Категория: Инструкции
Поднимаем сервер до контроллера домена.
Если вы до этого обслуживали Windows Server 2003, вы заметите значительную разницу на этом шаге. Да, нам все еще нужно запустить dcpromo из команды Выполнить. но здесь есть небольшое изменение Вам также нужно установить роль Active Directory Domain Controller. Роли сервера являются довольно новым явлением в Windows Server 2008, где основные службы считаются «ролями». Роль контроллера домена Active Directory Domain Controller немного отличается, поскольку для установки этой роли требуется процесс из двух шагов: сначала вы устанавливаете роль, а затем запускаете dcpromo .
Входим в Диспетчер сервера (Server Manager) и переходим в узел Роли (Roles) в левой панели консоли. Затем нажимаем Добавить роли (Add Roles) в правой панели.
Открывается страница Before You Begin. Если вы впервые устанавливаете роли с помощью диспетчера сервера, то вам нужно прочитать информацию на этой странице. Если вы уже давно работаете с диспетчером сервера, то можете пропустить эту страницу и нажать Далее .
Выбираем роли сервера для установки. Мы установим другие роли сервера позже, но сначала нам нужно установить роль контроллера домена (DC). Выбираем Active Directory Domain Services. отмечая соответствующую опцию. Обратите внимание, что мастер отобразит вам ряд функций, которые будут установлены наряду с ролью Active Directory Server Role. Нажмите кнопку Добавить нужные функции (Add Required Features), чтобы установить эти функции во время установки роли Active Directory Server.
После выбора роли Active Directory DC Server. вы увидите информацию об этой роли сервера. Здесь есть некоторые интересные моменты:
Нажммаем Установить для установки файлов, необходимых для запуска dcpromo .
Установка завершена. Нажимаем Закрыть .
Далееследующий этап - переходим в меню Пуск и вводим dcpromo в текстовом поле Выполнить. Вы найдете его в списке, как показано на рисунке ниже. Нажимаем dcpromo .
Запускается мастер Welcome to the Active Directory Domain Service Installation Wizard. Нам не нужны расширенные опции в этом сценарии, поэтому просто нажимаем Далее .
На странице Совместимость операционной системы (Operating System Compatibility) мастер предупреждает о том, что ваши NT и non-Microsoft SMB клиенты будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008 R2. Нажимаем Далее.
В следующем окне Выбор конфигурации установки (Choose a Deployment Configuration) выбираем опцию Создание нового домена в новом лесу (Create a new domain in a new forest). Мы делаем это по той простой причине, что это новый домен в новом лесу.
В окне Имя корневого домена в лесу (Name the Forest Root Domain) мы вводим название домена в текстовое поле FQDN корневого домена в лесу. В этом примере мы назовем домен fflab.net. Вы можете назвать свой домен, как вам нравится, но если вы используете имя, которые уже используется в интернете (имя, которое уже было зарегистрировано), то у вас могут возникнуть проблемы раздвоения имен. Нажимаем Далее .
В окнек Определение функционального уровня леса (Set Forest Functional Level) выбираем опцию Windows Server 2008 R2 (а не опцию Windows Server 2003, которая показана на рисунке ниже). Мы выбираем опцию Windows Server 2008 R2. чтобы воспользоваться всеми новыми удивительными возможностями, включенными в Windows Server 2008 R2. Нажимаем Далее .
В окне Дополнительные опции контроллера домена (Additional Domain Controller Options) у нас есть единственный выбор: DNS сервер. Опция глобального каталога выбрана и не является опцией по выбору, так как пока что это единственный DC в этом домене, поэтому он должен быть сервером глобального каталога. Опция контроллера домена с разрешением только чтения (Read-only domain controller - RODC) не отмечена, поскольку необходимо иметь другой не-RODC в сети, чтобы включить эту опцию. Выбираем опцию DNS сервер и нажимаем Далее .
Появится диалоговое окно, говорящее о том, что невозможно создать делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер. Причина в том, что это первый DC в сети. Не беспокойтесь об этом и нажмите Да. чтобы продолжить.
Оставляем все по умолчанию и нажимаем Далее .
В окне Directory Service Restore Mode Administrator Password вводим надежный пароль в текстовые поля Пароль (Password) и Подтверждение (Confirm password).
Проверяем информацию на странице Summary и нажимаем Далее .
Установка первого DC занимает немного времени. Отметьте опцию Перезагрузить по окончании (Reboot on completion), чтобы машина автоматически перезагрузилась после установки DC.
Произойдет перезагрузка сервера. Установка будет завершена после того, как вы войдете в систему.
Служба DNS была установлена во время установки Active Directory, поэтому нам не нужно об этом беспокоиться.
на основе. http://www.oszone.net/10457/Windows-Server-2008-R2
В предыдущей заметке. мы развернули первый контроллер домена на предприятии а так же настроили службу DNS, DHCP. Второй и последующий контроллеры будут у нас без GUI в core-варианте.
Предварительно настроим сервер при помощи sconfig. назначим имя: dc2, настроим сеть, установим последние обновления, включим удаленное управление.
Затем добавим роль AD DS. Рассмотрим два варианта развертывания служб AD DS на сервере c Windows core.
Первый вариант это добавить наш сервер в Server Manager первого сервера, и поднять роль при помощи графического интерфейса как мы делали это в самом начале. Для этого необходимо выполнить ряд условий:
1) На сервере с Windows Core активировать удаленное управление. Например при помощи 4-го пункта меню в sconfig (Configure Remote Management) или аналогично выполнив следующие команды в консоле:
и нажать yes. В powershell:
2) Разрешить ряд правил на файрволе для обнаружения сервера по dns:
3) Добавить сервер в домен. Во время выполнения команды, потребуются ввести учетные данные доменного админа. Перезагрузить сервер.
4) На управляющем сервере в Server Manager нажать Manage и выбрать Add Servers. В появившемся окне Add Servers перейти на вкладку DNS и найти там наш сервер. Нажать ОК.
Если видим, что в поле Manageability запись изменилась на 'Online — Performance counters not started' то все в порядке и можно приступать к процессу развертывания служб AD DS при помощи мастера добавления ролей и компонентов.
После чего можно будет стандартным образом отметь роли для установки и сконфигурировать роль AD DS. Необходимо только выбрать, что домен будет вторым в существующем домене (Add a domain controller to an existing domain). И затем нажимая кнопку далее дойти до завершающего этапа установки.
После перезагрузки, снова зайдем в диспетчер сервера, запустим пиктограмму треугольника с восклицательным знаком и завершим конфигурацию DHCP-сервера выбором Complete DHCP Configuration.
Второй способ развертывания служб AD на сервере с windows core, традиционно выполняется при помощи 'dcpromo', но на мой взгляд удобнее и быстрее для этих целей использовать команды powershell. К тому же с началом выхода 2012 сервера, инструмент 'dcpromo' считается устаревшим и не рекомендуемым к использованию. Например, в полном варианте 2012/2012R2 сервера 'dcpromo' уже не работает, предлагая воспользоваться диспетчером сервера, хотя в core-варианте возможность запуска до сих пор присутствует. Итак приступим к установке:
Сначала добавим роль служб и компонентов Active Directory, DNS и заодно DHCP:
либо вариант команды с использованием xml-скрипта, который мы могли сохранить ранее на этапе добавления ролей и компонентов в графическом варианте:
Импорт модулей и команд AD выполним при помощи команды:
Теперь что бы повысить роль сервера до контроллера домена набираем:
Install-ADDSDomainController — установить дополнительный контроллер домена,
DomainName «test.ru» — имя домена,
Credential (get-credential) — учетные данные для авторизации в домене, можно задать комбинацию домен\логин как в примере выше.
После, скрипт запросит пароль администратора домена, указанный в параметре Credential. Затем, необходимо будет указать пароль для режима восстановления (Directory Services Restore Mode — DSRM) — SafeModeAdministratorPassword, либо указать его как параметр выше в команде. Нажимаем Yes и дожидаемся окончания процесса установки, после чего сервер будет перезагружен. На выходе получим дополнительный (Replica) контроллер в домене test.ru.
Ту же самую операцию можно выполнить при помощи powershell скрипта, который можно подсмотреть на этапе установки Review Options мастера развертывания Active Directory Domain Services Configuration Wizard, если нажать кнопку Review Script.
Для установки второго контроллера домена в существующем домене содержимое скрипта будет следующим:
Текстовый файл необходимо сохранить с расширением .ps1 и в консоли powershell выполнить:
Потребуется указать пароль администратора домена и пароль для режима восстановления каталогов (DSRM).
Подробнее о возможных параметрах командлета Install-ADDSDomainController читаем здесь .
Что бы перечислить все возможные командлеты по настройке ролей Active Directory набираем:
В результате отобразится следующий список:
Add-ADDSReadOnlyDomainControllerAccount — Создание учетной записи контроллера домена только для чтения.
Install-ADDSDomain — Установить первый контроллер домена в дочернем или дереве домена.
Install-ADDSDomainController — Установить дополнительный контроллер домена.
Install-ADDSForest — Установить первый контроллер в новом лесу.
Test-ADDSDomainControllerInstallation — Проверка предварительных требований для установки контроллера домена в Active Directory.
Test-ADDSDomainControllerUninstallation — Проверка удаления сервиса AD c сервера.
Test-ADDSDomainInstallation — Проверка предварительных требований для установки нового домена в Active Directory.
Test-ADDSForestInstallation — Проверка предварительных требований для установки нового леса Active Directory.
Test-ADDSReadOnlyDomainControllerAccountCreation — Проверка предварительных требований для добавления учетной записи контроллера домена только для чтения (RODC).
Uninstall-ADDSDomainController — Удаление контроллера домена с сервера.
После перезагрузки завершим конфигурацию DHCP-сервера при помощи команд:
Шаг4: Установка второго контроллера домена. Настройка резервирования службы DHCP.
Поскольку в нашей сети уже есть один авторизованный DHCP-сервер с настроенной областью, то теперь необходимо решить как будет работать служба DHCP на дополнительном контроллере server core. Возможны два варианта:
1) Использование распределенных областей (Split Scope) — Распределение адресного пространства между двумя серверами. Например одному серверу назначаются 70 или 80% адресов области, а оставшиеся 20 или 30% — дополнительному серверу. Если клиентам не удается получить IP-адрес от основного сервера, то они могут получить его у дополнительного сервера.
Для создания разделенной области, на основном сервере, открываем оснастку DHCP, щелкаем правой кнопкой по имени области и выбираем Advanced->Split-Scope.
Затем двигая ползунок, отмечаем процентное соотношение распределения адресов в области. Жмем Далее.
На следующем экране укажем задержку ответа серверов в мс. Укажем для второго сервера задержку в 10 мс, что позволит выдавать все адреса первым сервером, а второй только при отказе первого или заполнении его пула адресов.
Затем нажимаем refresh на втором DHCP сервере, после чего увидим созданную область, где помимо основного диапазона с начальным и конечным адресом, будет диапазон адресов первого сервера исключенных для выдачи на втором сервере. Теперь, если видим что серверы обслуживают не пересекающиеся области, то можем активировать область на втором сервере.
2)DHCP с отработкой на отказ (DHCP Failover). Новый механизм, появившийся в Windows Server 2012/R2. Второй DHCP сервер принимает нагрузку в случае отказа основного. Работает в двух режимах.
Для создания отношений отработки отказа между двумя DHCP-серверами, необходимо в оснастке DHCP щелкнуться правой кнопкой по имени области и выбрать Configure Failover.
Затем нажимаем Next и следуем указаниям мастера. В поле Partner Server выберем второй сервер.
Галочка Reuse existing failover relationships configured with this server (if any exist) (Использовать существующие отношения отработки отказа с этим сервером (если доступно)) будет активна в том случае, если ранее мы уже создавали отношение отработки отказа, и мастер предложит воспользоваться существующей конфигурацией. Жмем Далее.
На следующем экране зададим параметры отношения отработки отказа:
Relationship Name — уникальное имя конфигурации отношения отказа;
Maximum Client Lead Time — Максимальное время упреждения клиента (MCLT) — дополнительное время аренды IP-адреса выдаваемого доступным сервером для клиентов, которые должны быть обслужены тем сервером, который в данный момент недоступен;/p>
Mode — режим Load Balance (с балансировкой нагрузки) или Hot Standby (горячей замены).
В режиме Hot Standby (горячей замены) необходимо выбрать состояние работы сервера: Активный или Резервный и количество адресов в процентом отношении, которое резервируется для сервера горячей замены.
Load Balance Percentage — процентное отношение нагрузки между серверами участниками. По умолчанию 50 на 50.
State Switchover Interval — интервал времени, по истечении которого сервер DHCP автоматически переводит участника отработки отказа к партнеру после потери связи.
Enable Message Authentication парольShared Secret, используемый для взаимной, безопасной аутентификации серверов.
Выбираем режим по умолчанию Load Balance. Зададим пароль Shared Secret. остальные параметры оставим по умолчанию. Жмем Далее. Завершим настройку нажатием Finish и Close.
На этом установку второго контроллера домена (replica) и сопутствующих служб в существующем домене 'test.ru' можно считать завершенной. В следующей заметке будем поднимать филиальный домен только для чтения (RODC).
Установка контроллера домена только для чтения (RODC) на базе Windows 2012 R2 (core)
Первый контроллер домена в лесу, на базе Windows 2012 R2. Настройка служб AD DS, DNS, DHCP
Dynamic registration or deletion of one or more DNS records associated with DNS domain ‘domainname’ failed.
Автоматическая установка настроенного образа Windows 7/2008R2 c usb-накопителя
Как загрузиться с usb-флешки на виртуальной машине
Как переименовать контроллер домена Windows Server 2008 R2
Всем привет, ранее я уже рассказывал как переименовать контроллер домена в Windows Server 2008 R2 часть через утилиту netdom или графический метод. существует еще один метод, слегка требующий побольше телодвижений, но очень эффективный, а именно как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
Как видим, у меня есть контроллер домена dc03.msk.pyatilistnik.org, требуется его переименовать в dc02.msk.pyatilistnik.org. Хочу сказать, что есть небольшие требования к понижению:
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-026
Посмотрим топологию в Active Directory. и видим dc01 и dc03
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-028
Открываем пуск и пишем dcpromo.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-027
Открывается мастер установки доменных служб, жмем далее
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-029
Видим, что выскочило предупреждение
этот контроллер домена Active Directory является сервером Глобального каталога.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-030
Чтобы это исправить открываем оснастку Active Directory Сайты и Службы. Идем в Default-First-Site-Name-Servers-NTDS Settings. И на вкладке Общие снимаем галку Глобальный каталог.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-038
Снова запускаем мастер и видим, предупреждения нет, нас следующем шаге галку Удалить этот домен не ставим, так как у нас это не последний домен контроллер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-039
Ставим галку Удалить делегирование DNS .
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-040
вас попросят вести дополнительные данные
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-041
Вводим пароль администратора восстановления, который мы задавали при установке контроллера домена.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-042
Смотрим сводные данные установки и жмем Далее.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-043
Начнется процесс установки, ставим галку перезагрузка, чтобы она была автоматической.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-044
После перезагрузки, открываем на первом контроллере ACtive Directory Пользователи и компьютеры и в топологии видим, только dc01
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-045
Проверяем не осталось ли лишнего в DNS, конкретно интересуют NS записи
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-046
Все контроллер домена был понижен, теперь через свойства системы переименуем сервер.
Как переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена-047
Вот так вот просто переименовать контроллер домена в Windows Server 2008 R2-3 часть через понижение контроллера домена.
