Второй контроллер домена windows 2003

Обновлено: 30.06.2024

Если вы переходите к Windows Server 2003 из Windows NT, то вам понравится то, как устанавливаются контроллеры домена и то, как они выполняют свою работу. Microsoft отделила процесс создания доменов и контроллеров домена от процесса установки операционной системы. В Windows NT вам приходилось решать во время установки ОС, будет ли компьютер контроллером домена, и затем вы не могли создать дополнительные (резервные) контроллеры домена ( BDC ), пока не заработал главный контроллер домена ( PDC ), чтобы новые компьютеры могли взаимодействовать с ним через сеть .

Теперь вы можете выполнять несложные установки Windows Server 2003 и затем, убедившись в том, что эти серверы загружаются должным образом и не имеют проблем, вы можете приступать к задачам создания контроллеров домена (DC) и других системных серверов. Более того, если вы модернизируете свое оборудование одновременно с модернизацией операционной системы, то можете заказать, чтобы ваш привычный поставщик оборудования заранее устанавливал Windows Server 2003 без необходимости именования и конфигурирования контроллеров домена.

В сети Windows Server 2003 уже нет главных и резервных контроллеров домена ( PDC и BDC ); теперь у вас есть просто контроллеры домена, и все они в определенном смысле равны (вы можете задавать для них роли, но, вообще говоря, контроллер домена - это просто контроллер домена). Это означает, что если вы отключаете какой-либо DC для обслуживания или DC просто выходит из строя, вам уже не нужно возиться со сложной задачей понижения и повышения статуса контроллеров PDC и BDC , чтобы ваша сеть продолжала работать.

В этой лекции описывается несколько типичных способов перевода контроллеров домена Windows Server 2003 в вашу сеть . Я не могу охватить все сценарии из-за слишком большого числа возможных комбинаций (новые домены, модернизация существующих доменов из Windows 2000 или Windows NT, домены в смешанном режиме, добавление доменов в существующие леса, добавление контроллеров домена в существующие домены и т.д.). Однако обзор, который приводится в этой лекции, все-таки дает достаточную информацию, чтобы вы могли планировать и реализовать ваше развертывание Windows Server 2003.

Создание нового домена

Если вы устанавливаете первый контроллер домена в своей организации, то можете также установить первый экземпляр иерархии своего предприятия.

  • Первый домен.Домен - это набор объектов (компьютеров, пользователей и групп), определенных администратором. Для всех этих объектов используется общая база данных службы каталога (Active Directory) и общие политики безопасности. Кроме того, домен может иметь отношения безопасности с другими доменами.
  • Первый лес.Лес - это один или несколько доменов, совместно использующих общую схему (определения классов и атрибутов), информацию о сайтах и репликации и доступные для поиска компоненты (глобальный каталог).Домены одного леса могут быть связаны доверительными отношениями.
  • Первый сайт.Сайт - это фактически подсеть TCP/IP. Вы можете задавать и другие сайты, доступ к которым может происходить локально или дистанционным образом (например, через глобальную сеть [WAN]).

В "Описание Active Directory" даются подробные пояснения и инструкции по работе с этими компонентами в иерархии вашего предприятия.

Планирование развертывания контроллеров домена (DC)

Количество контроллеров домена, которые вы создаете, зависит от размера вашего предприятия и ваших собственных представлений о скорости и переходах в случае отказа ( failover ). Конечно, в случае одной локальной сети (LAN) с одной подсетью ваша компания может работать с одним DC. Но это рискованно. Установка второго DC означает, что в случае отказа одного из DC аутентификация, доступ к сетевым ресурсам и другие услуги для пользователей не будут прерваны. Кроме того, если у вас очень много пользователей, то использование нескольких DC снижает нагрузку аутентификации, приходящуюся на один DC, особенно в ситуации, когда все пользователи завершают работу своих компьютеров вечером и затем загружают их и выполняют вход в сеть в 9 часов утра.

Если ваше предприятие охватывает несколько сайтов, то вам следует создать хотя бы один DC в каждом сайте (и еще лучше - второй DC на случай отказа). Для выполнения входа компьютерам и пользователям требуется какой-либо DC, и если этот DC находится в другом сайте, процесс входа может потребовать слишком много времени.

Поддерживайте физическую защиту своих контроллеров домена, по возможности держите их в запертых помещениях. Это не только защита от злоумышленников; это также мера защиты вашего предприятия от случайного повреждения вашими собственными пользователями.

Установка Active Directory

Контроллер домена отличается от других системных серверов тем, что он содержит Active Directory. Чтобы преобразовать любой компьютер Windows 2000 в контроллер домена, установите Active Directory. (На этом сервере должна действовать файловая система NTFS; если это не так, то прежде чем установить Active Directory, вы должны запустить convert.exe , чтобы заменить файловую систему FAT на NTFS.)

Все это выполняется с помощью мастеров, но подсказки и действия отличаются в зависимости от конкретной ситуации: это первый DC или один из добавляемых DC для данного домена и доступны ли службы DNS на момент установки этого DC. В следующих разделах дается описание типичных комбинаций.

Active Directory и DNS

Устанавливая первый DC в новом домене, вы сталкиваетесь с вечным вопросом: "Что первично - курица или яйцо?". Вы не можете установить Active Directory, если

у вас не запущена служба DNS, и вы не можете установить DNS, если у вас нет домена. Забавно, не правда ли?

Мастер установки Active Directory Installation Wizard автоматически пытается найти в своем списке сконфигурированных серверов DNS полномочный сервер DNS, который допускает обновление служебной (SRV) ресурсной записи. Если такой сервер найден, записи для этого DC будут автоматически регистрироваться этим сервером DNS после перезагрузки DC.

Но для первого сервера DC в новом домене, возможно, не найдется подходящего сервера DNS. В результате мастер автоматически добавит DNS в список ролей, устанавливаемых на этом компьютере. Предпочтительной настройкой DNS для этого сервера является конфигурирование самого себя в этой роли. Это вполне подходящее решение, так как после установки других серверов DNS вы можете удалить роль DNS с этого DC.

Установка первого контроллера домена (DC) в новом домене

Чтобы установить Active Directory (AD), откройте Manage Your Server (Управление вашим сервером) из меню Start (Пуск) и щелкните на Add or Remove a Role (Добавление или удаление роли), чтобы запустить мастер Configure Your Server Wizard (Конфигурирование вашего сервера). В окне Server Role (Роль сервера) выберите Domain Controller (Active Directory), чтобы запустить мастер Active Directory Installation Wizard . Щелкните на кнопке Next, чтобы продолжить работу с мастером, используя следующие инструкции для установки вашего первого DC.

После копирования всех файлов на ваш жесткий диск перезагрузите компьютер.

Установка других контроллеров домена (DC) в новом домене

Вы можете добавить любое число других DC в своем домене. В случае преобразования существующего рядового сервера в DC помните, что многие опции конфигурации исчезнут. Например, в этом случае будут удалены локальные пользовательские учетные записи и криптографические ключи. Если на этом рядовом сервере хранение файлов происходило с помощью EFS , то вы должны отменить шифрование. На самом деле после отмены шифрования вам следует переместить эти файлы на другой компьютер.

Чтобы создать и сконфигурировать другие DC в вашем новом домене, запустите мастер Active Directory Installation Wizard , как это описано в предыдущем разделе. Затем выполните шаги этого мастера, используя следующие указания.

  1. В окне Domain Controller Type выберите Additional Domain Controller For An Existing Domain (Дополнительный контроллер домена для существующего домена).
  2. В окне Network Credentials (Сетевые опознавательные данные) введите пользовательское имя, пароль и домен, указывающие пользовательскую учетную запись, которую вы хотите использовать для этой работы.
  3. В окне Additional Domain Controller введите полное DNS-имя существующего домена, где данный сервер станет контроллером домена.
  4. В окне Database and Log Folders согласитесь с местоположением для папок базы данных и журнала или щелкните на кнопке Browse (Обзор), чтобы выбрать место, отличное от установки по умолчанию.
  5. В окне Shared System Volume согласитесь с местоположением папки Sysvol или щелкните на кнопке Browse, чтобы выбрать другое место.
  6. В окне Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления служб каталога) введите и подтвердите пароль, который вы хотите назначить учетной записи администратора этого сервера. (Эта учетная запись используется в случае загрузки компьютера в режиме Directory Services Restore Mode.)
  7. Просмотрите информацию окна Summary, и если все в порядке, щелкните на кнопке Next, чтобы начать установку. Щелкните на кнопке Back, если вы хотите изменить какие-либо настройки.

