Настройка Wi-Fi

Что такое Active Directory – как установить и настроить. Добавление нового пользователя

27.04.2019
Что такое Active Directory – как установить и настроить. Добавление нового пользователя

В этом документе приведены инструкции по настройке Microsoft® Windows 2000 Active Directory на контроллерах домена для создания леса доменов. Подробно описаны настройка DNS, процесс создания новых доменов и их размещение в дереве, создание новых деревьев, а также резервных контроллеров домена. Обсуждается процедура безопасного «разжалования» контроллера домена. Рассматриваются также дополнительные вопросы настройки DNS, такие как обратное разрешение адресов, интеграция с Active Directory и безопасное динамическое обновление. Кроме того, приведен ряд замечаний, касающихся DNS серверов сторонних поставщиков программного обеспечения.

Введение

В Microsoft® Windows 2000 впервые реализована Active Directory - расширяемая и масштабируемая служба каталогов, которая позволяет организовать распределенную защиту и управление, а также работает в качестве хранилища информации о сети, которая может быть легко извлечена с помощью запросов.

База данных Active Directory хранится и дублируется на серверах, выступающих в роли контроллеров домена. Этот обзор поможет вам приступить к настройке серверов-контроллеров домена.

Настоящий документ состоит из 5 глав:

Настройка контроллеров домена - эта глава посвящена подготовке контроллеров домена и серверов DNS к созданию деревьев и лесов доменов Active Directory.

Дополнительные настройки DNS - из этой главы вы узнаете, как настроить другие возможности DNS, такие как обратное разрешение адресов, интеграция с Active Directory и защищенное динамическое обновление. Здесь же приведены рекомендации по настройке дополнительных серверов DNS.

Перевод домена в «естественный» режим работы - естественный режим (Native Mode) позволит вам в полной мере использовать преимущества новых возможностей управления группами безопасности в Windows 2000.

«Разжалование» контроллера домена - В Windows 2000 контроллеры домена могут быть созданы или лишены своего статуса без переустановки операционной системы. В этой главе продемонстрировано, как «разжаловать» компьютер из контроллера домена в отдельный сервер или сервер-член домена.

Использование DNS серверов сторонних поставщиков - Использование Microsoft DNS Server не является обязательным условием работы Active Directory. Могут быть использованы и другие реализации серверов DNS, если они поддерживают ряд стандартных протоколов. В этой главе показано, как настроить BIND 8.1.2 для поддержки Active Directory.

Перед тем, как приступить к настройке контроллеров домена, будет полезно лучше познакомиться с концепциями пространства имен Active Directory, такими как домены, деревья и леса. Дополнительную информацию можно получить в официальном документе Технический обзор Active Directory (Active Directory Technical Summary), опубликованном по адресу microsoft.com .

Повышение статуса: настройка контроллеров домена Active Directory

Операция превращения сервера в контроллер домена называется повышением статуса (promotion).

Из последующих разделов вы узнаете, как:

Подготовить повышение статуса - в этом разделе рассказывается, как настроить сервер, чтобы можно было повысить его статус.

Создать первый домен в лесу - Лес - это набор доменов, связанных доверительными отношениями и использующих общую схему, конфигурацию сайта и служб, а также глобальный каталог. Первый сервер Windows 2000, получивший статус контроллера домена, будет обслуживать первый домен в лесу.

Добавление серверов и рабочих станций в домен - В этом разделе рассказывается, что нужно для добавления сервера-члена домена или рабочих станций в домен Windows 2000.

Добавление резервного контроллера в домен - После настройки первого контроллера домена вы можете добавить дублирующие контроллеры для более равномерного распределения нагрузки и повышения отказоустойчивости.

Добавление дочернего домена в дерево - Вы можете создать дерево доменов Active Directory, добавляя к существующему домену дочерние. Домены в дереве образуют единое пространство имен.

Добавление дерева в лес - Если домен, который вы хотите добавить, имеет имя, не смежное ни с одним именем других доменов леса, вы можете добавить его в новое дерево леса.

Изучение этой главы следует начать с первых двух разделов: «Подготовка сервера к повышению статуса» и «Создание первого домена в лесу». Последующие разделы можно изучить позднее в любой последовательности.

Подготовка сервера к повышению статуса

Любой отдельный сервер или сервер-член домена, работающий под управлением Windows 2000 Server, может получить статус контроллера домена.

Перед тем как приступить к настройке, используйте диск CD-ROM Beta 2 для «чистой» установки Windows 2000 Server на компьютер или модернизируйте существующий отдельный сервер или сервер-член домена до Windows NT 4.0 Server.

Замечание : Для повышения статуса вы должны зарегистрироваться, используя учетную запись локального администратора. Не регистрируйтесь с использованием глобальной учетной записи - члена группы локальных администраторов. В последующих версиях вы сможете использовать глобальную учетную запись при повышении статуса.

Модернизация контроллеров домена Windows NT

Вы можете также модернизировать главный (PDC) или резервный (BDC) контроллер домена, работающий под управлением Windows NT 4.0. Главный контроллер домена должен быть модернизирован в первую очередь. После модернизации PDC могут быть по возможности модернизированы серверы BDC. После модернизации BDC вы можете сохранить его в качестве дублирующего в том домене, где он находится, либо превратить его в сервер-член домена.

Если вы решили модернизировать контроллер домена Windows NT 4.0, процесс повышения статуса начнется автоматически после того, как обновление операционной системы завершится и компьютер будет перезагружен.

Создание первого домена

Первый домен в лесу становится вершиной первого дерева в лесу. Домены Active Directory используют систему имен DNS, например «nttest.microsoft.com». Если вы создаете дочерние домены в дереве «nttest.microsoft.com», имена всех доменов дерева должны оканчиваться на «nttest.microsoft.com». Начните обдумывать, какое имя присвоить своему первому домену, уже сейчас.

Настройка контроллера первого домена выполняется в два этапа:

  • Установка Microsoft DNS Server.
  • Запуск мастера установки Active Directory.

Замечание : Если контроллер вашего первого домена Active Directory - модернизированный PDC Windows NT 4.0, мастер Active Directory Promotion будет автоматически запущен сразу после завершения обновления системы. Однако перед повышением статуса вы должны выполнить дополнительную настройку, как это описано далее. Прервав в этот момент работу мастера повышения статуса, вы сможете запустить его позднее.

Установка Microsoft Active Directory

Клиенты Active Directory используют DNS для поиска контроллеров домена. Microsoft рекомендует использовать DNS сервер, который входит в состав Windows 2000, однако допускается использование и других серверов DNS, если они удовлетворяют определенным функциональным требованиям. Более подробную информацию об использовании DNS серверов сторонних производителей вы можете найти в главе «Использование DNS серверов сторонних поставщиков» в конце настоящего документа.

Если вы уже установили и настроили DNS сервер для поддержки домена Active Directory и контроллеров этого домена, вы можете перейти к следующему этапу. Если нет - Microsoft рекомендует установить Windows 2000 DNS на первом контроллере домена.

Во время установки вам может быть выдан запрос на установку статического IP адреса сервера. Серверы DNS требуют для корректной работы указания как минимум одного постоянного IP адреса на компьютере.

Установка Microsoft DNS Server

  • Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете главный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
  • В меню Start выберите пункт Settings , а затем - пункт Control Panel .
  • Дважды щелкните по значку Add/Remove Programs .
  • Нажмите кнопку Add/Remove Windows Components .
  • Будет запущена программа-мастер Windows Components Wizard.
  • Выберите пункт Networking Services и нажмите кнопку Details .

Замечание: Не устанавливайте флажок Networking Services во включенное положение. В этом случае будут установлены все сетевые службы. Просто выберите пункт Networking Services.

  • Установите во включенное положение флажок рядом с пунктом Dynamic Name Service (DNS) .
  • Нажмите кнопку OK , чтобы закрыть диалоговое окно.
  • Нажмите кнопку Next для установки программного обеспечения сервера DNS. Если диск Windows 2000 Beta 3 еще не вставлен в дисковод CD-ROM, программа предложит вам сделать это.
  • Если появится запрос с предложением указать статический IP адрес, нажмите кнопку OK и проделайте следующее:

В диалоговом окне Local Area Connection Properties, которое должно появиться после этого, выберите пункт Internet Protocol (TCP/IP) и нажмите кнопку Properties .

Установите переключатель в положение Use the following IP address и укажите значения в полях IP address , Subnet mask и Default Gateway . Если вы не знаете, какие значения использовать, обратитесь к администратору сети. Если вы работаете в собственной сети, вы можете использовать значения из зарезервированного диапазона 10.x.x.x адресов класса A. Например, установите IP адрес компьютера равным 10.0.0.1, используйте предложенное по умолчанию значение маски подсети и оставьте поле адреса шлюза пустым. Каждый компьютер должен иметь свой уникальный IP адрес.

Если в вашей сети имеются другие серверы DNS, установите переключатель в положение Use the following DNS server addresses и введите IP адрес сервера DNS в поле Primary DNS Server . Если у вас в сети нет других серверов DNS, оставьте переключатель в положении Obtain DNS server address automatically или оставьте поле Primary DNS Server пустым.

  • Нажмите кнопку OK , чтобы закрыть диалоговое окно Internet Protocol (TCP/IP) Properties.
  • Нажмите кнопку OK , чтобы закрыть панель Connection configuration.
  • Нажмите кнопку Finish для завершения установки DNS.
  • Закройте окно Add/Remove Programs . Сервер DNS установлен.

Если вы указали в пункте «с» существовавший ранее сервер DNS, вам придется настроить его так, чтобы он делегировал обслуживание имен в домене Active Directory серверу DNS, который вы только что установили. Это делается путем добавления ресурсных записей Name Server в файл зоны, ответственной за обслуживание имен вашего домена Active Directory. О том, как это осуществить, вы можете узнать из документации к своему DNS серверу. Сделайте это после того, как работа мастера установки Active Directory будет завершена.

Если вы не указывали существующего сервера DNS, компьютер будет автоматически настроен для использования установленного на нем сервера DNS.

Замечание : В отличие от предыдущих версий Windows 2000, вам больше не нужно вручную настраивать DNS перед повышением статуса сервера. Теперь это делается автоматически в процессе повышения статуса, если на компьютере установлен DNS сервер. В последующих версиях сервер DNS будет устанавливаться автоматически, и выполнять эти действия не потребуется.

Запуск мастера установки Active Directory

Повышение статуса серверов до контроллеров домена происходит с помощью программы-мастера установки Active Directory, известной также под названием DCpromo.

Запуск DCpromo

  • В меню Start выберите пункт Run .
  • Введите dcpromo и нажмите кнопку OK .
  • Next
  • Если появится сообщение о том, что выбранный вами путь не принадлежит разделу NTFS 5.0 и в системе существует только раздел FAT, вам придется преобразовать его в NTFS 5.0. Если это сообщение не появится - пропустите следующие два пункта.
  • Нажмите кнопку OK , чтобы закрыть окно сообщения.

Нажмите кнопку Cancel , чтобы прервать работу DCpromo.

В меню Start выберите пункт Programs , а затем пункт Command Prompt . Введите команду:

Convert drive: /FS:NTFS

где drive - имя логического диска, где установлена Windows 2000.

Утилита Convert сообщит вам о текущей файловой системе раздела и проинформирует о необходимости перезагрузки. Введите Y и нажмите клавишу Enter .

Перезагрузите систему. Логический том будет преобразован в NTFS 5.0 в процессе загрузки. Зарегистрируйтесь и вновь запустите DCpromo, пролистайте окна до окна System Volume path и продолжайте работу.

  • Выберите пункт New domain и нажмите кнопку Next .
  • Выберите пункт Create new domain tree и нажмите кнопку Next .
  • Выберите пункт Create a new forest of domain trees и нажмите кнопку Next .
  • Введите полное DNS-имя, которое вы выбрали для своего первого домена Active Directory, например «nttest.microsoft.com», и нажмите кнопку Next . DCpromo проверит, не используется ли уже введенное вами имя.
  • Next .
  • DCpromo предложит вам путь для размещения базы данных и файлов журнала Active Directory. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next .
  • DCpromo предложит путь файла для создания резервной копии системного тома. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next .
  • Если появится предупреждение о том, что DCpromo не может связаться с DNS сервером для разрешения указанного вами имени, нажмите кнопку OK .
  • Выберите Yes , чтобы DCpromo настроил для DNS и нажмите кнопку Next .
  • Прочитайте информацию в окне подтверждения и нажмите кнопку Next для запуска процесса повышения статуса. Он займет несколько минут.
  • Нажмите кнопку Finish .
  • Нажмите кнопку Restart Now , чтобы перезагрузить компьютер.

Поздравляем, вы только что создали свой первый домен Active Directory! После того, как компьютер перезагрузится, вы можете зарегистрироваться, используя глобальную учетную запись администратора. Используйте тот же самый пароль, что и до повышения статуса сервера.

Теперь вы можете продолжить добавление контроллеров домена с различным статусом или сразу приступить к экспериментам с каталогом.

Добавление серверов и рабочих станций в домен

Серверы и рабочие станции подключаются к домену так же, как и в Windows NT 4.0.

На компьютерах, работающих под управлением Windows 2000, необходимо настроить как минимум один IP адрес сервера DNS, чтобы они могли обнаружить контроллер домена в процессе подключения. IP адрес сервера DNS может сообщаться клиентским системам автоматически при помощи DHCP или устанавливаться вручную в окне настройки сетевых соединений. Более подробную информацию о DHCP вы найдете в официальном документе Microsoft Dynamic Host Configuration Protocol for Windows 2000 (Протокол динамической конфигурации хоста для Windows 2000), опубликованном по адресу microsoft.com .

Windows NT 4.0 и клиентские системы Microsoft Windows 9x используют для обнаружения контроллеров домена службу WINS. Вы должны установить и запустить WINS, если хотите, чтобы такие клиенты участвовали в домене Windows 2000.

Учетные записи для подключаемых компьютеров можно создать в домене заранее или в процессе присоединения к домену. Если вы хотите сделать это заранее, то можете воспользоваться средством Active Directory Manager.

Включение в домен Windows 2000 серверов или рабочих станций, работающих под управлением Windows 2000, производится следующим образом.

Соединение сервера или рабочей станции Windows к домену

  • В меню Start выберите пункт Settings , а затем - пункт Control Panel .
  • Щелкните дважды по значку System . (Вместо этого вы можете щелкнуть правой клавишей мыши по значку My Computer на Рабочем столе и выбрать в динамическом меню пункт Properties .)
  • Щелкните закладке Network Identification .
  • Нажмите кнопку Change , чтобы изменить статус членства компьютера.
  • В списке Member of выберите пункт Windows NT secure domain .
  • В текущем поле ввода укажите полное DNS-имя домена, к которому вы хотите присоединить компьютер, например «nttest.microsoft.com».
  • Нажмите кнопку OK .
  • Введите имя и пароль учетной записи домена, обладающей достаточными привилегиями для выполнения операции присоединения компьютера к домену. Если вы создали учетную запись для данного компьютера заранее, введите имя и пароль пользователя, который будет на нем работать. Если вы хотите создать учетную запись в процессе присоединения, введите имя и пароль пользователя, имеющего полномочие на создание объектов в используемом по умолчанию контейнере Computers. В любом случае, полномочий администратора домена будет достаточно.
  • Нажмите кнопку OK для отправки имени и пароля.
  • Если попытка присоединения окончится неудачей, возможно, вы неправильно указали имя домена или использовали учетную запись пользователя, не обладающего достаточными полномочиями. Если присоединение произошло успешно, появится подтверждающее сообщение. Нажмите кнопку OK .
  • Нажмите кнопку OK , чтобы закрыть окно предупреждения о перезагрузке.
  • Нажмите кнопку OK , чтобы закрыть панель System.
  • Нажмите кнопку Yes для перезагрузки компьютера.
  • После перезагрузки компьютер будет присоединен к домену.

Добавление в домен резервного контроллера

Для создания резервных копий домена используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, копию которого хотите создать. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Создания копии домена

  • Нажмите кнопку Start и выберите в меню пункт Run .
  • Введите dcpromo и нажмите кнопку OK .
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
  • Выберите пункт Replica domain controller in existing domain и нажмите кнопку Next .
  • Введите полное DNS-имя домена, копию которого хотите создать, например «nttest.microsoft.com’, и нажмите кнопку Next .
  • Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в домене, копию которого вы создаете, и нажмите кнопку Next .

После перезагрузки компьютера он будет функционировать как копия контроллера домена в указанном вами домене.

Добавление дочернего домена

Для создания дочернего домена в существующем дереве используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к домену, который будет родительским для нового. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дочернего домена через запись администратора

Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.

  • Нажмите кнопку Start и выберите в меню пункт Run .
  • Введите dcpromo и нажмите кнопку OK .
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
  • Выберите пункт New domain и нажмите кнопку Next .
  • Выберите пункт Create new child domain и нажмите кнопку Next .
  • Введите полное DNS-имя существующего домена, который будет в дереве родительским для нового, например «nttest.microsoft.com’, и нажмите кнопку Next .
  • Введите короткое имя нового дочернего домена, например «redmond». Имя родительского домена будет добавлено к этому имени для создания полного DNS-имени дочернего домена, например «redmond.nttest.microsoft.com.»
  • Нажмите кнопку Next
  • DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next .
  • Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в родительском домене, и нажмите кнопку Next .
  • Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

Замечание : В последующих версиях вы сможете делегировать отдельным пользователям или группам полномочия на создание дочерних доменов. При этом им не нужно будет передавать всю полноту административных полномочий в родительском домене.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дочернем домене.

Добавление дерева в лес

Для создания новых деревьев в существующем лесу используется программа-мастер Active Directory Installation Wizard.

Замечание : Перед запуском DCpromo вы должны присоединить компьютер к корневому (root) домену леса. Корневой домен - это первый из созданных вами доменов. Следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дерево в лес через администратора

  • Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
  • Нажмите кнопку Start и выберите в меню пункт Run .
  • Введите dcpromo и нажмите кнопку OK .
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
  • Выберите пункт New domain и нажмите кнопку Next .
  • Выберите пункт Create new domain tree и нажмите кнопку Next .
  • Выберите пункт Put this domain in an existing forest и нажмите кнопку Next .
  • Введите полное DNS-имя корневого домена леса, например «nttest.microsoft.com.»
  • Введите полное DNS-имя нового дерева, например «ntdev.microsoft.com». Это имя не может быть подчиненным (subordinate) или главенствующим (superior) по отношению к какому-либо из существующих в лесу деревьев. Например, если в вашем лесу существует одно дерево с именем «nttest.microsoft.com», вы не можете создать новое дерево с именем «microsoft.com» (главенствующее), а также новое дерево с именем «redmond.nttest.microsoft.com» (подчиненное).
  • Нажмите кнопку Next . DCpromo проверит, не существует ли уже такого имени.
  • DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next .
  • Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в корневом домене леса, и нажмите кнопку Next .
  • Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дереве.

Если вы используете Microsoft DNS Server, который поставляется в составе Windows NT, вы можете сконфигурировать и изучить следующие дополнительные возможности:

Обратное разрешение адресов

Интеграцию с Active Directory, которая позволит вам также сконфигурировать:

Защищенное динамическое обновление

Дополнительные серверы DNS для обеспечения отказоустойчивости

Процедуры конфигурации для каждого из этих средств описываются ниже.

Настройка обратного разрешения адресов

Обычно сервер DNS используется для преобразования имен в IP адреса, этот процесс известен под названием прямого разрешения имен (forward lookup). Кроме этого, он может использоваться и для преобразования IP адресов обратно в имена. Этот процесс называется обратным разрешением адресов (reverse lookup). Он конфигурируется отдельно от прямого разрешения имен. Хотя обратное для корректной работы не требуется разрешение адресов Windows 2000 или Active Directory, возможность обратного преобразования IP адресов в имена компьютеров может оказаться полезной при анализе проблем в сети.

Конфигурирование обратного разрешения адресов

  • Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
  • Щелкните по папке Reverse Lookup Zones .
  • Щелкните правой клавишей мыши по папке Reverse Lookup Zones и выберите в динамическом меню пункт Create a New Zone .
  • Next .
  • Выберите пункт Active Directory Integrated , если вы хотите хранить новую зону в каталоге. Вы можете также выбрать пункт Standard Primary , если хотите хранить новую зону в стандартном файле обратного просмотра зоны.
  • Введите информацию о подсети, для которой вы хотите организовать обратное разрешение адресов. Например, если ваша подсеть имеет адреса класса B 157.55.80/20, укажите 157.55.80.0 в качестве идентификатора подсети (subnet ID) и 255.255.240.0 в качестве маски подсети. Нажмите кнопку Next .
  • Если вы выбрали пункт Standard Primary, программа-мастер предложит вам имя для нового файла зоны. Примите значение по умолчанию или введите новое имя. Нажмите кнопку Next .
  • Проверьте правильность веденной информации в заключительном окне программы-мастера и нажмите кнопку Finish .
  • Щелкните по зоне обратного разрешения адресов, которую вы только что создали.
  • Properties .
  • На закладке основных свойств General выберите пункт Allow Updates или пункт Allow Secure Updates в раскрывающемся списке Dynamic Update .
  • Нажмите кнопку OK , чтобы закрыть окно диалоговое свойств зоны.

Повторите этот процесс для каждой подсети, для которой вы хотите организовать поддержку обратного разрешения адресов.

Если ваш сервер DNS - не единственный в сети, вам придется ввести в существующую систему DNS информацию о делегировании, чтобы другие серверы DNS могли найти вашу зону. Для получения информации о том, как это сделать, изучите документацию по используемым у вас серверам DNS.

Интеграция с Active Directory

Microsoft DNS Server в составе Windows 2000 может хранить данные не в стандартных файлах зоны, а в Active Directory. При этом дубликаты зон поддерживаются на контроллерах домена и могут быть загружены любым DNS сервером, функционирующим на контроллере этого домена. Таким образом реализуются преимущества динамического обновления с несколькими мастер-копиями.

Если ваши зоны интегрированы в Active Directory, вы можете:

Организовать защищенное динамическое обновление. Легко настроить дополнительные DNS серверы для повышения отказоустойчивости. Вы можете интегрировать в Active Directory столько зон, сколько пожелаете.

Добавление зон в Active Directory

  • Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
  • Щелкните по объекту DNS Server, чтобы развернуть его.
  • Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones , чтобы развернуть ее.
  • Щелкните по зоне, которую хотите хранить в Active Directory.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
  • На закладке основных свойств General нажмите кнопку Change , чтобы сменить тип зоны.
  • Выберите пункт Active Directory integrated primary и нажмите кнопку OK .
  • Нажмите кнопку OK , чтобы подтвердить свой выбор.
  • Нажмите кнопку OK
  • В зависимости от размеров зоны для преобразования может потребоваться несколько минут.
  • Повторите этот процесс для каждой зоны прямого и обратного просмотра, которую вы хотите хранить в Active Directory.

Замечание : В отличие от некоторых предварительных версий Windows 2000, вам больше не требуется переводить домен в естественный режим (Native Mode) перед интеграцией DNS с Active Directory.

Организация защищенного динамического обновления

Для зон, интегрированных в Active Directory, можно организовать защищенное динамическое обновление. При этом только указанные вами компьютеры могут добавлять новые или модифицировать существующие элементы в зоне. По умолчанию все аутентифицированные компьютеры в лесу могут создавать новые элементы в зоне, и лишь тот компьютер, который создал имя, может модифицировать связанные с ним данные.

Вы можете разрешить защищенное динамическое обновление в любых зонах, интегрированных в Active Directory.

Включение возможности защищенного динамического обновления

  • Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .
  • Щелкните по объекту DNS Server, чтобы развернуть его.
  • Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones , чтобы развернуть ее.
  • Выберите интегрированную в Active Directory зону, для которой вы хотите разрешить защищенное динамическое обновление.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
  • На закладке основных свойств General выберите пункт Allow Only Secure Updates в раскрывающемся списке Dynamic Update .
  • Нажмите кнопку OK , чтобы закрыть панель свойств.
  • Подобным образом вы можете включить возможность защищенного динамического обновления для любого числа зон.

Установка дополнительных серверов DNS Servers для повышения отказоустойчивости

Если вы воспользовались возможностью интеграции своих зон в Active Directory, вам будет легко установить и сконфигурировать дополнителные серверы DNS для равномерного распределения нагрузки и повышения отказоустойчивости. Для этого достаточно просто установить Microsoft DNS Server на копии контроллера домена и добавить в него зоны, интегрированные в Active Directory.

Установка серверов DNS для повышения отказоустойчивости

  • Установите Microsoft DNS Server на резервный контроллер домена. Описание процесса установки приведено в разделе «Создание первого домена в лесу».

Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт DNS Management .

  • Щелкните по объекту DNS Server, чтобы развернуть его.
  • Выберите папку Forward Lookup Zones .
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Create New Zone .
  • Будет запущена программа-мастер создания новой зоны. Нажмите кнопку Next .
  • Выберите пункт Active Directory Integrated и нажмите кнопку Next .
  • Введите имя зоны, которую вы интегрировали в каталог на предыдущем сервере DNS, и нажмите кнопку Next .
  • Нажмите кнопку Finish .

Повторяйте этот процесс, начиная с п. 4 для каждой интегрированной в Active Directory зоны, существующей на первом сервере DNS этого домена. Если вы создадите новые интегрированные в Active Directory зоны на этом или другом сервере, вам придется создать их также на всех остальных серверах, чтобы они могли загружать соответствующую информацию.

Замечание : В последующих версиях вам не придется вручную добавлять зоны в DNS сервер. Сервер будет автоматически загружать все зоны, которые он обнаружит в каталоге.

Перевод домена в «естественный» (Native) режим работы

По умолчанию созданный домен работает в Смешанном (Mixed) режиме. При этом в домен могут входить резервные контроллеры (BDC) Windows NT 4.0. Когда все резервные контроллеры Windows NT 4.0 будут модернизированы или отключены, можно переключить домен в «естественный» (Native) режим работы.

Единственная разница между смешанным и естественным режимом работы заключается в ограничениях на включение контроллеров домена в группы и в том, как обрабатывается членство в группах при регистрации пользователя в сети. Переключение в естественный режим работы позволяет воспользоваться некоторыми новыми особенностями групп безопасности Windows 2000 , например, возможностью организации вложенных групп.

Замечание : В отличие от некоторых более ранних предварительных версий Windows 2000, репликация с несколькими мастер-копиями может осуществляться между контроллерами домена Windows 2000 даже в естественном режиме работы.

Для переключения в естественный режим работы применяется нижеописанная процедура. При этом в домене не должно быть резервных контроллеров Windows NT 4.0. После переключения в естественный режим обратное переключение в смешанный режим работы невозможно.

Для переключения в естественный режим работы

  • Нажмите кнопку Start , выберите в меню пункт Programs , затем - пункт Administrative Tools и, наконец, пункт Active Directory for Users and Computers
  • Щелкните по узлу домена.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties .
  • На закладке основных свойств General нажмите кнопку Change Mode .
  • Нажмите кнопку Yes для подтверждения.
  • Нажмите кнопку OK , чтобы закрыть панель свойств.
  • Нажмите кнопку OK после прочтения информации о перезагрузке. Каждый контроллер домена должен быть перезагружен после того, как в поле Mode на закладке основных свойств General будет установлено значение Native Mode.
  • Закройте консоль управления Directory Management.
  • Перезагрузите компьютер, чтобы изменения вступили в силу.

Понижение статуса: «разжалование» контроллеров домена Active Directory

Компьютер, играющий роль контроллера домена, может быть превращен в отдельный сервер или сервер-член домена. Этот процесс также называют понижением статуса (demotion). Понижение статуса сервера приводит к его удалению из конфигурации леса и DNS. «Разжалование» последнего контроллера в домене означает прекращение существования домена.

Корневой домен леса может быть удален, только если он последний из оставшихся в лесу.

Понижение статуса приводит к удалению с сервера каталога и всех принципалов безопасности и их замещению базой данных безопасности, используемой по умолчанию. Она соответствует базе данных, которая создается при «чистой» установке Windows 2000.

Чтобы заработал «разжаловать» контроллер домена

  • Нажмите кнопку Start и выберите в меню пункт Run .
  • Введите команду dcpromo и нажмите кнопку OK .
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next , чтобы продолжить работу с ней.
  • Выберите пункт This is the last domain controller in the domain , если это уместно, и нажмите кнопку Next .
  • После понижения статуса будет создана новая база данных безопасности. Введите и подтвердите новый пароль для учетной записи Administrator, после чего нажмите кнопку Next .
  • Нажмите кнопку Next для запуска процесса понижения статуса.
  • Нажмите кнопку Finish , чтобы завершить работу мастера.
  • Нажмите кнопку Restart Now для перезагрузки сервера.

Использование DNS серверов сторонних поставщиков

Использование Microsoft DNS Server, входящего в состав Windows 2000, не является обязательным. Однако Windows 2000 требует использования DNS сервера, обеспечивающего поддержку следующих стандартов:

Ресурсные записи Service Location (SRV RR), RFC 2052

Протокол динамического обновления Dynamic Update protocol, RFC 2136

Настоящая предварительная версия Windows 2000 была протестирована на совместимость с сервером BIND версии 8.1.2. Для получения подробной информации о настройке динамического обновления с помощью директивы update изучите документацию к серверу BIND.

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory ().

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services . В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller ».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory (с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей ():

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01..сайт). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01..сайт. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:

1) Основной контроллер домена, ОС — Windows Server 2012 R2 with GUI, сетевое имя: dc1.

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS — это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

Теперь настроим службу DHCP. Запускаем оснастку.

Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

Далее укажем начальный и конечный адрес диапазона сети.

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.


Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу «DnsUpdateProxy». Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

Нажимаем Credentials и указываем там нашего пользователя DHCP.

Нажимаем ОК, перезапускаем службу.

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум и контроллеры домена.

Active Directory (AD) — это служебные программы, разработанные для операционной системы Microsoft Server. Первоначально создавалась в качестве облегченного алгоритма доступа к каталогам пользователей. С версии Windows Server 2008 появилось интеграция с сервисами авторизации.

Дает возможность соблюдать групповую политику, применяющую однотипность параметров и ПО на всех подконтрольных ПК с помощью System Center Configuration Manager.

Если простыми словами для начинающих – это роль сервера, которая позволяет из одного места управлять всеми доступами и разрешениями в локальной сети

Функции и предназначения

Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.

Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации , с помощью которой можно узнать нужную информацию о пользователе.

Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые применяются при работе с AD:

  1. Сервер – компьютер, содержащий все данные.
  2. Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
  3. Домен AD - совокупность устройств, объединенных под одним уникальным именем, одновременно использующих общую базу данных каталога.
  4. Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из любого контроллера домена.

Как работают активные директории

Основными принципами работы являются:

  • Авторизация , с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
  • Защищенность . Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
  • Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
  • Полная интеграция с DNS . С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
  • Крупные масштабы . Совокупность серверов способна контролироваться одной Active Directory.
  • Поиск производится по различным параметрам, например, имя компьютера, логин.

Объекты и атрибуты

Объект - совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.

Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из других объектов . Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.

Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD - модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) - основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.

Лес доменов – совокупность деревьев, связанных между собою.

Сайт - совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.

Установка и настройка Active Directory

Теперь перейдем непосредственно к настройке Active Directory на примере Windows Server 2008 (на других версиях процедура идентична):

Нажать на кнопку “ОК”. Стоит заметить, что подобные значения не обязательны. Можно использовать IP адрес и DNS из своей сети.

  • Далее нужно зайти в меню “Пуск”, выбрать “Администрирование” и “”.
  • Перейти к пункту “Роли”, выбрать поле “Добавить роли ”.
  • Выбрать пункт “Доменные службы Active Directory” дважды нажать “Далее”, а после “Установить”.
  • Дождаться окончания установки.
  • Открыть меню “Пуск”-“Выполнить ”. В поле ввести dcpromo.exe.
  • Кликнуть “Далее”.
  • Выбрать пункт “Создать новый домен в новом лесу ” и снова нажать “Далее”.
  • В следующем окне ввести название, нажать “Далее”.
  • Выбрать режим совместимости (Windows Server 2008).
  • В следующем окне оставить все по умолчанию.
  • Запустится окно конфигурации DNS . Поскольку на сервере он не использовался до этого, делегирование создано не было.
  • Выбрать директорию для установки.
  • После этого шага нужно задать пароль администрирования .

Для надежности пароль должен соответствовать таким требованиям:


После того как AD завершит процесс настройки компонентов, необходимо перезагрузить сервер.



Настройка завершена, оснастка и роль установлены в систему. Установить AD можно только на Windows семейства Server, обычные версии, например 7 или 10, могут позволить установить только консоль управления.

Администрирование в Active Directory

По умолчанию в Windows Server консоль Active Directory Users and Computers работает с доменом, к которому относится компьютер. Можно получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому контроллеру.

Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск, можно создавать новых пользователей, группы и изменять из разрешения.

К слову, существует 2 типа групп в Актив Директори – безопасности и распространения. Группы безопасности отвечают за разграничение прав доступа к объектам, они могут использоваться, как группы распространения.

Группы распространения не могут разграничивать права, а используются в основном для рассылки сообщений в сети.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

  • Проверить сетевые связи между котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для внешних доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить созданные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Глобальный каталог

Это контроллер домена, который хранит копии всех объектов леса. Он дает юзерам и программам способность искать объекты в любом домене текущего леса с помощью средств обнаружения атрибутов , включенных в глобальный каталог.

Глобальный каталог (ГК) включает в себя ограниченный набор атрибутов для каждого объекта леса в каждом домене. Данные он получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы Active Directory.

Схема определяет, будет ли атрибут скопирован. Существует возможность конфигурирования дополнительных характеристик , которые будут создаваться повторно в глобальном каталоге с помощью “Схемы Active Directory”. Для добавления атрибута в глобальный каталог, нужно выбрать атрибут репликации и воспользоваться опцией “Копировать”. После этого создастся репликация атрибута в глобальный каталог. Значение параметра атрибута isMemberOfPartialAttributeSet станет истиной.

Для того чтобы узнать местоположение глобального каталога, нужно в командной строке ввести:

Dsquery server –isgc

Репликация данных в Active Directory

Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.

Она производится без участия оператора . Существуют такие виды содержимого реплик:

  • Реплики данных создаются из всех существующих доменов.
  • Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
  • Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.

Основными типами реплик являются внутриузловая и межузловая.

В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.

Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.

В нашей статьи мы разобрали тот минимум теоретического материала, который необходимо знать перед развертыванием доменных служб Active Directory. Сегодня мы начнем практическую часть цикла, в которой подробно рассмотрим создание и переход к доменной структуре сети. Начнем, как всегда, сначала - в данной статье мы расскажем как правильно развернуть контроллеры домена.

Перед тем как приступить к практическому воплощению в жизнь всех своих планов сделайте паузу и еще раз проверьте некоторые мелочи. Очень часто эти вещи ускользают от взгляда администратора, принося в дальнейшем довольно серьезные затруднения, особенно для начинающих.

  • Присвойте будущему доменному контроллеру удобочитаемое имя, например SRV-DC01, а не WIN-VAGNTE3N62T.
  • Установите для сетевого адаптера статический IP адрес.
  • Переименуйте встроенную учетную запись администратора, используйте только латинские буквы и символы.

Установка данной роли еще не сделает данный сервер контроллером домена, для этого необходимо запустить Мастер установки доменных служб, что и будет предложено сделать по окончании установки, также вы можете сделать это позже, запустив dcpromo.exe .

Мы не будем разбирать подробно все настройки мастера, остановившись только на ключевых, кроме того стоит отметить, что в процессе установки будет выводиться довольно большое количество справочной информации и мы рекомендуем внимательно с ней ознакомиться.

Так как это наш первый контроллер домена, то выбираем Создать новый домен в новом лесу .

Следующим шагом следует указать имя вашего домена. Не рекомендуется давать домену интернет имя внешнего домена, также не рекомендуется давать имя в несуществующих зонах первого уровня, типа .local или .test и т.д. Оптимальным вариантом для домена AD будет поддомен в пространстве имен внешнего интернет домена, например corp.example.com . Так как наш домен используется исключительно в тестовых целях в рамках лаборатории, то мы назвали его interface31.lab , хотя правильно было бы назвать его lab.сайт .

Затем указываем режим работы леса, на этом вопросе мы уже останавливались в предыдущей части статьи и в подробности вдаваться не будем.

Очень важный момент - укажите и запишите в надежном месте пароль администратора режима восстановления служб каталогов, при хорошем раскладе он вам понадобиться не должен, но гораздо хуже, если вы его не можете вспомнить.

В следующем окне еще раз перепроверьте все введенные данные и можете запускать процесс настройки доменных служб. Помните, с этого момента уже ничего изменить или исправить нельзя и если вы где-то ошиблись, то придется начать все заново. А пока мастер настраивает доменные службы можете сходить налить себе чашечку кофе.

По завершении работы мастера перезагрузите сервер и, если все сделано правильно, в вашем распоряжении первый контроллер домена, который также будет исполнять роль DNS-сервера для вашей сети. Здесь возникает еще один тонкий момент, данный сервер будет содержать записи о всех объектах вашего домена, при запросе записей, относящихся к другим доменам, которые он не сможет разрешить, они будут переданы вышестоящим серверам, т.н. серверам пересылки.

По умолчанию в качестве серверов пересылки указывается адрес DNS-сервера из свойств сетевого подключения, чтобы впоследствии избежать разного рода сбоев в работе сети следует явно указать доступные сервера во внешней сети. Для этого откройте оснастку DNS в Диспетчере сервера и выберите Сервера пересылки для своего сервера. Укажите не менее двух доступных внешних серверов, это могут быть как сервера провайдера, так и публичные DNS-службы.

Также обратите внимание, что в свойствах сетевого подключения контроллера домена, который является DNS-сервером, в качестве адреса DNS должно быть указано 127.0.0.1 , любые другие варианты записи являются ошибочными.

Создав первый контроллер домена, не откладывая дело в долгий ящик, приступайте к развертыванию второго, без этого ваша структура AD не может считаться полноценной и отказоустойчивой. Также убедитесь, что сервер имеет удобочитаемое имя и статический IP-адрес, в качестве DNS-сервера укажите адрес первого контроллера и введите машину в домен.

После перезагрузки войдите доменным администратором и установите роль Доменные службы Active Directory , после чего также запустите мастер. Принципиальных отличий в настройке второго контроллера нет, разве что отвечать придется на меньшее число вопросов. Прежде всего укажите, что вы добавляете новый контроллер в существующий домен.

Как мы уже говорили, рекомендуем сделать этот сервер DNS-сервером и Глобальным каталогом. Помните, что при отсутствии глобального каталога ваш домен может оказаться неработоспособным, поэтому рекомендуется иметь как минимум два глобальных каталога и дополнительно добавлять ГК в каждый новый домен или сайт AD.

Остальные настройки полностью идентичны и, проверив все еще раз, приступайте к развертыванию второго контроллера, в процессе которого будет выполнена настройка соответствующих служб и произведена репликация с первым контроллером.

Закончив установку второго контроллера можете переходить к настройкам доменных служб: создавайте пользователей, разносите их по группам и подразделениям, настраивайте групповые политики и т.д. и т.п. Делать это можно на любом контроллере домена, для этого воспользуйтесь соответствующими пунктами меню Администрирование .

Следующим шагом будет введение в домен пользовательских ПК и рядовых серверов, а также миграция пользовательского окружения на доменные учетные записи, об этом мы поговорим в следующей части.



Возможно вас заинтересует