Domeincontrollers configureren op verschillende subnetten. Een extra domeincontroller toevoegen aan een bestaand AD-domein

Het configureren van Active Directory is een vrij eenvoudig proces en wordt in veel bronnen op internet overwogen, inclusief officiële. Desalniettemin kan ik op mijn blog niet anders dan dit punt even aanstippen, aangezien de meeste van de verdere artikelen op de een of andere manier gebaseerd zullen zijn op de omgeving, waarvan ik de configuratie nu van plan ben te doen.

Als je geïnteresseerd bent in Windows Server-onderwerpen, raad ik je aan de tag op mijn blog te bekijken. Ik raad u ook aan het hoofdartikel over Active Directory te lezen -

Ik ben van plan om de AD-rol beurtelings op twee virtuele servers (toekomstige domeincontrollers) te implementeren.

1. De eerste stap is het instellen van de juiste servernamen, voor mij zullen het DC01 en DC02 zijn;
2. Registreer u vervolgens statische netwerkinstellingen(Ik zal dit moment hieronder in detail bespreken);
3. Installeren alle systeemupdates, vooral beveiligingsupdates (dit is belangrijker voor CD dan voor enige andere rol).

In dit stadium moet u beslissen: welke domeinnaam heb je?... Dit is uiterst belangrijk, omdat het later wijzigen van de domeinnaam een ​​heel groot probleem voor je zal zijn, hoewel het hernoemingsscript al lange tijd officieel wordt ondersteund en geïmplementeerd.

Opmerking: N Enkele redeneringen, evenals vele links naar nuttig materiaal, vindt u in mijn artikel. Ik raad u aan om uzelf hiermee vertrouwd te maken, evenals met de lijst met gebruikte bronnen.

Aangezien ik gevirtualiseerde domeincontrollers ga gebruiken, is het noodzakelijk om enkele instellingen van de virtuele machines te wijzigen, namelijk: tijdsynchronisatie met de hypervisor uitschakelen... Tijd in AD moet uitsluitend worden gesynchroniseerd vanuit externe bronnen. De ingeschakelde instellingen voor tijdsynchronisatie met de hypervisor kunnen leiden tot cyclische synchronisatie en als gevolg daarvan problemen met de werking van het gehele domein.

Opmerking: het uitschakelen van synchronisatie met de virtualisatiehost is de gemakkelijkste en snelste optie. Dit is echter geen best practice. Microsoft raadt aan om hostsynchronisatie slechts gedeeltelijk uit te schakelen. Om te begrijpen hoe het werkt, leest u de officiële documentatie, die de afgelopen jaren dramatisch is gestegen in het presentatieniveau van het materiaal. .

Over het algemeen verschilt de benadering van het beheer van gevirtualiseerde domeincontrollers door enkele van de functies van AD DS:

Virtuele omgevingen zijn bijzonder uitdagend voor gedistribueerde workflows die in de loop van de tijd afhankelijk zijn van logische replicatie. AD DS-replicatie gebruikt bijvoorbeeld een gelijkmatig toenemende waarde (een USN of Serial Update Number genoemd) die wordt toegewezen aan transacties op elke domeincontroller. Aan elk domeincontrollerdatabase-exemplaar wordt ook een id toegewezen met de naam InvocationID. De InvocationID van een domeincontroller en het bijbehorende doorlopende updatenummer dienen samen als een unieke id die is gekoppeld aan elke schrijftransactie die op elke domeincontroller wordt uitgevoerd en die uniek moet zijn binnen het forest.

Hiermee zijn de belangrijkste stappen voor het voorbereiden van de omgeving voltooid, we gaan verder met de installatiefase.

Active Directory installeren

De installatie wordt uitgevoerd via Server Manager en er is niets ingewikkelds aan, u kunt alle fasen van de installatie hieronder in detail bekijken:

Het installatieproces zelf heeft enkele wijzigingen ondergaan in vergelijking met eerdere versies van het besturingssysteem:

Het implementeren van Active Directory Domain Services (AD DS) in Windows Server 2012 is eenvoudiger en sneller dan eerdere versies van Windows Server. AD DS-installatie is nu gebaseerd op Windows PowerShell en geïntegreerd met Server Manager. Het aantal benodigde stappen om domeincontrollers te integreren in een bestaande Active Directory-omgeving is verminderd.

U hoeft alleen een rol te selecteren Active Directory-domeinservices, hoeven er geen extra componenten te worden geïnstalleerd. Het installatieproces neemt weinig tijd in beslag en u kunt direct naar de installatie gaan.

Wanneer de rol is geïnstalleerd, ziet u een uitroepteken in de rechterbovenhoek van Serverbeheer - configuratie na implementatie is vereist. Duw Deze server promoveren tot een domeincontroller.

Serverpromotie naar domeincontroller

De stappen van de wizard worden gedetailleerd beschreven in de documentatie. Laten we echter de belangrijkste stappen doorlopen.

Aangezien we AD helemaal opnieuw implementeren, moeten we een nieuw forest toevoegen. Zorg ervoor dat u het wachtwoord voor de Directory Services Restore Mode (DSRM) veilig opslaat. De locatie van de AD DS-database kan op de standaardlocatie worden gelaten (wat aan te raden is, maar voor de verandering heb ik in mijn testomgeving een andere directory opgegeven).

We wachten op de installatie.

Daarna zal de server zichzelf opnieuw opstarten.

Domein- / Enterprise-beheerdersaccounts maken

U moet inloggen onder het lokale beheerdersaccount, zoals voorheen. Ga naar snap Active Directory-gebruikers en computers, maak de vereiste accounts aan - op dit moment is dit de domeinbeheerder.

DNS configureren op een enkele DC in het domein

Tijdens de installatie van AD werd ook de AD DNS-rol geïnstalleerd, aangezien ik geen andere DNS-servers in de infrastructuur had. Om de service goed te laten werken, moet u enkele instellingen wijzigen. Eerst moet u uw voorkeurs-DNS-servers controleren in de instellingen van uw netwerkadapter. U hoeft slechts één DNS-server te gebruiken met het adres 127.0.0.1. Ja, het is localhost. Standaard zou het zichzelf moeten registreren.

Nadat u ervoor heeft gezorgd dat de instellingen correct zijn, opent u de DNS-module. Klik met de rechtermuisknop op de servernaam en open de eigenschappen ervan, ga naar het tabblad "Forwarder". Het DNS-serveradres dat was opgegeven in de netwerkinstellingen voordat de AD DS-rol werd geïnstalleerd, werd automatisch geregistreerd als de enige doorstuurserver:

Het is noodzakelijk om het te verwijderen en een nieuwe aan te maken, en het is zeer wenselijk dat het de server van de provider is, maar geen openbaar adres zoals de bekende 8.8.8.8 en 8.8.4.4. Registreer voor fouttolerantie ten minste twee servers. Schakel het selectievakje om roothints te gebruiken niet uit als er geen doorstuurservers beschikbaar zijn. Rootlinks zijn een bekende pool van DNS-servers op het hoogste niveau.

Een tweede DC aan het domein toevoegen

Aangezien ik oorspronkelijk sprak over het hebben van twee domeincontrollers, is het tijd om een ​​tweede in te stellen. We doorlopen ook de installatiewizard, verheffen de rol naar een domeincontroller, selecteer gewoon Een domeincontroller toevoegen aan een bestaand domein:

Houd er rekening mee dat in de netwerkinstellingen van deze server de hoofd De eerste domeincontroller die eerder is geconfigureerd, moet worden geselecteerd als de DNS-server! Dit is verplicht, anders krijg je een foutmelding.

Na de nodige instellingen logt u in op de server onder het domeinbeheerdersaccount dat eerder is aangemaakt.

DNS configureren op meerdere DC's in een domein

Om problemen met replicatie te voorkomen, moet je de netwerkinstellingen opnieuw wijzigen en dit moet gebeuren op elke domeincontroller (en ook op de eerder bestaande) en elke keer dat een nieuwe DC wordt toegevoegd:

Als u meer dan drie DC's in een domein heeft, moet u DNS-servers registreren via aanvullende instellingen in deze volgorde. U kunt meer lezen over DNS in mijn artikel.

Tijd instelling

Deze stap is een must, zeker als je een echte productieomgeving inricht. Zoals je je herinnert, heb ik eerder tijdsynchronisatie via de hypervisor uitgeschakeld en nu moet ik het correct configureren. Een controller met de FSMO PDC-emulatorrol is verantwoordelijk voor het distribueren van de juiste tijd naar het hele domein (Weet niet wat deze rol is? Lees het artikel). In mijn geval is dit natuurlijk de eerste domeincontroller, die de native drager is van alle FSMO-rollen.

We zullen de tijd op domeincontrollers configureren met behulp van groepsbeleid. Ter herinnering: de computeraccounts van de domeincontroller bevinden zich in een afzonderlijke container en hebben een afzonderlijk standaardgroepsbeleid. Het is niet nodig om wijzigingen aan te brengen in dit beleid, het is beter om een ​​nieuwe aan te maken.

Geef het een naam zoals u wilt en hoe het object wordt gemaakt, klik met de rechtermuisknop - Wijziging... Ga naar Computerconfiguratie \ Beleid \ Beheersjablonen \ Systeem \ Windows Time Service \ Time Providers... Wij activeren het beleid Windows NTP-client inschakelen en Windows NTP-server inschakelen, ga naar de eigenschappen van de polis Windows NTP-client configureren en stel het protocoltype in - NTP, raak de rest van de instellingen niet aan:

We wachten op het toepassen van het beleid (het kostte me ongeveer 5-8 minuten, ondanks het uitvoeren van gpupdate / force en een paar keer opnieuw opstarten), waarna we het volgende krijgen:

Over het algemeen is het noodzakelijk om ervoor te zorgen dat alleen de PDC-emulator de tijd van externe bronnen synchroniseert, en niet alle domeincontrollers op een rij, maar dat zal wel zo zijn, aangezien Groepsbeleid wordt toegepast op alle objecten in de container. Het is noodzakelijk om het opnieuw te richten op een specifiek object van het computeraccount dat eigenaar is van de PDC-emulatorrol. Dit wordt ook gedaan via groepsbeleid - in de gpmc.msc-console, klik met de linkermuisknop op het gewenste beleid en aan de rechterkant ziet u de instellingen. In de beveiligingsfilters moet u het account van de vereiste domeincontroller toevoegen:

Lees meer over hoe de tijdservice werkt en hoe u deze kunt configureren in de officiële documentatie.

Hiermee is de tijdinstelling voltooid, en daarmee de initiële configuratie van Active Directory.

In ons artikel hebben we het minimale theoretische materiaal geanalyseerd dat u moet weten voordat u Active Directory Domain Services implementeert. Vandaag beginnen we met het praktische deel van de cyclus, waarin we de totstandkoming en overgang naar de domeinstructuur van het netwerk nader bekijken. Laten we, zoals altijd, eerst beginnen - in dit artikel laten we u zien hoe u domeincontrollers op de juiste manier implementeert.

Voordat u overgaat tot de praktische uitvoering van al uw plannen, neemt u een pauze en controleert u enkele kleine dingen opnieuw. Heel vaak ontgaan deze dingen de ogen van de beheerder, wat in de toekomst behoorlijke moeilijkheden met zich meebrengt, vooral voor beginners.

• Geef de toekomstige domeincontroller een door mensen leesbare naam, zoals SRV-DC01, niet WIN-VAGNTE3N62T.
• Stel de netwerkadapter in op een statisch IP-adres.
• Hernoem de ingebouwde beheerdersaccount, gebruik alleen Latijnse letters en symbolen.

Als u deze rol installeert, wordt deze server nog geen domeincontroller, hiervoor moet u de Domain Services Installation Wizard uitvoeren, die wordt gevraagd nadat de installatie is voltooid, u kunt dit ook later doen door het uitvoeren van dcpromo.exe.

We zullen niet alle instellingen van de wizard in detail analyseren, waarbij we ons alleen richten op de belangrijkste. Bovendien is het vermeldenswaard dat tijdens het installatieproces een vrij grote hoeveelheid referentie-informatie wordt weergegeven en we raden u aan deze zorgvuldig te lezen .

Aangezien dit onze eerste domeincontroller is, selecteren we: Maak een nieuw domein in een nieuw forest.

De volgende stap is het invoeren van uw domeinnaam. Het wordt niet aanbevolen om het internetdomein de naam van een extern domein te geven; het wordt ook niet aanbevolen om een ​​naam te geven in niet-bestaande eerstelijnszones, zoals .lokaal of .toets enzovoort. De beste optie voor een AD-domein is bijvoorbeeld een subdomein in de naamruimte van het externe internetdomein corp.voorbeeld.com... Omdat ons domein uitsluitend wordt gebruikt voor testdoeleinden binnen het laboratorium, noemden we het interface31.lab, hoewel het correct zou zijn om het te noemen lab.site.

Vervolgens geven we de bedrijfsmodus van het bos aan, we zijn in het vorige deel van het artikel al gestopt over dit probleem en zullen niet in details treden.

Een heel belangrijk punt - specificeer en noteer op een veilige plaats het beheerderswachtwoord voor de herstelmodus van directoryservices, in een goed scenario zou u het niet nodig hebben, maar veel erger als u het zich niet meer kunt herinneren.

Controleer in het volgende venster alle ingevoerde gegevens en u kunt beginnen met het configureren van domeinservices. Onthoud dat vanaf dit moment niets meer kan worden veranderd of gecorrigeerd, en als je je ergens vergist, moet je helemaal opnieuw beginnen. Ondertussen is de wizard bezig met het opzetten van domeinservices, u kunt zelf een kop koffie inschenken.

Na het voltooien van de wizard start u de server opnieuw op en heeft u, als alles correct is gedaan, de eerste domeincontroller tot uw beschikking, die ook als DNS-server voor uw netwerk zal fungeren. Hier komt een ander subtiel punt naar voren, deze server zal records bevatten over alle objecten van uw domein, bij het opvragen van records met betrekking tot andere domeinen die hij niet kan oplossen, worden deze overgebracht naar hogere servers, de zogenaamde. doorstuurservers.

Standaard wordt het adres van de DNS-server uit de eigenschappen van de netwerkverbinding gespecificeerd als forwarders; om vervolgens verschillende soorten netwerkstoringen te voorkomen, moet u expliciet de beschikbare servers op het externe netwerk specificeren. Open hiervoor de module DNS v Serverbeheer en selecteer Expediteurs voor uw server. Geef ten minste twee beschikbare externe servers op, dit kunnen zowel de servers van de provider als de openbare DNS-services zijn.

Merk ook op dat in de eigenschappen van de netwerkverbinding van de domeincontroller die de DNS-server is, het DNS-adres moet worden opgegeven 127.0.0.1 , alle andere schrijfopties zijn verkeerd.

Nadat u de eerste domeincontroller hebt gemaakt, zonder de zaak uit te stellen, gaat u verder met het implementeren van de tweede, zonder welke uw AD-structuur niet als volledig en fouttolerant kan worden beschouwd. Zorg er ook voor dat de server een door mensen leesbare naam en een statisch IP-adres heeft, specificeer het adres van de eerste controller als de DNS-server en voer de machine in het domein in.

Log na het opnieuw opstarten in als domeinbeheerder en installeer de rol Active Directory-domeinservices en voer vervolgens ook de wizard uit. Er zijn geen fundamentele verschillen bij het instellen van de tweede controller, behalve dat je minder vragen hoeft te beantwoorden. Geef allereerst aan dat je een nieuwe controller toevoegt aan een bestaand domein.

Zoals we al zeiden, raden we aan om van deze server een DNS-server en een Global Catalog te maken. Houd er rekening mee dat als u geen globale catalogus heeft, uw domein mogelijk niet werkt, dus het is een goed idee om ten minste twee globale catalogi te hebben en daarnaast GC's toe te voegen aan elk nieuw domein of nieuwe AD-site.

De rest van de instellingen zijn volledig identiek en na alles opnieuw te hebben gecontroleerd, gaat u verder met het implementeren van de tweede controller, waarbij de bijbehorende services worden geconfigureerd en gerepliceerd met de eerste controller.

Nadat de installatie van de tweede controller is voltooid, kunt u doorgaan naar de instellingen van domeinservices: gebruikers maken, deze toewijzen aan groepen en afdelingen, groepsbeleid configureren, enz. enzovoort. Dit kan op elke domeincontroller, gebruik hiervoor de juiste menu-items Administratie.

De volgende stap is de introductie van gebruikers-pc's en lidservers in het domein, evenals de migratie van de gebruikersomgeving naar domeinaccounts, we zullen hier in het volgende deel over praten.

Dit document bevat instructies voor het configureren van Microsoft® Windows 2000 Active Directory op domeincontrollers om een ​​domeinforest te maken. Het instellen van DNS, het proces van het maken van nieuwe domeinen en hun plaatsing in de boomstructuur, het maken van nieuwe bomen en het maken van back-updomeincontrollers worden in detail beschreven. Bespreekt hoe u een domeincontroller veilig kunt degraderen. Aanvullende DNS-configuratieproblemen zoals reverse-adresomzetting, Active Directory-integratie en veilige dynamische update komen ook aan bod. Daarnaast wordt een aantal opmerkingen gegeven over de DNS-servers van externe softwareleveranciers.

Invoering

Microsoft® Windows 2000 introduceert Active Directory, een uitbreidbare en schaalbare directoryservice die gedistribueerde bescherming en beheer mogelijk maakt en fungeert als een opslagplaats van netwerkinformatie die gemakkelijk kan worden opgehaald via query's.

De Active Directory-database wordt opgeslagen en gerepliceerd op servers die fungeren als domeincontrollers. Dit overzicht helpt u op weg met het configureren van domeincontrollerservers.

Dit document is onderverdeeld in 5 hoofdstukken:

Domeincontrollers configureren- Dit hoofdstuk richt zich op het voorbereiden van domeincontrollers en DNS-servers voor het maken van Active Directory-domeinbomen en forests.

Geavanceerde DNS-instellingen- In dit hoofdstuk leert u hoe u andere DNS-functies configureert, zoals omgekeerde adresresolutie, Active Directory-integratie en veilige dynamische update. Het biedt ook richtlijnen voor het configureren van extra DNS-servers.

Een domein overzetten naar een "natuurlijke" manier van werken- In de systeemeigen modus kunt u optimaal profiteren van de nieuwe beheermogelijkheden voor beveiligingsgroepen in Windows 2000.

« Degradatie "domeincontroller"- In Windows 2000 kunnen domeincontrollers worden gemaakt of hun status worden ontnomen zonder het besturingssysteem opnieuw te installeren. Dit hoofdstuk laat zien hoe u een computer degradeert van een domeincontroller naar een enkele server of domeinlidserver.

DNS-servers van derden gebruiken- Het gebruik van Microsoft DNS Server is optioneel om Active Directory te laten werken. Andere DNS-serverimplementaties kunnen worden gebruikt zolang ze een aantal standaardprotocollen ondersteunen. In dit hoofdstuk wordt uitgelegd hoe u BIND 8.1.2 kunt configureren om Active Directory te ondersteunen.

Voordat u begint met het configureren van domeincontrollers, is het handig om een ​​beter begrip te hebben van de Active Directory-naamruimteconcepten zoals domeinen, bomen en forests. Zie voor meer informatie de whitepaper Active Directory Technical Summary op microsoft.com.

Promotie: Active Directory-domeincontrollers configureren

De bewerking van het promoveren van een server naar een domeincontroller wordt een promotie genoemd.

In de volgende secties leert u hoe u:

Een statusupgrade voorbereiden- In dit gedeelte wordt uitgelegd hoe u een server instelt zodat u de status ervan kunt upgraden.

Maak het eerste domein in het forest- Een forest is een verzameling vertrouwende domeinen die een gemeenschappelijk schema, site- en serviceconfiguratie en de globale catalogus delen. De eerste Windows 2000-server die een domeincontroller wordt, zal het eerste domein in het forest bedienen.

Servers en werkstations toevoegen aan het domein- In dit gedeelte wordt uitgelegd wat u moet doen om een ​​domeinlidserver of werkstations toe te voegen aan een Windows 2000-domein.

Een reservedomeincontroller toevoegen aan een domein- Na het configureren van de eerste domeincontroller, kunt u redundante controllers toevoegen voor een meer gelijkmatige taakverdeling en verhoogde fouttolerantie.

Een onderliggend domein aan de boom toevoegen- U kunt een boomstructuur van Active Directory-domeinen maken door onderliggende domeinen toe te voegen aan een bestaand domein. Domeinen in de boom vormen een enkele naamruimte.

Een boom toevoegen aan het bos- Als het domein dat u wilt toevoegen een naam heeft die niet aansluit bij andere domeinnamen in het forest, kunt u het toevoegen aan de nieuwe forest-structuur.

Je zou je studie van dit hoofdstuk moeten beginnen door naar de eerste twee secties te kijken: De server voorbereiden voor promotie en het eerste domein in het bos maken. De volgende paragrafen kunnen later in willekeurige volgorde worden bestudeerd.

De server voorbereiden voor promotie

Elke afzonderlijke server of domeinlidserver met Windows 2000 Server kan een domeincontroller worden.

Voordat u doorgaat met de configuratie, gebruikt u de Beta 2-cd-rom om Windows 2000 Server netjes op uw computer te installeren of upgradet u een bestaande zelfstandige server of domeinlidserver naar Windows NT 4.0 Server.

Opmerking: Om uw status te upgraden, moet u zich registreren met een lokale beheerdersaccount. Meld u niet aan met een algemeen account dat lid is van de groep Lokale beheerders. In toekomstige versies kunt u het globale account gebruiken bij het upgraden.

Moderniseren van Windows NT-domeincontrollers

U kunt ook een upgrade uitvoeren voor een primaire (PDC) of back-up (BDC) domeincontroller met Windows NT 4.0. De primaire domeincontroller moet eerst worden geüpgraded. Na het upgraden van de PDC kunnen de BDC-servers indien mogelijk worden geüpgraded. Nadat u de BDC heeft geüpgraded, kunt u deze als een duplicaat bewaren in het domein waar deze zich bevindt, of u kunt er een domeinlidserver van maken.

Als u ervoor kiest om een ​​Windows NT 4.0-domeincontroller te upgraden, start het upgradeproces automatisch nadat de update van het besturingssysteem is voltooid en de computer opnieuw is opgestart.

Het eerste domein maken

Het eerste domein in het bos wordt de top van de eerste boom in het bos. Active Directory-domeinen gebruiken een DNS-naamgevingssysteem zoals "nttest.microsoft.com". Als u subdomeinen maakt in de structuur nttest.microsoft.com, moeten alle domeinnamen in de structuur eindigen op nttest.microsoft.com. Begin nu na te denken over welke naam u uw eerste domein wilt geven.

Het configureren van de eerste domeincontroller is een proces in twee stappen:

• Microsoft DNS-server installeren.
• Start de Active Directory-installatiewizard.

Opmerking: Als uw eerste Active Directory-domeincontroller een geüpgradede Windows NT 4.0 PDC is, wordt de Active Directory Promotion-wizard automatisch uitgevoerd onmiddellijk nadat de systeemupgrade is voltooid. Voordat u de status opwaardeert, moet u echter aanvullende configuratie voltooien, zoals hieronder wordt beschreven. Als u de Upgrade Wizard op dit punt onderbreekt, kunt u deze later starten.

Microsoft Active Directory installeren

Active Directory-clients gebruiken DNS om domeincontrollers te vinden. Microsoft raadt het gebruik van de DNS-server aan die bij Windows 2000 wordt geleverd, maar andere DNS-servers kunnen worden gebruikt zolang ze aan bepaalde functionele vereisten voldoen. Voor meer informatie over het gebruik van DNS-servers van derden, zie het hoofdstuk “Gebruik van DNS-servers van derden” aan het einde van dit document.

Als u al een DNS-server hebt geïnstalleerd en geconfigureerd om het Active Directory-domein en de controllers voor dat domein te ondersteunen, kunt u doorgaan naar de volgende stap. Als dit niet het geval is, raadt Microsoft aan om Windows 2000 DNS op de eerste domeincontroller te installeren.

Tijdens de installatie wordt u mogelijk gevraagd om een ​​statisch IP-adres voor de server in te stellen. DNS-servers vereisen het specificeren van ten minste één permanent IP-adres op de computer voor een correcte werking.

