Рассмотрим следующую ситуацию: в вашей компании имеется удаленный филиал. В филиале вы планируете установить новый дополнительный контроллер домена. Канал передачи между головным офисом и филиалом не очень скоростной и производительный. Соответственно, скорость передачи данных между двумя контроллерами будет достаточно низкая. А теперь вспомните тот факт, что размер файл Active Directory (ntds.dit) нередко имеет бывает очень большим(порядка нескольких десятков Гб).
Если вы устанавливаете дополнительный контроллер домена в Active Directory в филиале классическим способом, то представьте сколько времени (часов или дней) потребуется для завершения синхронизации нового DC.
По этой причине Microsoft предлагает разворачивать DC используя метод установки нового DC с носителя – Install From Media (IFM). Таким образом, существенно сокращается время необходимое на репликацию.
Фактически, создается отдельный файл с данными Active Directory. Сначала данные существующего контроллера домена (DC головного офиса) экспортируются в файл, затем данный файл на носителе (защищенном диске или флешке), передается в филиал, а затем происходит импорт этих данных в новый DC (DC филиала). Таким образом, потребуется только синхронизировать изменения, которые были внесены за время экспорта данных с первичного DC.
Прежде чем приступить к процессу установки нового DC используя метод установки с носителя (IFM), вам необходимо знать и учитывать основные особенности:
- Метод IFM нельзя использовать для первоначальной установки DC
- Метод IFM применяется для DC находящихся в одном домене AD
- Для использования медиа файла (media file) оба DC должны серверами глобального каталога Global Catalog (GC)
- Если вы разворачиваете RODC (Read Only Domain Controller), media file создается из существующего DC (обычный RW контроллер домена), либо из существующего RODC
- При использовании метода IFM создается временная базы данных в каталоге %TMP%, поэтому следует заранее освободить достаточное количество свободного места на диске
Используя Windows Server 2016 и утилиту NTDSUtil.exe, вы можете создать два типа файла-носителя: полный (записываемый) DC или RODC. Следует знать, что в Windows Server 2008 R2 есть еще два варианта: полноценный DC с SYSVOL и RODC с SYSVOL.
Установка Active Directory при помощи метода Install From Media (IFM)
Как вы, уже поняли, процесс выполняется в два основных этапа:
Первый выполняется на существующем контроллере домена, на котором нужно будет экспортировать базу AD в media file
Второй выполняется на новом DC или RODC.
На имеющемся контроллере домена
Для создания медиа файл носителя мы воспользуемся консольной утилитой NTDSUtil. Все доступные параметры команд, можно увидеть, дописав в командной строке опцию help.
Откройте командную строку с правами администратора, затем введите команду ntdsutil и нажмите Enter.
Далее ввести команду activate instance ntds .
После этого необходимо ввести IFM .
Чтобы создать media file для DC, введите create full <-path>
Чтобы создать media file для RODC, введите create rodc <-path>
Чтобы создать media file с SYSVOL, введите create sysvol full <-path>
Чтобы создать носитель с SYSVOL для RODC, введите create sysvol rodc <-path>
Где <-path> это путь до каталога, в котором будет создан media файл.
Как вы видите, будет создан снаншот базы AD в файлы ntds.dit и скопирован в указанный каталог. После того, как файл будет создан и записан в указанный ранее каталог появиться сообщение: «IFM media created successfully in….»
Для завершения работы утилиты NTDSUtil вводим команду quit и нажимаем «Enter».
После этого перейдите в каталог IFM и убедитесь, что все файлы были успешно созданы.
Затем скопируйте данный каталог на любой носитель (диск, USB флешку и т.д).
На новом контроллере домена
Убедитесь, что съемный диск содержащий media file подключен к серверу, или media file был скопирован в локальную (сетевую) папку.
Далее, необходимо установить роль Active Directory Domain Services. Сделать это можно при помощи Server Manager либо в PowerShell.
Давайте сразу перейдем к окну «Active Directory Domain Services Configuration Wizard». В этом окне вам необходимо выбрать пункт «Add a domain controller to an existing domain», так как новый DC должен находиться в том же домене где и старый, с которого вы экспортировали данные.
Когда вы перейдете к «Deployment Configuration Wizard», в разделе «Additional Options» поставьте галочку напротив «Install from media» и выберите каталог, в котором расположен media file. Для проверки нажмите кнопку «Verify». Если файл отсутствует или поврежден система выдаст предупреждение.
В разделе «Review Options» вы увидите указанный каталог.
Затем, завершите работу мастера и после перезагрузки системы процесс создания нового контроллера домена будет почти завершен. Теперь остается только реплицировать объекты, которые были изменены с момента создания файла.
Хочу заметить, что не следует затягивать процесс импорта данных в новый контроллер домена более чем на 30 дней с момента создания файла.
