Конфигуриране на услугите Active Directory домейни

Конфигуриране на Active Directory е сравнително прост процес и се на снимачната площадка на ресурси в Интернет, включително и официален. Независимо от това, в блога си, не мога да се повиши този момент, тъй като повечето следващите статии ще бъдат по някакъв начин въз основа на настройките на среда, която смятам да направя точно сега.

Ако се интересувате от теми за Windows Server, аз ви насърчавам да маркирате Windows Server в моя блог. Препоръчва се също така да прочетете основната статия на Active Directory - Active Directory Domain Services

Подготовка на околната среда

Първото нещо, което трябва да се подготви за околната среда. Разширяване на ролята на АД Смятам за две виртуални сървъри (бъдещи домейн контролери) в завой.

1. Първата стъпка е да се определят имената на съответните сървъри. Имам това ще DC01 и DC02.
2. На следващо място, трябва да се регистрирате конфигурацията на статично мрежа. Въпреки че няма да се съсредоточи и къде да се регистрирате, нека да бъде никакви настройки. Подробности този момент аз ще обсъдим по-долу.
3. Разбира се, задайте всички актуализации на системата. особено актуализации на защитата. Повечето от това време е преминал, но е важно, защото в актуализацията се освобождава кръпки за дупки в сигурността, бъгове отстранени т.н.

На този етап трябва да се реши кой домейн име щете. Това е изключително важно, защото тогава промяната на името на домейна ще бъде много голям проблем за теб, все пак, и преименуване на скрипта се поддържа официално и реализира за дълго време. Някои от аргументите, както и много връзки към полезни материали може да се намери в моята статия Няколко думи за именуване на домейни Active Directory. Аз препоръчвам да го, както и списък на източниците, използвани чете.

Тъй като имам виртуализирани домейн контролери, които се използват, че е необходимо да промените някои настройки на виртуални машини, а именно, забранете синхронизация време с хипервайзора. във времето АД трябва да се синхронизира само с външни източници. Включени определяне на времевата синхронизация с хипервайзора може да доведе до цикличен синхронизация и като последица от проблеми с работата на целия домейн, чак до невъзможност да влезете в техните потребители на работни станции.

Като цяло, подхода към управлението на виртуализирани домейн контролери различни в предвид някои особености на функционирането на AD DS 01 февруари:

Виртуалните среди представят особени предизвикателства за разпределени на работния процес зависима репликация логика време верига. Например, репликация се използва AD DS равномерно нарастваща стойност (което се нарича USN, или номер актуализация последователност), определени за транзакции във всеки домейн контролер. Всеки екземпляр на базата данни на домейн контролер също така получава идентификатор, наречен InvocationID. InvocationID домейн и неговата актуализация пореден номер контролер заедно предоставя уникален идентификатор, който се свързва с всеки записи на сделките се извършват на всеки домейн контролер, както и трябва да бъде уникален в рамките на гората.

На тази основни стъпки, за да се подготвят за околната среда са завършени, преминете към етапа на инсталацията.

Инсталиране на Active Directory

Монтажът се извършва чрез Server Manager и това е не е голяма работа, подробно всички етапи на инсталацията, можете да видите по-долу:

Самият процес на инсталация е претърпял някои промени 3, в сравнение с предишните версии на операционната система:

Трябва да изберете само ролята на Active Directory Services домейни. не се изисква допълнителен компонент. В процеса на инсталиране отнема малко време и можете да отидете директно на настройката.

Конфигуриране на Active Directory

Когато установи ролята, точно в горния Сървър мениджър, ще видите удивителен знак - той е длъжен да проведе конфигурация след поставяне. Тласък за повишаване на ролята на този сървър в домейн контролер. Самият текст внимателно визирайки факта, че ние правим нещо важно.

Повишаване ролята на сървър на домейн контролер

Като цяло, всички етапи на съветника са описани подробно в документацията 4 Microsoft, но те, както винаги, има един проблем - те се опитват да се възползва от необятност. Резултатът е, че една статия постави всеки възможен сценарий. Това със сигурност е удобно, но в някои отношения е трудно да се разбере.

Минаваме всички конфигурационните стъпки. Тъй като ние се разгърне АД от самото начало, което трябва да се добави нова гора. Не забравяйте да съхранявате сигурно паролата за Directory Services Restore Mode (DSRM). Местоположение база данни AD DS, можете да оставите по подразбиране (това се препоръчва. Въпреки това, аз имам друга директория за промяна в тестова среда).

Създаване на акаунти на домейна / корпоративните администратори

Сървърът ще се рестартира, ще трябва да влезете в местен администратор на профила, както преди. Отиди на модула на Active Directory - потребители и компютри. създадат необходимите сметки - на този етап е най-вече администратор на домейн.

Конфигуриране на DNS на само DC в областта

Добавяне на втори DC в областта

От началото казах, че аз ще имам две домейн контролери, че е време да започнете да настройвате втория. Минете като инсталационния помощник, ролята на домейн контролер, просто изберете Добавяне на домейн контролер в съществуващ домейн:

Имайте предвид, че трябва да бъде избран първият домейн контролер е създадена по-рано в мрежата на главния настройки на сървъра DNS-сървъра. Необходимо е, в противен случай да доведе до грешка.

След необходимите настройки logintes сървъра при администратора на домейна на сметката, която е създадена по-рано.

Конфигуриране на DNS на няколко DC в областта

За да се предотврати проблеми с репликация трябва да се промени отново настройките на мрежата и това трябва да се прави на всеки домейн контролер (и вече съществуващи, също), и всеки път, когато се добави нов DC:

Ако имате повече от три DC в областта, трябва да се регистрирате на DNS-сървърите чрез фините настройки, в този ред. Повече информация за DNS, можете да прочетете моята статия за DNS легло.

Настройка на часа

Настройте времето ще бъде с помощта на груповите правила на домейн контролери. Спомням си, че сметките на домейн контролери компютри, разположени в отделен контейнер, както и разполагат с отделна политика подразбиране Group. Няма нужда да се правят промени в тази политика, по-добре е да се създаде нова.

Наречете го както намерите за добре, и като се създава обект, щракнете с десния бутон - Edit. Отидете на Компютърна конфигурация \ Policies \ Доставчици на Административен \ System \ Windows Time Service \ Час. Активирайте политика Активиране на NTP-клиент за Windows и Активиране на Windows NTP-сървър. отидете в политиката свойства конфигуриране на Windows NTP-клиента и да зададете типа на протокол - КТМ. други настройки не се допират:

Ние чакаме налагането на правилата (това ми отне около 5-8 минути, въпреки това gpupdate / сила, както и няколко рестартирания), а след това ние получаваме:

Всъщност, трябва да се направи по време на външен източник, за да синхронизирате само PDC емулатор, не всички домейн контролери в един ред, както ще се случи, защото на груповите правила се прилага за всички обекти в контейнера. Необходимо е да се съсредоточи върху даден обект на собственика на компютъра отчита ролята на PDC-емулатор. Това се прави и чрез групови политики - в gpmc.msc конзола натиснете левия бутон на политиката и в дясно ще го конфигурирате. Филтрите за сигурност, трябва да добавят по сметката на домейн контролера:

По това време на монтирането, а заедно с него и първоначалната настройка на Active Directory е завършена.