Microsoft DNS-server installeren

• Log in met een lokaal beheerdersaccount. Als u een upgrade van een Windows NT 4.0-masterdomeincontroller uitvoert, bent u al ingeschreven.
• Op het menu Begin selecteer item Instellingen en dan item Controlepaneel.
• Dubbelklik op het pictogram Programma's toevoegen/verwijderen.
• Klik op de knop Windows-componenten toevoegen/verwijderen.
• De wizard Windows-componenten wordt gestart.
• Selecteer item Netwerkdiensten en druk op de knop Details.

Opmerking: laat het selectievakje Netwerkservices uitgeschakeld. In dit geval worden alle netwerkdiensten geïnstalleerd. Selecteer gewoon het item Netwerkservices.

• Vink het vakje aan naast Dynamische naamservice (DNS).
• Klik op de knop Oke om het dialoogvenster te sluiten.
• Klik op de knop Volgende om de DNS-serversoftware te installeren. Als de Windows 2000 Beta 3-schijf nog niet in uw cd-rom-station is geplaatst, wordt u hierom gevraagd.
• Als u wordt gevraagd om een ​​statisch IP-adres in te voeren, klikt u op Oke en doe het volgende:

Selecteer in het dialoogvenster Eigenschappen LAN-verbinding dat daarna zou moeten verschijnen het item Internetprotocol (TCP / IP) en druk op de knop Eigendommen.

Zet de schakelaar in de stand Gebruik het volgende IP-adres: en specificeer de waarden in de velden IP adres, Subnetmasker en Standaard gateway... Als u niet zeker weet welke waarden u moet gebruiken, neem dan contact op met uw netwerkbeheerder. Als u zich in uw eigen netwerk bevindt, kunt u waarden gebruiken uit het gereserveerde bereik 10.xxx van adressen van klasse A. Stel bijvoorbeeld het IP-adres van de computer in op 10.0.0.1, gebruik de standaard subnetmaskerwaarde en laat het gateway-adresveld leeg. Elke computer moet zijn eigen unieke IP-adres hebben.

Als u andere DNS-servers in uw netwerk heeft, zet u de schakelaar op Gebruik de volgende DNS-serveradressen: en voer het IP-adres van de DNS-server in het veld in Primaire DNS-server... Als u geen andere DNS-servers op uw netwerk heeft, laat u de schakelaar in de stand Automatisch DNS-serveradres verkrijgen of verlaat het veld Primaire DNS-server leeg.

• Klik op de knop Oke om het dialoogvenster Eigenschappen voor Internet Protocol (TCP / IP) te sluiten.
• Klik op de knop Oke om het configuratiescherm Verbinding te sluiten.
• Klik op de knop Finish om de DNS-configuratie te voltooien.
• Doe het raam dicht Programma's toevoegen/verwijderen... De DNS-server is geïnstalleerd.

Als u een reeds bestaande DNS-server hebt opgegeven in c, moet u deze configureren om de naamservice in het Active Directory-domein te delegeren aan de DNS-server die u zojuist hebt geïnstalleerd. Dit doet u door Name Server-bronrecords toe te voegen aan het zonebestand dat verantwoordelijk is voor het onderhouden van de namen van uw Active Directory-domein. Hoe u dit doet, leest u in de documentatie van uw DNS-server. Doe dit nadat de Active Directory-installatiewizard is voltooid.

Als u geen bestaande DNS-server hebt opgegeven, wordt de computer automatisch geconfigureerd om de DNS-server te gebruiken die erop is geïnstalleerd.

Opmerking: In tegenstelling tot eerdere versies van Windows 2000 hoeft u DNS niet langer handmatig te configureren voordat u een server upgradet. Dit gebeurt nu automatisch tijdens het upgradeproces als er een DNS-server op de computer is geïnstalleerd. In toekomstige versies wordt de DNS-server automatisch geïnstalleerd en hoeft u deze stappen niet uit te voeren.

De Active Directory-installatiewizard uitvoeren

Servers worden gepromoveerd tot domeincontrollers met behulp van de Active Directory Installation Wizard, ook wel DCpromo genoemd.

DCpromo lancering

• Op het menu Begin selecteer item Loop.
• Binnenkomen dcpromo en druk op de knop Oke.
• Volgende
• Als er een bericht verschijnt waarin staat dat het geselecteerde pad niet bij een NTFS 5.0-partitie hoort en er alleen een FAT-partitie op het systeem bestaat, moet u dit naar NTFS 5.0 converteren. Als dit bericht niet verschijnt, slaat u de volgende twee stappen over.
• Klik op de knop Oke om het berichtvenster te sluiten.

Klik op de knop Annuleren om DCpromo af te breken.

Op het menu Begin selecteer item Programma's en dan paragraaf Opdrachtprompt... Voer de opdracht in:

Schijf converteren: / FS: NTFS

waarbij station de naam is van het logische station waarop Windows 2000 is geïnstalleerd.

Nut Overzetten zal u informeren over het huidige bestandssysteem van de partitie en u informeren over de noodzaak om opnieuw op te starten. Binnenkomen ja en druk op de toets Binnenkomen.

Start uw systeem opnieuw op. Het logische volume wordt tijdens het opstartproces geconverteerd naar NTFS 5.0. Registreer en start DCpromo opnieuw, scrol omlaag naar het padvenster Systeemvolume en ga verder met werken.

• Selecteer item Nieuw domein en druk op de knop Volgende.
• Selecteer item Nieuwe domeinboom maken en druk op de knop Volgende.
• Selecteer item Maak een nieuw forest van domeinbomen en druk op de knop Volgende.
• Voer de volledig gekwalificeerde DNS-naam in die u hebt gekozen voor uw eerste Active Directory-domein, bijvoorbeeld "nttest.microsoft.com" en klik op Volgende... DCpromo zal controleren of de door u ingevoerde naam nog niet in gebruik is.
• Volgende.
• DCpromo zal u een pad voorstellen om de Active Directory-database en logbestanden te plaatsen. Lees de tips voor het kiezen van bestandspaden en accepteer de voorgestelde, of geef een nieuwe op en klik vervolgens op Volgende.
• DCpromo zal een bestandspad voorstellen voor het maken van een back-up van het systeemvolume. Lees de tips voor het kiezen van bestandspaden en accepteer de voorgestelde, of geef een nieuwe op en klik vervolgens op Volgende.
• Als er een waarschuwing verschijnt waarin staat dat DCpromo geen contact kan maken met de DNS-server om de door u opgegeven naam op te lossen, klikt u op Oke.
• Selecteer alstublieft Ja om DCpromo te laten configureren voor DNS en klik op Volgende.
• Lees de informatie in het bevestigingsvenster en klik op de knop Volgende om het upgradeproces te starten. Het duurt een paar minuten.
• Klik op de knop Finish.
• Klik op de knop Nu opnieuw opstarten om uw computer opnieuw op te starten.

Gefeliciteerd, u heeft zojuist uw eerste Active Directory-domein gemaakt! Nadat de computer opnieuw is opgestart, kunt u zich aanmelden met het algemene beheerdersaccount. Gebruik hetzelfde wachtwoord als voor de serverupgrade.

U kunt nu doorgaan met het toevoegen van domeincontrollers met verschillende statussen, of meteen beginnen met experimenteren met de directory.

Servers en werkstations toevoegen aan het domein

Servers en werkstations worden op dezelfde manier met het domein verbonden als in Windows NT 4.0.

Op computers met Windows 2000 moet ten minste één IP-adres van de DNS-server zijn geconfigureerd, zodat ze de domeincontroller kunnen detecteren tijdens het verbindingsproces. Het IP-adres van de DNS-server kan automatisch worden gerapporteerd aan clientsystemen met DHCP of handmatig worden ingesteld in het venster met netwerkinstellingen. Zie voor meer informatie over DHCP het Microsoft Dynamic Host Configuration Protocol for Windows 2000 white paper, gepubliceerd op microsoft.com.

Windows NT 4.0 en Microsoft Windows 9x-clientsystemen gebruiken WINS om domeincontrollers te detecteren. U moet WINS installeren en uitvoeren als u wilt dat deze clients deelnemen aan een Windows 2000-domein.

Accounts voor het verbinden van computers kunnen vooraf of tijdens het proces van toetreding tot het domein in het domein worden aangemaakt. Als u dit van tevoren wilt doen, kunt u de tool Active Directory Manager gebruiken.

Het toevoegen van Windows 2000-servers of -werkstations aan een Windows 2000-domein gaat als volgt.

Een Windows-server of werkstation toevoegen aan een domein

• Op het menu Begin selecteer item Instellingen en dan item Controlepaneel.
• Dubbelklik op het pictogram Systeem... (In plaats daarvan kunt u met de rechtermuisknop op het pictogram klikken Mijn computer op het bureaublad en selecteer het item in het dynamische menu Eigendommen.)
• Klik op een bladwijzer Netwerk identificatie.
• Klik op de knop Wijziging om de lidmaatschapsstatus van de computer te wijzigen.
• In de lijst Lid van selecteer item Windows NT beveiligd domein.
• Voer in het huidige invoerveld de volledig gekwalificeerde DNS-naam in van het domein waaraan u de computer wilt toevoegen, bijvoorbeeld "nttest.microsoft.com".
• Klik op de knop Oke.
• Voer de naam en het wachtwoord in van een domeinaccount dat voldoende bevoegdheden heeft om de bewerking uit te voeren om de computer aan het domein toe te voegen. Als u van tevoren een account voor deze computer heeft aangemaakt, voert u de naam en het wachtwoord in van de gebruiker die ermee gaat werken. Als u een account wilt maken tijdens het deelnameproces, voert u de gebruikersnaam en het wachtwoord in van een gebruiker die toestemming heeft om objecten te maken in de standaardcomputers-container. In ieder geval zijn domeinbeheerdersrechten voldoende.
• Klik op de knop Oke gebruikersnaam en wachtwoord te verzenden.
• Als de poging tot deelname mislukt, heeft u mogelijk de verkeerde domeinnaam ingevoerd of een gebruikersaccount gebruikt dat niet over voldoende rechten beschikt. Als de verbinding is gelukt, verschijnt er een bevestigingsbericht. Klik op de knop Oke.
• Klik op de knop Oke om het herstartwaarschuwingsvenster te sluiten.
• Klik op de knop Oke om het systeempaneel te sluiten.
• Klik op de knop Ja om uw computer opnieuw op te starten.
• Na het opnieuw opstarten wordt de computer toegevoegd aan het domein.

Een back-updomeincontroller toevoegen aan het domein

De Active Directory-installatiewizard wordt gebruikt om domeinback-ups te maken.

Opmerking: Voordat u DCpromo start, moet u de computer toevoegen aan het domein dat u wilt kopiëren. Volg hiervoor de instructies in de sectie "Servers en werkstations toevoegen aan het domein". Als u klaar bent, start u Dcpromo en volgt u de onderstaande stappen. Het toevoegen van de computer aan het domein voordat het wordt gepromoot, is in toekomstige releases optioneel.

Domeinkopie maken

• Klik op de knop Begin en selecteer het item uit het menu Loop.
• Binnenkomen dcpromo en druk op de knop Oke.
• De DCpromo-wizard wordt gestart. Klik op de knop Volgende ermee verder te werken.
• Selecteer item Replica domeincontroller in bestaand domein en druk op de knop Volgende.
• Voer de volledig gekwalificeerde DNS-naam in van het domein dat u wilt dupliceren, bijvoorbeeld 'nttest.microsoft.com', en klik op Volgende.
• Voer de naam, het wachtwoord en het domein in van een gebruikersaccount met beheerdersrechten in het domein dat u kopieert en klik op Volgende.

Nadat u uw computer opnieuw hebt opgestart, functioneert deze als een kopie van de domeincontroller in het domein dat u hebt opgegeven.

Een onderliggend domein toevoegen

De Active Directory-installatiewizard wordt gebruikt om een ​​onderliggend domein in een bestaande boomstructuur te maken.

Opmerking: Voordat u DCpromo start, moet u de computer toevoegen aan het domein dat het bovenliggende domein zal zijn van de nieuwe. Volg hiervoor de instructies in de sectie "Servers en werkstations toevoegen aan het domein". Als u klaar bent, start u Dcpromo en volgt u de onderstaande stappen. Het toevoegen van de computer aan het domein voordat het wordt gepromoot, is in toekomstige releases optioneel.

Een onderliggend domein toevoegen via een beheerdersitem

Log in met een lokaal beheerdersaccount. Als u een upgrade uitvoert van een Windows NT 4.0 standby-domeincontroller, bent u al ingeschreven.

• Klik op de knop Begin en selecteer het item uit het menu Loop.
• Binnenkomen dcpromo en druk op de knop Oke.
• De DCpromo-wizard wordt gestart. Klik op de knop Volgende ermee verder te werken.
• Selecteer item Nieuw domein en druk op de knop Volgende.
• Selecteer item Nieuw onderliggend domein maken en druk op de knop Volgende.
• Voer de volledig gekwalificeerde DNS-naam in van een bestaand domein dat het bovenliggende domein zal zijn van het nieuwe domein in de structuur, bijvoorbeeld "nttest.microsoft.com", en klik op Volgende.
• Voer een korte naam in voor het nieuwe onderliggende domein, zoals "redmond". De bovenliggende domeinnaam wordt aan deze naam toegevoegd om de volledig gekwalificeerde DNS-naam van het onderliggende domein te maken, bijvoorbeeld 'redmond.nttest.microsoft.com'.
• Klik op de knop Volgende
• DCpromo zal u om de NetBIOS-domeinnaam vragen. Voor achterwaartse compatibiliteit met clients zoals Windows NT 4.0, wordt deze naam gebruikt om het domein te identificeren. Gebruik de voorgestelde naam of voer een andere in en klik op Volgende.
• Voer de naam, het wachtwoord en het domein in van een gebruikersaccount met beheerdersrechten in het bovenliggende domein en klik op Volgende.
• Voltooi de wizard op dezelfde manier als bij het maken van het eerste domein in het forest.

Opmerking: In toekomstige versies kunt u de bevoegdheid om onderliggende domeinen aan te maken delegeren aan individuele gebruikers of groepen. Tegelijkertijd hoeven ze niet de volledige administratieve bevoegdheid in het bovenliggende domein over te dragen.

Nadat de computer opnieuw is opgestart, functioneert deze als de eerste controller in het nieuwe onderliggende domein.

Een boom toevoegen aan het bos

De wizard Active Directory installeren wordt gebruikt om nieuwe bomen in een bestaand forest te maken.

Opmerking: Voordat u DCpromo start, moet u de computer toevoegen aan het hoofddomein van het forest. Het hoofddomein is het eerste domein dat u aanmaakt. Volg de instructies in de sectie "Servers en werkstations toevoegen aan het domein". Als u klaar bent, start u Dcpromo en volgt u de onderstaande stappen. Het toevoegen van de computer aan het domein voordat het wordt gepromoot, is in toekomstige releases optioneel.

Een boom aan het bos toevoegen via de beheerder

• Log in met een lokaal beheerdersaccount. Als u een upgrade uitvoert van een Windows NT 4.0 standby-domeincontroller, bent u al ingeschreven.
• Klik op de knop Begin en selecteer het item uit het menu Loop.
• Binnenkomen dcpromo en druk op de knop Oke.
• De DCpromo-wizard wordt gestart. Klik op de knop Volgende ermee verder te werken.
• Selecteer item Nieuw domein en druk op de knop Volgende.
• Selecteer item Nieuwe domeinboom maken en druk op de knop Volgende.
• Selecteer item Zet dit domein in een bestaand forest en druk op de knop Volgende.
• Voer de volledig gekwalificeerde DNS-naam van het forest-hoofddomein in, zoals 'nttest.microsoft.com'.
• Voer de volledig gekwalificeerde DNS-naam van de nieuwe structuur in, bijvoorbeeld "ntdev.microsoft.com". Deze naam kan niet ondergeschikt of superieur zijn aan een van de bomen in het bos. Als er bijvoorbeeld één structuur met de naam "nttest.microsoft.com" in uw forest is, kunt u geen nieuwe structuur met de naam "microsoft.com" (dominant) maken, noch een nieuwe structuur met de naam "redmond.nttest.microsoft.com. "(Ondergeschikt).
• Klik op de knop Volgende... DCpromo zal controleren of een dergelijke naam al bestaat.
• DCpromo zal u om de NetBIOS-domeinnaam vragen. Voor achterwaartse compatibiliteit met clients zoals Windows NT 4.0, wordt deze naam gebruikt om het domein te identificeren. Gebruik de voorgestelde naam of voer een andere in en klik op Volgende.
• Voer de naam, het wachtwoord en het domein in van een gebruikersaccount met beheerdersrechten in het foresthoofddomein en klik vervolgens op Volgende.
• Voltooi de wizard op dezelfde manier als bij het maken van het eerste domein in het forest.

Nadat de computer opnieuw is opgestart, zal deze functioneren als de eerste controller in de nieuwe boom.

Als u Microsoft DNS Server gebruikt die bij Windows NT wordt geleverd, kunt u de volgende aanvullende functies configureren en verkennen:

Reverse adres resolutie

Integratie met Active Directory, waarmee u ook het volgende kunt configureren:

Beveiligde dynamische update

Extra DNS-servers voor fouttolerantie

De configuratieprocedures voor elk van deze tools worden hieronder beschreven.

Omgekeerde adresresolutie configureren

Meestal wordt een DNS-server gebruikt om namen om te zetten in IP-adressen, een proces dat bekend staat als forward lookup. Bovendien kan het worden gebruikt om IP-adressen weer om te zetten naar namen. Dit proces wordt reverse lookup genoemd. Het wordt afzonderlijk van de directe naamomzetting geconfigureerd. Hoewel het omgekeerde geen Windows 2000- of Active Directory-adresresolutie vereist om correct te werken, kan de mogelijkheid om IP-adressen om te keren naar computernamen handig zijn bij het oplossen van netwerkproblemen.

Omgekeerde adresresolutie configureren

• Klik op de knop Begin, selecteer menu-item Programma's, dan - wijs Administratieve hulpmiddelen en tot slot paragraaf DNS-beheer.
• Klik op de map Omgekeerde opzoekzones.
• Klik met de rechtermuisknop op de map Omgekeerde opzoekzones en selecteer het item in het dynamische menu Een nieuwe zone maken.
• Volgende.
• Selecteer item Geïntegreerde Active Directory als u een nieuwe zone in een directory wilt opslaan. U kunt het item ook selecteren: Standaard Primair als u de nieuwe zone wilt opslaan in een standaard reverse zone lookup-bestand.
• Voer de informatie in over het subnet waarvoor u omgekeerde adresresolutie wilt inschakelen. Als uw subnet bijvoorbeeld klasse B-adressen van 157.55.80/20 heeft, geeft u 157.55.80.0 op als de subnet-ID en 255.255.240.0 als het subnetmasker. Klik op de knop Volgende.
• Als u Standard Primary hebt geselecteerd, vraagt ​​de wizard u om een ​​naam voor het nieuwe zonebestand. Accepteer de standaard of voer een nieuwe naam in. Klik op de knop Volgende.
• Controleer de juistheid van de ingevoerde informatie in het laatste venster van de wizard en klik op de knop Finish.
• Klik op de zone voor het oplossen van het omgekeerde adres die u zojuist hebt gemaakt.
• Eigendommen.
• Op het tabblad hoofdeigenschappen Algemeen selecteer item Updates toestaan of paragraaf Beveiligde updates toestaan in de vervolgkeuzelijst Dynamische update.
• Klik op de knop Oke om het dialoogvenster met zone-eigenschappen te sluiten.

Herhaal dit proces voor elk subnet waarvoor u omgekeerde adresresolutie wilt ondersteunen.

Als uw DNS-server niet de enige op het netwerk is, moet u delegatie-informatie invoeren in uw bestaande DNS-systeem zodat andere DNS-servers uw zone kunnen vinden. Zie de documentatie voor uw DNS-servers voor informatie over hoe u dit doet.

Integratie met Active Directory

Microsoft DNS Server in Windows 2000 kan gegevens niet opslaan in standaard zonebestanden, maar in Active Directory. Tegelijkertijd worden dubbele zones ondersteund op domeincontrollers en kunnen ze worden geladen door elke DNS-server die op een domeincontroller draait. Op deze manier worden de voordelen van een dynamische update met meerdere masterkopieën gerealiseerd.

Als uw zones met Active Directory zijn geïntegreerd, kunt u:

Organiseer veilige dynamische update. Configureer eenvoudig extra DNS-servers voor meer veerkracht. U kunt zoveel zones in Active Directory integreren als u wilt.

Zones toevoegen aan Active Directory

• Klik op de knop Begin, selecteer menu-item Programma's, dan - wijs Administratieve hulpmiddelen en tot slot paragraaf DNS-beheer.
• Klik op het DNS Server-object om het uit te vouwen.
• Klik op de map Voorwaartse opzoekzones of map Omgekeerde opzoekzones om het uit te breiden.
• Klik op de zone die u in Active Directory wilt opslaan.
• Druk op de rechtermuisknop en selecteer het item in het dynamische menu Eigendommen.
• Op het tabblad hoofdeigenschappen Algemeen druk op de knop Wijziging om het zonetype te wijzigen.
• Selecteer item Active Directory geïntegreerd primair en druk op de knop Oke.
• Klik op de knop Oke om uw keuze te bevestigen.
• Klik op de knop Oke
• Afhankelijk van de grootte van de zone kan de conversie enkele minuten duren.
• Herhaal dit proces voor elke voorwaartse en achterwaartse opzoekzone die u in Active Directory wilt opslaan.

Opmerking: In tegenstelling tot sommige pre-releaseversies van Windows 2000, hoeft u uw domein niet langer in te stellen op de systeemeigen modus voordat u DNS met Active Directory integreert.

Organisatie van veilige dynamische updates

Voor met Active Directory geïntegreerde zones kunt u veilige dynamische updates organiseren. Alleen de computers die u opgeeft, kunnen echter nieuwe elementen in de zone toevoegen of bestaande elementen wijzigen. Standaard kunnen alle geverifieerde computers in het forest nieuwe items in de zone maken, en alleen de computer die de naam heeft gemaakt, kan de bijbehorende gegevens wijzigen.

U kunt beveiligde dynamische updates inschakelen in alle met Active Directory geïntegreerde zones.

Veilige dynamische updates inschakelen

• Klik op de knop Begin, selecteer menu-item Programma's, dan - wijs Administratieve hulpmiddelen en tot slot paragraaf DNS-beheer.
• Klik op het DNS Server-object om het uit te vouwen.
• Klik op de map Voorwaartse opzoekzones of map Omgekeerde opzoekzones om het uit te breiden.
• Selecteer de met Active Directory geïntegreerde zone waarvoor u beveiligde dynamische update wilt inschakelen.
• Druk op de rechtermuisknop en selecteer het item in het dynamische menu Eigendommen.
• Op het tabblad hoofdeigenschappen Algemeen selecteer item Alleen beveiligde updates toestaan in de vervolgkeuzelijst Dynamische update.
• Klik op de knop Oke om de eigenschappenbalk te sluiten.
• Op dezelfde manier kunt u veilige dynamische update inschakelen voor een willekeurig aantal zones.

Extra DNS-servers installeren om de fouttolerantie te vergroten

Als u gebruik heeft gemaakt van de mogelijkheid om uw zones in Active Directory te integreren, kunt u eenvoudig extra DNS-servers installeren en configureren om de belasting te verdelen en de veerkracht te verbeteren. Om dit te doen, installeert u eenvoudig Microsoft DNS Server op kopieën van de domeincontroller en voegt u er Active Directory-geïntegreerde zones aan toe.

DNS-servers installeren om de veerkracht te verbeteren

• Installeer Microsoft DNS Server op de back-updomeincontroller. Het installatieproces wordt beschreven in de sectie "Het eerste domein in het forest maken".

Klik op de knop Begin, selecteer menu-item Programma's, dan - wijs Administratieve hulpmiddelen en tot slot paragraaf DNS-beheer.

