PDC emulator — Эмулятор первичного контроллера домена

FSMO-роль эмулятор первичного контроллера домена (PDC emulator) является второй ролью (из трех) уровня домена. То есть в одном домене должен быть один PDC emulator , но во всем лесу AD их может быть несколько, в зависимости от количества доменов.

Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике Windows Server на моем блоге.

PDC emulator — Эмулятор первичного контроллера домена

Чтобы лучше понимать функционал данной роли FSMO, необходимо сначала обратиться к истории его появления.

Немного истории

Роль эмулятора PDC необходима прежде всего для обеспечения совместимости с версиями Windows ниже 2000. В смешанной среде с клиентами Windows NT, 95, 98 PDC emulator выполняет следующие задачи 1 :

1. Участвует в процессе смены паролей учетных записей пользователей и компьютеров;
2. Реплицирует обновления на резервные контроллеры домена (backup domain controllers);
3. Выполняет задачи хозяина обозревателя сети домена (Domain Master Browser).

Для доменов Windows NT 3.51, 4 эмулятор первичного контроллера домена выполнял очень важную функцию 2 и при его отказе весь домен фактически переходил в режим «только чтение» 3 :

• Пользователи не смогли бы изменить пароли (выдавалась бы ошибка «Unable to change password on this account. Please contact your system administrator»);
• При создании учетной записи вы получили бы ошибку («could not find domain controller for this domain»);
• На резервных контроллерах домена были бы ошибки репликации (связано с тем, что резервные контроллеры домена реплицировали изменения только с PDC. Чтобы можно было вносить изменения в базу BDC, его необходимо сделать первичным контроллером домена).

С развитием технологии упор делался на взаимозаменяемость и равноправность всех контроллеров домена и таким образом домен Windows 2003 уже представлял из себя совершенно другую структуру, основу которой составляла репликация с несколькими хозяевами. Хоть и «вторичные» (некоторое подобие BDC) контроллеры домена остались, первичные контроллеры как таковые перестали существовать 4 .

Современное назначение

Сегодня роль эмулятора PDC на мой взгляд менее важна, по сравнению с другими хозяевами операций, но все же она нужна для ряда задач, которые так или иначе упрощают администрирование и добавляет некоторые удобства:

1) Репликация паролей идет на PDC emulator в приоритетном режиме. То есть, если пользователь изменил пароль (а сделать это он может на любом DC), то контроллер домена первым делом обращается к эмулятору PDC, чтобы сообщить о факте смены пароля. В свою очередь другие DC, если авторизация с измененным паролем идет через них, не отказывают пользователю, а обращаются к эмулятору первичного контроллера домена, чтобы просмотреть возможные изменения и получив их, авторизуют пользователя с новым паролем.

При недоступности PDC вы просто не сможете залогиниться в систему c новым паролем при авторизации через другой контроллер домена и получите увеличение счетчика попыток входа. Конечно такая ситуация будет наблюдаться совсем небольшой промежуток времени, пока изменения не реплицируются на другие DC, а в реальности на практике вообще не встречается;

То же касается и блокировок учетных записей — первым делом они реплицируются на эмулятор PDC 5 .

2) Для предупреждения конфликтов изменения групповых политик, все изменения GPO в реальности происходят именно на эмуляторе PDC и не важно где конкретно вы работаете с оснасткой;

3) В Windows Server 2003 включены некоторые дополнительные объекты безопасности по умолчанию. При обновлении инфраструктуры с версии Windows Server 2000 сам процесс обновления вы должны начать непосредственно с эмулятора PDC, чтобы эти группы и учетные записи первым делом появились на нем и уже потом реплицировались на другие контроллеры. Сами объекты хранятся в контейнере CN=WellKnown Security Principals,CN=Configuration,DC= ;

4) Механизм SDProp (Security Descriptor propagator) запускается именно на PDC эмуляторе. Этот механизм «приводит в порядок» списки контроля доступа (ACL’s) у объектов Active Directory. У критически важных объектов безопасности домена (эти объекты имеют выставленное в 1 значение атрибута adminCount) образцовые ACL хранятся в специальном контейнере, который называется AdminSDHolder 6 7 .

Кстати, вот полный список наиболее важных объектов безопасности для только что созданного домена:

Разумеется учетная запись bissquit создана мной вручную, у вас она будет отличаться;

5) Во время установки первого контроллера домена служба NetLogon создает SRV-запись DNS _ldap._tcp.pdc._msdcs.DnsDomainName. Эта запись позволяет клиентам обнаруживать эмулятор PDC. Только владелец этой роли может изменять эту запись;

6) На эмуляторе первичного контроллера домена выполняются изменения пространства имен DFS (Distributed File System). Если PDC emulator не будет найден, то DFS будет работать некорректно 8 ;

7) Процесс повышения функционального уровня домена или леса выполняется на эмуляторе PDC 9 .

8) Пожалуй одной из самых важных функций является распространение времени по всему домену 10 . Подробнее про настройку времени в домене вы можете прочитать в моей статье Настройка Active Directory Domain Services.

Лучшие практики

Многие лучшие практики администрирования эмулятора первичного домена соответствуют другим ролям хозяев операций:

1. Располагайте PDC emulator и RID master на одном контроллере домена 11;
2. Обязательно настройте PDC эмулятор на синхронизацию времени с корректного внешнего источника времени 12;
3. Если вы используете виртуализованные контроллеры домена, позаботьтесь о том, чтобы гостевые ОС виртуальных машин не синхронизировали время с хоста виртуализации, а делали это с контроллеров домена, а те, в свою очередь, с PDC эмулятора;
4. Не испытывайте судьбу и не вносите изменения в механизм SDProp.

Администрирование

Специальная оснастка для управления работой эмулятора PDC отсутствует.

Изменить владельца роли вы можете с помощью оснастки Active Directory — Пользователи и компьютеры. Для этого:

1. Открываем оснастку на DC01, правой кнопкой нажимаем на Active Directory — Пользователи и компьютеры и выбираем Сменить контроллер домена Active Directory;
2. Далее выбираем контроллер домена, на который мы хотим перенести роль (у меня это DC02, по умолчанию всегда выбирается сервер-владелец роли). Подтверждаем предупреждение;
3. Снова правой кнопкой на Active Directory — Пользователи и компьютеры, но уже выбираем Хозяин операций…;
4. Нажимаем кнопку Изменить….

После этого необходимо подтвердить выбор и получить уведомление об успешном переносе роли.

На этом обзор fsmo-роли PDC эмулятор завершен.

Установка Windows Server 2019 на виртуальную машину VMware

Здравствуй, юный сисадмин. Сегодня мы с тобой установим Windows Server 2019. Устанавливать будем ознакомительную версию, которая работает 180 дней. Установка производится на виртуальную машину VMware, я использую домашний сервер с ESXi на борту.

Дистрибутив Windows Server 2019

Переходим по ссылке:

Нажимаем кнопку «Попробуйте Windows Server прямо сейчас».

Нас интересуем Windows Server 2019 в локальной среде. «Скачать бесплатную пробную версию».

Нам нужен ISO образ, выбираем, «Продолжить».

Итак, дистрибутив Windows Server 2019 в виде ISO образа у нас есть.

Системные требования Windows Server 2019

Минимальные системные требования для работы Windows Server 2019:

• Процессор
  • 64-разрядный процессор с частотой 1,4 ГГц
  • Совместимость с набором инструкций x64
  • Поддержка NX и DEP
  • Поддержка CMPXCHG16b, LAHF/SAHF и PrefetchW
  • Поддержка трансляции адресов второго уровня (EPT или NPT)
• Память
  • 512 МБ (2 ГБ для сервера с возможностью установки Desktop Experience)
  • ECC (Error Correcting Code) или аналогичная технология для развертывания физического хоста
• Диск
  • 32 ГБ для core mode + IIS
  • 36 ГБ для GUI mode + IIS

При установке на виртуальную машину минимальных требований (1 процессор и 512 МБ оперативки может быть недостаточно, установка завершится с ошибкой. В этом случае можно сделать следующее:

• Выделите более 800 МБ памяти, после завершения установки можно уменьшить количество памяти до 512 МБ. Если вы используете дополнительный язык, то может потребоваться больше 800 МБ.
• Прервите процесс установки SHIFT+F10. В командной строке используйте diskpart.exe для создания и форматирования раздела для установки. Выполните wpeutil createpagefile /path=C:\pf.sys, где C: — это выделенный раздел. Закройте командную строку и продолжите установку.

Подготовка виртуальной машины для Windows Server 2019

Минимальные требования не будем устанавливать. Я выделил:

• 2 процессора
• 4 ГБ оперативки
• 60 ГБ места на диске

Загружаю в хранилище ISO образ.

Монтирую ISO образ как CD\DVD.

Для удобства устанавливаю VMware Remote Console.

Установка Windows Server 2019

Установочный образ подцепился.

Запускается Windows Setup.

Я предпочитаю устанавливать Windows Server на английском языке, мне так привычнее. Чем меньше лишнего — тем лучше. Единственное исключение делаю для терминальных серверов, так как с ними потом будут работать юзеры.

Выбираем язык установки, Next.

Выбираем Standard версию с GUI. Next.

Принимаем лицензионное соглашение. Next.

Тип установки — Custom: Install Windows only (advanced). У нас новый сервер.

Выбираем диск для установки. На виртуальной машине он у нас выделен один. Next.

Откиньтесь на спинку кресла, начинают копироваться установочные файлы.

Идёт подготовка для установки Windows Server 2019.

В процессе установки Windows может несколько раз перезагрузиться.

Нужно запастись терпением.

Открывается окно для установки пароля администратора.

Требования к сложности пароля усилились. Два раза вводим пароль для администратора. Finish.

Первоначальная настройка завершена.

Для входа нужно нажать Ctrl+Alt+Del. Установка Windows Server 2019 завершена.

Установка Windows Server 2019 на виртуальную машину VMware

Здравствуй, юный сисадмин. Сегодня мы с тобой установим Windows Server 2019. Устанавливать будем ознакомительную версию, которая работает 180 дней. Установка производится на виртуальную машину VMware, я использую домашний сервер с ESXi на борту.

Дистрибутив Windows Server 2019

Переходим по ссылке:

Нажимаем кнопку «Попробуйте Windows Server прямо сейчас».

Нас интересуем Windows Server 2019 в локальной среде. «Скачать бесплатную пробную версию».

Нам нужен ISO образ, выбираем, «Продолжить».

Итак, дистрибутив Windows Server 2019 в виде ISO образа у нас есть.

Системные требования Windows Server 2019

Минимальные системные требования для работы Windows Server 2019:

• Процессор64-разрядный процессор с частотой 1,4 ГГц
  Совместимость с набором инструкций x64
  Поддержка NX и DEP
  Поддержка CMPXCHG16b, LAHF/SAHF и PrefetchW
  Поддержка трансляции адресов второго уровня (EPT или NPT)
• Память512 МБ (2 ГБ для сервера с возможностью установки Desktop Experience)
  ECC (Error Correcting Code) или аналогичная технология для развертывания физического хоста
• Диск32 ГБ для core mode + IIS
  36 ГБ для GUI mode + IIS

При установке на виртуальную машину минимальных требований (1 процессор и 512 МБ оперативки может быть недостаточно, установка завершится с ошибкой. В этом случае можно сделать следующее:

• Выделите более 800 МБ памяти, после завершения установки можно уменьшить количество памяти до 512 МБ. Если вы используете дополнительный язык, то может потребоваться больше 800 МБ.
• Прервите процесс установки SHIFT+F10. В командной строке используйте diskpart.exe для создания и форматирования раздела для установки. Выполните wpeutil createpagefile /path=C:\pf.sys, где C: — это выделенный раздел. Закройте командную строку и продолжите установку.

Подготовка виртуальной машины для Windows Server 2019

Минимальные требования не будем устанавливать. Я выделил:

• 2 процессора
• 4 ГБ оперативки
• 60 ГБ места на диске