< meta name="referrer" content="origin">
Home » Windows » Настройка контроллеров домена в разных подсетях

Настройка контроллеров домена в разных подсетях

У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.

Из этой статьи вы узнаете:

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

  • Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
  • Устанавливаем контроллер домена во второй подсети и добавляем его в домен
  • Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться xs.local

Настройка контроллеров домена для работы в разных подсетях

Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv. Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1:

Контроллер домена dns

Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv. Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.

В xs-winsrv добавляем строку:

10.1.4.6   xm-winsrv

В xm-winsrv добавляем:

10.1.3.4   xs-winsrv

Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:

active-directory2

Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv, который мы будем добавлять в домен:

Пинг контроллера домена

Дальше нам нужно на первом контроллере домена в оснастке Active-Directory — сайты и службы создать 2 подсети и 2 сайта, привязать к каждому сайту соответствующую ему подсеть:

Active-Directory - сайты и службы

После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.

Добавление второго контроллера домена из другой подсети

Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен, указываем наш домен xs.local:

Добавление второго контроллера домена

 

На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:

Параметры контроллера домена

Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC). Дальше все настройки оставляем по-умолчанию.

После перезагрузки сервера, он окажется в домене xs.local. Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:

active directory сайты и службы

На этом все. Можно добавлять компьютеры в обоих офисах в домен.

Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.

Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.


Помогла статья? Есть возможность отблагодарить автора

4 комментария

  1. » Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.»
    Но черт возьми, Холмс!
    Зааачееем?
    У вас второй сервер прекрасно найдет первый, используя DNS. Какие hosts файлы, зачем? DNS, у нас появился со времен 2000й винды, и хостс нужен максимум создать для теста на машине девелопера потестить что-то или заспуфить временно. Ужас просто пишете, а люди потом не включая голову повторят все тоже.

    • Не понял, а в чем проблема? Я сейчас не могу точно вспомнить, зачем я это делал, но раз делал, значит было нужно. Возможно пинг по имени сервера не проходил по какой-то причине. Я знаю, что при настройке hyper-v мне тоже приходилось добавлять вручную сервер в файл hosts, чтобы оснастки нормально подключались к гипервизору и позволяли им управлять.

  2. Проблема в том, что имея работоспособную службу доменных имен, которая разрешит вам хоть короткое имя сервера, хоть FQDN, вы сделали какие-то адские, лютые костыли. Представьте только, сколько будет потрачено времени на выискивание таких вот не очевидных вещей. Вы уж простите, но я еще раз повторю, если у вас есть DNS на контроллерах, то имена у вас разрешаются прекрасно. Хотите еще себе дополнительное имя- так добавьте его в DNS, но не в hosts же.
    >>Я знаю, что при настройке hyper-v мне тоже приходилось добавлять вручную сервер в файл hosts, чтобы оснастки нормально подключались к гипервизору и позволяли им управлять.
    А зачем? Машина ваша не в домене была, с которой управляли? Хотелось по короткому имени работать? Ну, есть тайное знание как прописывание суффикса дополнительного на сетевом адаптере, если нужно разрешение имен, или просто добавление его для рабочей станции.

  3. Евгений

    Здравствуйте.
    Я тоже не понял, зачем трогать hosts. Поднимаем xs-winsrv , повышаем до КД и настраиваем на нем DNS. На сервере xm-winsrv в качестве первичного DNS указываем IP первого и после этого повышаем его КД. xm-winsrv прекрасно находит домен и там регистрируется. При этом Windows должен сам в качестве вторичного DNS прописать 127.0.0.1. Такая настройка DNS должна быть на обоих серверах, первичный DNS IP второго КД, вторичный 127.0.0.1. Это нужно что бы при старте сервера, когда еще на запустилась служба DNS, домен был доступен.
    Оба КД будут размещается на одном сайте(Default-First-Site-Mane). После этого идем в Сайты и службы, создаем второй сайт, создаем Subnet и привязываем их сайтам. Перемещаем (меню по правой кнопке мыши -переместить) xm-winsrv на второй сайт. При желании Default-First-Site-Mane можно переименовать.
    Нужно помнить , что репликация AD в пределах одного сайта, происходит каждые 10-15 минут, а между сайтами , где то раз в 2-3 часа.
    Это нужно учитывать , на пример при заведении нового пользователя. Что бы он смог сразу войти его нужно заводить на соответствующем КД. На компьютерах пользователей , в качестве первичного DNS должен быть указан КД того сайта , где он регистрируется, вторичный DNS , соответственно , другой КД.
    Я наступил на эти грабли (переименовал КД и не дождался окончания репликации AD) AD «встал раком». Для того , что бы понять в чем проблема потратил целый день лазанья по форумам. Окончание репликации можно отслеживать через отчеты DFS.
    И дополнительно я бы хотел сказать зачем это нужно. В принципе все будет работать если ода КД будут в одном сайте но есть как минимум две причины сделать так. Первая, пользователи второй площадки не смогут зарегистрироваться если упадет VPN, и вторая регистрация будет проходить значительно быстрее.
    С наилучшими Пожеланиями!

Добавить комментарий

Ваш e-mail не будет опубликован.