• Klik op het DNS Server-object om het uit te vouwen.
• Selecteer een map Voorwaartse opzoekzones.
• Druk op de rechtermuisknop en selecteer het item in het dynamische menu Nieuwe zone maken.
• De wizard voor het maken van een nieuwe zone wordt gestart. Klik op de knop Volgende.
• Selecteer item Geïntegreerde Active Directory en druk op de knop Volgende.
• Voer de naam in van de zone die u op de vorige DNS-server hebt gecatalogiseerd en klik op Volgende.
• Klik op de knop Finish.

Herhaal dit proces vanaf stap 4 voor elke met Active Directory geïntegreerde zone die bestaat op de eerste DNS-server in dat domein. Als u nieuwe Active Directory-geïntegreerde zones op deze of een andere server aanmaakt, moet u deze ook op alle andere servers maken, zodat ze de juiste informatie kunnen downloaden.

Opmerking: In toekomstige versies hoeft u niet handmatig zones toe te voegen aan de DNS-server. De server zal automatisch alle zones downloaden die hij in de directory vindt.

Een domein overschakelen naar een "natuurlijke" (native) werkingsmodus

Het aangemaakte domein wordt standaard uitgevoerd in de gemengde modus. Dit kunnen Windows NT 4.0 Backup Controllers (BDC's) in het domein zijn. Wanneer alle stand-by Windows NT 4.0-controllers zijn geüpgraded of uitgeschakeld, kunt u het domein overschakelen naar de systeemeigen modus.

Het enige verschil tussen gemengde en natuurlijke werking zijn de beperkingen op hoe domeincontrollers kunnen worden opgenomen in groepen en hoe groepslidmaatschap wordt afgehandeld wanneer een gebruiker zich aanmeldt bij het netwerk. Door over te schakelen naar de natuurlijke modus kunt u profiteren van enkele van de nieuwe functies van Windows-beveiligingsgroepen 2000 , bijvoorbeeld de mogelijkheid om geneste groepen te organiseren.

Opmerking: In tegenstelling tot sommige eerdere preview-versies van Windows 2000, kan replicatie van meerdere masters plaatsvinden tussen Windows 2000-domeincontrollers, zelfs in de oorspronkelijke modus.

Volg de onderstaande procedure om over te schakelen naar de natuurlijke modus. Er mogen zich echter geen Windows NT 4.0-standbycontrollers in het domein bevinden. Na het overschakelen naar de natuurlijke modus is het niet mogelijk om terug te schakelen naar de gemengde modus.

Overschakelen naar natuurlijke modus

• Klik op de knop Begin, selecteer menu-item Programma's, dan - wijs Administratieve hulpmiddelen en tot slot paragraaf Active Directory voor gebruikers en computers
• Klik op het domeinknooppunt.
• Druk op de rechtermuisknop en selecteer het item in het dynamische menu Eigendommen.
• Op het tabblad hoofdeigenschappen Algemeen druk op de knop Modus wijzigen.
• Klik op de knop Ja bevestigen.
• Klik op de knop Oke om de eigenschappenbalk te sluiten.
• Klik op de knop OK na het lezen van de herstartinformatie. Elke domeincontroller moet opnieuw worden opgestart na het veld Modus op het tabblad hoofdeigenschappen Algemeen wordt ingesteld op de oorspronkelijke modus.
• Sluit de Directory Management-console.
• Start uw computer opnieuw op om de wijzigingen door te voeren.

Downgrade: gedegradeerde Active Directory-domeincontrollers

Een computer die de rol van domeincontroller speelt, kan worden omgezet in een afzonderlijke server of een domeinlidserver. Dit proces wordt ook wel demotie genoemd. Door een server te downgraden, wordt deze uit de forest- en DNS-configuratie verwijderd. Degradatie van de laatste domeincontroller in een domein betekent het einde van het domein.

Het foresthoofddomein kan alleen worden verwijderd als dit het laatste is dat nog in het forest is.

Bij downgraden worden de directory en alle beveiligings-principals van de server verwijderd en vervangen door de standaard beveiligingsdatabase. Het komt overeen met de database die wordt aangemaakt tijdens een schone installatie van Windows 2000.

Om het te laten werken "degradeert" de domeincontroller

• Klik op de knop Begin en selecteer het item uit het menu Loop.
• Voer de opdracht in dcpromo en druk op de knop Oke.
• De DCpromo-wizard wordt gestart. Klik op de knop Volgende ermee verder te werken.
• Selecteer item Dit is de laatste domeincontroller in het domein indien van toepassing en klik op Volgende.
• Na de downgrade wordt er een nieuwe beveiligingsdatabase aangemaakt. Voer en bevestig een nieuw wachtwoord voor het beheerdersaccount en klik vervolgens op Volgende.
• Klik op de knop Volgende om het degradatieproces te starten.
• Klik op de knop Finish om de wizard te voltooien.
• Klik op de knop Nu opnieuw opstarten om de server opnieuw te starten.

DNS-servers van derden gebruiken

Microsoft DNS Server meegeleverd met Windows 2000 is optioneel. Windows 2000 vereist echter het gebruik van een DNS-server die de volgende standaarden ondersteunt:

Service Locatie Resource Records (SRV RR) RFC 2052

Dynamisch update-protocol, RFC 2136

Deze preview-versie van Windows 2000 is getest op compatibiliteit met BIND Server versie 8.1.2. Zie de documentatie voor uw BIND-server voor details over het configureren van dynamische updates met behulp van de update-instructie.

Ik had de behoefte om de Active Directory-service op geografisch gescheiden plaatsen te implementeren, waarvan de netwerken zijn verbonden via vpn. Op het eerste gezicht lijkt de taak eenvoudig, maar persoonlijk heb ik dergelijke dingen nog nooit eerder gedaan, en met een vluchtige zoektocht kon ik in dit geval geen enkele afbeelding of actieplan vinden. Ik moest informatie verzamelen uit verschillende bronnen en zelf de instellingen uitzoeken.

In dit artikel leer je:

Installatie van Active Directory op verschillende subnetten plannen

We hebben dus twee subnetten 10.1.3.0/24 en 10.1.4.0/24 , die elk een aantal computers en een netwerkbal hebben. Dit alles moet je combineren in één domein. De netwerken zijn met elkaar verbonden door een vpn-tunnel, computers pingen elkaar in beide richtingen, er zijn geen problemen met netwerktoegang.

Voor een normale werking van de Active Directory-services zullen we op elk subnet een domeincontroller installeren en de replicatie daartussen configureren. We zullen Windows Server 2012R2 gebruiken. De volgorde van acties is als volgt:

• We installeren een domeincontroller in één subnet, verhogen er een nieuw domein op in een nieuw forest
• Installeer een domeincontroller op het tweede subnet en voeg deze toe aan het domein
• Replicatie tussen domeinen configureren

De eerste domeincontroller krijgt een naam xs-winsrv met adres 10.1.3.4 , tweede - xm-winsrv 10.1.4.6... Het domein dat we gaan maken heet xs.local

Domeincontrollers configureren om op verschillende subnetten te draaien

De eerste stap is het installeren van een domeincontroller in het nieuwe forest op de eerste server xs-winsrv... Ik zal hier niet in detail op ingaan, er zijn veel tutorials en instructies over dit onderwerp op internet. Wij doen alles standaard, installeren AD, DHCP en DNS services. We specificeren het lokale ip-adres als de eerste DNS-server en als de tweede 127.0.0.1 :

Installeer vervolgens Windows Server 2012R2 op de tweede server xm-winsrv... Nu nemen we een aantal belangrijke stappen, zonder welke het niet zal werken om een ​​tweede server aan het domein toe te voegen. Beide servers moeten elkaar op naam pingen. Om dit te doen, voegt u vermeldingen over elkaar toe aan de bestanden C: \ Windows \ System32 \ drivers \ etc \ host.

V xs-winsrv voeg de regel toe:

10.1.4.6 xm-winsrv

V xm-winsrv toevoegen:

10.1.3.4 xs-winsrv

Nu voor het tweede belangrijke punt. op server xm-winsrv we specificeren de eerste domeincontroller 10.1.3.4 als de eerste DNS-server:

Nu zullen beide servers elkaar oplossen. Laten we het eerst op de server controleren xm-winsrv die we aan het domein zullen toevoegen:

Daarna de server xs-winsrv je moet overstappen van de site Standaard-voor-site-naam naar de nieuwe site die voor hem is gemaakt. U bent nu klaar om een ​​tweede server aan het domein toe te voegen.

Een tweede domeincontroller toevoegen vanuit een ander subnet

We gaan naar de tweede server xm-winsrv, starten de wizard voor het toevoegen van rollen en voegen, zoals op de eerste server, 3 rollen toe - AD, DNS, DHCP. Wanneer de Active Directory Domain Services-configuratiewizard wordt gestart, selecteert u daar het eerste item - Een domeincontroller toevoegen aan een bestaand domein, wij geven ons domein aan xs.local:

In de volgende stap, in de parameters van de domeincontroller, specificeren we de naam van de site waaraan we de controller zullen koppelen:

Laat me je eraan herinneren dat dit een site moet zijn waaraan het 10.1.4.0/24-subnet is gebonden. De eerste en tweede controller komen op verschillende locaties terecht. Vergeet niet het vakje aan te vinken Globale catalogus (GC)... Dan laten we alle instellingen standaard staan.

Nadat de server opnieuw is opgestart, verschijnt deze in het domein xs.local... Inloggen als lokale beheerder werkt niet; u moet een domeinaccount gebruiken. We gaan naar binnen, we controleren of de replicatie met de hoofddomeincontroller heeft plaatsgevonden, of de DNS-records gesynchroniseerd zijn. Dit alles ging goed voor mij, de tweede domeincontroller nam alle gebruikers en DNS-records van de eerste. Op beide servers in de Active Directory-module - Sites en Services worden beide controllers weergegeven, elk op een eigen site:

Dat is alles. U kunt computers in beide kantoren toevoegen aan het domein.

Ik zal nog een belangrijk punt toevoegen voor degenen die dit allemaal op virtuele machines zullen configureren. Het is absoluut noodzakelijk om tijdsynchronisatie met de hypervisor op de gastsystemen uit te schakelen. Als dit niet gebeurt, kunnen de domeincontrollers op een gegeven moment ziek worden.

Hoop dat ik alles goed heb gedaan. Ik heb geen diepgaande kennis van Active Directory-replicatie. Als iemand opmerkingen heeft over de inhoud van het artikel, schrijf dit dan in de opmerkingen. Ik verzamelde alle informatie voornamelijk van forums, waar ze vragen stelden of problemen oplosten over vergelijkbare onderwerpen van domeinwerking in verschillende subnetten.

Online cursus "Linux Beheerder"

Als je wilt leren hoe je zeer beschikbare en betrouwbare systemen kunt bouwen en onderhouden, raad ik je aan om kennis te maken met online cursus "Linux Beheerder" bij OTUS. De cursus is niet voor beginners, voor toelating heb je basiskennis nodig van netwerken en het installeren van Linux op een virtuele machine. De training duurt 5 maanden, waarna succesvolle afgestudeerden van de cursus interviews met partners kunnen afleggen. Controleer jezelf op de toelatingstest en zie het programma voor details over.

Het hart van een efficiënt bedrijfsnetwerk is een Active Directory-domeincontroller die veel services beheert en veel voordelen biedt.

Er zijn twee manieren om een ​​IT-infrastructuur te bouwen - standaard en casual, wanneer er minimaal voldoende inspanning wordt geleverd om opkomende problemen op te lossen, zonder een duidelijke en betrouwbare infrastructuur te bouwen. Bijvoorbeeld het bouwen van een peer-to-peer netwerk in de hele organisatie en het delen van alle benodigde bestanden en mappen, zonder de mogelijkheid om gebruikersacties te controleren.

Uiteraard is dit pad ongewenst, want uiteindelijk zul je een chaotische wirwar van systemen moeten demonteren en goed organiseren, anders kan het niet functioneren - en je bedrijf daarbij. Dus hoe eerder u de enige juiste beslissing neemt om een ​​bedrijfsnetwerk te bouwen met een domeincontroller, hoe beter voor uw bedrijf op de lange termijn. En dat is waarom.

"Een domein is een basiseenheid van IT-infrastructuur op basis van het Windows-besturingssysteem, een logische en fysieke koppeling van servers, computers, apparatuur en gebruikersaccounts."

Een domeincontroller (DC) is een aparte server met Windows Server OS waarop Active Directory-services draaien, wat het mogelijk maakt om een ​​groot aantal software uit te voeren waarvoor een DC nodig is voor beheer. Voorbeelden van dergelijke software zijn de Exchange-mailserver, de Office 365-cloudsuite en andere enterprise-grade softwareomgevingen van Microsoft.

Naast het zorgen voor de juiste werking van deze platforms, biedt CA bedrijven en organisaties de volgende voordelen:

• Terminal Server implementeren... bespaart aanzienlijke middelen en moeite door constante upgrades van kantoor-pc's te vervangen door een eenmalige investering in het hosten van "thin clients" om verbinding te maken met een krachtige cloudserver.
• Verbeterde beveiliging... Met CA kunt u beleidsregels voor het maken van wachtwoorden instellen en gebruikers dwingen complexere wachtwoorden te gebruiken dan hun geboortedatum, qwerty of 12345.
• Gecentraliseerde toegangscontrole... In plaats van handmatig wachtwoorden op elke computer afzonderlijk bij te werken, kan de cd-beheerder alle wachtwoorden centraal wijzigen in één handeling vanaf één computer.
• Gecentraliseerd beheer van groepsbeleid... Met Active Directory-tools kunt u groepsbeleid maken en toegangsrechten instellen voor bestanden, mappen en andere netwerkbronnen voor specifieke gebruikersgroepen. Dit vereenvoudigt het instellen van nieuwe gebruikersaccounts of het wijzigen van de instellingen voor bestaande profielen aanzienlijk.
• Doorgangsingang... Active Directory ondersteunt pass-through, wanneer de gebruiker bij het invoeren van zijn gebruikersnaam en wachtwoord voor het domein automatisch verbinding maakt met alle andere services zoals e-mail en Office 365.
• Sjablonen voor computerconfiguratie maken... De configuratie van elke individuele computer wanneer deze wordt toegevoegd aan het bedrijfsnetwerk, kan worden geautomatiseerd met behulp van sjablonen. Er kunnen bijvoorbeeld speciale regels worden gebruikt om cd-stations of USB-poorten centraal uit te schakelen, bepaalde netwerkpoorten af ​​te sluiten, enzovoort. Dus in plaats van handmatig een nieuw werkstation te configureren, voegt de beheerder het gewoon toe aan een specifieke groep en worden alle regels voor deze groep automatisch toegepast.

Zoals u kunt zien, biedt het configureren van een Active Directory-domeincontroller tal van voordelen en voordelen voor bedrijven en organisaties van elke omvang.

Wanneer implementeer je een Active Directory Domain Controller in een bedrijfsnetwerk?

We raden u aan te overwegen een domeincontroller voor uw bedrijf te configureren wanneer er meer dan 10 computers op het netwerk zijn aangesloten, aangezien het veel gemakkelijker is om het benodigde beleid voor 10 computers in te stellen dan voor 50. Bovendien, aangezien deze server niet bijzonder presteert resource-intensieve taken, kan een krachtige desktopcomputer zeer geschikt zijn voor deze rol.

Het is echter belangrijk om te onthouden dat deze server wachtwoorden zal opslaan voor toegang tot netwerkbronnen en de domeingebruikersdatabase, het schema van gebruikersrechten en groepsbeleid. Om de continuïteit van de domeincontroller te garanderen, is het noodzakelijk om een ​​back-upserver in te zetten met continu kopiëren van gegevens, en dit kan veel sneller, gemakkelijker en betrouwbaarder worden gedaan met behulp van servervirtualisatie die wordt geboden wanneer het bedrijfsnetwerk in de cloud wordt gehost. Dit voorkomt de volgende problemen:

• Verkeerde DNS-serverinstellingen, wat leidt tot fouten bij de locatie van bronnen in het bedrijfsnetwerk en op internet
• Verkeerd geconfigureerde beveiligingsgroepen wat leidt tot fouten in gebruikerstoegangsrechten tot netwerkbronnen
• Onjuiste OS-versies... Elke versie van Active Directory ondersteunt specifieke thin client-versies van Windows-desktopbesturingssystemen
• Afwezigheid of verkeerde instelling automatisch gegevens kopiëren naar de back-updomeincontroller.