Настройка контроллеров домена в разных подсетях. Что такое домен

Windows Server 2003 и затем, убедившись в том, что эти серверы загружаются должным образом и не имеют проблем, вы можете приступать к задачам создания контроллеров домена (DC) и других системных серверов. Более того, если вы модернизируете свое оборудование одновременно с модернизацией операционной системы, то можете заказать, чтобы ваш привычный поставщик оборудования заранее устанавливал Windows Server 2003 без необходимости именования и конфигурирования контроллеров домена.

Установка первого контроллера домена (DC) в новом домене

Чтобы установить Active Directory (AD), откройте Manage Your Server (Управление вашим сервером) из меню Start (Пуск) и щелкните на Add or Remove a Role (Добавление или удаление роли), чтобы запустить мастер Configure Your Server Wizard (Конфигурирование вашего сервера). В окне Server Role (Роль сервера) выберите Domain Controller (Active Directory), чтобы запустить мастер Active Directory Installation Wizard . Щелкните на кнопке Next, чтобы продолжить работу с мастером, используя следующие инструкции для установки вашего первого DC.

1. В окне Domain Controller Type (Тип контроллера домена) выберите Domain Controller For A New Domain (Контроллер домена для нового домена).
2. В окне Create New Domain (Создание нового домена) щелкните на Domain in a new forest (Домен в новом лесу).
3. На странице New Domain Name (Имя нового домена) введите полностью уточненное доменное имя ( FQDN ) для этого нового домена. (То есть введите companyname.com , но не companyname .)
4. В окне NetBIOS Domain Name (NetBIOS-имя домена) проверьте это NetBIOS-имя (но не FQDN ).
5. В окне Database and Log Folders (Папки для базы данных и журнала) согласитесь с местоположением для папок базы данных и журнала или щелкните на кнопке Browse (Обзор), чтобы выбрать другое место, если у вас есть причина для использования другой папки.
6. В окне Shared System Volume (Разделяемый системный том) согласитесь с местоположением папки Sysvol или щелкните на кнопке Browse, чтобы выбрать другое место.
7. В окне DNS Registration Diagnostics (Диагностика регистрации DNS), проверьте, будет ли существующий сервер DNS подходящим для этого леса, или, если нет никакого сервера DNS, выберите опцию установки и конфигурирования DNS на этом сервере.
8. В окне Permissions (Полномочия) выберите один из следующих вариантов полномочий (в зависимости от версий Windows на клиентских компьютерах, которые будут выполнять доступ к этому DC).
   • Полномочия, совместимые с операционными системами до Windows 2000.
   • Полномочия, совместимые только с операционными системами Windows 2000 или Windows Server 2003.
9. Просмотрите информацию окна Summary (Сводка), и если вам нужно что-то изменить, щелкните на кнопке Back (Назад), чтобы изменить свои опции. Если все в порядке, щелкните на кнопке Next, чтобы начать установку.

После копирования всех файлов на ваш жесткий диск перезагрузите компьютер.

Установка других контроллеров домена (DC) в новом домене

Вы можете добавить любое число других DC в своем домене. В случае преобразования существующего рядового сервера в DC помните, что многие опции конфигурации исчезнут. Например, в этом случае будут удалены локальные пользовательские учетные записи и криптографические ключи. Если на этом рядовом сервере хранение файлов происходило с помощью EFS , то вы должны отменить шифрование. На самом деле после отмены шифрования вам следует переместить эти файлы на другой компьютер.

Чтобы создать и сконфигурировать другие DC в вашем новом домене, запустите мастер Active Directory Installation Wizard , как это описано в предыдущем разделе. Затем выполните шаги этого мастера, используя следующие указания.

1. В окне Domain Controller Type выберите Additional Domain Controller For An Existing Domain (Дополнительный контроллер домена для существующего домена).
2. В окне Network Credentials (Сетевые опознавательные данные) введите пользовательское имя, пароль и домен, указывающие пользовательскую учетную запись, которую вы хотите использовать для этой работы.
3. В окне Additional Domain Controller введите полное DNS-имя существующего домена, где данный сервер станет контроллером домена.
4. В окне Database and Log Folders согласитесь с местоположением для папок базы данных и журнала или щелкните на кнопке Browse (Обзор), чтобы выбрать место, отличное от установки по умолчанию.
5. В окне Shared System Volume согласитесь с местоположением папки Sysvol или щелкните на кнопке Browse, чтобы выбрать другое место.
6. В окне Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления служб каталога) введите и подтвердите пароль, который вы хотите назначить учетной записи администратора этого сервера. (Эта учетная запись используется в случае загрузки компьютера в режиме Directory Services Restore Mode.)
7. Просмотрите информацию окна Summary, и если все в порядке, щелкните на кнопке Next, чтобы начать установку. Щелкните на кнопке Back, если вы хотите изменить какие-либо настройки.

Конфигурация системы адаптируется к требованиям для контроллера домена, после чего инициируется первая репликация. После копирования данных (это может занять определенное время, и если ваш компьютер находится в защищенном месте, то вы можете сделать для себя перерыв) щелкните на кнопке Finish в последнем окне мастера и перезагрузите компьютер. После перезагрузки появится окно мастера Configure Your Server Wizard, где объявляется, что теперь ваш компьютер стал контроллером домена. Щелкните на кнопке Finish, чтобы завершить работу мастера, или щелкните на одной из ссылок в этом окне, чтобы получить дополнительные сведения о поддержке контроллеров домена.

Создание дополнительных контроллеров домена (DC) путем восстановления из резервной копии

Вы можете быстро создавать дополнительные DC Windows Server 2003 в том же домене, что и какой-либо существующий DC, путем восстановления из резервной копии работающего DC Windows Server 2003. Для этого требуются только три шага (которые подробно описываются в следующих разделах).

1. Резервное копирование состояния системы существующего DC Windows Server 2003 (назовем его ServerOne) в том же домене.
2. Восстановление состояния системы в другом месте, т.е. на компьютере Windows Server 2003, который вы хотите сделать контроллером домена (назовем его ServerTwo).
3. Повышение статуса целевого сервера (в данном случае ServerTwo) до уровня DC с помощью команды DCPROMO /adv , введенной из командной строки.

Эту последовательность можно применять во всех сценариях: установка нового домена Windows Server 2003, модернизация домена Windows 2000 и модернизация домена Windows NT. После установки Windows Server 2003 на каком-либо компьютере, вы можете сделать этот компьютер контроллером домена (DC) с помощью данного способа.

Это особенно полезно, если ваш домен содержит несколько сайтов и ваши DC реплицируются через глобальную сеть (WAN), что намного медленнее, чем передача данных через кабель Ethernet. Когда происходит установка нового DC в удаленном сайте, первая репликация тянется очень долго. При данном способе отпадает необходимость в этой первой репликации, а в последующих репликациях копируются только изменения (что занимает намного меньше времени).

В следующих разделах приводятся инструкции по созданию DC этим способом.

Запустите Ntbackup.exe (из меню Administrative Tools или из диалогового окна Run) и выберите следующие опции в окнах мастера.

1. Выберите Back Up Files and Settings (Резервное копирование файлов и настроек).
2. Выберите Let Me Choose What To Back Up (Я выберу сам то, что нужно копировать).
3. Установите флажок System State (Состояние системы).
4. Выберите местоположение и имя для файла резервной копии. Я использовал разделяемую точку в сети и назвал файл DCmodel.bkf (файлы резервных копий имеют расширение имени .bkf ).
5. Щелкните на кнопке Finish.

Ntbackup выполнит резервное копирование состояния системы в указанном вами месте. Вам потребуется доступ к этой резервной копии с целевых компьютеров, поэтому проще всего использовать разделяемый ресурс сети или записать файл резервной копии на диск CD-R.

Восстановление состояния системы на целевом компьютере

Чтобы восстановить состояние системы на компьютере Windows Server 2003, который вы хотите сделать контроллером домена, перейдите на этот компьютер (он должен иметь доступ к файлу резервной копии, который вы создали на исходном компьютере). Запустите на этом компьютере Ntbackup.exe и выберите следующие опции в окнах мастера.

1. Выберите Restore Files and Settings (Восстановление файлов и настроек).
2. Укажите местоположение файла резервной копии.
3. Установите флажок System State.
4. Щелкните на кнопке Advanced (Дополнительно).
5. Выберите в раскрывающемся списке вариант Alternate Location (Другое место) и введите местоположение на локальном жестком диске (например, вы можете создать папку с именем ADRestore на диске C).
6. Выберите вариант Replace Existing Files (Заменить существующие файлы).
7. Установите флажки Restore Security Settings (Восстановить настройки безопасности) и Preserve Existing Volume Mount Points (Сохранить существующие точки монтирования томов).
8. Щелкните на кнопке Finish.

Ntbackup восстанавливает состояние системы в пяти подпапках в том месте, которое вы указали в мастере. Имена этих папок соответствуют следующим именам компонентов состояния системы:

• Active Directory (база данных и файлы журналов)
• Sysvol (политики и скрипты)
• Boot Files (Файлы загрузки)
• Registry (Реестр)
• COM+ Class Registration Database (База данных регистрации классов COM+)

Если вы запускаете программу DCPROMO с новым ключом /adv , то она ищет эти подпапки.

В диалоговом окне Run (Выполнить) введите dcpromo /adv , чтобы запустить мастер Active Directory Installation Wizard . Используйте следующие инструкции, чтобы сделать свой выбор в каждом окне этого мастера.

1. Выберите вариант Additional Domain Controller for Exiting Domain.
2. Выберите вариант From These Restored Backup Files (Из следующих восстановленных файлов резервной копии) и укажите местоположение на локальном диске, где вы хотите восстановить резервную копию. Это должно быть место, где находятся приведенные выше пять подпапок.
3. Если исходный DC содержит глобальный каталог, то появится окно мастера, где спрашивается, хотите ли вы поместить глобальный каталог на этот DC. Выберите ответ Yes или No в зависимости от ваших планов конфигурирования. Процесс создания DC будет проходить несколько быстрее, если выбрать ответ Yes, но вы можете решить, что глобальный каталог нужно держать только на одном DC.
4. Введите опознавательные данные, позволяющие выполнить эту работу (имя и пароль администратора).
5. Введите имя домена, в котором будет действовать этот DC. Это должен быть домен, членом которого является исходный DC.
6. Введите местоположения для базы данных Active Directory и журналов (лучше всего использовать местоположения, заданные по умолчанию).
7. Введите местоположение для SYSVOL (и здесь лучше всего использовать местоположение по умолчанию).
8. Введите пароль администратора, чтобы использовать его на тот случай, если придется загружать этот компьютер в режиме Directory Services Restore Mode.
9. Щелкните на кнопке Finish.

Dcpromo повысит статус этого сервера до контроллера домена, используя данные, содержащиеся в восстановленных файлах, а это означает, что вам не придется ждать, пока будет выполнена репликация каждого объекта Active Directory с существующего DC на этот новый DC. Если какие-либо объекты будут изменены, добавлены или удалены после того, как вы начнете этот процесс, то при следующей репликации это будет вопросом нескольких секунд для нового DC.

По окончании этого процесса перезагрузите компьютер. После этого вы можете удалить папки, содержащие восстановленную резервную копию.

Основным элементом эффективной корпоративной сети является контроллер домена Active Directory, управляющий многими службами и дающий многие преимущества.

Есть два пути построения ИТ-инфраструктуры - стандартный и случайный, когда прикладываются минимально достаточные усилия для решения возникающих задач, без построения четкой и надежной инфраструктуры. Например, построение одноранговой сети во всей организации и открытие общего доступа ко всем нужным файлам и папкам, без возможности контроля действий пользователей.

Очевидно, этот путь нежелателен, так как в конце концов придется разбирать и правильно организовывать хаотическое нагромождение систем, иначе оно не сможет функционировать - и ваш бизнес вместе с ним. Поэтому, чем раньше вы примете единственно правильное решение строить корпоративную сеть с контроллером домена - тем лучше для вашего бизнеса в долговременной перспективе. И вот почему.

“Домен — базовая единица ИТ-инфраструктуры на базе ОС семейства Windows, логическое и физическое объединение серверов, компьютеров, оборудования и учетных записей пользователей.”

Контроллер домена (КД) - отдельный сервер с ОС Windows Server, на котором запущены службы Active Directory, делающие возможной работу большого количества ПО, требующего КД для администрирования. Примерами такого ПО является почтовый сервер Exchange, облачный пакет Office 365 и другие программные среды корпоративного уровня от компании Microsoft.

Помимо обеспечения корректной работы этих платформ, КД дает бизнесу и организациям следующие преимущества:

• Развертывание терминального сервера . позволяет значительно сэкономить ресурсы и усилия, заменяя постоянное обновление офисных ПК единоразовой инвестицией в размещение “тонких клиентов” для подключения к мощному облачному серверу.
• Повышенная безопасность . КД позволяет задавать политики создания паролей и заставлять пользователей применять более сложные пароли чем дата своего рождения, qwerty или 12345.
• Централизованный контроль прав доступа . Вместо ручного обновления паролей на каждом компьютере отдельно, администратор КД может централизованно сменить все пароли за одну операцию с одного компьютера.
• Централизованное управление групповыми политиками . Средства Active Directory позволяют создать групповые политики и задать права доступа к файлам, папкам и другим сетевым ресурсам для определенных групп пользователей. Это в разы упрощает настройку учетных записей новых пользователей или изменение параметров существующих профилей.
• Сквозной вход . Active Directory поддерживает сквозной вход, когда при вводе своего логина и пароля для домена, пользователь автоматически подключается ко всем остальным службам типа почты и Office 365.
• Создание шаблонов настройки компьютеров . Настройка каждого отдельного компьютера при добавлении его в корпоративную сеть может быть автоматизирована с помощью шаблонов. Например, с помощью специальных правил могут быть централизованно отключены CD-приводы или USB-порты, закрыты определенные сетевые порты и так далее. Таким образом, вместо ручной настройки новой рабочей станции, администратор просто включает ее в определенную группу, и все правила для этой группы применятся автоматически.

Как видите, настройка контроллера домена Active Directory несет многочисленные удобства и преимущества для бизнеса и организаций любого размера.

Когда внедрять контроллер домена Active Directory в корпоративную сеть?

Мы рекомендуем задуматься о том, чтобы настроить контроллер домена для вашей компании уже при подключении в сеть более 10 компьютеров, так как гораздо легче задать необходимые политики для 10 машин, чем для 50. Кроме того, так как этот сервер не выполняет особо ресурсоемких задач, на эту роль вполне может подойти мощный настольный компьютер.

Однако важно помнить, что на этом сервере будут храниться пароли доступа к сетевым ресурсам и база данных пользователей домена, схема прав и групповых политик пользователей. Необходимо развернуть резервный сервер с постоянным копированием данных для обеспечения непрерывности работы контроллера домена, а это сделать гораздо быстрее, проще и надежнее используя серверную виртуализацию, предоставляемую при размещении корпоративной сети в облаке. Это позволяет избежать следующих проблем:

• Ошибочные настройки DNS-сервера , что приводит к ошибкам локации ресурсов в корпоративной сети и в сети Интернет
• Некорректно настроенные группы безопасности , приводящие к ошибкам прав доступа пользователей к сетевым ресурсам
• Некорректные версии ОС . Каждая версия Active Directory поддерживает определенные версии десктопных ОС Windows для тонких клиентов
• Отсутствие или неправильная настройка автоматического копирования данных на резервный контроллер домена.

Один из вариантов построения локальной сети – это сеть на основе сервера . Подобного рода сети используются в том случае, когда количество компьютеров превышает 15-20 штук. В такой ситуации уже неуместно использовать так называемые рабочие группы , поскольку одноранговая сеть с таким количеством узлов не может обеспечить необходимый уровень управляемости и контроля. В этом случае функции контроля лучше возложить на управляющий сервер – .

Для управления работой сервера используются специальные версии операционной системы с расширенными функциями администрирования. Примерами таких операционных систем являются Windows Server 2008 или Windows Server 2012 .

После установки на отдельный компьютер серверной операционной системы, прежде чем она сможет организовать работу локальной сети, требуется произвести определенные настройки. Серверная операционная система представляет собой универсальный механизм с очень широкими возможностями, или, как их часто называют, ролями. Одной из таковых ролей, причем, наверное, самой сложной и ответственной, является . Если вы планируете получить эффективный механизм управления пользователями сети, его придется в любом случае настроить.

Создание контроллера домена влечет за собой установку такого системного механизма, как Active Directory – основного средства создания, настройки и управления учетными записями пользователей и компьютеров локальной сети. Кроме того, как правило, на контроллер домена сразу же добавляются роли и , что делает сервер законченным и готовым к использованию продуктом.

Одним из безусловных плюсов доменной системы является возможность гибкой настройки групповых политик, с помощью которых можно ограничивать доступ не только к программной, но и к аппаратной части компьютера. Например, легко можно запретить использование DVD-привода, флеш-накопителей и т.д. Групповая политика начинается в момент входа пользователя в сеть, поэтому ему никак не удастся обойти эти ограничения.

Контроллер домена – наиболее важное и уязвимое место локальной сети, поэтому рекомендуется создавать резервный контроллер. В этом случае дополнительный контроллер домена получает название вторичного, а главный домен становится первичным контроллером домена. Периодически происходит синхронизация данных учетных записей и прав доступа, поэтому в случае выхода из строя первичного контроллера – сразу же подключается вторичный, и работа в сети не прерывается ни на секунду. Кроме того, необходимо обеспечивать пассивную защиту домена путем установки на сервер источника бесперебойного питания.

В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:

1) Основной контроллер домена, ОС — Windows Server 2012 R2 with GUI, сетевое имя: dc1.

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS — это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

Теперь настроим службу DHCP. Запускаем оснастку.

Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

Далее укажем начальный и конечный адрес диапазона сети.

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.

Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу «DnsUpdateProxy». Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

Нажимаем Credentials и указываем там нашего пользователя DHCP.

Нажимаем ОК, перезапускаем службу.

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум и контроллеры домена.

Так уж получилось в нашей организации, что инфраструктуру надо было делать быстро, а на покупку лицензий требовалось время. Поэтому было решено использовать образы Windows Server 2012R2 Evaluation, а после тестового периода уже лицензировать. Тогда еще никто не знал, что нельзя просто так взять, прописать лицензию Standard в релизе Evaluation, и на выходе получить лицензионный Standard, иначе, думаю, сначала бы все таки купили лицензии. Но делать нечего, что имеем, с тем и работаем. Итак.

Задача: после покупки лицензий Microsoft на Windows server 2012R2 Standard необходимо активировать их на наших серверах. Приступаем.

При выполнении задачи была обнаружена проблема. Так как изначально мы устанавливали Windows server 2012R2 Standard Evaluation, то при попытке прописать ключ для Standard - сервер говорит, что ему этот ключ не подходит. Начали поиск решения проблемы перевода сервера из версии Evaluation в Standard. Ответ был найден на сайте microsoft в статье TechNet .

Частично статья помогла решить проблему. Мы смогли поменять версию на трех физических серверах и активировать их нашими лицензиями. Но, к сожалению, не все так просто складывалось с контроллерами домена. В вышеуказанной статье прямым текстом говорится, что контроллеры домена НЕВОЗМОЖНО перевести из выпуска Evaluation в Standard. Нам же это необходимо сделать в самые кратчайшие сроки, т.к. количество возможных /rearm у PDC закончилось, а дней до окончания ознакомительной версии осталось меньше 3 дней.

Варианта решения вопроса я видел два. Либо поочередно между BDC и PDC передавать права хозяина схемы и прочие роли, понижать до рядовых серверов и после поднимать обратно. Но идею этого доменного волейбола я отмел, по причине того, что просто напросто делал все это впервые и боялся поломать.

Поэтому было решено поднимать новый сервер, повышать до контроллера домена и передавать ему хозяина схемы, а после выключать старый PDC и назначать новому его IP, этот вариант тогда мне показался проще и безопаснее. Замечу, что после описанных ниже событий, я по прежнему считаю это хорошим решением, по крайней мере все прошло без эксцессов, иначе бы статья имела совсем другой заголовок, или ее бы не было вовсе.

Схему можно без проблем воспроизвести в течение рабочего дня. Оставалось полтора дня, так что, помечтать о том, как я буду все это делать времени не было, надо было срочно приступать. Далее действия по пунктам.

1. Создаем новую виртуальную машину с параметрами соответствующими текущему PDC. Желательно создать на физическом сервере, на котором нет других контроллеров домена, но это если у вас несколько гипервизоров, как в моем случае, если нет, то это не принципиально, вопрос только в отказоустойчивости. Ну а если вы работаете не с гипервизорами, а с реальными серверами, то отказоустойчивость PDC и BDC вещь и так само собой разумеющаяся.

2. Устанавливаем Windows Server 2012R2. Выбираем выпуск Standard с графическим интерфейсом. Настраиваем TCP/IP и переименовываем сервер в соответствии со стандартном наименований в IT инфраструктуре.

3. После установки в диспетчере серверов включаем серверу новые роли. Нас интересует AD, DNS и прочие роли и компоненты, используемые на текущих домен-контроллерах.

4. Повышаем сервер до контроллера домена. Проходит репликация между основным контроллером домена и новым.

5. Передаем роли хозяина схемы со старого DC на новый.
Для этого заходим на контроллер домена, которому будут назначаться роли FSMO, запускаем командную строку, и вводим команды в указанной ниже последовательности:

ntdsutil
roles
connections
connect to server <имя сервера PDC>
q

Успешно подключившись к серверу, мы получим приглашение к управлению ролями (FSMO maintenance), и можем приступать к передаче ролей:

transfer naming master - передача роли хозяина доменных имен.
transfer infrastructure master - передача роли хозяина инфраструктуры;
transfer rid master - передача роли хозяина RID;
transfer schema master - передача роли хозяина схемы;
transfer pdc - передача роли эмулятора PDC

Для завершения работы Ntdsutil вводим команду q.

6. После передачи хозяина схемы смотрим системный журнал и dcdiag на предмет ошибок. Их быть не должно. Если есть, исправляем. (я столкнулся с ошибкой dns, где сервер жаловался на неправильно указанные сервера пересылки. В этот же день я узнал, что в серверах пересылки DNS не должен быть указан сервер на котором установлен DNS (как правило указывают сервера DNS провайдера и Yandex(Google), что в общем-то логично, это по сути порождает петлю в DNS.

7. Если ошибки исправлены, или их нет. Приступаем к сменам IP-адресов. Назначаем старому PDC любой свободный IP-адрес в сети, а новому PDC назначаем адрес старого.

8. Снова проверяем на ошибки. Проводим тесты. Выключаем старый PDC и BDC. Проверяем возможность авторизации в домене. Затем оставляем включенным только BDC, проверяем принимает ли он на себя роль контроллера домена в случае недоступности PDC.

9. Если все тесты проходят удачно. Можно уничтожать старый PDC и приниматься за смену версии BDC.

10. В нашем случае cтарый PDC все еще нельзя было выкинуть на помойку так как на нем функционировала роль пространства имен DFS, а мы не знали, как ее реплицировать на новый сервер.

11. Все оказалось очень просто. Входим в графическую оснастку «Управление DFS». В «Пространстве имен» добавляем существующие пространства имен, затем каждому пространству имен добавляем сервер пространства имен и в общем-то все. Корень dfs автоматически вместе с ссылками на сетевые ресурсы появляется на c:\ и все работает. На всякий случай проверяем работу выключением старого PDC. Сначала сетевые ресурсы будут недоступны (DFS нужно 300 секунд для репликации). По истечении 5 минут сетевые ресурсы снова должны стать доступны.

12. Оставляем старый PDC выключенным и через какое то время понижаем до рядового сервера и после удаляем. Можно конечно и сразу, но мне было страшно и я до последнего не верил, что все получилось без проблем.

P.S.: Все вышеописанные действия проводились после внимательного изучения книги Windows server 2012R2 - Полное руководство. В частности глав посвященных конкретно AD, DNS и DFS, а так же контроллерам домена. Без понимания и планирования к данным действиям лучше не приступать, т.к. можно потерять рабочую инфраструктуру.

Надеюсь, для кого-то эта статья окажется полезной и нужной. Спасибо за внимание!