Добавление домена в существующий лес windows 2012
Обновлено: 03.07.2024
В этой статьe мы разобрали как развернуть контроллер домена на базе Windows Server 2012 R2. Теперь наша задача развернуть дополнительный контроллер домена, который будет подстраховкой в случае если основной выйдет из строя.
Итак мы имеем в работе:
- Основной контроллер домена Windows Server 2012 R2 (DC1, jakonda.local, 192.168.0.2) с развернутыми службами AD DS, DNS, DHCP.
- Развернуть дополнительный контроллер домена на базе Windows Server 2012 R2, выполнить предварительную настройку системы.
- Поднять на дополнительном контроллере роли AD DS, DNS, DHCP.
- Настроить репликацию данных.
- Выполнить настройку работы DHCP сервера совместно с основным контроллером домена.
Проделываться все действия будут на виртуальной машине.
Установка Windows Server 2012 R2 и подготовительная настройка системы
Устанавливаем Windows Server 2012 R2 Standart with GUI. После установки системы обязательно:
- Устанавливаем все имеющиеся обновления на текущий момент.
- Выставляем корректную временную зону (+03:00 Moscow, St. Petersburg, Volgograd).
- Изменяем имя системы на (прим. DC2).
- Указываем в системе статический IP-адрес (в моем случае это будет 192.168.0.3), в качестве предпочитаемого DNS сервера указываем адрес DNS сервера на основном контроллере домена DC1 (192.168.0.2) и в качестве альтернативного DNS сервера указываем адрес который мы присвоили на текущем сервере DC2 (192.168.0.3).
- Вводим систему в имеющийся домен jakonda.local.
На этом подготовка системы завершена, можно приступать к развертыванию необходимых ролей.
Поднимаем роли AD DS + DNS + DHCP на дополнительном контроллере домена
Переходим во вкладку DNS, в поле Search вбиваем IP-адрес нашего дополнительного сервера (в моем случае 192.168.0.3), сервер должен появится в списке найденных, выделяем его и нажимаем кнопку переместить (>). Нажимаем ОК.
После добавления сервера, если перейти в All Servers, то мы увидим что у нас там теперь два сервера. Теперь можно из основного сервера добавлять, настраивать роли на другом сервере.
Добавляем новую роль на дополнительном сервере DC2. Переходим Server Manager — Manage — Add Roles and Features.
Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов).Нажимаем Next.
Выбираем Select a server from the server pool и выбираем сервер из списка, т.к. мы настраиваем дополнительный сервер, то выделяем dc2.jakonda.local и нажимаем Next.
Далее все как и в статье по развертыванию контроллера домена:
- Отмечаем галочкой роль Active Directory Domain Services, в подтверждающем запросе добавления роли и компонентов, необходимых для установки AD нажимаем Add Features.
- В выборе установки дополнительных компонентов, ничего не выбираем.
- На завершающих этапах установки нажимаем Next и Install.
По завершении установки роли AD DS в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Promote this server to a domain controller (Повысить этот сервер до контроллера домена). Запустится мастер конфигурирования AD DS для сервера DC2.
Т.к. мы разворачиваем дополнительный контроллер домена, то нужно добавить его в уже существующий домен. Выбираем Add a domain controller to an existing domain. Автоматические подставится название текущего домена (jakonda.local) и какую доменную учетную запись использовать при выполнении данной операции. Нажимаем Next.
Проверяем установлены ли галочки (Domain Name System (DNS) Server, Global Catalog (GC)), в пункте Site name оставляем значение Default-First-Site-Name и задаем пароль для восстановления служб каталогов. Нажимаем Next.
Предупреждение о том что не может быть создано делегирование разворачиваемого DNS сервера, игнорируем. Нажимаем Next.
В дополнительных опциях в пункте Replicate from (Репликация из) выбираем основной контроллер домена DC1.jakonda.local. Это мы указываем дополнительному контроллеру домена откуда производить репликацию даннных AD, DNS. Нажимаем Next.
Пути к каталогам оставляем по-умолчанию, далее просматриваем сводную информацию по конфигурации AD DS. Нажимаем Next.
Если проверка выполнена успешно, то нажимаем Install.
После того пройдет установка, если зайти на DC2, то увидим что роли AD, DNS подняты, произведена репликация из DC1.
Так же можно с помощью командной строки принудительно запустить процесс репликации, с помощью утилиты repadmin:
В этом разделе описывается, как добавить дочерние домены и домены дерева в существующий лес Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell.
Процесс добавления дочернего домена и домена дерева
На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать домен в существующем лесу.
Добавление дочернего домена и домена дерева с помощью Windows PowerShell
Командлет ADDSDeployment | Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Курсивом аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.) |
---|---|
Install-AddsDomain | -SkipPreChecks |
-NewDomainName
-ParentDomainName
-safemodeadministratorpassword
Учетные данные
-DomainType
Аргумент -credential требуется только в том случае, если текущий пользователь не является членом группы "Администраторы предприятия". Аргумент -NewDomainNetBIOSName требуется, если вы хотите изменить имя из 15 символов, автоматически создаваемое на основе префикса доменного имени DNS, или если длина имени превышает 15 символов.
Развертывание
Конфигурация развертывания
На следующем снимке экрана показаны параметры добавления дочернего домена:
На следующем снимке экрана показаны параметры добавления домена дерева:
Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.
В этом разделе совместно рассматриваются две отдельные операции: повышение роли дочернего домена и повышение роли домена дерева. Единственное различие между ними заключается в выбираемом для создания типе домена. Все остальные действия идентичны.
Чтобы создать дочерний домен, установите переключатель в положение Добавить домен в существующий лес и выберите тип Дочерний домен. Введите или выберите имя родительского домена. Затем введите имя нового домена в поле Новое имя домена. Укажите допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям к DNS-имени домена.
Чтобы создать домен дерева в существующем лесу, установите переключатель в положение Добавить домен в существующий лес и выберите тип Домен дерева. Введите имя корневого домена леса, а затем введите имя нового домена. Укажите допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям к DNS-имени домена.
Мастер настройки доменных служб Active Directory в диспетчере сервера запрашивает учетные данные домена, если текущие учетные данные не для этого домена. Чтобы указать учетные данные для операции повышения роли, нажмите кнопку Изменить.
Командлет и аргументы модуля Windows PowerShell ADDSDeployment:
Параметры контроллера домена
На странице Параметры контроллера домена приведены параметры нового контроллера домена. Настраиваемые параметры контроллера домена включают в себя DNS-сервер и Глобальный каталог, причем нельзя назначить контроллер домена только для чтения первым контроллером нового домена.
Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Также необходимо указать режим работы домена. Режим работы по умолчанию — Windows Server 2012. Вы можете выбрать любое другое значение не ниже текущего режима работы леса.
Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.
Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена:
Имя сайта уже должно существовать на момент ввода в качестве значения аргумента sitename. Командлет install-AddsDomainController не создает имена сайтов. Для создания сайтов можно использовать командлет new-adreplicationsite.
Если аргументы командлета Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.
Аргумент SafeModeAdministratorPassword действует особым образом.
Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.
Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.
Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:
Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.
Модуль ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера такой возможности нет. Этот аргумент имеет значение только в том случае, если служба DNS-сервера уже была установлена до настройки контроллера домена:
Параметры DNS и учетные данные для делегирования DNS
На странице Параметры DNS можно указать альтернативные учетные данные администратора DNS для делегирования.
При установке нового домена в существующем лесу, то есть если вы выбрали установку DNS на странице Параметры контроллера домена, никакие параметры настроить нельзя — делегирование выполняется автоматически, и отменить его нельзя. Вы можете указать альтернативные учетные данные администратора DNS с правами на обновление этой структуры.
Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры DNS:
Дополнительные сведения о делегировании DNS см. в разделе Общее представление о делегировании зоны.
Дополнительные параметры
Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.
Если аргументы Install-AddsDomain не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. Аргумент DomainNetBIOSName действует особым образом.
Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName не превышает 15 символов, повышение роли продолжает выполняться с использованием автоматически созданного имени.
Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName превышает 16 символов, происходит сбой повышения роли.
Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной не более 15 символов, повышение роли продолжает выполняться с использованием указанного имени.
Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной более 16 символов, происходит сбой повышения роли.
Аргумент Дополнительных параметров командлета ADDSDeployment таков:
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути:
"Просмотреть параметры" и "Просмотреть скрипт"
На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Например:
Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword (который намеренно опущен в скрипте). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.
Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSForest. Это позволит просмотреть явные и неявные значения аргументов командлета.
Проверка готовности к установке
Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового домена доменных служб Active Directory конфигурацией сервера.
При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.
На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.
Подробнее о проверках предварительных требований см. в разделе Проверка предварительных требований.
При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:
Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.
Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.
Установка
Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:
Чтобы установить новый домен Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:
Список обязательных и необязательных аргументов см. в разделе Добавление дочернего домена и домена дерева с помощью Windows PowerShell. Выполнение командлета Install-addsdomain включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domaintype, -newdomainname, -parentdomainname и -credential. Обратите внимание на то, что командлет Install-ADDSDomain, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:
Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.
Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.
Результаты
На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.
В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:
1) Основной контроллер домена, ОС - Windows Server 2012 R2 with GUI, сетевое имя: dc1.
2) Дополнительный контроллер домена (на случай выхода из строя основного), ОС - Windows Server 2012 R2 Core, сетевое имя: dc2.
3) Контроллер домена только для чтения ( RODC ), находящийся в филиале компании за vpn-каналом, ОС - Windows Server 2012 R2 Core, сетевое имя: dc3.
Данное руководство подойдет для внедрения доменной структуры в небольшой компании и пригодится начинающим администраторам Windows.
Шаг 1: Установка первого контроллера домена. Подготовка.
Перед запуском мастера ролей, серверу необходимо задать сетевое имя и настроить ip-адрес. Сетевое имя - dc1. Настройки TCP/IP укажем как на скриншоте ниже.
Запускаем диспетчер сервера - Server Manager -> Dashboard -> Configure this local server -> Add Role and Features Wizard. На первом экране мастер нам сообщает, что перед тем как продолжить, должен быть установлен сложный пароль администратора, в настройках сети указан статический ip-адрес, установлены последние обновления. Если все это сделано, то нажимаем Next.
На следующем экране, выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен исключительно для установки роли удаленных рабочих столов.
На экране Select Destination server диспетчер предлагает нам, выбрать сервер из пула или расположенный на VHD-диске. Поскольку у нас пока только один локальный сервер, то нажимаем Next.
Выбираем Active Directory Domain Services (Доменные службы Active Directory), после чего появится окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features и затем Next.
Обычно, на серверах с AD DS имеет смысл, параллельно разворачивать DHCP Server, поэтому отмечаем его для установки так же. Соглашаемся с установкой компонент. Нажимаем Next.
На экране Features предлагается выбрать дополнительные компоненты. На контроллере домена ничего экстраординарного обычно не требуется, поэтому нажимаем Next.
На завершающих этапах подготовки к установке, на вкладке AD DS, мастер даст нам некоторые пояснения, а именно, в случае, если основной контроллер будет не доступен, то рекомендуется в одном домене держать как минимум два контроллера.
Службы Active Directory Domain Services требуют установленного в сети DNS-сервера. В случае если он не установлен, то роль DNS Server будет предложена для установки.
Так же, службы Active Directory Domain Services требуют установки дополнительных служб пространства имен, файловой и DFS репликации (DFS Namespace, DFS Replication, File Replication). Нажимаем Next.
На последнем экране Confirm installation selection (Подтверждение устанавливаемых компонентов), можно экспортировать конфигурацию в xml-фаил, который поможет быстро установить еще один сервер с идентичными настройками. Для этого потребуется на новом сервере, используя PowerShell, ввести следующую команду:
или если требуется задать новое имя серверу, набираем:
В конце нажимаем Install. Дожидаемся окончания процесса установки.
Шаг 2: Установка первого контроллера домена. Настройка служб Active Directory, DNS, DHCP.
Теперь нажимаем на значок треугольника с восклицательным знаком и выбираем сначала Promote this server to domain controller (Повысить этот сервер до контроллера домена). Позже запустим процесс развертывания DHCP-сервера.
Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Доступно, три варианта развертывания, если:
Add a domain controller to an existing domain - добавить дополнительный контроллер домена в существующем домене, используется для резервного или филиального домена.
Выбираем вариант Add New Forest, задаем корневое имя домена, нажимаем Next.
На следующей вкладке можно задать функциональный уровень домена и леса (по умолчанию 2012R2), снять или отметить для установки DNS Server, и задать пароль для режима восстановления службы каталогов (DSRM). Укажем только пароль для DSRM и нажмем Далее.
На следующем шаге DNS Options мастер ругнется, на то, что делегирование для этого DNS-сервера создано не было, потому что не найдена дочерняя зона или запущенный DNS-сервер. Что не удивительно, т.к. роль DNS Server у нас создается в процессе. Нажимаем Next.
Далее в Addional Optional соглашаемся с NetBIOS именем, которое предлагает нам система, жмем Next.
В разделе Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.
На следующем этапе Review Options отображается сводная информация по настройке. Кнопка View Script, позволяет посмотреть Powershell скрипт, при помощи которого, в будущем можно будет произвести настройку доменных служб Active Directory. Нажимаем Next.
После перезагрузки, снова заходим в Server Manager -> Dashboard и запускаем пиктограмму треугольника с восклицательным знаком и выбираем там Complete DHCP Configuration (Завершение конфигурации DHCP).
Запустится мастер по конфигурированию DHCP, который нам сообщит, что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.
На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.
Если видим, что Create Security Group - Done и Authorizing DHCP Server - Done, то процесс завершился успешно, нажимаем Close.
Теперь создадим обратную зону в DNS. Обратная зона, позволяет выполнить разрешение FQDN-имен хостов по их IP-адресам. В процессе добавления ролей AD и DNS по умолчанию не создаются, поскольку предполагается, что в сети может существовать другой DNS-сервер, контролирующий обратную зону. Поэтому создадим ее сами, для этого переходим в диспетчер DNS (DNS Manager), на вкладку Reverse Lookup Zones, кликаем правой кнопкой и выбираем New Zone.
Запустится мастер DNS-зоны. Соглашаемся с параметрами по умолчанию, а именно нам предлагается создать основную зону которая будет хранится на этом сервере (Primary Zone) и будет интегрирована в Active Directory (Store the zone in Active Directory..). Нажимаем Next.
На следующем экране, предлагается выбрать как зона будет реплицироваться, обмениваться данными с другими зонами расположенными на контроллерах и DNS-серверах. Возможны следующие варианты:
Для всех DNS-серверов расположенных на контроллере домена в этом лесу (То all DNS servers running on domain controllers in this forest). Репликации во всем лесу Active Directory включая все деревья доменов.
Для всех DNS-серверов расположенных на контроллере домена в этом домене (То all DNS servers running on domain controllers in this domain). Репликация внутри текущего домена и его дочерних доменов.
Для всех контроллеров домена в этом домене (То all domain controllers in this domain). Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.
На все контроллеры домена в указанном разделе каталога приложений (To all domain controllers specified in the scope of this directory partition). Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога. Подробнее.
Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.
На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.
На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.
Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.
Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.
Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.
Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.
Еще одна полезная опция, которая обычно настраивается в DNS - это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.
Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.
Теперь настроим службу DHCP. Запускаем оснастку.
Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.
Далее укажем начальный и конечный адрес диапазона сети.
Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.
На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.
Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.
Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.
Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.
Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу "DnsUpdateProxy". Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.
Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.
Нажимаем Credentials и указываем там нашего пользователя DHCP.
Нажимаем ОК, перезапускаем службу.
Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум второй и последующий контроллеры домена.
По умолчанию Windows Server 2012 устанавливается в режиме Server Core (без графического интерфейса и графических инструментов управления). В такой конфигурации ОС достигается минимальное потребление системных ресурсов (памяти, процессорного времени) под нужды самой ОС, а за счет меньшего количества кода, сокращается количество уязвимостей и поверхность атаки потенциальным злоумышленникам. Управлять таким сервером возможно через командную строку или удаленно, с помощью различных консолей.
В статье мы покажем как развернуть контроллер домена на Windows Server 2012 с помощью команд Powershell, предоставляющего мощные возможности автоматизации разворачивания контроллеров домена на Windows Server 2012.
Как вы, вероятно, помните Microsoft решило отказаться от привычной многи администраторам команды DCPROMO, позволяющий повысить (да и понизить тоже) рядовой сервер до уровня контроллера домена, заменив функционал командлетами Powershell.
Нас интересуют следующие команды PoSh:
- Add-WindowsFeature AD-Domain-Services – установка роли ADDS (Active Directory Domain Service)
- Install-ADDSForrest – установка нового леса (первый контроллер домена в лесу)
- Install-ADDSDomain – установка контролера домена в существующем лесу
Ниже мы разберем два сценария: установка первого контроллера в новом лесу AD и добавление дополнительного контроллера домена в существующий домен.
В обоих случаях в первую очередь на сервере требуется установить роль ADDS (Active Directory Domain Service). Powershell команда, выполняющая данную операцию выглядит так:
![Установка роли AD в win2012 с помощью powershell]()
Установка дополнительного контроллера в существующем домене AD
Предположим, что домен AD уже развернут, и от нас требуется установить в нем дополнительный контроллер домена на Windows Server 2012.
Сначала следует импортировать модуль развёртывания ADDS
Команда PoSh Install-ADDSDomainController разворачивает новый контроллер домена со следующими параметрами:
- Путь к базе: C:\Windows\NTDS
- Каталог с логами: C:\Windows\NTDS
- Каталог SYSVOL: C:\Windows\SYSVOL
- RODC контроллер: Нет
- Глобальный каталог (Global Catalog): Да
- Сервер DNS: Да
Однако проблема в том, что в подавляющем большинстве случаев такие параметры установки нового контроллера домена системного администратора не устроят.
Модифицированная команда установки дополнительного контроллера домена может выглядеть так (предполагаем, что описывать указанные параметра смысла не имеет, т.к. их названия говорят сами за себя).
После окончания установки нового контролера домена потребуется перезагрузить сервер, выполнив команду:
Установка первого контроллера в новом домене с помощью Powershell
В том случае, если домен еще не развернут, для его установки нам понадобится команда PoSh Install-ADDSForest, которая создает первый контроллер в новом лесу Active Directory.
В процессе выполнения команды необходимо будет указать пароль режима восстановления Active Directory (Safe Mode Recovery password).
После окончания установки сервер необходимо перезагрузить.
Еще несколько полезных команд PowerShell для администратора контроллера домена AD
Переименовать имя первого сайта AD (по умолчанию это Default-First-Site-Name):
Добавить подсеть в сайт AD:
Получить список всех подсетей:
Удалить лес и домен (предполагается, что в домене остался один последний AC):
Читайте также: