Добавление домена в существующий лес windows 2012

Обновлено: 03.07.2024

В этой статьe мы разобрали как развернуть контроллер домена на базе Windows Server 2012 R2. Теперь наша задача развернуть дополнительный контроллер домена, который будет подстраховкой в случае если основной выйдет из строя.

Итак мы имеем в работе:

  • Основной контроллер домена Windows Server 2012 R2 (DC1, jakonda.local, 192.168.0.2) с развернутыми службами AD DS, DNS, DHCP.
  • Развернуть дополнительный контроллер домена на базе Windows Server 2012 R2, выполнить предварительную настройку системы.
  • Поднять на дополнительном контроллере роли AD DS, DNS, DHCP.
  • Настроить репликацию данных.
  • Выполнить настройку работы DHCP сервера совместно с основным контроллером домена.

Проделываться все действия будут на виртуальной машине.

Установка Windows Server 2012 R2 и подготовительная настройка системы

Устанавливаем Windows Server 2012 R2 Standart with GUI. После установки системы обязательно:

  • Устанавливаем все имеющиеся обновления на текущий момент.
  • Выставляем корректную временную зону (+03:00 Moscow, St. Petersburg, Volgograd).
  • Изменяем имя системы на (прим. DC2).
  • Указываем в системе статический IP-адрес (в моем случае это будет 192.168.0.3), в качестве предпочитаемого DNS сервера указываем адрес DNS сервера на основном контроллере домена DC1 (192.168.0.2) и в качестве альтернативного DNS сервера указываем адрес который мы присвоили на текущем сервере DC2 (192.168.0.3).


  • Вводим систему в имеющийся домен jakonda.local.

На этом подготовка системы завершена, можно приступать к развертыванию необходимых ролей.

Поднимаем роли AD DS + DNS + DHCP на дополнительном контроллере домена

Переходим во вкладку DNS, в поле Search вбиваем IP-адрес нашего дополнительного сервера (в моем случае 192.168.0.3), сервер должен появится в списке найденных, выделяем его и нажимаем кнопку переместить (>). Нажимаем ОК.

После добавления сервера, если перейти в All Servers, то мы увидим что у нас там теперь два сервера. Теперь можно из основного сервера добавлять, настраивать роли на другом сервере.


Добавляем новую роль на дополнительном сервере DC2. Переходим Server Manager — Manage — Add Roles and Features.

Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов).Нажимаем Next.



Выбираем Select a server from the server pool и выбираем сервер из списка, т.к. мы настраиваем дополнительный сервер, то выделяем dc2.jakonda.local и нажимаем Next.

Далее все как и в статье по развертыванию контроллера домена:

  • Отмечаем галочкой роль Active Directory Domain Services, в подтверждающем запросе добавления роли и компонентов, необходимых для установки AD нажимаем Add Features.
  • В выборе установки дополнительных компонентов, ничего не выбираем.
  • На завершающих этапах установки нажимаем Next и Install.

По завершении установки роли AD DS в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Promote this server to a domain controller (Повысить этот сервер до контроллера домена). Запустится мастер конфигурирования AD DS для сервера DC2.

Т.к. мы разворачиваем дополнительный контроллер домена, то нужно добавить его в уже существующий домен. Выбираем Add a domain controller to an existing domain. Автоматические подставится название текущего домена (jakonda.local) и какую доменную учетную запись использовать при выполнении данной операции. Нажимаем Next.


Проверяем установлены ли галочки (Domain Name System (DNS) Server, Global Catalog (GC)), в пункте Site name оставляем значение Default-First-Site-Name и задаем пароль для восстановления служб каталогов. Нажимаем Next.


Предупреждение о том что не может быть создано делегирование разворачиваемого DNS сервера, игнорируем. Нажимаем Next.

В дополнительных опциях в пункте Replicate from (Репликация из) выбираем основной контроллер домена DC1.jakonda.local. Это мы указываем дополнительному контроллеру домена откуда производить репликацию даннных AD, DNS. Нажимаем Next.


Пути к каталогам оставляем по-умолчанию, далее просматриваем сводную информацию по конфигурации AD DS. Нажимаем Next.

Если проверка выполнена успешно, то нажимаем Install.

После того пройдет установка, если зайти на DC2, то увидим что роли AD, DNS подняты, произведена репликация из DC1.



Так же можно с помощью командной строки принудительно запустить процесс репликации, с помощью утилиты repadmin:

В этом разделе описывается, как добавить дочерние домены и домены дерева в существующий лес Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell.

Процесс добавления дочернего домена и домена дерева

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать домен в существующем лесу.

Схема, иллюстрирующая процесс настройки служб домен Active Directory Services при ранее установленной роли AD DS.

Добавление дочернего домена и домена дерева с помощью Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Курсивом аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-safemodeadministratorpassword

Учетные данные

-DomainType

Аргумент -credential требуется только в том случае, если текущий пользователь не является членом группы "Администраторы предприятия". Аргумент -NewDomainNetBIOSName требуется, если вы хотите изменить имя из 15 символов, автоматически создаваемое на основе префикса доменного имени DNS, или если длина имени превышает 15 символов.

Развертывание

Конфигурация развертывания

На следующем снимке экрана показаны параметры добавления дочернего домена:

Снимок экрана, на котором показаны параметры для добавления дочернего домена.

На следующем снимке экрана показаны параметры добавления домена дерева:

Снимок экрана, на котором показаны параметры для добавления домена дерева.

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

В этом разделе совместно рассматриваются две отдельные операции: повышение роли дочернего домена и повышение роли домена дерева. Единственное различие между ними заключается в выбираемом для создания типе домена. Все остальные действия идентичны.

Чтобы создать дочерний домен, установите переключатель в положение Добавить домен в существующий лес и выберите тип Дочерний домен. Введите или выберите имя родительского домена. Затем введите имя нового домена в поле Новое имя домена. Укажите допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям к DNS-имени домена.

Чтобы создать домен дерева в существующем лесу, установите переключатель в положение Добавить домен в существующий лес и выберите тип Домен дерева. Введите имя корневого домена леса, а затем введите имя нового домена. Укажите допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям к DNS-имени домена.

Мастер настройки доменных служб Active Directory в диспетчере сервера запрашивает учетные данные домена, если текущие учетные данные не для этого домена. Чтобы указать учетные данные для операции повышения роли, нажмите кнопку Изменить.

Командлет и аргументы модуля Windows PowerShell ADDSDeployment:

Параметры контроллера домена

На странице Параметры контроллера домена приведены параметры нового контроллера домена. Настраиваемые параметры контроллера домена включают в себя DNS-сервер и Глобальный каталог, причем нельзя назначить контроллер домена только для чтения первым контроллером нового домена.

Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Также необходимо указать режим работы домена. Режим работы по умолчанию — Windows Server 2012. Вы можете выбрать любое другое значение не ниже текущего режима работы леса.

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена:

Имя сайта уже должно существовать на момент ввода в качестве значения аргумента sitename. Командлет install-AddsDomainController не создает имена сайтов. Для создания сайтов можно использовать командлет new-adreplicationsite.

Если аргументы командлета Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент SafeModeAdministratorPassword действует особым образом.

Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Модуль ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера такой возможности нет. Этот аргумент имеет значение только в том случае, если служба DNS-сервера уже была установлена до настройки контроллера домена:

Параметры DNS и учетные данные для делегирования DNS

Снимок экрана, на котором показана страница

На странице Параметры DNS можно указать альтернативные учетные данные администратора DNS для делегирования.

При установке нового домена в существующем лесу, то есть если вы выбрали установку DNS на странице Параметры контроллера домена, никакие параметры настроить нельзя — делегирование выполняется автоматически, и отменить его нельзя. Вы можете указать альтернативные учетные данные администратора DNS с правами на обновление этой структуры.

Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры DNS:

Дополнительные сведения о делегировании DNS см. в разделе Общее представление о делегировании зоны.

Дополнительные параметры

Снимок экрана, на котором показана страница дополнительных параметров в мастере настройки служб домен Active Directory Services.

Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.

Если аргументы Install-AddsDomain не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. Аргумент DomainNetBIOSName действует особым образом.

Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName не превышает 15 символов, повышение роли продолжает выполняться с использованием автоматически созданного имени.

Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName превышает 16 символов, происходит сбой повышения роли.

Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной не более 15 символов, повышение роли продолжает выполняться с использованием указанного имени.

Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной более 16 символов, происходит сбой повышения роли.

Аргумент Дополнительных параметров командлета ADDSDeployment таков:

Снимок экрана, на котором показана страница «пути» в мастере настройки служб домен Active Directory Services.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути:

"Просмотреть параметры" и "Просмотреть скрипт"

Снимок экрана, на котором показана страница

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Например:

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword (который намеренно опущен в скрипте). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSForest. Это позволит просмотреть явные и неявные значения аргументов командлета.

Установка нового дочернего AD

Проверка готовности к установке

Снимок экрана, на котором показана страница проверки предварительных требований в мастере настройки служб домен Active Directory Services.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового домена доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.

Подробнее о проверках предварительных требований см. в разделе Проверка предварительных требований.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.

Установка

Снимок экрана, на котором показана страница установки в мастере настройки служб домен Active Directory Services.

Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

Чтобы установить новый домен Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Список обязательных и необязательных аргументов см. в разделе Добавление дочернего домена и домена дерева с помощью Windows PowerShell. Выполнение командлета Install-addsdomain включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domaintype, -newdomainname, -parentdomainname и -credential. Обратите внимание на то, что командлет Install-ADDSDomain, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:

Снимок экрана окна терминала, в котором показан этап установки с минимальными необходимыми аргументами-DomainType,-невдомаиннаме,-парентдомаиннаме и-Credential.

Снимок экрана окна терминала, в котором показан ход установки с минимальными необходимыми аргументами-DomainType,-невдомаиннаме,-парентдомаиннаме и-Credential.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Результаты

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

dc1_domain_controller

В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:

1) Основной контроллер домена, ОС - Windows Server 2012 R2 with GUI, сетевое имя: dc1.

2) Дополнительный контроллер домена (на случай выхода из строя основного), ОС - Windows Server 2012 R2 Core, сетевое имя: dc2.

3) Контроллер домена только для чтения ( RODC ), находящийся в филиале компании за vpn-каналом, ОС - Windows Server 2012 R2 Core, сетевое имя: dc3.

Данное руководство подойдет для внедрения доменной структуры в небольшой компании и пригодится начинающим администраторам Windows.

Шаг 1: Установка первого контроллера домена. Подготовка.

Перед запуском мастера ролей, серверу необходимо задать сетевое имя и настроить ip-адрес. Сетевое имя - dc1. Настройки TCP/IP укажем как на скриншоте ниже.

2012r2-tcp-settings

Запускаем диспетчер сервера - Server Manager -> Dashboard -> Configure this local server -> Add Role and Features Wizard. На первом экране мастер нам сообщает, что перед тем как продолжить, должен быть установлен сложный пароль администратора, в настройках сети указан статический ip-адрес, установлены последние обновления. Если все это сделано, то нажимаем Next.

dd_role_and_features_wizard

На следующем экране, выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен исключительно для установки роли удаленных рабочих столов.

server_manager_select_installtion_type

На экране Select Destination server диспетчер предлагает нам, выбрать сервер из пула или расположенный на VHD-диске. Поскольку у нас пока только один локальный сервер, то нажимаем Next.

server_manager_select_destination_server

Выбираем Active Directory Domain Services (Доменные службы Active Directory), после чего появится окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features и затем Next.

server_manager_add_roles_and_features_wizard

Обычно, на серверах с AD DS имеет смысл, параллельно разворачивать DHCP Server, поэтому отмечаем его для установки так же. Соглашаемся с установкой компонент. Нажимаем Next.

server_manager_add_role_dhcp_server

На экране Features предлагается выбрать дополнительные компоненты. На контроллере домена ничего экстраординарного обычно не требуется, поэтому нажимаем Next.

server_manager_add_role_and_features_wizard2

На завершающих этапах подготовки к установке, на вкладке AD DS, мастер даст нам некоторые пояснения, а именно, в случае, если основной контроллер будет не доступен, то рекомендуется в одном домене держать как минимум два контроллера.

Службы Active Directory Domain Services требуют установленного в сети DNS-сервера. В случае если он не установлен, то роль DNS Server будет предложена для установки.

Так же, службы Active Directory Domain Services требуют установки дополнительных служб пространства имен, файловой и DFS репликации (DFS Namespace, DFS Replication, File Replication). Нажимаем Next.

server_manager_AD_DS

На последнем экране Confirm installation selection (Подтверждение устанавливаемых компонентов), можно экспортировать конфигурацию в xml-фаил, который поможет быстро установить еще один сервер с идентичными настройками. Для этого потребуется на новом сервере, используя PowerShell, ввести следующую команду:

или если требуется задать новое имя серверу, набираем:

В конце нажимаем Install. Дожидаемся окончания процесса установки.

server_manager_confirm_installation_selection

Шаг 2: Установка первого контроллера домена. Настройка служб Active Directory, DNS, DHCP.

Теперь нажимаем на значок треугольника с восклицательным знаком и выбираем сначала Promote this server to domain controller (Повысить этот сервер до контроллера домена). Позже запустим процесс развертывания DHCP-сервера.

server_manager_promote_to_domain_controller

Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Доступно, три варианта развертывания, если:

Add a domain controller to an existing domain - добавить дополнительный контроллер домена в существующем домене, используется для резервного или филиального домена.

Выбираем вариант Add New Forest, задаем корневое имя домена, нажимаем Next.

server_manager_add_new_forest

На следующей вкладке можно задать функциональный уровень домена и леса (по умолчанию 2012R2), снять или отметить для установки DNS Server, и задать пароль для режима восстановления службы каталогов (DSRM). Укажем только пароль для DSRM и нажмем Далее.

server_manager_domain_controller_option

На следующем шаге DNS Options мастер ругнется, на то, что делегирование для этого DNS-сервера создано не было, потому что не найдена дочерняя зона или запущенный DNS-сервер. Что не удивительно, т.к. роль DNS Server у нас создается в процессе. Нажимаем Next.

server_manager_dns_options

Далее в Addional Optional соглашаемся с NetBIOS именем, которое предлагает нам система, жмем Next.

server_manager_verify_netbios

В разделе Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.

server_manager_paths

На следующем этапе Review Options отображается сводная информация по настройке. Кнопка View Script, позволяет посмотреть Powershell скрипт, при помощи которого, в будущем можно будет произвести настройку доменных служб Active Directory. Нажимаем Next.

server_manager_ad_ds_review_options

server_manager_ad-ds_install_prerequisites_check

После перезагрузки, снова заходим в Server Manager -> Dashboard и запускаем пиктограмму треугольника с восклицательным знаком и выбираем там Complete DHCP Configuration (Завершение конфигурации DHCP).

server_manager_dhcp_configurel

Запустится мастер по конфигурированию DHCP, который нам сообщит, что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.

server_manager_dhcp_post_install_wizard

На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.

server_manager_authorize_dhcp_server

Если видим, что Create Security Group - Done и Authorizing DHCP Server - Done, то процесс завершился успешно, нажимаем Close.

Теперь создадим обратную зону в DNS. Обратная зона, позволяет выполнить разрешение FQDN-имен хостов по их IP-адресам. В процессе добавления ролей AD и DNS по умолчанию не создаются, поскольку предполагается, что в сети может существовать другой DNS-сервер, контролирующий обратную зону. Поэтому создадим ее сами, для этого переходим в диспетчер DNS (DNS Manager), на вкладку Reverse Lookup Zones, кликаем правой кнопкой и выбираем New Zone.

dns_manager

Запустится мастер DNS-зоны. Соглашаемся с параметрами по умолчанию, а именно нам предлагается создать основную зону которая будет хранится на этом сервере (Primary Zone) и будет интегрирована в Active Directory (Store the zone in Active Directory..). Нажимаем Next.

На следующем экране, предлагается выбрать как зона будет реплицироваться, обмениваться данными с другими зонами расположенными на контроллерах и DNS-серверах. Возможны следующие варианты:

Для всех DNS-серверов расположенных на контроллере домена в этом лесу (То all DNS servers running on domain controllers in this forest). Репликации во всем лесу Active Directory включая все деревья доменов.

Для всех DNS-серверов расположенных на контроллере домена в этом домене (То all DNS servers running on domain controllers in this domain). Репликация внутри текущего домена и его дочерних доменов.

Для всех контроллеров домена в этом домене (То all domain controllers in this domain). Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.

На все контроллеры домена в указанном разделе каталога приложений (To all domain controllers specified in the scope of this directory partition). Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога. Подробнее.

dns_zone_replication_scope

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

dns_network_ID

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

dns_dynamic_updates

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS - это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

dns_forwarders_properties

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

dns_edit_forwarders

Теперь настроим службу DHCP. Запускаем оснастку.

dhcp_manager1

Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

dhcp_manager_scope_name

Далее укажем начальный и конечный адрес диапазона сети.

dhcp_manager_range_of_the_scope

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

dhcp_manager_exclusions_delay

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

dhcp_manager_lease_duration

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.

dhcp_manager_add_gateway

dhcp_manager_domain_and_dns

dhcp_manager_activate_scope

Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

dhcp_ad_account

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу "DnsUpdateProxy". Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

DNSUpdateProxy-account

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

dhcp_ipv4_advanced

Нажимаем Credentials и указываем там нашего пользователя DHCP.

DNSUpdateProxy-credentials

Нажимаем ОК, перезапускаем службу.

dhcp_service_restart

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум второй и последующий контроллеры домена.

date

30.04.2013

directory

Windows Server 2012

comments

Комментариев пока нет

По умолчанию Windows Server 2012 устанавливается в режиме Server Core (без графического интерфейса и графических инструментов управления). В такой конфигурации ОС достигается минимальное потребление системных ресурсов (памяти, процессорного времени) под нужды самой ОС, а за счет меньшего количества кода, сокращается количество уязвимостей и поверхность атаки потенциальным злоумышленникам. Управлять таким сервером возможно через командную строку или удаленно, с помощью различных консолей.

В статье мы покажем как развернуть контроллер домена на Windows Server 2012 с помощью команд Powershell, предоставляющего мощные возможности автоматизации разворачивания контроллеров домена на Windows Server 2012.

Как вы, вероятно, помните Microsoft решило отказаться от привычной многи администраторам команды DCPROMO, позволяющий повысить (да и понизить тоже) рядовой сервер до уровня контроллера домена, заменив функционал командлетами Powershell.

Нас интересуют следующие команды PoSh:

  • Add-WindowsFeature AD-Domain-Services – установка роли ADDS (Active Directory Domain Service)
  • Install-ADDSForrest – установка нового леса (первый контроллер домена в лесу)
  • Install-ADDSDomain – установка контролера домена в существующем лесу

Ниже мы разберем два сценария: установка первого контроллера в новом лесу AD и добавление дополнительного контроллера домена в существующий домен.

В обоих случаях в первую очередь на сервере требуется установить роль ADDS (Active Directory Domain Service). Powershell команда, выполняющая данную операцию выглядит так:

Установка роли AD в win2012 с помощью powershell
Установка дополнительного контроллера в существующем домене AD

Предположим, что домен AD уже развернут, и от нас требуется установить в нем дополнительный контроллер домена на Windows Server 2012.

Сначала следует импортировать модуль развёртывания ADDS

Команда PoSh Install-ADDSDomainController разворачивает новый контроллер домена со следующими параметрами:

  • Путь к базе: C:\Windows\NTDS
  • Каталог с логами: C:\Windows\NTDS
  • Каталог SYSVOL: C:\Windows\SYSVOL
  • RODC контроллер: Нет
  • Глобальный каталог (Global Catalog): Да
  • Сервер DNS: Да

Однако проблема в том, что в подавляющем большинстве случаев такие параметры установки нового контроллера домена системного администратора не устроят.

Модифицированная команда установки дополнительного контроллера домена может выглядеть так (предполагаем, что описывать указанные параметра смысла не имеет, т.к. их названия говорят сами за себя).

Установка нового контроллера домена в windows 2012 - posh

После окончания установки нового контролера домена потребуется перезагрузить сервер, выполнив команду:

Перезагрузка сервера windows 2012

Установка первого контроллера в новом домене с помощью Powershell

В том случае, если домен еще не развернут, для его установки нам понадобится команда PoSh Install-ADDSForest, которая создает первый контроллер в новом лесу Active Directory.

Установка леса AD в windows 2012

В процессе выполнения команды необходимо будет указать пароль режима восстановления Active Directory (Safe Mode Recovery password).

После окончания установки сервер необходимо перезагрузить.

Еще несколько полезных команд PowerShell для администратора контроллера домена AD

Переименовать имя первого сайта AD (по умолчанию это Default-First-Site-Name):

Добавить подсеть в сайт AD:

Получить список всех подсетей:

Удалить лес и домен (предполагается, что в домене остался один последний AC):

Читайте также: