Настройка Active Directory представляет из себя достаточно простой процесс и рассматривается на множестве ресурсов в интернете, включая официальные. Тем не менее на своем блоге я не могу не затронуть этот момент, поскольку большинство дальнейших статей будет так или иначе основано на окружении, настройкой которого я планирую заняться как раз сейчас.

Если вам интересна тематика Windows Server, рекомендую обратиться к тегу на моем блоге. Также рекомендую ознакомиться с основной статье по Active Directory —

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

1. Первым делом нужно задать подходящие имена серверов , у меня это будут DC01 и DC02;
2. Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
3. Установите все обновления системы , особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет . Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно.

Примечание: н екоторые рассуждения, а также множество ссылок на полезный материал, вы можете найти в моей статье . Рекомендую ознакомиться с ней, а также со списком использованных источников.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором . Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Примечание: отключение синхронизации с хостом виртуализации — самый простой и быстрый вариант. Тем не менее, это не best practic. Согласно рекомендациям Microsoft, нужно отключать синхронизацию с хостом лишь частично. Для понимания принципа работы читайте официальную документацию, которая в последние годы радикально подскочила вверх по уровню изложения материала .

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS:

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Установка Active Directory

Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:

Сам процесс установки претерпел некоторые измененияпо сравнению с предыдущими версиями ОС:

Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.

Необходимо выбрать только роль Доменные службы Active Directory , никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.

Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак — требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена .

Повышение роли сервера до контроллера домена

Этапы работы мастера подробно описаны в документации. Тем не менее, пройдемся по основным шагам.

Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).

Дожидаемся установки.

После этого сервер самостоятельно перезагрузится.

Создание учетных записей администраторов домена/предприятия

Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory — пользователи и компьютеры , создайте необходимые учетные записи — на этом этапе это администратор домена.

Настройка DNS на единственном DC в домене

Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.

Убедившись в корректности настроек, открываем оснастку DNS. Правой кнопкой нажимаем на имени сервера и открываем его свойства, переходим на вкладку «Сервер пересылки». Адрес DNS-сервера, который был указан в настройках сети до установки роли AD DS, автоматически прописался в качестве единственного сервера пересылки:

Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки — это общеизвестный пул DNS-серверов высшего уровня.

Добавление второго DC в домен

Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен :

Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена ! Это обязательно, иначе получите ошибку.

После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.

Настройка DNS на нескольких DC в домене

Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:

Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье .

Настройка времени

Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью ). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.

Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.

Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой — Изменить . Переходим в Конфигурация компьютера\Политики\Административные шаблоны\Система\Служба времени Windows\Поставщики времени . Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows , заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола — NTP , остальные настройки не трогаем:

Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:

Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики — в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:

Подробнее о принципе работы и настройке службы времени читайте в официальной документации.

На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена.

В этом документе приведены инструкции по настройке Microsoft® Windows 2000 Active Directory на контроллерах домена для создания леса доменов. Подробно описаны настройка DNS, процесс создания новых доменов и их размещение в дереве, создание новых деревьев, а также резервных контроллеров домена. Обсуждается процедура безопасного «разжалования» контроллера домена. Рассматриваются также дополнительные вопросы настройки DNS, такие как обратное разрешение адресов, интеграция с Active Directory и безопасное динамическое обновление. Кроме того, приведен ряд замечаний, касающихся DNS серверов сторонних поставщиков программного обеспечения.

Введение

В Microsoft® Windows 2000 впервые реализована Active Directory - расширяемая и масштабируемая служба каталогов, которая позволяет организовать распределенную защиту и управление, а также работает в качестве хранилища информации о сети, которая может быть легко извлечена с помощью запросов.

База данных Active Directory хранится и дублируется на серверах, выступающих в роли контроллеров домена. Этот обзор поможет вам приступить к настройке серверов-контроллеров домена.

Настоящий документ состоит из 5 глав:

Настройка контроллеров домена - эта глава посвящена подготовке контроллеров домена и серверов DNS к созданию деревьев и лесов доменов Active Directory.

Дополнительные настройки DNS - из этой главы вы узнаете, как настроить другие возможности DNS, такие как обратное разрешение адресов, интеграция с Active Directory и защищенное динамическое обновление. Здесь же приведены рекомендации по настройке дополнительных серверов DNS.

Перевод домена в «естественный» режим работы - естественный режим (Native Mode) позволит вам в полной мере использовать преимущества новых возможностей управления группами безопасности в Windows 2000.

«Разжалование» контроллера домена - В Windows 2000 контроллеры домена могут быть созданы или лишены своего статуса без переустановки операционной системы. В этой главе продемонстрировано, как «разжаловать» компьютер из контроллера домена в отдельный сервер или сервер-член домена.

Использование DNS серверов сторонних поставщиков - Использование Microsoft DNS Server не является обязательным условием работы Active Directory. Могут быть использованы и другие реализации серверов DNS, если они поддерживают ряд стандартных протоколов. В этой главе показано, как настроить BIND 8.1.2 для поддержки Active Directory.

Перед тем, как приступить к настройке контроллеров домена, будет полезно лучше познакомиться с концепциями пространства имен Active Directory, такими как домены, деревья и леса. Дополнительную информацию можно получить в официальном документе Технический обзор Active Directory (Active Directory Technical Summary), опубликованном по адресу microsoft.com .

Повышение статуса: настройка контроллеров домена Active Directory

Операция превращения сервера в контроллер домена называется повышением статуса (promotion).

Из последующих разделов вы узнаете, как:

Подготовить повышение статуса - в этом разделе рассказывается, как настроить сервер, чтобы можно было повысить его статус.

Создать первый домен в лесу - Лес - это набор доменов, связанных доверительными отношениями и использующих общую схему, конфигурацию сайта и служб, а также глобальный каталог. Первый сервер Windows 2000, получивший статус контроллера домена, будет обслуживать первый домен в лесу.

Добавление серверов и рабочих станций в домен - В этом разделе рассказывается, что нужно для добавления сервера-члена домена или рабочих станций в домен Windows 2000.

Добавление резервного контроллера в домен - После настройки первого контроллера домена вы можете добавить дублирующие контроллеры для более равномерного распределения нагрузки и повышения отказоустойчивости.

Добавление дочернего домена в дерево - Вы можете создать дерево доменов Active Directory, добавляя к существующему домену дочерние. Домены в дереве образуют единое пространство имен.

Добавление дерева в лес - Если домен, который вы хотите добавить, имеет имя, не смежное ни с одним именем других доменов леса, вы можете добавить его в новое дерево леса.

Изучение этой главы следует начать с первых двух разделов: «Подготовка сервера к повышению статуса» и «Создание первого домена в лесу». Последующие разделы можно изучить позднее в любой последовательности.

Подготовка сервера к повышению статуса

Любой отдельный сервер или сервер-член домена, работающий под управлением Windows 2000 Server, может получить статус контроллера домена.

Перед тем как приступить к настройке, используйте диск CD-ROM Beta 2 для «чистой» установки Windows 2000 Server на компьютер или модернизируйте существующий отдельный сервер или сервер-член домена до Windows NT 4.0 Server.

Замечание : Для повышения статуса вы должны зарегистрироваться, используя учетную запись локального администратора. Не регистрируйтесь с использованием глобальной учетной записи - члена группы локальных администраторов. В последующих версиях вы сможете использовать глобальную учетную запись при повышении статуса.

Модернизация контроллеров домена Windows NT

Вы можете также модернизировать главный (PDC) или резервный (BDC) контроллер домена, работающий под управлением Windows NT 4.0. Главный контроллер домена должен быть модернизирован в первую очередь. После модернизации PDC могут быть по возможности модернизированы серверы BDC. После модернизации BDC вы можете сохранить его в качестве дублирующего в том домене, где он находится, либо превратить его в сервер-член домена.

Если вы решили модернизировать контроллер домена Windows NT 4.0, процесс повышения статуса начнется автоматически после того, как обновление операционной системы завершится и компьютер будет перезагружен.

Создание первого домена

Первый домен в лесу становится вершиной первого дерева в лесу. Домены Active Directory используют систему имен DNS, например «nttest.microsoft.com». Если вы создаете дочерние домены в дереве «nttest.microsoft.com», имена всех доменов дерева должны оканчиваться на «nttest.microsoft.com». Начните обдумывать, какое имя присвоить своему первому домену, уже сейчас.

Настройка контроллера первого домена выполняется в два этапа:

• Установка Microsoft DNS Server.
• Запуск мастера установки Active Directory.

Замечание : Если контроллер вашего первого домена Active Directory - модернизированный PDC Windows NT 4.0, мастер Active Directory Promotion будет автоматически запущен сразу после завершения обновления системы. Однако перед повышением статуса вы должны выполнить дополнительную настройку, как это описано далее. Прервав в этот момент работу мастера повышения статуса, вы сможете запустить его позднее.

Установка Microsoft Active Directory

Клиенты Active Directory используют DNS для поиска контроллеров домена. Microsoft рекомендует использовать DNS сервер, который входит в состав Windows 2000, однако допускается использование и других серверов DNS, если они удовлетворяют определенным функциональным требованиям. Более подробную информацию об использовании DNS серверов сторонних производителей вы можете найти в главе «Использование DNS серверов сторонних поставщиков» в конце настоящего документа.

Если вы уже установили и настроили DNS сервер для поддержки домена Active Directory и контроллеров этого домена, вы можете перейти к следующему этапу. Если нет - Microsoft рекомендует установить Windows 2000 DNS на первом контроллере домена.

Во время установки вам может быть выдан запрос на установку статического IP адреса сервера. Серверы DNS требуют для корректной работы указания как минимум одного постоянного IP адреса на компьютере.

Установка Microsoft DNS Server

• Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете главный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
• В меню Start выберите пункт Settings , а затем - пункт Control Panel .
• Дважды щелкните по значку Add/Remove Programs .
• Нажмите кнопку Add/Remove Windows Components .
• Будет запущена программа-мастер Windows Components Wizard.
• Выберите пункт Networking Services и нажмите кнопку Details .

Замечание: Не устанавливайте флажок Networking Services во включенное положение. В этом случае будут установлены все сетевые службы. Просто выберите пункт Networking Services.

• Установите во включенное положение флажок рядом с пунктом Dynamic Name Service (DNS) .
• Нажмите кнопку OK , чтобы закрыть диалоговое окно.
• Нажмите кнопку Next для установки программного обеспечения сервера DNS. Если диск Windows 2000 Beta 3 еще не вставлен в дисковод CD-ROM, программа предложит вам сделать это.
• Если появится запрос с предложением указать статический IP адрес, нажмите кнопку OK и проделайте следующее:

В диалоговом окне Local Area Connection Properties, которое должно появиться после этого, выберите пункт Internet Protocol (TCP/IP) и нажмите кнопку Properties .

Установите переключатель в положение Use the following IP address и укажите значения в полях IP address , Subnet mask и Default Gateway . Если вы не знаете, какие значения использовать, обратитесь к администратору сети. Если вы работаете в собственной сети, вы можете использовать значения из зарезервированного диапазона 10.x.x.x адресов класса A. Например, установите IP адрес компьютера равным 10.0.0.1, используйте предложенное по умолчанию значение маски подсети и оставьте поле адреса шлюза пустым. Каждый компьютер должен иметь свой уникальный IP адрес.

Если в вашей сети имеются другие серверы DNS, установите переключатель в положение Use the following DNS server addresses и введите IP адрес сервера DNS в поле Primary DNS Server . Если у вас в сети нет других серверов DNS, оставьте переключатель в положении Obtain DNS server address automatically или оставьте поле Primary DNS Server пустым.

• Нажмите кнопку OK , чтобы закрыть диалоговое окно Internet Protocol (TCP/IP) Properties.
• Нажмите кнопку OK , чтобы закрыть панель Connection configuration.
• Нажмите кнопку Finish для завершения установки DNS.
• Закройте окно Add/Remove Programs . Сервер DNS установлен.

Если вы указали в пункте «с» существовавший ранее сервер DNS, вам придется настроить его так, чтобы он делегировал обслуживание имен в домене Active Directory серверу DNS, который вы только что установили. Это делается путем добавления ресурсных записей Name Server в файл зоны, ответственной за обслуживание имен вашего домена Active Directory. О том, как это осуществить, вы можете узнать из документации к своему DNS серверу. Сделайте это после того, как работа мастера установки Active Directory будет завершена.

Если вы не указывали существующего сервера DNS, компьютер будет автоматически настроен для использования установленного на нем сервера DNS.

Замечание : В отличие от предыдущих версий Windows 2000, вам больше не нужно вручную настраивать DNS перед повышением статуса сервера. Теперь это делается автоматически в процессе повышения статуса, если на компьютере установлен DNS сервер. В последующих версиях сервер DNS будет устанавливаться автоматически, и выполнять эти действия не потребуется.

Запуск мастера установки Active Directory

Повышение статуса серверов до контроллеров домена происходит с помощью программы-мастера установки Active Directory, известной также под названием DCpromo.

Запуск DCpromo

• В меню Start выберите пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Next
• Если появится сообщение о том, что выбранный вами путь не принадлежит разделу NTFS 5.0 и в системе существует только раздел FAT, вам придется преобразовать его в NTFS 5.0. Если это сообщение не появится - пропустите следующие два пункта.
• Нажмите кнопку OK , чтобы закрыть окно сообщения.

Нажмите кнопку Cancel , чтобы прервать работу DCpromo.

В меню Start выберите пункт Programs , а затем пункт Command Prompt . Введите команду:

Convert drive: /FS:NTFS

где drive - имя логического диска, где установлена Windows 2000.

Утилита Convert сообщит вам о текущей файловой системе раздела и проинформирует о необходимости перезагрузки. Введите Y и нажмите клавишу Enter .

Перезагрузите систему. Логический том будет преобразован в NTFS 5.0 в процессе загрузки. Зарегистрируйтесь и вновь запустите DCpromo, пролистайте окна до окна System Volume path и продолжайте работу.

• Выберите пункт New domain и нажмите кнопку Next .
• Выберите пункт Create new domain tree и нажмите кнопку Next .
• Выберите пункт Create a new forest of domain trees и нажмите кнопку Next .
• Введите полное DNS-имя, которое вы выбрали для своего первого домена Active Directory, например «nttest.microsoft.com», и нажмите кнопку Next . DCpromo проверит, не используется ли уже введенное вами имя.
• Next .
• DCpromo предложит вам путь для размещения базы данных и файлов журнала Active Directory. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next .
• DCpromo предложит путь файла для создания резервной копии системного тома. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next .
• Если появится предупреждение о том, что DCpromo не может связаться с DNS сервером для разрешения указанного вами имени, нажмите кнопку OK .
• Выберите Yes , чтобы DCpromo настроил для DNS и нажмите кнопку Next .
• Прочитайте информацию в окне подтверждения и нажмите кнопку Next для запуска процесса повышения статуса. Он займет несколько минут.
• Нажмите кнопку Finish .
• Нажмите кнопку Restart Now , чтобы перезагрузить компьютер.

Поздравляем, вы только что создали свой первый домен Active Directory! После того, как компьютер перезагрузится, вы можете зарегистрироваться, используя глобальную учетную запись администратора. Используйте тот же самый пароль, что и до повышения статуса сервера.

Теперь вы можете продолжить добавление контроллеров домена с различным статусом или сразу приступить к экспериментам с каталогом.

Добавление серверов и рабочих станций в домен

Серверы и рабочие станции подключаются к домену так же, как и в Windows NT 4.0.

На компьютерах, работающих под управлением Windows 2000, необходимо настроить как минимум один IP адрес сервера DNS, чтобы они могли обнаружить контроллер домена в процессе подключения. IP адрес сервера DNS может сообщаться клиентским системам автоматически при помощи DHCP или устанавливаться вручную в окне настройки сетевых соединений. Более подробную информацию о DHCP вы найдете в официальном документе Microsoft Dynamic Host Configuration Protocol for Windows 2000 (Протокол динамической конфигурации хоста для Windows 2000), опубликованном по адресу microsoft.com .

Windows NT 4.0 и клиентские системы Microsoft Windows 9x используют для обнаружения контроллеров домена службу WINS. Вы должны установить и запустить WINS, если хотите, чтобы такие клиенты участвовали в домене Windows 2000.

Учетные записи для подключаемых компьютеров можно создать в домене заранее или в процессе присоединения к домену. Если вы хотите сделать это заранее, то можете воспользоваться средством Active Directory Manager.

Включение в домен Windows 2000 серверов или рабочих станций, работающих под управлением Windows 2000, производится следующим образом.

Соединение сервера или рабочей станции Windows к домену

• В меню Start выберите пункт Settings , а затем - пункт Control Panel .
• Щелкните дважды по значку System . (Вместо этого вы можете щелкнуть правой клавишей мыши по значку My Computer на Рабочем столе и выбрать в динамическом меню пункт Properties .)
• Щелкните закладке Network Identification .
• Нажмите кнопку Change , чтобы изменить статус членства компьютера.
• В списке Member of выберите пункт Windows NT secure domain .
• В текущем поле ввода укажите полное DNS-имя домена, к которому вы хотите присоединить компьютер, например «nttest.microsoft.com».
• Нажмите кнопку OK .
• Введите имя и пароль учетной записи домена, обладающей достаточными привилегиями для выполнения операции присоединения компьютера к домену. Если вы создали учетную запись для данного компьютера заранее, введите имя и пароль пользователя, который будет на нем работать. Если вы хотите создать учетную запись в процессе присоединения, введите имя и пароль пользователя, имеющего полномочие на создание объектов в используемом по умолчанию контейнере Computers. В любом случае, полномочий администратора домена будет достаточно.
• Нажмите кнопку OK для отправки имени и пароля.
• Если попытка присоединения окончится неудачей, возможно, вы неправильно указали имя домена или использовали учетную запись пользователя, не обладающего достаточными полномочиями. Если присоединение произошло успешно, появится подтверждающее сообщение. Нажмите кнопку OK .
• Нажмите кнопку OK , чтобы закрыть окно предупреждения о перезагрузке.
• Нажмите кнопку OK , чтобы закрыть панель System.
• Нажмите кнопку Yes для перезагрузки компьютера.
• После перезагрузки компьютер будет присоединен к домену.

Добавление в домен резервного контроллера

Для создания резервных копий домена используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, копию которого хотите создать. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Создания копии домена

• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт Replica domain controller in existing domain и нажмите кнопку Next .
• Введите полное DNS-имя домена, копию которого хотите создать, например «nttest.microsoft.com’, и нажмите кнопку Next .
• Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в домене, копию которого вы создаете, и нажмите кнопку Next .

После перезагрузки компьютера он будет функционировать как копия контроллера домена в указанном вами домене.

Добавление дочернего домена

Для создания дочернего домена в существующем дереве используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, который будет родительским для нового. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дочернего домена через запись администратора

Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.

• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт New domain и нажмите кнопку Next .
• Выберите пункт Create new child domain и нажмите кнопку Next .
• Введите полное DNS-имя существующего домена, который будет в дереве родительским для нового, например «nttest.microsoft.com’, и нажмите кнопку Next .
• Введите короткое имя нового дочернего домена, например «redmond». Имя родительского домена будет добавлено к этому имени для создания полного DNS-имени дочернего домена, например «redmond.nttest.microsoft.com.»
• Нажмите кнопку Next
• DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next .
• Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в родительском домене, и нажмите кнопку Next .
• Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

Замечание : В последующих версиях вы сможете делегировать отдельным пользователям или группам полномочия на создание дочерних доменов. При этом им не нужно будет передавать всю полноту административных полномочий в родительском домене.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дочернем домене.

Добавление дерева в лес

Для создания новых деревьев в существующем лесу используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к корневому (root) домену леса. Корневой домен - это первый из созданных вами доменов. Следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дерево в лес через администратора

• Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт New domain и нажмите кнопку Next .
• Выберите пункт Create new domain tree и нажмите кнопку Next .
• Выберите пункт Put this domain in an existing forest и нажмите кнопку Next .
• Введите полное DNS-имя корневого домена леса, например «nttest.microsoft.com.»
• Введите полное DNS-имя нового дерева, например «ntdev.microsoft.com». Это имя не может быть подчиненным (subordinate) или главенствующим (superior) по отношению к какому-либо из существующих в лесу деревьев. Например, если в вашем лесу существует одно дерево с именем «nttest.microsoft.com», вы не можете создать новое дерево с именем «microsoft.com» (главенствующее), а также новое дерево с именем «redmond.nttest.microsoft.com» (подчиненное).
• Нажмите кнопку Next . DCpromo проверит, не существует ли уже такого имени.
• DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next .
• Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в корневом домене леса, и нажмите кнопку Next .
• Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дереве.

Если вы используете Microsoft DNS Server, который поставляется в составе Windows NT, вы можете сконфигурировать и изучить следующие дополнительные возможности:

Обратное разрешение адресов

Интеграцию с Active Directory, которая позволит вам также сконфигурировать:

Защищенное динамическое обновление

Дополнительные серверы DNS для обеспечения отказоустойчивости

Процедуры конфигурации для каждого из этих средств описываются ниже.

Настройка обратного разрешения адресов

Обычно сервер DNS используется для преобразования имен в IP адреса, этот процесс известен под названием прямого разрешения имен (forward lookup). Кроме этого, он может использоваться и для преобразования IP адресов обратно в имена. Этот процесс называется обратным разрешением адресов (reverse lookup). Он конфигурируется отдельно от прямого разрешения имен. Хотя обратное для корректной работы не требуется разрешение адресов Windows 2000 или Active Directory, возможность обратного преобразования IP адресов в имена компьютеров может оказаться полезной при анализе проблем в сети.

Конфигурирование обратного разрешения адресов

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
• Щелкните по папке Reverse Lookup Zones .
• Щелкните правой клавишей мыши по папке Reverse Lookup Zones и выберите в динамическом меню пункт Create a New Zone .
• Next .
• Выберите пункт Active Directory Integrated , если вы хотите хранить новую зону в каталоге. Вы можете также выбрать пункт Standard Primary , если хотите хранить новую зону в стандартном файле обратного просмотра зоны.
• Введите информацию о подсети, для которой вы хотите организовать обратное разрешение адресов. Например, если ваша подсеть имеет адреса класса B 157.55.80/20, укажите 157.55.80.0 в качестве идентификатора подсети (subnet ID) и 255.255.240.0 в качестве маски подсети. Нажмите кнопку Next .
• Если вы выбрали пункт Standard Primary, программа-мастер предложит вам имя для нового файла зоны. Примите значение по умолчанию или введите новое имя. Нажмите кнопку Next .
• Проверьте правильность веденной информации в заключительном окне программы-мастера и нажмите кнопку Finish .
• Щелкните по зоне обратного разрешения адресов, которую вы только что создали.
• Properties .
• На закладке основных свойств General выберите пункт Allow Updates или пункт Allow Secure Updates в раскрывающемся списке Dynamic Update .
• Нажмите кнопку OK , чтобы закрыть окно диалоговое свойств зоны.

Повторите этот процесс для каждой подсети, для которой вы хотите организовать поддержку обратного разрешения адресов.

Если ваш сервер DNS - не единственный в сети, вам придется ввести в существующую систему DNS информацию о делегировании, чтобы другие серверы DNS могли найти вашу зону. Для получения информации о том, как это сделать, изучите документацию по используемым у вас серверам DNS.

Интеграция с Active Directory

Microsoft DNS Server в составе Windows 2000 может хранить данные не в стандартных файлах зоны, а в Active Directory. При этом дубликаты зон поддерживаются на контроллерах домена и могут быть загружены любым DNS сервером, функционирующим на контроллере этого домена. Таким образом реализуются преимущества динамического обновления с несколькими мастер-копиями.

Если ваши зоны интегрированы в Active Directory, вы можете:

Организовать защищенное динамическое обновление. Легко настроить дополнительные DNS серверы для повышения отказоустойчивости. Вы можете интегрировать в Active Directory столько зон, сколько пожелаете.

Добавление зон в Active Directory

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
• Щелкните по объекту DNS Server, чтобы развернуть его.
• Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones , чтобы развернуть ее.
• Щелкните по зоне, которую хотите хранить в Active Directory.
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
• На закладке основных свойств General нажмите кнопку Change , чтобы сменить тип зоны.
• Выберите пункт Active Directory integrated primary и нажмите кнопку OK .
• Нажмите кнопку OK , чтобы подтвердить свой выбор.
• Нажмите кнопку OK
• В зависимости от размеров зоны для преобразования может потребоваться несколько минут.
• Повторите этот процесс для каждой зоны прямого и обратного просмотра, которую вы хотите хранить в Active Directory.

Замечание : В отличие от некоторых предварительных версий Windows 2000, вам больше не требуется переводить домен в естественный режим (Native Mode) перед интеграцией DNS с Active Directory.

Организация защищенного динамического обновления

Для зон, интегрированных в Active Directory, можно организовать защищенное динамическое обновление. При этом только указанные вами компьютеры могут добавлять новые или модифицировать существующие элементы в зоне. По умолчанию все аутентифицированные компьютеры в лесу могут создавать новые элементы в зоне, и лишь тот компьютер, который создал имя, может модифицировать связанные с ним данные.

Вы можете разрешить защищенное динамическое обновление в любых зонах, интегрированных в Active Directory.

Включение возможности защищенного динамического обновления

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
• Щелкните по объекту DNS Server, чтобы развернуть его.
• Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones , чтобы развернуть ее.
• Выберите интегрированную в Active Directory зону, для которой вы хотите разрешить защищенное динамическое обновление.
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
• На закладке основных свойств General выберите пункт Allow Only Secure Updates в раскрывающемся списке Dynamic Update .
• Нажмите кнопку OK , чтобы закрыть панель свойств.
• Подобным образом вы можете включить возможность защищенного динамического обновления для любого числа зон.

Установка дополнительных серверов DNS Servers для повышения отказоустойчивости

Если вы воспользовались возможностью интеграции своих зон в Active Directory, вам будет легко установить и сконфигурировать дополнителные серверы DNS для равномерного распределения нагрузки и повышения отказоустойчивости. Для этого достаточно просто установить Microsoft DNS Server на копии контроллера домена и добавить в него зоны, интегрированные в Active Directory.

Установка серверов DNS для повышения отказоустойчивости

• Установите Microsoft DNS Server на резервный контроллер домена. Описание процесса установки приведено в разделе «Создание первого домена в лесу».

Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .

• Щелкните по объекту DNS Server, чтобы развернуть его.
• Выберите папку Forward Lookup Zones .
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Create New Zone .
• Будет запущена программа-мастер создания новой зоны. Нажмите кнопку Next .
• Выберите пункт Active Directory Integrated и нажмите кнопку Next .
• Введите имя зоны, которую вы интегрировали в каталог на предыдущем сервере DNS, и нажмите кнопку Next .
• Нажмите кнопку Finish .

Повторяйте этот процесс, начиная с п. 4 для каждой интегрированной в Active Directory зоны, существующей на первом сервере DNS этого домена. Если вы создадите новые интегрированные в Active Directory зоны на этом или другом сервере, вам придется создать их также на всех остальных серверах, чтобы они могли загружать соответствующую информацию.

Замечание : В последующих версиях вам не придется вручную добавлять зоны в DNS сервер. Сервер будет автоматически загружать все зоны, которые он обнаружит в каталоге.

Перевод домена в «естественный» (Native) режим работы

По умолчанию созданный домен работает в Смешанном (Mixed) режиме. При этом в домен могут входить резервные контроллеры (BDC) Windows NT 4.0. Когда все резервные контроллеры Windows NT 4.0 будут модернизированы или отключены, можно переключить домен в «естественный» (Native) режим работы.

Единственная разница между смешанным и естественным режимом работы заключается в ограничениях на включение контроллеров домена в группы и в том, как обрабатывается членство в группах при регистрации пользователя в сети. Переключение в естественный режим работы позволяет воспользоваться некоторыми новыми особенностями групп безопасности Windows 2000 , например, возможностью организации вложенных групп.

Замечание : В отличие от некоторых более ранних предварительных версий Windows 2000, репликация с несколькими мастер-копиями может осуществляться между контроллерами домена Windows 2000 даже в естественном режиме работы.

Для переключения в естественный режим работы применяется нижеописанная процедура. При этом в домене не должно быть резервных контроллеров Windows NT 4.0. После переключения в естественный режим обратное переключение в смешанный режим работы невозможно.

Для переключения в естественный режим работы

• Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт Active Directory for Users and Computers
• Щелкните по узлу домена.
• Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
• На закладке основных свойств General нажмите кнопку Change Mode .
• Нажмите кнопку Yes для подтверждения.
• Нажмите кнопку OK , чтобы закрыть панель свойств.
• Нажмите кнопку OK после прочтения информации о перезагрузке. Каждый контроллер домена должен быть перезагружен после того, как в поле Mode на закладке основных свойств General будет установлено значение Native Mode.
• Закройте консоль управления Directory Management.
• Перезагрузите компьютер, чтобы изменения вступили в силу.

Понижение статуса: «разжалование» контроллеров домена Active Directory

Компьютер, играющий роль контроллера домена, может быть превращен в отдельный сервер или сервер-член домена. Этот процесс также называют понижением статуса (demotion). Понижение статуса сервера приводит к его удалению из конфигурации леса и DNS. «Разжалование» последнего контроллера в домене означает прекращение существования домена.

Корневой домен леса может быть удален, только если он последний из оставшихся в лесу.

Понижение статуса приводит к удалению с сервера каталога и всех принципалов безопасности и их замещению базой данных безопасности, используемой по умолчанию. Она соответствует базе данных, которая создается при «чистой» установке Windows 2000.

Чтобы заработал «разжаловать» контроллер домена

• Нажмите кнопку Start и выберите в меню пункт Run .
• Введите команду dcpromo и нажмите кнопку OK .
• Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
• Выберите пункт This is the last domain controller in the domain , если это уместно, и нажмите кнопку Next .
• После понижения статуса будет создана новая база данных безопасности. Введите и подтвердите новый пароль для учетной записи Administrator, после чего нажмите кнопку Next .
• Нажмите кнопку Next для запуска процесса понижения статуса.
• Нажмите кнопку Finish , чтобы завершить работу мастера.
• Нажмите кнопку Restart Now для перезагрузки сервера.

Использование DNS серверов сторонних поставщиков

Использование Microsoft DNS Server, входящего в состав Windows 2000, не является обязательным. Однако Windows 2000 требует использования DNS сервера, обеспечивающего поддержку следующих стандартов:

Ресурсные записи Service Location (SRV RR), RFC 2052

Протокол динамического обновления Dynamic Update protocol, RFC 2136

Настоящая предварительная версия Windows 2000 была протестирована на совместимость с сервером BIND версии 8.1.2. Для получения подробной информации о настройке динамического обновления с помощью директивы update изучите документацию к серверу BIND.

Добрый день.

Появилось задание, суть которого описана в сабже. Вот моя заметка, скажу сразу, что она почти целиком переписана с этого сайта: тыц за что спасибо большое автору.

1. Немного теории

2. Подготовка

Предпочтительный DNS-сервер: 127.0.0.1 (так как тут будет располагаться локальный DNS-сервер)
Альтернативный DNS-сервер: 192.168.10.1
Именно такие настройки потому, что эта машина у меня в сети за vyatta , я описывал настройки в прошлой заметке: тыц .

После чего жмем "ОК " и "Закрыть ".
Подготовка закончилась, теперь преступим к установке роли.

3. Установки роли

После чего запустится "Мастер добавления ролей и компонентов ".

3.1 На первом этапе мастер напоминает, что нужно сделать перед началом добавления роли на компьютер, просто нажимаем "Далее ".

3.2 Теперь выбираем "Установка ролей и компонентов " и жмем "Далее ".

3.3 Выберем компьютер, на котором хотим установить роль AD и опять "Далее ".

3.4 Теперь нужно выбрать какую роль мы хотим установить, выбираем "Доменные службы Active Directory " и нам предложат установить необходимые компоненты и службы ролей для роли AD соглашаемся нажав "Добавить компоненты " и опять "Далее ".

3.5 Тут предложат установить компоненты, но нам они пока не нужны, так что просто жмем "Далее ".

3.6 Теперь нам выведут описание роли "Доменных служб Active Directory ". Прочитаем внимательно и жмем "Далее ".

3.7 Мы увидим, что же именно мы будем ставить на сервер, если все хорошо, то жмем "Установить ".

3.8 После установки просто жмем "Закрыть ".

4. Настройка доменных служб Active Directory

4.1 Выбираем "Добавить новый лес " и вписываем наш домен в поле "Имя корневого домена " (я решил взять стандартный домен для таких случаев test.local ) и жмем "Далее ".

4.2 В данном меню можно задать совместимость режима работы леса и корневого домена. Так как у меня все с нуля я оставлю по умолчанию (в режиме работы "Windows Server 2012 "). А еще можно отключить DNS -сервер, но я решил оставить это, так как хочу иметь свой локальный DNS -сервер. И еще необходимо задать пароль DSRM (Directory Service Restore Mode - режим восстановления службы каталога), задаем пароль и тыкаем "Далее ".

4.3 На данном этапе мастер настройки предупреждает нас, что домен test.local нам не делегирован, ну это и логично, нам ни кто его не давал, он будет существовать только в нашей сети, так, что жмем просто "Далее ".

4.4 Можно изменить NetBIOS имя, которое было автоматически присвоено, я не буду этого делать, так, что жмем "Далее ".

4.5 Тут можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services - доменная служба AD), файлам журнала, а так же каталогу SYSVOL . Не вижу смысла в изменении, так что просто жмем "Далее ".

4.6 Теперь мы видим небольшой итог, какие настройки мы выбрали.

Тут же, нажав на кнопку "Просмотреть сценарий " мы можем увидеть PowerShell сценарий для развертывания AD DS выглядит он примерно так:

4.7 Мастер проверит соблюдены ли предварительные требования, видим несколько замечаний, но они для нас не критичны, так что жмем кнопку "Установить ".

4.8 После завершения установки, компьютер перезагрузится.

5. Добавление нового пользователя

5.2 Выделяем название домена (test.local ), нажимаем правой кнопкой и выбираем "Создать " -> "Подразделение ".

После чего вводим имя подразделения, а так же можем снять защиту контейнера от случайного удаления. Нажимаем "ОК ".

5.3 Теперь создадим пользователя в подразделении "Пользователи ". Правой кнопкой на подразделение и выбираем в нем "Создать " -> "Пользователь ". И заполняем основные данные: Имя , Фамилия , логин .

Жмем "Далее ".
Теперь зададим пароль, для пользователя. Так же тут можно задать такие вещи как:
- Требовать смены пароля пользователя при следующем входе в систему - при входе пользователя в наш домен, ему будет предложено сменить пароль.
- Запретить смену пароля пользователем - отключает возможность смены пароля пользователем.
- Срок действия пароля не ограничен - пароль можно не менять сколько угодно.
- Отключить учетную запись - делает учетную запись пользователя не активной.
Жмем "Далее ".

И теперь "Готово ".

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory ().

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services . В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller ».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory (с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей ():

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01..сайт). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01..сайт. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.

Из этой статьи вы узнаете:

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24 , в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

• Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
• Устанавливаем контроллер домена во второй подсети и добавляем его в домен
• Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4 , второй — xm-winsrv 10.1.4.6 . Домен, который мы будем создавать будет называться xs.local

Настройка контроллеров домена для работы в разных подсетях

Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv . Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1 :

Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv . Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.

В xs-winsrv добавляем строку:

10.1.4.6 xm-winsrv

В xm-winsrv добавляем:

10.1.3.4 xs-winsrv

Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:

Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv , который мы будем добавлять в домен:

После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.

Добавление второго контроллера домена из другой подсети

Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен , указываем наш домен xs.local :

На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:

Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC) . Дальше все настройки оставляем по-умолчанию.

После перезагрузки сервера, он окажется в домене xs.local . Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:

На этом все. Можно добавлять компьютеры в обоих офисах в домен.

Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.

Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.

Онлайн курс "Администратор Linux"