În primul rând, am face o rezervare, că mediul meu de test va fi departe de locul unde desfășurarea a fost făcut, dar sper că esența nu este pierdut. Mediul de testare cuprinde un lemn care cuprinde două domenii și branch.uc.loc uc.loc.
mediu productiv a constat din aproximativ 20 de domenii, care a servit aproximativ 60 DCs. Serverele Lync au fost desfășurate în domeniul rădăcină. Utilizatorii de Conturi Lync, de asemenea, au fost în domeniul rădăcină.
În faza de pregătire include, de obicei:
1. Pregătirea unui serviciu de Active Directory
2. Pregătirea infrastructurii DNS
3. Prepararea certificatelor
Pregătirea Servicii Active Directory
Inițial, trebuie să vă asigurați că infrastructura actuală nu a fost pregătită pentru cealaltă versiune de Lync sau OCS / LCS.
Pentru a determina dacă serviciul director a fost pregătit în prealabil, trebuie să te uiți în cadrul schemei de prezența obiectului CN = ms-RTC-SIP-SchemaVersion, versiune a software-ului este determinată de valoarea atributului rangeUpper:
LcsCmd / pădure / acțiune: checkschemaprepstate /l:c:\logs\checkschema.html
LcsCmd / pădure / acțiune: checkforestprepstate /l:c:\logs\checkforest.html
Verificați domeniu uc.loc:
LcsCmd /domain:uc.loc / acțiune: checkdomainprepstate /l:c:\logs\checkdomain.html
Dacă domeniul uc.loc rădăcină și branch.uc.loc copil, echipa este după cum urmează:
LcsCmd.exe /domain:uc.loc / acțiune: CheckDomainAddState /refdomain:branch.uc.loc /l:c:\logs\checkdomainadd.html
În piscinele sunt servere Standart localizate sau servere piscine Enterprise. În setările globale sunt stocate în infrastructura globală fapt setarea LCS.
componenta 1. Dezactivarea
2. fișiere LCS Ștergeți
3. Scoateți domeniul formării și a pădurilor.
Dezactivând Standard Edition:
lcscmd.exe /Server:lcs.branch.uc.loc / Rol: SE / Acțiune: Dezactiveaza / Forța /refdomain:branch.uc.loc
După ce serverul este dezactivat, container RTC Service / bazine va fi gol.
Apoi, va elimina permisiunile pe care le-au fost create folosind DomainAdd pentru domeniul branch.uc.loc:
LcsCmd.exe /domain:uc.loc / acțiune: DomainRemove /refdomain:branch.uc.loc /l:c:\logs\remove_domainadd.html
Verificați: LcsCmd.exe /domain:uc.loc / acțiune: CheckDomainAddState /refdomain:branch.uc.loc /l:c:\logs\checkdomainaddremove.html
După aceea, puteți începe să eliminați pregătirea domeniului
Lcscmd /domain:branch.uc.loc / acțiune: /l:c:\logs\uc.loc_unprepdom.html domainunprep
Lcscmd /domain:uc.loc / acțiune: /l:c:\logs\uc.loc_unprepdom.html domainunprep
Acest lucru ar trebui să părăsească grupul RTC *, precum și înregistrarea ACE cu aceste grupuri de containere în partiția de domeniu
Rezultatele testelor uc.loc domeniu de pregătire
Acesta a fost ultimul pas este eliminarea pregătirii forestiere
Lcscmd / pădure / acțiune: forestunprep /l:c:\logs\forest_unprep.html
Rezultatele echipei:
Rezultatele testelor ale pădurii de pregătire:
Cu ADSIEdit, puteți fi siguri că containerul RTC serviciu eliminat.
După efectuarea comenzii forestunprep, trebuie să așteptați replicare pentru toate cataloagele globale în pădure. verifica manual că containerul RTC Serviciul este șters, puteți utiliza ADSIEdit, conectat la un TCP 3268 „dc = uc, dc = loc“
- Pregătirea schemelor;
- Pregătirea pădurilor;
- Domeniul de preparare.
Verificați versiunea curentă de PowerShell:
get-gazdă | Versiune Selectați-obiect
După ce instalați PowerShell, numărul versiunii ar trebui să fie 3.0
Add-WindowsFeature Web-Dyn-compresie, desktop-experiență, RSAT-adaugă, Web-Server, Web-script-Tools, Web Windows-Auth, Web-Asp-Net, Web-Log-Biblioteci, Web-HTTP-Tracing , Web-Stat-compresie, Web implicit-Doc, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-http-Erori, Web-http-Logging, Web-net-Ext, Web-client-Auth, Web -Filtering, Web-Mgmt-consola, MSMQ-Server, MSMQ-Director
- Remedierilor KB 2646886
- Silverlight de instalare (opțional)
Instalarea Microsoft Visual C ++ Runtime minimă
Pentru a pregăti schema, aveți nevoie de:
- Asigurați-vă că controlerul la rolul de „schema de master“ permite accesul de la distanță la registru:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurePipeServers \ winreg
Descriere: REG_SZ
Valoare: Registry Server
Verificați ACL winreg pentru ce nivel de acces, și care grup este permis accesul.
Programele de formare pot fi verificate manual prin verificarea atribut rangeUpper. a se vedea mai sus valorile de masă, precum și cu comanda .:
Get-CsAdServerSchema -Raport c: \ busteni \ verify_schema.html
(A se vedea pe monitor modul în care acest tsmdlet)
Eu cred că trecerea la pregătirea pădurii, fără a se asigura că replicarea modificărilor de schemă în toate controlerele disponibile a trecut - nu este în întregime corectă. menținând în același timp, cel puțin control asupra procesului de actualizare Active Directory, iar în caz de orice probleme administratorului rezolvă problema în mod constant și continuă la următoarea fază a actualizării. Este posibil ca o astfel de abordare nu a economisi timp, dar cu siguranta salveaza nervii :). 20 pentru a actualiza domeniul (controler 60) au fost cheltuite timp de aproximativ trei ore.
Având în vedere cele de mai sus, un mic script a fost scris că, în conformitate cu lista de controlerul verifică versiunea rangeUpper atribut.
Un script în conformitate cu o listă de controlere controler (DomainControllers.txt) afișează numele, valoarea rangeUpper, valoarea rangeLower. fișier DomainControllers.txt este generat manual.
Set objFSO = CreateObject ( «Scripting.FileSystemObject»)
Dacă (objFSO.FileExists (strFileName)), apoi
Set f = objFSO.OpenTextFile (strFileName, 1, False)
Face în timp ce (f.AtEndOfStream <> true)
strDCName = Metoda f.readline
set Ob = GetObject ( «LDAP: //» strDCName «/ CN = ms-RTC-SIP-SchemaVersion, CN = Schema, CN = configurare, DC = mbrd, DC = ru»)
WScript.Echo acum "" strDCName "" obj.rangeUpper "" obj.rangeLower
Set Ob = nimic
După replicare între controlerele este de succes, vom proceda la pregătirea pădurii. Pentru a pregăti pădure, este necesar ca computerul de pe care enable-CsAdForest echipa a fost inclusă în domeniul rădăcină de pădure, sau afișează următoarea eroare:
Echipa pentru pregătirea pădurii:
Activați-CsAdForest -GroupDomain uc.loc -GlobalCatalog dc01.uc.loc -Verbose -Raport c: \ busteni \ EnableForest.html
S-a observat experimental că în cazul în care echipa Enable-CsAdForest conține GroupDomain atributele și formarea pădurilor GlobalCatalog sa încheiat cu o eroare:
După ce lemnul este preparat în partiția de configurare va «Servicii RTC» containere
Și, la fel ca în snap ADUC în container Utilizatorii vor fi noi grupuri CS * și * RTC.
Pentru a verifica pentru actualizări pe controlerele forestiere cât mai puțin script-ul a fost făcut:
import-csv \ DomainControllers.txt. | foreach-obiect <
$ DC = $ _. DC
$ Rezultat = get-csAdForest -GlobalSettingsDomainController $ DC
scrie-gazdă «$ rezultat $ DC»
Aici este rezultatul execuției script-ul. Se poate observa că dc01.uc.loc pregătit, și să dc02.branch.uc.loc actualizare nu a fost încă atins.
Nu a fost doar pregătirea de domeniu. Pentru a pregăti domeniul uc.loc trebuie să utilizați comanda:
Activați-csaddomain -domain uc.loc -raportați c: \ busteni \ prepdomain.html
Și aici există un avertisment mic - numele de domeniu trebuie să fie FQDN, este afișată o altă eroare:
Verificați domeniu antrenat cu comanda
Get-csaddomain -domain uc.loc -raportați c: \ busteni \ prepdomain.html
Rezultatul echipei:
În cazul meu, domeniul a fost doar două controlere într-un singur site-ul, deci verificați script-ul, eu nu fac, ci în infrastructură, care deservește mai mult de un controler de domeniu în 10 site-uri diferite, verificați automatizarea face viața mai ușoară.
In acest training Directory Serviciile pot fi considerate finalizate.
Salutări!
Confruntați cu problema. Atunci când încercarea de a pregăti pădurea dă următoarea eroare:
ceea ce înseamnă acest lucru, nu-i spui?
Vă rugăm să scrieți nivelul pădurii în care grupurile de utilizatori de sub care procedura de actualizare, în cazul în care a trecut cu succes și actualizarea schemei a trecut în cazul în care o replică între toate controlerele. Imediat mi pot sfătui - în cazul în care se confruntă cu problema de actualizare a controlerului face clona și mediul de testare VM, să păstreze experimentarea, verificarea toate actualizările pe un serviciu director productiv mediu de laborator este o procedură obligatorie.
În general, problema este de natură să decidă după cum urmează:
lansa pregătirea pădurii cu următoarele taste:
Activați-CsAdForest -GroupDomain domain.local -GroupDomainController dc01.domain.local -GlobalCatalog dc01.domain.local
Am înțeles că, dacă nu a fost niciodată productiv LCS / OCS, Lync stochează apoi configurația în partiția de configurare în secțiunea RTC Service, cu exact nu container. Dar dacă a existat o LCS sau alte versiuni mai vechi, atunci configurația este stocată în partiția de domeniu și implicit Lync va crea containere acolo, doar la Microsoft. Prin urmare, dacă aveți versiunea veche a trebuit să le eliminați mai întâi dacă implementarea Lync are loc pentru prima dată în mediu, un astfel de recipient nu este necesară. Dacă nu se poate mai greu pentru a arăta acest container CN? Cu siguranță este în partiția de domeniu ...
Bună ziua.
Aici este sa ridicat problema.
Completate cu avertismente
prelucrare Permise obiect «CN = RTCUniversalGlobalReadOnlyGroup, CN = Utilizatori, DC = (numele meu de domeniu), DC = locală»
Avertizare: ACE (numele meu de domeniu) \ RTCUniversalGlobalReadOnlyGroup; Permite; ReadProperty; nici unul; nici unul
Atenție: Una sau mai multe dintre intrările de control al accesului de grup (ACE) nu sunt gata.
avertisment
Verificați permisiunile CN = RTC
Service, CN = Servicii, CN = configurare, DC = (numele meu de domeniu), DC = locală
Verificați permisiunile ConfigurationContainer
Verificați permisiunile RootDomainSystemContainer
Vreau doar să spun că nu este pentru că serverul Am încercat să-l lega la un alt server
și ușor de îndepărtat din topologia unui server de aplicații de încredere și de a restabili topologie anterioară, fără a
Acest server este acum dat întotdeauna un astfel de mesaj.
În ceea ce poate fi o problemă și este critică tine?
Nu-i spune ...
Cu stimă, Vyacheslav.
Victor nume de domeniu corect, în al doilea paragraf - vă în loc de nume sunt scrise controlorilor