При добавлении в лес другого домена Active Directory в родительской зоне DNS должны быть созданы записи делегирования, указывающие на полномочные DNS-серверы для новой зоны. Записи делегирования передают орган разрешения имен и обеспечивают правильные ссылки на другие DNS-серверы и на клиентов новых серверов, которые были сделаны полномочными для новой зоны. При использовании DNS, интегрированной с Active Directory, эти DNS-серверы могут также быть контроллерами домена для этого домена.
Эти записи делегирования DNS можно создать перед запуском мастера установки службы AD DS, либо можно позволить мастеру создать их автоматически. Мастер проверяет наличие соответствующих записей в родительской зоне DNS после нажатия кнопки Далее на странице Дополнительные параметры контроллера домена. Если мастер не может проверить наличие этих записей в родительском домене, мастер предоставляет возможность создать записи автоматически и продолжить установку нового домена.
Например, чтобы добавить новый дочерний домен с именем na.contoso.com в лес contoso.com, в родительской зоне DNS необходимо создать делегирование для поддомена DNS (contoso.com).
Если полномочный DNS-сервер для вновь делегированного поддомена na.contoso.com называется ns1.na.contoso.com, чтобы сделать этот сервер известным другим серверам за пределами вновь делегированной зоны, для выполнения делегирования в новую зону в зоне contoso.com должны присутствовать две записи ресурсов. Эти записи ресурсов содержат следующие сведения:
-
Запись ресурса сервера имен (NS) для реализации делегирования. Эта запись ресурса сообщает, что сервер с именем ns1.na.example.microsoft.com является полномочным сервером для делегированного поддомена.
Для сопоставления имени сервера, заданного в записи ресурса сервера имен (NS) его IP-адресом, должна присутствовать запись ресурса узла (A или AAAA), также называемая связанной записью. Процесс разрешения имени узла в этой записи ресурса в делегированный DNS-сервер в записи ресурса сервера имен (NS) иногда называется «связывающим преследованием».
Чтобы создать делегирование зоны, откройте Диспетчер DNS, щелкните правой кнопкой мыши родительский домен, а затем щелкните Делегирование. Для создания делегирования выполните последовательность действий, предлагаемую мастером создания делегирования.
советы малограмотного для необразованных
Страницы
воскресенье, 10 июля 2011 г.
Установка Active Directory
Едем дальше. Следующая остановка — Active Directory.
На данный момент имеем сервер с Windows 2008 с настроенным DNS сервером. Сейчас будем устанавливать туда же службу Active Directory, создадим домен и включим в него клиента и.
Для начала немного теории. Википедия расскажет любому желающему, что "Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT." Короче, всё просто: служба каталогов — собрание в кучу всех ресурсов сети (учётки юзеров, ПО, файловые ресурсы, etc) в единой базе, чтобы ими можно было централизованно управлять; доступ к этой самой службе каталогов происходит по протоколу LDAP (устройство которого нам сейчас не важно, так как это совсем другой уровень мастерства).
Добавляем роль серверу. Панель управления > Администрирование > Диспетчер сервера, жмём Добавить роли выбираем Доменные службы Active Directory (так как начинать будем с основ, то все остальные названия, содержащие AD, нам пока не нужны)
Далее, Далее, Установить.
Ну вот. Тут нам предлагают ещё мастер установки доменных служб запустить. Это можно сделать из консоли (dcpromo.exe) или прямо в этом окошке нажать на синюю строчку "Закройте этот мастер и запустите. ". Результат один. Вот этот мастер, который должен создать домен и сделать из нашего сервера контроллер домена:
В расширенных настройках можно будет создать новый контроллер домена в существующем домене, создать новый домен в существующем лесу и прочие вещи, которые нас сейчас не касаются. Мы просто создаём наши первые домен и контроллер. Так что галочку не ставим. Дальше выбираем Создать новый домен в новом лесу и. Тут самое время сделать лирическое отступление.
Итак, нас просят ввести DNS-имя для корневого домена. Казалось бы у нас уже есть DNS-зона stado.net, наверное надо просто ввести это имя (иначе зачем мы его вообще создавали?). Но нет. Не всё так просто. Домен AD и домен DNS — разные вещи, разницу между которыми надо понимать чётко и ясно.
Домен ДНС — поддерево в области имён ДНС, и как видно из структуры имени, отражает путь к ресурсу. Например, maps.google.ru — ресурс "Карты" в домене Google в зоне RU. Простая иерархия.
Домен АД — область, объединяющая сетевые ресурсы (компы, учётки пользователей, ПО и проч.) и имеющая некие правила поведения, которые задаёт сервер (контроллер этого домена).
Домен stado.net, созданный нами ранее, — это домен ДНС. Представим, что мы расчитываем зарегистрировать его и позднее использовать это имя для публикации своих ресурсов (сайт, например) в интернете. С другой стороны домен АД, которым создаём сейчас, будет использоваться только для локальных целей — чтобы управлять нашей внутренней сетью. Понятно, что домен АД и домен ДНС выполняют разные роли, так что объединять всё в кучу не стоит. Опять же не будем забывать о безопасности — ДНС-сервер будет выдавать всю информацию о зоне stado.net всем желающим (чтобы все знали, как попасть на наш сайт). Соответственно ничего лишнего в этой зоне быть не должно, а если мы создадим АД-домен с таким же именем, то все адреса компьютеров нашего АД-домена автоматически будут занесены в зону ДНС и злоумышленник сможет узнать внутреннюю структуру нашей сети, что не есть хорошо. Поэтому настоятельно рекомендуется разделять пространства имён внутренних и имён внешних.
Надеюсь все осилили вышеописанное и поняли, что в Мастере установки доменных служб Active Directory надо задать имя домена отличное от stado.net. Пусть это будет stado.local. Далее. Режим работы — Windows Server 2008 (другие варианты нужны, если бы у нас в сети были серверы AD более ранних версий Винды). Затем нам сообщат, что служба DNS, которая нужна для функционирования AD, у нас-то уже и есть. Замечательно. Потом выскочит окошко, гласящее "Делегирование для этого DNS-сервера не будет создано поскольку полномочная родительская зона не найдена. "
Всё нормально, нет причин для паники. К нам это не относится. Если бы у нас был ДНС-домен domain.ru и мы бы создавали АД-домен с именем ad-domain.domain.ru, то нам бы тогда надо было создавать делегирование прав на этот домен (чтобы разделить имена из ad-domain.domain.ru и domain.ru). Но так как мы создали корневую зону stado.local, выше которой ничего нет, то можно забить на это окошко.
Расположение служебных папок менять не будем. Задаём пароль для восстановления (можно тот же пароль админа). Ребут. Смотрим на экран и видим:
Мы в домене! Запись вида userdomain при логине говорит нам об этом. Наш локальный пользователь Администратор стал теперь администратором домена. Снова стоит оговориться, что теперь на каждом компьютере будет использоваться две базы пользователей — локальная и доменная. Локальная будет храниться (что характерно) локально на компьютере, доменная будет храниться на сервере. На контроллере домена локальных пользователей быть не может. Убедиться можно так: Пуск > Выполнить > control userpasswords2 > OK > Дополнительно > Дополнительно, видим следующее:
Теперь заглянем в Свойства системы > Дополнительные параметры системы. Наблюдаем:
Всё, что мы прописывали раньше, сбросилось и теперь у нас описание нашего домена, отвечающего за Active Directory. Так и должно быть.
Ну и раз уж мы решили, что домен stado.net будет у нас только для глобальных ресурсов, то давайте возьмём его в ежовые рукавицы. Идём в настройки ДНС-сервера и в свойствах зоны stado.net (только зоны прямого просмотра) снимаем разрешение на динамические обновления:
Далее разберёмся с зоной обратного просмотра. Мы её создавали из соображений, что ДНС-зона stado.net будет использоваться для локальных нужд. Раз уж это оказалось не так, то и зона обратного просмотра подсети 192.168.100.0/24 должна обслуживать наш домен для локальных нужд stado.local, а не stado.net. Удаляем зону обратного просмотра и создаём заново. На этот раз у нас уже будет галочка "Сохранять зону в AD". Все настройки оставляем по умолчанию. Готово.
Зону stado.net мы пока оставим как есть. Пусть болтается.
Сервер настроен. Можно попробовать добавить клиента. Запускаем нашу машину с Windows XP и снова видим какую-то хрень — не удалось получить адрес от DHCP-сервера. Всё потому что наш свежеустановленный домен Active Directory наложил некоторые ограничения для безопасности. Возвращаемся на сервер в настройки DHCP, жмём на наш сервер (ad.stado.local) и выбираем Авторизовать. После этого всё должно снова заработать.
Но вернёмся к нашим баранам — мы хотели включить клиента в домен AD. Для этого нам нужно включить в домен компьютер и завести в домене пользователя. Заходим на клиенте в Свойства компьютера > Имя компьютера > Изменить, ставим переключатель на Является членом домена, вбиваем stado.local
Для присоединения к домену нам нужен пользователь с правами добавления новых пользователей в домен. Вообще такие права есть у любого пользователя в домене, но на данный момент единственный доменный пользователь — это Администратор (заметьте, не локальный админ, а именно доменный). Им и воспользуемся.
Перезагружаемся и видим, что и наш клиентский компьютер тоже в домене.
Одна проблема — не будем же мы логиниться на клиентский комп под доменным админом. Нам нужен простой доменный пользователь. Создать его можно сервере. Администрирование > Active Directory — Пользователи и компьютеры. Сделаем сначала подразделение, в которое будем кидать наших пользователей. Назовём его СТАДО по имени нашей организации. А в нём уже можно создать и пользователя.
Пусть первый пользователь будет рабочей учёткой админа нашей организации (но чтобы не вносить неразбериху между должностью "админ" в организации и официальным названием "администратор", которое используется в ОС, назовём нашего несчастного так, как зовут его везде простые смертные):
И блядский Виндовс снова выставил политики паролей. Меняем опять, хуле. Только теперь уже локальная политика безопасности, которую меняли раньше, не спасёт (собственно она и не активна — зайдите туда в политики учётных записей > политики паролей и попытайтесь что-то изменить, увидите сами, что все переключатели заморожены). Поскольку у нас домен, то и менять надо доменную политику безопасности. Администрирование > Управление групповой политикой, там выбираем наш домен stado.local, жмём на Default domain policy > Изменить
Ну и дальше по следующему адресу находим нужные настройки: Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Политики учётных записей > Политика паролей. Политики не отключаем, а ставим везде нули.
Чтобы изменения политики безопасности вступили в силу сразу, а не только во время очередного планового обновления политик системы (которое случается раз в хз сколько минут), надо в консоли дать следующую команду:
C:UsersАдминистратор>gpupdate
Обновление политики.
Обновление политики пользователя завершено успешно.
Обновление политики для компьютера успешно завершено.
Теперь снова можно делать простые пароли.
После этого создадим ещё несколько пользователей, чтобы потом было с чем поиграться:
- бухгалтер маша (логин — buh-m)
- менеджер степан (man-s)
- менеджер даша (man-d)
- гендиректор (gendir)
Ну вот. Теперь мы можем зайти на клиентский компьютер под любой из этих учёток. Можете сами попробовать, если не верите. И напоследок:
Удалив клиентский комп из этого списка, мы исключим его из домена и залогиниться на компе снова можно будет только под локальной учёткой.
Длинная получилась статья. Но надеюсь, что не бесполезная.
1. На первом контроллере домена открываем сетевые настройки первого сервера. Для этого в поле поиска набираем ncpa.cpl. Далее выбираем нужный сетевой интерфейс, правый клик — "Свойства — IP версии 4(TCP/IPv4). — Свойства". В поле альтернативный интерфейс, вписываем IP-адрес добавочного контроллера домена (в данном случае 192.168.100.6).
2. Затем переходим на второй сервер и задаём имя будущему серверу: "Этот компьютер — Свойства — Изменить параметры — Изменить". В поле "Имя компьютера" задаём имя серверу, далее "ОК". Потребуется перезагрузка компьютера, соглашаемся.
3. После перезагрузки переходим к настройке сетевого интерфейса. Для этого в поле поиск пишем ncpa.cpl. Выбираем нужный интерфейс, правый клик — "Свойства — IP версии 4(TCP/IPv4). — Свойства". В открывшемся окне заполняем поля:
- IP-адрес: IP-адрес сервера (например, 192.168.100.6)
- Маска подсети: например, 255.255.255.0 (маска 24 бит)
- Основной шлюз: например, 192.168.100.1
- Предпочитаемый DNS-сервер: IP-адрес первого сервера (например, 192.168.100.5)
- Альтернативный DNS-сервер: IP-адрес второго сервера (например, 192.168.100.6)
Затем нажимаем "ОК".
4. Добавляем в домен новый сервер. Для этого выбираем "Этот компьютер — Свойства — Изменить параметры — Изменить". Ставим чекбокс "Является членом домена" и вписываем имя домена. Затем "ОК".
5. В диалоге "Изменение имени компьютера или домена" вводим имя пользователя домена с административными правами (пользователь должен иметь возможность добавлять компьютеры в домен), далее "ОК".
6. При успешной операции появится надпись "Добро пожаловать в домен. ". Нажимаем "ОК".
7. После перезагрузки компьютера в окне "Просмотр основных сведений о вашем компьютере" можно проверить напротив "Полное имя", что компьютер вошел в состав домена.
8. На этом подготовительный этап закончен, пора устанавливать необходимые роли на сервер. Для этого открываем "Диспетчер серверов" — "Добавить роли и компоненты". Необходимо установить DNS-сервер, Доменные службы Active Directory, DHCP-сервер.
9. Читаем информацию в окне "Перед началом работы", нажимаем "Далее". В следующем окне "Выбор типа установки" оставляем чекбокс "Установка ролей или компонентов" по умолчанию, снова "Далее". Выбираем наш сервер из пула серверов, затем "Далее".
10. В окне "Выбор ролей сервера" выбираем DNS-сервер, Доменные службы Active Directory, DHCP-сервер. При добавлении роли будет появляться предупреждение, например "Добавить компоненты, необходимые для DHCP-сервер". Нажимаем "Добавить компоненты". После выбора нужных ролей нажимаем "Далее".
11. В новом окне "Выбор компонентов" игнорируем "Выберите один или несколько компонентов для установки на этом сервере", нажимаем Далее. В следующем окне "DHCP-сервер" читаем на что обратить внимание при установке DHCP-сервера, затем "Далее". В новом окне "Подтверждение установки" проверяем выбранные роли, нажимаем "Установить".
12. Появится окно с ходом установки выбранных компонентов. Данное окно можно закрыть, оно на процесс установки уже не влияет.
13. После того, как установятся выбранные компоненты, в "Диспетчер серверов" нажимаем значок предупреждения в виде восклицательного знака, выбираем "Повысить роль этого сервера до уровня контроллера домена".
14. Появится "Мастер настройки доменных служб Active Directory". В окне "Конфигурация развертывания" оставляем по умолчанию чекбокс "Добавить контроллер домена в существующий домен", проверяем название домена в поле "Домен". Напротив поля (текущий пользователь) нажимаем кнопку "Изменить".
15. Вводим логин и пароль пользователя в домене с административными правами. Нажимаем "ОК". Затем "Далее".
16. В окне "Параметры контроллера домена" вводим парль для режима восстановления служб каталогов (DSRM), снова "Далее".
17. В окне "Параметры DNS" игнорируем предупреждение о том, что делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительская зона не найдена", просто жмем "Далее".
18. В окне "Дополнительные параметры" источник репликации оставляем "Любой контроллер домена", снова "Далее".
19. Расположение базы данных AD DS, файлов журналов и папки SYSVOL оставляем по умолчанию, нажимаем "Далее".
20. Просматриваем параметры, настроенные в "Мастер настройки доменных служб Active Directory", затем "Далее".
21. В окне "Проверка предварительных требований" проверяем, что появился зеленый чекбокс. Таким образом все проверки готовности к установке выполнены успешно. Нажимаем "Установить".
22. В следующем окне читаем, что "Этот сервер успешно настроен как контроллер домена". Читаем предупреждения, нажимаем "Закрыть".
23. Пришло время проверить работоспособность Доменных служб Active Directory и DNS-сервера. Для этого открываем "Диспетчер серверов".
24. Выбираем "Средства" — "Пользователи и компьютеры Active Directory".
25. Открываем наш домен и раскрываем подразделение "Domain Controllers". В окне напротив проверяем наличие второго сервера как контроллера домена.
26. Далее в "Диспетчер серверов" выбираем "Средства" — "DNS".
27. Проверяем наличие IP-адреса второго сервера в зоне прямого и в зоне обратного просмотра.
28. Затем выбираем "Active Directory — сайты и службы".
29. Раскрываем дерево "Active Directory — сайты". Проверяем наличие второго контроллера домена напротив "Servers".
30. Пришло время настроить DHCP-сервер. Для этого на втором сервере выбираем в "Диспетчер серверов" — "Средства" — "DHCP".
31. Выбираем добавочный сервер, правой клавишей мыши — "Добавить или удалить привязки".
32. Проверяем настройку сетевого интерфейса, через который будут обслуживать DHCP-клиенты на втором сервере.
33. Объединяем два DHCP-сервера. Конфигурация высокой доступности, режим балансировка высокой нагрузки. Распределяем нагрузку на сервера 50×50. Для настройки на первом сервере, где установлен и настроен DHCP-сервер, выбираем "Диспетчер серверов" — "Средства" — "DHCP".
34. Правый клик на созданную в DHCP-сервере область, далее "Настройка отработки отказа. ".
35. Появится мастер "Настройка отработки отказа", затем "Далее".
36. Указываем сервер-партнер для отработки отказа. Для этого в поле "Сервер партнер" с помощью кнопки "Добавить сервер" добавляем второй (дополнительный) сервер, на котором развернута роль DHCP-сервер. Затем нажимаем "Далее".
37. В поле "Общий секрет" вписываем пароль. Остальные настройки можно оставить по умолчанию, в том числе процент распределения нагрузки Локальный сервер — Сервер партнер — 50% на 50%. Снова "Далее".
38. Проверяем параметры настройки отработки отказа между первым сервером и дополнительным сервером. Нажимаем "Готово".
39. Смотрим в ходе настройки отработки отказа, чтобы все было "Успешно" и закрываем мастер.
40. Открываем второй сервер. "Диспетчер серверов" — "Средства" — "Авторизовать".
41. Проверяем "Пул адресов". Будет произведена синхронизация DHCP-серверов.
На этом процесс установки и настройки Active Directory, DHCP, DNS закончен. Посмотреть, что и как делать, можно здесь: