В данной статье будет приведена подробная пошаговая инструкция по установке и настройке с нуля роли Active Directory на базе Windows Server 2012. Инструкция будет основываться на базе английской редакции. Иногда будут приводиться названия параметров и команд, аналогичные русской редакции Windows Server 2012.
Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.
Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings . Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.
192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.
192.168.0.254 — IP адрес шлюза.
Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.
Итак, после предварительной настройки сервера, переходим к установки роли службы каталогов.
Start -> Server Manager (Пуск -> Диспетчер сервера ).
Add roles and features -> Next
Выбрать Role-based or feature-based Installation (Установка ролей и компонентов) -> Next
Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next
Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.
Можно также выбрать роль DNS Server. Если вы забудете установить галочку для добавления роли DNS Server, можно особо не переживать, т.к. её можно будет добавить позже на стадии настройки роли AD.
После этого жмем каждый раз кнопку Next и устанавливаем роль.
После установки роли, закрыть окно — Close. Теперь необходимо перейти к настройке роли AD.
В окне Server Manager нажать пиктограмму флага с уведомлением и нажать Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера домена) на плашке Post-deploiment Configuration.
Выбрать Add a new forest (Добавить новый лес), ввести название домена и нажать Далее.
Можете выбрать совместимость режима работы леса и корневого домена. По умолчанию устанавливается Windows Server 2012.
На этой вкладке можно будет отключить роль DNS Server. Но, в нашем случае, галочку оставляем.
На следующем шаге мастер предупреждает о том, что делегирование для этого DNS-сервера создано не было (A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.. Otherwise, no action is required. ).
Нажимаем Next.
На следующем шаге можно изменить NetBIOS имя, которое было присвоено домену. Мы этого делать не будем. Просто нажимаем Далее.
На следующем шаге можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Мы менять ничего не будем. Нажимаем кнопку Далее.
На следующем шаге отображается сводная информация по настройке. Нажав кнопку View Script, можно посмотреть Powershell скрипт, который произведет настройку доменных служб Active Directory.
# Windows PowerShell script for AD DS Deployment
Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainMode "Win2012" ` -DomainName "сайт" ` -DomainNetbiosName "ITME" ` -ForestMode "Win2012" ` -InstallDns:$true ` -LogPath "C:\Windows\NTDS" ` -NoRebootOnCompletion:$false ` -SysvolPath "C:\Windows\SYSVOL" ` -Force:$true
Убедившись, что все указано верно, нажимаем на кнопку Next.
На следующем шаге производится проверка, все ли предварительные требования соблюдены. После чего покажет нам отчёт. Одно из обязательных требований — это установленный пароль локального администратора. В самом низу можно прочитать предупреждение о том, что после того, как будет нажата кнопка Install уровень сервера будет повышен до контроллера домена и будет произведена автоматическая перезагрузка.
Должна появиться надпись All prerequisite checks are passed successfully. Click «install» to begin installation .
Нажимаем кнопку Install.
После завершения всех настроек, сервер перезагрузится, и вы совершите первый ввод компьютера в ваш домен. Для этого необходимо ввести логин и пароль администратора домена.
На этом базовая настройка служб каталога Active Directory завершена. Конечно же еще предстоит проделать огромный объем работы по созданию подразделений, созданию новых пользователей, настройке групповых политик безопасности, …
Из анонсов все уже знают, что утилита dcpromo устарела. Если запустить в командной строке dcpromo, то появится окно с предупреждением, предлагающее вам воспользоваться Диспетчером сервера.
The Active Directory Services installation Wizard is relocated in Server Manager.
Тем не менее, данной командой можно воспользоваться c указанием параметра автоматической настройки — dcpromo /unattend . При работе сервера в режиме Core, предупреждения не будет, а в командной строке появится информация по использованию утилиты dcpromo.
Все эти изменения связаны с тем, что в Windows Server 2012 сделали акцент на администрирование с помощью Powershell .
У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.
Из этой статьи вы узнаете:
Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24 , в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.
Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:
Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4 , второй — xm-winsrv 10.1.4.6 . Домен, который мы будем создавать будет называться xs.local
Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv . Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1 :
Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv . Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.
В xs-winsrv добавляем строку:
10.1.4.6 xm-winsrv
В xm-winsrv добавляем:
10.1.3.4 xs-winsrv
Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:
Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv , который мы будем добавлять в домен:
После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.
Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен , указываем наш домен xs.local :
На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:
Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC) . Дальше все настройки оставляем по-умолчанию.
После перезагрузки сервера, он окажется в домене xs.local . Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:
На этом все. Можно добавлять компьютеры в обоих офисах в домен.
Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.
Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.
Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и т.д. Совокупность (иерархия) доменов называется лесом. У каждой компании может быть внешний и внутренний домен.
Например сайт – внешний домен в сети Интернет, который был приобретён у регистратора имён. В данном домене размещён наш WEB-сайт и почтовый сервер. lankey.local –внутренний домен службы каталогов Active Directory, в котором размещаются учётные записи пользователей, компьютеров, принтеров, серверов и корпоративных приложений. Иногда внешние и внутренние доменные имена делают одинаковыми.
Microsoft Active Directory стала стандартом систем единого каталога предприятия. Домен на базе Active Directory внедрён практически во всех компаниях мира, и на этом рынке у Microsoft практически не осталось конкурентов, доля того же Novell Directory Service (NDS) пренебрежимо мала, да и оставшиеся компании постепенно мигрируют на Active Directory.
Active Directory (Служба каталогов) представляет собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания Active Directory начинается построение ИТ-инфраструктуры предприятия. База данных Active Directory хранится на выделенных серверах – контроллерах домена. Служба Active Directory является ролью серверных операционных систем Microsoft Windows Server. В данный момент компания ЛанКей производит внедрение доменов Active Directory на базе операционной системы Windows Server 2008 R2.
Служба каталогов Microsoft Active Directory имеет широкие возможности масштабирования. В лесе Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.
Кроме того, Active Directory позволяет настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам из компаний-партнёров. Например, при участии в совместных проектах сотрудникам из компаний партнёром может совместно понадобиться работать с общими документами или приложениями. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам из одной организации авторизоваться в домене другой.
Отказоустойчивость службы каталогов обеспечивается путём развёртывания 2-х и более серверов - контроллеров домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена, работоспособность сети не нарушается, т.к. продолжают работать оставшиеся. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать оставшиеся, причём они будут доступны, как на чтение, так и на запись, что нельзя обеспечить, используя, например, DNS сервера BIND на базе Linux.
Даже если в вашей компании уже развёрнута служба каталогов Active Directory на базе Windows Server 2003, то вы можете получить целый ряд преимуществ, перейдя на Windows Server 2008 R2. Windows Server 2008 R2 предоставляет следующие дополнительные возможности:
Контроллер домена только для чтения RODC (Read-only Domain Controller). Контроллеры домена хранят учётные записи пользователей, сертификаты и много другой конфиденциальной информации. Если серверы расположены в защищённых ЦОД-ах, то о сохранности данной информации можно быть спокойным, но что делать, если котроллер домена стоит в филиале в общедоступном месте. В данном случае существует вероятность, что сервер украдут злоумышленники и взломают его. А затем используют эти данные для организации атаки на вашу корпоративную сеть, с целью кражи или уничтожения информации. Именно для предотвращения таких случаев в филиалах устанавливают контролеры домена только для чтения (RODC). Во-первых RODC-контроллеры не хранят пароли пользователей, а лишь кэшируют их для ускорения доступа, а во-вторых они используют одностороннюю репликацию, только из центральных серверов в филиал, но не обратно. И даже, если злоумышленники завладеют RODC контроллером домена, то они не получат пароли пользователей и не смогут нанести ущерб основной сети.
Восстановление удалённых объектов Active Directory. Почти каждый системный администратор сталкивался с необходимостью восстановить случайно удалённую учётную запись пользователя или целой группы пользователей. В Windows 2003 для этого требовалось восстанавливать службу каталогов из резервной копии, которой зачастую не было, но даже если она и была, то восстановление занимало достаточно много времени. В Windows Server 2008 R2 появилась корзина Active Directory. Теперь при удалении пользователя или компьютера, он попадает в корзину, из которой он может быть восстановлен за пару минут в течение 180 дней с сохранением всех первоначальных атрибутов.
Упрощённое управление. В Windows Server 2008 R2 были внесены ряд изменений, значительно сокращающих нагрузку на системных администраторов и облегчающих управление ИТ-инфраструктурой. Например появились такие средства, как: Аудит изменений Active Directory, показывающий, кто, что и когда менял; политики сложности паролей настраеваемые на уровне групп пользователей, ранее это было возможно сделать только на уровне домена; новые средства управления пользователями и компьютерами; шаблоны политик; управление при помощи командной строки PowerShell и т.д.
Служба каталогов Active Directory – является сердцем ИТ-инфраструктуры предприятия. В случае её отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов. Например, структура сайтов должна строиться на основе физической топологии сети и пропускной способности каналов между филиалами или офисами компании, т.к. от этого напрямую зависит скорость входа пользователей в систему, а также репликация между контроллерами домена. Кроме того, на основании топологии сайтов Exchange Server 2007/2010 осуществляет маршрутизацию почты. Также нужно правильно рассчитать количество и размещение серверов глобального каталога, которые хранят списки универсальных групп, и множество других часто используемых атрибутов всех доменов леса. Именно поэтому компании возлагают задачи по внедрению, реорганизации или миграции службы каталогов Active Directory на системных интеграторов. Тем не менее, нужно не ошибиться при выборе системного интегратора, следует убедиться, что он сертифицирован на выполнение данного вида работ и имеет соответствующие компетенции.
Компания ЛанКей является сертифицированным системным интегратором и обладает статусом Microsoft Gold Certified Partner. ЛанКей имеет компетенцию Datacenter Platform (Advanced Infrastructure Solutions), что подтверждает наш опыт и квалификацию в вопросах связанных с развёртыванием Active Directory и внедрением серверных решений компании Microsoft.
Все работы в проектах выполняют сертифицированные Microsoft инженеры MCSE, MCITP, которые имеют богатый опыт участия в крупных и сложных проектах по построению ИТ-инфраструктур и внедрению доменов Active Directory.
Компания ЛанКей разработает ИТ-инфраструктуру, развернёт службу каталогов Active Directory и обеспечит консолидацию всех имеющихся ресурсов предприятия в единое информационное пространство. Внедрение Active Directory поможет снизить совокупную стоимость владения информационной системой, а также повысить эффективность совместного использования общих ресурсов. ЛанКей также оказывает услуги по миграции доменов, объединению и разделению ИТ-инфраструктур при слияних и поглощениях, обслуживанию и поддержке информационных систем.
Примеры некоторых проектов по внедрению Active Directory, реализованных компанией ЛанКей:
Заказчик | Описание решения |
В связи с совершением сделки по покупке 100% акций компании ОАО «СИБУР-Минудобрения» (впоследствии переименован в ОАО "СДС-Азот") Холдинговой компаний "Сибирский деловой союз" в декабре 2011 года, возникла необходимость в отделении ИТ-инфраструктуры ОАО «СДС-Азот» от сети Холдинга СИБУР. Комания ЛанКей произвела миграцию службы каталогов Active Directory подразделения СИБУР-Минудобрения из сети холдинга СИБУР в новую инфраструктуру. Также были перенсены учётные записи пользователей, компьютеры и приложения. По результатам проекта от заказчика получено благодарственное письмо . |
|
В связи с реструктуризацией бизнеса, было выполнено развёртывание службы каталогов Active Directory для центрального офиса и 50 московских и региональных магазинов. Служба каталогов обеспечила централизованное уравление всеми ресурсами предприятия, а также аутентификацию и авторизацию всех пользователей. | |
В рамках комплексного проекта по созданию ИТ-инфраструктуры предприятия, компания ЛанКей выполнила развёртывание домена Active Directory для управляющей компании и 3-х региональных подразделений. Для каждого филиала был создан отдельный сайт, в каждом сайте было развёрнуто по 2 контроллера домена. Также были развёрнуты службы сертификации. Все сервисы были развёртнуты на виртуальных машинах под управлением Microsoft Hyper-V. Качество работы компании ЛанКей было отмечено отзывом . | |
В рамках комплексного проекта по созданию корпоративной информационной системы, было произведено развёртывание службы каталогов Active Directory на базе Windows Server 2008 R2. Система была развёрнута с использованием технологиии виртуализации серверов под управлением Microsoft Hyper-V. Служба каталогов обеспечила единую аутентификацию и авторизацию всех сотрудников больницы, а тажке обеспечила функционирование таких приложений, как Exchange, TMG, SQL и др. | |
|
Выполнено развёртывание службы каталогов Active Directory на базе Windows Server 2008 R2. С целью сокращения затрат инсталляция произведена в системе виртуализации серверов на базе Microsoft Hyper-V. |
В рамках комплексного проекта по созданию ИТ-инфраструктуры предприятия была развёрнута служба каталогов на базе Windows Server 2008 R2. Все контроллеры домена были развёрнуты с использованием системы виртуализации серверов Microsoft Hyper-V. Качество работы подтверждено полученным от заказчика отзывом . | |
|
В кратчайшие сроки восстановлена работоспособность службы каталогов Active Directory в критической для бизнеса ситуации. Специалисты "ЛанКей" буквально за пару часов восстановили работоспособность корневого домена и написали инструкцию по восстановлению репликации 80 филиальных подразделений. За оперативность и качество работы от заказчика был получен отзыв . |
В рамках комплексного проекта по созданию ИТ-инфраструктуры был развёрнут домен Active Directory на базе Windows Server 2008 R2. Работоспособность службы каталогов была обеспечена при помощи 5 контроллеров домена, развёрнутых на кластере виртуальных машин. Резервное копирование службы каталогов было реализовано при помощи Microsoft Data Protection Manager 2010. Качество работы подтверждено отзывом . | |
В рамках комплексного проекта по построению корпоративной информационной системы выполнено развёртывание службы единого каталога Active Directory на базе Windows Server 2008. ИТ-инфраструктура была построена с применением виртуализации Hyper-V. После завершения проекта был заключен договор на дальнейшее обслуживание информационной системы. Качесто работы подтверждено отзывом . |
|
Нефтегазовые технологии | В рамках комплексного проекта по созданию ИТ-инфраструктуры, выполнено развёртывание единого каталога Active Directory на базе Windows Server 2008 R2. Проект был выполнен за 1 месяц. После завершения проекта, был заключен договор на дальнейшее обслуживание системы. Качество работы подтверждено отзывом . |
Выполнено развёртывание Active Directory на базе Windows Server 2008 в рамках проекта по внедрению Exchange Server 2007. | |
Произведена реорганизация службы каталогов Active Directory на базе Windows Server 2003 перед внедрением Exchange Server 2007. Качество работы подтверждено отзывом . | |
Произведено развёртывание службы каталогов Active Directory на базе Windows Server 2003 R2. После завершения проекта был заключен договор на дальнейшее обслуживание системы. Качество работы подтверждено отзывом . | |
|
Произведено развёртывание Active Directory на базе Windows Server 2003. После завершения проекта был заключен договора на дальнейшее сопровождение системы. |
Active Directory (AD) — это служебные программы, разработанные для операционной системы Microsoft Server. Первоначально создавалась в качестве облегченного алгоритма доступа к каталогам пользователей. С версии Windows Server 2008 появилось интеграция с сервисами авторизации.
Дает возможность соблюдать групповую политику, применяющую однотипность параметров и ПО на всех подконтрольных ПК с помощью System Center Configuration Manager.
Если простыми словами для начинающих – это роль сервера, которая позволяет из одного места управлять всеми доступами и разрешениями в локальной сети
Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.
Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации , с помощью которой можно узнать нужную информацию о пользователе.
Существует ряд специализированных понятий, которые применяются при работе с AD:
Основными принципами работы являются:
Объект - совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.
Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.
“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.
Контейнер — тип объектов, которые могут состоять из других объектов . Домен, к примеру, может включать в себя объекты учетных записей.
Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.
Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD - модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.
Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) - основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.
Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.
Лес доменов – совокупность деревьев, связанных между собою.
Сайт - совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.
Теперь перейдем непосредственно к настройке Active Directory на примере Windows Server 2008 (на других версиях процедура идентична):
Нажать на кнопку “ОК”. Стоит заметить, что подобные значения не обязательны. Можно использовать IP адрес и DNS из своей сети.
Для надежности пароль должен соответствовать таким требованиям:
После того как AD завершит процесс настройки компонентов, необходимо перезагрузить сервер.
Настройка завершена, оснастка и роль установлены в систему. Установить AD можно только на Windows семейства Server, обычные версии, например 7 или 10, могут позволить установить только консоль управления.
По умолчанию в Windows Server консоль Active Directory Users and Computers работает с доменом, к которому относится компьютер. Можно получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому контроллеру.
Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск, можно создавать новых пользователей, группы и изменять из разрешения.
К слову, существует 2 типа групп в Актив Директори – безопасности и распространения. Группы безопасности отвечают за разграничение прав доступа к объектам, они могут использоваться, как группы распространения.
Группы распространения не могут разграничивать права, а используются в основном для рассылки сообщений в сети.
Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.
Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.
В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.
При установке следует провести такие процедуры:
Это контроллер домена, который хранит копии всех объектов леса. Он дает юзерам и программам способность искать объекты в любом домене текущего леса с помощью средств обнаружения атрибутов , включенных в глобальный каталог.
Глобальный каталог (ГК) включает в себя ограниченный набор атрибутов для каждого объекта леса в каждом домене. Данные он получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы Active Directory.
Схема определяет, будет ли атрибут скопирован. Существует возможность конфигурирования дополнительных характеристик , которые будут создаваться повторно в глобальном каталоге с помощью “Схемы Active Directory”. Для добавления атрибута в глобальный каталог, нужно выбрать атрибут репликации и воспользоваться опцией “Копировать”. После этого создастся репликация атрибута в глобальный каталог. Значение параметра атрибута isMemberOfPartialAttributeSet станет истиной.
Для того чтобы узнать местоположение глобального каталога, нужно в командной строке ввести:
Dsquery server –isgc
Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.
Она производится без участия оператора . Существуют такие виды содержимого реплик:
Основными типами реплик являются внутриузловая и межузловая.
В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.
Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.
В этом документе приведены инструкции по настройке Microsoft® Windows 2000 Active Directory на контроллерах домена для создания леса доменов. Подробно описаны настройка DNS, процесс создания новых доменов и их размещение в дереве, создание новых деревьев, а также резервных контроллеров домена. Обсуждается процедура безопасного «разжалования» контроллера домена. Рассматриваются также дополнительные вопросы настройки DNS, такие как обратное разрешение адресов, интеграция с Active Directory и безопасное динамическое обновление. Кроме того, приведен ряд замечаний, касающихся DNS серверов сторонних поставщиков программного обеспечения.
В Microsoft® Windows 2000 впервые реализована Active Directory - расширяемая и масштабируемая служба каталогов, которая позволяет организовать распределенную защиту и управление, а также работает в качестве хранилища информации о сети, которая может быть легко извлечена с помощью запросов.
База данных Active Directory хранится и дублируется на серверах, выступающих в роли контроллеров домена. Этот обзор поможет вам приступить к настройке серверов-контроллеров домена.
Настоящий документ состоит из 5 глав:
Настройка контроллеров домена - эта глава посвящена подготовке контроллеров домена и серверов DNS к созданию деревьев и лесов доменов Active Directory.
Дополнительные настройки DNS - из этой главы вы узнаете, как настроить другие возможности DNS, такие как обратное разрешение адресов, интеграция с Active Directory и защищенное динамическое обновление. Здесь же приведены рекомендации по настройке дополнительных серверов DNS.
Перевод домена в «естественный» режим работы - естественный режим (Native Mode) позволит вам в полной мере использовать преимущества новых возможностей управления группами безопасности в Windows 2000.
«Разжалование» контроллера домена - В Windows 2000 контроллеры домена могут быть созданы или лишены своего статуса без переустановки операционной системы. В этой главе продемонстрировано, как «разжаловать» компьютер из контроллера домена в отдельный сервер или сервер-член домена.
Использование DNS серверов сторонних поставщиков - Использование Microsoft DNS Server не является обязательным условием работы Active Directory. Могут быть использованы и другие реализации серверов DNS, если они поддерживают ряд стандартных протоколов. В этой главе показано, как настроить BIND 8.1.2 для поддержки Active Directory.
Перед тем, как приступить к настройке контроллеров домена, будет полезно лучше познакомиться с концепциями пространства имен Active Directory, такими как домены, деревья и леса. Дополнительную информацию можно получить в официальном документе Технический обзор Active Directory (Active Directory Technical Summary), опубликованном по адресу microsoft.com .
Операция превращения сервера в контроллер домена называется повышением статуса (promotion).
Из последующих разделов вы узнаете, как:
Подготовить повышение статуса - в этом разделе рассказывается, как настроить сервер, чтобы можно было повысить его статус.
Создать первый домен в лесу - Лес - это набор доменов, связанных доверительными отношениями и использующих общую схему, конфигурацию сайта и служб, а также глобальный каталог. Первый сервер Windows 2000, получивший статус контроллера домена, будет обслуживать первый домен в лесу.
Добавление серверов и рабочих станций в домен - В этом разделе рассказывается, что нужно для добавления сервера-члена домена или рабочих станций в домен Windows 2000.
Добавление резервного контроллера в домен - После настройки первого контроллера домена вы можете добавить дублирующие контроллеры для более равномерного распределения нагрузки и повышения отказоустойчивости.
Добавление дочернего домена в дерево - Вы можете создать дерево доменов Active Directory, добавляя к существующему домену дочерние. Домены в дереве образуют единое пространство имен.
Добавление дерева в лес - Если домен, который вы хотите добавить, имеет имя, не смежное ни с одним именем других доменов леса, вы можете добавить его в новое дерево леса.
Изучение этой главы следует начать с первых двух разделов: «Подготовка сервера к повышению статуса» и «Создание первого домена в лесу». Последующие разделы можно изучить позднее в любой последовательности.
Любой отдельный сервер или сервер-член домена, работающий под управлением Windows 2000 Server, может получить статус контроллера домена.
