Обновлено 22.01.2019
Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.
Перед тем как я покажу процесс установки AD в Windows Server 2019, я бы хотел вам напомнить, что ASctive Directory — это по сути создание централизованной базы данных в которой будут хранится и управляться компьютеры, пользователи, принтеры. Более подробно, что такое Active Directory читайте по ссылке слева.
Подготовительный этап
Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.
Установка и настройка Active Directory на 2019 сервере
Существует два метода выполнения нашей задачи:
- Классический метод с использованием оснастки «Диспетчер серверов»
- Использование утилиты Windows Admin Center
- Второй метод, это использование Power Shell
Установка AD через сервер менеджеров
Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».
Тип установки оставьте «Установка ролей и компонентов».
Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.
Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.
Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.
Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.
Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:
- Средства удаленного администрирования сервера
- Средства администрирования ролей
- Средства AD DS и AD LDS
- Модуль Active Directory для PowerShell
- Центр администрирования Active Directory
- Оснастки и программы командной строки AD DS
- Управление групповой политикой
Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.
Выгруженная конфигурация, это XML файл с таким вот содержанием.
Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.
Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».
То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.
Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.
На следующем окне вы должны выбрать параметры:
- Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
- Режим работы домена, так же определяет какие функции будут доступны на уровне домена.
Хочу обратить внимание, что режимы работы леса и домена напрямую влияют на то, какие операционные системы могут быть на контроллерах домена, простой пример, если у вас режим работы домена Windows Server 2016, то вы в него уже не добавите контроллеры на ОС Windows Server 2012 R2
- DNS-сервер, лучше всегда совмещать эти роли
- Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
- Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
- Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора
Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.
Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.
Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:
- Папка базы данных — C:WindowsNTDS
- Папка файлов журналов — C:WindowsNTDS
- Папка SYSVOL — C:WindowsSYSVOL
Если у вас контроллер домена на виртуальной машине и ее виртуальные диски лежат на одном СХД, то смысл переносить на разные диски базу и папку SYSVOL нет
Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.
Выглядит сценарий вот так:
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:WindowsNTDS» `
-DomainMode «WinThreshold» `
-DomainName «partner.pyatilistnik.info» `
-DomainNetbiosName «PARTNER» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:WindowsNTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:WindowsSYSVOL» `
-Force:$true
Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.
В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.
После установки вам сообщат:
Ваш сеанс будет завершен. Выполняется перезагрузка этого компьютера, так как были установлены или удалены доменные службы Active Directory
Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.
Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,
В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.
Установка контроллера домена Windows Server 2019 с помощью Powershell
Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.
# Импорт модуля ServerManager
Import-Module ServerManager
# Установка роли AD DS со всеми зависимыми компонентами
Add-WindowsFeature –Name AD-Domain-Services –IncludeAllSubFeature –IncludeManagementTools
# Импорт модуля ADDSDeployment
Import-Module ADDSDeployment
# Установка нового леса
Install-ADDSForest `
# Не включать делегирование
-CreateDnsDelegation:$false `
# Путь к базе данных AD
-DatabasePath «C:WindowsNTDS» `
# Режим работы домена
-DomainMode «WinThreshold» `
# Задаем имя домена
-DomainName «partner.pyatilistnik.info» `
# Задаем короткое NetBIOS имя
-DomainNetbiosName «PARTNER» `
# Задаем режим работы леса
-ForestMode «WinThreshold» `
# Указываем, что будем устанавливать DNS-сервер
-InstallDns:$true `
# Задаем путь к NTDS
-LogPath «C:WindowsNTDS» `
# Если требуется перезагрузка, то перезагружаемся
-NoRebootOnCompletion:$false `
# Задаем путь до папки SYSVOL
-SysvolPath «C:WindowsSYSVOL» `
-Force:$true
Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.
Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.
Предварительная проверка.
Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.
Полезные команды при установке доменных служб
- Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
- Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
- Просмотр подсетей — Get-ADReplicationSubnet -Filter *
- Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
- Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions
Полезные командлеты в модуле ADDSDeployment
- Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
- Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
- Установка дополнительного контроллера домена — Install-ADDSDomainController
- Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
- Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation
Установка и настройка Active Directory Windows Admin Center
Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.
Появится мастер установки, если все верно, то нажмите да.
В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.
Процесс установки доменных служб.
Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.
На этом у меня все, если остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Время прочтения
4 мин
Просмотры 42K
Одним из реально полезных нововведений в Windows Server 2019 является возможность вводить серверы, не делая Sysprep или чистую установку. Развернуть инфраструктуру на виртуальных серверах с Windows Server никогда еще не было так просто.
Сегодня поговорим о том, насколько же, оказывается, просто устанавливать и управлять Active Directory через Powershell.
Устанавливаем роль
RSAT или локальный сервер с GUI:
Сначала нужно добавить сервер в RSAT. Добавляется он на главной странице с помощью доменного имени или ip адреса. Убедитесь, что вы вводите логин в формате localAdministrator, иначе сервер не примет пароль.
Переходим в добавление компонентов и выбираем AD DS.
Powershell:
Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена.
Get-WindowsFeature
Копируем имя компонента и приступаем к установке.
Install-WindowsFeature -Name AD-Domain-ServicesWindows Admin Center:
Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).
И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.
Повышаем сервер до контроллера домена
А для этого создаем новый лес.
RSAT или локальный серверс GUI:
Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.
Powershell:
Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.
$pass = Read-Host -AsSecureStringЛюбой командлет который использует чей угодно пароль нужно вводит таким образом. Сначала записываем пароль в SecureString, а затем указываем эту переменную в командлет.
Install-ADDSForest -DomainName test.domain -SafeModeAdministratorPassword $passКак и в установке через GUI, даже вывод в консоль один и тот же. В отличие от сервера с GUI, как установка роли, так и установка сервера в качестве контроллера домена не требует перезагрузки.
Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.
Управляем доменом
Теперь, чтобы понять насколько сильно различается управление Active Directory через Powershell и AD AC (Active Directory Administrative Center), рассмотрим пару рабочих примеров.
Создание нового пользователя
Скажем, мы хотим создать пользователя в группе Users и хотим чтобы он сам установил себе пароль. Через AD AC это выглядит так:
New-ADUser -Name BackdoorAdmin -UserPrincipalName BackdoorAdmin@test
Get-ADUser BackdoorAdminОтличий между AD DC и Powershell никаких.
Включить пользователя
RSAT или локальный серверс GUI:
Через GUI пользователю нужно сначала задать пароль отвечающий GPO и только после этого его можно будет включить.
Powershell:
Через Powershell почти то же самое, только пользователя можно сделать активным даже без пароля.
Set-ADUser -Identity BackdoorAdmin -Enabled $true -PasswordNotRequired $trueДобавляем пользователя в группу
RSAT или локальный сервер с GUI:
С помощью AD DC нужно перейти в свойства пользователя, найти графу с членством пользователя в группах, найти группу в которую мы хотим его поместить и добавить его наконец, а затем кликнуть OK.
Powershell:
Если мы не знаем как называется нужная нам группа, получить их список мы можем с помощью:
(Get-ADGroup -Server localhost -Filter *).nameПолучить группу со всеми свойствами можно так:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"}Ну и наконец добавляем пользователя в группу:
Далее, из-за того, что в Powershell все является объектами, мы как и через AD DC должны сначала получить группу пользователя, а затем добавить его в неё.
$user = Get-ADUser BackdoorAdminЗатем добавляем этот объект в группу:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"} | Add-ADGroupMember -Members $userИ проверяем:
Get-ADGroupMember -Identity AdministratorsКак видим, отличий в управлении AD через AD AC и Powershell почти нет.
Вывод:
Если вы уже сталкивались с развертыванием AD и других служб, то вы, возможно подмечали сходство развертывания через RSAT и Powershell, и насколько на самом деле все похоже. GUI в ядре, как никак.
Надеемся, статья была полезна или интересна.
Ну и напоследок пару дельных советов:
- Не устанавливайте других ролей на контроллер домена.
- Используйте BPA (Best practice analyzer), чтобы чуточку ускорить контроллер
- Не используйте встроенного Enterprice Admin’а, всегда используйте свою собственную учетную запись.
- При развертывании сервера на белом IP адресе, с проброшенными портами или на VSD обязательно закройте 389 порт, иначе вы станете точкой амплификации DDoS атак.
Предлагаем также прочитать наши прошлые посты: рассказ как мы готовим клиентские виртуальные машины на примере нашего тарифа VDS Ultralight с Server Core за 99 рублей, как работать с Windows Server 2019 Core и как установить на него GUI, а также как управлять сервером с помощью Windows Admin Center, как установить Exchange 2019 на Windows Server Core 2019
Предлагаем обновлённый тариф UltraLite Windows VDS за 99 рублей с установленной Windows Server 2019 Core.
Table of Contents
- Introduction
- Prerequisites
- Active Directory Topology
- Active Directory Port Details
- Active Directory Default Ports
- Active Directory Replication
- Active Directory Authentication
- Installation Steps
- Step 1: Login as Local Admin
- Step 2: IP Config
- Step 3: Static IP
- Step 4: Find InterfaceIndex
- Step 5 : DNS
- Step 6: Install AD-DS Role
- Step 7:AD-DS Configuration
- IncludeManagementTools
- Install-ADDSForest
- Step 8 : Prompt for the Safe Mode Admin Pass
- Step 9 : Reboot & Login
- Step 11 : Run Get-ADDomainController
- Step 12 : Run Get-ADDomain example.com
- Step 13 : List The AD Forest Details
- Step 14 : Check if DC Sharing The SYSVOL Folder
- Conclusion
- References
- Glossary
- Other Languages
Introduction
This article helps to Install / setup the active directory environment using windows server 2019 using PowerShell / PowerShell config file.
Prerequisites
- Install Windows server 2019 Standard / Data center on a Hardware.
- Active Directory Topology
- Make sure Active directory ports are open.
- Patch the Server with the latest Windows Updates and hot-fix.
- Assign the static IP address to Domain Controller
- Install Active directory domain services (ADDS) Role on the server.
- Configure ADDS according to requirement.
- Evaluate the windows event logs to validate the health of ADDS installation and configuration
- Configure Service and Performance Monitoring
- ADDS Backup / DR Configuration
Active Directory Topology
In my sample environment, example.com will be the forest root domain. The first domain controller installs on the forest will hold all five FSMO roles. Once additional domain controllers are in place you can place them inapposite locations.
↑ Back to top
Active Directory Port Details
Active Directory communications comprise of the number of ports, below table explains ports with its details.
Active Directory Default Ports
|
Port |
Type |
Description |
|
135 |
TCP/UDP |
RPC endpoint mapper |
|
137 |
TCP/UDP |
NetBIOS name service |
|
138 |
UDP |
NetBIOS datagram service |
|
139 |
TCP |
NetBIOS session service |
|
445 |
TCP/UDP |
SMB over IP (Microsoft-DS) |
|
389 |
TCP/ UDP |
LDAP |
|
636 |
TCP |
LDAP over SSL |
|
3268 |
TCP |
Global catalog LDAP |
|
3269 |
TCP |
Global catalog LDAP over SSL |
|
88 |
TCP/ UDP |
Kerberos |
|
53 |
TCP/ UDP |
DNS |
|
1512 |
TCP/ UDP |
WINS resolution |
|
42 |
TCP/ UDP |
WINS replication |
|
Dynamically-assigned ports, unless restricted |
TCP |
RPC |
Active Directory Replication
|
Port |
Type |
Description |
|
135 |
TCP |
RPC endpoint mapper |
|
389 |
TCP/UDP |
LDAP |
|
636 |
TCP |
LDAP over SSL |
|
3268 |
TCP |
Global catalog LDAP |
|
3269 |
TCP |
Global catalog LDAP over SSL |
|
53 |
TCP/UDP |
DNS |
|
88 |
TCP/UDP |
Kerberos |
|
445 |
TCP |
SMB over IP (Microsoft-DS) |
|
RPC |
TCP |
Dynamically-assigned ports (unless restricted) |
Active Directory Authentication
|
Port |
Type |
Description |
|
445 |
TCP/UDP |
SMB over IP (Microsoft-DS) |
|
88 |
TCP/UDP |
Kerberos |
|
389 |
UDP |
LDAP |
|
53 |
TCP/UDP |
DNS |
|
RPC |
TCP |
Dynamically-assigned ports (unless restricted) |
↑ Back to top
Installation Steps
Step 1: Login as Local Admin
To start the configuration, log in to Windows server 2019 server as the local administrator.
Step 2: IP Config
We already changed the name of the server to a meaningful one. Then need to check the IP config. in my initial configuration, it shows DHCP IP.
We need to change it to static first, with PowerShell
Step 3: Static IP
To set the static IP, we can use below PowerShell command.
New-NetIPAddress` -InterfaceIndex4-IPAddress192.168.61.100-PrefixLength24DefaultGateway192.168.61.2`
Note: Here we assigned IP based on my network requirement. Hence use the IP address according to your Infrastructure.
Step 4: Find InterfaceIndex
In above, InterfaceIndex can find using Get-NetIPAddress command.
Step 5 : DNS
Next step is to set DNS Ip addresses. The primary dc also going to act as DC so we need to set it as the preferred DNS. We can do this using below command.
Set-DnsClientServerAddress -InterfaceIndex4-ServerAddresses ("192.168.61.100","8.8.8.8")
After config, we can verify it using ipconfig /all.
Step 6: Install AD-DS Role
Before the AD configuration process, we need to install the AD-DS Role in the given server. In order to do that we can use the Following command.
Install-WindowsFeature –Name AD-Domain-Services –IncludeManagementTools`
Note: Reboot is not required to complete the role service installations.
Now we have the AD-DS role installed, the next step is to proceed with the configuration
Step 7:AD-DS Configuration
Below is the power-shell configuration file / script for configuring the ADDS.
Install-ADDSForest `
-DomainName
"example.com"
`
-CreateDnsDelegation:$false `
-DatabasePath
"C:WindowsNTDS"
`
-DomainMode
"7" `
-DomainNetbiosName
"example" `
-ForestMode
"7" `
-InstallDns:$true `
-LogPath
"C:WindowsNTDS"
`
-NoRebootOnCompletion:$True `
-SysvolPath
"C:WindowsSYSVOL"
`
-Force:$true
Following explain the Power-Shell arguments and what it will do. Install-WindowsFeature
This cmdlet will allow to install windows role, role services or windows feature in la ocal server or remote server. It is similar to using windows server manager to install those.
IncludeManagementTools
This cmdlet will allow to install windows role, role services or windows feature in local server or remote server. It is similar to using windows server manager to install those.
This will install the management tools for the selected role service.
Install-ADDSForest
This cmdlet will allow to setup a new active directory forest.
- DomainName: This parameter defines the FQDN for the active directory domain.
- CreateDnsDelegation Using this parameter can define whether to create DNS delegation that reference active directory integrated DNS.
- DatabasePath; this parameter will use to define the folder path to store the active directory database file (Ntds.dit).
- DomainMode: This parameter will specify the active directory domain functional level. In above I have used mode 7 which is windows server 2016. Windows Server 2019 doesn’t have separate domain functional level.
- DomainNetbiosName This defines the NetBIOS name for the forest root domain.
- ForestMode; This parameter will specify the active directory forest functional level. In above I have used mode 7 which is windows server 2016. Windows Server 2016 doesn’t have separate forest functional level.
- InstallDns: Using this can specify whether DNS role need to install with the active directory domain controller. For new forest, it is the default requirement to set it to $true.
- LogPath: Log path can use to specify the location to save domain log files.
- SysvolPath
- SysvolPath | This is to define the SYSVOL folder path. Default location for it will be C:Windows
- NoRebootOnCompletion: By default, the system will restart the server after domain controller configuration. using this command can prevent the automatic system restart.
- Force: This parameter will force command to execute by ignoring the warning. It is typical for the system to pass the warning about best practices and recommendations.
Step 8 : Prompt for the Safe Mode Admin Pass
After executing the command it will prompt for the Safe Mode Administrator Password. This is to use in Directory Services Restore Mode (DSRM).
Make sure to use the complex password (According to windows password complexity recommendations). Failure to do so will stop the configuration.
Step 9 : Reboot & Login
When configuration complete, reboot the domain controller and log back in as domain administrator.
Step
10 : Confirm the Installation
To confirm the successful installation of the services.
Get-Service adws,kdc,netlogon,dns
Above command will list down the status of the active directory related services running on the domain controller.
Step 11 : Run Get-ADDomainController
It will list down all the configuration details of the domain controller.
Step 12 : Run Get-ADDomain example.com
It will list down the details about the active directory domain.
Step 13 : List The AD Forest Details
Same way Get-ADForest example.com will list down the active directory forest details.
Step 14 : Check if DC Sharing The SYSVOL Folder
Get-smbshare SYSVOL will show if the domain controller sharing the SYSVOL folder.
↑ Back to top
Conclusion
As we can see AD DS components are installed and configured successfully. This marks the end of this post. Please feel free to rate this article.
References
- Service overview and network port requirements for Windows
- What’s new in Active Directory 2019?
↑ Back to top
Glossary
| Item | Description |
| SYSVOL | SYSTEM VOLUME |
| DC | Domain Controller |
| AD DS | Active Directory Domain Services |
| DNS | Domain Name System |
| FQDN | Fully Qualified Domain Name |
| DSRM | Directory Services Restore Mode |
KDC |
Key Distribution Center |
| LDAP | Lightweight Directory Access Protocol |
| NTDS | NT Directory Services |
| IP | Internet Protocol |
| FSMO | Flexible Single-Master Operation |
↑ Back to top
Other Languages
Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.
AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.
Подготовительные работы
Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:
Установка Windows Server 2019 на виртуальную машину VMware
После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:
Первоначальная настройка Windows Server 2019
Хочется отметить обязательные пункты, которые нужно выполнить.
Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.
Укажите имя сервера.
Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.
Установка роли Active Directory Domain Services
Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.
Дополнительно будет установлена роль DNS.
Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.
Запускается мастер добавления ролей.
Раздел Before You Begin нас не интересует. Next.
В разделе Installation Type выбираем Role-based or feature-based installation. Next.
В разделе Server Selection выделяем текущий сервер. Next.
В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.
Для роли контроллера домена нам предлагают установить дополнительные опции:
- [Tools] Group Policy Management
- Active Directory module for Windows PowerShell
- [Tools] Active Directory Administrative Center
- [Tools] AD DS Snap-Ins and Command-Line Tools
Всё это не помешает. Add Features.
Теперь роль Active Directory Domain Services отмечена галкой. Next.
В разделе Features нам не нужно отмечать дополнительные опции. Next.
У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.
Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.
Начинается установка компонентов, ждём.
Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.
Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.
Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:
- Add a domain controller to an existing domain
- Add a new domain to an existing forest
- Add a new forest
Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.
Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.
Попадаем в раздел Doman Controller Options.
В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.
У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.
В Domain functional level также выбираю Windows Server 2012.
Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.
Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.
Next.
Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found…». Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.
В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.
В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:
- Database folder: C:WindowsNTDS
- Log files folder: C:WindowsNTDS
- SYSVOL folder: C:WindowsSYSVOL
Next.
В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.
Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.
Next.
Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.
Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.
Для начала установки роли контроллера домена нажимаем Install.
Начинается процесс установки.
Сервер будет перезагружен, о чём нас и предупреждают. Close.
Дожидаемся загрузки сервера.
Первоначальная настройка контроллера домена
Наша учётная запись Administrator теперь стала доменной — ILABAdministrator. Выполняем вход.
Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.
На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.
Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.
Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.
Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.
Правой кнопкой на корень каталога, New > Organizational Unit.
Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.
Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.
Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.
В этой статье мы рассмотрим процесс установки нового домена для среды Active Directory с помощью Windows Server 2019. Это будет реализовано путем установки соответствующей роли, а затем путем повышения роли сервера до главного контроллера домена (DC). В то же время мы установим роль DNS, чтобы использовать возможности зон, интегрированных в Active Directory.
По сути, процесс выполняется в два этапа: установка роли Active Directory Domain Services и повышение статуса сервера до главного контроллера домена.
Установка роли Active Directory Domain Services
Прежде чем приступить к выполнению этого шага, необходимо настроить на сервере статический IP-адрес, а также изменить имя Windows Server в соответствии со стандартами именования вашей компании. После того как сделаете это, приступайте к установке ADDS.
Откройте управление сервером (Server Manager), нажмите Управление (Manage), а затем «Добавить роли и компоненты» (Add Roles and Features).
Сразу после этого откроется окно мастера. В разделе “Before You Begin” нажмите “Next”, чтобы продолжить.
В разделе «Тип установки» (Installation Type) выберите установку на основе ролей сервера или на основе функции виртуальной инфраструктуры и нажмите Next, чтобы продолжить. В нашем случае используем первый вариант.
В разделе «Выбор сервера» (Server selection) убедитесь, что выбран нужный сервер, обычно он выделен по умолчанию и нажмите Next.
В разделе «Роли сервера» (Server Roles) выберите Доменные службы Active Directory (Active Directory Domain Services). После этого вам будет предложено добавить некоторые дополнительные функции. Нажмите кнопку Add Features, а затем нажмите Next, чтобы продолжить.
В разделе «Компоненты» (“Features”) вам не нужно ничего выбирать, просто нажмите Next для продолжения.
В разделе AD DS отображается некоторая информация о AD DS, просто нажмите Next.
Наконец, в разделе «Подтверждение» (“Confirmation”) нажмите кнопку Install, чтобы перейти к установке роли.
Повышение сервера до контроллера домена
После завершения установки роли, если вы не закроете окно, вам будет предложено повысить сервер до контроллера домена (DC). Ссылка будет выделена синим текстом.
В качестве альтернативы можно открыть то же окно через сервер менеджер, как показано на рисунке ниже.
Нажмите на «Повысить роль этого сервера до уровня контроллера домена» (Promote server to domain controller). По сути, это мастер конфигурации развертывания Active Directory, который поможет вам создать первый лес в Active Directory.
В разделе «Конфигурация развертывания» (Deployment Configuration), включите опцию «Добавить новый лес» “Add a new forest”, а затем введите желаемое имя домена. В моем случае это office.local, и нажмите Next.
В разделе «Параметры контроллера домена» (Domain Controller Options) выберите функциональный уровень леса и домена. Если это ваш первый лес на Windows Server 2016, оставьте значения по умолчанию. В противном случае, если в вашей бизнес-инфраструктуре есть другие контроллеры домена, вам следует узнать их функциональный уровень, прежде чем приступать к необходимым действиям.
Включите опцию сервера системы доменных имен (DNS), чтобы также установить роль DNS на том же сервере, если вы не сделали этого раньше.
Также введите (дважды) пароль Directory Services Restore Mode (DSRM), обязательно запишите его в документации и нажмите Next, чтобы продолжить.
В подразделе «Параметры DNS» (DNS Options) вы увидите предупреждающее сообщение, но в данный момент оно не должно вас беспокоить. Просто нажмите “Next”, чтобы продолжить.
В разделе «Дополнительные параметры» (Additional Options) оставьте имя NetBIOS по умолчанию и нажмите Next, чтобы продолжить.
В разделе «Пути» (Paths) выберите, где на вашем сервере будут располагаться папки NTDS, SYSVOL и LOG. В моем случае я оставлю значения по умолчанию, вы можете выбрать другой диск в зависимости от ваших предпочтений и настроек.
В разделе «Просмотреть параметры» (Review Options) вы увидите сводку выбранных вами параметров. Убедившись, что вы не допустили ошибок, нажмите Next.
В разделе «Проверка предварительных требований» “Prerequisites Check” будут проверены предварительные условия. Здесь, если возникнет хотя бы одна ошибка, вы не сможете продолжить, и вам нужно будет ее исправить. В противном случае, если отображаются только предупреждающие сообщения (которые являются наиболее распространенными), но проверка прошла успешно, как показано на рисунке, нажмите кнопку Install, чтобы продолжить.
На этом этапе вам нужно будет подождать несколько минут, пока завершится процесс установки. Сразу после этого сервер автоматически перезагрузится.
После перезагрузки ваш первый контроллер домена будет готов и вы можете пользоваться всеми функциональностями, таким как например ADUC и ADAC.
Данная статья предназначена для тех, кто искал подробное и понятное руководство о том, как установить роль Active Directory Domain Services на Windows Server 2019.
В этом руководстве мы будем рассматривать тот случай, когда у вас уже есть сервер с установленной на нем операционной системой Windows Server 2019.
Подробно о том, как установить Windows Server 2019, вы можете прочитать в моем руководстве “Установка Windows Server 2019”. Узнать о том, как установить Active Directory Domain Services на Windows Server 2019 Server Core без GUI, вы можете, прочитав “Установка Active Directory Domain Services на Windows Server 2019 Server Core”.
Рекомендую всегда использовать англоязычные издания Windows Server. Как показывает практика, оригинальные (английские) версии Windows работают стабильнее, к тому же вам будет проще общаться на одном языке с профессионалами в случае возникновения проблем или при желании обменяться опытом.
Перед началом установки роли Active Directory Domain Services необходимо присвоить серверу корректное имя в соответствии со стандартами вашей организации, а затем указать статический IP-адрес, маску подсети, шлюз и адрес сервера DNS.
Заходим в систему под учетной записью с правами администратора и на клавиатуре нажимаем сочетание клавиш “Win” и “X”, затем в открывшемся меню выбираем “System”.
Выбираем “Rename this PC”.
Настоятельно рекомендую заранее продумать, как будут называться сервера в вашей организации.
Далее указываем новое имя сервера и нажимаем на кнопку “Next”.
Теперь система предложит перезагрузить сервер для того чтобы новые настройки вступили в силу.
Нажимаем на кнопку “Restart now”.
Выбираем “Operating System: Reconfiguration (Planned)”, как причину перезагрузки сервера, и нажимаем на кнопку “Continue”.
Далее сервер начнет перезагружаться.
Теперь необходимо прописать статический IP-адрес в настройках сетевого подключения.
Заходим в систему под учетной записью с правами администратора и на клавиатуре нажимаем сочетание клавиш “Win” и “X”, затем в открывшемся меню выбираем “Network Connections”.
Далее выбираем “Change adapter options”.
Теперь нажимаем правой кнопкой мыши на сетевом подключении “Ethernet” и выбираем пункт “Properties”.
Выбираем “Internet Protocol Version 4” и нажимаем на кнопку “Properties”.
Далее выбираем пункт “Use the following IP address” и указываем свободный IP-адрес, маску подсети и шлюз. Обратите внимание, вы должны заранее понимать, как устроена ваша сеть и знать какие IP-адреса свободны.
В поле “Preferred DNS server” указываем IP-адрес этого сервера, так как на вашем сервере будет присутствовать роль “DNS Server”, которая устанавливается вместе с ролью “Active Directory Domain Services”.
Нажимаем на кнопку “OK”.
В окне “Ethernet Properties” нажимаем на кнопку “Close”.
Теперь можно приступить к установке роли “Active Directory Domain Services”.
Открываем “Server Manager”, нажимаем на кнопку “Manage” в правом верхнем углу экрана и выбираем “Add Roles and Features”.
Нажимаем на кнопку “Next”.
Выбираем тип установки “Role-based or feature-based installation” и нажимаем на кнопку “Next”.
Далее выбираем сервер, на который будет производиться установка роли.
Нажимаем на кнопку “Next”.
Выбираем роль “Active Directory Domain Services”.
На следующем этапе “Мастер установки ролей” предупредит, что для установки роли “Active Directory Domain Services” нужно установить несколько компонентов.
Нажимаем на кнопку “Add Features”.
На этом этапе выбирать роль DNS Server не обязательно. Она будет установлена позже.
Нажимаем на кнопку “Next”.
На этапе добавления компонентов оставляем все значения по умолчанию.
Нажимаем на кнопку “Next”.
Далее “Мастер установки ролей” предлагает ознакомиться с дополнительной информацией касательно роли “Active Directory Domain Services”.
Нажимаем на кнопку “Next”.
Для того чтобы начать установку выбранной роли, нажимаем на кнопку “Install”.
Началась установка выбранной роли и необходимых для нее компонентов.
Установка роли “Active Directory Domain Services” завершена.
Теперь нажимаем на кнопку “Promote this server to a domain controller”, для того чтобы повысить роль вашего сервера до уровня контроллера домена.
Настоятельно рекомендую заранее продумать какое доменное имя вы будете использовать при добавлении нового леса.
В данном руководстве рассматривается добавление нового леса, поэтому в окне “Active Directory Domain Services Configuration Wizard” выбираем пункт “Add a new forest” и в поле “Root domain name” указываем желаемое имя для корневого домена.
Нажимаем на кнопку “Next”.
На следующем шаге предлагается выбрать функциональный уровень нового леса и корневого домена. Если вы добавляете новый лес и планируете в дальнейшем использовать сервера на базе операционной системы Windows Server 2019, то можете не менять функциональный уровень леса и корневого домена.
Указываем пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажимаем на кнопку “Next”.
На данном этапе “Мастер настройки AD DS” предупредит, что делегирование для этого DNS-сервера не может быть создано.
Нажимаем на кнопку “Next”.
Далее можно изменить NetBIOS имя которое было присвоено вашему домену. Рекомендую оставить значение NetBIOS по умолчанию.
Нажимаем на кнопку “Next”.
Теперь можно изменить пути к каталогам базы данных AD DS, файлам журнала и папке SYSVOL. Рекомендую оставить эти значения по умолчанию.
Нажимаем на кнопку “Next”.
На следующем шаге отображается сводная информация по настройке сервера.
Нажимаем на кнопку “Next”.
Далее “Мастер настройки AD DS” проверит все ли предварительные требования соблюдены и выведет отчет.
Сообщение “All prerequisite checks are passed successfully” означает, что все требования соблюдены.
Нажимаем на кнопку “Install”.
Начался процесс повышения роли сервера до уровня контроллера домена.
После того как роль вашего сервера будет повышена до уровня контроллера домена, сервер автоматически перезагрузится.
Перед тем как сервер начнет перезагружаться вы увидите предупреждение.
Повышение роли сервера до уровня контроллера домена завершено.
Для управления пользователями, группами и другими объектами каталога Active Directory можно использовать Active Directory Administrative Center или оснастку Active Directory Users and Computers.
Заходим в систему под учетной записью с правами администратора домена.
Открываем Server Manager, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Active Directory Administrative Center”.
Откроется Active Directory Administrative Center.
Также для управления пользователями, группами и другими объектами каталога Active Directory можно использовать привычную многим оснастку Active Directory Users and Computers.
В Server Manager, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Active Directory Users and Computers”.
Откроется оснастка Active Directory Users and Computers.
Установка и настройка DNS-сервера и Active Directory, DHCP-сервера в Windows Server 2019 не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2016, 2012. Пройдя несколько шагов несложно устанавить следующие роли: DNS-сервер и Доменные службы Active Directory, DHCP-сервер.
- Переименование сервера
- Настройка сетевого интерфейса
- Установка на сервера ролей: DNS-сервер, Доменные службы Active Directory, DHCP-сервер
- Повышение роли сервера до уровня контроллера домена
- Настройка обратной зоны DNS
- Настройка DHCP-сервера
Переименование сервера
1. Для изменения имени сервера нажимаем правой клавишей мыши на «Этот компьютер«, в появившемся меню выбираем «Свойства«.
2. Далее нажимаем «Изменить параметры«. В открывшемся окне добавляем описание сервера, далее выбираем «Изменить«.
3. Задаём «Имя компьютера«, нажимаем «ОК«. Появится предупреждение о том, что изменения вступят в силу после перезагрузки компьютера. Подтверждаем — «ОК«
4. Нажимаем «Перезагрузить сейчас» и ожидаем перезагрузки сервера.
5. После перезагрузки компьютера проверяем имя сервера («Мой компьютер» — правой клавишей мыши — «Свойства«).
Настройка сетевого интерфейса
6. Для настройки сетевого интерфейса в поиске набираем ncpa.cpl, далее «Enter«. Снимаем чекбокс «IP версии 6«, далее выбираем «IP версии 4«, далее «Свойства«.
7. Выбираем «Использовать следующий IP-адрес» и задаём статический IP-адрес сервера, маску подсети, основной шлюз (если есть), и предпочитаемый DNS-сервер. Нажимаем «ОК«. На этом настройка сетевого интерфейса закончена.
Установка на сервера ролей: DNS-сервер, Доменные службы Active Directory, DHCP-сервер
8. Нажимаем «Пуск«, далее «Диспетчер серверов«.
9. В новом окне выбираем «Добавить роли и компоненты«.
10. Читаем предупреждение сервера «Перед началом работы«, не забываем защитить учетную запись администратора надежным паролем, затем «Далее«.
11. Проверяем, что чекбокс стоит на «Установка ролей или компонентов«, затем «Далее«.
12. Выбираем сервер, на который будут установлены роли и компоненты. Снова «Далее«.
13. Устанавливаем чекбоксы напротив выбранных ролей сервера, в данном случае это DNS-сервер, Доменные службы Active Directory, DHCP-сервер. Нажимаем «Далее«.
14. При каждом выборе роли будет появляться «Мастер добавление ролей и компонентов«, который будет спрашивать о добавлении компонентов для выбранных ролей сервера. Нажимаем «Добавить компоненты«.
15. Нажимаем «Далее«, необходимые компоненты были выбраны в предыдущем шаге.
16. Читаем предупреждение DNS-сервера на что обратить внимание, затем «Далее«.
17. Читаем предупреждение AD DS, нажимаем «Далее«.
18. Читаем предупреждение DHCP-сервера, снова «Далее«.
19. Ставим «чекбокс» напротив «Автоматический перезапуск конечного сервера, если требуется«, нажимаем «Установить«.
В результате произойдет установка выбранных ролей сервера.
Повышение роли сервера до уровня контроллера домена
20. Нажимаем «Повысить роль этого сервера до уровня контроллера домена«.
21. Далее выбираем «Добавить новый лес» и задаем «Имя корневого домена«.
22. В следующем окне дважды вводим пароль для режима восстановления служб каталогов (DSRM), затем «Далее«.
23. В следующем окне снова «Далее«.
24. Проверяем NetBIOS-имя, присвоенное домену, и при необходимости меняем его. Затем «Далее«.
25. Оставляем по умолчанию расположение базы данных AD DS, файлов журналов и папки SYSVOL, снова «Далее«.
26. После просмотра выбранных параметров и их одобрения нажимаем «Далее«.
27. Если проверка готовности к установке выполнена успешна, то запускаем установку — «Установить«.
28. По завершению установки произойдет перезагрузка сервера.
29. После перезагрузки полное имя компьютера изменится, к имени сервера добавиться доменное имя. Active Directory можно использовать.
Настройка обратной зоны DNS
30. Для настройки обратной зоны DNS в Диспетчере серверов выбираем «Средства» — «DNS«
31. Раскрываем дерево DNS, нажимаем правой клавишей мыши на «Зоны обратного просмотра«, в появившемся меню «Создать новую зону…«.
32. В появившемся мастере создания новой зоны нажимаем «Далее«.
33. Выбираем «Основная зона«, затем «Далее«.
34. Оставляем по умолчанию область репликации зоны, интегрированной в Active Directory, нажимаем «Далее«.
35. Оставляем «Зона обратного просмотра IPv4», просто «Далее«.
36. В следующем окне задаем Зону обратного просмотра, которая преобразует IP-адреса в DNS-имена. В идентификатор сети забиваем три актета своей сети, затем «Далее«.
37. Разрешаем только безопасные динамические обновления, снова «Далее«.
38. Зона обратного просмотра создана.
Настройка DHCP-сервера
39. После установки роли DHCP-сервера в Диспетчере серверов нажимаем на желтый треугольник, в появившемся окне выбираем «Завершение настройки DHCP«.
40. В следующем окне читаем описание завершения настройки DHCP-сервера на конечном компьютере, затем «Далее«.
41. Оставляем по умолчанию учетные данные, которые будут использоваться для авторизации DHCP-сервера доменными службами Active Directory. Нажимаем «Фиксировать«.
42. В следующем окне нажимаем «Закрыть«.
43. В диспетчере серверов нажимаем «Средства» — «DHCP«.
44. В открывшемся окне открываем дерево DHCP. Правой клавишей мыши нажимаем на домен, в появившемся окне выбираем «Добавить или удалить привязки…«.
45. Проверяем сетевой интерфейс, который будет использовать DHCP-сервер для обслуживания клиентов. Далее «ОК«.
46. Затем правой клавишей нажимаем на IPv4, в появившемся меню выбираем «Создать область…«.
47. Откроется мастер создания область, который помогает создать область IP-адресов, распределяемых среди компьютеров вашей сети. Нажимаем «Далее«.
48. Задаем имя новой области, если необходимо, задаем также описание новой области. Снова «Далее«.
49. Вводим диапазон адресов, который описывает создаваемую область, маску подсети. Нажимаем «Далее«.
50. В следующем окне вводим с помощью кнопки «Добавить» один адрес или диапазон IP-адресов, который необходимо исключить. После ввода всех адресов или диапазонов нажимаем «Далее«.
51. Оставляем по умолчанию срок действия аренды адресов области, выдаваемых сервером. Снова «Далее«.
52. Для настройки других параметров DHCP выбираем «Да, настроить эти параметры сейчас«, затем «Далее«.
53. Добавляем с помощью кнопки «Добавить» IP-адрес маршрутизатора, снова «Далее«.
54. Оставляем по умолчанию родительский домен, который клиентские компьютеры в сести будут использовать для разрешения DNS-имен. Затем «Далее«.
55. Вводим IP-адреса WINS-сервера, или нажимаем просто «Далее«.
56. Выбираем «Да, я хочу активировать эту область сейчас«, затем «Далее«.
57. В следующем окне появится «Вы успешно завершили работу с мастером создания области», нажимаем «Готово».
58. Вновь созданный диапазон появится в «Пул адресов«.
Посмотреть видео можно здесь:
Читайте также:
- Windows server 2019 — установка и настройка WSUS, создание и настройка GPO
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
- Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
- Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей
In this article, I show you how to install your first Windows Server 2019 Active Directory (AD) domain controller (DC). We’ll be using Server Manager to install and configure AD, so you’ll need to be running a version of Windows Server 2019 that includes the Desktop Experience server role. Alternatively, you can set up AD in Windows Server 2019 Server Core using Server Manager running on a remote device.
There are two steps to installing AD in Windows Server 2019. The first is to install the Active Directory Domain Services (AD DS) server role. The second step is to configure your server as a domain controller. An AD domain must have at least one DC. Your server will be the first DC in a new AD forest and domain.
To complete the instructions below, you will need to have an account with administrator privileges in Windows Server 2019.
Configure a static IP address
Before you configure AD on your server, you should make sure that the server’s network adapter has been assigned a valid static IP address on your local network.
- Log in to Windows Server 2019 with a local administrator account.
- Right click the network icon in the system tray in the bottom right of the taskbar and click Open Network & Internet settings.
- In the left pane of the Settings app, click Ethernet under Network & Internet.
- In the right pane under Related settings, click Change adapter options.
- In the Network Connections window, right click your server’s network adapter and select Properties from the menu.
- In the Ethernet Properties dialog, click Internet Protocol Version 4 (TCP/IPv4), and then click Properties.
- In the Internet Protocol Version 4 (TCP/IPv4) Properties dialog, check Use the following IP address. You’ll need to fill out the following three fields: IP address, Subnet mask, Default gateway.
Your DC will need to communicate with other devices on the local network, so it’s important to speak to whoever oversees your network and get them to provide you with a static IP address that isn’t already in use. On my network, I will assign a static IP address of 192.168.1.10, subnet mask of 255.255.255.0, and the default gateway is 192.168.1.1.
- Check Use the following DNS server addresses. Set Preferred DNS server to the same IP address that you assign Windows Server. So, in my example, I will use 192.168.1.10. Click OK when you’re done.
The first DC in your domain will also be a DNS server. The Active Directory Domain Services Configuration Wizard will automatically configure a DNS server for you.
- Close the Ethernet Properties dialog, Network Connections window, and the Settings app.
Name your server
Make sure you assign a name to your server that reflects its new role. Something like DC1 might be good.
- In Server Manager, click Local Server in the left pane.
- In the Properties section on the right, click your server’s computer name to the right of the Computer name
- In the System Properties dialog, click the Change button on the Computer Name tab.
- In the Computer Name/Domain Changes dialog, type a name for your server in the Computer name field and click OK.
- You’ll be prompted to restart the server. Click OK and then click Close in the System Properties dialog.
- Click Restart Now in the popup dialog.
Install the Active Directory Domain Services role
Let’s get started with installing and configuring AD.
- Log in to Windows Server 2019 with a local administrator account.
- Server Manager should open by default. If it doesn’t, click the Start menu and find Server Manager in the list of installed apps and click it.
- In Server Manager, click the Manage menu in the top-right corner and select Add Roles and Features from the menu.
- In the Add Roles and Features Wizard, click Next on the Before You Begin screen.
- On the Installation Type screen, make sure that Role-based or feature-based installation is selected and click Next.
- On the Server Selection screen, make sure that your Windows Server is selected in the list and click Next.
- On the Server Roles screen, check Active Directory Domain Services in the list of roles.
- In the Add Roles and Features Wizard popup dialog, make sure that Include management tools (if applicable) is checked and then click Add Features.
- Click Next on the Server Roles screen to continue.
- Click Next on the Features screen.
- Read the information on the AD DS screen and click Next.
- Now click Install on the Confirmation screen.
- When the installation is complete, click Close in the Add Roles and Features Wizard.
Configure Active Directory in Windows Server 2019
Now that the AD DS role is installed in Windows Server 2019, you can configure your first AD domain controller. Let’s go back to Server Manager and start the configuration.
- Back in Server Manager, you should see a yellow exclamation mark by the notifications flag in the top-right corner. Click it and then click Promote this server to a domain controller.
- In the Active Directory Domain Services Configuration Wizard dialog, check Add a new forest under Select the deployment operation.
- In the Root domain name box, type the Fully Qualified Domain Name (FQDN) for your new AD forest. I’m going to use contoso.com for my AD domain name. Click Next to continue.
You should make sure that you own the public top-level domain name (TLD). In this example, I should own the contoso.com domain name. AD in the FQDN defines my internal DNS namespace for Active Directory.
- On the Domain Controller Options screen, type and confirm a Directory Services Restore Mode (DSRM) password. You will need this if you want to restore AD from backup. Click Next to continue.
- On the DNS Options screen, you can safely ignore the delegation warning and click Next.
- On the Additional Options screen, click Next to accept the assigned NetBIOS name.
- Click Next again on the Paths screen to accept the default database, log files, and SYSVOL folder locations.
- Now click Next on the Review Options screen.
The wizard will run some prerequisite checks to make sure AD can be installed on the server. Hopefully your server will pass the checks and you can continue installing AD. It’s normal to get a few warnings as you can see in the image below. You will not be able to proceed with the install if the server fails the prerequisite checks.
- Now click Install to configure AD on the server. The server will automatically reboot to complete the install process.
Once Windows Server has rebooted, you will need to log in with the domain administrator account. The domain administrator account is assigned the same password as the built-in administrator account.
- On the sign-in page, type administrator in the User name Type the password for the administrator account, which is the same as the password for the previous built-in administrator account, and press ENTER.
And that is it! You are now logged in to your AD domain’s first domain controller. In Server Manager, you can click the Tools menu and then select Active Directory Users and Computers to start managing your domain.
In this tutorial, you will find installation of Active Directory in Windows Server 2019. This will be accomplished by installing the appropriate role and upgrading the server to a master domain controller (DC). We will also add the DNS role to take advantage of the zone capabilities integrated into Active Directory.
Basically, it is a two-step process, installing the ADDS role and upgrading it to a DC.
Adding the Active Directory Domain Services Role
But at first, you should set a static IP address on your server, and find the appropriate name for your Windows Server to match your company’s naming policy. After completing this step, proceed to set up ADDS.
Run Server Manager, click Manage -> Add Roles and Features.
Right after that the wizard window appears. Under «Before You Begin» click «Next«.
Now we need to select an installation type, it can be based on server roles or virtual infrastructure (based on Hyper-V), chose the first setting and continue in a new window.
In the «Server selection», we need to choose our server, usually it is allocated by default and continue to the next section.
Here we came to Server Roles, select Active Directory Domain Services and accept addition of related features. Click the Add Features -> Next.
The next window is named «Features» but here we need nothing to add so just go to the next section.
The ADDS section displays summary info about your AD, here we just click Next.
And at last, we proceed to installation, click Install and wait a little bit until installation completes.
Upgrading Server to a DC
After finishing the installation, unless you close the window, there will be a link in finish summary to promote the server to a DC. This is highlighted as blue text.
However, it is possible to promote the server through notifications in server manager.
Click on «Promote server to domain controller«. And you will be brought to AD deployment wizard that will help you to create a forest in AD.
In «Deployment Configuration«, you should choose the «Add a new forest«, and then you need to think about your domain name (Note that it must not be like a domain name on your organization’s website, it must differ, otherwise you will have serious DNS problems) and type it in the proper field. In my case it is office.local, and click Next afterwards.
Now we have reached the»Domain Controller Options«. Here you need to specify the domain functional level. Note that it can differ from you current OS version, for 2019 Windows server, 2016 is only available. For the first AD server chose the latest version of the functional level. And if it is not the first one then you need to sync the level among other controllers.
In our example we will also choose DNS server option because we dont have standalone DNS, chose it whether you need it or not in your infrastructure.
You should also specify the password for restore mode (DSRM), save it in your corporate password manager and click «Next» to continue.
Probably you will notice a DNS warning message, but it should not bother you at this time. Ignore it and move further.
So, we arrived to the NetBIOS name, I recommend you to leave it as it is but you can change it as you like, don’t forget to specify it in capital letters. Move Next.
Under «Paths» choose where the location of NTDS, SYSVOL and LOG folders. You can choose a different drive depending on your preferences and settings but default is also acceptable.
Under «Review Options» you will see a summary of your selections. Check it carefully for mistakes, move next if it is ok.
The «Prerequisites Check» section checks for your server prerequisites. Here, if it finds an error the installation process will be aborted and you will need to correct it. Otherwise, if only warning messages are displayed (which is usual), but the check was successful as shown, click Install to continue.
And here you need to wait a little bit for installation process to complete. Immediately after that, the server automatically restarts.
After server finishes its reboot process, your first domain controller will be ready to use and you can leverage all the features such as ADUC and ADAC.
1101
CT Amsterdam
The Netherlands, Herikerbergweg 292
+31 20 262-33-82
700
300
ITGLOBAL.COM NL
1101
CT Amsterdam
The Netherlands, Herikerbergweg 292
+31 20 262-33-82
700
300
ITGLOBAL.COM NL
Article :: KB00015
Microsoft Active Directory is a critical service for any domain architecture, and the server which holds these services are called Domain Controllers.
Today, we’ll install and configure the first Domain Controller in the single forest single Domain architecture. Follow the below step-by-step process to install and configure the Domain Controller.
Prerequisite Required
1) VM or Physical Server with Windows Server 2019 installed (we are using Server with Desktop Experience installation option)
2) Assign a static IP address to the server that we promote as Domain Controller.
3) As we’ll configure Active Directory-integrated DNS, therefore change the DNS settings in the network interface and set the same server IP address as the primary DNS server.
Step 1: Install Active Directory Domain Services (ADDS)
Log into your Windows Server 2019 with administrative credentials. Open Server Manager → click on Dashboard → click on Add roles and features.
The «Before you begin» tab contains some important informations. Please go through it and click «Next«.
In the «Installation Type» tab choose Role-based or Feature-based installation and click on the Next button.
In the Server Selection tab, please select the destination server on which the role will be installed. Please verify the hostname and the IP address points of the selected server. Click Next to continue.
In the Server Roles tab, put a tickmark for «Active Directory Domain Services» (you can select the DNS Server role as well, as we will configure AD integrated DNS server. If not selected, during installation it will automatically select and install the DNS Role).
Then, it will prompt to show you the associated features for the role. Click on Add Features to add those. Then click Next to continue.
In the Features tab, the basic features for this required role are already selected by default. Click Next to install continue.
In the next window, it gives brief information about the «Active Directory Domain Services» service. Click next to proceed.
In the Confirmation tab, verify the selections and click on the Install button. You may or may not select the option «Restart the destination server automatically if required». It is always a best practice to restart the server post-installation.
Once done, it will start the installation process and you can check the same in the Results tab.
Step 2: Promote the server into a Domain Controller
Once the ADDS role installation completes, click on the option «Promote this server to a Domain Controller» (highlighted in the below image). Alternately, you will see a notification flag next to the Manage menu. From there also you can select «Promote this server into a domain controller», this will start the configuration process.
It will open the «Active Directory Configuration Wizard». Now, from the Deployment Configuration tab, select «Add a new forest» (as I am configuring a new Forest and it is my first domain controller). Provide a Root Domain name, mine is «VirtualGyanis.Com» (you have to put your domain name here). Then, click on Next to continue.
Note: If you are adding this domain controller into an existing domain/forest you can choose the relevant option accordingly.
In the Domain Controller Option tab, select a Forest functional level and a Domain functional level as per your environment.
Since this is the first domain controller in the forest, please select the DNS Server (as we are configuring AD integrated DNS) and the Global Catalog (GC) checkboxes.
Then, enter the Active Directory Restore Mode (DSRM) password, this is used to retrieve/restore Active Directory data. Then, click Next to continue
Since we have configured an AD-integrated DNS server, you can ignore the DNS Delegation warning as shown in the below screen. Then, click Next to continue.
In the Additional Options tab, enter a NetBIOS name for your domain. It is suggested to keep the NetBIOS name the same as the root domain name (by default, it will fetch the domain name only). Then, click Next to continue.
In the Path tab, you have to mention the Database (NTDS Database), LOG files and SYSVOL folders path. You can change the default path as per your organization security policies. I have kept them default. Now, click Next to continue.
In the Review Options tab, you will review the configuration. If everything is as per your need, you can click Next to proceed or otherwise you can go back and change the required setting as per your need and then proceed further.
You can also view the powershell script for future deployment. The below-mentioned script is from my environment.
Note: Always test your PowerShell scripts in a test environment, before running in a production environment.
##############################################
# Windows PowerShell script for AD DS Deployment #
##############################################
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:WindowsNTDS» `
-DomainMode «WinThreshold» `
-DomainName «VirtualGyanis.Com» `
-DomainNetbiosName «VIRTUALGYANIS» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:WindowsNTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:WindowsSYSVOL» `
-Force:$true
############### End of Script ####################
In the Prerequisites Check tab, it will do prerequisite check.
Once prerequisite checks completed successfully, it will enable/highlight the Install option. Then, click on Install button to start the installation process.
Once installation completed successfully, you will get the below confirmation message. Close this window and restart the Server.
Once server rebooted, you have to login with your domain Admin credentials. By default, the local admin account will promoted as a Domain Admin account. Login and verify the health of the Domain controller. You can run DCDIAG command to check the health.
You can also verify the settings/configurations from the Active Directory tools like Active Directory Users and Computers or Active Directory Domains and Trusts etc. You will get all the Active Directory tools in the folder named Administrative Tools on the Start menu. Go and explore the tools.
If you liked this article, do share the same. You can also Buy me a Coffee using Paypal at «paypal.me/duttaavijit», This is purely a volunteer effort. THANK YOU !!!
You can also refer to the below books for further knowledge enhancement.