Установка и первоначальная настройка контроллера Active Directory
В этой статье будет рассмотрена установка и первоначальная настройка контроллера Active Directory. В цикле статей по миграци с Exchange Server 2010 на 2019 уже рассматривалась установка и добавление контроллеров домена. Например, установка контроллера на Windows Server 2008 R2. И добавление контроллера Windows Server 2012 R2. Однако, для кого-то такая операция является обыденной, но для других такая операция может оказаться совершенно новой и ранее не выполнявшейся задачей. Поэтому установка и первоначальная настройка контроллера выделена в отдельную статью. Дополнительно показан пример на базе одной из последней серверной операционной системе – Windows Server 2019.
Предварительные требования
Особых предварительных требований для установки нет, но крайне желательно установить все последние обновления операционной системы перед началом процесса установки.
Установка роли контроллера домена может быть выполнена как на сервер с GUI (Desktop Experience), так и без него (вариант Server Core).
Установка и первоначальная настройка контроллера Active Directory будет рассмотрена на базе Windows Server 2019. Редакция (Standard или Datacenter) роли не играет.
Немного теории
Непосредственно перед началом процесса установки разберем небольшой кусок теории.
Доменные службы Active Directory – это широко используемая технология для централизации хранения и управления учетными записями пользователей, нахождении ресурсов в сети предприятия, а также реализация механизма Single Sign-On (SSO) от компании Microsoft. В основе доменных служб Active Directory лежит реализация протокола LDAP. Грубо говоря Active Directory Domain Services – это реализация протокола LDAP от компании Microsoft.
По механизму и тонкостям работы Active Directory написаны отдельные книги. И даже кратко изложить основные момент – дело не простое. Однако, для понимания общей концепции в контексте установки контроллера домена необходимо ознакомится со следующими основными понятиями:
- Схема Active Directory. Нечто мифическое, которое обвешано кучей тайн и не редко вызывает трепещущий страх и ужас при сочетании слов “нужно выполнить обновление схемы” �� А если серьезно, то это описание шаблонов всех возможных объектов в Active Directory – пользователей, компьютеров, принтеров и т.д. Содержит информацию о том, какие свойства есть у объектов и какие они могут иметь типы значений и непосредственно значения.
- Лес Active Directory. Это совокупность всех доменов, которые объединены общей конфигурацией схемы объектов Active Directory. Лес содержит как минимум один домен. Такие тяжелые продукты, как, например Microsoft Exchange или Skype for Business могут быть установлены только одни в пределах всего леса, т.к. он вносит необходимые ему изменения в схему Active Directory. Установить рядом еще один независимый экземпляр этих продуктов не получится.
- Домен. Граница, в пределах которой осуществляется управление настройками безопасности. Например, у вас есть два домена. В каждом из них администратор может управлять своим набором учетных записей пользователей, компьютеров, параметров безопасности и политики. Администратор Домена А не может управлять объектами в Домене Б (если не настроено необходимое делегирование).
- Дерево доменов. Совокупность всех доменов в пределах леса.
- Пространство имен. В передлах леса у вас может быть несколько имен. Например, один домен называется itproblog.ru, второй домен называется sale.itproblog.ru. В таком случае пространство имен продолженное (continuous). В тоже время у вас может быть еще один домен в том же лесу, например, hmmail.ru. Как видите – имя у него совершенно другое. Однако, это нисколько не мешает ему находится в том же лесу, что и домен с именем itproblog.ru.
Примеры топологий Active Directory
Рассмотрим немного примеров.
Ниже изображена схема одной из наиболее распространенной и простой топологии – один лес и один домен. Важно понимать, что в одном домене может быть установлено несколько контроллеров домена (для отказоустойчивости). Именно этот сценарий мы рассмотрен в данной статье. Пример схемы:
Следующей по уровню сложности следует топологи с несколькими доменами в одном лесу. Причем домены находятся в одном пространстве имен. Скажем, itproblog.ru. В каждом из доменов можем быть от одного до нескольких контроллером домена. Пример схемы:
Одна из наиболее комплексных топологий – это несколько доменов в одном лесу. Причем, не все домены используют одно пространство имен. Пример такой схемы ниже:
Домены в разных лесах Active Directory никак не заимосвязаны друг с другом (без установки дополнительных доверительных отношений). Домены в пределах одного леса автоматически доверяют друг другу, т.е. пользователям из Домена А могут быть назначены разрешения в домене Б. Пример схемы с несколькими отдельными лесами ниже:
Установка первого контроллера домена Active Directory
Самым первым шагом нам необходимо создать лес и установить самый первый контроллер – корневой контроллер в лесу Active Directory. Лес будет создан автоматически в процессе установки самого первого контроллера в самом первом домене. Мы рассмотрим два варианта установки – через графический интерфейс и через командлеты PowerShell.
Установка первого контроллера через графический интерфейс
Для установки контроллера домена через графический интерфейс необходимо выполнить следующие действия:
1. Запустить Server Manager.
2. В меню сверху выбрать пункты “Manage” – “Add Roles and Features”:
3. Запустится мастер установки ролей и компонентов. На первой странице мастера нажмите кнопку “Next”.
4. На странице выбора сценария установки нужно выбрать пункт “Role-based or feature-based installation” и нажать кнопку “Next”.
5. В появившемся списке серверов выберите необходимый сервер (если он не один) и нажмите кнопку “Next”.
6. В появившемся списке ролей необходимо выбрать “Active Directory Domain Services”.
7. В появившемся диалоговом окне с запросом на установку дополнительных ролей и компонентов нажмите кнопку “Add Features”.
8. В окне мастера установки на шаге выбора ролей нажмите кнопку “Next”.
9. На шаге выбора компонентов нажмите кнопку “Next”.
10. На шаге с описание возможности интеграции с Azure AD нажмите кнопку “Next”.
11. На последнем шаге мастер установки предствит сводку по параметрам установки. Нажмите кнопку “Install”, чтобы начать процесс добавление необходимых для Active Directory компонентов.
12. Дождитесь окончания процесса установки компонентов. По окончанию процесса установки можете закрыть мастер добавления ролей и компонентов.
13. Следующим шагом необходимо повысить роль сервера до контроллера домена. В секции с последними событиями выберите пункт “Promote this server to a domain controller”:
14. Поскольку мы конфигурируем первый домен в лесу (т.е. создаем новый лес Active Directory), то нужно выбрать соответствующую опцию – “Add a new forest”. Также необходимо указать имя корневого домена. Далее нажмите кнопку “Next”.
15. На следующем шаге мастера необходимо выбрать функциональный уровень домена и леса. Например, в нашем случае это уровень “Windows Server 2016”. Что это значит? Если кратко, то мы не сможем добавить в Active Directory контроллеры домена с операционной системой ниже Windows Server 2016. Зачем это нужно? Чем выше функциональный уровень, тем больше доступно новых возможностей Active Directory. С полным перечнем всех возможностей для каждого из функционального уровня домена и леса можно ознакомится в документации Microsoft. Указываем пароль DSRM (своеобразный безопасный режим Active Directory) и нажимаем “Next”.
16. На странице настройки опций DNS нажмите кнопку “Next”.
17. На следующей странице мастера необходимо выбрать NetBIOS имя вашего домена и нажать “Next”.
18. На странице с выбором расположений файлов базы данных, транзакционных логов и папки SYSVOL вы можете выбрать иные директории, но, как правило, здесь оставляются значения по умолчанию. Нажмите кнопку “Next”.
19. На странице со сводкой по выбранным параметрам установки нажмите кнопку “Next”.
20. Мастер установки выполнит проверку предварительных требований. Если все проверки завершатся успешно, то будет активна кнопка “Install”. Нажмите её.
21. Запуститься процесс повышения роли сервера до контроллера домена. В процессе повышения сервер несколько раз перезагрузится. Дождитесь окончания процесса.
22. После завершения процесса повышения сервера до контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что оснастка запускается и отображает информацию об объектах вашего домена успешно.
Установка первого контроллера через Powershell
Вот за что я люблю процесс установки через PowerShell – так это за его лаконичность �� Позволяет буквально за пару команд, например, быстро развернуть контроллер домена в тестовой среде. И в статье описывать процесс долго не приходится ��
Если вы используете вариант операционной системы Server Core, то это один из единственных способов повышения сервера до контроллера домена.
Итак, для повышения сервера до контроллера домена через PowerShell необходимо выполнить следующее:
1. Запустить консоль PowerShell от имени администратора.
2. Запустить следующий командлет для добавления роли контроллера домена (для сервера с GUI):
Для сервера в варианте Server Core запустите следующий командлет:
Разница лишь в том, что для сервера с GUI параметр -IncludeManagementTools установит соответствующие оснастки для управления. Например, Active Directory Users and Computers.
3. Дождитесь окончания процесса установки:
4. Теперь необходимо повысить роль сервера до контроллера домена и создать новый лес (и первый домен в лесу). Для этого выполните следующий командлет PowerShell:
Функциональный уровень леса и домена автоматически будет установлен в значение “Windows Server 2016” (т.к. операционная система нашего сервер Windows Server 2019). Если вам необходимо указать другое значение, то можете использовать соответствующие параметры – DomainMode и ForestMode. Например:
5. Укажите пароль для DSRM (своеобразный безопасный режим Active Directory):
6. Далее нужно утвердительно ответить на запрос и том точно ли мы хотим повысить уровень сервера до контроллера домена. Нажмите клавишу Y, а затем Enter.
7. Запуститься процесс повышения сервера до контроллера домена. Сервер будет несколько раз перезагружен. Дождитесь окончания процесса установки.
8. После завершения процесса повышения сервера до контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что оснастка запускается и отображает информацию об объектах вашего домена успешно.
Установка дополнительного контроллера домена (при необходимости)
Добавление второго контроллера домена не обязательная процедура, но крайне желательная. Второй контроллер домена обеспечивает вам отказоустойчивость. Если что-то случится с один из контроллеров домена, то оставшийся в живых контроллер сможет обрабатывать запросы к Active Directory.
Добавление дополнительного контроллера домена через графический интерфейс
Для добавления еще одного контроллера домена через графический интерфейс необходимо выполнить следующие действия:
1. Запустить Server Manager.
2. В меню сверху выбрать пункты “Manage” – “Add Roles and Features”:
3. Запустится мастер установки ролей и компонентов. На первой странице мастера нажмите кнопку “Next”.
4. На странице выбора сценария установки нужно выбрать пункт “Role-based or feature-based installation” и нажать кнопку “Next”.
5. В появившемся списке серверов выберите необходимый сервер (если он не один) и нажмите кнопку “Next”.
6. В появившемся списке ролей необходимо выбрать “Active Directory Domain Services”.
7. В появившемся диалоговом окне с запросом на установку дополнительных ролей и компонентов нажмите кнопку “Add Features”.
8. В окне мастера установки на шаге выбора ролей нажмите кнопку “Next”.
9. На шаге выбора компонентов нажмите кнопку “Next”.
10. На шаге с описание возможности интеграции с Azure AD нажмите кнопку “Next”.
11. На последнем шаге мастер установки предствит сводку по параметрам установки. Нажмите кнопку “Install”, чтобы начать процесс добавление необходимых для Active Directory компонентов.
12. Дождитесь окончания процесса установки компонентов. По окончанию процесса установки можете закрыть мастер добавления ролей и компонентов.
13. Следующим шагом необходимо повысить роль сервера до контроллера домена. В секции с последними событиями выберите пункт “Promote this server to a domain controller”:
14. У нас уже создан домен Active Directory. Теперь нам нужно добавить дополнительный контроллер домена. Выбираем пункт “Add a domain controller to an existing domain” и в поле “Domain” указываем имя домена, в который будет добавлен дополнительный контроллер.
15. Также необходимо указать учетные данные администратора домена, от имени которого будет выполнена процедура добавления дополнительного контроллера. Для указания учетных данных нажмите кнопку “Change…”.
16. Появится диалоговое окно с указанием учетных данных. Укажите учетные данные администратора домена. Нажмите “ОК”, а затем “Next”.
17. Укажите, что вы планируете установить DNS сервер на дополнительном контроллере и глобальный каталог. Укажите пароль DSRM. Нажимаем “Next”.
18. На странице настройки опций DNS нажмите кнопку “Next”.
19. Отличительный шаг процедуры добавления еще одного контроллера – необходимость указать, откуда делать копию директории в процессе установки роли контроллера Active Directory. Вы можете либо оставить опцию “Any domain controller”, либо выбрать какой-то определенный контроллер (например, как в нашем случае). Выбор контроллера источника для репликации играет важную роль в том случае, если у вас географически распрtделенная инфраструктура, т.е. чтобы при добавлении контроллера в Москве он не побежал за данными на Сахалин. Нажимаем “Next”.
20. На странице с выбором расположений файлов базы данных, транзакционных логов и папки SYSVOL вы можете выбрать иные директории, но, как правило, здесь оставляются значения по умолчанию. Нажмите кнопку “Next”.
21. На странице со сводкой по выбранным параметрам установки нажмите кнопку “Next”.
22. Мастер установки выполнит проверку предварительных требований. Если все проверки завершатся успешно, то будет активна кнопка “Install”. Нажмите её.
23. Запуститься процесс повышения роли сервера до контроллера домена. В процессе повышения сервер несколько раз перезагрузится. Дождитесь окончания процесса.
24. После завершения процесса добавления еще одного контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что новый контроллер присутствует в списке контроллеров домена в соответствующей OU:
Так же список контроллером домена можно посмотреть через следующий PowerShell комендлет:
Добавление дополнительного контроллера домена через PowerShell
Если вы используете вариант операционной системы Server Core, то PowerShell один из единственных способов добавления текущего сервера в качестве контроллера домена в уже существующий домен.
Итак, для повышения сервера до контроллера домена через PowerShell необходимо выполнить следущее:
1. Запустить консоль PowerShell от имени администратора.
2. Запустить следующий командлет для добавления роли контроллера домена (для сервера с GUI):
Для сервера в варианте Server Core запустите следующий командлет:
Разница лишь в том, что для сервера с GUI параметр -IncludeManagementTools установит соответствующие оснастки для управления. Например, Active Directory Users and Computers.
3. Дождитесь окончания процесса установки:
4. Теперь необходимо повысить роль сервера до контроллера домена и создать новый лес (и первый домен в лесу). Для этого выполните следующий командлет PowerShell:
Параметр InstallDns указывает, что на сервере будет установлена роль сервера DNS. Параметр ReplicationSourceDC указывает с какого из контроллеров домена будет производиться репликация актуальной базы данных Active Directory в процессе установки.
5. Укажите пароль для учетной записи администратора домена.
6. Дважды укажите пароль для DSRM:
7. Далее нужно утвердительно ответить на запрос и том точно ли мы хотим повысить уровень сервера до контроллера домена. Нажмите клавишу Y, а затем Enter.
8. Запуститься процесс повышения сервера до контроллера домена. Сервер будет несколько раз перезагружен. Дождитесь окончания процесса установки.
9. После завершения процесса добавления еще одного контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что новый контроллер присутствует в списке контроллеров домена в соответствующей OU:
Так же список контроллером домена можно посмотреть через следующий PowerShell комендлет:
Первоначальная настройка
После создания леса и домена, а также после добавления одного или нескольких контроллером домена я обычно, как минимум делаю две вещи:
1. Конфигурирую зону (или зоны) обратного просмотра в DNS.
2. Конфигурирую привязки подсетей в настройках топологии сайтов Active Directory.
Настройка DNS зоны обратного просмотра
Зона обратного просмотра необходима для того, чтобы можно было найти имя компьютера по его IP-адресу.
Для настойки зоны обратного просмотра необходимо:
1. Запустить оснастку управления DNS.
2. В контекстном меню узла “Reverse Lookup Zone” выбрать пункт “New zone”.
3. На странице приветствия мастера настройки зоны обратного просмотра нажмите “Next”.
4. На странице выбора типа зоны выберите основной тип зоны (Primary zone) и укажите, что необходимо хранить зону в Active Directory (Store the zone in Active Directory). Нажмите “Next”.
5. Теперь укажем область репликации зоны. Мы будем реплицировать зону на все контроллеры домена в пределах нашего домена. Нажмите “Next”.
6. Мы будем создавать зону обратного просмотра только для протокола IPv4. Нажмите “Next“.
7. Один из ключевых шагов – правильно указать ID вашей подсети. Например, в моем случае базовый адрес сети следующий – 10.10.10.0/24. На соответствующей странице мастера мы указываем адрес сети в прямой последовательности, как показано ниже. Мастер автоматически преобразуем этот адрес в адрес зоны обратного просмотра. Нажмите “Next:.
8. На странице настройки динамического обновления нажмите “Next”.
9. На последней странице мастера нажмите “Finish”.
Привязка подсетей в настройках сайтов Active Directory
Для того, чтобы компьютер или сервер мог определить к какому сайту Active Directory он принадлежит необходимо выполнить настройки подсетей в соответствующей оснастке.
Настройка подсетей – важный шаг, если у вас географически распределенная инфраструктура. При неверном сопоставлении IP-подсетей и сайтов (или отсутствии сопоставления) компьютеры и серверы могут бегать, например, за данными через весь континент, вместо того, что отправить запрос серверу в соседнем кабинете.
С тем, что такой сайты Active Directory можно ознакомиться в документации Microsoft.
Настроим привязку нашей подсети 10.10.10.0/24 к нашему единственному сайту Active Directory:
1. Запустим оснастку “Active Directory Sites and Services”.
2. В контекстном меню узла “Subnets” выберите пункт “New Subnet…”.
3. В появившемся диалоговом окне в поле “Prefix” укажите базовый адрес сети (в нашем случае 10.10.10.0/24) и выберите в какому сайту Active Directory необходимо привязать подсеть (в нашем случае всего один сайт). Нажмите “ОК”.
4. В свойствах конкретного сайта вы можете посмотреть список IP-подсетей, которые к нему привязаны:
Заключение
В этой статье была рассмотрена установка и первоначальная настройка контроллера Active Directory. Мы рассмотрели вариант установки на сервере с графическим интерфейсом, а также вариант установки через комендлеты PowerShell.
Так же мы рассмотрели процедуру добавление контроллера домена в уже существующий домен. Причем на примере сервера с графическим интерфейсов и через командлеты PowerShell.
Мы немного поговорили о терминологии Active Directory.
Последним шагом мы выполнили минимальные первоначальные настройки Active Directory: настроили сопоставление сайтов Active Directory и IP-подсетей, а также настроили зону обратного просмотра.
Записки IT специалиста
Active Directory — от теории к практике. Часть 2 — разворачиваем доменную структуру.
- Автор: Уваров А.С.
- 20.07.2012
В прошлой части нашей статьи мы разобрали тот минимум теоретического материала, который необходимо знать перед развертыванием доменных служб Active Directory. Сегодня мы начнем практическую часть цикла, в которой подробно рассмотрим создание и переход к доменной структуре сети. Начнем, как всегда, сначала — в данной статье мы расскажем как правильно развернуть контроллеры домена.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Перед тем как приступить к практическому воплощению в жизнь всех своих планов сделайте паузу и еще раз проверьте некоторые мелочи. Очень часто эти вещи ускользают от взгляда администратора, принося в дальнейшем довольно серьезные затруднения, особенно для начинающих.
- Присвойте будущему доменному контроллеру удобочитаемое имя, например SRV-DC01, а не WIN-VAGNTE3N62T.
- Установите для сетевого адаптера статический IP адрес.
- Переименуйте встроенную учетную запись администратора, используйте только латинские буквы и символы.
Убедившись, что все вышеизложенные рекомендации выполнены, можно приступать к установке роли Доменные службы Active Directory, это можно сделать через оснастку Роли в Диспетчере сервера.
Установка данной роли еще не сделает данный сервер контроллером домена, для этого необходимо запустить Мастер установки доменных служб, что и будет предложено сделать по окончании установки, также вы можете сделать это позже, запустив dcpromo.exe.
Мы не будем разбирать подробно все настройки мастера, остановившись только на ключевых, кроме того стоит отметить, что в процессе установки будет выводиться довольно большое количество справочной информации и мы рекомендуем внимательно с ней ознакомиться.
Так как это наш первый контроллер домена, то выбираем Создать новый домен в новом лесу.
Следующим шагом следует указать имя вашего домена. Не рекомендуется давать домену интернет имя внешнего домена, также не рекомендуется давать имя в несуществующих зонах первого уровня, типа .local или .test и т.д. Оптимальным вариантом для домена AD будет поддомен в пространстве имен внешнего интернет домена, например corp.example.com. Так как наш домен используется исключительно в тестовых целях в рамках лаборатории, то мы назвали его interface31.lab, хотя правильно было бы назвать его lab.interface31.ru.
Затем указываем режим работы леса, на этом вопросе мы уже останавливались в предыдущей части статьи и в подробности вдаваться не будем.
В дополнительных параметрах обязательно укажите опцию DNS-сервер. Так как Active Directory и службы DNS тесно связаны между собой, то мы рекомендуем делать каждый контроллер домена DNS сервером и не видим веских оснований разносить эти роли.
Очень важный момент — укажите и запишите в надежном месте пароль администратора режима восстановления служб каталогов, при хорошем раскладе он вам понадобиться не должен, но гораздо хуже, если вы его не можете вспомнить.
В следующем окне еще раз перепроверьте все введенные данные и можете запускать процесс настройки доменных служб. Помните, с этого момента уже ничего изменить или исправить нельзя и если вы где-то ошиблись, то придется начать все заново. А пока мастер настраивает доменные службы можете сходить налить себе чашечку кофе.
По завершении работы мастера перезагрузите сервер и, если все сделано правильно, в вашем распоряжении первый контроллер домена, который также будет исполнять роль DNS-сервера для вашей сети. Здесь возникает еще один тонкий момент, данный сервер будет содержать записи о всех объектах вашего домена, при запросе записей, относящихся к другим доменам, которые он не сможет разрешить, они будут переданы вышестоящим серверам, т.н. серверам пересылки.
По умолчанию в качестве серверов пересылки указывается адрес DNS-сервера из свойств сетевого подключения, чтобы впоследствии избежать разного рода сбоев в работе сети следует явно указать доступные сервера во внешней сети. Для этого откройте оснастку DNS в Диспетчере сервера и выберите Сервера пересылки для своего сервера. Укажите не менее двух доступных внешних серверов, это могут быть как сервера провайдера, так и публичные DNS-службы.
Также обратите внимание, что в свойствах сетевого подключения контроллера домена, который является DNS-сервером, в качестве адреса DNS должно быть указано 127.0.0.1, любые другие варианты записи являются ошибочными.
Создав первый контроллер домена, не откладывая дело в долгий ящик, приступайте к развертыванию второго, без этого ваша структура AD не может считаться полноценной и отказоустойчивой. Также убедитесь, что сервер имеет удобочитаемое имя и статический IP-адрес, в качестве DNS-сервера укажите адрес первого контроллера и введите машину в домен.
После перезагрузки войдите доменным администратором и установите роль Доменные службы Active Directory, после чего также запустите мастер. Принципиальных отличий в настройке второго контроллера нет, разве что отвечать придется на меньшее число вопросов. Прежде всего укажите, что вы добавляете новый контроллер в существующий домен.
Как мы уже говорили, рекомендуем сделать этот сервер DNS-сервером и Глобальным каталогом. Помните, что при отсутствии глобального каталога ваш домен может оказаться неработоспособным, поэтому рекомендуется иметь как минимум два глобальных каталога и дополнительно добавлять ГК в каждый новый домен или сайт AD.
Остальные настройки полностью идентичны и, проверив все еще раз, приступайте к развертыванию второго контроллера, в процессе которого будет выполнена настройка соответствующих служб и произведена репликация с первым контроллером.
Закончив установку второго контроллера можете переходить к настройкам доменных служб: создавайте пользователей, разносите их по группам и подразделениям, настраивайте групповые политики и т.д. и т.п. Делать это можно на любом контроллере домена, для этого воспользуйтесь соответствующими пунктами меню Администрирование.
Следующим шагом будет введение в домен пользовательских ПК и рядовых серверов, а также миграция пользовательского окружения на доменные учетные записи, об этом мы поговорим в следующей части.
Дополнительные материалы:
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 
Как добавить контроллер домена
Дополнительный контроллер домена 2012 R2. Сайты
Используется следующая схема с главным офисом в Берлине и филиалом в Дрездене. Сети соединены с помощью OpenVPN site-to-site, реализованном на PFSense 2.1. Пропускная способность стабильного интернет канала для VPN 2 Мбит\сек в обе стороны.
/1665513729504.png)
Прежде чем добавлять новый сервер в домен и устанавливать на нём роль AD DS необходимо создать новый сайт (только для филиалов, в пределах одной локальной сети сайт создавать не нужно!) и определить сеть для него. Сайт (site) — одна или несколько сетей TCP\IP имеющих высокоскоростное соединение. Как правило, сайты являются географически распределёнными. При наличии современных подключений к интернету, например FTTX, и небольших объёмах репликации необходимость нескольких сайтов может не понадобиться. Новый сайт создаётся в оснастке AD Sites and Services (сайты и службы):
/1665513729506.png)
После создания сайта в той же оснастке AD SS необходимо определить IP сеть для сайта. В любой момент можно поменять принадлежность сети к сайту.
/1665513729508.png)
После создания сайта автоматически создаётся связь сайтов (Site link), в которой можно менять членство сайтов, стоимость связи, интервал репликации и другие свойства:
/1665513729510.png)
Сетевые настройки нового сервера в филиале со статическим адресом:
/1665513729512.png)
Проверка разрешения имени сервера в главном офисе и его доступность (Firewall должен разрешать ICMP). Так как у нового сервера не назначен DNS-суффикс, то разрешение имени сервера по его NetBios имени было неуспешным. Необходимо проверять полное имя сервера — FQDN. Так же с помощью трассировки можно убедиться, что соединение идёт через VPN:
/1665513729514.png)
Вводим компьютер в домен:
/1665513729516.png)
Проверяем, что учётная запись компьютера появилась в AD UC:
/1665513729518.png)
После перезагрузки и входа в систему под доменной учётной записью, проверяем сервер авторизации (сервер в Берлине):
/1665513729520.png)
Устанавливаем роль AD DS:
/1665513729522.png)
В отличие от установки первого контроллера домена, необходимо выбрать «добавить контроллер домена в существующий домен«:
/1665513729524.png)
Выбираем сайт, в котором расположен новый контроллер домена (в локальной сети будет один сайт, выбирать будет нечего):
/1665513729526.png)
Можно выбрать источник репликации. Если интернет канал совсем уж медленный, а база данных AD большая — можно установить с предворительного подготовленного носителя (например CD), который можно отправить по почте, а лучше по другой наиболее безопасной связи.
/1665513729528.png)
Во время установки я решил понаблюдать за нагрузкой интернет канала — 3-4 скачка до 2 Мбит\сек в течении 3-4 секунд. Тестовая доменная инфраструктура чистая. База данных AD всего несколько MB.
/1665513729530.png)
После установки роли AD DS и её настройки и перезагрузки сервера, проверяем сервер авторизации. Теперь это новый контроллер домена в Дрездене. При этом, что первичный DNS сервер указан берлинский:
/1665513729532.png)
Добавляем в ДНС самого себя и устанавливаем на первое место:
/1665513729534.png)
После установки AD DS в новом сайте ещё не созданы настройки репликации для нового сервера:
/1665513729538.png)
Выбираем автоматически созданное соединение репликации у первого DC и выбираем «Реплицировать сейчас». На этом настройка дополнительного контроллера домена в филиале с отдельным сайтом завершена. Повторю: если установка проводится в одном офисе, в одной локальной сети, то создавать отдельный сайт нет необходимости.
/1665513729540.png)
Подключения для репликации между сайтами значительно отличаются от подключений внутри одного сайта. Хотя их можно так же настроить как и для внутрисайтовых репликаций. Репликацию легко проверить: создайте в главном офисе учётную запись, и дождитесь её появления в филиале. По умолчанию интервал репликации между сайтами — три часа. Внутри сайта — практически мгновенно.
/1665513729542.png)
/1665513729544.png)
Предположим, что офис в Дрездене переезжает в Берлин. В этом случае необходимо переместить второй контроллер домена в один сайт с первым контроллером домена и потом перенастроить подключения репликации.
/1665513729546.png)
Самый простой способ перенастроить подключения репкликации — это удалить их и создать в автоматическом режиме. Для этого необходимо войти на каждый сервер, удалить связи. Затем выбрать NTDS Settings сервера на который вошли — все задачи — проверить топологию репликации. Т.е. на втором сервере DRE-DC вырать именного его NTDS Settings, а заголинившись на первом контроллере BER-DC вырать его NTDS Settings.
/1665513729548.png)
Проверить, на правильном ли сервере вы проверяете топологию сети можно просто: на неверном сервере меню во «Все задачи» будет выглядеть по другому (+2 меню репликации):
/1665513729550.png)
На этом всё. Перенос контроллера домена в один сайт завершён.
Как добавить контроллер домена
Active Directory? Ask me how.
Active Directory? Ask me how.
Вот результаты с первого контроллера:
А вот результаты со второго:
Если забить на ошибки принтеров, меня смущает у второго контроллера первая часть 🙁
Кстати тестовая машинка во втором офисе ввелась в домен, но увы текстовые имена (да и IP с первого офиса) упорно не хотели грузиться. Подскажите где рыть? Я так понимаю если репликация AD встала требуется репликация DNS и DHCP?
Active Directory? Ask me how.
Active Directory? Ask me how.
Частично проблема урегулировалась. У сервера 1 я прописал IP обоих днс (первого офиса и второго), а у виртуалок нет.
Хорошо, теперь второй офис по айпи может грузить ресурсы первого, но не по именам. К примеру если есть ресурс http://site (http://192.168.0.80), то клиент загружает только http://192.168.0.80. Хорошо понятно — нужно реплицировать DNS, но только вот авторизация от AD в этих ресурсах не проходит.
Т.е. если у меня есть ресурс типа Sharepoint, Dynamics или другой схожий продукт с веб-интерфейсом нужно повторно вводить авторизационные данные от AD — почему так может происходить.