Можно ли установить active directory без установки dns

Обновлено: 06.07.2024

Работая с Windows NT 4.0, большинство администраторов познакомились с основными элементами DNS — зонами DNS, записями SOA (System Object Access — доступ к системным объектам), NS (Name Server — сервер имен) и MX (mail exchanger — система почтового обмена), A (хост), первичными и вторичными серверами и т. д. — и вероятно, даже строили простой DNS-сервер. Но для организации надежной структуры DNS, полностью соответствующей требованиям AD, необходимы дополнительные знания. Например, следует ли использовать DNS-сервер, поставляемый в составе Windows 2000, или DNS-сервер независимого поставщика, такой, как широко применяемая в UNIX и Linux программа BIND? Где разместить ретрансляторы запросов (forwarder) и вспомогательные (slave) DNS-серверы — и вообще, что означают эти термины? Что такое разделенная (split-brain) DNS и каким образом объединить AD с существующей инфраструктурой DNS? Ответы на эти и другие вопросы я постараюсь дать в настоящей статье.

Выбор DNS-сервера

Не следует считать опрометчивым шагом решение совместить AD с DNS-сервером BIND (или Lucent QIP фирмы Lucent Technologies, или с другим продуктом независимой компании). BIND вполне подходит для работы с AD и применяется с этой целью со времени появления Windows 2000.

Чтобы убедиться в совместимости AD и BIND, я однажды посвятил целый день тому, чтобы расформировать трехдоменный лес AD и заново построить его, не используя DNS-серверы Microsoft. Я заменил их системой Linux-Mandrake 7.1 фирмы Mandrake-Soft и имевшейся в то время версией BIND. Лес AD был построен безукоризненно и даже чуть быстрее, чем с помощью DNS-сервера на базе Windows 2000. После этого я в течение нескольких месяцев использовал структуру DNS на базе BIND вместе с AD, и за все это время ни разу не столкнулся с неполадками.

Это не означает, что DNS-сервер Windows 2000 не заслуживает внимания. В таких серверах реализованы удачные, хотя и нестандартные зоны, интегрированные с AD (AD-integrated zone). Зоны, интегрированные с AD, имеют две особенности: несколько ведущих машин в первичной зоне и безопасное динамическое обновление DNS (dynamic DNS, DDNS). Роль DDNS в Windows 2000 соответствует функциям WINS в NT 4.0: репозитария имен и IP-адресов компьютеров и центрального каталога типов серверов. Чтобы найти контроллер домена (DC) и зарегистрироваться в домене NT 4.0, рабочая станция обращается к WINS. Компьютер с Windows 2000 Professional, член домена AD, направляет запрос на поиск DC в DDNS. Затем сервер DDNS должен собрать информацию об именах и ролях машин в домене. Системы на базе Windows 2000 помогают DDNS выполнить эту задачу, регистрируя свои имена на сервере DDNS. Таким образом, машины Windows 2000, в сущности, представляются DDNS-серверу, пополняя его базу данных имен и адресов.

Но какому DDNS-серверу посылают информацию о себе системы Windows 2000? В стандартной системе DDNS, например на базе компьютера, работающего с BIND или DDNS-сервером Windows 2000 в режиме первичной зоны (вместо режима интеграции с AD), принять регистрацию может только первичный сервер DDNS. Интернациональная компания может располагать тысячами машин по всему миру, которые каждое утро выполняют операцию перерегистрации: все они должны перерегистрироваться на одном компьютере — единственном, уполномоченном производить регистрацию. Напротив, в интегрированной с AD зоне любой или все контроллеры могут быть наделены функциями первичных серверов DDNS и выполнять регистрацию. Машины могут регистрировать свои DNS-имена на локальных контроллерах, уменьшая трафик по медленным сетям WAN.

Еще одна полезная функция AD-интегрированных зон — защищенная регистрация DDNS. Если зона DDNS по умолчанию организована на DNS-сервере BIND или Windows 2000, то зарегистрировать машину в данной зоне может любой пользователь, имеющий возможность установить соединение с этим сервером. BIND позволяет запретить регистрацию машин, находящихся вне определенных подсетей: если на BIND-сервере составлен регистрационный список подсетей, то сервер будет игнорировать все остальные компьютеры. В AD-интегрированной зоне предусмотрен другой механизм ограничения регистрации DDNS: предварительным условием может быть регистрация машины в домене AD. Реализовать данный подход немного проще, чем метод BIND, — достаточно щелкнуть на закладке General страницы Properties зоны, а затем на раскрывающемся списке Allow dynamic updates? (разрешить динамическое обновление?) и выбрать пункт Only secure updates (только безопасное обновление).

Использование серверов кэширования

Централизованный кэш с ретранслятором запросов

Но если применить ретранслятор запросов, то серверы могут разделять кэш. Принцип работы ретранслятора запросов следующий: сначала назначается несколько локальных DNS-серверов кэширования для преобразования имен по запросам от рабочих станций и других серверов. Затем на отдельный сервер возлагаются функции своего рода DNS-сервера для DNS-серверов. В терминах DNS, этот сервер выполняет функцию ретрансляции запросов.

Получив запрос на преобразование имени, отсутствующего в кэше, локальный DNS-сервер кэширования не обращается в Internet, а передает запрос ретранслятору. Если ретранслятор — который расположен в той же локальной сети, что и локальный DNS-сервер кэширования, и может обмениваться с ним информацией на высокой скорости — располагает нужным адресом, то он быстро отвечает на поставленный вопрос. Если ретранслятор не дает ответа, то необходимая информация извлекается из Internet.

Чтобы назначить DNS-сервер ретранслятором для другого DNS-сервера, достаточно открыть оснастку DNS консоли управления Microsoft Mana-gement Console (MMC) и щелкнуть правой кнопкой мыши на пиктограмме, представляющей DNS-сервер, который будет выполнять ретрансляцию. Выбрав пункт Properties, следует перейти к закладке Forwarders, показанной на Экране 1. На закладке Forwarders можно назначить один или несколько ретрансляторов и указать лимит времени.

Зачем вводить лимит времени? Если ретранслятор перестанет работать, то DNS1 и DNS2 не смогут получить ответы на новые запросы преобразования имен. Данная ситуация разрешается с помощью тайм-аута. Если локальный DNS-сервер кэширования (DNS1 или DNS2) посылает запрос ретранслятору и не получает ответа в течение заранее определенного промежутка времени, то локальный сервер обращается в Internet и самостоятельно выполняет преобразование имени (как указано ниже, данная операция может привести к неприятным последствиям).

Разделенная DNS

Зоне DNS в домене AD свойственны две особенности. Во-первых, AD сохраняет в DNS очень много данных. Во-вторых, значительная часть этой информации носит конфиденциальный характер. В частности, в зоне домена AD хранятся имена и адреса контроллеров домена, и, по всей вероятности, администраторы пожелают скрыть их от посторонних глаз.

Один из способов повысить уровень защиты сети — создать две зоны DNS: открытую для внешнего мира и доступную только корпоративным пользователям. Некоторые специалисты называют такую структуру разделенной (split-brain) DNS. Она функционирует следующим образом.

Получив запрос на преобразование имени, основной DNS-сервер сначала обращается в кэш. Если имени в кэше нет, а DNS-сервер содержит зоны, то сервер пытается преобразовать имя, проверяя зоны. Сервер обращается к ретранслятору или в Internet лишь в том случае, если не может найти нужный адрес в кэше или в зонах. Главная особенность разделенной DNS заключается в том, что DNS-сервер больше доверяет информации из зон, чем данным, извлеченным из Internet.

Однако внутри Acme имеется intranet с немаршрутизируемыми адресами — возможно, сеть 10.x.x.x, в которой для соединения с Internet используется какой-нибудь механизм переназначения адресов портов. Любой внутренний пользователь Acme может инициировать сеанс связи с Internet, но посторонние пользователи из Internet не могут установить связь с внутренними адресами 10.x.x.x (ради простоты в данном примере переназначение адресов портов — единственный механизм защиты у Acme).

Применение вспомогательных серверов для защиты серверов intranet

Прежде чем закончить описание примера с Acme, я хочу сказать несколько слов об угрозе безопасности. Как уже упоминалось, DNS-серверы intranet используют внешние DNS-серверы в качестве ретрансляторов запросов. Но если ретранслятор не отвечает на запрос о преобразовании имени достаточно быстро, то DNS-сервер intranet пытается найти ответ на DNS-серверах Internet. По мнению специалистов по безопасности, эта операция пробивает брешь в системе защиты. DNS-сервер intranet может просто установить соединение с компьютером, выдающим себя за DNS-сервер. Связь DNS-сервера корпоративной сети с ложным DNS-сервером может стать источником самых разных неприятностей.

Чтобы избежать опасных контактов с внешним миром, можно запретить серверам intranet предпринимать самостоятельные попытки преобразования имен в случае молчания внешних DNS-серверов. Для конфигурирования внутреннего сервера следует перейти к закладке Forwarders оснастки DNS в MMC и установить флажок Do not use recursion. В результате в распоряжении администратора окажется сервер, именуемый Micro-soft вспомогательным (slave).

Согласование с существующей структурой DNS

Как быть, если компания Acme уже имеет структуру DNS — возможно, несколько компьютеров с операционной системой, отличной от Windows 2000, на которых люди работали со структурой DNS в течение многих лет, не зная проблем, связанных с Windows 2000 и NT? Вряд ли им понравится, что AD размещает в зонах такое количество информации. Существующая инфраструктура DNS Acme может быть несовместимой с DDNS или документом RFC 2782 SRV RRs (service resource records — записи служебных ресурсов) рабочей группы IETF и непригодной для работы с AD. Что делать, если инфраструктура плохо согласуется с AD?

В целом очевидно, что для корректной работы AD необходим хороший фундамент DNS. Но методы проектирования DNS не так уж сложны, они просто в новинку большинству администраторов. Используя рекомендации данной статьи, можно с успехом построить надежный AD-домен.

Цель лекции: Научиться внедрять Active Directory , сформулировать условия установки, разобрать вопросы тестирования.

После выбора стратегии развертывания Active Directory осуществляется поэтапное внедрение единой службы каталогов в соответствии с планом-графиком развертывания.

Развертывание Active Directory

При установке Active Directory выполняются следующие функции:

  • Добавление контроллера домена к существующему домену. Создается равноправный контроллер домена , обеспечивающий отказоустойчивость и уменьшение нагрузки на имеющиеся контроллеры доменов.
  • Создание первого контроллера домена в новом домене. Создается новый домен , необходимый для распределения информации , что позволит настроить Active Directory в соответствии с потребностями организации. При создании нового домена разрешается создать новый дочерний домен или новое дерево.
  • Создание нового дочернего домена.
  • Создание нового дерева домена.
  • Установка DNS-сервера.
  • Создание БД и журналов БД.
  • Создание общего системного тома.

Причины создания нескольких доменов: распределенное администрирование сети , управление репликацией, разные требования к паролям в разных организациях, большое число объектов , разные имена доменов Интернета, региональные требования и требования внутренней политики.

Установка службы каталога Active Directory

Процесс установки службы каталога Active Directory на компьютере с Microsoft Windows Server 2003 несложен: простота обеспечивается за счет мастера инсталляции Active Directory ( Active Directory Installation Wizard ).

Два других метода установки Active Directory [ 13 ] - инсталляция без помощи мастера и установка из восстановленных резервных файлов.

Предварительные условия установки Active Directory

Любой сервер, который удовлетворяет условиям, описанным далее, может содержать Active Directory и стать контроллером домена. Каждый новый контроллер домена фактически является автономным сервером, пока не завершится процесс инсталляции Active Directory. В ходе этого процесса решаются две важные задачи [ 13 ] - создается или заполняется база данных каталога и запускается Active Directory, чтобы сервер отвечал на попытки входа в систему домена и на запросы облегченного протокола службы каталога LDAP .

База данных каталога хранится на жестком диске контроллера домена в файле Ntds . dit . В процессе инсталляции Windows Server 2003 файл Ntds . dit сохраняется в папке %systemroot%\system32 на локальном диске. В процессе инсталляции Active Directory файл Ntds . dit копируется в место, идентифицированное во время инсталляции, или в заданную по умолчанию папку %systemroot%\ NTDS , если не определено другое место. При наличии файла Ntds . dit , скопированного на жесткий диск в процессе инсталляции Windows Server 2003, Active Directory может быть установлена в любое время без необходимости обращаться к инсталляционной среде.

Далее приводятся условия, необходимые для того, чтобы Active Directory могла работать в Windows Server 2003 [ 13 ] .

  • Жесткий диск. Размер пространства на жестком диске, необходимого для хранения службы Active Directory, будет зависеть от количества объектов в домене и от того, является ли данный контроллер домена сервером глобального каталога (GC). Для поддержки установки папки Sysvol по крайней мере один логический диск должен быть отформатирован под файловую систему NTFS v.5 (версия NTFS, которая используется в системах Microsoft Windows 2000 и Windows Server 2003).Чтобы установить Active Directory на сервер, на котором выполняется система Windows Server 2003, жесткий диск должен удовлетворять следующим минимальным требованиям:
    • 15 Мб свободного пространства - на раздел установки системы;
    • 250 Мб свободного пространства - для базы данных Active Directory ( Ntds . dit );
    • 50 Мб свободного пространства - для файлов регистрационного журнала транзакций процессора наращивания памяти (ESENT). ESENT представляет собой систему взаимодействия базы данных, которая использует файлы регистрационных журналов для поддержки семантики откатов (rollback), чтобы гарантировать передачу транзакций базе данных .

    Мастер установки

    Мастер установки Active Directory выполняет следующие функции [ 4 ] :

    • добавляет контроллер домена к существующему домену;
    • создает первый контроллер домена в новом домене;
    • создает новый дочерний домен ;
    • создает новое дерево домена ;
    • устанавливает DNS-сервер;
    • создает БД и журналы БД;
    • создает общий системный том;
    • удаляет службы Active Directory с контроллера домена.

    Когда служба Active Directory устанавливается на сервер с Windows Server 2003, компьютер фактически становится контроллером домена. Если это первый контроллер домена в новом домене и лесу , то создается чистая база данных каталога, ожидающая поступления объектов службы каталога. Если это дополнительный контроллер домена в уже существующем домене, процесс репликации размножит на этот новый контроллер домена все объекты службы каталога данного домена. Если это контроллер домена, имеющий модернизированную систему Microsoft Windows NT 4, база данных учетных записей будет автоматически обновлена до Active Directory после того, как на этом контроллере домена будет установлен Windows Server 2003.

    При установке Active Directory можно добавить новый контроллер домена к существующему домену или создать первый контроллер нового домена [ 4 ] .

    • Добавление контроллера к существующему домену. В этом случае создается равноправный контроллер домена . Он обеспечит отказоустойчивость и уменьшит нагрузку на имеющиеся контроллеры доменов.
    • Создание первого контроллера для нового домена. В этом случае создается новый домен . Он нужен для распределения информации , что позволит настроить Active Directory в соответствии с потребностями организации. При создании нового домена разрешается создать новый дочерний домен или новое дерево.

    При установке службы каталогов Active Directory на первом контроллере домена сайта в контейнере Sites создается объект с именем Default-First-Site-Name. В этом сайте необходимо установить первый контроллер домена . Дополнительные контроллеры располагаются в сайте первого контроллера домена (предполагается, что IP-адрес жестко связан с сайтом ) или в другом существующем сайте . После установки первого контроллера домена имя Default-First-Site-Name можно изменить на любое другое.

    Когда производится установка Active Directory на дополнительные серверы, а в хранилище определены дополнительные сайты , то возможны два варианта. Если IР-адрес устанавливаемого компьютера соответствует имеющейся в существующем сайте подсети, то контроллер добавляется в этот сайт . Иначе контроллер добавляется в сайт исходного контроллера домена.

    Конфигурирование DNS для Active Directory

    Active Directory использует DNS в качестве службы поиска, позволяя компьютерам находить контроллеры доменов. Для поиска контроллера в определенном домене клиент запрашивает DNS о записях ресурсов, содержащих имена и IP-адреса LDAP-серверов домена. LDAP - это протокол, используемый для осуществления запросов и обновления Active Directory и выполняющийся на всех контроллерах домена. Нельзя установить Active Directory, не имея на компьютере службы DNS , потому что Active Directory использует DNS в качестве службы поиска. Однако можно установить DNS без установки Active Directory.

    Для автоматического конфигурирования DNS-сервера надо воспользоваться мастером установки Active Directory: не придется вручную настраивать DNS для поддержки Active Directory, но это не касается тех случаев, когда планируется использовать DNS-сервер без Windows 2000/2003 или требуется создать особую конфигурацию. Чтобы задать конфигурацию, отличную от задаваемой мастером установки по умолчанию, можно вручную сконфигурировать DNS , воспользовавшись консолью DNS .

    База данных и общий системный том

    При установке Active Directory создается БД и ее журнал, а также общий системный том [ 4 ] .

    • БД и ее журнал - это каталог для нового домена. По умолчанию БД и ее журнал располагаются в каталоге %systemroot%\ NTDS , где %systemroot% - это каталог Windows. Для повышения производительности рекомендуется размещать БД и журнал на разных жестких дисках.
    • Общий системный том - это структура папки, существующая на всех контроллерах доменов Windows. Он хранит сценарии и некоторые объекты групповой политики для текущего домена и предприятия. По умолчанию общий системный том располагается в каталоге %systemroot%\SYSVOL. Общий системный том должен располагаться в разделе или томе, отформатированном под NTFS 5.0.

    Репликация общего системного тома идет по тому же расписанию, что и репликация Active Directory, поэтому можно не заметить репликацию файлов вновь созданного общего системного тома, пока не пройдет два цикла репликации (обычно это занимает минут 10). Дело в том, что первый цикл репликации файла обновляет конфигурацию других системных томов, уведомляя их о добавлении нового системного тома.

    Режимы домена

    Существуют два режима домена - смешанный и основной [ 4 ] .

    • Смешанный режим. При первой установке или обновлении контроллера домена до Windows 2000 Server контроллер запускается в смешанном режиме (mixed mode), что позволяет ему взаимодействовать с любыми контроллерами доменов под управлением предыдущих версий Windows NT.
    • Основной режим. Если на всех контроллерах домена установлен Windows 2000 Server и не планируется больше добавлять в этот домен контроллеры нижнего уровня, то рекомендуется перевести домен в основной режим (native mode).

    При изменении режима со смешанного на основной происходит следующее:

    • прекращается поддержка репликации нижнего уровня, после чего в этом домене запрещается иметь контроллеры, не работающие под управлением Windows 2000/2003 Server;
    • запрещается добавление новых контроллеров нижнего уровня в данный домен ;
    • сервер, исполнявший роль основного контроллера домена, перестает быть таковым, поэтому все контроллеры становятся равноправными.

    Изменение режима домена возможно лишь в одном направлении - из смешанного в основной режим, но не наоборот.

    Зачем нужен сервер?
    извиняюсь за немного глупый вопрос) но я не могу понять зачем нужен сервер, если можно создать.

    Нагрузка на DNS сервер. DNS на Windows Server. Мощности оборудования для больших DNS серверов
    Приветствую коллеги! Интересно ваше узнать ваше мнение (а может быть у вас есть практика) какие.

    Зачем нужен пробник для осциллографа?
    Дали поработать с осциллографом и на нем оказался пробник вместо обычного щупа, вернее надо сказать.

    Для чего нужен DNS сервера в локальной сети ?
    привет. сегодня читал главу в книге про linux, про DNS сервера. как я понимаю, они стоят в.

    Неверно. Чтобы понять кто у нас в сети контроллер домена клиентский компьютер будет искать в DNS записи служб (SRV). Чтобы эти записи были вам нужна зона. Неверно. Чтобы понять кто у нас в сети контроллер домена клиентский компьютер будет искать в DNS записи служб (SRV). Чтобы эти записи были вам нужна зона. А почему он просто IP не может найти? Зачем усложнять?) А почему он просто IP не может найти? Зачем усложнять?) Я не совсем понимаю ваш вопрос)
    Вы не можете сказать компьютеру "Смотри дорогой вот это контролер домена". Вы можете сказать ему "Вот это DNS он знает, кто контроллер домена". Когда вы хотите авторизоваться ваш компьютер спросит где у нас служба ldap? В DNS будет указана SRV запись на эту службу. И более того, если вдруг ваш контроллер полетит к чертям, там будет указана так же запись второго контроллера домена, что бы пользователи могли продолжать пользоваться своими рабочими станциями.

    kapitan_lyagysh, меня интересует возможность клиента обращаться к контроллеру не через DNS а напрямую по IP есть такая возможность или нету? Гипотетически..

    Добавлено через 3 минуты

    И более того, если вдруг ваш контроллер полетит к чертям, там будет указана так же запись второго контроллера домена, что бы пользователи могли продолжать пользоваться своими рабочими станциями.

    Как клиент выбирает какой контроллер использовать? В порядке приоритета? А если первый котроллер недоступен то он снова лезет в DNS и выбирает уже вторую запись?
    Кстати а если DNS расположен на том же сервере где и контроллер то получается полный абзац да?) Если отвалится все..

    Добавлено через 11 минут
    Ааа есть же второй контроллер..просто если первый DNS сервер не будет доступен то клиенту придется обращаться на другой DNS и искать там другой контроллер. но как он узнает где находится другой DNS тоже не понятно..

    В статье подробно разберем процесс развертывания контроллер домена на базе Windows Server 2012 R2 и настройка служб AD DS, DNS, DHCP.

    • Установить Windows Server 2012 R2 и подготовить систему к развертыванию служб.
    • Развернуть службы Active Directory + DNS, выполнить настройку служб.
    • Развернуть службу DHCP, выполнить настройку обслуживания подсети 192.168.0.0/24.

    Проделываться все действия будут на виртуальной машине.

    Установка Windows Server 2012 R2 и настройка

    При выборе типа устанавливаемой системы, выбираем Windows Server 2012 R2 Standart with GUI. Далее саму установку я пропущу, т.к. она полностью тривиальная.


    После установки системы, обязательно обновляем систему до актуального состояния. Изменяем имя ПК (прим. DC1).

    В настройках TCP/IP указываем статические IP-адреса (прим. как на скриншоте ниже)


    Изменяем временную зону, выбираем относящуюся к нам зону (+03:00 Moscow, St. Petersburg, Volgograd).


    На этом базовая подготовка системы выполнена, можно приступать к развертыванию служб.

    Разворачиваем службы Active Directory + DNS


    Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен только для установки роли удаленных рабочих столов. Нажимаем Next.


    Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Пункт Select a virtual hard disk позволяет указать сервер расположенный на VHD-диске. Нажимаем Next.


    Отмечаем галочкой роль Active Directory Domain Services, в подтверждающем запросе добавления роли и компонентов, необходимых для установки AD нажимаем Add Features и после нажимаем Next.



    В этом окне предлагается выбрать дополнительные компоненты, в моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.



    Информационная страница на которой обращается внимание на то что желательно иметь несколько контроллеров домена, на случай выхода из строя основного. Служба AD DS требует установленного в сети DNS-сервера, если он не установлен, то будет предложено его установить, а так же AD DS требует установки дополнительных служб DFS Namesspases (пространства имен), DFS Replication (DFS репликации) и File Replication (Файловой репликации). Нажимаем Next.

    На завершающей странице мастера отображается информация по устанавливаемым компонентам. Так же здесь можно экспортировать конфигурацию в xml-файл (Export configuration settings), на случай если нужно развернуть идентичный сервер. Нажимаем Install.


    После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Promote this server to a domain controller (Повысить этот сервер до контроллера домена). Запустится мастер конфигурирования AD DS.


    Необходимо выбрать вариант развертывания AD DS.

    Выбираем вариант Add New Forest, указываем корневое имя домена, нажимаем Next.


    В параметрах контроллера домена оставляем по умолчанию функционал леса и домена, проверяем отмечен ли галочкой пункт Domain Name System (DNS), будет автоматически поднята роль DNS и задаем пароль для режима восстановления служб каталогов. Нажимаем Next.


    Не обращаем внимание на предупреждение ошибки делегирования для этого DNS-сервера, т.к. роль DNS поднимается в процессе конфигурации AD DS. Нажимаем Next.


    Оставляем подставленное мастером NetBIOS имя. Нажимаем Next.


    Пути к каталогам оставляем по-умолчанию. Нажимаем Next.


    Вывод сводной информации по настройке AD DS. Нажимаем Next.



    В ходе установки конфигурации AD DS, система будет перезагружена. После перезагрузки добавим зону обратного просмотра в DNS. Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств.

    Запускаем Server Manager, выбираем роль DNS и на сервере жмем правой кнопкой мыши. Выбираем пункт DNS Manager (Диспетчер DNS).


    Выделяем вкладку Reverse Lookup Zones, нажимаем правой кнопкой и выбираем New Zone.


    Задаем тип добавляемой зоны:


    Выбираем Primary zone и нажимаем Next.

    Предлагается выбрать как будет выполнятся репликация добавляемой зоны:

    Выбираем То all DNS servers running on domain controllers in this domain. Нажимаем Next.


    Выбираем протокол заданный по умолчанию IPv4 Reverse Lookup Zone. Нажимаем Next.


    Задаем параметр Network ID. В моем случае 192.168.0. В поле Reverse Lookup Zone Name автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.


    Выбор параметра динамического обновления:

    Выбираем Allow both nonsecure and secure dynamic updates. Нажимаем Next.


    В завершении добавлении зоны обратного просмотра нажимаем Finish.


    Теперь укажем Forwarders (Серверы пересылки). Серверы пересылки служат для того чтобы кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет. Это нужно для того чтобы локальные компьютеры доменной сети смогли получить доступ в интернет.

    В оснастке DNS Manage (Диспетчер DNS) выделяем наш сервер и нажимаем правой кнопкой мыши. Выбираем Properties. Переходим во вкладку Forwarders и нажимаем на Edit.


    В поле <Click here to add an IP Address or DNS Name> вбиваем IP-адрес или DNS имя, например провайдера или можно 8.8.8.8 (DNS Google). Нажимаем OK.


    Теперь локальные компьютеры состоящие в доменной сети, смогут выходить в интернет.

    Поднимаем службу DHCP и выполняем настройку ее

    Добавляем новую роль Server Manager — Manage — Add Roles and Features. Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Нажимаем Next.


    Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Нажимаем Next.


    Отмечаем галочкой роль DHPC Server, в подтверждающем запросе добавления роли и компонентов, необходимых для установки DHCP Server нажимаем Add Features и после нажимаем Next.



    В моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.


    Информационная страница на которой обращается внимание на то что необходимо настроить на компьютере статический IP-адрес и перед установкой DHCP сервера нужно спланировать подсеть, области и исключения. Нажимаем Next.


    На завершающем этапе установки, нажимаем Install.


    После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Complete DHCP configuration (Завершить конфигурацию DHCP). Запустится мастер после установочной конфигурации DHCP.


    Информационная страница, на которой сообщается что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.


    На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.


    Если процесс создания групп безопасности и авторизация в AD прошли успешно, то получим вывод Done. Нажимаем Close.


    Запускаем Server Manager, выбираем роль DHCP и на сервере жмем правой кнопкой мыши. Выбираем пункт DHCP Manager (Диспетчер DHCP).



    Задаем имя области и ее описание. Нажимаем Next.


    Определяем начальный и конечный адрес диапазона подсети. Нажимаем Next.


    По желанию можно задать диапазон адресов которые не будут выдаваться клиентам. Для задания диапазона исключения указываем начальный адрес и конечный и нажимаем Add. По окончании нажимаем Next.


    Задаем время аренды выданного IP-адреса. Нажимаем Next.


    Указываем Yes, I want to configure these options now (Да, я хочу настроить опции сейчас). Нажимаем Next.


    Указываем адрес шлюза. Нажимаем Next.


    Параметры задания доменного имени, DNS сервера и WINS Servers пропускаем, оставляем указанных значения по-умолчанию. Нажимаем Next.



    Соглашаемся с активацией заданной области, выбираем Yes, I want to activate thisscope now. Нажимаем Next.


    На этом установка и настройка AD DS, DNS, DHCP завершена.

    Читайте также: