Структура организации следующая: есть домен для сотрудников под названием domain.int, есть также и его поддомен для других нужд – subdomain.domain.int. Возникла задача перевести существующий поддомен под управлением Windows Server 2003 R2 на Windows Server 2008 R2. Причем главный домен уже переведен.
Просто накатить сверху систему нельзя – 2003 R2 является 32-битной версией, а 2008 R2, соответственно, – 64-битная. А было бы здорово. Выбор невелик, поэтому решили сделать следующее:
- Устанавливаем дополнительный контроллер домена (КД) на Windows Server 2008 R2
- Новый контроллер должен иметь роли глобального каталога и DNS
- Проверяем работу и репликацию обоих контроллеров
- Указываем, что новый КД (2008) – хозяин операций
- Удаляем из схемы старый КД (2003)
- Проверяем работу и начинаем подготовку к настройке уже реально другого дополнительного КД, чтобы на выходе получить два КД под управлением 2008 R2
- Забываем, что когда-то у нас в сети был КД под управлением 2003 R2
Почему решили перевести КД на другую схему, думаю, всем ясно. На дворе уже 2013 год, 2014 не за горами. Почему бы не воспользоваться проверенными и более новыми технологиями? Windows Server 2012 на момент написания статьи пока не вышел в релизе R2. А исходя из многолетнего опыта использования Microsoft, не стоит что-то внедрять на том, что вышло совсем недавно. К тому же немного бесит, что статей в интернете по новым продуктам мало. Именно поэтому сделали выбор на системе Windows Server 2008 R2. В данной статье я буду описывать последовательные действия для 1 и 2 пункта моего плана.
Что подвигло написать статью? Ответ прост: в интернете мало статей по субдоменам. И пускай ничего супер-естественного в настройке нет. Зато наши читатели узнают, что все проходит достаточно просто и последовательно, как по аналогии при лесе с одним доменом. А наш сайт любит хоть и маленькие, но все же эксклюзивы. К тому же, излагаться все будет просто и на обычном языке, понятным даже для самых маленьких админов.
Для начала надо подготовить площадку для будущего дополнительного КД. Проверяем активацию, часовой пояс, брандмауер, сетевые интерфейсы, имя компьютера и другое:
Далее кликаем на установке новой роли и указываем, что нам надо “Доменные службы Active Directory”:
Начинаем установку этой роли:
Заметили, что автоматом поставился компонент .Net Framework 3.5? Поэтому после всех установок сразу “подхватываются” обновления:
Ну вот и все установилось. Даже не пришлось перезагружаться. Я начинаю приятно удивляться Microsoft. Посудите сами – одна из самых серьезных ролей и компонент только что установились, да еще и обновления, а перезагрузка не требуется. Заметили самую первую ошибку? Причина ошибки написана выше, а именно то, что надо бы настроить наш будущий КД:
Поэтому прямо оттуда или из режима командной строки запускаем утилиту DCPROMO.EXE:
Не надо нажимать нам “расширенный режим”. Делаем все по стандартно. По-хорошему, в лучших традициях Microsoft все должно быть по сценарию Далее+Далее+Финиш=Все_работает. Посмотрим как это будет дальше. Соглашаемся с первым окном приветствия:
Затем подсказываем мастеру, что у нас будет добавочный КД:
Затем прописываем имя домена. Можно главный domain.int, а можно и поддомен – subdomain.domain.int. И учетную запись администратора домена само собой. Вы же под ней и делаете?
Теперь главное не перепутать и указать уже точно, в каком домене будем работать. Нам надо поддомен subdomain.domain.int:
Ну вот… начинаются приключения. Так и знал:
Сам виноват, не подготовил домен для перехода. Зато все теперь последовательно все исправим. Идем на главный КД под управлением Windows Server 2003 R2 и вставляем туда диск с нашей системой 2008 R2. Я скопировал все утилиты на диск С, но это необязательно. Запускаем утилиту adprep /domainprep:
Вот я снова невнимательный. Утилита-то 64-битной версии. Поэтому пробуем на 32-битной редакции. Кажется получилось, хотя могли бы и вывести сообщение об успехе:
Теперь запускаем снова утилиту DCPROMO и проделываем все тоже самое. Вместо ошибки получаем следующее окно мастера. Значит та утилита все-таки помогла подготовить домен. Мастер нас спрашивает, какой точно сайт нам нужен. У меня их 3, у вас может быть другое количество. Название не спутаешь, поэтому с уверенностью кликаем “далее”:
Затем мастер спрашивает, добавить ли из будущему КД роли DNS и Global Catalog. Это пригодится будущем, поэтому соглашаемся. Пугаться не надо: в сети может быть несколько DNS и глобальных каталогов. Это, кстати, очень хорошо с точки зрения отказоустойчивости:
Системные папки для хранения баз данных Active Directory и другого оставляем по-умолчанию:
Указываем пароль для восстановления каталогов. И хоть его надо в любом случае сохранить, я очень надеюсь, что он вам не пригодится:
Кажется на этом наши настройки закончились. Нажимаем далее и ждем, пока все сделается:
Видим, что все установилось, поэтому смело перезагружаемся:
И на этом все. Репликация получилась, КД начал функционировать нормально. Еще совет для малоопытных админов – не торопитесь и делайте все последовательно. Могу также в качестве бонуса сообщить один нюанс. Загрузка КД и репликация с главным контроллером может происходить очень долго. Лично у нас все “поднялось” спустя несколько часов. Были моменты, когда казалось, что КД не работает как контроллер. Но мы набрались терпения и дождались результата. Все остальные действия моего плана выполнились практически без каких-либо происшествий. Их можно посмотреть в интернете, информации полно.
Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!
Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!
 |
В единственном домене существующего леса доменов нашего предприятия, в одном из удаленных филиалов, потребовалось установить дополнительный домен-контроллер. Роли домен-контроллеров в организации подняты на серверах с операционной системой Microsoft Windows Server 2003 R2 (rus, 32-bit, sp2). На текущий момент купить данную операционку нельзя, пришлось поднимать роль контроллера домена на вновь приобретенной Microsoft Windows Server 2008 R2 (rus, 64-bit, sp1). |
При осуществлении этой, вроде бы простой операции, столкнулся с некоторыми трудностями. При попытке добавить роль “Диспетчер службы Active Directory” через “Диспетчер сервера” Microsoft Windows Server 2008 R2 или просто через командную строку с помощью команды dcpromo, выскочила ошибка:
Чтобы установить контроллер домена в этом лесу Active Directory, сначала необходимо подготовить лес с помощью команды "adprep /forestprep".
Данная команда доступна на установочном диске DVD с дистрибутивом Windows Server 2008 R2 в папке supportadprep. Внутри вы найдете файлы для выполнения на 32-х битной (adprep32.exe) и 64-х битной (adprep.exe) системах. Но дело в том, что запускать их необходимо на существующих домен-контроллерах. Естественно, язык операционных систем на этих серверах может отличаться от того, что вы только что приобрели. На этот случай предлагаю вам скачать у меня на сервере команду adprep для соответствующих языков: русского или английского:
- ru-adprep.zip
- en-adprep.zip
Команда adprep имеет следующий синтаксис:
The syntax of the command is:
adprep [option]
Supported :
/forestPrep Update forest information
Must be run on the schema role master
/domainPrep Update domain information
Must be run on the infrastructure role master
Must be run after /forestPrep is finished
/domainprep /gpprep Update permissions on Group Policy Objects in
Active Directory Domain Services and SYSVOL
Must be run on the infrastructure role master
Must be run after /forestPrep is finished
/rodcPrep Update permissions on NDNC partitions to
enable replication for Read-only Domain Controllers.
Runs remotely and contacts a NDNC replica to update
permissions. Must be run after /forestPrep is
finished. Can be re-run at any time. You should run
this in particular when you have DNS application
partitions in your forest.
Supported [option]:
/noSPWarning adprep will suppress the Windows 2000 service
pack 4 requirement warning during /forestprep
/silent adprep will suppress all output.
Для того, чтобы подготовить существующий лес доменов, необходимо на домен-контроллере с ролью “хозяина схемы” с правами администратора дать команду adprep /forestprep. При этом вы увидите предупреждение, что выполнить такую подготовку можно только на серверах с установленной операционной системой не ниже Windows 2000 Service Pack 4 (SP4). Если у вас выполняется такое требование (у меня – выполняется), необходимо нажать клавишу С и ввод, для продолжения.
Итак, делаем: Пуск -> Выполнить -> cmd.exe
Microsoft Windows [Версия 5.2.3790] (С) Корпорация Майкрософт, 1985-2003. C:Documents and SettingsАдминистратор>cd c: C:>C:ru-adprepadprep32.exe /forestprep ADPREP WARNING: Before running adprep, all Windows 2000 Active Directory Domain Controllers in t he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later. [User Action] If ALL your existing Windows 2000 Active Directory Domain Controllers meet this requirement, type C and then press ENTER to continue. Otherwise, type any other key and press ENTER to quit. C Открытое подключение к DC Привязка SSPI успешно выполнена Текущая версия схемы: 31 Обновление схемы до версии 47 Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch32.ldf” Загружаются элементы………………… 18 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch33.ldf” Загружаются элементы……………… 17 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch34.ldf” Загружаются элементы…………………………………………………… 60 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch35.ldf” Загружаются элементы……… 7 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch36.ldf” Загружаются элементы……………………… 26 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch37.ldf” Загружаются элементы………………………………………………… 56 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch38.ldf” Загружаются элементы…… 3 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch39.ldf” Загружаются элементы…………… 14 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch40.ldf” Загружаются элементы…………………………………………………… 69 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch41.ldf” Загружаются элементы………… 9 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch42.ldf” Загружаются элементы…………………………………………………… 364 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch43.ldf” Загружаются элементы……………………… 24 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch44.ldf” Загружаются элементы………… 11 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch45.ldf” Загружаются элементы…………………………………………………… 66 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch46.ldf” Загружаются элементы…… 3 элементов успешно изменено. Команда успешно выполнена Установка связи с “DC” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32sch47.ldf” Загружаются элементы…… 4 элементов успешно изменено. Команда успешно выполнена Установка связи с “dc.peresvet.ru” Вход от имени текущего пользователя с помощью SSPI Импортирование каталога из файла “C:WINDOWSsystem32PAS.ldf” Загружаются элементы…………… 13 элементов успешно изменено. Команда успешно выполнена ……………………………………………………………………… ……………………………………………………………………… ……………………………………………………………………… ……………………………………………………………………… ……………………………………………………………………… ……………………………………………………………………… …… Adprep successfully updated the forest-wide information. C:>
Как видно из листинга, приведенного выше, команда adprep /forestprep произвела автоматическое обновление версии схемы с 31 до версии 47.
Теперь необходимо подготовить домен. Это делается командой adprep /domainprep на домен-контроллере с ролью “мастер инфраструктуры”. У меня эта роль установлена на другом сервере, поэтому при попытку выполнить данную команду на домен-контроллере не имеющего этой роли, у меня выскочила ошибка с указанием, на каком сервере необходимо выполнять данную команду:
C:>C:ru-adprepadprep32.exe /domainprep Running domainprep … Domain-wide information can only be updated on the Active Directory Domain Contr oller that holds the infrastructure operations master role. [Status/Consequence] Adprep has stopped on this Active Directory Domain Controller and must be run on the current infrastructure master, which is dc2.domain.ru. [User Action] Log on to the dc2.domain.ru Active Directory Domain Controller, change to t he directory of adprep.exe on the installation media, and then type the followin g command at the command prompt to complete the domain update: adprep.exe /domainprep C:>
Делаем так, как и предписано. Логинюсь с правами администратора на указанный сервер dc2.domain.ru и выполняю команду adprep /domainprep:
Microsoft Windows [Версия 5.2.3790] (С) Корпорация Майкрософт, 1985-2003. C:>C:ru-adprepadprep32.exe /domainprep Running domainprep … Adprep successfully updated the domain-wide information. The new cross domain planning functionality for Group Policy, RSOP Planning Mode, requires file system and Active Directory Domain Services permissions to be updated for existing Group Policy Objects (GPOs). You can enable this functionality at any time by running “adprep.exe /domainprep /gpprep” on the Active Directory Domain Controller that holds the infrastructure operations master role. This operation will cause all GPOs located in the policies folder of the SYSVOL to be replicated once between the AD DCs in this domain. Microsoft recommends reading KB Q324392, particularly if you have a large number of Group policy Objects. C:>
Далее, на этом же сервере необходимо дать команду adprep /domainprep /gpprep для обновления разрешений объектов групповой политики:
C:>C:ru-adprepadprep32.exe /domainprep /gpprep
Running domainprep …
Domain-wide information has already been updated.
[Status/Consequence]
Adprep did not attempt to rerun this operation.
……………
Adprep successfully updated the Group Policy Object (GPO) information.
C:>
На этом подготовительная часть по вводу в существующий домен нового домен-контроллера на Windows Server 2008 R2 окончена. Нам осталось запустить мастер добавления роли “Диспетчера службы Active Directory” на новом сервере и следовать указаниям:
После команды dcpromo появится окно “Мастера установки доменных служб Active Directory”. Поставьте галочку “Использовать расширенный режим установки” для полного контроля за процессом и нажмите “Далее >”:
В следующем окне нажмите “Далее >”:
Я осуществлял добавление домен-контроллера в домен существующего леса, поэтому и поставил соответствующие галочки. После своего выбора нажмите “Далее >”:
В следующем окне вы увидите наименование существующего домена и выберите, с чьими правами вы будете добавлять новый домен-контроллер к домену. После своего выбора нажмите “Далее >”:
В следующем окне нажмите “Далее >”:
Произойдет проверка только что подготовленного нами леса Active Directory:
Так как мне необходим полноценный домен-контроллер, а не “только для чтения”, я выбираю “Да”:
Выбираю сайт для дополнительного домен-контроллера (в филиале Нижнего Новгорода). После своего выбора нажмите “Далее >”:
На данном этапе произойдет проверка конфигурации DNS:
Мной была уже установлена роль “DNS-сервер” без ее настройки, поэтому мне осталось только поставить галочку “Глобальный каталог” и нажать “Далее >”:
Соглашаюсь с выскочившим предупреждением “Мастера настройки…”, нажав “Да”:
Существует возможность реплицировать данные домена с внешнего носителя. Так как в данной точке провайдер предоставляет быстрый проводной интернет, мой выбор – “Реплицировать данные по сети с существующего контроллера домена”:
В следующем окне я явно указываю имя исходного домен-контроллера для осуществления репликации:
Оставляю наименование папок для хранения данных “по-умолчанию”:
Ввожу пароль администратора домена (или выбранной вами ранее учетной записи для добавления роли контроллера домена):
В следующем окне внимательно просмотрите сделанные вами настройки и если все в порядке, нажмите “Далее >”:
После этого вы увидите процесс установки роли доменных служб Active Directory:
Установите флажок “Перезагрузка по завершению”:
В окошке процесса установки вы сможете наблюдать за ходом репликации данных:
После окончания репликации и завершения установки, сервер перезагрузится автоматически. В итоге я получил полноценный контроллер домена на базе операционной системы Windows Server 2008 R2.
Удачи!
- Remove From My Forums
-
Вопрос
-
Здравствуйте!
Имеется домен под управлением Windows Server 2003 R2. Купили новый сервер под управлением Windows Server 2008 R2.
На старом сервере (2003) выполнил команды:
adprep32 /forestPrep adprep32 /domainprep /gpprep adprep32 /rodcPrep
На новом сервере поднял Active Directory и сделал его вторым контроллером домена. Тут всё прошло, вроде, без проблем.
Однако, если погасить старый контроллер домена (2003) и оставить только новый, то домен становится недоступен. Пытаюсь назначить хозяином операций новый контроллер домена (2008), однако это не получается сделать, и выходит ошибка:
Данный контроллер домена является хозяином операций. Чтобы передать роль хозяина операций другому компьютеру необходимо сначала подключиться к нему.
Подскажите, пожалуйста, что я делаю неправильно? Моя конечная цель: оставить контроллер домена под управлением Windows Server 2008 R2, а старый контроллер понизить до роли обычного рядового сервера. В будущем — поставить ещё один контроллер домена
(второй) под управлением Windows Server 2008 R2.
Ответы
-
Всем спасибо! Разобрался.
Проблема была в репликации. В логах постоянно вылазила такая ошибка:
Тип события: Ошибка Источник события: NtFrs Категория события: Отсутствует Код события: 13568 Дата: 28.04.2010 Время: 14:02:04 Пользователь: Н/Д Компьютер: GARANT-MAIN Описание: Служба репликации файлов обнаружила ошибку JRNL_WRAP_ERROR для набора репликации "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)". Имя набора репликации: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" Корневой путь репликации: "k:windowssysvoldomain" Корневой том репликации: "\.K:" Ошибка JRNL_WRAP_ERROR возникает, когда набор репликации не находит запись, которую пытается прочитать из журнала NTFS USN. Это может быть вызвано одной из следующих причин. [1] Том "\.K:" был отформатирован. [2] Журнал NTFS USN на томе "\.K:" был удален. [3] Журнал NTFS USN на томе "\.K:" был усечен. Программа Chkdsk может выполнить усечение журнала, если обнаружит в конце журнала поврежденные записи. [4] Служба репликации файлов давно не запускалась на данном компьютере. [5] Показатель активности дискового ввода-вывода на "\.K:" слишком высок для службы репликации файлов. Если установить параметр реестра "Enable Journal Wrap Automatic Restore" равным 1, будет выполнена описанная ниже процедура восстановления для автоматического исправления ошибки. [1] При первом опросе, который производится каждые 5 минут, данный компьютер будет удален из набора репликации. Чтобы не ждать 5 минут, можно выполнить команду "net stop ntfrs" и затем команду "net start ntfrs" для перезапуска службы репликации файлов. [2] При первом опросе после удаления компьютер будет заново включен в набор репликации. Повторное включение инициирует полную синхронизацию дерева для набора репликации. Предупреждение. В процессе восстановления данные дерева репликации могут стать недоступными. Необходимо установить описанный выше параметр реестра равным 0, чтобы автоматическое восстановление не привело к недоступности данных при повторении ошибки. Для изменения параметра реестра запустите программу regedit. Нажмите кнопку "Пуск", выберите команду "Выполнить" и введите "regedit". Разверните раздел HKEY_LOCAL_MACHINE. Щелкните последовательно разделы пути: "SystemCurrentControlSetServicesntFrsParameters" Дважды щелкните параметр "Enable Journal Wrap Automatic Restore" и обновите его значение. Если этого параметра нет в реестре, его можно добавить с помощью команды "Создать->Параметр DWORD" в меню "Правка". Введите имя параметра точно так, как написано выше. Дополнительные сведения можно найти в центре справки и поддержки, в http://go.microsoft.com/fwlink/events.asp.
Сделал всё как написано в решении этой проблемы. После чего всё заработало как надо
-
Помечено в качестве ответа
29 апреля 2010 г. 7:53
-
Помечено в качестве ответа
В данном руководстве подробно описан и продемонстрирован процесс установки роли Active Directory Domain Services (контроллер домена) на Windows Server 2008 R2.
Для установки роли Active Directory Domain Services на Windows Server 2008 R2 потребуется компьютер, под управлением Windows Server 2008 R2 (О том как установить Windows Server 2008 R2 можно прочитать в данной статье: «Установка и активация Windows Server 2008 R2 с USB флешки» ).
.
I. Настройка имени сервера и статического IP-адреса
1. Откройте окно диспетчера сервера и выберите Изменить свойства системы (Рис.1).
Рис.1
.
2. В Свойствах системы выберите вкладку Имя компьютера и нажмите Изменить… . В появившемся окне укажите новое имя сервера в поле Имя компьютера, затем нажмите ОК (Рис.2).
Рис.2
.
3. Система предупредит о том, что для применения новых настроек необходимо перезагрузить сервер. Нажмите кнопку ОК (Рис.3).
Рис.3
.
4. После перезагрузки сервера откройте окно диспетчера сервера и выберите Отобразить сетевые подключения (Рис.4).
Рис.4
.
5. В открывшемся окне Сетевые подключения нажмите правой кнопкой мыши на сетевом подключении и выберите пункт Свойства. В появившемся окне выделите Протокол Интернета версии 4 (TCP/IPv4) и нажмите Свойства (Рис.5).
Рис.5
.
6. В свойствах, на вкладке Общие выберите пункт Использовать следующий IP-адрес. В соответствующие поля введите свободный IP-адрес, маску подсети и основной шлюз. Затем выберите пункт Использовать следующие адреса DNS-серверов. В поле предпочитаемый DNS-сервер введите IP-адрес сервера, после чего нажмите ОК (Рис.6).
Примечание! В данном руководстве, в качестве примера, был выбран свободный IP-адрес 192.168.0.104, маска подсети установлена по умолчанию 255.255.255.0, а в качестве основного шлюза выступает Wi-Fi роутер с адресом 192.168.0.1. Помните, что предпочитаемый DNS-сервер должен совпадать с введённым выше IP-адресом сервера.
Рис.6
.
II. Установка роли Active Directory Domain Services
1. Откройте окно диспетчера сервера, выберите пункт Роли, затем Добавить роли (Рис.7).
Рис.7
.
8. В появившемся окне нажмите Далее (Рис.8).
Рис.8
.
9. Выберите роль Доменные службы Active Directory, в появившемся окне нажмите Добавить необходимые компоненты (Рис.9).
Рис.9
.
10. Убедитесь, что после установки необходимых компонентов напротив Доменные службы Active Directory стоит галочка, затем нажмите Далее (Рис.10).
Рис.10
.
11. Ознакомьтесь с дополнительной информацией касательно роли Active Directory Domain Services, затем нажмите Далее (Рис.11).
Рис.11
.
12. Для начала установки роли нажмите Установить (Рис.12).
Рис.12
.
13. После окончания установки нажмите Закрыть (Рис.13).
Рис.13
.
14. Откройте Пуск и введите в поле поиска dcpromo, затем запустите файл dcpromo (Рис.14).
Рис.14
.
15. В открывшемся окне Мастера установки доменных служб Active Directory нажмите Далее (Рис.15).
Рис.15
.
16. Ознакомьтесь с дополнительной информацией касательно функционала Windows Server 2008 R2, затем нажмите Далее (Рис.16).
Рис.16
.
17. В данном руководстве рассматривается добавление нового леса, поэтому выберите пункт Создать новый домен в новом лесу, затем выберите Далее (Рис.17).
Рис.17
.
18. В поле Полное доменное имя корневого домена леса введите имя домена (прим. в данном руководстве это example.local, Вы можете выбрать любое другое), затем нажмите Далее (Рис.18).
ВАЖНО! Домен вида .local или аналогичный можно использовать в качестве тестового, однако, он имеет ряд недостатков, а именно: 1) Вы никак не сможете подтвердить владение им для получения публичного SSL-сертификата; 2) Такое имя невозможно использовать из внешней сети; 3) Данный способ именования вступает в противоречие с глобальным DNS, так как не гарантирует его уникальность что приводит к потенциальным коллизиям.
Рекомендуется создавать согласованное пространство имен. Например имея домен lyapidov.ru (который использует сайт), домен Active Directory делать суб-доменом, например: server.lyapidov.ru. Либо использовать разные домены например lyapidov.ru — для сайта, а lyapidov.net — для Active Directory.
Рис.18
.
19. Если вы добавляете новый лес и планируете в дальнейшем использовать серверы на базе операционной системы Windows Server 2008 R2, выберите в выпадающем списке Windows Server 2008 R2, затем нажмите Далее (Рис.19).
Рис.19
.
20. Установите галочку напротив DNS-сервер, затем нажмите Далее (Рис.20).
Рис.20
.
21. На данном этапе Мастер установки доменных служб Active Directory предупредит, что делегирование для этого DNS-сервера не может быть создано. Нажмите Далее (Рис.21).
Рис.21
.
22. Оставьте настройки по умолчанию и нажмите Далее (Рис.22).
Рис.22
.
23. Придумайте и введите пароль для режима восстановления служб каталогов в соответствующие поля, затем нажмите Далее (Рис.23).
Рис.23
.
24. В окне со сводной информацией по настройке сервера нажмите Далее (Рис.24).
Рис.24
.
25. Начнётся процесс настройки доменных служб Active Directory. Установите галочку напротив Перезагрузка по завершении, для того чтобы новые настройки вступили в силу (Рис.25).
Рис.25
.
26. После перезагрузки сервера войдите в систему.
.
Установка контроллера домена Active Directory в Windows Server 2008 R2 завершена!
.
Контроллер домена (Domain Controller)— сервер, контролирующий область компьютерной сети (домен). Если более подробно, то DC позволяет централизованно администрировать все сетевые ресурсы, включая пользователей, файлы, периферийные устройства, доступ к службам, сетевым ресурсам, веб-узлам, базам данных и так далее. В компаниях в которых более 10 компьютеров рекомендуется для централизованного управления, рекомендуется создать доменную сеть, само собой первый сервер который должен появиться в доменной сети это контроллер домена. В этой статье пошагово опишу как установить роль контроллера домена на сервер Windows Server 2008 2008 R2.
Имеем установленную операционную систему Windows Server 2008 2008 R2 на которую необходимо развернуть роль Контроллера домена (DC). Но перед установкой DC необходимо подготовить сервер, с этого и начнем.
Подготовка к установке контроллера домена:
1 Установить все обновления на сервер.
Нажмите правой кнопкой мыши на «Компьютер» выберите «Свойства» , в окне свойств нажмите «Центр обновления Windows» проверьте и установите все обновления.
2 Установить часовой пояс и имя компьютера.
В окне «Диспетчер сервера» нажмите «Изменить свойства системы».
В закладке Имя компьютера нажмите кнопку «Изменить» и впишите необходимое имя. В этом примере я использую имя – DC. Нажмите «Ок«.
После этого необходимо перезагрузить сервер.
Что бы изменить часовой пояс необходимо нажать на часы в панели управления в правом углу, выбрать «Изменение настрое даты и времени» в открывшемся окне нажать «Изменить часовой пояс» и выбрать необходимые настройки часового пояса.
3 Настроить сетевую конфигурацию для котроллера домена.
Для контролера домена необходимо использовать статический IP адрес и маску подсети. Что бы указать сетевые настройки, необходимо в окне Диспетчера сервера нажать «Отобразить сетевые подключения»
На необходимом сетевом подключении нажать правой кнопкой мыши, выбрать «Свойства» в открывшемся окне свойств выбрать «Протокол интернета версии 4 (TCP/IPv4)», выбрать активизировавшуюся кнопку «Свойства» и заполнить поля сетевых настроек.
4 Подготовить имя домена и DNS-имя.
Домен должен иметь уникальное DNS-имя, в моем случае pk-help.com.
Установка роли контроллера домена.
Первым делом необходимо установить роль «Доменные службы Active Directory». Для этого запускаем «Диспетчер сервера- Роли» , нажимаем «Добавить роль».
Читаем информационное окно и нажимаем «Далее».
В окне Выбора ролей сервера ставим галочку напротив «Доменные службы Active Directory», появится окно о установки дополнительных компонентов, нажимаем «Добавить необходимые компоненты».
После этого появляется галочка напротив «Доменные службы Active Directory», нажимаем «Далее».
Читаем информационное окно и нажимаем «Далее».
В окне Подтверждения, утверждаем свой выбор и нажимаем «Установить».
После этого будет происходить установка ролей. По окончании, если все прошло успешно, увидите окно с подтверждением успешной установки, нажимаете «Закрыть».
На этом процесс установки контроллера домена не закончен, теперь необходимо, как и на Windows Server 2003, запустить команду DCPROMO. Для этого нажимаем «Пуск» и в строке поиска пишем DCPROMO и нажимаем «Enter».
Откроется мастер установки доменных служб AD, нажимаем «Далее».
Читаем очередное информационное окно и нажимаем «Далее».
Поскольку мы настраиваем первый домен в лесу, в окне выбора конфигурации развертывания, выбираем «Создать новый домен в новом лесу».
После этого указываем имя корневого домена леса. В данном примере я использовал имя – pk-help.com.
Для того, что бы использовать все преимущества контроллера домена развернутого на Windows Server 2008 R2 в окне выбора режима домена леса, необходимо указать Windows Server 2008 R2.
По умолчанию будет выбран DNS- сервер. Мастер установки доменных служб AD создаст инфраструктуру DNS в процессе установки контролера домена. Первый контроллер домена в лесу должен быть сервером глобального каталога и не может быть контроллером домена только для чтения RODC. Все оставляем как есть и нажимаем «Далее».
Появится сообщение о том, что не удается делегировать для этого DNS-сервера невозможно создать, поскольку полномочная родительская зона не найдена или не использует DNS-сервер Windows. Нажимаем «Да».
В следующем окне можно изменить расположение баз данных, файлов журнала и папки Sysvol. Эти файлы лучше всего хранить в трех отдельных папках, где нет приложений и других файлов, которые не связанны с AD, благодаря этому повыситься производительность, а также эффективность архивации и восстановления. Поэтому не рекомендую менять пути, оставить все как есть и нажать кнопку «Далее».
Следующим шагом необходимо ввести пароль администратора для запуска режима восстановления. Поскольку при установке на сервер роли контроллера домена такое понятие как локальный администратор теряет всякий смысл.
В следующем окне проверяем все настройки и если все указано верно нажимаем «Далее».
Начнется установка первого контроллера домена в лесу. Процесс может занять 10-20 мин. Рекомендую установить галочку «Перезагрузить» по окончании. 
После перезагрузки сервера, процесс настройки первого контроллера домена можно считать оконченной.
Для отказоустойчивой работы доменной сети, рекомендуется использовать два и более контроллера домена. Как настроить второй контроллер домена в сети, будет описано в следующих статьях.