Jeg hadde et behov for å distribuere Active Directory-tjenesten på geografisk atskilte steder, hvis nettverk er koblet til ved hjelp av vpn. Ved første øyekast virker oppgaven enkel, men personlig har jeg aldri gjort slike ting før, og med et overfladisk søk kunne jeg ikke finne noe enkelt bilde eller handlingsplan i denne saken. Jeg måtte samle informasjon fra ulike kilder og finne ut av innstillingene selv.
I denne artikkelen lærer du:
Planlegging av Active Directory-installasjon på forskjellige undernett
Så vi har to undernett 10.1.3.0/24 og 10.1.4.0/24 , som hver har et antall datamaskiner og en nettverkskule. Du må kombinere alt dette til ett domene. Nettverkene er sammenkoblet med en vpn-tunnel, datamaskiner pinger hverandre i begge retninger, det er ingen problemer med nettverkstilgang.
For normal drift av Active Directory-tjenestene vil vi installere en domenekontroller på hvert subnett og konfigurere replikering mellom dem. Vi vil bruke Windows Server 2012R2. Rekkefølgen av handlinger er som følger:
- Vi installerer en domenekontroller i ett subnett, reiser et nytt domene på den i en ny skog
- Installer en domenekontroller på det andre subnettet og legg den til domenet
- Konfigurere replikering mellom domener
Den første domenekontrolleren vil bli navngitt xs-winsrv med adresse 10.1.3.4 , sekund - xm-winsrv 10.1.4.6... Domenet som vi skal opprette vil bli kalt xs.local
Konfigurere domenekontrollere til å kjøre på forskjellige undernett
Det første trinnet er å installere en domenekontroller i den nye skogen på den første serveren xs-winsrv... Jeg vil ikke dvele på dette i detalj, det er mange opplæringsprogrammer og instruksjoner om dette emnet på Internett. Vi gjør alt som standard, installerer AD, DHCP og DNS tjenester. Vi spesifiserer den lokale ip-adressen som den første DNS-serveren, og som den andre 127.0.0.1 :
Installer deretter Windows Server 2012R2 på den andre serveren xm-winsrv... Nå tar vi flere viktige skritt, uten hvilke det ikke vil fungere å legge til en ekstra server til domenet. Begge serverne må pinge hverandre etter navn. For å gjøre dette, legg til oppføringer om hverandre i filene C: \ Windows \ System32 \ drivere \ etc \ vert.
V xs-winsrv legg til linjen:
10.1.4.6 xm-winsrv
V xm-winsrv legge til:
10.1.3.4 xs-winsrv
Nå til det andre viktige punktet. På server xm-winsrv vi spesifiserer den første domenekontrolleren 10.1.3.4 som den første DNS-serveren:
Nå vil begge serverne løse hverandre. La oss sjekke det først og fremst på serveren xm-winsrv som vi legger til domenet:
Etter det serveren xs-winsrv du må overføre fra nettstedet Default-First-Site-Name til det nye nettstedet som er opprettet for ham. Du er nå klar til å legge til en andre server til domenet.
Legger til en andre domenekontroller fra et annet subnett
Vi går til den andre serveren xm-winsrv, starter veiviseren for å legge til roller og legger til, som på den første serveren, 3 roller - AD, DNS, DHCP. Når Active Directory Domain Services Configuration Wizard er startet, velg det første elementet der - Legg til en domenekontroller til et eksisterende domene, indikerer vi vårt domene xs.local:
I neste trinn, i parametrene til domenekontrolleren, spesifiserer vi navnet på nettstedet som vi vil knytte kontrolleren til:
La meg minne deg på at dette må være et nettsted som 10.1.4.0/24-undernettet er bundet til. Den første og andre kontrolleren havner på forskjellige steder. Ikke glem å merke av i boksen Global katalog (GC)... Da lar vi alle innstillingene være som standard.
Etter å ha startet serveren på nytt, vil den vises i domenet xs.local... Å logge på som lokal administrator vil ikke fungere; du må bruke en domenekonto. Vi går inn, vi sjekker om replikeringen med hoveddomenekontrolleren fant sted, om DNS-postene var synkronisert. Alt dette gikk bra for meg, den andre domenekontrolleren tok alle brukere og DNS-poster fra den første. På begge serverne i Active-Directory snap-in - Sites and Services, vises begge kontrollerene, hver på sitt eget nettsted:
Det er alt. Du kan legge til datamaskiner på begge kontorer til domenet.
Jeg vil legge til et viktig punkt til for de som skal konfigurere alt dette på virtuelle maskiner. Det er viktig å deaktivere tidssynkronisering med hypervisoren på gjestesystemene. Hvis dette ikke gjøres, kan domenekontrollerne på et tidspunkt bli syke.
Håper jeg gjorde alt riktig. Jeg har ingen dyp kunnskap om Active Directory-replikering. Hvis noen har kommentarer til innholdet i artikkelen, skriv om det i kommentarfeltet. Jeg samlet all informasjon hovedsakelig fra fora, der de stilte spørsmål eller løste problemer om lignende emner for domenedrift i forskjellige undernett.
Nettkurs "Linux Administrator"
Hvis du har et ønske om å lære å bygge og vedlikeholde høyst tilgjengelige og pålitelige systemer, anbefaler jeg deg å sette deg inn i nettkurs "Linux Administrator" i OTUS. Kurset er ikke for nybegynnere, for opptak trenger du grunnleggende kunnskap om nettverk og installasjon av Linux på en virtuell maskin. Opplæringen varer i 5 måneder, hvoretter vellykkede kandidater av kurset vil kunne bestå intervjuer med partnere. Sjekk deg selv på opptaksprøven og se programmet for detaljer om.Konfigurering av Active Directory er en ganske enkel prosess og vurderes på mange ressurser på Internett, inkludert offisielle. Likevel, på bloggen min, kan jeg ikke la være å berøre dette punktet, siden de fleste av de videre artiklene på en eller annen måte vil være basert på miljøet, hvis konfigurasjon jeg planlegger å gjøre akkurat nå.
Hvis du er interessert i Windows Server-emner, anbefaler jeg å sjekke ut taggen på bloggen min. Jeg anbefaler også at du leser hovedartikkelen om Active Directory -
Jeg planlegger å distribuere AD-rollen på to virtuelle servere (fremtidige domenekontrollere) etter tur.
- Det første trinnet er å angi riktig servernavn, for meg blir det DC01 og DC02;
- Registrer deg deretter statiske nettverksinnstillinger(Jeg vil vurdere dette øyeblikket i detalj nedenfor);
- Installere alle systemoppdateringer, spesielt sikkerhetsoppdateringer (dette er viktigere for CD enn for noen annen rolle).
På dette stadiet må du bestemme deg hvilket domenenavn vil du ha... Dette er ekstremt viktig, fordi senere endring av domenenavnet vil være et veldig stort problem for deg, selv om skriptet for å endre navn har blitt offisielt støttet og implementert i lang tid.
Merk: n Noen resonnementer, samt mange lenker til nyttig materiale, kan du finne i artikkelen min. Jeg anbefaler at du gjør deg kjent med den, samt med listen over kilder som brukes.
Siden jeg skal bruke virtualiserte domenekontrollere, er det nødvendig å endre noen innstillinger på de virtuelle maskinene, nemlig deaktiver tidssynkronisering med hypervisoren... Tid i AD bør synkroniseres utelukkende fra eksterne kilder. De aktiverte innstillingene for tidssynkronisering med hypervisoren kan resultere i syklisk synkronisering og, som et resultat, problemer med driften av hele domenet.
Merk: deaktivering av synkronisering med virtualiseringsverten er det enkleste og raskeste alternativet. Dette er imidlertid ikke beste praksis. Microsoft anbefaler bare delvis å deaktivere vertssynkronisering. For å forstå hvordan det fungerer, les den offisielle dokumentasjonen, som har økt dramatisk i presentasjonsnivået til materialet de siste årene. .
Generelt er selve tilnærmingen til å administrere virtualiserte domenekontrollere forskjellig på grunn av noen av funksjonene til AD DS:
Virtuelle miljøer er spesielt utfordrende for distribuerte arbeidsflyter som er avhengige av logisk replikering over tid. AD DS-replikering bruker for eksempel en jevnt økende verdi (kalt et USN eller seriell oppdateringsnummer) som er tilordnet transaksjoner på hver domenekontroller. Hver der også tildelt en identifikator kalt InvocationID. InvocationID-en til en domenekontroller og dens rullende oppdateringsnummer fungerer sammen som en unik identifikator som er knyttet til hver skrivetransaksjon som kjører på hver domenekontroller og må være unik i skogen.
Dette fullfører hovedtrinnene for å forberede miljøet, vi fortsetter til installasjonsstadiet.
Installerer Active Directory
Installasjonen utføres gjennom Server Manager og det er ingenting komplisert i det, du kan se i detalj alle stadiene av installasjonen nedenfor:
Selve installasjonsprosessen har gjennomgått noen endringer sammenlignet med tidligere versjoner av operativsystemet:
Å distribuere Active Directory Domain Services (AD DS) i Windows Server 2012 er enklere og raskere enn tidligere versjoner av Windows Server. AD DS-installasjonen er nå Windows PowerShell-basert og integrert med Server Manager. Antallet trinn som kreves for å integrere domenekontrollere i et eksisterende Active Directory-miljø, er redusert.
Du trenger bare å velge en rolle Active Directory-domenetjenester, ingen tilleggskomponenter må installeres. Installasjonsprosessen tar kort tid, og du kan gå rett til oppsettet.
Når rollen er installert, vil du se et utropstegn øverst til høyre i Server Manager - konfigurasjon etter distribusjon er nødvendig. Trykk Markedsfør denne serveren til en domenekontroller.
Serveropprykk til domenekontroller
Trinnene til veiviseren er beskrevet i detalj i dokumentasjonen. La oss imidlertid gå gjennom hovedtrinnene.
Siden vi distribuerer AD fra bunnen av, må vi legge til en ny skog. Sørg for å lagre passordet for Directory Services Restore Mode (DSRM) på en sikker måte. Plasseringen av AD DS-databasen kan stå på standardplasseringen (noe som anbefales, men for en endring har jeg spesifisert en annen katalog i testmiljøet mitt).
Vi venter på installasjonen.
Etter det vil serveren starte seg selv på nytt.
Opprett domene-/bedriftsadministratorkontoer
Du må logge inn under den lokale administratorkontoen, som før. Gå til snap Active Directory-brukere og datamaskiner, opprett de nødvendige kontoene - på dette tidspunktet er det domeneadministratoren.
Konfigurere DNS på en enkelt DC i domenet
Under installasjonen av AD ble AD DNS-rollen også installert, siden jeg ikke hadde noen andre DNS-servere i infrastrukturen. For at tjenesten skal fungere ordentlig, må du endre noen innstillinger. Først må du sjekke dine foretrukne DNS-servere i nettverksadapterinnstillingene. Du trenger kun å bruke én DNS-server med adressen 127.0.0.1. Ja, det er lokalvert. Som standard skal den registrere seg selv.
Etter å ha forsikret deg om at innstillingene er riktige, åpner du snapin-modulen for DNS. Høyreklikk på servernavnet og åpne egenskapene, gå til "Forwarder"-fanen. DNS-serveradressen som ble spesifisert i nettverksinnstillingene før installasjonen av AD DS-rollen ble automatisk registrert som den eneste videresendingen:
Det er nødvendig å slette den og opprette en ny, og det er svært ønskelig at det er leverandørens server, men ikke en offentlig adresse som den velkjente 8.8.8.8 og 8.8.4.4. For feiltoleranse, registrer minst to servere. Ikke fjern merket i boksen for å bruke rothint hvis det ikke er noen videresendinger tilgjengelig. Rotlenker er et velkjent utvalg av DNS-servere på toppnivå.
Legger til en andre DC til domenet
Siden jeg opprinnelig snakket om å ha to domenekontrollere, er det på tide å begynne å sette opp en andre. Vi går også gjennom installasjonsveiviseren, hever rollen til en domenekontroller, bare velg Legg til en domenekontroller til et eksisterende domene:
Vær oppmerksom på at i nettverksinnstillingene til denne serveren, den viktigste Den første domenekontrolleren som er konfigurert tidligere, må velges som DNS-server! Dette er påkrevd, ellers får du en feilmelding.
Etter de nødvendige innstillingene, logg inn på serveren under domeneadministratorkontoen som ble opprettet tidligere.
Konfigurere DNS på flere DC-er i et domene
For å forhindre problemer med replikering, må du endre nettverksinnstillingene igjen og dette må gjøres på hver domenekontroller (og på de tidligere eksisterende også) og hver gang en ny DC legges til:
Hvis du har mer enn tre DC-er i et domene, må du registrere DNS-servere gjennom tilleggsinnstillinger i denne rekkefølgen. Du kan lese mer om DNS i artikkelen min.
Tidsinnstilling
Dette trinnet er et must, spesielt hvis du setter opp et ekte miljø i produksjonen. Som du husker, deaktiverte jeg tidligere tidssynkronisering gjennom hypervisoren, og nå må jeg konfigurere den riktig. En kontroller med FSMO PDC-emulatorrollen er ansvarlig for å distribuere riktig tid til hele domenet (Vet du ikke hva denne rollen er? Les artikkelen). I mitt tilfelle er dette selvfølgelig den første domenekontrolleren, som er den opprinnelige bæreren for alle FSMO-roller. 
Vi vil konfigurere tiden på domenekontrollere ved å bruke gruppepolicyer. Som en påminnelse er domenekontrollerens datamaskinkontoer i en separat beholder og har en egen standard gruppepolicy. Det er ikke nødvendig å gjøre endringer i denne policyen, det er bedre å lage en ny.
Gi det et navn etter eget ønske og hvordan objektet skal lages, høyreklikk - Endring... Gå til Datamaskinkonfigurasjon \ Retningslinjer \ Administrative maler \ System \ Windows Time Service \ Tidsleverandører... Vi aktiverer retningslinjene Aktiver Windows NTP-klient og Aktiver Windows NTP Server, gå til egenskapene til policyen Konfigurer Windows NTP-klient og angi protokolltypen - NTP, ikke berør resten av innstillingene:
Vi venter på at retningslinjene skal brukes (det tok meg omtrent 5-8 minutter, til tross for at jeg kjørte gpupdate / force og et par omstarter), hvoretter vi får:
Generelt er det nødvendig å sørge for at bare PDC-emulatoren synkroniserer tiden fra eksterne kilder, og ikke alle domenekontrollere på rad, men det vil være slik, siden gruppepolicy brukes på alle objekter i beholderen. Det er nødvendig å re-målrette det til et spesifikt objekt på datamaskinkontoen som eier PDC-emulatorrollen. Dette gjøres også gjennom gruppepolicyer - i gpmc.msc-konsollen venstreklikker du på ønsket policy og til høyre vil du se innstillingene. I sikkerhetsfiltrene må du legge til kontoen til den nødvendige domenekontrolleren:
Les mer om hvordan tidstjenesten fungerer og hvordan du konfigurerer den i den offisielle dokumentasjonen.
Dette fullfører tidsinnstillingen, og med det den første konfigurasjonen av Active Directory.
God ettermiddag.
Det var en oppgave, hvis essens er beskrevet i emnet. Her er notatet mitt, jeg vil si med en gang at det er nesten helt omskrevet fra denne siden: tyts som tusen takk til forfatteren.
1. Litt teori
Active Directory(Lengre AD) - Microsoft Corporation-katalogtjeneste for OS-familien WindowsNT. AD lar administratorer bruke gruppepolicy for å sikre en konsistent brukeropplevelse, distribuere programvare til flere datamaskiner gjennom gruppepolicy gjennom System Center Configuration Manager, installer og oppdater operativsystemet. AD lagrer data og miljøinnstillinger i en sentralisert database. Nettverk AD kan være av forskjellige størrelser: fra flere titalls til flere millioner objekter.2. Forberedelse
For å angi rollen AD vi må:1) Angi et passende navn for datamaskinen
Vi åpner Start -> Kontrollpanel -> System, til venstre, klikk på " Endre parametere". V" System egenskaper"på fanen" Datamaskinnavn"trykk på knappen" Endring"og i felten" Datamaskinnavn"skriv inn navnet (jeg skrev inn ADserver) og klikk " OK". En advarsel vil vises om behovet for å starte systemet på nytt for at endringene skal tre i kraft, vi godtar ved å klikke" OK". V" System egenskaper"trykk" Lukk"og godta å starte på nytt.
2) Angi nettverksinnstillinger
Vi åpner Start -> Kontrollpanel -> Nettverk og delingssenter -> Endre adapterparametere... Etter å ha høyreklikket på tilkoblingen, velg elementet " Egenskaper"fra kontekstmenyen. På" Nettverk"plukke ut" Internett-protokoll versjon 4 (TCP / IPv4)"og trykk" Egenskaper".
Jeg spurte:
IP adresse: 192.168.10.252
Nettverksmaske: 255.255.255.0
Hovedinngang: 192.168.10.1
Foretrukket DNS-server: 127.0.0.1 (siden den lokale DNS-serveren vil være plassert her)
Alternativ DNS-server: 192.168.10.1
Dette er innstillingene fordi denne maskinen er på nettverket mitt for vyatta, Jeg beskrev innstillingene i det siste innlegget: tyts.
Så trykker vi " OK"og" Lukk".
Forberedelsen er over, la oss nå gå videre til å sette rollen.
3. Rolleinnstillinger
For å installere en rolle ADåpne datamaskinen Start -> Server manager... La oss velge " Legg til roller og komponenter".
Da starter den" Veiviser for å legge til roller og funksjoner".
3.1 På det første stadiet minner veiviseren deg på hva du skal gjøre før du begynner å legge til en rolle på datamaskinen, bare klikk " Lengre".
3.2 Velg nå " Installere roller og funksjoner"og trykk" Lengre".
3.3 Velg datamaskinen som vi vil installere rollen på AD og igjen " Lengre".
3.4 Nå må vi velge hvilken rolle vi vil installere, velg " Active Directory-domenetjenester"og vi vil bli bedt om å installere de nødvendige komponentene og rolletjenestene for rollen AD godta ved å klikke " Legg til komponenter" og igjen " Lengre".
3.5 Her vil de tilby å installere komponentene, men vi trenger dem ikke ennå, så bare klikk " Lengre".
3.6 Nå skal vi få en beskrivelse av rollen " Active Directory-domenetjenester". La oss lese nøye og trykke" Lengre".
3.7 Vi vil se nøyaktig hva vi vil sette på serveren, hvis alt er bra, klikk på " Installere".
3.8 Etter installasjonen klikker du bare " Lukk".
4. Konfigurere Active Directory-domenetjenester
La oss nå konfigurere domenetjenesten ved å kjøre " Konfigurasjonsveiviser for Active Directory Domain Services"(klikk på ikonet" Varsler" (avmerkingsboksen) v " Server Manager"og velg deretter" Markedsfør denne serveren til en domenekontroller").
4.1 Velge " Legg til en ny skog"og skriv inn vårt domene i feltet" Rotdomenenavn"(Jeg bestemte meg for å ta et standard domene for slike tilfeller test.local) og klikk " Lengre".
4.2 I denne menyen kan du stille inn kompatibiliteten til skogfunksjonsnivået og rotdomenet. Siden jeg har alt fra bunnen av, vil jeg la det være som standard (i driftsmodus " Windows Server 2012"). Du kan også deaktivere DNS-server, men jeg bestemte meg for å forlate det siden jeg vil ha min egen lokale DNS-server. Og du må også angi et passord DSRM (Katalogtjenestegjenopprettingsmodus-dus), angi et passord og stikk " Lengre".
4.3 På dette stadiet advarer konfigurasjonsveiviseren oss om at domenet test.local det er ikke delegert til oss, vel, dette er logisk, ingen ga det til oss, det vil bare eksistere i nettverket vårt, så vi klikker bare " Lengre".
4.4 Kan endres NetBIOS navnet som ble automatisk tildelt, det vil jeg ikke gjøre, så trykk på " Lengre".
4.5 Her kan vi endre stiene til databasekatalogene AD DS (Active Directory-domenetjenester- AD-domenetjeneste), loggfiler, samt katalogen SYSVOL... Jeg ser ingen vits i å endre, så bare trykk på " Lengre".
4.6 Nå ser vi en liten oppsummering av hvilke innstillinger vi har valgt.
Umiddelbart, ved å klikke på knappen " Se manus" Vi kan se Kraftskall distribusjonsskript AD DS det ser omtrent slik ut:
4.7 Veiviseren vil sjekke om forutsetningene er oppfylt, vi ser flere kommentarer, men de er ikke kritiske for oss, så trykk på knappen " Installere".
4.8 Etter at installasjonen er fullført, vil datamaskinen starte på nytt.
5. Legge til en ny bruker
5.1 La oss begynne Start -> Kontrollpanel-> Administrasjon -> Active Directory-brukere og datamaskiner... Eller gjennom serverens kontrollpanel:
5.2 Velg domenenavnet ( test.local), høyreklikk og velg " Skape" -> "Underavdeling".
Deretter skriver vi inn navnet på enheten, og vi kan også fjerne beskyttelsen av beholderen mot utilsiktet sletting. Klikk " OK".
5.3 La oss nå opprette en bruker i avdelingen " Brukere". Høyreklikk på enheten og velg" Skape" -> "Bruker". Og fyll inn grunnleggende data: Navn, Etternavn, Logg Inn.
Vi trykker på " Lengre".
La oss nå angi et passord for brukeren. Du kan også stille inn slike ting som:
- Krev endring av brukerpassord ved neste pålogging- når en bruker går inn på vårt domene, vil han bli bedt om å endre passordet sitt.
- Hindre brukeren fra å endre passord- deaktiverer muligheten til å endre passordet av brukeren.
- Passordet utløper ikke- du kan legge igjen passordet så lenge du vil.
- Deaktiver kontoen- gjør brukerkontoen inaktiv.
Vi trykker på " Lengre".
Og nå " Klar".
Active Directory er Microsofts katalogtjeneste for operativsystemer i Windows NT-familien.
Denne tjenesten lar administratorer bruke gruppepolicy for å sikre konsistens i brukermiljøinnstillinger, programvareinstallasjon, oppdateringer og mer.
Hva er essensen av Active Directory og hvilke oppgaver løser det? Les videre.
Peer-to-peer og multi-Rank nettverksprinsipper
Men et annet problem oppstår, hva om bruker2 på PC2 bestemmer seg for å endre passordet sitt? Deretter, hvis bruker1 endrer kontopassordet, vil ikke bruker2 kunne få tilgang til ressursen på PC1.
Et annet eksempel: vi har 20 arbeidsstasjoner med 20 kontoer, som vi ønsker å gi tilgang til noen, for dette må vi opprette 20 kontoer på filserveren og gi tilgang til nødvendig ressurs.
Og hvis det ikke er 20 men 200?
Som du forstår, blir nettverksadministrasjon med denne tilnærmingen til et totalt helvete.
Derfor er arbeidsgruppetilnærmingen egnet for små kontornettverk med ikke mer enn 10 PC-er.
Hvis det er mer enn 10 arbeidsstasjoner i nettet, blir tilnærmingen rasjonelt begrunnet, der én nettverksnode får delegert rettighetene til å utføre autentisering og autorisasjon.
Dette nettstedet er domenekontrolleren - Active Directory.
Domenekontroller
Den behandlingsansvarlige fører en database over kontoer, dvs. den holder poster for både PC1 og PC2.
Nå er alle kontoer registrert én gang på kontrolleren, og behovet for lokale kontoer mister sin mening.
Nå, når en bruker logger på en PC ved å skrive inn brukernavnet og passordet, blir disse dataene overført i lukket form til domenekontrolleren, som utfører autentiserings- og autorisasjonsprosedyrene.
Etter det gir kontrolleren brukeren som logget på, noe sånt som et pass, som han videre jobber med i nettverket og som han presenterer på forespørsel fra andre datamaskiner på nettet, servere hvis ressurser han vil koble til.
Viktig! En domenekontroller er en datamaskin som kjører Active Directory som kontrollerer brukertilgang til nettverksressurser. Den lagrer ressurser (som skrivere, delte mapper), tjenester (som e-post), personer (bruker- og brukergruppekontoer), datamaskiner (datakontoer).
Antallet slike lagrede ressurser kan nå millioner av objekter.
Følgende versjoner av MS Windows kan fungere som en domenekontroller: Windows Server 2000/2003/2008/2012 bortsett fra web-utgaver.
Domenekontrolleren er, i tillegg til å være sentrum for nettverksautentisering, også kontrollsenteret for alle datamaskiner.
Umiddelbart etter at den er slått på, begynner datamaskinen å kontakte domenekontrolleren, lenge før autentiseringsvinduet vises.
Dermed blir ikke bare brukeren som skriver inn påloggingsinformasjonen og passordet autentisert, men også klientdatamaskinen er autentisert.
Installerer Active Directory
La oss se på et eksempel på installasjon av Active Directory på Windows Server 2008 R2. Så for å installere Active Directory-rollen, gå til "Server Manager":
Legg til rollen "Legg til roller":
Velg Active Directory Domain Services-rollen:
Og vi fortsetter med installasjonen:
Så får vi et varslingsvindu om den installerte rollen:
Etter å ha installert domenekontrollerrollen, la oss fortsette med installasjonen av selve domenekontrolleren.
Klikk "Start" i programsøkefeltet, skriv inn navnet på DCPromo-veiviseren, start den og merk av i boksen for avanserte installasjonsinnstillinger:
Klikk "Neste" fra de foreslåtte alternativene, velg opprettelsen av et nytt domene og skog.
Skriv inn domenenavnet, for eksempel eksempel.net.
Vi skriver NetBIOS-domenenavnet, uten sonen:
Vi velger funksjonsnivået for domenet vårt:
På grunn av særegenhetene ved funksjonen til domenekontrolleren, installerer vi også en DNS-server.
I artikkelen vår har vi analysert minimum av teoretisk materiale du trenger å vite før du distribuerer Active Directory Domain Services. I dag starter vi den praktiske delen av syklusen, der vi skal se nærmere på opprettelsen og overgangen til domenestrukturen til nettverket. La oss starte, som alltid, først - i denne artikkelen vil vi vise deg hvordan du distribuerer domenekontrollere på riktig måte.
Før du går videre til den praktiske gjennomføringen av alle planene dine, ta en pause og sjekk noen av de små tingene igjen. Svært ofte unngår disse tingene administratorens øyne, og bringer ganske alvorlige vanskeligheter i fremtiden, spesielt for nybegynnere.
- Gi den fremtidige domenekontrolleren et menneskelesbart navn, for eksempel SRV-DC01, ikke WIN-VAGNTE3N62T.
- Sett nettverksadapteren til en statisk IP-adresse.
- Gi nytt navn til den innebygde administratorkontoen, bruk kun latinske bokstaver og symboler.
Installering av denne rollen vil ennå ikke gjøre denne serveren til en domenekontroller, for dette må du kjøre installasjonsveiviseren for domenetjenester, som vil bli bedt om å gjøre dette etter at installasjonen er fullført, du kan også gjøre dette senere ved å kjøre dcpromo.exe.
Vi vil ikke analysere i detalj alle innstillingene til veiviseren, og fokusere bare på de viktigste, i tillegg er det verdt å merke seg at under installasjonsprosessen vil en ganske stor mengde referanseinformasjon vises, og vi anbefaler at du leser den nøye. .
Siden dette er vår første domenekontroller, velger vi Opprett et nytt domene i en ny skog.
Det neste trinnet er å skrive inn domenenavnet ditt. Det anbefales ikke å gi internettdomenet navnet på et eksternt domene, det anbefales heller ikke å gi et navn i ikke-eksisterende førstenivåsoner, som f.eks. .local eller .test etc. Det beste alternativet for et AD-domene ville være et underdomene i navneområdet til det eksterne Internett-domenet, for eksempel corp.example.com... Siden domenet vårt utelukkende brukes til testformål i laboratoriet, ga vi det navnet interface31.lab, selv om det ville være riktig å kalle det lab.site.
Deretter angir vi driftsmodusen til skogen, vi har allerede stoppet på dette problemet i forrige del av artikkelen og vil ikke gå inn på detaljer.
Et veldig viktig poeng - spesifiser og skriv ned administratorpassordet for gjenopprettingsmodus for katalogtjenester på et trygt sted, i et godt scenario bør du ikke trenge det, men mye verre hvis du ikke kan huske det.
I det neste vinduet dobbeltsjekker du alle de angitte dataene, og du kan starte prosessen med å konfigurere domenetjenester. Husk, fra dette øyeblikket kan ingenting endres eller korrigeres, og hvis du tar feil et sted, må du begynne på nytt. I mellomtiden setter veiviseren opp domenetjenester, du kan gå og helle deg en kopp kaffe.
Etter å ha fullført veiviseren, start serveren på nytt, og hvis alt ble gjort riktig, har du den første domenekontrolleren til disposisjon, som også vil fungere som DNS-serveren for nettverket ditt. Her oppstår et annet subtilt punkt, denne serveren vil inneholde poster om alle objekter på domenet ditt, når du ber om poster relatert til andre domener som den ikke kan løse, vil de bli overført til høyere servere, den såkalte. videresendingsservere.
Som standard er adressen til DNS-serveren fra egenskapene til nettverkstilkoblingen spesifisert som videresendinger; for å unngå ulike typer nettverksfeil, bør du eksplisitt spesifisere tilgjengelige servere på det eksterne nettverket. For å gjøre dette, åpne snapin-modulen DNS v Server Manager og velg Speditører for serveren din. Spesifiser minst to tilgjengelige eksterne servere, disse kan være både leverandørens servere og offentlige DNS-tjenester.
Vær også oppmerksom på at i egenskapene til nettverkstilkoblingen til domenekontrolleren som er DNS-serveren, må DNS-adressen spesifiseres 127.0.0.1 , alle andre skrivealternativer er feil.
Etter å ha opprettet den første domenekontrolleren, uten å utsette saken, fortsett til å distribuere den andre, uten hvilken AD-strukturen din ikke kan anses som komplett og feiltolerant. Sørg også for at serveren har et menneskelig lesbart navn og en statisk IP-adresse, spesifiser adressen til den første kontrolleren som DNS-server, og skriv inn maskinen i domenet.
Etter omstart, logg på som domeneadministrator og installer rollen Active Directory-domenetjenester og kjør deretter veiviseren også. Det er ingen grunnleggende forskjeller i å sette opp den andre kontrolleren, bortsett fra at du må svare på færre spørsmål. Først av alt, angi at du legger til en ny kontroller til et eksisterende domene.
Som vi sa, anbefaler vi at du gjør denne serveren til en DNS-server og en Global Catalog. Husk at hvis du ikke har en global katalog, kan det hende at domenet ikke fungerer, så det er en god idé å ha minst to globale kataloger og i tillegg legge til GC-er på hvert nytt domene eller AD-nettsted.
Resten av innstillingene er helt identiske, og etter å ha sjekket alt på nytt, fortsett til å distribuere den andre kontrolleren, hvor de tilsvarende tjenestene vil bli konfigurert og replikert med den første kontrolleren.
Etter å ha fullført installasjonen av den andre kontrolleren, kan du fortsette til innstillingene for domenetjenester: opprette brukere, tilordne dem til grupper og avdelinger, konfigurer gruppepolicyer, etc. etc. Dette kan gjøres på hvilken som helst domenekontroller, for dette bruk de riktige menyelementene Administrasjon.
Neste steg blir introduksjon av bruker-PCer og medlemsservere i domenet, samt migrering av brukermiljøet til domenekontoer, dette skal vi snakke om i neste del.
