Configurarea serviciilor de domeniu Active Directory

Configurarea Active Directory este un proces destul de simplu și este văzut pe setul de resurse de pe Internet, inclusiv oficial. Cu toate acestea, pe blogul său, nu pot ridica acest punct, deoarece cele mai multe articole ulterioare, se va baza într-un fel pe setarea mediu pe care am de gând să fac chiar acum.

Dacă sunteți interesat de subiecte pentru Windows Server, vă recomandăm să etichetați Windows Server pe blogul meu. De asemenea, este recomandat să citiți articolul principal pe Active Directory - Active Directory Domain Services

Pregătirea mediului

Primul lucru pe care trebuie să pregătească mediul înconjurător. Expand rolul AD am de gând pe două servere virtuale (controlerele de domeniu viitoare), la rândul său.

1. Primul pas este de a stabili numele de server corespunzătoare. Am va DC01 și DC02.
2. În continuare, trebuie să vă înregistrați configurația rețelei statice. In timp ce noi nu vom concentra ca în cazul în care să se înregistreze, să fie orice setări. Detalii acest moment voi discuta mai jos.
3. Desigur, setați toate actualizările de sistem. în special actualizări de securitate. Cele mai multe din acest timp este trecut, dar este important, deoarece în actualizarea este lansat patch-uri pentru gauri de securitate, bug-uri eliminate etc.

În această etapă, trebuie să decideți ce nume de domeniu pe care îl va. Acest lucru este extrem de important, pentru că atunci schimbarea numelui de domeniu va fi o problemă foarte mare pentru tine, deși, și redenumiți script-ul este susținut și pus în aplicare pentru o lungă perioadă de timp în mod oficial. Unele dintre argumentele, precum și multe link-uri către materiale utile pot fi găsite în articolul meu Cateva cuvinte despre denumirea domenii Active Directory. Vă recomandăm să-l, precum și o listă a surselor utilizate citit.

Din moment ce am controlere de domeniu virtualizate care urmează să fie utilizat, este necesar să se schimbe anumite setări de mașini virtuale, și anume, dezactivați sincronizarea timp cu hypervisor. în timp AD trebuie să fie sincronizate numai cu surse externe. Inclus setarea sincronizarea timp cu hypervisor ar putea duce la sincronizare ciclică și ca o consecință a problemelor legate de funcționarea întregului domeniu, până la incapacitatea de a conecta la utilizatorii lor de stații de lucru.

În general, abordarea la administrarea de controlere de domeniu virtualizate diferite în minte anumite caracteristici ale funcționării DS 1 AD februarie:

medii virtuale prezintă provocări deosebite pentru timpul circuit logic de replicare dependentă de flux de lucru distribuit. De exemplu, replicare folosind AD DS valoare uniform în creștere (care se numește USN sau numărul de ordine de actualizare) atribuite tranzacțiilor în fiecare controler de domeniu. Fiecare instanță a bazei de date controler de domeniu primește, de asemenea, un identificator numit InvocationID. Domeniul InvocationID și controller numărul de secvență de actualizare împreună furnizează un identificator unic care este asociat cu este realizată pe fiecare controler de domeniu fiecare tranzacție înregistrări, și trebuie să fie unic în pădure.

Pe acest pași de bază pentru a pregăti mediul sunt finalizate, trece la stadiul instalației.

Instalarea Active Directory

Instalarea se face prin intermediul Server Manager și nu este mare lucru, în detaliu toate etapele instalării, puteți vedea mai jos:

Procesul de instalare în sine a suferit unele modificări 3, în comparație cu versiunile anterioare ale sistemului de operare:

Trebuie să selectați numai rolul de servicii de domeniu Active Directory. nu este necesară nici o componentă suplimentară. Procesul de instalare durează o perioadă scurtă de timp și puteți merge direct la setarea.

Configurarea Active Directory

Atunci când a stabilit rolul, chiar la Managerul de top Server, veți vedea un semn de exclamare - este necesar pentru a efectua configurarea post-implementare. Push Pentru a spori rolul acestui server la un controler de domeniu. Însăși formularea făcând aluzie ușor la faptul că facem ceva important.

Creșterea rolului serverului la un controler de domeniu

În general, toate etapele expertului sunt descrise în detaliu în documentația 4 Microsoft, dar, ca întotdeauna, există o problemă - ei încearcă să înțeleagă imensitatea. Rezultatul este că un articol a pus fiecare scenariu posibil. Acest lucru este cu siguranță convenabil, dar în unele moduri greu de înțeles.

Noi trece toate etapele de configurare. Pe măsură ce se desfășoară AD de la zero, trebuie să adăugați o nouă pădure. Asigurați-vă că pentru a stoca în siguranță parola pentru Directory Services Restore Mode (DSRM). Locație DS bază de date AD, puteți lăsa implicit (acest lucru este recomandat. Cu toate acestea, am un alt director pentru o schimbare în mediul de testare).

Creați conturi de domeniu / Enterprise Admins

Serverul le va reporni, trebuie să vă conectați la un cont de administrator local, ca și mai înainte. Du-te la Directory Active anticipate - utilizatori și computere. crearea conturilor necesare - în această etapă este în principal un administrator de domeniu.

Configurarea DNS pe DC numai în domeniul

Adăugarea unui al doilea DC în domeniu

De la început am spus că voi avea două controlere de domeniu, este timpul pentru a începe configurarea a doua. Se trece ca expertul de instalare, rolul unui controler de domeniu, trebuie doar să selectați Adăugați un controler de domeniu pentru un domeniu existent:

Rețineți că trebuie să fie selectat controler de prim domeniu este configurat mai devreme în rețeaua principală a setărilor serverului DNS-server. Este necesar, în caz contrar obține o eroare.

După setările necesare logintes serverul în contul de administrator de domeniu, care a fost creat anterior.

Configurarea DNS pe mai multe DC în domeniu

Pentru a preveni problemele cu replicare trebuie să modificați din nou setările de rețea și acest lucru ar trebui să se facă pe fiecare controler de domeniu (și pre-existente, de asemenea) timp, și fiecare adăugați un nou DC:

Dacă aveți mai mult de trei DC în domeniu, trebuie să înregistrați DNS-serverele prin setările avansate, în această ordine. Mai multe informații despre DNS, puteți citi articolul meu pe DNS pentru copii.

Setarea timpului

Reglați timpul va fi utilizând politica de grup pe controlerele de domeniu. Îmi amintesc că conturile de calculatoare controlerele de domeniu situate într-un container separat, și să aibă o politică separată implicit grup. Nu este nevoie de a face modificări la această politică, este mai bine pentru a crea unul nou.

Numiți-o cum vedeți în formă, și așa cum este creat un obiect, faceți clic-dreapta - Edit. Du-te la computerul de configurare \ Policies \ Providers Administrative Templates \ System \ Windows de furnizare a serviciului \ de timp. Activați politica Activați pentru Windows NTP-client și Activare pentru Windows NTP-server. du-te în proprietățile de politică Configurarea pentru Windows NTP-client și setați tipul de protocol - NTP. celelalte setări nu atingeți:

Ne așteptăm de aplicare a politicii (mi-a luat aproximativ 5-8 minute, în ciuda a face gpupdate / forță, și un cuplu de reporniri), atunci obținem:

De fapt, ar trebui să faci timp cu o sursă externă pentru a sincroniza numai emulator PDC, nu toate controlerele de domeniu într-un rând, după cum va fi cazul, deoarece politica de grup se aplică la toate obiectele din container. Este necesar să se reorienta pe un anumit obiect al proprietarului computerului cont rolul PDC-emulator. Acest lucru se face, de asemenea, prin intermediul unor politici de grup - în presa consola gpmc.msc butonul din stânga al politicii și la dreapta îl va configura. Filtrele de securitate trebuie să adăugați contul controlerului de domeniu:

În acest moment setare, și cu ea, iar configurarea inițială Active Directory a fost finalizată.