Установка Active Directory в Windows Server 2008 R2

• Чулан*

Я всех приветствую и предлагаю вашему вниманию эту статью. Надеюсь, что она будет полезна начинающим системным администраторам Windows. Мы познакомимся с основами Active Directory и поднимем контроллер домена.

Преимущества использования домена в локальных сетях довольно очевидны: это и централизованная система авторизации пользователей, и удобный мощный аппарат для администрирования (управление учетными записями пользователей, разграничение прав и т. д) и ряд других полезных возможностей. Кроме того, домен логически объединяет все ресурсы сети и обеспечивает доступ авторизованным пользователям к ним. И это может быть масштабировано от небольшой локальной сети на полтора десятка машин и до весьма внушительной и протяженной территориально.

Установка DNS-сервера

И так, нам потребуется установить и настроить DNS-сервер и контроллер домена. Замечу, что настройка DNS и его корректная работа в сети жизненно необходимы для успешного функционирования домена. Мы установим обе роли на один сервер, хотя это и не является обязательным. Подробно настройку DNS мы рассматривать здесь не станем и остановимся лишь на основных моментах. В нашей сети используется DHCP, но для сервера DNS нужно назначить статический адрес вручную. После этого перейдем к назначению роли: После установки воспользуемся диспетчером DNS для настройки. Мы создадим зоны прямого и обратного просмотра. Первая служит для преобразования DNS-имен в IP-адрес, а вторая — наоборот. Поскольку это первый и единственный DNS-сервер у нас в сети, мы создадим основную зону. Далее нам нужно указать имя зоны. Я использовал testnet.local, хотя сейчас рекомендуется не использовать несуществующих доменных имен первого уровня даже для приватных сетей. Но в нашем примере это несущественно. Далее указываем имя файла, в котором будут храниться все DNS-записи и переходим к следующему пункту: Нам нужно разрешить динамические обновления для успешной работы домена. Нажав далее и прочитав сообщение об успешном завершении мы продолжим настройку. Впишем полное доменное имя для нашего сервера и почтовый адрес для связи с ответственным лицом (обратите внимание на важность наличия точки в конце – корня. Также вместо значка @ используется точка.) Поскольку у нас единственный сервер имен, отключим передачу зон из соображений безопасности. И пропишем наш сервер: Всё. Настройка зоны прямого просмотра завершена. Теперь создадим зону обратного просмотра, хотя это делать и не обязательно. Действия аналогичные: Укажем идентификатор сети: Обратите внимание на имя зоны: октеты нашей сети записаны справа налево. Так и должно быть. Создаем новый файл, разрешаем динамические обновления и жмем «Готово». Дальнейшая донастройка полностью идентична манипуляциям, проделанным для зоны прямого просмотра. Запись типа A в основной зоне для нашего сервера есть, так что воспользуемся этим для создания PTR-записи автоматически здесь: Настройка нашего DNS-сервера завершена.

Установка контроллера домена

Теперь установим роль контроллера домена Active Directory. Для этого нужно выполнить команду dcpromo. Последует запуск мастера: Появляется несколько предупреждений и возможность выбора включить наш контроллер домена в уже существующий домен, добавить новый домен в существующий лес или же создать новый домен в новом лесу. Нас интересует последний вариант и его мы и выберем. После некоторых проверок нам будет предложено NetBIOS-имя домена, которое мы вполне можем оставить. Далее перед нами выбор режима работы леса. Как и многие другие тонкости, я опускаю пояснения и предлагаю интересующимся ознакомиться с документацией. Для нас будет достаточно выбрать Windows Server 2008 R2 (разумеется, если нет планов на использование в качестве контроллеров домена в нашем лесу предыдущих версий операционных систем Microsoft) и двинуться далее. У нас уже есть настроенный сервер DNS и мы создадим делегирование, указав логин и пароль администраторской учетной записи. На следующем шаге мы укажем расположение каталогов, в которых будут хранится БД, файлы журнала и папка SYSVOL. Далее указываем пароль для восстановления и мы почти у цели. Если все впорядке, то далее последует автоматический процесс создания и произойдет перезагрузка. Готово! Теперь можно добавлять пользователей, устанавливать для них ограничения, устанавливать ПО… но эта тема уже других статей.

В данной статье будет рассмотрен процесс установки службы каталогов Active Directory (AD) в Microsoft Server 2008 R2. Она позволяет централизованно управлять компьютерами в локальной сети посредством групповых политик. Установив Active Directory, администраторы имеют возможность разворачивать ПО одновременно на множестве клиентских компьютерах, а также устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в локальной сети.Установка роли доменной службы Acvtive Directory в Microsoft Server 2008 R2 1. Открываем Диспетчер сервера и заходим во вкладку Роли: Нажимаем «Добавить роли». 2. Откроется Мастер добавления ролей: Здесь размещается краткая справочная информация: рекомендуется использовать надежный пароль Администратора, установить последние обновления сервера и проверить корректность сетевых настроек. Чтобы в дальнейшем при вызове Мастера добавления ролей не отображалась данная страница необходимо активировать пункт «Пропустить данную страницу по умолчанию». Для продолжения нажимаем Далее. 3. Окно Выбор ролей сервера: Выбираем пункт Доменные службы Active Directoryи нажимаем Далее. Если нажать на ссылку «Дополнительные сведения о ролях сервера», то откроется встроенная справочная система: Здесь доступны описания служб сервера Microsoft Server 2008 R2. 4. В этом окне можно ознакомиться с основной информацией об Active Directory: Также здесь сообщается, что Active Directory требует установленного DNS-сервера, который в случае отсутствия будет установлен. Внизу под надписью «Дополнительные сведения» доступны 3 ссылки на встроенную справочную систему: Обзор AD DS, Установка доменных служб Active Directory и Общие конфигурации доменных служб Active Directory. Для перехода к следующему этапу нажимаем Далее. 5. Подтверждение установки роли Active Directory: Компания Microsoft еще раз напоминает о необходимости после установки роли Active Directory запустить утилиту dcpromo.exe, чтобы назначить данный сервер контроллером домена. Нажимаем «Установить». 6. Ход выполнения установки: Происходит установка роли доменных служб Active Directory. Данный процесс занимает несколько минут. 7. Если установка ролей Active Directory завершится успешно, то вы увидите следующее окно: Для выхода из Мастера добавления ролей нажмите кнопку «Закрыть». Чтобы назначить данный сервер контроллером домена необходимо запустить утилиту dcpromo.exe или нажать ссылку «Закройте этот мастер и запустите установки доменных служб Active Directory (dcpromo.exe)». 8. После закрытия Мастера добавления ролей можно зайти в Диспетчер сервера, открыть вкладку Роли и убедиться, что роль доменной службы Active Directory установлена успешно: Если нажать на надпись «Доменные службы Active Directory» (обведена красным прямоугольником), то откроется новое окно, где сообщается о том, что данный сервер не работает в качестве контроллера домена: Чтобы сделать данный сервер контроллером домена необходимо запустить утилиту dcpromo.exe или нажать ссылку «Запустить мастер установки доменных служб Active Directory (dcpromo.exe)».Установка доменной службы Active Directory в Microsoft Server 2008 R2 1. Запускаем Мастер установки доменных служб Active Directory: В этом стартовом окне можно активировать пункт «Использовать расширенный режим установки». Прочитать справочную информацию о нем можно пройдя по ссылке «Подробнее о дополнительных параметрах, доступных в расширенном режиме установки». Мы не будем использовать расширенный режим, т. к. при установке первого (корневого) контроллера домена можно обойтись «обычным» режимом. Если вы хотите прочитать встроенную справку о службах AD, то пройдите по ссылке «Подробности о доменных службах Active Directory». Для продолжения установки Active Directory выбираем Далее. 2. Информация о совместимости операционных систем: Данное окно содержит информацию о совместимости операционных систем. Для продолжения нажимаем Далее. 3. Выбираем пункт «Создать новый домен в новом лесу» и нажимаем Далее: Также вы можете почитать справочную информацию по ссылке «Подробности о возможных конфигурациях развертывания». 4. Указываем имя корневого домена леса: В качестве тестового имени я выбрал «denis.local». 5. Начнется проверка уникальности имени нового леса: Затем будет проверяться имя NetBIOS: Оба процесса длятся считанные секунды. 6. Выбор режима работы леса: Доступные значения: Windows 2000, Windows Server 2003 и Windows Server 2008. Для каждого режима работы отображается краткая справочная информация. Пример работы леса в режиме Windows 2000: Пример работы леса в режиме Windows 2003: Пример работы леса в режиме Windows 2008: Мы устанавливаем корневой контроллер домена, поэтому здесь наиболее предпочтительнее выбрать режим работы леса Windows 2008. 7. Проверка конфигурации DNS: Будет запущена проверка конфигурации DNS, которая займет несколько секунд. 8. Дополнительные параметры контроллера домена: Будет предложено установить DNS-сервер. Соглашаемся на установку и нажимаем Далее. 9. Назначение статического IP-адреса: Если ваш сервер имеет динамический IP-адрес, то вы увидите данное окно. Для надежной работы DNS рекомендуется в свойствах сетевой карты назначить статический IP-адрес. Таким образом, если выбрать пункт «Да, компьютер будет использовать динамически назначаемый IP-адрес (не рекомендуется).», то процесс установки доменных служб Active Directory будет продолжен. Если выбрать «Нет, я назначу статические IP-адреса всем физическим сетевым адаптерам.», то перед продолжением установки доменных служб Active Directory вам необходимо будет прописать в свойствах всех сетевых карт данного сервера статические IP-адреса. 10. Делегирование для DNS-сервера: Выбираем «Да». 11. Выбор расположения базы данных, файла журнала и SYSVOL: Можно оставить значения по умолчанию или указать другие. Для продолжения нажимаем Далее. 12. Установка пароля администратора для режима восстановления служб каталогов: Пароль администратора режима восстановления служб каталогов должен включать в себе как минимум 1 букву верхнего регистра, 1 букву нижнего регистра и 1 цифру. Таким образом, минимальная длина такого пароля составляет 3 символа. Но рекомендуется придумать более надежный пароль. Подробную информацию можно прочитать во встроенной справочной системе по ссылке «Подробности о пароле режима восстановления служб каталогов». 13. Сводка: В данном окне можно посмотреть все выбранные на предыдущих этапах параметры Active Directory. Для продолжения нажмите Далее. При необходимости прочитайте встроенную справочную систему по ссылке «Подробнее об использовании файла ответов». Допускается экспортировать все параметры в файл ответов, который можно использовать в будущем для быстрого развертывания контроллера домена. Для этого нажмите кнопку «Экспортировать параметры»: Укажите имя файла, в который экспортируются все параметры. По умолчанию он будет сохранен а папку АдминистраторДокументы. Если вы хотите сохранить файл с параметрами в другом месте, то нажмите кнопку «Обзор папок»: Файл с автоматическими установками может быть сохранен в форматах TXT или INI. При успешном экспорте вы увидите следующее окно с информацией об имени файла ответов и месте его сохранения: Чтобы использовать файл ответов для установки службы Active Directory наберите в командной строке: dcpromo /answer[: имя_файла ], где «имя_файла» — это имя файла ответов. Содержимое файла ответов в моем случае выглядит следующим образом: 14. Настройка доменных служб Active Directory состоит из нескольких этапов и может занимать от нескольких минут до нескольких часов. Приведу несколько примеров. Завершение установки DNS: Проверка необходимости установки консоли управления групповыми политиками: Установка консоли управления групповыми политиками: На моем сервере данный процесс длился примерно 40 минут. По завершении установки доменных служб Active Directory для вступления изменений в силу требуется перезагрузка компьютера. Чтобы ПК перезагрузился автоматически, поставьте галочку «Перезагрузка по завершении». Если все прошло без ошибок, то вы увидите окно об успешном завершении мастера установки доменных служб Active Directory: Нажмите «Готово» для закрытия данного окна. Если галочка «Перезагрузка по завершении» не была поставлена, то потребуется перезагрузить компьютер: Для немедленной перезагрузки сервера нажмите «Перезагрузить сейчас». 15. После загрузки Windows Server 2008 открывает Диспетчер сервера и проверяем корректность установки доменной службы Active Directory и DNS-сервера: Роли (Главное окно): Роли (DNS-сервер): Роли (Доменные службы Active Directory): Таким образом, установка Active Directory в Windows Server 2008 R2 прошла успешно.

Переменнуем компьютер так, чтобы было понятно, что за зверь. Для этого: жмем правой кнопкой мыши по Мой компьютер –> Свойства –> Справа снизу жмем Изменить параметры –> на вкладке Имя компьютера кликаем на Изменить.

Перегружаем сервер.

Нажимаем ПУСК –> Администрирование –> Диспетчер сервера. Возле пункта Роли ищем кнопку Добавить роли, нажимаем. В появившемся окне нажимаем Далее, ставим галочку на Доменные службы Active Directory. Ждем окончания установки.

Далее

Далее

Ждем установки

Заходим ПУСК –> Выполнить. В появившемся окне пишем dcpromo.exe.

Откроется установщик Active Directory.

Так как у нас производится установка AD с нуля, то необходимо создать новый лес.

На следующем этапе необходимо выбрать режим совместимости. Если в Вашем домене не будет других сервером кроме как Windows 2008 R2 – можно выбрать соответствующий режим.

На следующем шаге оставляем все по умолчанию.

Далее будет происходить настройка службы DNS.

Так как на нашем сервере DNS ранее не использовался, то и делегирование создано не было.

Следующим этапом необходимо выбрать папку для хранения системных файлов.

Далее.

Устанавливаем пароль администрирования.

ВНИМАНИЕ! Пароль должен отвечать требованиям политики безопасности. По умолчанию, он должен содержать:

Active Directory устанавливает и настраивает компоненты. Иногда это может занять некоторое время. После чего, ОБЯЗАТЕЛЬНО перегружаем сервер.

На следующем этапе необходимо установить и настроить DHCP-сервер. Заходим в Диспетчер сервера, снова жмем Добавить роль. Ставим галку на DHCP-сервер. Ниже будут показаны только основные шаги.

Был произведен автоматический поиск активных сетевых адаптеров. IP добавлены автоматически. Если у вас динамические IP  адреса ситуация будет совсем иная, начнут возникать проблемы).

Прописываем статический IP адрес.

IPv6 в нашей сети не используется, поэтому данная опция была отключена.

На этом этапе выбираем ту учетную запись, под которой выполнялась установка Active Directory. В будущем это позволит избежать непонятных ситуаций и путаниц.

Жмем кнопку Далее -> Установить.  Дожидаемся окончания установки. На этом установку Active Directory можно считать законченной.

Вы всегда можете рассчитывать на квалифицированную поддержку и консультацию по телефону +7 (812) 951-35-68, ICQ 313636765 или электронной почте admin@kuzevanov.ru. Будем рады видеть Вас в числе наших клиентов, с уважением Компьютерный сервис.

Используемые источники:

• https://habr.com/sandbox/22698/
• http://osdevice.com/threads/ustanovka-active-directory-v-windows-server-2008-r2.79/
• http://kuzevanov.ru/ustanovka-active-directory-na-windows-2008