Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.
AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.
Подготовительные работы
Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:
Установка Windows Server 2019 на виртуальную машину VMware
После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:
Первоначальная настройка Windows Server 2019
Хочется отметить обязательные пункты, которые нужно выполнить.
Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.
Укажите имя сервера.
Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.
Установка роли Active Directory Domain Services
Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.
Дополнительно будет установлена роль DNS.
Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.
Запускается мастер добавления ролей.
Раздел Before You Begin нас не интересует. Next.
В разделе Installation Type выбираем Role-based or feature-based installation. Next.
В разделе Server Selection выделяем текущий сервер. Next.
В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.
Для роли контроллера домена нам предлагают установить дополнительные опции:
- [Tools] Group Policy Management
- Active Directory module for Windows PowerShell
- [Tools] Active Directory Administrative Center
- [Tools] AD DS Snap-Ins and Command-Line Tools
Всё это не помешает. Add Features.
Теперь роль Active Directory Domain Services отмечена галкой. Next.
В разделе Features нам не нужно отмечать дополнительные опции. Next.
У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.
Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.
Начинается установка компонентов, ждём.
Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.
Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.
Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:
- Add a domain controller to an existing domain
- Add a new domain to an existing forest
- Add a new forest
Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.
Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.
Попадаем в раздел Doman Controller Options.
В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.
У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.
В Domain functional level также выбираю Windows Server 2012.
Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.
Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.
Next.
Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found…». Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.
В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.
В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:
- Database folder: C:WindowsNTDS
- Log files folder: C:WindowsNTDS
- SYSVOL folder: C:WindowsSYSVOL
Next.
В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.
Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.
Next.
Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.
Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.
Для начала установки роли контроллера домена нажимаем Install.
Начинается процесс установки.
Сервер будет перезагружен, о чём нас и предупреждают. Close.
Дожидаемся загрузки сервера.
Первоначальная настройка контроллера домена
Наша учётная запись Administrator теперь стала доменной — ILABAdministrator. Выполняем вход.
Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.
На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.
Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.
Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.
Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.
Правой кнопкой на корень каталога, New > Organizational Unit.
Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.
Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.
Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.
Обновлено 22.01.2019
Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.
Перед тем как я покажу процесс установки AD в Windows Server 2019, я бы хотел вам напомнить, что ASctive Directory — это по сути создание централизованной базы данных в которой будут хранится и управляться компьютеры, пользователи, принтеры. Более подробно, что такое Active Directory читайте по ссылке слева.
Подготовительный этап
Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.
Установка и настройка Active Directory на 2019 сервере
Существует два метода выполнения нашей задачи:
- Классический метод с использованием оснастки «Диспетчер серверов»
- Использование утилиты Windows Admin Center
- Второй метод, это использование Power Shell
Установка AD через сервер менеджеров
Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».
Тип установки оставьте «Установка ролей и компонентов».
Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.
Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.
Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.
Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.
Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:
- Средства удаленного администрирования сервера
- Средства администрирования ролей
- Средства AD DS и AD LDS
- Модуль Active Directory для PowerShell
- Центр администрирования Active Directory
- Оснастки и программы командной строки AD DS
- Управление групповой политикой
Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.
Выгруженная конфигурация, это XML файл с таким вот содержанием.
Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.
Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».
То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.
Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.
На следующем окне вы должны выбрать параметры:
- Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
- Режим работы домена, так же определяет какие функции будут доступны на уровне домена.
Хочу обратить внимание, что режимы работы леса и домена напрямую влияют на то, какие операционные системы могут быть на контроллерах домена, простой пример, если у вас режим работы домена Windows Server 2016, то вы в него уже не добавите контроллеры на ОС Windows Server 2012 R2
- DNS-сервер, лучше всегда совмещать эти роли
- Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
- Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
- Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора
Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.
Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.
Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:
- Папка базы данных — C:WindowsNTDS
- Папка файлов журналов — C:WindowsNTDS
- Папка SYSVOL — C:WindowsSYSVOL
Если у вас контроллер домена на виртуальной машине и ее виртуальные диски лежат на одном СХД, то смысл переносить на разные диски базу и папку SYSVOL нет
Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.
Выглядит сценарий вот так:
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:WindowsNTDS» `
-DomainMode «WinThreshold» `
-DomainName «partner.pyatilistnik.info» `
-DomainNetbiosName «PARTNER» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:WindowsNTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:WindowsSYSVOL» `
-Force:$true
Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.
В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.
После установки вам сообщат:
Ваш сеанс будет завершен. Выполняется перезагрузка этого компьютера, так как были установлены или удалены доменные службы Active Directory
Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.
Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,
В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.
Установка контроллера домена Windows Server 2019 с помощью Powershell
Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.
# Импорт модуля ServerManager
Import-Module ServerManager
# Установка роли AD DS со всеми зависимыми компонентами
Add-WindowsFeature –Name AD-Domain-Services –IncludeAllSubFeature –IncludeManagementTools
# Импорт модуля ADDSDeployment
Import-Module ADDSDeployment
# Установка нового леса
Install-ADDSForest `
# Не включать делегирование
-CreateDnsDelegation:$false `
# Путь к базе данных AD
-DatabasePath «C:WindowsNTDS» `
# Режим работы домена
-DomainMode «WinThreshold» `
# Задаем имя домена
-DomainName «partner.pyatilistnik.info» `
# Задаем короткое NetBIOS имя
-DomainNetbiosName «PARTNER» `
# Задаем режим работы леса
-ForestMode «WinThreshold» `
# Указываем, что будем устанавливать DNS-сервер
-InstallDns:$true `
# Задаем путь к NTDS
-LogPath «C:WindowsNTDS» `
# Если требуется перезагрузка, то перезагружаемся
-NoRebootOnCompletion:$false `
# Задаем путь до папки SYSVOL
-SysvolPath «C:WindowsSYSVOL» `
-Force:$true
Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.
Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.
Предварительная проверка.
Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.
Полезные команды при установке доменных служб
- Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
- Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
- Просмотр подсетей — Get-ADReplicationSubnet -Filter *
- Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
- Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions
Полезные командлеты в модуле ADDSDeployment
- Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
- Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
- Установка дополнительного контроллера домена — Install-ADDSDomainController
- Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
- Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation
Установка и настройка Active Directory Windows Admin Center
Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.
Появится мастер установки, если все верно, то нажмите да.
В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.
Процесс установки доменных служб.
Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.
На этом у меня все, если остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Время прочтения
4 мин
Просмотры 42K
Одним из реально полезных нововведений в Windows Server 2019 является возможность вводить серверы, не делая Sysprep или чистую установку. Развернуть инфраструктуру на виртуальных серверах с Windows Server никогда еще не было так просто.
Сегодня поговорим о том, насколько же, оказывается, просто устанавливать и управлять Active Directory через Powershell.
Устанавливаем роль
RSAT или локальный сервер с GUI:
Сначала нужно добавить сервер в RSAT. Добавляется он на главной странице с помощью доменного имени или ip адреса. Убедитесь, что вы вводите логин в формате localAdministrator
, иначе сервер не примет пароль.
Переходим в добавление компонентов и выбираем AD DS.
Powershell:
Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена.
Get-WindowsFeature
Копируем имя компонента и приступаем к установке.
Install-WindowsFeature -Name AD-Domain-Services
Windows Admin Center:
Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).
И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.
Повышаем сервер до контроллера домена
А для этого создаем новый лес.
RSAT или локальный серверс GUI:
Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.
Powershell:
Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.
$pass = Read-Host -AsSecureString
Любой командлет который использует чей угодно пароль нужно вводит таким образом. Сначала записываем пароль в SecureString, а затем указываем эту переменную в командлет.
Install-ADDSForest -DomainName test.domain -SafeModeAdministratorPassword $pass
Как и в установке через GUI, даже вывод в консоль один и тот же. В отличие от сервера с GUI, как установка роли, так и установка сервера в качестве контроллера домена не требует перезагрузки.
Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.
Управляем доменом
Теперь, чтобы понять насколько сильно различается управление Active Directory через Powershell и AD AC (Active Directory Administrative Center), рассмотрим пару рабочих примеров.
Создание нового пользователя
Скажем, мы хотим создать пользователя в группе Users и хотим чтобы он сам установил себе пароль. Через AD AC это выглядит так:
New-ADUser -Name BackdoorAdmin -UserPrincipalName BackdoorAdmin@test
Get-ADUser BackdoorAdmin
Отличий между AD DC и Powershell никаких.
Включить пользователя
RSAT или локальный серверс GUI:
Через GUI пользователю нужно сначала задать пароль отвечающий GPO и только после этого его можно будет включить.
Powershell:
Через Powershell почти то же самое, только пользователя можно сделать активным даже без пароля.
Set-ADUser -Identity BackdoorAdmin -Enabled $true -PasswordNotRequired $true
Добавляем пользователя в группу
RSAT или локальный сервер с GUI:
С помощью AD DC нужно перейти в свойства пользователя, найти графу с членством пользователя в группах, найти группу в которую мы хотим его поместить и добавить его наконец, а затем кликнуть OK.
Powershell:
Если мы не знаем как называется нужная нам группа, получить их список мы можем с помощью:
(Get-ADGroup -Server localhost -Filter *).name
Получить группу со всеми свойствами можно так:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"}
Ну и наконец добавляем пользователя в группу:
Далее, из-за того, что в Powershell все является объектами, мы как и через AD DC должны сначала получить группу пользователя, а затем добавить его в неё.
$user = Get-ADUser BackdoorAdmin
Затем добавляем этот объект в группу:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"} | Add-ADGroupMember -Members $user
И проверяем:
Get-ADGroupMember -Identity Administrators
Как видим, отличий в управлении AD через AD AC и Powershell почти нет.
Вывод:
Если вы уже сталкивались с развертыванием AD и других служб, то вы, возможно подмечали сходство развертывания через RSAT и Powershell, и насколько на самом деле все похоже. GUI в ядре, как никак.
Надеемся, статья была полезна или интересна.
Ну и напоследок пару дельных советов:
- Не устанавливайте других ролей на контроллер домена.
- Используйте BPA (Best practice analyzer), чтобы чуточку ускорить контроллер
- Не используйте встроенного Enterprice Admin’а, всегда используйте свою собственную учетную запись.
- При развертывании сервера на белом IP адресе, с проброшенными портами или на VSD обязательно закройте 389 порт, иначе вы станете точкой амплификации DDoS атак.
Предлагаем также прочитать наши прошлые посты: рассказ как мы готовим клиентские виртуальные машины на примере нашего тарифа VDS Ultralight с Server Core за 99 рублей, как работать с Windows Server 2019 Core и как установить на него GUI, а также как управлять сервером с помощью Windows Admin Center, как установить Exchange 2019 на Windows Server Core 2019
Предлагаем обновлённый тариф UltraLite Windows VDS за 99 рублей с установленной Windows Server 2019 Core.
В этой статье мы рассмотрим процесс установки нового домена для среды Active Directory с помощью Windows Server 2019. Это будет реализовано путем установки соответствующей роли, а затем путем повышения роли сервера до главного контроллера домена (DC). В то же время мы установим роль DNS, чтобы использовать возможности зон, интегрированных в Active Directory.
По сути, процесс выполняется в два этапа: установка роли Active Directory Domain Services и повышение статуса сервера до главного контроллера домена.
Установка роли Active Directory Domain Services
Прежде чем приступить к выполнению этого шага, необходимо настроить на сервере статический IP-адрес, а также изменить имя Windows Server в соответствии со стандартами именования вашей компании. После того как сделаете это, приступайте к установке ADDS.
Откройте управление сервером (Server Manager), нажмите Управление (Manage), а затем «Добавить роли и компоненты» (Add Roles and Features).
Сразу после этого откроется окно мастера. В разделе “Before You Begin” нажмите “Next”, чтобы продолжить.
В разделе «Тип установки» (Installation Type) выберите установку на основе ролей сервера или на основе функции виртуальной инфраструктуры и нажмите Next, чтобы продолжить. В нашем случае используем первый вариант.
В разделе «Выбор сервера» (Server selection) убедитесь, что выбран нужный сервер, обычно он выделен по умолчанию и нажмите Next.
В разделе «Роли сервера» (Server Roles) выберите Доменные службы Active Directory (Active Directory Domain Services). После этого вам будет предложено добавить некоторые дополнительные функции. Нажмите кнопку Add Features, а затем нажмите Next, чтобы продолжить.
В разделе «Компоненты» (“Features”) вам не нужно ничего выбирать, просто нажмите Next для продолжения.
В разделе AD DS отображается некоторая информация о AD DS, просто нажмите Next.
Наконец, в разделе «Подтверждение» (“Confirmation”) нажмите кнопку Install, чтобы перейти к установке роли.
Повышение сервера до контроллера домена
После завершения установки роли, если вы не закроете окно, вам будет предложено повысить сервер до контроллера домена (DC). Ссылка будет выделена синим текстом.
В качестве альтернативы можно открыть то же окно через сервер менеджер, как показано на рисунке ниже.
Нажмите на «Повысить роль этого сервера до уровня контроллера домена» (Promote server to domain controller). По сути, это мастер конфигурации развертывания Active Directory, который поможет вам создать первый лес в Active Directory.
В разделе «Конфигурация развертывания» (Deployment Configuration), включите опцию «Добавить новый лес» “Add a new forest”, а затем введите желаемое имя домена. В моем случае это office.local, и нажмите Next.
В разделе «Параметры контроллера домена» (Domain Controller Options) выберите функциональный уровень леса и домена. Если это ваш первый лес на Windows Server 2016, оставьте значения по умолчанию. В противном случае, если в вашей бизнес-инфраструктуре есть другие контроллеры домена, вам следует узнать их функциональный уровень, прежде чем приступать к необходимым действиям.
Включите опцию сервера системы доменных имен (DNS), чтобы также установить роль DNS на том же сервере, если вы не сделали этого раньше.
Также введите (дважды) пароль Directory Services Restore Mode (DSRM), обязательно запишите его в документации и нажмите Next, чтобы продолжить.
В подразделе «Параметры DNS» (DNS Options) вы увидите предупреждающее сообщение, но в данный момент оно не должно вас беспокоить. Просто нажмите “Next”, чтобы продолжить.
В разделе «Дополнительные параметры» (Additional Options) оставьте имя NetBIOS по умолчанию и нажмите Next, чтобы продолжить.
В разделе «Пути» (Paths) выберите, где на вашем сервере будут располагаться папки NTDS, SYSVOL и LOG. В моем случае я оставлю значения по умолчанию, вы можете выбрать другой диск в зависимости от ваших предпочтений и настроек.
В разделе «Просмотреть параметры» (Review Options) вы увидите сводку выбранных вами параметров. Убедившись, что вы не допустили ошибок, нажмите Next.
В разделе «Проверка предварительных требований» “Prerequisites Check” будут проверены предварительные условия. Здесь, если возникнет хотя бы одна ошибка, вы не сможете продолжить, и вам нужно будет ее исправить. В противном случае, если отображаются только предупреждающие сообщения (которые являются наиболее распространенными), но проверка прошла успешно, как показано на рисунке, нажмите кнопку Install, чтобы продолжить.
На этом этапе вам нужно будет подождать несколько минут, пока завершится процесс установки. Сразу после этого сервер автоматически перезагрузится.
После перезагрузки ваш первый контроллер домена будет готов и вы можете пользоваться всеми функциональностями, таким как например ADUC и ADAC.
Оглавление
- Настройка сетевых интерфейсов Active Directory 2019
- Установка и настройка сервиса Active Directory 2019 через Диспетчер серверов
- Проверка. Запускаем принудительное реплицирование домена
Как установить и настроить основной контроллер домена Active Directory 2019 смотрите тут: Установка и настройка контроллера домена Active Directory на базе Microsoft Windows Server 2019 Standart.
Настройка сетевых интерфейсов Active Directory 2019
И так. У нас было 2 сервера виртуализации, 50 пользователей домена, 5 марок сетевых коммутаторов, полсотни групповых политик и гора CD-дисков, и всего такого, всех цветов.
Не то, чтобы это всё было нужно в настройке резервного контроллера доменов, но раз начал наводить порядок в конторе, то иди в своём деле до конца.
На самом деле всё не так страшно, даже наооборот. Основной сервер будет называться AD-01, а резервный AD-02. Логично же ? На сервере AD-01 прописываем в Альтернативный DNS-сервер
ip адрес нашего будующего резервного контроллера домена. Так как у меня он находится в другом офисе, то и подсеть у него отличается, если бы он был в местной локальной сети, то имел ту же подсеть.
Вводим сервер резервный контроллер домена AD-02 в домен, а затем добавляем в Предпочтительный DNS-сервер ip адрес нашего основного сервера AD-01.
Установка и настройка сервиса Active Directory 2019 через Диспетчер серверов
На резервном контроллере домена через Диспетчер серверов вызываем Мастер добавление ролей и компонентов. Отмечаем чекбоксы DNS-сервер и Доменные службы Active Directory.
Далее ничего особенного, проходим до пункта Подтверждение, соглашаемся и начинаем установку.
После установки ролей и компонентов на резервном контроллере домена нам необходимо повысить роль сервера до уровня контроллера доменов.
Отмечаем Добавить контроллер домена в существующий домен, через кнопку Выбрать вибираем наш основной сервер и чуть ниже вводим наши учётные данные от домена.
В разделе Дополнительные параметры указываем источник репликации основной сервер AD-01. Вот и всё, репликация сервера Active Directory готова!
Проверка. Запускаем принудительное реплицирование домена
Для того чтобы сразу протестировать настройку реплецирования резервного контроллера домена открываем Диспетчер серверов и запускаем Средства / Active Directory — сайты и службы
В открывшемся окне переходим Sites / Default-First-Site-Name / Servers / AD-02 / NTDS Settings,
выбираем в окне справа наше подключение Правая кнопка мыши / Реплицировать сейчас.
А после мы должны увидеть уведовление об успешном реплицировании нашего каталога. Надеюсь помог и вы настроили свой резервный контроллер домена Active Directory! Спасибо за внимание!
Article :: KB00015
Microsoft Active Directory is a critical service for any domain architecture, and the server which holds these services are called Domain Controllers.
Today, we’ll install and configure the first Domain Controller in the single forest single Domain architecture. Follow the below step-by-step process to install and configure the Domain Controller.
Prerequisite Required
1) VM or Physical Server with Windows Server 2019 installed (we are using Server with Desktop Experience installation option)
2) Assign a static IP address to the server that we promote as Domain Controller.
3) As we’ll configure Active Directory-integrated DNS, therefore change the DNS settings in the network interface and set the same server IP address as the primary DNS server.
Step 1: Install Active Directory Domain Services (ADDS)
Log into your Windows Server 2019 with administrative credentials. Open Server Manager → click on Dashboard → click on Add roles and features.
The «Before you begin» tab contains some important informations. Please go through it and click «Next«.
In the «Installation Type» tab choose Role-based or Feature-based installation and click on the Next button.
In the Server Selection tab, please select the destination server on which the role will be installed. Please verify the hostname and the IP address points of the selected server. Click Next to continue.
In the Server Roles tab, put a tickmark for «Active Directory Domain Services» (you can select the DNS Server role as well, as we will configure AD integrated DNS server. If not selected, during installation it will automatically select and install the DNS Role).
Then, it will prompt to show you the associated features for the role. Click on Add Features to add those. Then click Next to continue.
In the Features tab, the basic features for this required role are already selected by default. Click Next to install continue.
In the next window, it gives brief information about the «Active Directory Domain Services» service. Click next to proceed.
In the Confirmation tab, verify the selections and click on the Install button. You may or may not select the option «Restart the destination server automatically if required». It is always a best practice to restart the server post-installation.
Once done, it will start the installation process and you can check the same in the Results tab.
Step 2: Promote the server into a Domain Controller
Once the ADDS role installation completes, click on the option «Promote this server to a Domain Controller» (highlighted in the below image). Alternately, you will see a notification flag next to the Manage menu. From there also you can select «Promote this server into a domain controller», this will start the configuration process.
It will open the «Active Directory Configuration Wizard». Now, from the Deployment Configuration tab, select «Add a new forest» (as I am configuring a new Forest and it is my first domain controller). Provide a Root Domain name, mine is «VirtualGyanis.Com» (you have to put your domain name here). Then, click on Next to continue.
Note: If you are adding this domain controller into an existing domain/forest you can choose the relevant option accordingly.
In the Domain Controller Option tab, select a Forest functional level and a Domain functional level as per your environment.
Since this is the first domain controller in the forest, please select the DNS Server (as we are configuring AD integrated DNS) and the Global Catalog (GC) checkboxes.
Then, enter the Active Directory Restore Mode (DSRM) password, this is used to retrieve/restore Active Directory data. Then, click Next to continue
Since we have configured an AD-integrated DNS server, you can ignore the DNS Delegation warning as shown in the below screen. Then, click Next to continue.
In the Additional Options tab, enter a NetBIOS name for your domain. It is suggested to keep the NetBIOS name the same as the root domain name (by default, it will fetch the domain name only). Then, click Next to continue.
In the Path tab, you have to mention the Database (NTDS Database), LOG files and SYSVOL folders path. You can change the default path as per your organization security policies. I have kept them default. Now, click Next to continue.
In the Review Options tab, you will review the configuration. If everything is as per your need, you can click Next to proceed or otherwise you can go back and change the required setting as per your need and then proceed further.
You can also view the powershell script for future deployment. The below-mentioned script is from my environment.
Note: Always test your PowerShell scripts in a test environment, before running in a production environment.
##############################################
# Windows PowerShell script for AD DS Deployment #
##############################################
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:WindowsNTDS» `
-DomainMode «WinThreshold» `
-DomainName «VirtualGyanis.Com» `
-DomainNetbiosName «VIRTUALGYANIS» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:WindowsNTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:WindowsSYSVOL» `
-Force:$true
############### End of Script ####################
In the Prerequisites Check tab, it will do prerequisite check.
Once prerequisite checks completed successfully, it will enable/highlight the Install option. Then, click on Install button to start the installation process.
Once installation completed successfully, you will get the below confirmation message. Close this window and restart the Server.
Once server rebooted, you have to login with your domain Admin credentials. By default, the local admin account will promoted as a Domain Admin account. Login and verify the health of the Domain controller. You can run DCDIAG command to check the health.
You can also verify the settings/configurations from the Active Directory tools like Active Directory Users and Computers or Active Directory Domains and Trusts etc. You will get all the Active Directory tools in the folder named Administrative Tools on the Start menu. Go and explore the tools.
If you liked this article, do share the same. You can also Buy me a Coffee using Paypal at «paypal.me/duttaavijit», This is purely a volunteer effort. THANK YOU !!!
You can also refer to the below books for further knowledge enhancement.
Table of Contents
- Introduction
- Prerequisites
- Active Directory Topology
- Active Directory Port Details
- Active Directory Default Ports
- Active Directory Replication
- Active Directory Authentication
- Installation Steps
- Step 1: Login as Local Admin
- Step 2: IP Config
- Step 3: Static IP
- Step 4: Find InterfaceIndex
- Step 5 : DNS
- Step 6: Install AD-DS Role
- Step 7:AD-DS Configuration
- IncludeManagementTools
- Install-ADDSForest
- Step 8 : Prompt for the Safe Mode Admin Pass
- Step 9 : Reboot & Login
- Step 11 : Run Get-ADDomainController
- Step 12 : Run Get-ADDomain example.com
- Step 13 : List The AD Forest Details
- Step 14 : Check if DC Sharing The SYSVOL Folder
- Conclusion
- References
- Glossary
- Other Languages
Introduction
This article helps to Install / setup the active directory environment using windows server 2019 using PowerShell / PowerShell config file.
Prerequisites
- Install Windows server 2019 Standard / Data center on a Hardware.
- Active Directory Topology
- Make sure Active directory ports are open.
- Patch the Server with the latest Windows Updates and hot-fix.
- Assign the static IP address to Domain Controller
- Install Active directory domain services (ADDS) Role on the server.
- Configure ADDS according to requirement.
- Evaluate the windows event logs to validate the health of ADDS installation and configuration
- Configure Service and Performance Monitoring
- ADDS Backup / DR Configuration
Active Directory Topology
In my sample environment, example.com will be the forest root domain. The first domain controller installs on the forest will hold all five FSMO roles. Once additional domain controllers are in place you can place them inapposite locations.
↑ Back to top
Active Directory Port Details
Active Directory communications comprise of the number of ports, below table explains ports with its details.
Active Directory Default Ports
Port |
Type |
Description |
135 |
TCP/UDP |
RPC endpoint mapper |
137 |
TCP/UDP |
NetBIOS name service |
138 |
UDP |
NetBIOS datagram service |
139 |
TCP |
NetBIOS session service |
445 |
TCP/UDP |
SMB over IP (Microsoft-DS) |
389 |
TCP/ UDP |
LDAP |
636 |
TCP |
LDAP over SSL |
3268 |
TCP |
Global catalog LDAP |
3269 |
TCP |
Global catalog LDAP over SSL |
88 |
TCP/ UDP |
Kerberos |
53 |
TCP/ UDP |
DNS |
1512 |
TCP/ UDP |
WINS resolution |
42 |
TCP/ UDP |
WINS replication |
Dynamically-assigned ports, unless restricted |
TCP |
RPC |
Active Directory Replication
Port |
Type |
Description |
135 |
TCP |
RPC endpoint mapper |
389 |
TCP/UDP |
LDAP |
636 |
TCP |
LDAP over SSL |
3268 |
TCP |
Global catalog LDAP |
3269 |
TCP |
Global catalog LDAP over SSL |
53 |
TCP/UDP |
DNS |
88 |
TCP/UDP |
Kerberos |
445 |
TCP |
SMB over IP (Microsoft-DS) |
RPC |
TCP |
Dynamically-assigned ports (unless restricted) |
Active Directory Authentication
Port |
Type |
Description |
445 |
TCP/UDP |
SMB over IP (Microsoft-DS) |
88 |
TCP/UDP |
Kerberos |
389 |
UDP |
LDAP |
53 |
TCP/UDP |
DNS |
RPC |
TCP |
Dynamically-assigned ports (unless restricted) |
↑ Back to top
Installation Steps
Step 1: Login as Local Admin
To start the configuration, log in to Windows server 2019 server as the local administrator.
Step 2: IP Config
We already changed the name of the server to a meaningful one. Then need to check the IP config. in my initial configuration, it shows DHCP IP.
We need to change it to static first, with PowerShell
Step 3: Static IP
To set the static IP, we can use below PowerShell command.
New-NetIPAddress` -InterfaceIndex
4
-IPAddress
192.168
.
61.100
-PrefixLength
24
DefaultGateway
192.168
.
61.2
`
Note: Here we assigned IP based on my network requirement. Hence use the IP address according to your Infrastructure.
Step 4: Find InterfaceIndex
In above, InterfaceIndex can find using Get-NetIPAddress command.
Step 5 : DNS
Next step is to set DNS Ip addresses. The primary dc also going to act as DC so we need to set it as the preferred DNS. We can do this using below command.
Set-DnsClientServerAddress -InterfaceIndex
4
-ServerAddresses (
"192.168.61.100"
,
"8.8.8.8"
)
After config, we can verify it using ipconfig /all.
Step 6: Install AD-DS Role
Before the AD configuration process, we need to install the AD-DS Role in the given server. In order to do that we can use the Following command.
Install-WindowsFeature –Name AD-Domain-Services –IncludeManagementTools`
Note: Reboot is not required to complete the role service installations.
Now we have the AD-DS role installed, the next step is to proceed with the configuration
Step 7:AD-DS Configuration
Below is the power-shell configuration file / script for configuring the ADDS.
Install-ADDSForest `
-DomainName
"example.com"
`
-CreateDnsDelegation:$false `
-DatabasePath
"C:WindowsNTDS"
`
-DomainMode
"7"
`
-DomainNetbiosName
"example"
`
-ForestMode
"7"
`
-InstallDns:$true `
-LogPath
"C:WindowsNTDS"
`
-NoRebootOnCompletion:$True `
-SysvolPath
"C:WindowsSYSVOL"
`
-Force:$true
Following explain the Power-Shell arguments and what it will do. Install-WindowsFeature
This cmdlet will allow to install windows role, role services or windows feature in la ocal server or remote server. It is similar to using windows server manager to install those.
IncludeManagementTools
This cmdlet will allow to install windows role, role services or windows feature in local server or remote server. It is similar to using windows server manager to install those.
This will install the management tools for the selected role service.
Install-ADDSForest
This cmdlet will allow to setup a new active directory forest.
- DomainName: This parameter defines the FQDN for the active directory domain.
- CreateDnsDelegation Using this parameter can define whether to create DNS delegation that reference active directory integrated DNS.
- DatabasePath; this parameter will use to define the folder path to store the active directory database file (Ntds.dit).
- DomainMode: This parameter will specify the active directory domain functional level. In above I have used mode 7 which is windows server 2016. Windows Server 2019 doesn’t have separate domain functional level.
- DomainNetbiosName This defines the NetBIOS name for the forest root domain.
- ForestMode; This parameter will specify the active directory forest functional level. In above I have used mode 7 which is windows server 2016. Windows Server 2016 doesn’t have separate forest functional level.
- InstallDns: Using this can specify whether DNS role need to install with the active directory domain controller. For new forest, it is the default requirement to set it to $true.
- LogPath: Log path can use to specify the location to save domain log files.
- SysvolPath
- SysvolPath | This is to define the SYSVOL folder path. Default location for it will be C:Windows
- NoRebootOnCompletion: By default, the system will restart the server after domain controller configuration. using this command can prevent the automatic system restart.
- Force: This parameter will force command to execute by ignoring the warning. It is typical for the system to pass the warning about best practices and recommendations.
Step 8 : Prompt for the Safe Mode Admin Pass
After executing the command it will prompt for the Safe Mode Administrator Password. This is to use in Directory Services Restore Mode (DSRM).
Make sure to use the complex password (According to windows password complexity recommendations). Failure to do so will stop the configuration.
Step 9 : Reboot & Login
When configuration complete, reboot the domain controller and log back in as domain administrator.
Step
10 : Confirm the Installation
To confirm the successful installation of the services.
Get-Service adws,kdc,netlogon,dns
Above command will list down the status of the active directory related services running on the domain controller.
Step 11 : Run Get-ADDomainController
It will list down all the configuration details of the domain controller.
Step 12 : Run Get-ADDomain example.com
It will list down the details about the active directory domain.
Step 13 : List The AD Forest Details
Same way Get-ADForest example.com will list down the active directory forest details.
Step 14 : Check if DC Sharing The SYSVOL Folder
Get-smbshare SYSVOL will show if the domain controller sharing the SYSVOL folder.
↑ Back to top
Conclusion
As we can see AD DS components are installed and configured successfully. This marks the end of this post. Please feel free to rate this article.
References
- Service overview and network port requirements for Windows
- What’s new in Active Directory 2019?
↑ Back to top
Glossary
Item | Description |
SYSVOL | SYSTEM VOLUME |
DC | Domain Controller |
AD DS | Active Directory Domain Services |
DNS | Domain Name System |
FQDN | Fully Qualified Domain Name |
DSRM | Directory Services Restore Mode |
KDC |
Key Distribution Center |
LDAP | Lightweight Directory Access Protocol |
NTDS | NT Directory Services |
IP | Internet Protocol |
FSMO | Flexible Single-Master Operation |
↑ Back to top
Other Languages
Установка и настройка DNS-сервера и Active Directory, DHCP-сервера в Windows Server 2019 не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2016, 2012. Пройдя несколько шагов несложно устанавить следующие роли: DNS-сервер и Доменные службы Active Directory, DHCP-сервер.
- Переименование сервера
- Настройка сетевого интерфейса
- Установка на сервера ролей: DNS-сервер, Доменные службы Active Directory, DHCP-сервер
- Повышение роли сервера до уровня контроллера домена
- Настройка обратной зоны DNS
- Настройка DHCP-сервера
Переименование сервера
1. Для изменения имени сервера нажимаем правой клавишей мыши на «Этот компьютер«, в появившемся меню выбираем «Свойства«.
2. Далее нажимаем «Изменить параметры«. В открывшемся окне добавляем описание сервера, далее выбираем «Изменить«.
3. Задаём «Имя компьютера«, нажимаем «ОК«. Появится предупреждение о том, что изменения вступят в силу после перезагрузки компьютера. Подтверждаем — «ОК«
4. Нажимаем «Перезагрузить сейчас» и ожидаем перезагрузки сервера.
5. После перезагрузки компьютера проверяем имя сервера («Мой компьютер» — правой клавишей мыши — «Свойства«).
Настройка сетевого интерфейса
6. Для настройки сетевого интерфейса в поиске набираем ncpa.cpl, далее «Enter«. Снимаем чекбокс «IP версии 6«, далее выбираем «IP версии 4«, далее «Свойства«.
7. Выбираем «Использовать следующий IP-адрес» и задаём статический IP-адрес сервера, маску подсети, основной шлюз (если есть), и предпочитаемый DNS-сервер. Нажимаем «ОК«. На этом настройка сетевого интерфейса закончена.
Установка на сервера ролей: DNS-сервер, Доменные службы Active Directory, DHCP-сервер
8. Нажимаем «Пуск«, далее «Диспетчер серверов«.
9. В новом окне выбираем «Добавить роли и компоненты«.
10. Читаем предупреждение сервера «Перед началом работы«, не забываем защитить учетную запись администратора надежным паролем, затем «Далее«.
11. Проверяем, что чекбокс стоит на «Установка ролей или компонентов«, затем «Далее«.
12. Выбираем сервер, на который будут установлены роли и компоненты. Снова «Далее«.
13. Устанавливаем чекбоксы напротив выбранных ролей сервера, в данном случае это DNS-сервер, Доменные службы Active Directory, DHCP-сервер. Нажимаем «Далее«.
14. При каждом выборе роли будет появляться «Мастер добавление ролей и компонентов«, который будет спрашивать о добавлении компонентов для выбранных ролей сервера. Нажимаем «Добавить компоненты«.
15. Нажимаем «Далее«, необходимые компоненты были выбраны в предыдущем шаге.
16. Читаем предупреждение DNS-сервера на что обратить внимание, затем «Далее«.
17. Читаем предупреждение AD DS, нажимаем «Далее«.
18. Читаем предупреждение DHCP-сервера, снова «Далее«.
19. Ставим «чекбокс» напротив «Автоматический перезапуск конечного сервера, если требуется«, нажимаем «Установить«.
В результате произойдет установка выбранных ролей сервера.
Повышение роли сервера до уровня контроллера домена
20. Нажимаем «Повысить роль этого сервера до уровня контроллера домена«.
21. Далее выбираем «Добавить новый лес» и задаем «Имя корневого домена«.
22. В следующем окне дважды вводим пароль для режима восстановления служб каталогов (DSRM), затем «Далее«.
23. В следующем окне снова «Далее«.
24. Проверяем NetBIOS-имя, присвоенное домену, и при необходимости меняем его. Затем «Далее«.
25. Оставляем по умолчанию расположение базы данных AD DS, файлов журналов и папки SYSVOL, снова «Далее«.
26. После просмотра выбранных параметров и их одобрения нажимаем «Далее«.
27. Если проверка готовности к установке выполнена успешна, то запускаем установку — «Установить«.
28. По завершению установки произойдет перезагрузка сервера.
29. После перезагрузки полное имя компьютера изменится, к имени сервера добавиться доменное имя. Active Directory можно использовать.
Настройка обратной зоны DNS
30. Для настройки обратной зоны DNS в Диспетчере серверов выбираем «Средства» — «DNS«
31. Раскрываем дерево DNS, нажимаем правой клавишей мыши на «Зоны обратного просмотра«, в появившемся меню «Создать новую зону…«.
32. В появившемся мастере создания новой зоны нажимаем «Далее«.
33. Выбираем «Основная зона«, затем «Далее«.
34. Оставляем по умолчанию область репликации зоны, интегрированной в Active Directory, нажимаем «Далее«.
35. Оставляем «Зона обратного просмотра IPv4», просто «Далее«.
36. В следующем окне задаем Зону обратного просмотра, которая преобразует IP-адреса в DNS-имена. В идентификатор сети забиваем три актета своей сети, затем «Далее«.
37. Разрешаем только безопасные динамические обновления, снова «Далее«.
38. Зона обратного просмотра создана.
Настройка DHCP-сервера
39. После установки роли DHCP-сервера в Диспетчере серверов нажимаем на желтый треугольник, в появившемся окне выбираем «Завершение настройки DHCP«.
40. В следующем окне читаем описание завершения настройки DHCP-сервера на конечном компьютере, затем «Далее«.
41. Оставляем по умолчанию учетные данные, которые будут использоваться для авторизации DHCP-сервера доменными службами Active Directory. Нажимаем «Фиксировать«.
42. В следующем окне нажимаем «Закрыть«.
43. В диспетчере серверов нажимаем «Средства» — «DHCP«.
44. В открывшемся окне открываем дерево DHCP. Правой клавишей мыши нажимаем на домен, в появившемся окне выбираем «Добавить или удалить привязки…«.
45. Проверяем сетевой интерфейс, который будет использовать DHCP-сервер для обслуживания клиентов. Далее «ОК«.
46. Затем правой клавишей нажимаем на IPv4, в появившемся меню выбираем «Создать область…«.
47. Откроется мастер создания область, который помогает создать область IP-адресов, распределяемых среди компьютеров вашей сети. Нажимаем «Далее«.
48. Задаем имя новой области, если необходимо, задаем также описание новой области. Снова «Далее«.
49. Вводим диапазон адресов, который описывает создаваемую область, маску подсети. Нажимаем «Далее«.
50. В следующем окне вводим с помощью кнопки «Добавить» один адрес или диапазон IP-адресов, который необходимо исключить. После ввода всех адресов или диапазонов нажимаем «Далее«.
51. Оставляем по умолчанию срок действия аренды адресов области, выдаваемых сервером. Снова «Далее«.
52. Для настройки других параметров DHCP выбираем «Да, настроить эти параметры сейчас«, затем «Далее«.
53. Добавляем с помощью кнопки «Добавить» IP-адрес маршрутизатора, снова «Далее«.
54. Оставляем по умолчанию родительский домен, который клиентские компьютеры в сести будут использовать для разрешения DNS-имен. Затем «Далее«.
55. Вводим IP-адреса WINS-сервера, или нажимаем просто «Далее«.
56. Выбираем «Да, я хочу активировать эту область сейчас«, затем «Далее«.
57. В следующем окне появится «Вы успешно завершили работу с мастером создания области», нажимаем «Готово».
58. Вновь созданный диапазон появится в «Пул адресов«.
Посмотреть видео можно здесь:
Читайте также:
- Windows server 2019 — установка и настройка WSUS, создание и настройка GPO
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
- Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
- Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей
Домен — важнейший административный элемент в сетевой инфраструктуре организации. Он включает в себя такие объекты как: сетевые устройства, пользователей, сервера, принтеры, компьютеры, файловые ресурсы и т.д.
Взаимодействие устройств в сети домена осуществляется через контроллер домена. Наша задача — настроить контроллер домена на windows server 2019.
Для создания контроллера домена нами предварительно подготовлена виртуальная машина с Windows Server 2019.
Шаг 1. Сначала необходимо прописать сетевые настройки на сервере: ip, маску, шлюз, в dns указываем свой ip, так как на сервере будет использоваться роль dns server, она устанавливается вместе с ролью active directory domain services.
Шаг 2. Открываем Диспетчер серверов и добавляем роль доменные службы active directory.
Шаг 3. Система предложит добавить необходимые компоненты. Нажимаем Далее.
Шаг 4. В компонентах оставляем всё без изменений. Нажимаем Далее.
Шаг 5. В ad ds нажимаем Далее. Проверяем всё ли верно указано.
Рисунок 1 — Подтверждение установки компонентов AD DS
Шаг 6. Нажимаем Установить. На данном этапе появится строка с предложением повысить роль сервера до контроллера домена, но на данном этапе мы это пропустим и выполним после установки роли.
Рисунок 2 — Установка роли AD DS
Шаг 7. После установки нажимаем Закрыть.
Шаг 8. Снова открываем Диспетчер серверов и переходим в роль AD DS.
Шаг 9. Здесь видим уведомление «Доменные службы Active Directory – требуется настройка на «сервере». Нажимаем Подробнее.
Шаг 10. Нажимаем повысить роль этого сервера до контроллера домена.
Рисунок 3 — Повышение роли сервера до уровня контроллера домена
Шаг 11. Выбираем Добавить лес и вводим «имя корневого домена». Нажимаем Далее.
Шаг 12. Если домен новый (как в нашем случае) и в дальнейшем планируется использовать операционные системы не ниже Windows Server 2016, то режим работы леса и режим работы домена не меняем. Проверяем что установлена галочка на DNS-сервер.
Шаг 13. Устанавливаем пароль для режима восстановления службы каталогов и нажимаем Далее.
Шаг 14. В Параметрах DNS ничего не меняем и нажимаем Далее.
Имя NetBIOS-домена можно изменить, но рекомендуем оставить его по умолчанию.
Пути к каталогам базы данных active directory тоже лучше оставить по умолчанию.
Шаг 15. На следующем этапе проверяем сводную информацию по настройке сервера.
Проверка предварительных требований сообщит все ли условия соблюдены и выведет отчет. Если проблем никаких не возникло, то мы сможем нажать кнопку Установить.
Теперь выполняется процесс повышения роли сервера до контроллера домена. После выполнения, сервер автоматически перезагрузится.
В сетевых настройках поле dns сервера изменится на 127.0.0.1. Домен создан и готов к использованию.
Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг.
В этой статье будет рассмотрена установка и первоначальная настройка контроллера Active Directory. В цикле статей по миграци с Exchange Server 2010 на 2019 уже рассматривалась установка и добавление контроллеров домена. Например, установка контроллера на Windows Server 2008 R2. И добавление контроллера Windows Server 2012 R2. Однако, для кого-то такая операция является обыденной, но для других такая операция может оказаться совершенно новой и ранее не выполнявшейся задачей. Поэтому установка и первоначальная настройка контроллера выделена в отдельную статью. Дополнительно показан пример на базе одной из последней серверной операционной системе – Windows Server 2019.
Предварительные требования
Особых предварительных требований для установки нет, но крайне желательно установить все последние обновления операционной системы перед началом процесса установки.
Установка роли контроллера домена может быть выполнена как на сервер с GUI (Desktop Experience), так и без него (вариант Server Core).
Установка и первоначальная настройка контроллера Active Directory будет рассмотрена на базе Windows Server 2019. Редакция (Standard или Datacenter) роли не играет.
Немного теории
Непосредственно перед началом процесса установки разберем небольшой кусок теории.
Доменные службы Active Directory – это широко используемая технология для централизации хранения и управления учетными записями пользователей, нахождении ресурсов в сети предприятия, а также реализация механизма Single Sign-On (SSO) от компании Microsoft. В основе доменных служб Active Directory лежит реализация протокола LDAP. Грубо говоря Active Directory Domain Services – это реализация протокола LDAP от компании Microsoft.
По механизму и тонкостям работы Active Directory написаны отдельные книги. И даже кратко изложить основные момент – дело не простое. Однако, для понимания общей концепции в контексте установки контроллера домена необходимо ознакомится со следующими основными понятиями:
- Схема Active Directory. Нечто мифическое, которое обвешано кучей тайн и не редко вызывает трепещущий страх и ужас при сочетании слов “нужно выполнить обновление схемы” 🙂 А если серьезно, то это описание шаблонов всех возможных объектов в Active Directory – пользователей, компьютеров, принтеров и т.д. Содержит информацию о том, какие свойства есть у объектов и какие они могут иметь типы значений и непосредственно значения.
- Лес Active Directory. Это совокупность всех доменов, которые объединены общей конфигурацией схемы объектов Active Directory. Лес содержит как минимум один домен. Такие тяжелые продукты, как, например Microsoft Exchange или Skype for Business могут быть установлены только одни в пределах всего леса, т.к. он вносит необходимые ему изменения в схему Active Directory. Установить рядом еще один независимый экземпляр этих продуктов не получится.
- Домен. Граница, в пределах которой осуществляется управление настройками безопасности. Например, у вас есть два домена. В каждом из них администратор может управлять своим набором учетных записей пользователей, компьютеров, параметров безопасности и политики. Администратор Домена А не может управлять объектами в Домене Б (если не настроено необходимое делегирование).
- Дерево доменов. Совокупность всех доменов в пределах леса.
- Пространство имен. В передлах леса у вас может быть несколько имен. Например, один домен называется itproblog.ru, второй домен называется sale.itproblog.ru. В таком случае пространство имен продолженное (continuous). В тоже время у вас может быть еще один домен в том же лесу, например, hmmail.ru. Как видите – имя у него совершенно другое. Однако, это нисколько не мешает ему находится в том же лесу, что и домен с именем itproblog.ru.
Примеры топологий Active Directory
Рассмотрим немного примеров.
Ниже изображена схема одной из наиболее распространенной и простой топологии – один лес и один домен. Важно понимать, что в одном домене может быть установлено несколько контроллеров домена (для отказоустойчивости). Именно этот сценарий мы рассмотрен в данной статье. Пример схемы:
Следующей по уровню сложности следует топологи с несколькими доменами в одном лесу. Причем домены находятся в одном пространстве имен. Скажем, itproblog.ru. В каждом из доменов можем быть от одного до нескольких контроллером домена. Пример схемы:
Одна из наиболее комплексных топологий – это несколько доменов в одном лесу. Причем, не все домены используют одно пространство имен. Пример такой схемы ниже:
Домены в разных лесах Active Directory никак не заимосвязаны друг с другом (без установки дополнительных доверительных отношений). Домены в пределах одного леса автоматически доверяют друг другу, т.е. пользователям из Домена А могут быть назначены разрешения в домене Б. Пример схемы с несколькими отдельными лесами ниже:
Самым первым шагом нам необходимо создать лес и установить самый первый контроллер – корневой контроллер в лесу Active Directory. Лес будет создан автоматически в процессе установки самого первого контроллера в самом первом домене. Мы рассмотрим два варианта установки – через графический интерфейс и через командлеты PowerShell.
Установка первого контроллера через графический интерфейс
Для установки контроллера домена через графический интерфейс необходимо выполнить следующие действия:
1. Запустить Server Manager.
2. В меню сверху выбрать пункты “Manage” – “Add Roles and Features”:
3. Запустится мастер установки ролей и компонентов. На первой странице мастера нажмите кнопку “Next”.
4. На странице выбора сценария установки нужно выбрать пункт “Role-based or feature-based installation” и нажать кнопку “Next”.
5. В появившемся списке серверов выберите необходимый сервер (если он не один) и нажмите кнопку “Next”.
6. В появившемся списке ролей необходимо выбрать “Active Directory Domain Services”.
7. В появившемся диалоговом окне с запросом на установку дополнительных ролей и компонентов нажмите кнопку “Add Features”.
8. В окне мастера установки на шаге выбора ролей нажмите кнопку “Next”.
9. На шаге выбора компонентов нажмите кнопку “Next”.
10. На шаге с описание возможности интеграции с Azure AD нажмите кнопку “Next”.
11. На последнем шаге мастер установки предствит сводку по параметрам установки. Нажмите кнопку “Install”, чтобы начать процесс добавление необходимых для Active Directory компонентов.
12. Дождитесь окончания процесса установки компонентов. По окончанию процесса установки можете закрыть мастер добавления ролей и компонентов.
13. Следующим шагом необходимо повысить роль сервера до контроллера домена. В секции с последними событиями выберите пункт “Promote this server to a domain controller”:
14. Поскольку мы конфигурируем первый домен в лесу (т.е. создаем новый лес Active Directory), то нужно выбрать соответствующую опцию – “Add a new forest”. Также необходимо указать имя корневого домена. Далее нажмите кнопку “Next”.
15. На следующем шаге мастера необходимо выбрать функциональный уровень домена и леса. Например, в нашем случае это уровень “Windows Server 2016”. Что это значит? Если кратко, то мы не сможем добавить в Active Directory контроллеры домена с операционной системой ниже Windows Server 2016. Зачем это нужно? Чем выше функциональный уровень, тем больше доступно новых возможностей Active Directory. С полным перечнем всех возможностей для каждого из функционального уровня домена и леса можно ознакомится в документации Microsoft. Указываем пароль DSRM (своеобразный безопасный режим Active Directory) и нажимаем “Next”.
16. На странице настройки опций DNS нажмите кнопку “Next”.
17. На следующей странице мастера необходимо выбрать NetBIOS имя вашего домена и нажать “Next”.
18. На странице с выбором расположений файлов базы данных, транзакционных логов и папки SYSVOL вы можете выбрать иные директории, но, как правило, здесь оставляются значения по умолчанию. Нажмите кнопку “Next”.
19. На странице со сводкой по выбранным параметрам установки нажмите кнопку “Next”.
20. Мастер установки выполнит проверку предварительных требований. Если все проверки завершатся успешно, то будет активна кнопка “Install”. Нажмите её.
21. Запуститься процесс повышения роли сервера до контроллера домена. В процессе повышения сервер несколько раз перезагрузится. Дождитесь окончания процесса.
22. После завершения процесса повышения сервера до контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что оснастка запускается и отображает информацию об объектах вашего домена успешно.
Установка первого контроллера через Powershell
Вот за что я люблю процесс установки через PowerShell – так это за его лаконичность 🙂 Позволяет буквально за пару команд, например, быстро развернуть контроллер домена в тестовой среде. И в статье описывать процесс долго не приходится 🙂
Если вы используете вариант операционной системы Server Core, то это один из единственных способов повышения сервера до контроллера домена.
Итак, для повышения сервера до контроллера домена через PowerShell необходимо выполнить следующее:
1. Запустить консоль PowerShell от имени администратора.
2. Запустить следующий командлет для добавления роли контроллера домена (для сервера с GUI):
Add-WindowsFeature AD-Domain-Services -IncludeManagementTools
Для сервера в варианте Server Core запустите следующий командлет:
Add-WindowsFeature AD-Domain-Services
Разница лишь в том, что для сервера с GUI параметр -IncludeManagementTools установит соответствующие оснастки для управления. Например, Active Directory Users and Computers.
3. Дождитесь окончания процесса установки:
4. Теперь необходимо повысить роль сервера до контроллера домена и создать новый лес (и первый домен в лесу). Для этого выполните следующий командлет PowerShell:
Install-ADDSForest -DomainName itproblog.ru -InstallDNS
Функциональный уровень леса и домена автоматически будет установлен в значение “Windows Server 2016” (т.к. операционная система нашего сервер Windows Server 2019). Если вам необходимо указать другое значение, то можете использовать соответствующие параметры – DomainMode и ForestMode. Например:
Install-ADDSForest -DomainName itproblog.ru -InstallDNS -DomainMode Win2012R2 -ForestMode Win2012R2
5. Укажите пароль для DSRM (своеобразный безопасный режим Active Directory):
6. Далее нужно утвердительно ответить на запрос и том точно ли мы хотим повысить уровень сервера до контроллера домена. Нажмите клавишу Y, а затем Enter.
7. Запуститься процесс повышения сервера до контроллера домена. Сервер будет несколько раз перезагружен. Дождитесь окончания процесса установки.
8. После завершения процесса повышения сервера до контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что оснастка запускается и отображает информацию об объектах вашего домена успешно.
Установка дополнительного контроллера домена (при необходимости)
Добавление второго контроллера домена не обязательная процедура, но крайне желательная. Второй контроллер домена обеспечивает вам отказоустойчивость. Если что-то случится с один из контроллеров домена, то оставшийся в живых контроллер сможет обрабатывать запросы к Active Directory.
Добавление дополнительного контроллера домена через графический интерфейс
Для добавления еще одного контроллера домена через графический интерфейс необходимо выполнить следующие действия:
1. Запустить Server Manager.
2. В меню сверху выбрать пункты “Manage” – “Add Roles and Features”:
3. Запустится мастер установки ролей и компонентов. На первой странице мастера нажмите кнопку “Next”.
4. На странице выбора сценария установки нужно выбрать пункт “Role-based or feature-based installation” и нажать кнопку “Next”.
5. В появившемся списке серверов выберите необходимый сервер (если он не один) и нажмите кнопку “Next”.
6. В появившемся списке ролей необходимо выбрать “Active Directory Domain Services”.
7. В появившемся диалоговом окне с запросом на установку дополнительных ролей и компонентов нажмите кнопку “Add Features”.
8. В окне мастера установки на шаге выбора ролей нажмите кнопку “Next”.
9. На шаге выбора компонентов нажмите кнопку “Next”.
10. На шаге с описание возможности интеграции с Azure AD нажмите кнопку “Next”.
11. На последнем шаге мастер установки предствит сводку по параметрам установки. Нажмите кнопку “Install”, чтобы начать процесс добавление необходимых для Active Directory компонентов.
12. Дождитесь окончания процесса установки компонентов. По окончанию процесса установки можете закрыть мастер добавления ролей и компонентов.
13. Следующим шагом необходимо повысить роль сервера до контроллера домена. В секции с последними событиями выберите пункт “Promote this server to a domain controller”:
14. У нас уже создан домен Active Directory. Теперь нам нужно добавить дополнительный контроллер домена. Выбираем пункт “Add a domain controller to an existing domain” и в поле “Domain” указываем имя домена, в который будет добавлен дополнительный контроллер.
15. Также необходимо указать учетные данные администратора домена, от имени которого будет выполнена процедура добавления дополнительного контроллера. Для указания учетных данных нажмите кнопку “Change…”.
16. Появится диалоговое окно с указанием учетных данных. Укажите учетные данные администратора домена. Нажмите “ОК”, а затем “Next”.
17. Укажите, что вы планируете установить DNS сервер на дополнительном контроллере и глобальный каталог. Укажите пароль DSRM. Нажимаем “Next”.
18. На странице настройки опций DNS нажмите кнопку “Next”.
19. Отличительный шаг процедуры добавления еще одного контроллера – необходимость указать, откуда делать копию директории в процессе установки роли контроллера Active Directory. Вы можете либо оставить опцию “Any domain controller”, либо выбрать какой-то определенный контроллер (например, как в нашем случае). Выбор контроллера источника для репликации играет важную роль в том случае, если у вас географически распрtделенная инфраструктура, т.е. чтобы при добавлении контроллера в Москве он не побежал за данными на Сахалин. Нажимаем “Next”.
20. На странице с выбором расположений файлов базы данных, транзакционных логов и папки SYSVOL вы можете выбрать иные директории, но, как правило, здесь оставляются значения по умолчанию. Нажмите кнопку “Next”.
21. На странице со сводкой по выбранным параметрам установки нажмите кнопку “Next”.
22. Мастер установки выполнит проверку предварительных требований. Если все проверки завершатся успешно, то будет активна кнопка “Install”. Нажмите её.
23. Запуститься процесс повышения роли сервера до контроллера домена. В процессе повышения сервер несколько раз перезагрузится. Дождитесь окончания процесса.
24. После завершения процесса добавления еще одного контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что новый контроллер присутствует в списке контроллеров домена в соответствующей OU:
Так же список контроллером домена можно посмотреть через следующий PowerShell комендлет:
(Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ | ft HostName,Enabled,Forest}
Добавление дополнительного контроллера домена через PowerShell
Если вы используете вариант операционной системы Server Core, то PowerShell один из единственных способов добавления текущего сервера в качестве контроллера домена в уже существующий домен.
Итак, для повышения сервера до контроллера домена через PowerShell необходимо выполнить следущее:
1. Запустить консоль PowerShell от имени администратора.
2. Запустить следующий командлет для добавления роли контроллера домена (для сервера с GUI):
Add-WindowsFeature AD-Domain-Services -IncludeManagementTools
Для сервера в варианте Server Core запустите следующий командлет:
Add-WindowsFeature AD-Domain-Services
Разница лишь в том, что для сервера с GUI параметр -IncludeManagementTools установит соответствующие оснастки для управления. Например, Active Directory Users and Computers.
3. Дождитесь окончания процесса установки:
4. Теперь необходимо повысить роль сервера до контроллера домена и создать новый лес (и первый домен в лесу). Для этого выполните следующий командлет PowerShell:
Install-ADDSDomainController -InstallDns -Credential (Get-Credential "ITPROBLOGAdministrator") -DomainName "itproblog.ru" -ReplicationSourceDC sr-dc01.itproblog.ru
Параметр InstallDns указывает, что на сервере будет установлена роль сервера DNS. Параметр ReplicationSourceDC указывает с какого из контроллеров домена будет производиться репликация актуальной базы данных Active Directory в процессе установки.
5. Укажите пароль для учетной записи администратора домена.
6. Дважды укажите пароль для DSRM:
7. Далее нужно утвердительно ответить на запрос и том точно ли мы хотим повысить уровень сервера до контроллера домена. Нажмите клавишу Y, а затем Enter.
8. Запуститься процесс повышения сервера до контроллера домена. Сервер будет несколько раз перезагружен. Дождитесь окончания процесса установки.
9. После завершения процесса добавления еще одного контроллера домена вы можете открыть оснастку “Active Directory Users and Computers” и убедиться, что новый контроллер присутствует в списке контроллеров домена в соответствующей OU:
Так же список контроллером домена можно посмотреть через следующий PowerShell комендлет:
(Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ | ft HostName,Enabled,Forest}
Первоначальная настройка
После создания леса и домена, а также после добавления одного или нескольких контроллером домена я обычно, как минимум делаю две вещи:
1. Конфигурирую зону (или зоны) обратного просмотра в DNS.
2. Конфигурирую привязки подсетей в настройках топологии сайтов Active Directory.
Настройка DNS зоны обратного просмотра
Зона обратного просмотра необходима для того, чтобы можно было найти имя компьютера по его IP-адресу.
Для настойки зоны обратного просмотра необходимо:
1. Запустить оснастку управления DNS.
2. В контекстном меню узла “Reverse Lookup Zone” выбрать пункт “New zone”.
3. На странице приветствия мастера настройки зоны обратного просмотра нажмите “Next”.
4. На странице выбора типа зоны выберите основной тип зоны (Primary zone) и укажите, что необходимо хранить зону в Active Directory (Store the zone in Active Directory). Нажмите “Next”.
5. Теперь укажем область репликации зоны. Мы будем реплицировать зону на все контроллеры домена в пределах нашего домена. Нажмите “Next”.
6. Мы будем создавать зону обратного просмотра только для протокола IPv4. Нажмите “Next“.
7. Один из ключевых шагов – правильно указать ID вашей подсети. Например, в моем случае базовый адрес сети следующий – 10.10.10.0/24. На соответствующей странице мастера мы указываем адрес сети в прямой последовательности, как показано ниже. Мастер автоматически преобразуем этот адрес в адрес зоны обратного просмотра. Нажмите “Next:.
8. На странице настройки динамического обновления нажмите “Next”.
9. На последней странице мастера нажмите “Finish”.
Привязка подсетей в настройках сайтов Active Directory
Для того, чтобы компьютер или сервер мог определить к какому сайту Active Directory он принадлежит необходимо выполнить настройки подсетей в соответствующей оснастке.
Настройка подсетей – важный шаг, если у вас географически распределенная инфраструктура. При неверном сопоставлении IP-подсетей и сайтов (или отсутствии сопоставления) компьютеры и серверы могут бегать, например, за данными через весь континент, вместо того, что отправить запрос серверу в соседнем кабинете.
С тем, что такой сайты Active Directory можно ознакомиться в документации Microsoft.
Настроим привязку нашей подсети 10.10.10.0/24 к нашему единственному сайту Active Directory:
1. Запустим оснастку “Active Directory Sites and Services”.
2. В контекстном меню узла “Subnets” выберите пункт “New Subnet…”.
3. В появившемся диалоговом окне в поле “Prefix” укажите базовый адрес сети (в нашем случае 10.10.10.0/24) и выберите в какому сайту Active Directory необходимо привязать подсеть (в нашем случае всего один сайт). Нажмите “ОК”.
4. В свойствах конкретного сайта вы можете посмотреть список IP-подсетей, которые к нему привязаны:
Заключение
В этой статье была рассмотрена установка и первоначальная настройка контроллера Active Directory. Мы рассмотрели вариант установки на сервере с графическим интерфейсом, а также вариант установки через комендлеты PowerShell.
Так же мы рассмотрели процедуру добавление контроллера домена в уже существующий домен. Причем на примере сервера с графическим интерфейсов и через командлеты PowerShell.
Мы немного поговорили о терминологии Active Directory.
Последним шагом мы выполнили минимальные первоначальные настройки Active Directory: настроили сопоставление сайтов Active Directory и IP-подсетей, а также настроили зону обратного просмотра.
Надеюсь, статья окажется вам полезна.