как быть с ад 2016 и roaming profiles rds? не повышать уровень домена до 2016 а только до 2012r2?
@DenyTornado 3 жыл бұрын
Добрый день! А с чем связан Ваш вопрос по Roaming Profiles? Что-то не поддерживается в более новой ОС? У нас просто все пользователи Remote Profiles. Вот надо обновляться до 2019 уже ОС на DC. Вот собираю информацию не будет ли какой-то несовместимости с текущей инфраструктурой
@maksnikiforoff578 7 жыл бұрын
Добрый день. Понижение уровня леса и домена с 2016 через PowerShell поддерживается ?
@YuriyLebedev 7 жыл бұрын
Если быть точным, то откат (Rollback) функциональных уровней домена (DFL) и леса (FFL), поддерживается начиная с Windows Server 2008 R2, откатываться можно до Windows Server 2008. Про это есть соответствующий веб-каст «Откат функциональных уровней домена и леса в Windows Server 2012 R2» у меня на сайте: sites.google.com/site/lebedevum/voprosy-i-otvety/winsrv2012/fl-rollback
@maksnikiforoff578 7 жыл бұрын
Спасибо.
@victorkhrapko459 7 жыл бұрын
Добрый день По вашим видеоблогам я перевел свой домен (где были дк 2003 и 2008р2). Точнее я добавил дк 2012 и убрал дк2003. Вроде бы неделя и полет нормальный. Правда было непонятное зависание дк 2008 (он хозяин всего) ночью, после изменения функционального уровня домена до 2008r2. Но вроде бы это решилось простой перезагрузкой сервера. Наступила пора поднять дк2016. И несколько вопросов 1. Если я обновлю схему репликации с FRS на DFS. Не повлияет ли это на работу компов со старыми ОС ( NT, ХР, 2003) 2. Смогут ли эти компы нормально использовать групповые политики. 3. Давным давно у меня были установлены сервера ДНС на Линукс. Когда я переходил с контролера НТ на 2003 все записи Виндовс ДНС как то скопировались в линукс. Я не могу вспомнить, что у меня было настроено. Сейчас при удалении 2003 и добавлении 2012 никаких изменений на линукс ДНС не происходит. Подскажите, может я должеy включить разрешение передачи зон на Виндовс ?????? 4. В настройках ДНС, зона _msdc.х.х.х\gc пристуствуют записи А и АААА для домен контролеров. И еще одна запись АААА с непонятным адресом fe80;....... Не знаю, что за запись. Можно ли ее удалить ??????? 5. При dcdiag /test:dns выводятся сообщения об отсутсвии записей АААА для домен контролеров. Как решить это. Или можно просто игнорировать.
@victorkhrapko459 7 жыл бұрын
Вдогонку. Запись с адресом fe80....... возможно я сам добавил. Как то ремонтировал ДНС. Но вот теперь не знаю, что с ней делать. Кстати этот адрес и не пингуется. Вообще непонятный.
@victorkhrapko459 7 жыл бұрын
И еще вдогонку. ДК 2008 не завис полностью после изменения ф-ционального уровня. Он перестал пинговаться. При этом все на нем открывалось. Но в логах ничего не было о проблемах.
@YuriyLebedev 7 жыл бұрын
Она там не нужна от слова совсем.
@YuriyLebedev 7 жыл бұрын
Тут нужно смотреть журналы, особенно системный, если он еще остался.
@YuriyLebedev 7 жыл бұрын
Добрый день. 1. Режим репликации SYSVOL (FRS/DFS) влияет только на взаимодействие и распространение контента между контроллерами домена, конечные устройства работают по SMB. Но с NT 3/4 есть серьезные ограничения по поддерживаемым методам взаимодействия в связи с устареванием их криптографических алгоритмов (в видео на 18:50 первое предупреждение). 2. Если шаблон (ADM/ADMX) к ним применим смогут, такие вещи как предпочтения не работают на NT/2000 совсем. 3. Если вы используете передачу зон DNS, то она включается отдельно на каждом DNS-сервере в свойствах зоны. WS 2012/2012R2/2016 может использовать любые методы передачи AXFR/IXFR, а также быструю передачу для BIND 8.1 и старше, более младшие версии имеют ограничения. Но AXFR работает практически всегда, в том числе с BIND младше 4-ой версии. 4. fe80::/64 - это Link-Local IPv6 Address, аналог APIPA в IPv4, смотрите видео по IPv6 в Windows 7, там есть ответ на этот вопрос. Не совсем понятно, что этот адрес делает в зоне _msdc, нужно смотреть журналы и делать dcdiag. 5. Начните с отключения стека IPv6, судя по пункту выше вы его не используете и у вас с ним не все в порядке. Также нужно смотреть журналы, контроллер домена многие записи в DNS обновляет во время запуска, что-то явно работает некорректно.
@greyeminence8878 5 жыл бұрын
Молодец автор. Но у меня произошел затык на 19 минуте..... при repadmin.exe /kcc Всем кто будет смотреть видео, и просьба автора вставить сылку на вот это решение. docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers У тебя нет решения когда ошибка, у тебя все гуд!!!!
Yuriy Lebedev
Рет қаралды 18 М.
Профессор Нимнул
Рет қаралды 14 М.