Дополнительные параметры развертывания и администрирования ad ds кратко

Обновлено: 05.07.2024

Развертывание Active Directory

Перед началом развертывания Active Directory необходимо спланировать структуру каталога Active Directory. Правильно спланированная структура каталога позволит расширять его в будущем, сохраняя оптимальную производительность и прозрачность для конечных пользователей.

Планирование пространства имен.

Подобно DNS, в основе пространства имен Active Directory лежит полное доменное имя высшего уровня информационной системы предприятия, состоящей из доменов Windows Server 2003 или Windows 2000, связанных доверительными и иерархическими отношениями в деревья доменов. Кроме того, важно сразу решить, будут ли одинаковы внутреннее (локальная сеть, защищенная брандмауэром) и внешнее (за пределами локальной сети) пространства имен. Иначе говоря, будет ли пространство имен Active Directory соответствовать пространству имен DNS, которое, возможно, уже определено для вашей организации.

Планирование структуры организационных подразделений.

Организационные подразделения (ОП) должны отражать потребности структуры организации. Создание ОП позволяет делегировать полномочия по администрированию небольших групп пользователей, групп и ресурсов. Поскольку ОП верхнего уровня способно поддерживать дополнительные уровни, допустимо неограниченное увеличение степени детализации.
Организационные подразделения позволяют:

наглядно отобразить структуру организации с учетом подчиненности подразделений;
дать конечному пользователю информацию не только о самом подразделении, но и о пользователях и расположенных в нем ресурсах;
делегировать часть задач по администрированию уполномоченным сотрудникам подразделения;
определить для подразделения собственную системную политику.

Рекомендации по разработке структуры ОП
При планировании и администрировании структуры ОП придерживайтесь следующих правил:

создавайте ОП для делегирования административных полномочий;
структура ОП должна быть логичной - это поможет и администраторам и пользователям;
создавайте ОП для внедрения системных политик;
создавайте ОП для ограничения видимости опубликованных ресурсов;
старайтесь создавать статичную структуру ОП, требующую минимум изменений с течением времени;
не размещайте в одном ОП слишком много дочерних объектов - если их число превышает 20-30, то создавайте дочерние ОП.

Приступив к разработке структуры ОП, старайтесь строго придерживаться выбранных правил именования ОП и объектов: имена должны быть иерархичны, статичны и готовы к применению в любом домене каталога.

При планировании структуры ОП рекомендуется сначала создать структуру, отражающую реальную структуру организации. После этого в ОП можно будет создать дополнительные уровни, необходимые для удобства администрирования.

Структура иерархии ОП
Существует несколько моделей построения иерархии ОП. вы можете выбрать модель, наиболее полно соответствующую вашим требованиям, либо создать свою собственную гибридную модель.

Объектная модель деления на ОП
Отдельные ОП создаются для объектов следующих типов:

Такая модель ОП значительно упрощает администрирование Active Directory и не подвержена изменениям при реструктуризации предприятия, но усложняет использование каталога. Очень хорошо подходит для небольших (до 30 человек) организаций.

Географическая модель деления на ОП
Эта модель приемлема для организаций, ориентированных на географическое деление ресурсов. В таких организациях сотрудники и ресурсы группируются по принципу обслуживания определенного географического региона. Такая структура ОП достаточно статична, но плохо подходит для организаций других типов.

Модель деления на ОП по задачам
Организационные подразделения создаются, исходя из задач, выполняемых организацией. В большинстве случаев, такая структура будет соответствовать отделам организации, хотя и будет выходить за их границы. Эта структура также статична и достаточно удобна для конечных пользователей, которые общаются в основном с сотрудниками, работающими над одной и той же задачей.

Модель деления на ОП по отделам
Организационные подразделения создаются, исходя из структуры организации. Такая структура удобна и понятна пользователям и администраторам, но нестабильна во времени - при реструктуризации необходимо создавать новые ОП, удалять старые, перемещать пользователей и т. п. Кроме того, требуется постоянно отслеживать актуальность такой структуры.

Модель деления на ОП по проектам
Деятельность некоторых организаций построена по проектному принципу, что позволяет создавать отдельные ОП для каждого проекта. Такая структура удобна для администрирования - можно делегировать задачи по управлению ОП проекта администратору проекта. Однако эта структура нестабильна, поэтому обычно используется как дочерний уровень по отношению к более стабильному ОП.

Планирование сайтов.

До этого момента вы разрабатывали логическую структуру каталога Active Directory. Но успешное внедрение и функционирование Active Directory также зависит от правильно спланированной физической структуры, которая разграничивается сайтами. Зачастую сайт имеет те же границы, что и локальная сеть.

Механизм репликации Active Directory позволяет по-разному выполнять репликацию в локальной и глобальной сети. Сетевой трафик внутри сайта гораздо активнее трафика между сайтами. Настройка сайтов отражается на работе Active Directory в двух ключевых моментах.

В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры сгруппированы в домены и ОП, а не в сайты. Структура сайтов и IP-сетей описывается в отдельной части каталога Active Directory (конфигурационном контейнере), в которой содержатся ссылки на объекты компьютеров, необходимые для описания параметров сайтов и межсайтовой репликации.

Правильно спланированные сайты не перегружают каналы связи трафиком репликации, информация в Active Directory всегда актуальна, а пользователи при регистрации обращаются к ближайшим контроллерам домена.

Группируя IP-сети в сайты, надо учитывать скорость связи между подсетями.

Объединяйте только те подсети, которые располагают быстрыми, недорогими и надежными сетевыми соединениями. Под быстрым соединением подразумевается канал связи со свободной полосой пропускания не менее 512 Кбит/с, которая может быть выделена для трафика репликации. Обычно таким требованиям удовлетворяют несколько IP-сетей в рамках одной локальной сети.
Конфигурируйте сайты таким образом, чтобы репликация выполнялась в часы минимальной загрузки каналов связи.

Оптимизация репликации каталога
Планируя сайты, решите, где будут размещены контроллеры доменов. Учтите, что каждый контроллер домена осуществляет репликацию со всеми остальными контроллерами домена, а репликация между доменами осуществляется только силами двух контроллеров. Поэтому не рекомендуется размещать один домен в нескольких сайтах - это может привести к замедлению репликации ключевой информации и потере актуальности данных на некоторых контроллерах домена. Кроме того, сайты необходимо конфигурировать так, чтобы трафик репликации не мешал нормальной работе сети.

Установка.

Установка Active Directory осуществляется при помощи специального мастера, который выполнит все необходимые операции по установке и начальной настройке контроллера домена Active Directory. Тем не менее вы должны выполнить ряд предварительных требований, которые позволят установить контроллер домена без ошибок.

Предварительные требования.

Перед запуском мастера установки Active Directory убедитесь в выполнении следующих требований:

Запуск Мастера установки Active Directory.

Основной функцией мастера установки Active Directory (Active Directory Installation Wizard) является конфигурирование сервера для его работы в качестве контроллера домена и изменения роли существующих контроллеров домена. Если вы установили первый сервер Windows Server 2003 (Windows 2000) в сети и собираетесь установить на нем Active Directory, то создается совершенно новая база Active Directory, а ваш сервер будет содержать первый домен первого дерева первого леса.

Запустить Мастер установки Active Directory можно несколькими способами, запустив Мастер настройки сервера.

Для этого выберите в меню Пуск -> Администрирование -> Управление данным сервером

В разделе Управление ролями данного сервера нажмите кнопку Добавить или удалить роль.

Можно сразу запустить Мастер настройки сервера из меню Администрирование.

Также Мастер настройки сервера можно запустить, в меню Пуск щелкнув Выполнить, введя в появившемся окне dcpromo и нажав клавишу Enter.

При выборе любого варианта будет запущен Мастер настройки сервера.

Мастер автоматически установит Active Directory с созданными по умолчанию вариантами для многих опций, используя Мастер установки Active Directory, что обеспечит защиту от ошибок при установке.

Использование мастера конфигурирования сервера.

Чтобы установить службу Active Directory, DNS-сервер и службу динамического предоставления IP-адресов (DHCP) в окне мастера настройки сервера выберите типовую настройку для первого сервера и нажмите кнопку Далее.

На следующем шаге введите полное DNS-имя нового домена.

Если вы создаете домен, который будет использоваться в вашей внутренней сети без регистрации в сети Интернет, вы можете обозначить домен верхнего уровня ".local", чтобы избежать путаницы с внешними доменами.

После ввода DNS-имени мастер генерирует на его основе NetBIOS-имя домена. Оно будет использоваться для доступа к домену с компьютеров под управлением более ранних версий Windows (до Windows 2000).

Далее мастер настройки сервера создает новый DNS-сервер (если он не был создан заранее) и приступает к его настройке. Как уже упоминалось ранее, DNS-серверы связаны иерархической структурой с другими DNS-серверами для разрешения запросов. Если создаваемый вами домен будет иметь постоянное подключение к Интернету или в вашей сети уже используется DNS-сервер, то вам необходимо указать IP-адрес DNS-сервера, к которому будет обращаться создаваемый DNS-сервер для разрешения запросов.

Если вы создаете внутренний домен без постоянного подключения к Интернету и в вашей сети нет других DNS-серверов, то выберите пункт Нет, не пересылать запросы, тогда создаваемый DNS-сервер будет главным DNS-сервером создаваемого домена.

Перенастроить сервер можно позже, после его установки.

Еще раз проверьте правильность введенных значений и их соответствие ранее определенной конфигурации Active Directory.

Подтвердите выбранные вами параметры нажав кнопку Далее.

Процесс установки и настройки Active Directory и других служб наглядно отображается на экране.

При создании нового домена последовательно выполняются следующие операции:

останавливаются все необходимые службы;
создается служба DHCP;
создаются папки для хранения БД и системного тома Active Directory;
создается контейнер схемы, в который загружается схема по умолчанию;
создаются все необходимые контейнеры и объекты каталога Active Directory;
из локальной БД системы безопасности все объекты переносятся в каталог Active Directory;
создаются политики по умолчанию;
конфигурируются службы Active Directory;
удаляется локальная БД системы безопасности;
устанавливаются права доступа на созданные объекты каталога и системные папки Windows Server 2003;
создается файл со списком изменений, вносимых в зону DNS;
устанавливаются инструменты управления Active Directory.

Закончив выполнение всех запланированных операций компьютер автоматически перезагрузится. После загрузки операционной системы Windows Server 2003 мастер настройки сервера продолжит свою работу.

По завершении работы мастер сообщает о результатах установки, выводит информацию о сайте, в который был включен контроллер домена.

При установке первого контроллера первого домена дерева автоматически создается сайт с именем Default-First-Site-Name. В него по умолчанию будут включаться все устанавливаемые контроллеры доменов.

Щелкните кнопку Готово для завершения установки Active Directory.

Завершение установки Active Directory.

По завершении работы Мастера установки Active Directory и перезагрузки вы наверняка заметите, что загрузка компьютера замедлилась в несколько раз. Это связано с тем, что при каждой загрузке запускаются службы Active Directory, которые при запуске осуществляют проверку баз данных Active Directory, внесение изменений в зону DNS, обслуживающую домен, устанавливают связь с ГК и мастером схемы в поисках изменений и т. п. В зависимости от конфигурации компьютера загрузка становится дольше на 3-10 минут.

Многие изменения в конфигурации Windows Server 2003, связанные с установкой Active Directory, осуществляются не во время работы мастера установки, а во время первой перезагрузки. Кроме того, большинство этих изменений, например создание необходимых записей в DNS-зоне, осуществляется асинхронно, уже после того, как запущены все службы и компьютер загружен. Поэтому рекомендуется выждать до 30 минут после первой перезагрузки компьютера, прежде чем переходить к проверке правильности установки Active Directory. За это время будут завершены все операции по настройке и начальной репликации (если вы устанавливали не первый контроллер в дереве доменов).

Основным хранилищем информации о дереве доменов, влияющем на работоспособность Active Directory, является DNS. Наличие в зоне необходимых записей является свидетельством правильно выполненной установки Active Directory и работоспособности домена. Для проверки запустите консоль управления DNS (Пуск -> Администрирование -> DNS). Домен, в который устанавливалась Active Directory, должен выглядеть следующим образом:

При установке службы AD DS (Active Directory Domain Services) можно выбрать одну из следующих возможных конфигураций развертывания:

Возможность установить новое дерево домена появляется, только если на странице Мастер установки доменных служб Active Directory мастера установки службы AD DS установлен флажок Использовать расширенный режим установки.

В следующих разделах подробно описываются каждая из этих конфигураций развертывания.

Добавление в домен нового контроллера домена

Если в домене уже есть один контроллер домена, можно добавить в домен дополнительные контроллеры домена, чтобы повысить доступность и надежность сетевых служб. Добавление контроллеров домена может помочь обеспечить отказоустойчивость, сбалансировать загрузку существующих контроллеров домена и обеспечить поддержку дополнительной инфраструктуры для сайтов.

Наличие нескольких контроллеров в домене позволяет домену продолжать работу в случае отказа или отключения от сети одного из контроллеров домена. Использование нескольких контроллеров также может повысить производительность, облегчая для клиентов подключение к контроллеру домена при входе в сеть.

Подготовка существующего домена

Перед добавлением контроллера домена с операционной системой Windows Server 2008 R2 в существующий домен Active Directory необходимо подготовить лес и домен с помощью программы Adprep.exe. Убедитесь, что используется версия программы Adprep.exe, находящаяся на установочном диске Windows Server 2008 R2. Эта версия добавляет объекты и атрибуты схемы, необходимые контроллерам домена с операционной системой Windows Server 2008 R2, а также изменяет разрешения для новых и существующих объектов.

Выполните программу adprep с параметрами, необходимыми для среды организации.

Установка с носителя

При установке нового контроллера домена в существующем домене можно выбрать установку с носителя, при которой база данных домена копируется с носителя, а не по сети. Эта возможность доступна в мастере установки службы AD DS, только если на странице Приветствие установлен флажок Использовать расширенный режим установки. Для создания установочного носителя рекомендуется использовать подкоманду ntdsutil ifm. Для получения дополнительных сведений об использовании установки с носителя см. Установка с носителя.

Добавление нового домена в лес

По умолчанию в новом создаваемом лесу будет один домен, называемый корневым доменом леса. Один домен может вмещать тысячи пользователей, даже если для репликации Active Directory доступна лишь небольшая часть пропускной способности сети. Следовательно, одного домена обычно достаточно для большинства небольших организаций и организаций среднего размера. Добавление дополнительных доменов в лес заметно повышает требования к администрированию леса.

Новый домен, который не разделяет единое пространство имен с родительским доменом, называется новым деревом доменов. Для получения дополнительных сведений о создании нового дерева доменов см. далее в этой статье раздел Создание нового дерева доменов.

При добавлении доменов в лес служба AD DS разделяется, что позволяет реплицировать данные только там, где это необходимо. Таким образом, обеспечивается глобальное масштабирование отдельного леса Active Directory с поддержкой сотен тысяч и даже миллионов пользователей в сети с ограниченной пропускной способностью.

Требования к созданию нового домена

Мастер установки службы AD DS позволяет использовать имена доменов Active Directory длиной до 64 символов или 155 байт. Хотя ограничение в 64 символа обычно достигается раньше ограничения в 155 байт, последнее может сработать, если имя содержит символы Unicode, поглощающие по три байта каждый. Эти ограничения не применяются к именам компьютеров.

В процессе установки программа Dcpromo.exe создает делегирование зоны DNS. Если создание зоны не удается или решено ее не создавать (что не рекомендуется), необходимо создать делегирование зоны вручную. Для получения дополнительных сведений о создании делегирования зоны см. Создание или изменение делегирования DNS.

Перед добавлением домена в лес должно быть создано делегирование DNS для зоны DNS, соответствующей имени добавляемого домена Active Directory. Мастер установки доменных служб Active Directory проверяет существование делегирования DNS. Если делегирование отсутствует, мастер во время создания нового домена предоставляет возможность автоматического создания делегирования DNS.

Создание нового дерева домена

Новое дерево доменов следует создавать, только если нужно создать домен, пространство имен DNS которого не связано с другими доменами в лесу. Это означает, что имя корневого домена дерева (и любого его дочернего домена) не должно содержать полное имя родительского домена.

Перед созданием нового дерева доменов, если необходимо другое пространство имен DNS, подумайте о создании другого леса. Несколько лесов обеспечивают автономное администрирование, изоляцию разделов каталогов схемы и конфигурации, отдельные области защиты и гибкое использование независимых схем пространства имен для каждого леса.

Создание нового леса

Имена DNS и NetBIOS

Перед созданием нового леса убедитесь, что инфраструктура DNS спланирована полностью. Для создания нового леса необходимо знать его полное DNS-имя. Службу сервера DNS можно установить до установки службы AD DS, либо, что предпочтительней, можно выбрать, чтобы мастер установки службы AD DS сам установил службу сервера DNS.

Если служба сервера DNS устанавливается мастером, мастер использует предоставленное администратором DNS-имя, чтобы автоматически создать NetBIOS-имя для первого домена в лесу. Перед продолжением установки мастер проверяет, что DNS-имя и NetBIOS-имя уникальны в сети. Чтобы вместо имени, автоматически созданного мастером, определить другое NetBIOS-имя, необходимо установить флажок Использовать расширенный режим установки на странице Мастер установки доменных служб Active Directory.

По умолчанию служба сервера DNS устанавливается на первом контроллере домена в лесу. Если уже инфраструктура DNS, поддерживающая разрешение имен для нового леса, уже создана, можно снять флажок DNS-сервер на странице мастера Дополнительные параметры. Но если поддерживающая инфраструктура DNS еще отсутствует, примите значение по умолчанию, чтобы мастер установил службу сервера DNS на первом контроллере домена в лесу.

После нажатия для продолжения кнопки Далее мастер установки службы AD DS проверит существующую инфраструктуру DNS. Если флажок DNS-сервер снят, мастер выполнит диагностические проверки, чтобы убедиться в наличии поддерживающей инфраструктуры DNS. Если диагностические проверки заканчиваются неудачей, мастер повторно предоставляет возможность установить службу DNS-сервера.

Функциональные уровни

Для нового леса функциональным уровнем леса по умолчанию является режим Windows 2000, а функциональным уровнем домена - основной режим Windows 2000. Это наименьшие из возможных режимов работы, которые позволяют контроллерам домена работать под управлением операционных систем Windows Server 2003, Windows® 2000 Server, Windows Server 2008 или Windows Server 2008 R2.

Если не планируется добавлять контроллеры домена, работающие под управлением ранних версий Windows Server, выберите более высокие функциональные уровни, чтобы включить расширенный набор функций. Если выбран режим работы леса Windows Server 2008 R2, все домены, впоследствии добавляемые в лес, будут создаваться с режимом работы домена Windows Server 2008 R2. Поэтому страница Задание режима работы домена не будет появляться в мастере установки доменных служб Active Directory. Если выбран другой функциональный уровень домена, можно определить функциональный уровень домена независимо для каждого домена в лесу. Для получения дополнительных сведений о функциональных уровнях см. Определение функционального уровня домена или леса.

Роли хозяев операций

На первый контроллер домена для этого домена устанавливаются все роли хозяев операций (также называемых операциями с единым гибким хозяином или FSMO) для леса.

Для повышения доступности и отказоустойчивости службы AD DS в домене рекомендуется создавать дополнительные контроллеры домена. После создания дополнительных контроллеров домена может понадобиться перенести на эти другие контроллеры домена некоторые из ролей хозяев операций, размещавшихся на первом контроллере домена. Если планируется создать лес с несколькими доменами, и любой контроллер домена в корневом домене леса не будет сервером глобального каталога, следует перенести на другой контроллер домена, не являющийся сервером глобального каталога, по крайней мере, роль хозяина инфраструктуры в корневом домене леса.

Аннотация: Описан процесс поэтапного развертывания Active Directory, включающий такие этапы, как установка и внедрение. Кратко дано представление об условиях, необходимых для установки Active Directory, и о функционировании мастера инсталляции. Приведено описание этапа тестовой эксплуатации с последующим переходом из существующей структуры промышленной среды компании в спроектированную структуру Active Directory

Цель лекции: Научиться внедрять Active Directory , сформулировать условия установки, разобрать вопросы тестирования.

После выбора стратегии развертывания Active Directory осуществляется поэтапное внедрение единой службы каталогов в соответствии с планом-графиком развертывания.

Развертывание Active Directory

При установке Active Directory выполняются следующие функции:

Добавление контроллера домена к существующему домену. Создается равноправный контроллер домена , обеспечивающий отказоустойчивость и уменьшение нагрузки на имеющиеся контроллеры доменов.
Создание первого контроллера домена в новом домене. Создается новый домен , необходимый для распределения информации , что позволит настроить Active Directory в соответствии с потребностями организации. При создании нового домена разрешается создать новый дочерний домен или новое дерево.
Создание нового дочернего домена.
Создание нового дерева домена.
Установка DNS-сервера.
Создание БД и журналов БД.
Создание общего системного тома.

Причины создания нескольких доменов: распределенное администрирование сети , управление репликацией, разные требования к паролям в разных организациях, большое число объектов , разные имена доменов Интернета, региональные требования и требования внутренней политики.

Установка службы каталога Active Directory

Процесс установки службы каталога Active Directory на компьютере с Microsoft Windows Server 2003 несложен: простота обеспечивается за счет мастера инсталляции Active Directory ( Active Directory Installation Wizard ).

Два других метода установки Active Directory [ 13 ] - инсталляция без помощи мастера и установка из восстановленных резервных файлов.

Предварительные условия установки Active Directory

Любой сервер, который удовлетворяет условиям, описанным далее, может содержать Active Directory и стать контроллером домена. Каждый новый контроллер домена фактически является автономным сервером, пока не завершится процесс инсталляции Active Directory. В ходе этого процесса решаются две важные задачи [ 13 ] - создается или заполняется база данных каталога и запускается Active Directory, чтобы сервер отвечал на попытки входа в систему домена и на запросы облегченного протокола службы каталога LDAP .

База данных каталога хранится на жестком диске контроллера домена в файле Ntds . dit . В процессе инсталляции Windows Server 2003 файл Ntds . dit сохраняется в папке %systemroot%\system32 на локальном диске. В процессе инсталляции Active Directory файл Ntds . dit копируется в место, идентифицированное во время инсталляции, или в заданную по умолчанию папку %systemroot%\ NTDS , если не определено другое место. При наличии файла Ntds . dit , скопированного на жесткий диск в процессе инсталляции Windows Server 2003, Active Directory может быть установлена в любое время без необходимости обращаться к инсталляционной среде.

Далее приводятся условия, необходимые для того, чтобы Active Directory могла работать в Windows Server 2003 [ 13 ] .

Жесткий диск. Размер пространства на жестком диске, необходимого для хранения службы Active Directory, будет зависеть от количества объектов в домене и от того, является ли данный контроллер домена сервером глобального каталога (GC). Для поддержки установки папки Sysvol по крайней мере один логический диск должен быть отформатирован под файловую систему NTFS v.5 (версия NTFS, которая используется в системах Microsoft Windows 2000 и Windows Server 2003).Чтобы установить Active Directory на сервер, на котором выполняется система Windows Server 2003, жесткий диск должен удовлетворять следующим минимальным требованиям:
- 15 Мб свободного пространства - на раздел установки системы;
- 250 Мб свободного пространства - для базы данных Active Directory ( Ntds . dit );
- 50 Мб свободного пространства - для файлов регистрационного журнала транзакций процессора наращивания памяти (ESENT). ESENT представляет собой систему взаимодействия базы данных, которая использует файлы регистрационных журналов для поддержки семантики откатов (rollback), чтобы гарантировать передачу транзакций базе данных .
Мастер установки

Мастер установки Active Directory выполняет следующие функции [ 4 ] :
- добавляет контроллер домена к существующему домену;
- создает первый контроллер домена в новом домене;
- создает новый дочерний домен ;
- создает новое дерево домена ;
- устанавливает DNS-сервер;
- создает БД и журналы БД;
- создает общий системный том;
- удаляет службы Active Directory с контроллера домена.
Когда служба Active Directory устанавливается на сервер с Windows Server 2003, компьютер фактически становится контроллером домена. Если это первый контроллер домена в новом домене и лесу , то создается чистая база данных каталога, ожидающая поступления объектов службы каталога. Если это дополнительный контроллер домена в уже существующем домене, процесс репликации размножит на этот новый контроллер домена все объекты службы каталога данного домена. Если это контроллер домена, имеющий модернизированную систему Microsoft Windows NT 4, база данных учетных записей будет автоматически обновлена до Active Directory после того, как на этом контроллере домена будет установлен Windows Server 2003.

При установке Active Directory можно добавить новый контроллер домена к существующему домену или создать первый контроллер нового домена [ 4 ] .
- Добавление контроллера к существующему домену. В этом случае создается равноправный контроллер домена . Он обеспечит отказоустойчивость и уменьшит нагрузку на имеющиеся контроллеры доменов.
- Создание первого контроллера для нового домена. В этом случае создается новый домен . Он нужен для распределения информации , что позволит настроить Active Directory в соответствии с потребностями организации. При создании нового домена разрешается создать новый дочерний домен или новое дерево.
При установке службы каталогов Active Directory на первом контроллере домена сайта в контейнере Sites создается объект с именем Default-First-Site-Name. В этом сайте необходимо установить первый контроллер домена . Дополнительные контроллеры располагаются в сайте первого контроллера домена (предполагается, что IP-адрес жестко связан с сайтом ) или в другом существующем сайте . После установки первого контроллера домена имя Default-First-Site-Name можно изменить на любое другое.

Когда производится установка Active Directory на дополнительные серверы, а в хранилище определены дополнительные сайты , то возможны два варианта. Если IР-адрес устанавливаемого компьютера соответствует имеющейся в существующем сайте подсети, то контроллер добавляется в этот сайт . Иначе контроллер добавляется в сайт исходного контроллера домена.

Конфигурирование DNS для Active Directory

Active Directory использует DNS в качестве службы поиска, позволяя компьютерам находить контроллеры доменов. Для поиска контроллера в определенном домене клиент запрашивает DNS о записях ресурсов, содержащих имена и IP-адреса LDAP-серверов домена. LDAP - это протокол, используемый для осуществления запросов и обновления Active Directory и выполняющийся на всех контроллерах домена. Нельзя установить Active Directory, не имея на компьютере службы DNS , потому что Active Directory использует DNS в качестве службы поиска. Однако можно установить DNS без установки Active Directory.

Для автоматического конфигурирования DNS-сервера надо воспользоваться мастером установки Active Directory: не придется вручную настраивать DNS для поддержки Active Directory, но это не касается тех случаев, когда планируется использовать DNS-сервер без Windows 2000/2003 или требуется создать особую конфигурацию. Чтобы задать конфигурацию, отличную от задаваемой мастером установки по умолчанию, можно вручную сконфигурировать DNS , воспользовавшись консолью DNS .

База данных и общий системный том

При установке Active Directory создается БД и ее журнал, а также общий системный том [ 4 ] .
- БД и ее журнал - это каталог для нового домена. По умолчанию БД и ее журнал располагаются в каталоге %systemroot%\ NTDS , где %systemroot% - это каталог Windows. Для повышения производительности рекомендуется размещать БД и журнал на разных жестких дисках.
- Общий системный том - это структура папки, существующая на всех контроллерах доменов Windows. Он хранит сценарии и некоторые объекты групповой политики для текущего домена и предприятия. По умолчанию общий системный том располагается в каталоге %systemroot%\SYSVOL. Общий системный том должен располагаться в разделе или томе, отформатированном под NTFS 5.0.
Репликация общего системного тома идет по тому же расписанию, что и репликация Active Directory, поэтому можно не заметить репликацию файлов вновь созданного общего системного тома, пока не пройдет два цикла репликации (обычно это занимает минут 10). Дело в том, что первый цикл репликации файла обновляет конфигурацию других системных томов, уведомляя их о добавлении нового системного тома.

Режимы домена

Существуют два режима домена - смешанный и основной [ 4 ] .
- Смешанный режим. При первой установке или обновлении контроллера домена до Windows 2000 Server контроллер запускается в смешанном режиме (mixed mode), что позволяет ему взаимодействовать с любыми контроллерами доменов под управлением предыдущих версий Windows NT.
- Основной режим. Если на всех контроллерах домена установлен Windows 2000 Server и не планируется больше добавлять в этот домен контроллеры нижнего уровня, то рекомендуется перевести домен в основной режим (native mode).
При изменении режима со смешанного на основной происходит следующее:
- прекращается поддержка репликации нижнего уровня, после чего в этом домене запрещается иметь контроллеры, не работающие под управлением Windows 2000/2003 Server;
- запрещается добавление новых контроллеров нижнего уровня в данный домен ;
- сервер, исполнявший роль основного контроллера домена, перестает быть таковым, поэтому все контроллеры становятся равноправными.
Изменение режима домена возможно лишь в одном направлении - из смешанного в основной режим, но не наоборот.

Настройка Active Directory представляет из себя достаточно простой процесс и рассматривается на множестве ресурсов в интернете, включая официальные . Тем не менее на своем блоге я не могу не затронуть этот момент, поскольку большинство дальнейших статей будет так или иначе основано на окружении, настройкой которого я планирую заняться как раз сейчас.

Если вам интересна тематика Windows Server, рекомендую обратиться к тегу Windows Server на моем блоге. Также рекомендую ознакомиться с основной статье по Active Directory — Active Directory Domain Services

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.
1. Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
2. Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
3. Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).
На этом этапе необходимо определиться какое имя домена у вас будет. Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно.

Примечание: н екоторые рассуждения, а также множество ссылок на полезный материал, вы можете найти в моей статье Пара слов про именование доменов Active Directory. Рекомендую ознакомиться с ней, а также со списком использованных источников.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Примечание: отключение синхронизации с хостом виртуализации — самый простой и быстрый вариант. Тем не менее, это не best practic. Согласно рекомендациям Microsoft, нужно отключать синхронизацию с хостом лишь частично 1 . Для понимания принципа работы читайте официальную документацию 2 3 , которая в последние годы радикально подскочила вверх по уровню изложения материала .

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS 4 5 :

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Установка Active Directory

Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:

Сам процесс установки претерпел некоторые изменения 6 по сравнению с предыдущими версиями ОС:

Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.

Необходимо выбрать только роль Доменные службы Active Directory, никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.

Настройка Active Directory

Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак — требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена.

Далее весь процесс будет проходить в мастере настройки.

Повышение роли сервера до контроллера домена

Этапы работы мастера подробно описаны в документации 7 . Тем не менее, пройдемся по основным шагам.

Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).

После этого сервер самостоятельно перезагрузится.

Создание учетных записей администраторов домена/предприятия

Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory — пользователи и компьютеры, создайте необходимые учетные записи — на этом этапе это администратор домена.

Сразу же рекомендую настроить и иерархию организации (только не используйте русские символы!).

Настройка DNS на единственном DC в домене

Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.

Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки — это общеизвестный пул DNS-серверов высшего уровня.

Добавление второго DC в домен

Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен:

Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена! Это обязательно, иначе получите ошибку.

После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.

Настройка DNS на нескольких DC в домене

Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:

Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье Шпаргалка по DNS.

Настройка времени

Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью PDC emulator — Эмулятор первичного контроллера домена). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.

Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.

Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой — Изменить. Переходим в Конфигурация компьютера\Политики\Административные шаблоны\Система\Служба времени Windows\Поставщики времени. Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows, заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола — NTP, остальные настройки не трогаем:

Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:

Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики — в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:

Подробнее о принципе работы и настройке службы времени читайте в официальной документации 8 .

На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена.

Читайте также: