При установке дополнительного контроллера домена вместо репликации данных по сети можно выполнить установку с носителя. Носитель для установки может храниться на локальном диске, съемном носителе, например диске DVD, или в общей сетевой папке.

Создание дополнительного контроллера с помощью установки с носителя заметно снижает пропускную способность сети, используемую при установке службы AD DS (Active Directory Domain Services). Но подключение к сети все же необходимо, так как на новый контроллер домена должны быть реплицированы все новые объекты и последние изменения существующих объектов.

Если выбран вариант копирования сведений о домене по сети, все данные службы AD DS будут копироваться через сетевое подключение. Если нужно выполнить репликацию данных для большого домена, можно щелкнуть Отложить выполнение репликации на странице выполнения, появляющейся после окончания работы с мастером, чтобы отложить некритическую репликацию. Если решено отложить некритическую репликацию, мастер установки службы AD DS продолжит выполнять установку и настройку DNS. Мастер также установит консоль управления групповой политикой.

Создание носителя для установки службы AD DS

Рекомендуемым способом создания носителя для установки служб AD DS является использование программы Ntdsutil.exe, встроенной в Windows Server 2008 R2 и доступной при установленной роли сервера AD DS. Средство ntdsutil включает новую подкоманду ifm, создающую только файлы, необходимые для установки служб AD DS.

Вместо программы Ntdsutil.exe можно использовать резервную копию состояния системы в качестве носителя для установки, но резервная копия состояния системы для контроллера домена обычно включает больше данных, чем требуется для выполнения установки с носителя.

Кроме того, рекомендуется использовать подкоманду ntdsutil ifm, поскольку она позволяет удалить секретные данные, такие как пароли, из базы данных служб AD DS, давая возможность установить контроллер домена только для чтения (RODC). При удалении этих секретных данных транспортировка носителя для установки в филиал для установки RODC становится безопаснее.

Для установки RODC необходимо использовать установочный носитель RODC. Такой носитель можно создать как на контроллере домена только для чтения, так и на доступном для записи контроллере. Чтобы установить доступный для записи контроллер домена, необходимо использовать только соответствующий ему установочный носитель. Такой носитель можно создать только на доступном для записи контроллере домена. В подкоманде ntdsutil ifm установочный носитель доступного для записи контроллера домена обозначается как полный («full») носитель. Дополнительные сведения об использовании подкоманды ntdsutil ifm см. в статье «Установка доменных служб Active Directory с носителей» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=93104).

При использовании в качестве носителя для установки службы AD DS резервной копии другого контроллера домена используйте самую новую из доступных резервных копий. Более старые копии потребуют большей загрузки сети для репликации. Используемая резервная копия не может быть старше, чем максимальное время жизни домена, по умолчанию установленное равным 180 дням (60 дней в лесу, созданном на сервере с операционной системой Windows Server 2003 или более ранней).

Если выбрана возможность скопировать данные домена из восстановленных файлов резервных копий, необходимо сначала создать резервную копию состояния системы для контроллера домена, в котором этот рядовой сервер станет дополнительным контроллером домена. Далее необходимо восстановить резервную копию локально на сервере, на который устанавливается служба AD DS.

Если нужно использовать разделы приложений, доступные на установочном носителе, при запуске программы dcpromo во время автоматической установки можно задать параметр /ApplicationPartitionsToReplicate. Укажите *, чтобы включить все доступные разделы приложений. Например, чтобы использовать все доступные приложения для дополнительного контроллера домена, можно ввести в командной строке следующую команду, а затем нажать клавишу ВВОД:

dcpromo /unattend /ReplicaOrNewDomain:Replica /ApplicationPartitionsToReplicate:*

Если нужно, чтобы новый контроллер домена был сервером глобального каталога, можно либо использовать носитель для установки, созданный на сервере глобального каталога, либо реплицировать данные глобального каталога на новый контроллер домена по сети.


Содержание