Перед тем как приступить к настройке, используйте диск CD-ROM Beta 2 для «чистой» установки Windows 2000 Server на компьютер или модернизируйте существующий отдельный сервер или сервер-член домена до Windows NT 4.0 Server.
Замечание : Для повышения статуса вы должны зарегистрироваться, используя учетную запись локального администратора. Не регистрируйтесь с использованием глобальной учетной записи - члена группы локальных администраторов. В последующих версиях вы сможете использовать глобальную учетную запись при повышении статуса.
Вы можете также модернизировать главный (PDC) или резервный (BDC) контроллер домена, работающий под управлением Windows NT 4.0. Главный контроллер домена должен быть модернизирован в первую очередь. После модернизации PDC могут быть по возможности модернизированы серверы BDC. После модернизации BDC вы можете сохранить его в качестве дублирующего в том домене, где он находится, либо превратить его в сервер-член домена.
Если вы решили модернизировать контроллер домена Windows NT 4.0, процесс повышения статуса начнется автоматически после того, как обновление операционной системы завершится и компьютер будет перезагружен.
Первый домен в лесу становится вершиной первого дерева в лесу. Домены Active Directory используют систему имен DNS, например «nttest.microsoft.com». Если вы создаете дочерние домены в дереве «nttest.microsoft.com», имена всех доменов дерева должны оканчиваться на «nttest.microsoft.com». Начните обдумывать, какое имя присвоить своему первому домену, уже сейчас.
Настройка контроллера первого домена выполняется в два этапа:
Замечание : Если контроллер вашего первого домена Active Directory - модернизированный PDC Windows NT 4.0, мастер Active Directory Promotion будет автоматически запущен сразу после завершения обновления системы. Однако перед повышением статуса вы должны выполнить дополнительную настройку, как это описано далее. Прервав в этот момент работу мастера повышения статуса, вы сможете запустить его позднее.
Клиенты Active Directory используют DNS для поиска контроллеров домена. Microsoft рекомендует использовать DNS сервер, который входит в состав Windows 2000, однако допускается использование и других серверов DNS, если они удовлетворяют определенным функциональным требованиям. Более подробную информацию об использовании DNS серверов сторонних производителей вы можете найти в главе «Использование DNS серверов сторонних поставщиков» в конце настоящего документа.
Если вы уже установили и настроили DNS сервер для поддержки домена Active Directory и контроллеров этого домена, вы можете перейти к следующему этапу. Если нет - Microsoft рекомендует установить Windows 2000 DNS на первом контроллере домена.
Во время установки вам может быть выдан запрос на установку статического IP адреса сервера. Серверы DNS требуют для корректной работы указания как минимум одного постоянного IP адреса на компьютере.
Замечание: Не устанавливайте флажок Networking Services во включенное положение. В этом случае будут установлены все сетевые службы. Просто выберите пункт Networking Services.
В диалоговом окне Local Area Connection Properties, которое должно появиться после этого, выберите пункт Internet Protocol (TCP/IP) и нажмите кнопку Properties .
Установите переключатель в положение Use the following IP address и укажите значения в полях IP address , Subnet mask и Default Gateway . Если вы не знаете, какие значения использовать, обратитесь к администратору сети. Если вы работаете в собственной сети, вы можете использовать значения из зарезервированного диапазона 10.x.x.x адресов класса A. Например, установите IP адрес компьютера равным 10.0.0.1, используйте предложенное по умолчанию значение маски подсети и оставьте поле адреса шлюза пустым. Каждый компьютер должен иметь свой уникальный IP адрес.
Если в вашей сети имеются другие серверы DNS, установите переключатель в положение Use the following DNS server addresses и введите IP адрес сервера DNS в поле Primary DNS Server . Если у вас в сети нет других серверов DNS, оставьте переключатель в положении Obtain DNS server address automatically или оставьте поле Primary DNS Server пустым.
Если вы указали в пункте «с» существовавший ранее сервер DNS, вам придется настроить его так, чтобы он делегировал обслуживание имен в домене Active Directory серверу DNS, который вы только что установили. Это делается путем добавления ресурсных записей Name Server в файл зоны, ответственной за обслуживание имен вашего домена Active Directory. О том, как это осуществить, вы можете узнать из документации к своему DNS серверу. Сделайте это после того, как работа мастера установки Active Directory будет завершена.
Если вы не указывали существующего сервера DNS, компьютер будет автоматически настроен для использования установленного на нем сервера DNS.
Замечание : В отличие от предыдущих версий Windows 2000, вам больше не нужно вручную настраивать DNS перед повышением статуса сервера. Теперь это делается автоматически в процессе повышения статуса, если на компьютере установлен DNS сервер. В последующих версиях сервер DNS будет устанавливаться автоматически, и выполнять эти действия не потребуется.
Повышение статуса серверов до контроллеров домена происходит с помощью программы-мастера установки Active Directory, известной также под названием DCpromo.
Нажмите кнопку Cancel , чтобы прервать работу DCpromo.
В меню Start выберите пункт Programs , а затем пункт Command Prompt . Введите команду:
Convert drive: /FS:NTFS
где drive - имя логического диска, где установлена Windows 2000.
Утилита Convert сообщит вам о текущей файловой системе раздела и проинформирует о необходимости перезагрузки. Введите Y и нажмите клавишу Enter .
Перезагрузите систему. Логический том будет преобразован в NTFS 5.0 в процессе загрузки. Зарегистрируйтесь и вновь запустите DCpromo, пролистайте окна до окна System Volume path и продолжайте работу.
Поздравляем, вы только что создали свой первый домен Active Directory! После того, как компьютер перезагрузится, вы можете зарегистрироваться, используя глобальную учетную запись администратора. Используйте тот же самый пароль, что и до повышения статуса сервера.
Теперь вы можете продолжить добавление контроллеров домена с различным статусом или сразу приступить к экспериментам с каталогом.
Серверы и рабочие станции подключаются к домену так же, как и в Windows NT 4.0.
На компьютерах, работающих под управлением Windows 2000, необходимо настроить как минимум один IP адрес сервера DNS, чтобы они могли обнаружить контроллер домена в процессе подключения. IP адрес сервера DNS может сообщаться клиентским системам автоматически при помощи DHCP или устанавливаться вручную в окне настройки сетевых соединений. Более подробную информацию о DHCP вы найдете в официальном документе Microsoft Dynamic Host Configuration Protocol for Windows 2000 (Протокол динамической конфигурации хоста для Windows 2000), опубликованном по адресу microsoft.com .
Windows NT 4.0 и клиентские системы Microsoft Windows 9x используют для обнаружения контроллеров домена службу WINS. Вы должны установить и запустить WINS, если хотите, чтобы такие клиенты участвовали в домене Windows 2000.
Учетные записи для подключаемых компьютеров можно создать в домене заранее или в процессе присоединения к домену. Если вы хотите сделать это заранее, то можете воспользоваться средством Active Directory Manager.
Включение в домен Windows 2000 серверов или рабочих станций, работающих под управлением Windows 2000, производится следующим образом.
Для создания резервных копий домена используется программа-мастер Active Directory Installation Wizard.
Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, копию которого хотите создать. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.
После перезагрузки компьютера он будет функционировать как копия контроллера домена в указанном вами домене.
Для создания дочернего домена в существующем дереве используется программа-мастер Active Directory Installation Wizard.
Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, который будет родительским для нового. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.
Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
Замечание : В последующих версиях вы сможете делегировать отдельным пользователям или группам полномочия на создание дочерних доменов. При этом им не нужно будет передавать всю полноту административных полномочий в родительском домене.
После перезагрузки компьютера он будет функционировать как первый контроллер в новом дочернем домене.
Для создания новых деревьев в существующем лесу используется программа-мастер Active Directory Installation Wizard.
Замечание : Перед запуском DCpromo вы должны присоединить компьютер к корневому (root) домену леса. Корневой домен - это первый из созданных вами доменов. Следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.
После перезагрузки компьютера он будет функционировать как первый контроллер в новом дереве.
Если вы используете Microsoft DNS Server, который поставляется в составе Windows NT, вы можете сконфигурировать и изучить следующие дополнительные возможности:
Обратное разрешение адресов
Интеграцию с Active Directory, которая позволит вам также сконфигурировать:
Защищенное динамическое обновление
Дополнительные серверы DNS для обеспечения отказоустойчивости
Процедуры конфигурации для каждого из этих средств описываются ниже.
Обычно сервер DNS используется для преобразования имен в IP адреса, этот процесс известен под названием прямого разрешения имен (forward lookup). Кроме этого, он может использоваться и для преобразования IP адресов обратно в имена. Этот процесс называется обратным разрешением адресов (reverse lookup). Он конфигурируется отдельно от прямого разрешения имен. Хотя обратное для корректной работы не требуется разрешение адресов Windows 2000 или Active Directory, возможность обратного преобразования IP адресов в имена компьютеров может оказаться полезной при анализе проблем в сети.
Повторите этот процесс для каждой подсети, для которой вы хотите организовать поддержку обратного разрешения адресов.
Если ваш сервер DNS - не единственный в сети, вам придется ввести в существующую систему DNS информацию о делегировании, чтобы другие серверы DNS могли найти вашу зону. Для получения информации о том, как это сделать, изучите документацию по используемым у вас серверам DNS.
Microsoft DNS Server в составе Windows 2000 может хранить данные не в стандартных файлах зоны, а в Active Directory. При этом дубликаты зон поддерживаются на контроллерах домена и могут быть загружены любым DNS сервером, функционирующим на контроллере этого домена. Таким образом реализуются преимущества динамического обновления с несколькими мастер-копиями.
Если ваши зоны интегрированы в Active Directory, вы можете:
Организовать защищенное динамическое обновление. Легко настроить дополнительные DNS серверы для повышения отказоустойчивости. Вы можете интегрировать в Active Directory столько зон, сколько пожелаете.
Замечание : В отличие от некоторых предварительных версий Windows 2000, вам больше не требуется переводить домен в естественный режим (Native Mode) перед интеграцией DNS с Active Directory.
Для зон, интегрированных в Active Directory, можно организовать защищенное динамическое обновление. При этом только указанные вами компьютеры могут добавлять новые или модифицировать существующие элементы в зоне. По умолчанию все аутентифицированные компьютеры в лесу могут создавать новые элементы в зоне, и лишь тот компьютер, который создал имя, может модифицировать связанные с ним данные.
Вы можете разрешить защищенное динамическое обновление в любых зонах, интегрированных в Active Directory.
Если вы воспользовались возможностью интеграции своих зон в Active Directory, вам будет легко установить и сконфигурировать дополнителные серверы DNS для равномерного распределения нагрузки и повышения отказоустойчивости. Для этого достаточно просто установить Microsoft DNS Server на копии контроллера домена и добавить в него зоны, интегрированные в Active Directory.
Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
Повторяйте этот процесс, начиная с п. 4 для каждой интегрированной в Active Directory зоны, существующей на первом сервере DNS этого домена. Если вы создадите новые интегрированные в Active Directory зоны на этом или другом сервере, вам придется создать их также на всех остальных серверах, чтобы они могли загружать соответствующую информацию.
Замечание : В последующих версиях вам не придется вручную добавлять зоны в DNS сервер. Сервер будет автоматически загружать все зоны, которые он обнаружит в каталоге.
По умолчанию созданный домен работает в Смешанном (Mixed) режиме. При этом в домен могут входить резервные контроллеры (BDC) Windows NT 4.0. Когда все резервные контроллеры Windows NT 4.0 будут модернизированы или отключены, можно переключить домен в «естественный» (Native) режим работы.
Единственная разница между смешанным и естественным режимом работы заключается в ограничениях на включение контроллеров домена в группы и в том, как обрабатывается членство в группах при регистрации пользователя в сети. Переключение в естественный режим работы позволяет воспользоваться некоторыми новыми особенностями групп безопасности Windows 2000 , например, возможностью организации вложенных групп.
Замечание : В отличие от некоторых более ранних предварительных версий Windows 2000, репликация с несколькими мастер-копиями может осуществляться между контроллерами домена Windows 2000 даже в естественном режиме работы.
Для переключения в естественный режим работы применяется нижеописанная процедура. При этом в домене не должно быть резервных контроллеров Windows NT 4.0. После переключения в естественный режим обратное переключение в смешанный режим работы невозможно.
Компьютер, играющий роль контроллера домена, может быть превращен в отдельный сервер или сервер-член домена. Этот процесс также называют понижением статуса (demotion). Понижение статуса сервера приводит к его удалению из конфигурации леса и DNS. «Разжалование» последнего контроллера в домене означает прекращение существования домена.
Корневой домен леса может быть удален, только если он последний из оставшихся в лесу.
Понижение статуса приводит к удалению с сервера каталога и всех принципалов безопасности и их замещению базой данных безопасности, используемой по умолчанию. Она соответствует базе данных, которая создается при «чистой» установке Windows 2000.
Использование Microsoft DNS Server, входящего в состав Windows 2000, не является обязательным. Однако Windows 2000 требует использования DNS сервера, обеспечивающего поддержку следующих стандартов:
Ресурсные записи Service Location (SRV RR), RFC 2052
Протокол динамического обновления Dynamic Update protocol, RFC 2136
Настоящая предварительная версия Windows 2000 была протестирована на совместимость с сервером BIND версии 8.1.2. Для получения подробной информации о настройке динамического обновления с помощью директивы update изучите документацию к серверу BIND.