Введение

Отказ основного контроллера домена способен парализовать аутентификацию и блокировать работу корпоративных сервисов. Настройка резервного контроллера в Active Directory является критическим этапом проектирования отказоустойчивой инфраструктуры. Правильно организованный узел обеспечивает непрерывность доступа, корректное применение групповых политик и стабильную репликацию объектов каталога между сайтами.

Требования и подготовка окружения

Установка роли на Windows Server 2025 или 2022 не имеет принципиальных отличий от предыдущих версий ОС. Сервер должен иметь статический IPv4-адрес, корректно настроенные DNS-записи и синхронизацию времени по NTP. Критически важно проверить сетевую связность: фаерволы не должны блокировать порты TCP/UDP 53, 88, 135, 389, 445, 464, 636, 3268, 3269.

Компонент	Основной DC	Резервный контроллер
FSMO-роли	Все 5 ролей	Отсутствуют (по умолчанию)
Служба DNS	Авторитетная	Зеркальная зона AD
Синхронизация	Исток изменений	Пассивный репликатор
Резервное копирование	Системное состояние	Системное состояние

Развертывание и проверка топологии

Запустите мастер Server Manager или используйте PowerShell для автоматизации. Команда ниже инициирует промотацию и настраивает репликацию с существующим источником.

Install-ADDSDomainController -NoGlobalCatalog:$false -Credential (Get-Credential) -DomainName "corp.local" -InstallDns:$true -SafeModeAdministratorPassword (ConvertTo-SecureString "Str0ng!Pass#2025" -AsPlainText -Force) -Force:$true

После перезагрузки проверьте статус синхронизации через repadmin /showrepl. Задержки репликации более 15 минут требуют внимания. Для мониторинга используйте Event Viewer (лог Microsoft-Windows-DirectoryService) или скрипты проверки кодов 1311, 1988. В случае аварии резервный контроллер автоматически примет недостающие FSMO-роли, обеспечивая непрерывность работы Active Directory. Рекомендуется настроить мониторинг задержек и периодическое тестовое переключение ролей.

Вопрос-ответ (FAQ)

Вопрос 1: Можно ли назначить FSMO-роли резервному контроллеру?

Ответ 1: Да, это стандартная практика для балансировки нагрузки. Роли можно перенести вручную через PowerShell или оснастку Перенос ролей.

Вопрос 2: Как восстановить данные после удаления основного DC?

Ответ 2: Используйте инструмент NTDSUTIL для проведения авторитетного восстановления (Authoritative Restore) или восстановите из бэкапа с помощью Windows Server Backup.

Вопрос 3: Требуется ли отдельная лицензия на резервный сервер?

Ответ 3: Нет, если сервер работает в рамках существующей лицензии на виртуализацию или физическое оборудование, но требует CAL для каждого пользователя/устройства.