В данной статье будет приведена подробная пошаговая инструкция по установке и настройке с нуля роли Active Directory на базе Windows Server 2012. Инструкция будет основываться на базе английской редакции. Иногда будут приводиться названия параметров и команд, аналогичные русской редакции Windows Server 2012.

Подготовка

Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.

Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings . Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.

192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.

192.168.0.254 — IP адрес шлюза.

Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.

Установка роли Active Directory на Windows Server 2012

Итак, после предварительной настройки сервера, переходим к установки роли службы каталогов.

Start -> Server Manager (Пуск -> Диспетчер сервера ).

Add roles and features -> Next

Выбрать Role-based or feature-based Installation (Установка ролей и компонентов) -> Next

Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next

Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.

Можно также выбрать роль DNS Server. Если вы забудете установить галочку для добавления роли DNS Server, можно особо не переживать, т.к. её можно будет добавить позже на стадии настройки роли AD.

После этого жмем каждый раз кнопку Next и устанавливаем роль.

Настройка доменных служб Active Directory

После установки роли, закрыть окно — Close. Теперь необходимо перейти к настройке роли AD.

В окне Server Manager нажать пиктограмму флага с уведомлением и нажать Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера домена) на плашке Post-deploiment Configuration.

Выбрать Add a new forest (Добавить новый лес), ввести название домена и нажать Далее.

Можете выбрать совместимость режима работы леса и корневого домена. По умолчанию устанавливается Windows Server 2012.

На этой вкладке можно будет отключить роль DNS Server. Но, в нашем случае, галочку оставляем.

На следующем шаге мастер предупреждает о том, что делегирование для этого DNS-сервера создано не было (A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.. Otherwise, no action is required. ).

Нажимаем Next.

На следующем шаге можно изменить NetBIOS имя, которое было присвоено домену. Мы этого делать не будем. Просто нажимаем Далее.

На следующем шаге можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Мы менять ничего не будем. Нажимаем кнопку Далее.

На следующем шаге отображается сводная информация по настройке. Нажав кнопку View Script, можно посмотреть Powershell скрипт, который произведет настройку доменных служб Active Directory.

# Windows PowerShell script for AD DS Deployment

Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainMode "Win2012" ` -DomainName "сайт" ` -DomainNetbiosName "ITME" ` -ForestMode "Win2012" ` -InstallDns:$true ` -LogPath "C:\Windows\NTDS" ` -NoRebootOnCompletion:$false ` -SysvolPath "C:\Windows\SYSVOL" ` -Force:$true

Убедившись, что все указано верно, нажимаем на кнопку Next.

На следующем шаге производится проверка, все ли предварительные требования соблюдены. После чего покажет нам отчёт. Одно из обязательных требований — это установленный пароль локального администратора. В самом низу можно прочитать предупреждение о том, что после того, как будет нажата кнопка Install уровень сервера будет повышен до контроллера домена и будет произведена автоматическая перезагрузка.

Должна появиться надпись All prerequisite checks are passed successfully. Click «install» to begin installation .

Нажимаем кнопку Install.

После завершения всех настроек, сервер перезагрузится, и вы совершите первый ввод компьютера в ваш домен. Для этого необходимо ввести логин и пароль администратора домена.

На этом базовая настройка служб каталога Active Directory завершена. Конечно же еще предстоит проделать огромный объем работы по созданию подразделений, созданию новых пользователей, настройке групповых политик безопасности, …

Дополнительная информация по статье

Прощай dcpromo, привет Powershell

Из анонсов все уже знают, что утилита dcpromo устарела. Если запустить в командной строке dcpromo, то появится окно с предупреждением, предлагающее вам воспользоваться Диспетчером сервера.

The Active Directory Services installation Wizard is relocated in Server Manager.

Тем не менее, данной командой можно воспользоваться c указанием параметра автоматической настройки — dcpromo /unattend . При работе сервера в режиме Core, предупреждения не будет, а в командной строке появится информация по использованию утилиты dcpromo.

Все эти изменения связаны с тем, что в Windows Server 2012 сделали акцент на администрирование с помощью Powershell .

Компоненты, связанные с Active Directory, удаленны из Windows Server 2012

Службы федерации Active Directory (AD FS)

• Больше не поддерживаются приложения, использующие веб-агенты «в режиме маркеров NT». Эти приложения должны переноситься на платформу Windows Identity Foundation и использовать службу Claims to Windows Token для преобразования имени участника-пользователя из маркера SAML в маркер Windows для использования в приложении.
• Больше не поддерживаются «Группы ресурсов» (описание групп ресурсов см. по адресу http://technet.microsoft.com/library/cc753670(WS.10).aspx)
• Больше не поддерживается возможность использования служб Active Directory облегченного доступа к каталогам (AD LDS) в качестве хранилища результатов проверки подлинности.
• Необходим переход к версии AD FS в Windows Server 2012. Не поддерживается обновление «на месте» с AD FS 1.0 или со «стандартной» версии AD FS 2.0.

У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.

Из этой статьи вы узнаете:

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24 , в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

• Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
• Устанавливаем контроллер домена во второй подсети и добавляем его в домен
• Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4 , второй — xm-winsrv 10.1.4.6 . Домен, который мы будем создавать будет называться xs.local

Настройка контроллеров домена для работы в разных подсетях

Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv . Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1 :

Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv . Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.

В xs-winsrv добавляем строку:

10.1.4.6 xm-winsrv

В xm-winsrv добавляем:

10.1.3.4 xs-winsrv

Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:

Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv , который мы будем добавлять в домен:

После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.

Добавление второго контроллера домена из другой подсети

Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен , указываем наш домен xs.local :

На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:

Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC) . Дальше все настройки оставляем по-умолчанию.

После перезагрузки сервера, он окажется в домене xs.local . Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:

На этом все. Можно добавлять компьютеры в обоих офисах в домен.

Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.

Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.

Онлайн курс "Администратор Linux"

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Администратор Linux» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Проверьте себя на вступительном тесте и смотрите программу детальнее по.

Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и т.д. Совокупность (иерархия) доменов называется лесом. У каждой компании может быть внешний и внутренний домен.

Например сайт – внешний домен в сети Интернет, который был приобретён у регистратора имён. В данном домене размещён наш WEB-сайт и почтовый сервер. lankey.local –внутренний домен службы каталогов Active Directory, в котором размещаются учётные записи пользователей, компьютеров, принтеров, серверов и корпоративных приложений. Иногда внешние и внутренние доменные имена делают одинаковыми.

Microsoft Active Directory стала стандартом систем единого каталога предприятия. Домен на базе Active Directory внедрён практически во всех компаниях мира, и на этом рынке у Microsoft практически не осталось конкурентов, доля того же Novell Directory Service (NDS) пренебрежимо мала, да и оставшиеся компании постепенно мигрируют на Active Directory.

Active Directory (Служба каталогов) представляет собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания Active Directory начинается построение ИТ-инфраструктуры предприятия. База данных Active Directory хранится на выделенных серверах – контроллерах домена. Служба Active Directory является ролью серверных операционных систем Microsoft Windows Server. В данный момент компания ЛанКей производит внедрение доменов Active Directory на базе операционной системы Windows Server 2008 R2.

Развёртывание службы каталогов Active Directory по сравнению с рабочей группой (Workgroup) даёт следующие преимущества:

• Единая точка аутентификации. Когда компьютеры работают в рабочей группе, у них нет единой базы данных пользователей, у каждого компьютера она своя. Поэтому по умолчанию ни один из пользователей не имеет доступа по сети к компьютеру другого пользователя или серверу. А, как известно, смысл сети, как раз в том, чтобы пользователи могли взаимодействовать. Сотрудникам требуется совместный доступ к документам или приложениям. В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг, один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их 100 или 1000, то использование рабочей группы будет неприемлемым. При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Кадры», «Финансовый отдел» и т.д. Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, и всё! Через пару минут новый сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ, на всех серверах и компьютерах. Если сотрудник увольняется, то достаточно заблокировать или удалить его учётную запись, и он сразу потеряет доступ ко всем компьютерам, документам и приложениям.
• Единая точка управления политиками. В одноранговой сети (рабочей группе) все компьютеры равноправны. Ни один из компьютеров не может управлять другим, все компьютеры настроены по-разному, невозможно проконтролировать ни соблюдение единых политик, ни правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. Также при помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности Интернет-браузера, настроить приложения Microsoft Office и т.д.
• Интеграции с корпоративными приложениями и оборудованием. Большим преимуществом Active Directory является соответствие стандарту LDAP, который поддерживается сотнями приложений, такими как почтовые сервера (Exchange, Lotus, Mdaemon), ERP-системы (Dynamics, CRM), прокси-серверы (ISA Server, Squid) и др. Причем это не только приложения под Microsoft Windows, но и серверы на базе Linux. Преимущества такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные, т.к. его аутентификация происходит в едином каталоге Active Directory. Кроме того, сотруднику не требуется по нескольку раз вводить свой логин и пароль, достаточно при запуске компьютера один раз войти в систему, и в дальнейшем пользователь будет автоматически аутентифицироваться во всех приложениях. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении к маршрутизатору CISCO по VPN.
• Единое хранилище конфигурации приложений. Некоторые приложения хранят свою конфигурацию в Active Directory, например Exchange Server или Office Communications Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Также в службе каталогов можно хранить конфигурацию сервера доменных имён DNS. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой, т.к. хранится в Active Directory. И для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange сервер в режиме восстановления.
• Повышенный уровень информационной безопасности. Использование Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В одноранговой сети учётные данные пользователей хранятся в локальной базе данных учётных записей (SAM), которую теоретически можно взломать, завладев компьютером. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах. Кроме того, для входа пользователей в систему можно использовать двухфакторную аутентификацию при помощи смарт-карт. Т.е. чтобы сотрудник получил доступ к компьютеру, ему потребуется ввести свой логин и пароль, а также вставить свою смарт-карту.

Масштабируемость и отказоустойчивость службы каталогов Active Directory

Служба каталогов Microsoft Active Directory имеет широкие возможности масштабирования. В лесе Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.

Кроме того, Active Directory позволяет настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам из компаний-партнёров. Например, при участии в совместных проектах сотрудникам из компаний партнёром может совместно понадобиться работать с общими документами или приложениями. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам из одной организации авторизоваться в домене другой.

Отказоустойчивость службы каталогов обеспечивается путём развёртывания 2-х и более серверов - контроллеров домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена, работоспособность сети не нарушается, т.к. продолжают работать оставшиеся. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать оставшиеся, причём они будут доступны, как на чтение, так и на запись, что нельзя обеспечить, используя, например, DNS сервера BIND на базе Linux.

Преимущества перехода на Windows Server 2008 R2

Даже если в вашей компании уже развёрнута служба каталогов Active Directory на базе Windows Server 2003, то вы можете получить целый ряд преимуществ, перейдя на Windows Server 2008 R2. Windows Server 2008 R2 предоставляет следующие дополнительные возможности:

Контроллер домена только для чтения RODC (Read-only Domain Controller). Контроллеры домена хранят учётные записи пользователей, сертификаты и много другой конфиденциальной информации. Если серверы расположены в защищённых ЦОД-ах, то о сохранности данной информации можно быть спокойным, но что делать, если котроллер домена стоит в филиале в общедоступном месте. В данном случае существует вероятность, что сервер украдут злоумышленники и взломают его. А затем используют эти данные для организации атаки на вашу корпоративную сеть, с целью кражи или уничтожения информации. Именно для предотвращения таких случаев в филиалах устанавливают контролеры домена только для чтения (RODC). Во-первых RODC-контроллеры не хранят пароли пользователей, а лишь кэшируют их для ускорения доступа, а во-вторых они используют одностороннюю репликацию, только из центральных серверов в филиал, но не обратно. И даже, если злоумышленники завладеют RODC контроллером домена, то они не получат пароли пользователей и не смогут нанести ущерб основной сети.

Восстановление удалённых объектов Active Directory. Почти каждый системный администратор сталкивался с необходимостью восстановить случайно удалённую учётную запись пользователя или целой группы пользователей. В Windows 2003 для этого требовалось восстанавливать службу каталогов из резервной копии, которой зачастую не было, но даже если она и была, то восстановление занимало достаточно много времени. В Windows Server 2008 R2 появилась корзина Active Directory. Теперь при удалении пользователя или компьютера, он попадает в корзину, из которой он может быть восстановлен за пару минут в течение 180 дней с сохранением всех первоначальных атрибутов.

Упрощённое управление. В Windows Server 2008 R2 были внесены ряд изменений, значительно сокращающих нагрузку на системных администраторов и облегчающих управление ИТ-инфраструктурой. Например появились такие средства, как: Аудит изменений Active Directory, показывающий, кто, что и когда менял; политики сложности паролей настраеваемые на уровне групп пользователей, ранее это было возможно сделать только на уровне домена; новые средства управления пользователями и компьютерами; шаблоны политик; управление при помощи командной строки PowerShell и т.д.

Внедрение службы каталогов Active Directory

Служба каталогов Active Directory – является сердцем ИТ-инфраструктуры предприятия. В случае её отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов. Например, структура сайтов должна строиться на основе физической топологии сети и пропускной способности каналов между филиалами или офисами компании, т.к. от этого напрямую зависит скорость входа пользователей в систему, а также репликация между контроллерами домена. Кроме того, на основании топологии сайтов Exchange Server 2007/2010 осуществляет маршрутизацию почты. Также нужно правильно рассчитать количество и размещение серверов глобального каталога, которые хранят списки универсальных групп, и множество других часто используемых атрибутов всех доменов леса. Именно поэтому компании возлагают задачи по внедрению, реорганизации или миграции службы каталогов Active Directory на системных интеграторов. Тем не менее, нужно не ошибиться при выборе системного интегратора, следует убедиться, что он сертифицирован на выполнение данного вида работ и имеет соответствующие компетенции.

Компания ЛанКей является сертифицированным системным интегратором и обладает статусом Microsoft Gold Certified Partner. ЛанКей имеет компетенцию Datacenter Platform (Advanced Infrastructure Solutions), что подтверждает наш опыт и квалификацию в вопросах связанных с развёртыванием Active Directory и внедрением серверных решений компании Microsoft.

Все работы в проектах выполняют сертифицированные Microsoft инженеры MCSE, MCITP, которые имеют богатый опыт участия в крупных и сложных проектах по построению ИТ-инфраструктур и внедрению доменов Active Directory.

Компания ЛанКей разработает ИТ-инфраструктуру, развернёт службу каталогов Active Directory и обеспечит консолидацию всех имеющихся ресурсов предприятия в единое информационное пространство. Внедрение Active Directory поможет снизить совокупную стоимость владения информационной системой, а также повысить эффективность совместного использования общих ресурсов. ЛанКей также оказывает услуги по миграции доменов, объединению и разделению ИТ-инфраструктур при слияних и поглощениях, обслуживанию и поддержке информационных систем.

Примеры некоторых проектов по внедрению Active Directory, реализованных компанией ЛанКей:

Заказчик	Описание решения
	В связи с совершением сделки по покупке 100% акций компании ОАО «СИБУР-Минудобрения» (впоследствии переименован в ОАО "СДС-Азот") Холдинговой компаний "Сибирский деловой союз" в декабре 2011 года, возникла необходимость в отделении ИТ-инфраструктуры ОАО «СДС-Азот» от сети Холдинга СИБУР. Комания ЛанКей произвела миграцию службы каталогов Active Directory подразделения СИБУР-Минудобрения из сети холдинга СИБУР в новую инфраструктуру. Также были перенсены учётные записи пользователей, компьютеры и приложения. По результатам проекта от заказчика получено благодарственное письмо .
	В связи с реструктуризацией бизнеса, было выполнено развёртывание службы каталогов Active Directory для центрального офиса и 50 московских и региональных магазинов. Служба каталогов обеспечила централизованное уравление всеми ресурсами предприятия, а также аутентификацию и авторизацию всех пользователей.
	В рамках комплексного проекта по созданию ИТ-инфраструктуры предприятия, компания ЛанКей выполнила развёртывание домена Active Directory для управляющей компании и 3-х региональных подразделений. Для каждого филиала был создан отдельный сайт, в каждом сайте было развёрнуто по 2 контроллера домена. Также были развёрнуты службы сертификации. Все сервисы были развёртнуты на виртуальных машинах под управлением Microsoft Hyper-V. Качество работы компании ЛанКей было отмечено отзывом .
	В рамках комплексного проекта по созданию корпоративной информационной системы, было произведено развёртывание службы каталогов Active Directory на базе Windows Server 2008 R2. Система была развёрнута с использованием технологиии виртуализации серверов под управлением Microsoft Hyper-V. Служба каталогов обеспечила единую аутентификацию и авторизацию всех сотрудников больницы, а тажке обеспечила функционирование таких приложений, как Exchange, TMG, SQL и др.
	Выполнено развёртывание службы каталогов Active Directory на базе Windows Server 2008 R2. С целью сокращения затрат инсталляция произведена в системе виртуализации серверов на базе Microsoft Hyper-V.
	В рамках комплексного проекта по созданию ИТ-инфраструктуры предприятия была развёрнута служба каталогов на базе Windows Server 2008 R2. Все контроллеры домена были развёрнуты с использованием системы виртуализации серверов Microsoft Hyper-V. Качество работы подтверждено полученным от заказчика отзывом .
	В кратчайшие сроки восстановлена работоспособность службы каталогов Active Directory в критической для бизнеса ситуации. Специалисты "ЛанКей" буквально за пару часов восстановили работоспособность корневого домена и написали инструкцию по восстановлению репликации 80 филиальных подразделений. За оперативность и качество работы от заказчика был получен отзыв .
	В рамках комплексного проекта по созданию ИТ-инфраструктуры был развёрнут домен Active Directory на базе Windows Server 2008 R2. Работоспособность службы каталогов была обеспечена при помощи 5 контроллеров домена, развёрнутых на кластере виртуальных машин. Резервное копирование службы каталогов было реализовано при помощи Microsoft Data Protection Manager 2010. Качество работы подтверждено отзывом .
	В рамках комплексного проекта по построению корпоративной информационной системы выполнено развёртывание службы единого каталога Active Directory на базе Windows Server 2008. ИТ-инфраструктура была построена с применением виртуализации Hyper-V. После завершения проекта был заключен договор на дальнейшее обслуживание информационной системы. Качесто работы подтверждено отзывом .
Нефтегазовые технологии	В рамках комплексного проекта по созданию ИТ-инфраструктуры, выполнено развёртывание единого каталога Active Directory на базе Windows Server 2008 R2. Проект был выполнен за 1 месяц. После завершения проекта, был заключен договор на дальнейшее обслуживание системы. Качество работы подтверждено отзывом .
	Выполнено развёртывание Active Directory на базе Windows Server 2008 в рамках проекта по внедрению Exchange Server 2007.
	Произведена реорганизация службы каталогов Active Directory на базе Windows Server 2003 перед внедрением Exchange Server 2007. Качество работы подтверждено отзывом .
	Произведено развёртывание службы каталогов Active Directory на базе Windows Server 2003 R2. После завершения проекта был заключен договор на дальнейшее обслуживание системы. Качество работы подтверждено отзывом .
	Произведено развёртывание Active Directory на базе Windows Server 2003. После завершения проекта был заключен договора на дальнейшее сопровождение системы.

Active Directory (AD) — это служебные программы, разработанные для операционной системы Microsoft Server. Первоначально создавалась в качестве облегченного алгоритма доступа к каталогам пользователей. С версии Windows Server 2008 появилось интеграция с сервисами авторизации.

Дает возможность соблюдать групповую политику, применяющую однотипность параметров и ПО на всех подконтрольных ПК с помощью System Center Configuration Manager.

Если простыми словами для начинающих – это роль сервера, которая позволяет из одного места управлять всеми доступами и разрешениями в локальной сети

Функции и предназначения

Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.

Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации , с помощью которой можно узнать нужную информацию о пользователе.

Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые применяются при работе с AD:

1. Сервер – компьютер, содержащий все данные.
2. Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
3. Домен AD - совокупность устройств, объединенных под одним уникальным именем, одновременно использующих общую базу данных каталога.
4. Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из любого контроллера домена.

Как работают активные директории

Основными принципами работы являются:

• Авторизация , с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
• Защищенность . Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
• Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
• Полная интеграция с DNS . С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
• Крупные масштабы . Совокупность серверов способна контролироваться одной Active Directory.
• Поиск производится по различным параметрам, например, имя компьютера, логин.

Объекты и атрибуты

Объект - совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.

Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из других объектов . Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.

Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD - модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) - основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.

Лес доменов – совокупность деревьев, связанных между собою.

Сайт - совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.

Установка и настройка Active Directory

Теперь перейдем непосредственно к настройке Active Directory на примере Windows Server 2008 (на других версиях процедура идентична):

Нажать на кнопку “ОК”. Стоит заметить, что подобные значения не обязательны. Можно использовать IP адрес и DNS из своей сети.

• Далее нужно зайти в меню “Пуск”, выбрать “Администрирование” и “”.
  
• Перейти к пункту “Роли”, выбрать поле “Добавить роли ”.
  
• Выбрать пункт “Доменные службы Active Directory” дважды нажать “Далее”, а после “Установить”.
  
• Дождаться окончания установки.
  
• Открыть меню “Пуск”-“Выполнить ”. В поле ввести dcpromo.exe.
  
• Кликнуть “Далее”.
  
• Выбрать пункт “Создать новый домен в новом лесу ” и снова нажать “Далее”.
  
• В следующем окне ввести название, нажать “Далее”.
  
• Выбрать режим совместимости (Windows Server 2008).
  
• В следующем окне оставить все по умолчанию.
  
• Запустится окно конфигурации DNS . Поскольку на сервере он не использовался до этого, делегирование создано не было.
  
• Выбрать директорию для установки.
  
• После этого шага нужно задать пароль администрирования .

Для надежности пароль должен соответствовать таким требованиям:

После того как AD завершит процесс настройки компонентов, необходимо перезагрузить сервер.

Настройка завершена, оснастка и роль установлены в систему. Установить AD можно только на Windows семейства Server, обычные версии, например 7 или 10, могут позволить установить только консоль управления.

Администрирование в Active Directory

По умолчанию в Windows Server консоль Active Directory Users and Computers работает с доменом, к которому относится компьютер. Можно получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому контроллеру.

Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск, можно создавать новых пользователей, группы и изменять из разрешения.

К слову, существует 2 типа групп в Актив Директори – безопасности и распространения. Группы безопасности отвечают за разграничение прав доступа к объектам, они могут использоваться, как группы распространения.

Группы распространения не могут разграничивать права, а используются в основном для рассылки сообщений в сети.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

• Проверить сетевые связи между котроллерами.
• Проверить настройки.
• Настроить разрешения имен для внешних доменов.
• Создать связь со стороны доверяющего домена.
• Создать связь со стороны контроллера, к которому адресовано доверие.
• Проверить созданные односторонние отношения.
• Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Глобальный каталог

Это контроллер домена, который хранит копии всех объектов леса. Он дает юзерам и программам способность искать объекты в любом домене текущего леса с помощью средств обнаружения атрибутов , включенных в глобальный каталог.

Глобальный каталог (ГК) включает в себя ограниченный набор атрибутов для каждого объекта леса в каждом домене. Данные он получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы Active Directory.

Схема определяет, будет ли атрибут скопирован. Существует возможность конфигурирования дополнительных характеристик , которые будут создаваться повторно в глобальном каталоге с помощью “Схемы Active Directory”. Для добавления атрибута в глобальный каталог, нужно выбрать атрибут репликации и воспользоваться опцией “Копировать”. После этого создастся репликация атрибута в глобальный каталог. Значение параметра атрибута isMemberOfPartialAttributeSet станет истиной.

Для того чтобы узнать местоположение глобального каталога, нужно в командной строке ввести:

Dsquery server –isgc

Репликация данных в Active Directory

Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.

Она производится без участия оператора . Существуют такие виды содержимого реплик:

• Реплики данных создаются из всех существующих доменов.
• Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
• Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.

Основными типами реплик являются внутриузловая и межузловая.

В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.

Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.

В этом документе приведены инструкции по настройке Microsoft® Windows 2000 Active Directory на контроллерах домена для создания леса доменов. Подробно описаны настройка DNS, процесс создания новых доменов и их размещение в дереве, создание новых деревьев, а также резервных контроллеров домена. Обсуждается процедура безопасного «разжалования» контроллера домена. Рассматриваются также дополнительные вопросы настройки DNS, такие как обратное разрешение адресов, интеграция с Active Directory и безопасное динамическое обновление. Кроме того, приведен ряд замечаний, касающихся DNS серверов сторонних поставщиков программного обеспечения.

Введение

В Microsoft® Windows 2000 впервые реализована Active Directory - расширяемая и масштабируемая служба каталогов, которая позволяет организовать распределенную защиту и управление, а также работает в качестве хранилища информации о сети, которая может быть легко извлечена с помощью запросов.

База данных Active Directory хранится и дублируется на серверах, выступающих в роли контроллеров домена. Этот обзор поможет вам приступить к настройке серверов-контроллеров домена.

Настоящий документ состоит из 5 глав:

Настройка контроллеров домена - эта глава посвящена подготовке контроллеров домена и серверов DNS к созданию деревьев и лесов доменов Active Directory.

Дополнительные настройки DNS - из этой главы вы узнаете, как настроить другие возможности DNS, такие как обратное разрешение адресов, интеграция с Active Directory и защищенное динамическое обновление. Здесь же приведены рекомендации по настройке дополнительных серверов DNS.

Перевод домена в «естественный» режим работы - естественный режим (Native Mode) позволит вам в полной мере использовать преимущества новых возможностей управления группами безопасности в Windows 2000.

«Разжалование» контроллера домена - В Windows 2000 контроллеры домена могут быть созданы или лишены своего статуса без переустановки операционной системы. В этой главе продемонстрировано, как «разжаловать» компьютер из контроллера домена в отдельный сервер или сервер-член домена.

Использование DNS серверов сторонних поставщиков - Использование Microsoft DNS Server не является обязательным условием работы Active Directory. Могут быть использованы и другие реализации серверов DNS, если они поддерживают ряд стандартных протоколов. В этой главе показано, как настроить BIND 8.1.2 для поддержки Active Directory.

Перед тем, как приступить к настройке контроллеров домена, будет полезно лучше познакомиться с концепциями пространства имен Active Directory, такими как домены, деревья и леса. Дополнительную информацию можно получить в официальном документе Технический обзор Active Directory (Active Directory Technical Summary), опубликованном по адресу microsoft.com .

Повышение статуса: настройка контроллеров домена Active Directory

Операция превращения сервера в контроллер домена называется повышением статуса (promotion).

Из последующих разделов вы узнаете, как:

Подготовить повышение статуса - в этом разделе рассказывается, как настроить сервер, чтобы можно было повысить его статус.

Создать первый домен в лесу - Лес - это набор доменов, связанных доверительными отношениями и использующих общую схему, конфигурацию сайта и служб, а также глобальный каталог. Первый сервер Windows 2000, получивший статус контроллера домена, будет обслуживать первый домен в лесу.

Добавление серверов и рабочих станций в домен - В этом разделе рассказывается, что нужно для добавления сервера-члена домена или рабочих станций в домен Windows 2000.

Добавление резервного контроллера в домен - После настройки первого контроллера домена вы можете добавить дублирующие контроллеры для более равномерного распределения нагрузки и повышения отказоустойчивости.

Добавление дочернего домена в дерево - Вы можете создать дерево доменов Active Directory, добавляя к существующему домену дочерние. Домены в дереве образуют единое пространство имен.

Добавление дерева в лес - Если домен, который вы хотите добавить, имеет имя, не смежное ни с одним именем других доменов леса, вы можете добавить его в новое дерево леса.

Изучение этой главы следует начать с первых двух разделов: «Подготовка сервера к повышению статуса» и «Создание первого домена в лесу». Последующие разделы можно изучить позднее в любой последовательности.

Подготовка сервера к повышению статуса

Любой отдельный сервер или сервер-член домена, работающий под управлением Windows 2000 Server, может получить статус контроллера домена.

Перед тем как приступить к настройке, используйте диск CD-ROM Beta 2 для «чистой» установки Windows 2000 Server на компьютер или модернизируйте существующий отдельный сервер или сервер-член домена до Windows NT 4.0 Server.

Замечание : Для повышения статуса вы должны зарегистрироваться, используя учетную запись локального администратора. Не регистрируйтесь с использованием глобальной учетной записи - члена группы локальных администраторов. В последующих версиях вы сможете использовать глобальную учетную запись при повышении статуса.

Модернизация контроллеров домена Windows NT

Вы можете также модернизировать главный (PDC) или резервный (BDC) контроллер домена, работающий под управлением Windows NT 4.0. Главный контроллер домена должен быть модернизирован в первую очередь. После модернизации PDC могут быть по возможности модернизированы серверы BDC. После модернизации BDC вы можете сохранить его в качестве дублирующего в том домене, где он находится, либо превратить его в сервер-член домена.

Если вы решили модернизировать контроллер домена Windows NT 4.0, процесс повышения статуса начнется автоматически после того, как обновление операционной системы завершится и компьютер будет перезагружен.

Создание первого домена

Первый домен в лесу становится вершиной первого дерева в лесу. Домены Active Directory используют систему имен DNS, например «nttest.microsoft.com». Если вы создаете дочерние домены в дереве «nttest.microsoft.com», имена всех доменов дерева должны оканчиваться на «nttest.microsoft.com». Начните обдумывать, какое имя присвоить своему первому домену, уже сейчас.

Настройка контроллера первого домена выполняется в два этапа:

• Установка Microsoft DNS Server.
• Запуск мастера установки Active Directory.

Замечание : Если контроллер вашего первого домена Active Directory - модернизированный PDC Windows NT 4.0, мастер Active Directory Promotion будет автоматически запущен сразу после завершения обновления системы. Однако перед повышением статуса вы должны выполнить дополнительную настройку, как это описано далее. Прервав в этот момент работу мастера повышения статуса, вы сможете запустить его позднее.

Установка Microsoft Active Directory

Клиенты Active Directory используют DNS для поиска контроллеров домена. Microsoft рекомендует использовать DNS сервер, который входит в состав Windows 2000, однако допускается использование и других серверов DNS, если они удовлетворяют определенным функциональным требованиям. Более подробную информацию об использовании DNS серверов сторонних производителей вы можете найти в главе «Использование DNS серверов сторонних поставщиков» в конце настоящего документа.

Если вы уже установили и настроили DNS сервер для поддержки домена Active Directory и контроллеров этого домена, вы можете перейти к следующему этапу. Если нет - Microsoft рекомендует установить Windows 2000 DNS на первом контроллере домена.

Во время установки вам может быть выдан запрос на установку статического IP адреса сервера. Серверы DNS требуют для корректной работы указания как минимум одного постоянного IP адреса на компьютере.

Установка Microsoft DNS Server

• Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете главный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
• В меню Start выберите пункт Settings , а затем - пункт Control Panel .
• Дважды щелкните по значку Add/Remove Programs .
• Нажмите кнопку Add/Remove Windows Components .
• Будет запущена программа-мастер Windows Components Wizard.
• Выберите пункт Networking Services и нажмите кнопку Details .

Замечание: Не устанавливайте флажок Networking Services во включенное положение. В этом случае будут установлены все сетевые службы. Просто выберите пункт Networking Services.

• Установите во включенное положение флажок рядом с пунктом Dynamic Name Service (DNS) .
• Нажмите кнопку OK , чтобы закрыть диалоговое окно.
• Нажмите кнопку Next для установки программного обеспечения сервера DNS. Если диск Windows 2000 Beta 3 еще не вставлен в дисковод CD-ROM, программа предложит вам сделать это.
• Если появится запрос с предложением указать статический IP адрес, нажмите кнопку OK и проделайте следующее:

В диалоговом окне Local Area Connection Properties, которое должно появиться после этого, выберите пункт Internet Protocol (TCP/IP) и нажмите кнопку Properties .

Установите переключатель в положение Use the following IP address и укажите значения в полях IP address , Subnet mask и Default Gateway . Если вы не знаете, какие значения использовать, обратитесь к администратору сети. Если вы работаете в собственной сети, вы можете использовать значения из зарезервированного диапазона 10.x.x.x адресов класса A. Например, установите IP адрес компьютера равным 10.0.0.1, используйте предложенное по умолчанию значение маски подсети и оставьте поле адреса шлюза пустым. Каждый компьютер должен иметь свой уникальный IP адрес.

Если в вашей сети имеются другие серверы DNS, установите переключатель в положение Use the following DNS server addresses и введите IP адрес сервера DNS в поле Primary DNS Server . Если у вас в сети нет других серверов DNS, оставьте переключатель в положении Obtain DNS server address automatically или оставьте поле Primary DNS Server пустым.

• Нажмите кнопку OK , чтобы закрыть диалоговое окно Internet Protocol (TCP/IP) Properties.
• Нажмите кнопку OK , чтобы закрыть панель Connection configuration.
• Нажмите кнопку Finish для завершения установки DNS.
• Закройте окно Add/Remove Programs . Сервер DNS установлен.

Если вы указали в пункте «с» существовавший ранее сервер DNS, вам придется настроить его так, чтобы он делегировал обслуживание имен в домене Active Directory серверу DNS, который вы только что установили. Это делается путем добавления ресурсных записей Name Server в файл зоны, ответственной за обслуживание имен вашего домена Active Directory. О том, как это осуществить, вы можете узнать из документации к своему DNS серверу. Сделайте это после того, как работа мастера установки Active Directory будет завершена.

Если вы не указывали существующего сервера DNS, компьютер будет автоматически настроен для использования установленного на нем сервера DNS.

Замечание : В отличие от предыдущих версий Windows 2000, вам больше не нужно вручную настраивать DNS перед повышением статуса сервера. Теперь это делается автоматически в процессе повышения статуса, если на компьютере установлен DNS сервер. В последующих версиях сервер DNS будет устанавливаться автоматически, и выполнять эти действия не потребуется.

Запуск мастера установки Active Directory

Повышение статуса серверов до контроллеров домена происходит с помощью программы-мастера установки Active Directory, известной также под названием DCpromo.

Запуск DCpromo

• В меню Start выберите пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Next
• Если появится сообщение о том, что выбранный вами путь не принадлежит разделу NTFS 5.0 и в системе существует только раздел FAT, вам придется преобразовать его в NTFS 5.0. Если это сообщение не появится - пропустите следующие два пункта.
• Нажмите кнопку OK , чтобы закрыть окно сообщения.

Нажмите кнопку Cancel , чтобы прервать работу DCpromo.

В меню Start выберите пункт Programs , а затем пункт Command Prompt . Введите команду:

Convert drive: /FS:NTFS

где drive - имя логического диска, где установлена Windows 2000.

Утилита Convert сообщит вам о текущей файловой системе раздела и проинформирует о необходимости перезагрузки. Введите Y и нажмите клавишу Enter .

Перезагрузите систему. Логический том будет преобразован в NTFS 5.0 в процессе загрузки. Зарегистрируйтесь и вновь запустите DCpromo, пролистайте окна до окна System Volume path и продолжайте работу.

• Выберите пункт New domain и нажмите кнопку Next .
• Выберите пункт Create new domain tree и нажмите кнопку Next .
• Выберите пункт Create a new forest of domain trees и нажмите кнопку Next .
• Введите полное DNS-имя, которое вы выбрали для своего первого домена Active Directory, например «nttest.microsoft.com», и нажмите кнопку Next . DCpromo проверит, не используется ли уже введенное вами имя.
• Next .
• DCpromo предложит вам путь для размещения базы данных и файлов журнала Active Directory. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next .
• DCpromo предложит путь файла для создания резервной копии системного тома. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next .
• Если появится предупреждение о том, что DCpromo не может связаться с DNS сервером для разрешения указанного вами имени, нажмите кнопку OK .
• Выберите Yes , чтобы DCpromo настроил для DNS и нажмите кнопку Next .
• Прочитайте информацию в окне подтверждения и нажмите кнопку Next для запуска процесса повышения статуса. Он займет несколько минут.
• Нажмите кнопку Finish .
• Нажмите кнопку Restart Now , чтобы перезагрузить компьютер.

Поздравляем, вы только что создали свой первый домен Active Directory! После того, как компьютер перезагрузится, вы можете зарегистрироваться, используя глобальную учетную запись администратора. Используйте тот же самый пароль, что и до повышения статуса сервера.

Теперь вы можете продолжить добавление контроллеров домена с различным статусом или сразу приступить к экспериментам с каталогом.

Добавление серверов и рабочих станций в домен

Серверы и рабочие станции подключаются к домену так же, как и в Windows NT 4.0.

На компьютерах, работающих под управлением Windows 2000, необходимо настроить как минимум один IP адрес сервера DNS, чтобы они могли обнаружить контроллер домена в процессе подключения. IP адрес сервера DNS может сообщаться клиентским системам автоматически при помощи DHCP или устанавливаться вручную в окне настройки сетевых соединений. Более подробную информацию о DHCP вы найдете в официальном документе Microsoft Dynamic Host Configuration Protocol for Windows 2000 (Протокол динамической конфигурации хоста для Windows 2000), опубликованном по адресу microsoft.com .

Windows NT 4.0 и клиентские системы Microsoft Windows 9x используют для обнаружения контроллеров домена службу WINS. Вы должны установить и запустить WINS, если хотите, чтобы такие клиенты участвовали в домене Windows 2000.

Учетные записи для подключаемых компьютеров можно создать в домене заранее или в процессе присоединения к домену. Если вы хотите сделать это заранее, то можете воспользоваться средством Active Directory Manager.

Включение в домен Windows 2000 серверов или рабочих станций, работающих под управлением Windows 2000, производится следующим образом.

Соединение сервера или рабочей станции Windows к домену

• В меню Start выберите пункт Settings , а затем - пункт Control Panel .
• Щелкните дважды по значку System . (Вместо этого вы можете щелкнуть правой клавишей мыши по значку My Computer на Рабочем столе и выбрать в динамическом меню пункт Properties .)
• Щелкните закладке Network Identification .
• Нажмите кнопку Change , чтобы изменить статус членства компьютера.
• В списке Member of выберите пункт Windows NT secure domain .
• В текущем поле ввода укажите полное DNS-имя домена, к которому вы хотите присоединить компьютер, например «nttest.microsoft.com».
• Нажмите кнопку OK .
• Введите имя и пароль учетной записи домена, обладающей достаточными привилегиями для выполнения операции присоединения компьютера к домену. Если вы создали учетную запись для данного компьютера заранее, введите имя и пароль пользователя, который будет на нем работать. Если вы хотите создать учетную запись в процессе присоединения, введите имя и пароль пользователя, имеющего полномочие на создание объектов в используемом по умолчанию контейнере Computers. В любом случае, полномочий администратора домена будет достаточно.
• Нажмите кнопку OK для отправки имени и пароля.
• Если попытка присоединения окончится неудачей, возможно, вы неправильно указали имя домена или использовали учетную запись пользователя, не обладающего достаточными полномочиями. Если присоединение произошло успешно, появится подтверждающее сообщение. Нажмите кнопку OK .
• Нажмите кнопку OK , чтобы закрыть окно предупреждения о перезагрузке.
• Нажмите кнопку OK , чтобы закрыть панель System.
• Нажмите кнопку Yes для перезагрузки компьютера.
• После перезагрузки компьютер будет присоединен к домену.

Добавление в домен резервного контроллера

Для создания резервных копий домена используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, копию которого хотите создать. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Создания копии домена

• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт Replica domain controller in existing domain и нажмите кнопку Next .
• Введите полное DNS-имя домена, копию которого хотите создать, например «nttest.microsoft.com’, и нажмите кнопку Next .
• Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в домене, копию которого вы создаете, и нажмите кнопку Next .

После перезагрузки компьютера он будет функционировать как копия контроллера домена в указанном вами домене.

Добавление дочернего домена

Для создания дочернего домена в существующем дереве используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, который будет родительским для нового. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дочернего домена через запись администратора

Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.

• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт New domain и нажмите кнопку Next .
• Выберите пункт Create new child domain и нажмите кнопку Next .
• Введите полное DNS-имя существующего домена, который будет в дереве родительским для нового, например «nttest.microsoft.com’, и нажмите кнопку Next .
• Введите короткое имя нового дочернего домена, например «redmond». Имя родительского домена будет добавлено к этому имени для создания полного DNS-имени дочернего домена, например «redmond.nttest.microsoft.com.»
• Нажмите кнопку Next
• DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next .
• Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в родительском домене, и нажмите кнопку Next .
• Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

Замечание : В последующих версиях вы сможете делегировать отдельным пользователям или группам полномочия на создание дочерних доменов. При этом им не нужно будет передавать всю полноту административных полномочий в родительском домене.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дочернем домене.

Добавление дерева в лес

Для создания новых деревьев в существующем лесу используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к корневому (root) домену леса. Корневой домен - это первый из созданных вами доменов. Следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дерево в лес через администратора

• Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт New domain и нажмите кнопку Next .
• Выберите пункт Create new domain tree и нажмите кнопку Next .
• Выберите пункт Put this domain in an existing forest и нажмите кнопку Next .
• Введите полное DNS-имя корневого домена леса, например «nttest.microsoft.com.»
• Введите полное DNS-имя нового дерева, например «ntdev.microsoft.com». Это имя не может быть подчиненным (subordinate) или главенствующим (superior) по отношению к какому-либо из существующих в лесу деревьев. Например, если в вашем лесу существует одно дерево с именем «nttest.microsoft.com», вы не можете создать новое дерево с именем «microsoft.com» (главенствующее), а также новое дерево с именем «redmond.nttest.microsoft.com» (подчиненное).
• Нажмите кнопку Next . DCpromo проверит, не существует ли уже такого имени.
• DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next .
• Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в корневом домене леса, и нажмите кнопку Next .
• Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дереве.

Если вы используете Microsoft DNS Server, который поставляется в составе Windows NT, вы можете сконфигурировать и изучить следующие дополнительные возможности:

Обратное разрешение адресов

Интеграцию с Active Directory, которая позволит вам также сконфигурировать:

Защищенное динамическое обновление

Дополнительные серверы DNS для обеспечения отказоустойчивости

Процедуры конфигурации для каждого из этих средств описываются ниже.

Настройка обратного разрешения адресов

Обычно сервер DNS используется для преобразования имен в IP адреса, этот процесс известен под названием прямого разрешения имен (forward lookup). Кроме этого, он может использоваться и для преобразования IP адресов обратно в имена. Этот процесс называется обратным разрешением адресов (reverse lookup). Он конфигурируется отдельно от прямого разрешения имен. Хотя обратное для корректной работы не требуется разрешение адресов Windows 2000 или Active Directory, возможность обратного преобразования IP адресов в имена компьютеров может оказаться полезной при анализе проблем в сети.

Конфигурирование обратного разрешения адресов

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
• Щелкните по папке Reverse Lookup Zones .
• Щелкните правой клавишей мыши по папке Reverse Lookup Zones и выберите в динамическом меню пункт Create a New Zone .
• Next .
• Выберите пункт Active Directory Integrated , если вы хотите хранить новую зону в каталоге. Вы можете также выбрать пункт Standard Primary , если хотите хранить новую зону в стандартном файле обратного просмотра зоны.
• Введите информацию о подсети, для которой вы хотите организовать обратное разрешение адресов. Например, если ваша подсеть имеет адреса класса B 157.55.80/20, укажите 157.55.80.0 в качестве идентификатора подсети (subnet ID) и 255.255.240.0 в качестве маски подсети. Нажмите кнопку Next .
• Если вы выбрали пункт Standard Primary, программа-мастер предложит вам имя для нового файла зоны. Примите значение по умолчанию или введите новое имя. Нажмите кнопку Next .
• Проверьте правильность веденной информации в заключительном окне программы-мастера и нажмите кнопку Finish .
• Щелкните по зоне обратного разрешения адресов, которую вы только что создали.
• Properties .
• На закладке основных свойств General выберите пункт Allow Updates или пункт Allow Secure Updates в раскрывающемся списке Dynamic Update .
• Нажмите кнопку OK , чтобы закрыть окно диалоговое свойств зоны.

Повторите этот процесс для каждой подсети, для которой вы хотите организовать поддержку обратного разрешения адресов.

Если ваш сервер DNS - не единственный в сети, вам придется ввести в существующую систему DNS информацию о делегировании, чтобы другие серверы DNS могли найти вашу зону. Для получения информации о том, как это сделать, изучите документацию по используемым у вас серверам DNS.

Интеграция с Active Directory

Microsoft DNS Server в составе Windows 2000 может хранить данные не в стандартных файлах зоны, а в Active Directory. При этом дубликаты зон поддерживаются на контроллерах домена и могут быть загружены любым DNS сервером, функционирующим на контроллере этого домена. Таким образом реализуются преимущества динамического обновления с несколькими мастер-копиями.

Если ваши зоны интегрированы в Active Directory, вы можете:

Организовать защищенное динамическое обновление. Легко настроить дополнительные DNS серверы для повышения отказоустойчивости. Вы можете интегрировать в Active Directory столько зон, сколько пожелаете.

Добавление зон в Active Directory

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
• Щелкните по объекту DNS Server, чтобы развернуть его.
• Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones , чтобы развернуть ее.
• Щелкните по зоне, которую хотите хранить в Active Directory.
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
• На закладке основных свойств General нажмите кнопку Change , чтобы сменить тип зоны.
• Выберите пункт Active Directory integrated primary и нажмите кнопку OK .
• Нажмите кнопку OK , чтобы подтвердить свой выбор.
• Нажмите кнопку OK
• В зависимости от размеров зоны для преобразования может потребоваться несколько минут.
• Повторите этот процесс для каждой зоны прямого и обратного просмотра, которую вы хотите хранить в Active Directory.

Замечание : В отличие от некоторых предварительных версий Windows 2000, вам больше не требуется переводить домен в естественный режим (Native Mode) перед интеграцией DNS с Active Directory.

Организация защищенного динамического обновления

Для зон, интегрированных в Active Directory, можно организовать защищенное динамическое обновление. При этом только указанные вами компьютеры могут добавлять новые или модифицировать существующие элементы в зоне. По умолчанию все аутентифицированные компьютеры в лесу могут создавать новые элементы в зоне, и лишь тот компьютер, который создал имя, может модифицировать связанные с ним данные.

Вы можете разрешить защищенное динамическое обновление в любых зонах, интегрированных в Active Directory.

Включение возможности защищенного динамического обновления

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
• Щелкните по объекту DNS Server, чтобы развернуть его.
• Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones , чтобы развернуть ее.
• Выберите интегрированную в Active Directory зону, для которой вы хотите разрешить защищенное динамическое обновление.
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
• На закладке основных свойств General выберите пункт Allow Only Secure Updates в раскрывающемся списке Dynamic Update .
• Нажмите кнопку OK , чтобы закрыть панель свойств.
• Подобным образом вы можете включить возможность защищенного динамического обновления для любого числа зон.

Установка дополнительных серверов DNS Servers для повышения отказоустойчивости

Если вы воспользовались возможностью интеграции своих зон в Active Directory, вам будет легко установить и сконфигурировать дополнителные серверы DNS для равномерного распределения нагрузки и повышения отказоустойчивости. Для этого достаточно просто установить Microsoft DNS Server на копии контроллера домена и добавить в него зоны, интегрированные в Active Directory.

Установка серверов DNS для повышения отказоустойчивости

• Установите Microsoft DNS Server на резервный контроллер домена. Описание процесса установки приведено в разделе «Создание первого домена в лесу».

Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .

• Щелкните по объекту DNS Server, чтобы развернуть его.
• Выберите папку Forward Lookup Zones .
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Create New Zone .
• Будет запущена программа-мастер создания новой зоны. Нажмите кнопку Next .
• Выберите пункт Active Directory Integrated и нажмите кнопку Next .
• Введите имя зоны, которую вы интегрировали в каталог на предыдущем сервере DNS, и нажмите кнопку Next .
• Нажмите кнопку Finish .

Повторяйте этот процесс, начиная с п. 4 для каждой интегрированной в Active Directory зоны, существующей на первом сервере DNS этого домена. Если вы создадите новые интегрированные в Active Directory зоны на этом или другом сервере, вам придется создать их также на всех остальных серверах, чтобы они могли загружать соответствующую информацию.

Замечание : В последующих версиях вам не придется вручную добавлять зоны в DNS сервер. Сервер будет автоматически загружать все зоны, которые он обнаружит в каталоге.

Перевод домена в «естественный» (Native) режим работы

По умолчанию созданный домен работает в Смешанном (Mixed) режиме. При этом в домен могут входить резервные контроллеры (BDC) Windows NT 4.0. Когда все резервные контроллеры Windows NT 4.0 будут модернизированы или отключены, можно переключить домен в «естественный» (Native) режим работы.

Единственная разница между смешанным и естественным режимом работы заключается в ограничениях на включение контроллеров домена в группы и в том, как обрабатывается членство в группах при регистрации пользователя в сети. Переключение в естественный режим работы позволяет воспользоваться некоторыми новыми особенностями групп безопасности Windows 2000 , например, возможностью организации вложенных групп.

Замечание : В отличие от некоторых более ранних предварительных версий Windows 2000, репликация с несколькими мастер-копиями может осуществляться между контроллерами домена Windows 2000 даже в естественном режиме работы.

Для переключения в естественный режим работы применяется нижеописанная процедура. При этом в домене не должно быть резервных контроллеров Windows NT 4.0. После переключения в естественный режим обратное переключение в смешанный режим работы невозможно.

Для переключения в естественный режим работы

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт Active Directory for Users and Computers
• Щелкните по узлу домена.
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
• На закладке основных свойств General нажмите кнопку Change Mode .
• Нажмите кнопку Yes для подтверждения.
• Нажмите кнопку OK , чтобы закрыть панель свойств.
• Нажмите кнопку OK после прочтения информации о перезагрузке. Каждый контроллер домена должен быть перезагружен после того, как в поле Mode на закладке основных свойств General будет установлено значение Native Mode.
• Закройте консоль управления Directory Management.
• Перезагрузите компьютер, чтобы изменения вступили в силу.

Понижение статуса: «разжалование» контроллеров домена Active Directory

Компьютер, играющий роль контроллера домена, может быть превращен в отдельный сервер или сервер-член домена. Этот процесс также называют понижением статуса (demotion). Понижение статуса сервера приводит к его удалению из конфигурации леса и DNS. «Разжалование» последнего контроллера в домене означает прекращение существования домена.

Корневой домен леса может быть удален, только если он последний из оставшихся в лесу.

Понижение статуса приводит к удалению с сервера каталога и всех принципалов безопасности и их замещению базой данных безопасности, используемой по умолчанию. Она соответствует базе данных, которая создается при «чистой» установке Windows 2000.

Чтобы заработал «разжаловать» контроллер домена

• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите команду dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт This is the last domain controller in the domain , если это уместно, и нажмите кнопку Next .
• После понижения статуса будет создана новая база данных безопасности. Введите и подтвердите новый пароль для учетной записи Administrator, после чего нажмите кнопку Next .
• Нажмите кнопку Next для запуска процесса понижения статуса.
• Нажмите кнопку Finish , чтобы завершить работу мастера.
• Нажмите кнопку Restart Now для перезагрузки сервера.

Использование DNS серверов сторонних поставщиков

Использование Microsoft DNS Server, входящего в состав Windows 2000, не является обязательным. Однако Windows 2000 требует использования DNS сервера, обеспечивающего поддержку следующих стандартов:

Ресурсные записи Service Location (SRV RR), RFC 2052

Протокол динамического обновления Dynamic Update protocol, RFC 2136

Настоящая предварительная версия Windows 2000 была протестирована на совместимость с сервером BIND версии 8.1.2. Для получения подробной информации о настройке динамического обновления с помощью директивы update изучите документацию к серверу BIND.