Конфигурация системы адаптируется к требованиям для контроллера домена, после чего инициируется первая репликация. После копирования данных (это может занять определенное время, и если ваш компьютер находится в защищенном месте, то вы можете сделать для себя перерыв) щелкните на кнопке Finish в последнем окне мастера и перезагрузите компьютер. После перезагрузки появится окно мастера Configure Your Server Wizard, где объявляется, что теперь ваш компьютер стал контроллером домена. Щелкните на кнопке Finish, чтобы завершить работу мастера, или щелкните на одной из ссылок в этом окне, чтобы получить дополнительные сведения о поддержке контроллеров домена.

Создание дополнительных контроллеров домена (DC) путем восстановления из резервной копии

Вы можете быстро создавать дополнительные DC Windows Server 2003 в том же домене, что и какой-либо существующий DC, путем восстановления из резервной копии работающего DC Windows Server 2003. Для этого требуются только три шага (которые подробно описываются в следующих разделах).

  1. Резервное копирование состояния системы существующего DC Windows Server 2003 (назовем его ServerOne) в том же домене.
  2. Восстановление состояния системы в другом месте, т.е. на компьютере Windows Server 2003, который вы хотите сделать контроллером домена (назовем его ServerTwo).
  3. Повышение статуса целевого сервера (в данном случае ServerTwo) до уровня DC с помощью команды DCPROMO /adv , введенной из командной строки.

Эту последовательность можно применять во всех сценариях: установка нового домена Windows Server 2003, модернизация домена Windows 2000 и модернизация домена Windows NT. После установки Windows Server 2003 на каком-либо компьютере, вы можете сделать этот компьютер контроллером домена (DC) с помощью данного способа.

Это особенно полезно, если ваш домен содержит несколько сайтов и ваши DC реплицируются через глобальную сеть (WAN), что намного медленнее, чем передача данных через кабель Ethernet. Когда происходит установка нового DC в удаленном сайте, первая репликация тянется очень долго. При данном способе отпадает необходимость в этой первой репликации, а в последующих репликациях копируются только изменения (что занимает намного меньше времени).

В следующих разделах приводятся инструкции по созданию DC этим способом.

Запустите Ntbackup.exe (из меню Administrative Tools или из диалогового окна Run) и выберите следующие опции в окнах мастера.

  1. Выберите Back Up Files and Settings (Резервное копирование файлов и настроек).
  2. Выберите Let Me Choose What To Back Up (Я выберу сам то, что нужно копировать).
  3. Установите флажок System State (Состояние системы).
  4. Выберите местоположение и имя для файла резервной копии. Я использовал разделяемую точку в сети и назвал файл DCmodel.bkf (файлы резервных копий имеют расширение имени .bkf ).
  5. Щелкните на кнопке Finish.

Ntbackup выполнит резервное копирование состояния системы в указанном вами месте. Вам потребуется доступ к этой резервной копии с целевых компьютеров, поэтому проще всего использовать разделяемый ресурс сети или записать файл резервной копии на диск CD-R.

Восстановление состояния системы на целевом компьютере

Чтобы восстановить состояние системы на компьютере Windows Server 2003, который вы хотите сделать контроллером домена, перейдите на этот компьютер (он должен иметь доступ к файлу резервной копии, который вы создали на исходном компьютере). Запустите на этом компьютере Ntbackup.exe и выберите следующие опции в окнах мастера.

  1. Выберите Restore Files and Settings (Восстановление файлов и настроек).
  2. Укажите местоположение файла резервной копии.
  3. Установите флажок System State.
  4. Щелкните на кнопке Advanced (Дополнительно).
  5. Выберите в раскрывающемся списке вариант Alternate Location (Другое место) и введите местоположение на локальном жестком диске (например, вы можете создать папку с именем ADRestore на диске C).
  6. Выберите вариант Replace Existing Files (Заменить существующие файлы).
  7. Установите флажки Restore Security Settings (Восстановить настройки безопасности) и Preserve Existing Volume Mount Points (Сохранить существующие точки монтирования томов).
  8. Щелкните на кнопке Finish.

Ntbackup восстанавливает состояние системы в пяти подпапках в том месте, которое вы указали в мастере. Имена этих папок соответствуют следующим именам компонентов состояния системы:

  • Active Directory (база данных и файлы журналов)
  • Sysvol (политики и скрипты)
  • Boot Files (Файлы загрузки)
  • Registry (Реестр)
  • COM+ Class Registration Database (База данных регистрации классов COM+)

Если вы запускаете программу DCPROMO с новым ключом /adv , то она ищет эти подпапки.

В диалоговом окне Run (Выполнить) введите dcpromo /adv , чтобы запустить мастер Active Directory Installation Wizard . Используйте следующие инструкции, чтобы сделать свой выбор в каждом окне этого мастера.

  1. Выберите вариант Additional Domain Controller for Exiting Domain.
  2. Выберите вариант From These Restored Backup Files (Из следующих восстановленных файлов резервной копии) и укажите местоположение на локальном диске, где вы хотите восстановить резервную копию. Это должно быть место, где находятся приведенные выше пять подпапок.
  3. Если исходный DC содержит глобальный каталог, то появится окно мастера, где спрашивается, хотите ли вы поместить глобальный каталог на этот DC. Выберите ответ Yes или No в зависимости от ваших планов конфигурирования. Процесс создания DC будет проходить несколько быстрее, если выбрать ответ Yes, но вы можете решить, что глобальный каталог нужно держать только на одном DC.
  4. Введите опознавательные данные, позволяющие выполнить эту работу (имя и пароль администратора).
  5. Введите имя домена, в котором будет действовать этот DC. Это должен быть домен, членом которого является исходный DC.
  6. Введите местоположения для базы данных Active Directory и журналов (лучше всего использовать местоположения, заданные по умолчанию).
  7. Введите местоположение для SYSVOL (и здесь лучше всего использовать местоположение по умолчанию).
  8. Введите пароль администратора, чтобы использовать его на тот случай, если придется загружать этот компьютер в режиме Directory Services Restore Mode.
  9. Щелкните на кнопке Finish.

Dcpromo повысит статус этого сервера до контроллера домена, используя данные, содержащиеся в восстановленных файлах, а это означает, что вам не придется ждать, пока будет выполнена репликация каждого объекта Active Directory с существующего DC на этот новый DC. Если какие-либо объекты будут изменены, добавлены или удалены после того, как вы начнете этот процесс, то при следующей репликации это будет вопросом нескольких секунд для нового DC.

По окончании этого процесса перезагрузите компьютер. После этого вы можете удалить папки, содержащие восстановленную резервную копию.

В этой статье описывается установка и настройка новой установки Active Directory в лабораторной среде, которая включает Windows Server 2003 и Active Directory.

Применяется к: Windows Server 2003
Исходный номер КБ: 324753

Для этого в лаборатории вам потребуется два сетевых сервера Windows Server 2003.

Создание Active Directory

После установки Windows Server 2003 на отдельном сервере запустите мастер Active Directory для создания нового леса или домена Active Directory, а затем преобразуйте компьютер Windows Server 2003 в первый контроллер домена в лесу. Чтобы преобразовать компьютер Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия:

Вставьте Windows Server 2003 CD-ROM в диск CD-ROM компьютера или DVD-диск.

Щелкните контроллер домена для нового домена, а затем нажмите кнопку Далее.

Щелкните Домен в новом лесу, а затем нажмите кнопку Далее.

Укажите полное имя DNS для нового домена. Обратите внимание, что, поскольку эта процедура используется для лабораторной среды и вы не интегрировали эту среду в существующую инфраструктуру DNS, для этого параметра можно использовать нечто общее, например mycompany.local. Щелкните кнопку Далее.

Примите имя домена NetBIOS по умолчанию (это "mycompany", если вы использовали предложение на шаге 6). Щелкните кнопку Далее.

Установите расположение базы данных и файла журнала по умолчанию в папке c: \ winnt \ ntds, а затем нажмите кнопку Далее.

Установите расположение папки Sysvol для параметра c: \ winnt \ sysvol и нажмите кнопку Далее.

Щелкните Разрешения, совместимые только с серверами или операционными системами Windows 2000 или Windows Server 2003, а затем нажмите кнопку Далее.

Так как это лабораторная среда, оставьте пароль администратора режима восстановления служб Directory пустым. Обратите внимание, что в полной производственной среде этот пароль устанавливается с помощью безопасного формата пароля. Щелкните кнопку Далее.

Просмотрите выбранные параметры и подтвердите их, а затем нажмите кнопку Далее.

Продолжается установка Active Directory. Обратите внимание, что эта операция может занять несколько минут.

При запросе перезапустите компьютер. После перезапуска компьютера подтвердите, что были созданы записи расположения службы системы доменных имен (DNS) для нового контроллера домена. Чтобы подтвердить, что записи расположения службы DNS созданы, выполните следующие действия:

Добавление пользователей и компьютеров в домен Active Directory

После создания нового домена Active Directory создайте учетную запись пользователя в этом домене для использования в качестве административной учетной записи. При добавлении этого пользователя в соответствующие группы безопасности используйте эту учетную запись для добавления компьютеров в домен.

Чтобы создать нового пользователя, выполните следующие действия:

Щелкните созданное доменное имя, а затем разойдите содержимое.

Правой кнопкой мыши Пользователи , указать на Новый, а затем нажмите кнопку Пользователь.

Введите имя, фамилию и имя пользователя нового пользователя, а затем нажмите кнопку Далее.

Введите новый пароль, подтвердите пароль и нажмите кнопку, чтобы выбрать один из следующих флажков:

  • Пользователи должны изменить пароль в следующем логотипе (рекомендуется для большинства пользователей)
  • Пользователь не может изменить пароль
  • Срок действия пароля никогда не истекает
  • Учетная запись отключена

Щелкните кнопку Далее.

Просмотрите предоставленные сведения, и если все правильно, нажмите кнопку Готово.

После создания нового пользователя в группу, которая позволяет этому пользователю выполнять административные задачи, ввести членство в этой учетной записи пользователя. Так как это лабораторная среда, которую вы контролируете, вы можете предоставить этой учетной записи пользователя полный административный доступ, сделав ее членом групп администраторов схемы, Enterprise и доменов. Чтобы добавить учетную запись в группы администраторов схемы, Enterprise и администраторов домена, выполните следующие действия:

  1. На консоли Active Directory Users and Computers щелкните правой кнопкой мыши новую учетную запись, созданную вами, и нажмите кнопку Свойства.
  2. Щелкните вкладку "Член" и нажмите кнопку Добавить.
  3. В диалоговом окне Выбор групп укажите группу и нажмите кнопку ОК, чтобы добавить в список нужные группы.
  4. Повторите процесс выбора для каждой группы, в которой пользователю требуется членство в учетной записи.
  5. Для завершения нажмите кнопку ОК.

Заключительный шаг в этом процессе — добавление сервера-участника в домен. Этот процесс также применяется к рабочим станциям. Чтобы добавить компьютер в домен, выполните следующие действия:

Войдите на компьютер, который необходимо добавить в домен.

Щелкните правой кнопкой мыши "Мой компьютер", а затем нажмите кнопку Свойства.

Щелкните вкладку "Имя компьютера", а затем нажмите кнопку Изменить.

При запросе введите имя пользователя и пароль ранее созданной учетной записи, а затем нажмите кнопку ОК.

Перезапустите компьютер, если вам будет предложено это сделать.

Устранение неполадок. Нельзя открыть оснастку Active Directory

Дополнительные сведения о настройке DNS на Windows Server 2003 см. в дополнительных сведениях о настройке DNS для доступа к Интернету в Windows Server 2003.

AD объединяет логическую и физическую структуру сети. Логическая структура AD состоит из следующих элементов:

К физической структуре относятся следующие элементы:

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. AD использует только контроллеры доменов. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена. Схема и данные конфигурации реплицируются во все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в глобальный каталог (GC). Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится GC, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (который реплицируется только между серверами GC), а также все объекты каталога и свойства для своего домена.

Контроллеры домена могут иметь разные роли хозяев операций. Хозяин операций решает задачи, которые неудобно выполнять в модели репликации с несколькими хозяевами.

Существует пять ролей хозяина операций, которые могут быть назначены одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, другие на уровне домена.

В каждом лесе AD существуют следующие роли:

Эти роли, общие для всего леса в целом и являются в нем уникальными.

В каждом домене AD обязательно существуют следующие роли:

Эти роли, общие для всего домена и должны быть в нем уникальны.

Роли хозяев операций назначаются автоматически первому контроллеру в домене, но могут быть в дальнейшем переназначены вами. Если в домене только один контроллер, то он выполняет все роли хозяев операций сразу.

Не рекомендуется разносить роли хозяина схемы и хозяина именования доменов. По-возможности назначайте их одному контроллеру домена. Для наибольшей эффективности желательно, чтобы хозяин относительных идентификаторов и эмулятор PDC также находились на одном контроллере, хотя при необходимости эти роли можно разделить. В большой сети, где большие нагрузки снижают быстродействие, хозяин относительных идентификаторов и эмулятор PDC должны быть размещены на разных контроллерах. Кроме того, хозяин инфраструктуры не рекомендуется размещать на контроллере домена, хранящем глобальный каталог.

Инсталляция контроллера домена (DC) на базе Windows Server 2003 с помощью мастера установки Active Directory

Установка контроллера домена производится с помощью мастера Active Directory Installation Wizard. Чтобы повысить статус сервера до контроллера домена необходимо убедиться в выполнении всех необходимых для этого требований:

  1. На сервере должен быть хотя бы один раздел NTFS для размещения системного тома SYSVOL.
  2. Сервер должен иметь доступ к DNS серверу. Желательно установить службу DNS на этом же сервере. Если используется отдельный сервер, то необходимо убедиться, что он поддерживает ресурсные записи Service Location (RFC 2052) и протокол Dynamic Updates (RFC 2136).
  3. Необходимо иметь учётную запись с правами локального администратора на сервере.

Рассмотрим подробно повышение роли сервера до контроллера домена Active Directory по шагам:


Тип контроллера домена

Основы управления доменом Active Directory

Ряд средств в оснастках Microsoft Management Console (MMC) упрощает работу с Active Directory.


Active Directory Users and Computers


По умолчанию консоль Active Directory Users and Computers работает с доменом, к которому относится Ваш компьютер. Вы можете получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому домену. Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск.

Получив доступ к домену вы увидите стандартный набор папок:

Некоторые папки консоли по умолчанию не отображаются. Чтобы вывести их на экран, выберите в меню View (Вид) команду Advanced Features (Дополнительные функции). Вот эти дополнительные папки:

Вы можете самостоятельно добавлять папки для организационных подразделений в дерево AD.


OU

Учётные записи позволяют хранить контактную информацию пользователей, а так же информацию об участии в различных доменных группах, путь к профилю, сценарий входа, путь домашней папки, список компьютеров, с которых пользователю разрешён вход в домен и т.д.

Сценарии входа определяют команды, выполняемые при каждом входе в систему. Они позволяют настроить системное время, сетевые принтеры, пути к сетевым дискам и т.д. Сценарии применяются для разового запуска команд, при этом параметры среды, задаваемые сценариями, не сохраняются для последующего использования. Сценариями входа могут быть файлы сервера сценариев Windows с расширениями .VBS, .JS и другие, пакетные файлы с расширением .ВАТ, командные файлы с расширением .CMD, программы с расширением .ЕХЕ.

Можно назначить каждой учетной записи свою домашнюю папку для хранения и восстановления файлов пользователя. Большинство приложений по умолчанию открывают домашнюю папку для операций открытия и сохранения файлов, что упрощает пользователям поиск своих данных. В командной строке домашняя папка является начальным текущим каталогом. Домашняя папка может располагаться как на локальном жестком диске пользователя, так и на общедоступном сетевом диске.

К доменным учётным записям компьютеров и пользователей могут применяться групповые политики. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, разрешениями и возможностями пользователей и компьютеров. Групповая политика позволяет:

  • создавать централизованно управляемые специальные папки, например My Documents (Мои документы);
  • управлять доступом к компонентам Windows, системным и сетевым ресурсам, инструментам панели управления, рабочему столу и меню Start (Пуск);
  • настроить сценарии пользователей и компьютеров на выполнение задачи в заданное время;
  • настраивать политики паролей и блокировки учетных записей, аудита, присвоения пользовательских прав и безопасности.

Помимо задач управления пользовательскими учётными записями и группами существует масса других задач управления доменом. Для этого служат другие оснастки и приложения.

Для управления объектами AD существуют средства командной строки, которые позволяют осуществлять широкий спектр административных задач:

Lopar

Если у вас очень много программ организации стоят именно на контроллере домена — это по умолчанию нехорошо.

Поднимите второй контроллер на более новой операционке, перенесите на неё роли FSMO и осторожно понизьте ваш компьютер с бизнес-процессами до обычного члена домена. Вы отвяжетесь и от максимального уровня леса win2003 из за которого страдаете, и других проблем убавится.

Lopar

Так это был вопрос да в нём намёк. Поднимите второй контроллер на более новой операционке, перенесите на неё роли FSMO и осторожно понизьте ваш компьютер с бизнес-процессами до обычного члена домена. Вы отвяжетесь и от максимального уровня леса win2003 из за которого страдаете, и других проблем убавится.

И вы таки контроллер в домен добавляете, а не в лес. Или у вас лес на несколько веток и текущий домен только один из?

А что в журнале в момент запуска adprep? Можно ли его запустить из другого расположения? Можно ли его запустить с другими ключами? Например "adprep /?"

Сохраните и очистите все журналы (Приложение, безопасность, система), запустите адпреп и посмотрите новые записи. Кроме того:

2). 2008 который не R2 - отстой.

4). У вас точно достаточно денег на Enterprise редакцию? Может, Standard достаочно?

добрый день, спасибо за отклик. при запуске данной утилиты с любым дополнительным параметром выходит "программа работает правильно, но не предназначен для компьютеров данного типа" в случае попытки с adprep 64 битной.
32 битная вообще не устанавливается. пробовал на win ser 2016, win serv 2008 r2, win ser 2008 x 86.
С финансированием все нормально, Enterprize потянем

Подождите, я ничего не понял. Давайте еще раз уточним: нынешний единственный контроллер домена - windows 2003? Какие обновления на нем установлены (сервис-паки)? Зачем вы запускаете adprep от 2003 на 2016 и 2008?

Если сейчас сервер windows 2008 r2 не входит в состав домена (предпочтительно), или входит как рядовой сервер, вы можете просто установить на нем через оснастку "роли" роль Active Directory (автоматически подтянется DNS-роль). После выполения мастера установки роли запустите dcpromo и действуйте по его указаниям, добавляя контроллер в существующий лес

Сейчас контроллер 2003 единственный? Снимите сначала образ диска.
(это очень неоднозначная рекомендация,
не во всех случаях этим возможно/стоит пользоваться! но без бекапа трогать не стоит, уж поверьте)
Запланируйте много времени, выходные ++ и время на откат, если что.
Остановка всего этого на 2 дня/суток - допустима?

Цель данной заметки, задокумментировать пошаговый процесс развертывания Active Directory на системе Windows Server 2003 R2 Enterprise Edition. Почему я это делаю, я думал, что данная ось уже более нигде не используется, прогресс администрирования убежал вперед S erver 2008/R2 & Server 2012 – вот главные системы с которыми я работал в последнее время на предыдущих местах работы. А тут на тебе, компания и не думала идти в ногу со временем.

Но с приходом нарастающих требований и нового функционала, мне была поставлена задача, проработать процесс миграции с домена на базе Windows Server 2003 R2 x64 на домен с осью Windows Server 2008 R2. Но чтобы это сделать, мне нужно сперва разобрать все от и до. Поэтому данная заметка будет своего рода первой в небольшом цикле заметок по миграции.

И так у меня в наличии система со следующими характеристиками:

В настройках сетевой карточки у меня прописаны следующие IP адреса:

Указываем настройки для сетевой карточки

Тестировать все моменты буду под Virtualbox (благо мой рабочий ноутбук обладает повышенными характеристиками и дает мне полную свободу прорабатывания действий перед их практическим применением в организации, потому как я не люблю быть просто болтуном, я практик и прежде чем советовать что либо, предпочитаю убедиться в этом сам, что это работает.)

Важное замечание: советуя и придерживаюсь сам, что Windows система должна быть только англоязычной, но не как не русской. Это лично мое мнение.

После того, как развернули систему следует поставить накопительный пакет обновления

Ниже пошаговые шаги как развернуть «Контроллер домена»

Запускаем утилиту dcpromo:

Указываю суффикс создаваемого домена

Мастер предлагает либо изменить NetBIOS имя либо оставить текущее, оставляем текущее и нажимаем Next

Оставляем по умолчанию NETBIOS имя POLYGON

Каталоги с базой и логами оставляем по дефолту и нажимаем Next

Каталоги с базой по умолчанию

С каталогом SYSVOL поступаем точно также, по дефолту и нажимаем Next

Путь до каталога SYSVOL оставляем дефолтным

По дефолту

На следующем этапе — доступ к объектам для пользователей и группы разрешаем только аутентифицированным пользователям и нажимаем Next

Доступ только для аутентифицированных пользователей и групп

Далее задаем пароль Администратора на случай аварийного восстановления — я указываю 712mbddr@ и нажимаем Next

Задаем пароль Администратора для восстановления

На следующем этапе просматриваем результирующие данные, если со всем согласны то нажимаем Next и начнется процесс разворачивания

Идет процесс разворачивания

В процессе установки, мастер попросит подмонтировать дистрибутив второго диска (у меня дистрибутив состоит из двух iso образов)

В процессе установки потребуется второй диск для установки недостающих компонентов

После того, как процесс завершится (нажимаем Finish) , потребуется проверить настройки сетевого адаптера на предмет корректного указания сетевых настроек и уже после только перезагрузить систему.

Проверяем установки на сетевой адаптер после установки

а нужно привести к виду:

Нужно значение Preferred DNS заменить на текущий IP адрес сервера

После того, как система перезагрузиться можно авторизоваться под учетной записью Administrator, открыть далее оснастку «Пользователи и компьютеры» и создать специализированного Административного пользователя под котором уже работать, но пока это не совсем полное развертывание.

Далее нужно добавить роль DHCP чтобы в контролируемой доменной сети выдача IP адресов производилась автоматически:

Start – Control Panel – Add or Remove Programs – Add/Remove Windows Components – Networking Services – Details – отмечаем пункт Dynamic Host Configuration Protocol (DHCP) и нажимаем OK – Next, после начнется доустановка необходимых компонентов в систему (понадобится подмонтированный установочный диск) — Finish.

Запускаем оснастку DHCP:

Start – Control Panel – Administrative Tools – DHCP, по умолчанию сервис DHCP не активен, об этом свидетельствует «красная стрелочка опущенная вниз»

По умолчанию после установки DHCP служба не активна

Start IP address: 10.9.9.10

End IP address: 10.9.9.20

Length: 24 – маска подсети

Subnet mask: 255.255.255.0

Указываем область обслуживания DHCP сервисом в локальной сети домена

IP адреса на следующем шаге которые хотим исключить пропускаем, позже к данной настройке можно будет вернуться.

Далее указываем срок аренды DHCP адресов клиентским станциям или устройствам, по умолчанию обычно указывают 7 дней, но Вы можете опираясь на Ваш опыт предопределить другое значение.

Далее настраиваем чтобы предопределенные настройки в ступили в силу немедленно — Yes, I want to configure these options now

Далее, указываем IP адрес шлюза для локальной сети – в моем случае это 10.9.9.1 (потом можно изменить если что)

Далее, указываем имя DNS -сервера используемого в сети:

Parent domain: polygon.local

Server name: dc1.polygon.local

IP address: 10.9.9.1

Следующий шаг пропускаю, т. к. WINS не использую

Далее активирую созданную область сейчас — Yes, I want to activate this scope now

Теперь нужно авторизовать DHCP службу :

Start – Control Panel – Administration – оснастка DHCP – выделяем dc 1. polygon . local [10.9.9.1], после чего через правый клик вызываем меню настроек и находим пункт « Authorize », как видно из скриншота ниже служба работает, «зеленая стрелочка смотрит вверх»

После создания области DHCP сервис работает

Проверяем, что домен отвечает на ICMP -запрос:

C:\Documents and Settings\Administrator>ping polygon.local

Pinging polygon.local [10.9.9.1] with 32 bytes of data:

Reply from 10.9.9.1: bytes=32 time<1ms TTL=128

Reply from 10.9.9.1: bytes=32 time<1ms TTL=128

Reply from 10.9.9.1: bytes=32 time<1ms TTL=128

Reply from 10.9.9.1: bytes=32 time<1ms TTL=128

Ping statistics for 10.9.9.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Теперь можно подключаться рабочие станции к домену и управлять, опубликовывать, писать групповые политики из одного места, а не бегая как раньше по местам. Этим мы добились централизованности и стабильности. Имея в сети домен пользователи не почувствуют особой разницы, разве только в упорядоченности предоставляемых сервисов и служб. Что еще можно сделать используя домен я покажу в последующих заметках. А пока я хочю закончить данную заметку, она работает и шаги рассмотренные выше на удивление очень просты и не требуют каких либо более подробных документирований, пока во всяком случаем. Напоследок замечу, ознакомтесь с документацией представленной на официальном сайте не пренебрегайте ею, многие интересные вещи там представлены. Все же в заметке описать не представляется возможным да и не зачем, я ведь расписываю только те задачи с которыми мне приходится сталкиваться. Поэтому н а этом всё, с уважением автора блога ekzorchik.

Читайте также: