Введение
В средних и крупных компаниях для управления инфраструктурой корпоративной сети принято использовать доменные службы с одним или несколькими контроллерами домена Active Directory, которые формируют сайты и леса. Доменные службы, о которых пойдет речь в этой статье, позволяют проверять подлинность пользователей и клиентских компьютеров, централизованно управлять инфраструктурными единицами предприятия при помощи групповых политик, предоставлять доступ к общим ресурсам и многое другое. Структура идентификации и доступа корпоративных сетей Active Directory включает в себя пять технологий:
- Доменные службы Active Directory (Active Directory Domain Services — AD DS);
- Службы сертификации Active Directory (Active Directory Certificate Services — AD CS);
- Службы управления правами Active Directory (Active Directory Rights Management Services — AD RDS);
- Службы федерации Active Directory (Active Directory Federation Services — AD FS);
- Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services — AD LDS).
Основной технологией Active Directory считаются доменные службы (AD DS). Именно при помощи данной службы вы можете развернуть контроллер домена, без которой в основных службах просто нет необходимости. Серверную роль доменных служб Active Directory можно устанавливать как при помощи графического интерфейса, так и средствами командной строки в полной редакции Windows Server 2008/2008 R2, а также в редакциях ядра сервера Windows Server 2008/2008 R2 средствами командной строки. В этой статье речь пойдет именно об установке роли AD DS при помощи командной строки (как в полной версии, так и в режиме ядра доменные службы Active Directory средствами командной строки устанавливаются одинаково). Но перед командами установки данной роли рекомендую ознакомиться с некоторыми терминами, которые используются в данной технологии:
Контроллер домена. Контроллером домена называется сервер, выполняющий роль доменных служб, или служб каталогов, как называлось ранее, на нем также располагается хранилище данных каталогов и протокол распределения ключей Kerberos (Kerberos Key Distribution Center — KDC). Этот протокол обеспечивает проверку подлинности объектов идентификации в домене Active Directory.
Домен. Домен – это административная единица, внутри которой расположены компьютеры, группы безопасности и пользователи одной сети, управляемые контроллером домена, использующие единые определенные возможности. Контроллер домена реплицирует раздел хранилища данных, который содержит данные идентификации пользователей, групп и компьютеров домена. Причем, учетные записи пользователей и компьютеров расположены не локально на клиентских компьютерах, а на контроллере домена, то есть используется сетевой вход в системы на всех рабочих местах. Помимо этого, домен является областью действия административных политик разного характера.
Лес. Совокупность доменов, использующих единую схему каталога, называется лесом доменов. По сути, лес представляет собой самую внешнюю границу службы каталогов, где первый установленный домен называется корневым. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Лес может состоять из одного или нескольких доменов. Внутри леса домены связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена.
Дерево. Внутри леса домена, пространство доменных имен содержит деревья леса. Домены интерпретируются как деревья в том случае, если один домен является дочерним для другого. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов.
Сайт. Сайтом называется такой объект Active Directory, как контейнер, предоставляющий часть предприятия с хорошей сетевой коммуникацией. Сайты обычно используются предприятиями, у которых филиалы разбросаны по всей стране или по разным странам и даже континентам. Сайт создает периметр репликации и использования служб Active Directory. Основные задачи сайтов – управление трафиком репликации и локализации служб. Репликацией называется перенос изменений с одного контроллера домена на другой, а локализация служб позволяет пользователям проходить проверку подлинности на любом контроллере домена во всем сайте.
Для кого предназначена эта возможность
Контроллер домена только для чтения предназначен преимущественно для развертывания в удаленных средах и в филиалах. Для филиалов обычно характерны следующие особенности:
- сравнительно небольшое количество пользователей;
- низкий уровень физической безопасности;
- сравнительно низкая пропускная способность соединения с узловым сайтом;
- плохое знание информационных технологий сотрудниками.
Представим, что у вас есть два сайта AD и два офиса, главный и филиал, и в филиале планируется установка RODC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00
Видим, что у нас есть контроллер домена rodc.msk.pyatilistnik.org
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01
Запускаем мастер установки доменных служб Active Directory, в пуске пишем dcpromo.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003
В открывшемся окне мастера, жмем далее, но если нужно использовать загрузочный носитель IFM, то выбираем расширенный режим.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004
Далее.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005
Выбираем существующий лес, Добавить контроллер домена в существующий лес.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006
Выбираем имя домена и учетные данные у которых есть права на установку.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007
Я указываю данные администратора домена.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008
Далее.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009
Выбираем домен для добавления DC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010
Указываем сайт AD, у меня один но в идеале у вас у каждого филиала должен быть свой сайт.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011
Снимаем галку Глобальный каталог и ставим RODC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012
Теперь нам нужно указать пользователя или группу кто будет иметь права локального администратора на RODC,
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013
Я для этого в ADUC создаю группу безопасности под именем Rodc_admin
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14
Задаем эту группу
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16
Задаем место хранения каталогов и БД
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17
Задаем пароль администратора восстановления каталогов
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18
Смотрим сводные данные и жмем далее.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19
Начнется установка поставьте галку перезагрузка, для автоматической перезагрузки.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20
После перезагрузки заходим на пишущий контроллер и открываем Active Directory Пользователи и компьютеры открываем контейнер Domain Controllers и видим наш RODC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21
Вот так вот просто установить контроллер домена для чтения RODC Windows Server 2008 R2. Далее читайте базовая настройка контроллера домена для чтения RODC Windows Server 2008 R2.
Материал сайта pyatilistnik.org
Определение общей нагрузки от AS-запросов
Каждая организация должна иметь базовую основу для загрузки запроса AS, которая выполняется в своей среде. Windows Server предоставляет счетчик производительности AS-запросов KDC, который помогает определять эти показатели.
Выберите место, где планируется обновить клиенты до инфраструктуры Windows Hello для бизнеса с проверкой подлинности с доверием на основе открытых ключей. Выберите время, когда трафик проверки подлинности наиболее значим. Утро понедельника — подходящий момент, так как все возвращаются в офис. Включите счетчик производительности на всех контроллерах домена в этом месте. Осуществляйте сбор данных со счетчиков производительности AS-запросов KDC в течение двух часов.
- В течение полу часа до ожидающейся значимой начальной проверки подлинности (вход в систему и разблокирование устройств)
- В течение часа, когда по вашему мнению начальная проверка подлинности будет значимой
- И в течение полу часа после ожидающейся значимой начальной проверки подлинности
Например, если сотрудники приходят в офис в 9:00 утра. Запись данных о производительности следует запустить в 8:30 и закончить в 10:30 утра. Убедитесь, что журналы производительности не шифруют данные. Вам будет необходимо проверить три тенденции нагрузки от проверки подлинности: тенденцию к росту, пиковую тенденцию и тенденцию к снижению.
Примечание
Запись всего трафика проверки подлинности — убедитесь, что все компьютеры выключены, чтобы получить наиболее точные сведения о проверке подлинности (компьютеры и службы проходят проверку подлинности при первом включении; эту проверку подлинности необходимо учитывать в ходе вашего анализа).
Объедините данные о производительности всех контроллеров домена. Найдите максимальное число AS-запросов KDC для каждого контроллера домена. Найти среднее время, по истечении которого на сайте будет достигнуто максимальное количество запросов.
Добавьте число проверок подлинности для каждого контроллера домена к обычному времени. Теперь у вас есть общее число проверок подлинности для конкретного места в пиковое время. Используя этот показатель, можно определять распределение проверок подлинности между контроллерами домена в выбранном месте, разделив число проверок подлинности контроллера домена в обычное время на общее число проверок подлинности. Умножьте частное на 10, чтобы преобразовать распределение в процент. Если все распределения равны 100 процентам, это значит, что математические расчеты верны.
Проверьте распределение проверок подлинности. Следует надеяться, что ни одна из них не превышает 70 процентов. Всегда рекомендуется резервировать определенный объем ресурсов для непредвиденного случая. Кроме того, основным предназначением контроллера домена является обеспечение проверки подлинности и обработки операций Active Directory. Определите контроллеры домена с более низким распределением проверок подлинности в качестве потенциальных кандидатов для начального обновления контроллера домена в сочетании с подходящим распределением клиентов, подготовленных для использования с Windows Hello для бизнеса.
Установка дополнительного контроллера домена в существующем домене
Дополнительные контроллеры домена повышают доступность и
надежность сетевых служб. При добавлении дополнительных
контроллеров домена повышается отказоустойчивость, эффективнее
распределяется нагрузка между существующими контроллерами домена,
обеспечивается дополнительная поддержка инфраструктуры узлов и
облегчается подключение клиентов к контроллерам домена при входе в
сеть, что повышает быстродействие. Например, как показано в
следующем примере, добавление нового контроллера домена (DC2) в
домен microsoft.com помогает распределить часть нагрузки между
другими доменами.
Использование
дополнительного контроллера домена для распределения нагрузки и
обеспечения отказоустойчивости.
В этом разделе описаны основные шаги создания дополнительного
контроллера домена на предприятии.
В этом процессе для установки на сервер Active Directory
используются мастер настройки сервера и мастер установки Active
Directory. После установки контроллера домена можно выполнить
дополнительную настройку.
В этом разделе:
Повышение роли доменных служб контроллера домена
Для автоматической установки контроллера домена средствами командной строки используется команда Dcporomo с определенными параметрами автоматической установки. Для автоматической установки доступно порядка сорока параметров. В нашем случае мы не будет использовать параметры. Поэтому, если вы хотите узнать все параметры, выполните команду Dcpromo /?:Promotion. Рассмотрим те параметры, которые нам пригодятся при установке контроллера домена:
/NewDomain – этот параметр определяет тип создаваемого домена. Доступные параметры: Forest – корневой домен нового леса, Tree – корневой домен нового дерева в существующем лесу, Child – дочерний домен в существующем лесу;
/NewDomainDNSName – при помощи этого параметра указывается полное имя нового домена (FQDN);
/DomainNetBiosName – при помощи этого параметра вы можете присвоить NetBIOS-имя для нового домена;
/ForestLevel – при помощи этого параметра вы можете указать режим работы леса при создании нового домена в новом лесу. Доступные параметры: – основной режим Windows 2000 Server, 2 – основной режим Windows Server 2003, 3 – основной режим Windows Server 2008, 4 – основной режим Windows Server 2008 R2;
/ReplicaOrNewDomain – указывает, следует ли устанавливать дополнительный контроллер домена или первый контроллер в домене. Доступные параметры: Replica — дополнительный контроллер домена в существующем домене, ReadOnlyReplica — контроллер домена только для чтения в существующем домене, Domain — первый контроллер домена в домене;
/DomainLevel — указывает режим работы домена при создании нового домена в существующем лесу, причем режим работы домена не может быть ниже режима работы леса. По умолчанию устанавливается значение идентичное значению /ForestLevel;
/InstallDNS – при помощи этого параметра вы можете указать, будет ли для данного домена установлена система доменных имен;
/dnsOnNetwork – при помощи этого параметра определяется, имеется ли в сети служба DNS. Этот параметр используется только в том случае, если для сетевого адаптера этого компьютера не настроено имя DNS-сервера для разрешения имен. Значение No означает, что на этом компьютере будет установлен DNS-сервер для разрешения имен. В противном случае нужно сначала настроить имя DNS-сервера для сетевого адаптера.
/DatabasePath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, на котором хранится база данных домена. Например, C:\Windows\NTDS;
/LogPath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, содержащего файлы журнала домена. Например, C:\Windows\NTDS;
/SysVolPath — при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, например C:\Windows\SYSVOL;
/safeModeAdminPassword – при помощи этого параметра указывается пароль, соответствующий имени администратора, который используется для повышения роли контроллера домена;
/RebootOnCompletion – этот параметр указывает, перезагружать ли компьютер независимо от успешности завершения операции. Доступны параметры: Yes и No.
В итоге, для установки контроллера домена, воспользуемся следующей командой:
Dcpromo /unattend /InstallDNS:Yes /dnsOnNetwork:Yes /ReplicaOrNewDomain:Domain /NewDomain:Forest /NewDomainDNSName:testdomain.com /DomainNetBiosName:testdomain /DatabasePath:"C:\Windows\NTDS" /LogPath:"C:\Windows\NTDS" /SysvolPath:"C:\Windows\SYSVOL” /safeModeAdminPassword:P@ssw0rd /ForestLevel:4 /DomainLevel:4 /RebootOnCompletion:No
Рис. 4. Установка контроллера домена
Установка AD через сервер менеджеров
Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».
Тип установки оставьте «Установка ролей и компонентов».
Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.
Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.
Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.
Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.
Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:
- Средства удаленного администрирования сервера
- Средства администрирования ролей
- Средства AD DS и AD LDS
- Модуль Active Directory для PowerShell
- Центр администрирования Active Directory
- Оснастки и программы командной строки AD DS
- Управление групповой политикой
Нажимаем «Установить»
Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory
Выгруженная конфигурация, это XML файл с таким вот содержанием.
Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.
Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».
То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.
Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.
На следующем окне вы должны выбрать параметры:
- Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
- Режим работы домена, так же определяет какие функции будут доступны на уровне домена.
Хочу обратить внимание, что режимы работы леса и домена напрямую влияют на то, какие операционные системы могут быть на контроллерах домена, простой пример, если у вас режим работы домена Windows Server 2016, то вы в него уже не добавите контроллеры на ОС Windows Server 2012 R2
Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.
Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:
- Папка базы данных — C:\Windows\NTDS
- Папка файлов журналов — C:\Windows\NTDS
- Папка SYSVOL — C:\Windows\SYSVOL
Если у вас контроллер домена на виртуальной машине и ее виртуальные диски лежат на одном СХД, то смысл переносить на разные диски базу и папку SYSVOL нет
Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.
Выглядит сценарий вот так:
Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath «C:\Windows\NTDS» ` -DomainMode «WinThreshold» ` -DomainName «partner.pyatilistnik.info» ` -DomainNetbiosName «PARTNER» ` -ForestMode «WinThreshold» ` -InstallDns:$true ` -LogPath «C:\Windows\NTDS» ` -NoRebootOnCompletion:$false ` -SysvolPath «C:\Windows\SYSVOL» ` -Force:$true
Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.
В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.
После установки вам сообщат:
Ваш сеанс будет завершен. Выполняется перезагрузка этого компьютера, так как были установлены или удалены доменные службы Active Directory
Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.
Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,
В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.
7. Перенос ролей FSMO
Для начала посмотрим, кто же все таки является держателем ролей FSMO-ролей в домене, в этом нам поможет команда:
netdom query fsmo
Результат будет примерно таким:
Schema owner dc01.company.local Domain role owner dc01.company.local PDC role dc01.company.local RID pool manager dc01.company.local Infrastructure owner dc01.company.local The command completed successfully.
Как видно из вывода, держателем ролей является наш старый сервер dc01. Исправим это недоразумение. Все дальнейшие действия производим на новом сервере.
Передача ролей хозяин RID, основной контроллер домена и хозяин инфраструктуры
Открываем оснастку Active Directory — пользователи и компьютеры (Users and Computers), щелкаем правой кнопкой по имени сайта и выбираем меню Хозяева операций (Operations Masters). В появившемся окне, на всех 3-х вкладках жмем на кнопку изменить (change) и соглашаемся с применением изменений.
Передача роли хозяина именования домена
Открываем оснастку Active Directory — домены и доверие (Domain and Trusts), и точно так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений.
Передача роли хозяина схемы
С передачей этой роли все происходит немного посложнее. Для начала нужно зарегистрировать в системе библиотеку schmmgmt.dll. Для этого выполняем команду:
regsvr32 schmmgmt.dll
Далее запускаем оснастку mmc:
mmc
и в появившемся окне в меню файл выбираем пункт Добавить или удалить оснастку (Add/Remove Snap-in). Далее Добавить (Add) и Схема Active Directory (Active Directory Schema).
И добавляем схему. Далее так же выбираем меню Хозяева операций (Operations Masters). В появившемся окне жмем на кнопку изменить (change) и соглашаемся с применением изменений. Если в поле изменить будет стоять адрес старого сервера, то достаточно выбрать пункт меню Изменение контролера домена (Change Domain Controller) и выбрать новый домен контроллер, после чего опять попытаться изменить хозяина.
Запускаем команду:
netdom query fsmo
И видим:
Schema owner dc02.company.local Domain role owner dc02.company.local PDC role dc02.company.local RID pool manager dc02.company.local Infrastructure owner dc02.company.local The command completed successfully.
Ну что, все роли успешно перенесены на новый сервер.
Установка роли доменных служб Active Directory
Как в случае с установкой при помощи графического интерфейса, так и средствами командной строки для создания контроллера домена, вам нужно сначала установить роль доменных служб Active Directory, а затем запустить мастер установки доменных служб, который открывается с помощью команды Dcpromo.exe. На примере, приведенном в данной статье, будет происходить установка контроллера домена под Windows Server 2008 R2 в режиме полной установки, хотя сам процесс ничем не отличается от установки в режиме ядра.
Для установки роли доменных служб Active Directory при помощи командной строки, следует воспользоваться средством для управления конфигурацией сервера ServerManagerCmd. Перед установкой роли доменных служб Active Directory убедитесь в том, что ваш сервер переименован и у вас настроен IPv4 адрес компьютера. Выполните следующие действия:
- Запустите командную строку в режиме администратора. Для этого в поиске меню «Пуск» введите cmd, в найденных результатах нажмите правой кнопкой на программе и из контекстного меню выберите команду «Запуск от имени администратора»;
- Просмотрите список установленных ролей на вашем сервере, используя команду ServerManagerCmd –query (краткая форма -q). Данная команда выводит текущее состояние сервера, где вы можете увидеть полный список служб ролей или компонентов, установленных или доступных для установки на сервере. В том случае, если вам трудно разбираться с выводом команды в командной строке, вы можете экспортировать полученный результат в файл XML, указав путь и имя файла после параметра. Данные будут сохранены в XML формате. Помимо этого вы можете использовать параметр –LogPath, при помощи которого указывается имя и расположение файла журнала в обычном текстовом формате. Пример вы можете увидеть на следующей иллюстрации:
Рис. 1. Вывод состояния сервера
Аналогичную команду можно выполнить, используя командлет PowerShell для Диспетчера сервера. Командлет Get-WindowsFeature позволяет получать сведения о ролях, службах ролей и компонентах, установленных на компьютере с операционной системой Windows Server 2008 R2. Командлет отображает список компонентов Windows, установленных на компьютере, и компонентов, доступных для установки, где уже установленные роли или компоненты отмечены . В этом случае вы также можете воспользоваться параметром –LogPath.
На следующем шаге мы установим роль доменных служб Active Directory при помощи командной строки или PowerShell.
- Для того чтобы установить роль AD DS при помощи командной строки, выполните следующие действия:
В командной строке с повышенными правами введите команду ServerManagerCmd –install ADDS-Domain-Controller. В этой команде самое главное – ввести правильный идентификатор роли или компонента. Все идентификаторы можно было увидеть при выводе предыдущей команды. Вы также можете использовать параметр –LogPath, о котором говорилось выше, параметр –settings, используя который указываются необходимые параметры для установки, а также –allSubFeatures, указывающий установку всех зависимых служб и компонентов вместе с родительской ролью, службой роли или компонентом, заданным параметром «идентификатор» команды –install. Пример установки вы можете увидеть на следующей иллюстрации:
Рис. 2. Установка роли доменных служб средствами команды ServerManagerCmd
Для того чтобы установить роль AD DS при помощи PowerShell, выполните следующие действия
Запустите командную оболочку PowerShell с импортированными системными модулями. Устанавливать на компьютер указанные роли, службы ролей и функции можно при помощи командлета Add-WindowsFeature. Для установки роли доменных служб введите команду Add-WindowsFeature –Name ADDS-Domain-Controller –IncludeAllSubFeature. Параметр –IncludeAllSubFeature задает установку всех зависимых служб и компонентов вместе с родительской ролью, службой роли или компонентом, заданным параметром -Name. Пример установки вы можете увидеть на следующей иллюстрации:
Рис. 3. Установка роли доменных служб средствами PowerShell
Предварительная подготовка
Перед настройкой сервера в качестве контроллера домена нужно
проверить следующие условия.
- Правильно установлены параметры конфигурации TCP/IP для
сервера, особенно использующиеся для сопоставления DNS-имен.
Дополнительные сведения см. в разделе Чтобы настроить
TCP/IP на использование DNS. - Все существующие тома диска используют файловую систему NTFS. Для
службы Active Directory необходим, по меньшей мере, один том NTFS
для размещения папок SYSVOL с их содержимым. Тома FAT32 не безопасны и
не поддерживают сжатие файлов и папок, дисковые квоты, шифрование
файлов и разрешения специального доступа к файлам.
Следующая таблица содержит сведения, необходимые для добавления
контроллера домена.
Действия перед добавлением роли контроллера домена | Комментарии |
---|---|
Убедитесь, что скорость сети достаточна для установки Active Directory. |
Сервер, на котором требуется установить Active Directory, должен иметь высокоскоростное подключение к сети. |
Определите, будет ли глобальный каталог размещаться в новом контроллере домена. |
Глобальный каталог содержит копии всех объектов Active Directory в лесу на контроллере домена. В глобальном каталоге хранится полная копия всех объектов папки для его домена и частично копия всех объектов для всех других доменов леса. Для оптимизации производительности сети в среде нескольких сайтов рекомендуется добавить глобальные каталоги к выбранным сайтам. В среде одиночного сайта одного глобального каталога обычно достаточно для обработки запросов к Active Directory. Но в среде нескольких сайтов глобальные каталоги следует добавлять во все сайты. Дополнительные сведения о добавлении глобальных каталогов в среде нескольких сайтов см. в разделе Глобальные каталоги и сайты. |
Для добавления нового доменного дерева получите учетную запись администратора. |
Чтобы создать новое доменное дерево, необходимо либо быть членом группы администраторов домена (в корневом домене леса) или группы администраторов предприятия в Active Directory, либо иметь соответствующие разрешения. |
Рекомендации по бэкапу контроллеров домена
Сервисы Active Directory разработаны с учетом избыточности, поэтому привычные правила и тактики бэкапа необходимо адаптировать соответствующим образом. В данном случае будет неправильно использовать ту же политику бэкапа, что уже работает для серверов SQL или Exchange. Ниже я приведу ряд рекомендаций, которые могут помочь при разработке вашей собственной политики для Active Directory:
Выясните, какие контроллеры домена в вашей среде выполняют роли FSMO (Flexible Single Master Operations). Совет: простая команда для проверки через командную строку: >netdom query fsmo
Выполняя полное восстановление домена, лучше начать с контроллера домена с наибольшим числом ролей FSMO, — обычно это сервер с ролью эмулятора основного контроллера домена (PDC). В противном случае после восстановления вам придется передавать соответствующие роли вручную при помощи команды ntdsutil seize. Помните об этом при планировании бэкапа и приоритизации контроллеров домена. Подробнее о ролях FSMO можно прочитать в экспертной статье по основам работы с Active Directory.
- Если на площадке несколько контроллеров домена, а вы хотите защитить отдельные объекты, то у вас нет необходимости в бэкапе всех контроллеров. Для восстановления отдельных объектов будет достаточно одной копии базы данных Active Directory (ntds.dit)
- Всегда есть возможность снизить риск случайного или намеренного удаления или изменения объектов AD. Можно порекомендовать делегирование административных полномочий, настройку ограничений доступа с повышенными правами и резервную площадку c задержкой репликации.
- Обычно рекомендуется выполнять бэкап контроллеров доменов поочередно и так, чтобы оно не пересекалось с репликацией DFS. Хотя современные решения (например, Veeam Backup & Replication v7 с пакетом обновления 3 и выше) знают, как решать эту проблему.
- Если вы используете виртуальную среду VMware, контроллер домена может быть недоступен по сети (например, он находится в зоне DMZ). В этой ситуации Veeam переключится на соединение через VMware VIX и сможет обработать этот контроллер.
Рабочий процесс обновления и репликиUpgrade and Replica Workflow
На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать контроллер домена в существующем домене.The following diagram illustrates the Active Directory Domain Services configuration process when you previously installed the AD DS role and you have started the Active Directory Domain Services Configuration Wizard using Server Manager to create a new domain controller in an existing domain.