Домен или нет windows 2012
Обновлено: 04.07.2024
Данная статья предназначена для тех, кто искал подробное и понятное руководство о том, как произвести базовую настройку Windows Server 2012 R2 и добавить сервер в домен.
Мы будем рассматривать тот случай, когда у вас уже есть сервер с установленной на нем операционной системой Windows Server 2012 R2.
Подробно о том, как установить Windows Server 2012 R2, вы можете прочитать в моем руководстве “Установка Windows Server 2012 R2”.
Узнать о том, как установить Active Directory Domain Services на Windows Server 2012 R2, вы можете, прочитав “Установка Active Directory Domain Services на Windows Server 2012 R2”.
Рекомендую всегда использовать англоязычные издания Windows Server. Как показывает практика, оригинальные (английские) версии Windows работают стабильнее, к тому же вам будет проще общаться на одном языке с профессионалами в случае возникновения проблем или при желании обменяться опытом.
Присвоим серверу корректное имя в соответствии со стандартами вашей организации.
Заходим в систему под учетной записью с правами администратора.
На клавиатуре нажимаем сочетание клавиш “Win” и “x”, затем в открывшемся меню выбираем “System”.
Далее в окне “System” в разделе “Computer name, domain, and workgroup settings” нажимаем на кнопку “Change settings”.
В окне “System Properties” на вкладке “Computer Name” нажимаем на кнопку “Change”.
Настоятельно рекомендую заранее продумать, как будут называться сервера в вашей организации.
Далее указываем новое имя сервера в поле “Computer Name” и нажимаем на кнопку “OK”.
Система предупредит о том, что для применения новых настроек необходимо перезагрузить сервер.
Нажимаем на кнопку “OK”.
Теперь разрешим доступ к рабочему столу сервера по протоколу RDP.
Переходим на вкладку “Remote” и выбираем “Allow remote connections to this computer”.
Нажимаем на кнопку “OK”.
Нажимаем на кнопку “Apply”.
Теперь система предложит перезагрузить сервер для того чтобы новые настройки вступили в силу.
Нажимаем на кнопку “Restart Now”.
Укажем корректный часовой пояс.
Заходим в систему под учетной записью с правами администратора.
На клавиатуре нажимаем сочетание клавиш “Win” и “x”, затем в открывшемся меню выбираем “Control Panel”.
Выбираем “Set the time and date”.
Далее нажимаем на кнопку “Change time zone”.
Выбираем часовой пояс, в котором находится сервер, и нажимаем на кнопку “OK”.
В окне “Date and Time” нажимаем на кнопку “OK”.
Теперь укажем региональные стандарты.
Возвращаемся в “Control Panel” и выбираем “Change date, time, or number formats”.
В меню “Format” выбираем страну, в которой находится сервер, и переходим на вкладку “Location”.
В поле “Home location” выбираем страну, в которой находится сервер, и переходим на вкладку “Administrative”.
Далее нажимаем на кнопку “Copy settings”.
Ставим галочку на пункте “Welcome screen and system accounts” и на пункте “New user accounts”.
Нажимаем на кнопку “OK”.
Далее нажимаем на кнопку “Change system locale”.
В поле “Current system locale” выбираем страну, в которой находится сервер, и нажимаем на кнопку “OK”.
Система предложит перезагрузить сервер для того чтобы новые настройки вступили в силу.
Нажимаем на кнопку “Restart Now”.
Далее сервер начнет перезагружаться.
Теперь необходимо прописать статический IP-адрес в настройках сетевого подключения.
После перезагрузки сервера заходим в систему под учетной записью с правами администратора.
На клавиатуре нажимаем сочетание клавиш “Win” и “x”, затем в открывшемся меню выбираем “Network Connections”.
Теперь нажимаем правой кнопкой мыши на сетевом подключении “Ethernet” и выбираем пункт “Properties”.
Выбираем “Internet Protocol Version 4” и нажимаем на кнопку “Properties”.
Далее выбираем пункт “Use the following IP address” и указываем свободный IP-адрес, маску подсети и шлюз. Обратите внимание, вы должны заранее понимать, как устроена ваша сеть и знать какие IP-адреса свободны.
В поле “Preferred DNS server” указываем IP-адрес вашего сервера DNS.
В данном руководстве указывается сервер DNS, который находится на контроллере домена.
Узнать о том, как установить Active Directory Domain Services на Windows Server 2012 R2, вы можете, прочитав “Установка Active Directory Domain Services на Windows Server 2012 R2”.
Нажимаем кнопку “OK”.
В окне “Ethernet Properties” нажимаем на кнопку “Close”.
Теперь добавим сервер в домен.
На клавиатуре нажимаем сочетание клавиш “Win” и “x”, затем в открывшемся меню выбираем “System”.
Далее в окне “System” в разделе “Computer name, domain, and workgroup settings” нажимаем на кнопку “Change settings”.
В окне “System Properties” на вкладке “Computer Name” нажимаем на кнопку “Change”.
Далее в поле “Domain”, указываем домен, в который необходимо добавить сервер, и нажимаем на кнопку “OK”.
Указываем логин и пароль от учетной записи, которая имеет права добавлять компьютеры в домен.
Например, такими правами обладает администратор домена.
Нажимаем на кнопку “OK”.
Сервер успешно добавлен в домен.
Нажимаем на кнопку “OK”.
Система предупредит о том, что для применения новых настроек необходимо перезагрузить сервер.
Нажимаем на кнопку “OK”.
В окне “System Properties” нажимаем на кнопку “Close”.
Теперь система предложит перезагрузить сервер для того чтобы новые настройки вступили в силу.
Нажимаем на кнопку “Restart Now”.
На контроллере домена в оснастке “Active Directory Users and Computers” можно увидеть сервер, который вы добавили в домен. Он появится в контейнере “Computers”.
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
1) Запись внесена т.к. DC3 в другой подсети. Для хождения пинга по имени (пункты 3 и 4 и 5 соответственно работают);2)
Настройка протокола IP для Windows
Ethernet adapter LAN:
Ethernet adapter WAN:
Туннельный адаптер isatap.xxx.local:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : xxx.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Настройка протокола IP для Windows
Ethernet adapter LAN:
Ethernet adapter WAN:
Туннельный адаптер isatap.grand.local:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : xxx.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : DC3
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : xxx.local
Ethernet adapter OpenVPN:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
Физический адрес. . . . . . . . . : 00-FF-C7-D3-39-96
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.99.100(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 27 октября 2016 г. 17:54:47
Срок аренды истекает. . . . . . . . . . : 27 октября 2017 г. 17:54:49
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 192.168.99.0
DNS-серверы. . . . . . . . . . . : 192.168.8.1
192.168.8.2
127.0.0.1
Основной WINS-сервер. . . . . . . : 192.168.8.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Ethernet:
DNS-суффикс подключения . . . . . : xxx.xx
Описание. . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-LM
Физический адрес. . . . . . . . . : 90-1B-0E-B6-E6-F1
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : xxx.xxx.xxx.xxx(Основной)
IPv4-адрес. . . . . . . . . . . . : xxx.xxx.xxx.xxx (Основной)
Маска подсети . . . . . . . . . . : xxx.xxx.xxx.xxx
Аренда получена. . . . . . . . . . : 27 октября 2016 г. 17:22:44
Срок аренды истекает. . . . . . . . . . : 28 октября 2016 г. 17:22:43
Основной шлюз. . . . . . . . . : xxx.xxx.xxx.xxx
DHCP-сервер. . . . . . . . . . . : xxx.xxx.xxx.xxx
IAID DHCPv6 . . . . . . . . . . . : xxx.xxx.xxx.xxx
DUID клиента DHCPv6 . . . . . . . : xxx.xxx.xxx.xxx
DNS-серверы. . . . . . . . . . . : xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.xxx.xx:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : xxx.xx
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер 6TO4 Adapter:
DNS-суффикс подключения . . . . . : xxx.xx
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : xxx.xxx.xxx.xxx(Основной)
Основной шлюз. . . . . . . . . : xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
IAID DHCPv6 . . . . . . . . . . . : xxx.xxx.xxx.xxx
DUID клиента DHCPv6 . . . . . . . : xxx.xxx.xxx.xxx
DNS-серверы. . . . . . . . . . . : xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
NetBios через TCP/IP. . . . . . . . : Отключен
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Всем добрый день. Хотелось бы рассказать о установке и конфигурировании Windows Server 2012 R2 Essentials. Эта статья не является призывом к повсеместной установке Windows или пропагандой продуктов Microsoft. Хотелось бы просто рассказать об интересном продукте и возможно кого-то данный продукт заинтересует и пригодится в работе. Статью я старался писать для неподготовленного читателя, поэтому минимум терминологии и максимум обобщения некоторых понятий.
Немножко о редакции Essentials
- Авторизация и аутентификация пользователей вашей сети (домен контроллер службы каталогов Active Directory)
- Файловое хранилище (роль файлового сервера)
- Удаленный доступ к корпоративной сети (VPN и DirectAccess сервер)
- Удаленный доступ к файловому хранилищу через Web-интерфейс (настроенный для этого IIS)
- Удаленный доступ к рабочем столам клиентских машин (шлюз удаленных рабочих столов)
- Резервное копирование клиентских машин (windows backup)
- Резервное копирование самого сервера (windows backup)
- Интеграция с облачными технологиями Microsoft (Office 365, Azure backup и т.д.)
- Консоль единой настройки Essentials, которая позволит настроить возможности описанные выше даже не подготовленному системному администратору.
Установка и первоначальная настройка
Установка данной ОС вполне стандартная процедура. Если вы хоть раз устанавливали Windows Vista /7/8/8.1, то вы без проблем установите и Essentials. Однако, если вы не устанавливали ни вышеперечисленных ОС ни любую из последних версий серверных ОС, то я рекомендую или довериться профессионалу или как минимум студенту второкурснику.
Единственное, что я бы рекомендовал в момент установки, если у вас один жёсткий диск, разбить его на два раздела. Т.е. сделать так чтобы после установки в системе был второй уже отформатированный жесткий диск. Безусловно это только рекомендация, вы сможете подготовить второй диск в последующем, однако придется переносить некоторые папки.
После первого входа в свежеустановленную ОС запустится мастер «Настройка Windows Server Essentials», который поможет произвести первоначальную настройку.
На первом шаге вам необходимо задать настройки даты и времени.
На втором шаге вам необходимо заполнить на английском языке название компании. Имя домена и имя сервера будут в таком случая сгенерированы автоматически, хотя конечно вы можете поменять их.
На следующем шаге вам необходимо заполнить имя администратора и задать его пароль.
На последнем шаге необходимо указать способ обновления операционной системы и нажать настроить
После этого запустится процесс, который произведет все необходимые первоначальные настройки. Это займет около 30 минут и потребует несколько перезагрузок. За это время ОС успеет в частности установить необходимые роли и настроить сервер в качестве домен контроллера для нового домена.
Настройка
Продукт весьма большой и обширный, я хотел бы рассказать о самых базовых возможностях настройки, такие как создание пользователей, настройка удаленного доступа, создание папок, подключение клиентов.
Вся настройка происходит в панели мониторинга, доступ к ней есть с рабочего стола, панели быстрого запуска и стартового экрана.
Создание пользователей
При первом запуске данной панели вам откроется вкладка установка, на которой можно выполнить ряд задач по настройке сервера.
Я начну с добавления пользователей. Щелкаем ссылку для добавления учетных записей.
Заполняем поля формы и нажимаем далее
Выбираем уровень доступа к общим папкам, которые были созданы. На начальном этапе существует лишь одна – Организация. В дальнейшем вы можете менять разрешения на доступ как из свойств пользователя, так и из свойств папки.
Далее устанавливаем, что будет доступно для пользователя удаленно. Про удаленный доступ расскажу чуть позже.
Учетная запись создана. Жмем закрыть.
Подобным образом можно создать множество учетных записей. Безусловно, Вы можете пользоваться и привычным и знакомым для вас интерфейсом Active Directory Users and Computers, но в таком случае выдавать разрешения на доступ вам придется ручками.
Добавление папок сервера
Для добавление папок существует другой мастер, который поможет и создать папку на диске, и общий доступ для нее настроить, и разрешения выдать. Для его запуска необходимо щелкнуть соответствующую ссылку в панели мониторинга.
В открывшемся окне мастера вводим название. Можно изменить расположение и добавить описание. Нажимаем далее.
На следующей странице указываем необходимые разрешения. При необходимости делаем ее недоступной при удаленном доступе.
С последнего шага данного мастера можно запустить мастер настройки архивации. Нажимаем закрыть.
Настройка удаленного доступа
Один, наверное, из самых сложных этапов настройки Windows Server 2012R2 Essentials. Настройка так же происходит с помощью мастера. Мастер традиционно запускается из панели мониторинга.
После этого открывается новый мастер настройки доменного имени. Нажимаем далее.
Мастер предложит ввести имя внешнего домена или создать новый. Для собственного домена Вам понадобится сертификат, поэтому рассмотрим тут вариант настройки с использованием домена Microsoft. Выбираем другое имя домена и щелкаем далее.
Рассмотрим вариант с доменом компании Microsoft.
Тут попросит авторизоваться в Microsoft Account.
После авторизации принимаем заявление о конфиденциальности.
Вводим имя домена и проверяем доступность, жмем настроить.
Ну что с именем домена разобрались. Продолжаем — далее.
Выбираем какие именно возможности будут доступны.
Выбираем будет ли доступен удаленный доступ для текущих пользователей.
C данного веб сайта есть возможность доступа к общим папкам и доступ к рабочим столам пользователей.
Подключение рабочих станций
Если мы и на этот раз откроем панель мониторинга и перейдем на страницу подключение компьютеров, то увидим там лишь инструкцию к действию
Выбираем выполнить.
Принимаем лицензию и ждем.
Вводим имя пользователя и пароль пользователя данного компьютера или администратора. Я вводил учетку пользователя.
В данной статье пошагово со скриншотами рассмотрим самые базовые настройки Windows Server 2012 R2 (любых версий: Standard, Datacenter, Essentials). В них входит настройка AD, DNS, DHCP, а так же лицензирование терминального сервера (настройка сервера RDP). Эти настройки как правило подходят для большинства задач и являются стандартными для использования их в Windows Server.
С процессом установки и самой начальной настройки как активация сервера, и получение обновлений Windows Server 2012 R2 можете ознакомиться в нашей прошлой статье.
1) Итак, начнем. Для начала нам нужно задать имя сервера, чтобы оно было в последующем корректно указано в различных настройках для подключений. Зайдем в меню "Свойство системы" => Изменить параметры => Далее в окне "Имя компьютера" нажимаем кнопку "Изменить" => После в строке ввода "Имя сервера" задаем имя в произвольном порядке. У нас оно будет просто Server.
Чтобы настройки применились перезагрузите Ваш компьютер.
2) Следующая, тоже очень важная процедура - это задать локальный статический IP адрес серверу. Для быстроты переходим в меню "Пуск", далее в поиске вводим ncpa.cpl.
На Вашем основном сетевом адаптере щелкаем правой кнопкой мыши => Свойства
Выделяем протокол IPv4 и нажимаем "Свойства".
И задаете серверу статический IP адрес в зависимости от Вашей сети. (далее в статье рассмотрим настройку DHCP, чтобы Ваш сервер сам мог раздавать свой диапазон IP адресов). Чтобы посмотреть текущий локальный IP адрес и шлюз - Вам нужно открыть командную строку, в поиске введите "Cmd" => Далее введите команду "ipconfig". Как DNS сервера в предпочтительных можем оставить IP адрес Вашего шлюза (роутера, маршутизатора), а как альтернативный адрес Google - 8.8.8.8
После применяете настройки и проверяете Ваше соединение с интернетом, если все работает, значит Ваши настройки корректные.
3) С настройками IP адресов пока закончено, перейдем к добавлению ролей и компонентов. Заходим в диспетчер серверов. Меню "Панель мониторинга" => Добавить роли и компоненты
Переходим в пункт "Тип установки" и выбираем "Установка ролей или компонентов".
Выбираете Ваш сервер в меню выбора серверов.
В ролях сервера мы в данном случае выбираем самые стандартные роли, которые используются как правило в большинстве задач. Можете сделать так же.
В компонентах оставляем все по стандарту. За исключением того, если у Вас сервер будет работать по Wi-FI, т.е в нем будет какой-либо Wi-Fi адаптер, то без компонента "Службы беспроводной локальной сети" - беспроводное соединение работать не будет. Отмечаете галкой его, если Вам требуется такой функционал.
Далее доходим до меню "Службы ролей" для удаленных рабочих столов. Отмечаем галкой то, что нужно для работы с RDP.
В службах "Удаленный доступ" по желанию можете выбрать работу с VPN и прокси-сервером, это как правило многим не нужно. На Ваш выбор.
Доходим до пункта "Подтверждение", отмечаем галкой автоматический перезапуск после установки и жмем "Установить". Ожидаем пока все установится.
4) Теперь переходим к настройкам тому, что мы только что устанавливали. В конкретном случае к настройкам DNS. Заходим снова в меню "Диспетчер серверов" => Нажимаем на флажок => И выбираем пункт "Повысить роль этого сервера до контроллера домена".
В конфигурации развертывания отмечаем пункт "Добавить новый лес" и придумываем имя корневого домена. В вашем случае это может быть абсолютно любое название, которое Вам понравится, мы назовем как пример "soft.com".
В параметрах контроллера придумываем Ваш пароль для Вашего домена и жмем "Далее".
Теперь можем дойти сразу до предварительной проверки всех настроек. Все будет корректно если у Вас будет в окне указано, что "Все проверки готовности к установке выполнены успешно . ". Нажимаем установить. После установки перезагружаем сервер.
После перезагрузки как будете вводить пароль администратора, Вы можете заметить, что Ваш сервер уже добавлен в домен.
Но это еще не все, нам нужно его до конца настроить. Снова переходим в "Диспетчер серверов" => меню "Свойства" => DNS
Мы перешли в "Диспетчер DNS". Разворачиваем дерево DNS => SERVER (Имя Вашего сервера) => Зоны обратного просмотра => Щелкаем правой кнопкой мыши и нажимаем на пункт "Создать новую зону".
Выбираем "Основная зона" и отмечаем галкой "Сохранять зону в Active Directory . ".
Следующим окном выбираем пункт "Для всех DNS-серверов, работающих на контроллерах домена в этом домене: "ваш домен"".
Далее выбираем пункт с IPv4 соответственно.
В индефикаторе сети для данного DNS выбираем Ваш IP диапазон или имя зоны. Мы на примере выберем DNS по IP диапазону.
Разрешим динамические обновления, т.к это рекомендуемый параметр для настроек AD.
На этом все, нажимаем готово.
5) Теперь рассмотрим настройки DHCP (чтобы Ваш сервер мог раздавать свой диапазон IP адресов). Переходим в меню "Диспетчер серверов" и выбираем пункт "Завершение настройки DHCP".
В меню "Авторизация" для удобства выбираем пункт "Использовать учетные данные текущего пользователя". И нажимаем "Фиксировать".
Теперь заходим в меню "Средства" => DHCP.
Разворачиваем дерево DHCP => "Имя вашего домена" => нажимаем на IPv4 правой кнопкой мыши => Создать область.
Задаем имя области, как пример "Basic", Вы можете задать любое название.
Теперь прописываем диапазон IP адресов, который будет раздавать Ваш сервер путем DHCP. Например 192.168.1.1/245. Диапазон задается по Вашему желанию.
В следующем окне можете исключить какой-либо диапазон, например определенные IP адреса. На примере мы его пропустим.
Задаем срок действия IP адреса для устройства, после которого динамически он сменится на другой. Можете задать любой срок в зависимости от Ваших задач, мы поставим 30 дней как пример.
Можете добавить Ваш маршутизатор в эту область, либо пропустить этот шаг.
Укажите имя Вашего домена как родительский.
6) Теперь Вам можно уже настроить удаленные рабочие столы для пользователей. Для этого на Вашем сервере нужно лицензировать сервер удаленных рабочих столов. С инструкцией как происходит настройка RDP на сервере можете ознакомиться в нашей прошлой статье на следующей странице. Приобрести ключ активации для лицензирования Windows Server User/Device CAL можете в нашем каталоге. Быстрая доставка ключа в течении нескольких часов на Вашу электронную почту.
7) Теперь, после того как Вы успешно лицензировали сервер удаленных рабочих столов, можно добавить первого пользователя для подключения по RDP. Заходим в "Диспетчер серверов" => Средства => Пользователи и компьютеры Active Directory.
Разворачиваем дерево "Пользователи и компьютеры" => Правой кнопкой мыши на название Вашего домена или просто имя сервера => Создать => Подразделение.
Чтобы было понятно, что за подразделение можете задать ему имя "Пользователи", или "Клиенты".
Далее в новом разделе "Пользователя" (в зависимости от того, как Вы назвали Ваше подразделение). Нажимаете на него правой кнопкой мыши => Создать => Пользователь.
Теперь в карточке пользователя задаем параметры для пользователя, его имя, фамилию, имя для входа на латинице.
Задаем пароль для входа пользователю на сервер. Так же, по желанию, можете запретить смену пароля пользователям (желательно), поставить неограниченный срой действия пароля, чтобы в дальнейшем заново не задавать его.
Добавление пользователя закончено. Теперь по RDP пользователь может подключиться к серверу со своими данными.
В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:
1) Основной контроллер домена, ОС - Windows Server 2012 R2 with GUI, сетевое имя: dc1.
2) Дополнительный контроллер домена (на случай выхода из строя основного), ОС - Windows Server 2012 R2 Core, сетевое имя: dc2.
3) Контроллер домена только для чтения ( RODC ), находящийся в филиале компании за vpn-каналом, ОС - Windows Server 2012 R2 Core, сетевое имя: dc3.
Данное руководство подойдет для внедрения доменной структуры в небольшой компании и пригодится начинающим администраторам Windows.
Шаг 1: Установка первого контроллера домена. Подготовка.
Перед запуском мастера ролей, серверу необходимо задать сетевое имя и настроить ip-адрес. Сетевое имя - dc1. Настройки TCP/IP укажем как на скриншоте ниже.
Запускаем диспетчер сервера - Server Manager -> Dashboard -> Configure this local server -> Add Role and Features Wizard. На первом экране мастер нам сообщает, что перед тем как продолжить, должен быть установлен сложный пароль администратора, в настройках сети указан статический ip-адрес, установлены последние обновления. Если все это сделано, то нажимаем Next.
На следующем экране, выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен исключительно для установки роли удаленных рабочих столов.
На экране Select Destination server диспетчер предлагает нам, выбрать сервер из пула или расположенный на VHD-диске. Поскольку у нас пока только один локальный сервер, то нажимаем Next.
Выбираем Active Directory Domain Services (Доменные службы Active Directory), после чего появится окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features и затем Next.
Обычно, на серверах с AD DS имеет смысл, параллельно разворачивать DHCP Server, поэтому отмечаем его для установки так же. Соглашаемся с установкой компонент. Нажимаем Next.
На экране Features предлагается выбрать дополнительные компоненты. На контроллере домена ничего экстраординарного обычно не требуется, поэтому нажимаем Next.
На завершающих этапах подготовки к установке, на вкладке AD DS, мастер даст нам некоторые пояснения, а именно, в случае, если основной контроллер будет не доступен, то рекомендуется в одном домене держать как минимум два контроллера.
Службы Active Directory Domain Services требуют установленного в сети DNS-сервера. В случае если он не установлен, то роль DNS Server будет предложена для установки.
Так же, службы Active Directory Domain Services требуют установки дополнительных служб пространства имен, файловой и DFS репликации (DFS Namespace, DFS Replication, File Replication). Нажимаем Next.
На последнем экране Confirm installation selection (Подтверждение устанавливаемых компонентов), можно экспортировать конфигурацию в xml-фаил, который поможет быстро установить еще один сервер с идентичными настройками. Для этого потребуется на новом сервере, используя PowerShell, ввести следующую команду:
или если требуется задать новое имя серверу, набираем:
В конце нажимаем Install. Дожидаемся окончания процесса установки.
Шаг 2: Установка первого контроллера домена. Настройка служб Active Directory, DNS, DHCP.
Теперь нажимаем на значок треугольника с восклицательным знаком и выбираем сначала Promote this server to domain controller (Повысить этот сервер до контроллера домена). Позже запустим процесс развертывания DHCP-сервера.
Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Доступно, три варианта развертывания, если:
Add a domain controller to an existing domain - добавить дополнительный контроллер домена в существующем домене, используется для резервного или филиального домена.
Выбираем вариант Add New Forest, задаем корневое имя домена, нажимаем Next.
На следующей вкладке можно задать функциональный уровень домена и леса (по умолчанию 2012R2), снять или отметить для установки DNS Server, и задать пароль для режима восстановления службы каталогов (DSRM). Укажем только пароль для DSRM и нажмем Далее.
На следующем шаге DNS Options мастер ругнется, на то, что делегирование для этого DNS-сервера создано не было, потому что не найдена дочерняя зона или запущенный DNS-сервер. Что не удивительно, т.к. роль DNS Server у нас создается в процессе. Нажимаем Next.
Далее в Addional Optional соглашаемся с NetBIOS именем, которое предлагает нам система, жмем Next.
В разделе Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.
На следующем этапе Review Options отображается сводная информация по настройке. Кнопка View Script, позволяет посмотреть Powershell скрипт, при помощи которого, в будущем можно будет произвести настройку доменных служб Active Directory. Нажимаем Next.
После перезагрузки, снова заходим в Server Manager -> Dashboard и запускаем пиктограмму треугольника с восклицательным знаком и выбираем там Complete DHCP Configuration (Завершение конфигурации DHCP).
Запустится мастер по конфигурированию DHCP, который нам сообщит, что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.
На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.
Если видим, что Create Security Group - Done и Authorizing DHCP Server - Done, то процесс завершился успешно, нажимаем Close.
Теперь создадим обратную зону в DNS. Обратная зона, позволяет выполнить разрешение FQDN-имен хостов по их IP-адресам. В процессе добавления ролей AD и DNS по умолчанию не создаются, поскольку предполагается, что в сети может существовать другой DNS-сервер, контролирующий обратную зону. Поэтому создадим ее сами, для этого переходим в диспетчер DNS (DNS Manager), на вкладку Reverse Lookup Zones, кликаем правой кнопкой и выбираем New Zone.
Запустится мастер DNS-зоны. Соглашаемся с параметрами по умолчанию, а именно нам предлагается создать основную зону которая будет хранится на этом сервере (Primary Zone) и будет интегрирована в Active Directory (Store the zone in Active Directory..). Нажимаем Next.
На следующем экране, предлагается выбрать как зона будет реплицироваться, обмениваться данными с другими зонами расположенными на контроллерах и DNS-серверах. Возможны следующие варианты:
Для всех DNS-серверов расположенных на контроллере домена в этом лесу (То all DNS servers running on domain controllers in this forest). Репликации во всем лесу Active Directory включая все деревья доменов.
Для всех DNS-серверов расположенных на контроллере домена в этом домене (То all DNS servers running on domain controllers in this domain). Репликация внутри текущего домена и его дочерних доменов.
Для всех контроллеров домена в этом домене (То all domain controllers in this domain). Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.
На все контроллеры домена в указанном разделе каталога приложений (To all domain controllers specified in the scope of this directory partition). Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога. Подробнее.
Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.
На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.
На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.
Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.
Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.
Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.
Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.
Еще одна полезная опция, которая обычно настраивается в DNS - это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.
Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.
Теперь настроим службу DHCP. Запускаем оснастку.
Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.
Далее укажем начальный и конечный адрес диапазона сети.
Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.
На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.
Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.
Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.
Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.
Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу "DnsUpdateProxy". Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.
Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.
Нажимаем Credentials и указываем там нашего пользователя DHCP.
Нажимаем ОК, перезапускаем службу.
Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум второй и последующий контроллеры домена.
Читайте также: