Active Directory («Активный каталог», AD) — службы каталогов корпорации Microsoft для операционных систем Windows Server. Первоначально создавалась как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Задача: Развернуть сервер с ролью контроллера домена на виртуальной машине.
Добавление второго контроллера домена AD является основой вашей сети. Это связано со всем! Таким образом, имеет смысл, что вы хотите, чтобы это было как можно более избыточным. В Windows Server 2016 создание вторичного контроллера домена настолько просто, что у вас действительно нет причин не делать этого. Можете ли вы представить себе восстановление своего каталога после сбоя оборудования одного сервера, когда у вас есть 100 учетных записей пользователей и компьютеров, которые являются частью домена, который только что вышел из строя? Как насчет 1000 или даже 10000 пользователей? Это может занять несколько недель и вы, вероятно, никогда не получите его в том же состоянии, как это было раньше. Кроме того, несмотря на то, что вы застряли в середине этого простоя, у вас будут возникать всевозможные проблемы в вашей сети, поскольку ваши учетные записи пользователей и компьютеров зависят от AD, который затем будет отключен. Вот предпосылки, к созданию второго сервера в вашей сети и присоединения его к существующему домену, который работает на основном контроллере домена, чтобы создать резервный, вторичный контроллер домена. Чем больше ваша сеть, тем больше у вас будет серверов — контроллеров домена.
Одним из простейших путей по повышению отказоустойчивости домена и его контроллера, является добавление второго контроллера домена. Второй контроллер домена полностью реплицирует первый и наоборот. При отказе одного из них active directory полностью будет функционировать на работающем контроллере домена.
Для создания второго контроллера домена потребуется контроллер домена в действующем домене и сервер, который находится в домене.
Шаг 1. Открываем Диспетчер серверов и добавляем роль доменные службы active directory.
Шаг 2. Система предложит добавить необходимые компоненты. Нажимаем Далее.
Шаг 3. В компонентах оставляем всё без изменений. Нажимаем Далее.
Шаг 4. В AD DS нажимаем Далее. Проверяем всё ли верно указано.
Шаг 5. Нажимаем Установить. На данном этапе появится строка с предложением повысить роль сервера до контроллера домена, нажимаем на эту строку.
Шаг 6. Выбираем Добавить контроллер домена в существующий домен.
Шаг 7. Если требуется на втором контроллере разместить DNS-сервер, то указываем галочку, «Глобальный каталог» должен обязательно стоять, вводим пароль для восстановления служб каталогов и нажимаем Далее.
Шаг 8. Указываем в источнике репликации наш первый контроллер домена. Нажимаем Далее и Установить.
Шаг 9. Происходит установка, во время которой сервер перезагрузится, сразу после перезагрузки у нас в сети появится второй контроллер домена.
Рисунок 1 — Domain controllers
Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг.
«Добавление дополнительного контроллера домена в существующий домен ActiveDirectory»
Цель работы: научиться добавлять и настраивать дополнительный контроллер домена.
Необходимое программное обеспечение:
Программное обеспечение виртуализации VMware Workstation с установленной машиной под управлением Windows Server 2016 и настроенной в ходе предыдущих лабораторной работ, а также вторая виртуальная машина под управлением Windows Server 2016.
2. Начать добавление роли Active Directory аналогично лабораторной работе №2 до пункта «Результаты» в мастере настройки.
3. Нажать кнопку «Повысить роль этого сервера до уровня контроллера домена».
Это слайд-шоу требует JavaScript.
5. В параметрах контроллера домена ввести пароль администратора для режима DSRM и подтвердить его.
6. На странице «Дополнительные параметры» указать сервер, с которым нужно выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена.
7. На страницах «Пути» и «Просмотреть параметры» изменять ничего не надо. Пропустить их, нажав кнопку «Далее».
8. На странице «Проверка предварительных требований», проверить ошибки и исправить их. Нажать кнопку «Установить».
9. В Диспетчере серверов, выбрать вкладку «Средства», затем «Active Directory — сайты и службы»
11. Щелкнуть правой кнопкой мыши по элементу с именем «создано автоматически». Нажать «Реплицировать сейчас».
11. Аналогичную операцию нужно провести и с первым контроллером.
Контрольный вопрос. Вы хотите добавить в свой домен второй контроллер домена. Что вы должны делать?
Наверх
Домен — важнейший административный элемент в сетевой инфраструктуре организации. Он включает в себя такие объекты как: сетевые устройства, пользователей, сервера, принтеры, компьютеры, файловые ресурсы и т.д.
Шаг 1. Сначала необходимо прописать сетевые настройки на сервере: ip, маску, шлюз, в dns указываем свой ip, так как на сервере будет использоваться роль dns server, она устанавливается вместе с ролью active directory domain services.
Шаг 2. Открываем Диспетчер серверов и добавляем роль доменные службы active directory.
Шаг 3. Система предложит добавить необходимые компоненты. Нажимаем Далее.
Шаг 4. В компонентах оставляем всё без изменений. Нажимаем Далее.
Шаг 5. В ad ds нажимаем Далее. Проверяем всё ли верно указано.
Рисунок 1 — Подтверждение установки компонентов AD DS
Шаг 6. Нажимаем Установить. На данном этапе появится строка с предложением повысить роль сервера до контроллера домена, но на данном этапе мы это пропустим и выполним после установки роли.
Рисунок 2 — Установка роли AD DS
Шаг 7. После установки нажимаем Закрыть.
Шаг 8. Снова открываем Диспетчер серверов и переходим в роль AD DS.
Шаг 9. Здесь видим уведомление «Доменные службы Active Directory – требуется настройка на «сервере». Нажимаем Подробнее.
Шаг 10. Нажимаем повысить роль этого сервера до контроллера домена.
Рисунок 3 — Повышение роли сервера до уровня контроллера домена
Шаг 11. Выбираем Добавить лес и вводим «имя корневого домена». Нажимаем Далее.
Шаг 12. Если домен новый (как в нашем случае) и в дальнейшем планируется использовать операционные системы не ниже Windows Server 2016, то режим работы леса и режим работы домена не меняем. Проверяем что установлена галочка на DNS-сервер.
Шаг 13. Устанавливаем пароль для режима восстановления службы каталогов и нажимаем Далее.
Шаг 14. В Параметрах DNS ничего не меняем и нажимаем Далее.
Имя NetBIOS-домена можно изменить, но рекомендуем оставить его по умолчанию.
Пути к каталогам базы данных active directory тоже лучше оставить по умолчанию.
Шаг 15. На следующем этапе проверяем сводную информацию по настройке сервера.
Проверка предварительных требований сообщит все ли условия соблюдены и выведет отчет. Если проблем никаких не возникло, то мы сможем нажать кнопку Установить.
Теперь выполняется процесс повышения роли сервера до контроллера домена. После выполнения, сервер автоматически перезагрузится.
В сетевых настройках поле dns сервера изменится на 127.0.0.1. Домен создан и готов к использованию.
«Настройка роли DHCP на дополнительном контроллере домена»
Цель работы: научиться добавлять и настраивать роль DHCP-сервера на дополнительном контроллере домена.
Программное обеспечение виртуализации VMware Workstation с Двумя установленными машинами под управлением Windows Server 2016, настроенными в ходе предыдущих работ.
Все действия по развертыванию и настройке ролей на дополнительном контроллере домена предлагается производить с основного контроллера домена. Для этого нужно:
1. В диспетчере серверов основного контроллера зайти во вкладку «Серверы» и нажать кнопку «Добавить сервер».
3. После добавления оба сервера будут в списке.
Установка роли DHCP на дополнительный контроллер
4. Щелчком правой кнопки мыши на втором сервере, открыть контекстное меню и выбрать пункт «Добавить роли и компоненты».
5. Дальнейшая установка аналогична лабораторной работе №3.
6. На странице «Результаты», нажать «Завершение настройки DHCP».
7. В открывшемся окне во вкладке «Авторизация» выбрать пункт «Использовать учетные данные следующего пользователя» и нажать «Фиксировать».
8. Закрыть мастер настройки.
9. В Диспетчере серверов во вкладке «Средства», выбрать «DHCP».
На основном контроллере домена, настроен DHCP-сервер, нужно решить как будет работать DHCP-сервер на дополнительном контроллере домена. Пути решения могут быть такие:
10. Открыть оснастку DHCP на основном сервере. Нажать правой кнопкой мыши по имени области и выбрать «Настройка отказоустойчивости».
11. В открывшемся окне настройке нажать «далее», поскольку создан единственный диапазон адресов.
12. В следующем окне, рядом с окном «Сервер — партнер» нажать кнопку «Добавить сервер». В открывшейся вкладке выбрать второй сервер
и нажать «Далее».
13. Далее нужно выбрать режим работы и роль сервера-партнера.
В данном случае будет рассмотрены такие параметры: Режим горячей замены и ждущий режим.
В режиме горячей замены сервер-партнер в режиме «связь потеряна», также продолжает продлевать аренду и выдает адреса новым клиентам из своего диапазона. При переходе в режим «партнер отключен» начинает обслуживать весь диапазон полностью и выдавать адреса всем клиентам. После того, как сервер-партнер вернется в строй, сервер горячей замены снова перейдет в ждущий режим и клиенты, по истечении времени аренды, получат адреса у основного сервера.
Серверы должны безопасно общаться друг с другом. Для этого нужно включить параметр «Проверять подлинность сообщений» и в поле «Общий секрет» задать кодовое слово, которое серверы будут использовать для связи.
14. В последнем окне нажать «Готово», после чего появится сообщение, что все настройки выполнены успешно.
Контрольный вопрос. Для чего нужно настраивать DHCP — сервер на дополнительном контроллере?
Организации по всему миру применяют в своих инфраструктурах Службы домена Active Directory (AD DS) для
поддержания пользователей и устройств в своих сетевых средах и управления ими. Выполняя это, они получают
преимущества от масштабируемости корпоративного уровня, безопасности и управляемости. AC DS усиливает
иерархическую структуру архитектуры, делая возможной для администраторов организацию объектов пользователей
и устройств по множеству контейнеров, основывающихся на потребностях их ведения дел. Для данного экзамена
вам необходимо быть знакомым с различными элементами развёртывания для AD DS, такими как установка и настройка
контроллеров домена.
Установка и настройка Контроллеров домена
Самый первый шаг в реализации AD DS включает в себя установку и настройку контроллера домена. В простейшем виде,
контроллер домена является сервером, работающим под управлением операционной системы Windows Server с установленной
н ём ролью AD DS. В зависимости от размера организации, общее число поддерживаемых контроллеров домена может
разниться. Такие предметы рассмотрения, как местоположение, безопасность и резервирование играют основную роль
в проектировании архитектуры AD DS. Представим себе, что вы являетесь системным администратором для Всемирных
Импортёров. Эта организация имеет по всему миру двенадцать офисов с 3 500 сотрудников. Четыре из этих офисов
имеют ограниченную физичекую безопасность, однако все они требуют надёжной аутентификации в имеющейся сетевой
среде. В данном сценарии вы можете ожидать увидеть резервные контроллеры домена в каждом из офисов для улучшения
производительности и надёжности. Те четыре офиса, которые имеют ограниченную физическую безопасность, могут применять
доступные только на чтение контроллеры домена (RODC, read- only domain controllers) для улучшения логической
безопасности.
Имеется несколько различных подходов для установки контроллеров домена, которые содержат создание нового леса
(forest) и добавление и удаление контроллеров домена из такого леса. После установки AD DS, мы потратим некоторое
время на обзор основных задач, таких как то, как настраивать сервер глобального каталога, а также передавать все
операции главной (master) роли. К концу данного раздела вы должны иметь хорошее понимание данных фундаментальных
понятий и спокойно проходить все эти этапы.
Данный раздел опишет как:
Установка нового леса
Инфраструктура AD DS строится с применением стандартизированной логической структуры. Такая архитектура позволяет
администраторам организовывать их домены и ресурсы домена в формате, который соответствует их потребностям
в ведении дел. В логической структуре Active Directory имеются четыре ключевых компоненты, которые вносят вклад
в некий лес. Они включают в себя:
- (OU, Подразделения)
применяемые для организации всех объектов в вашей инфраструктуре Active Directory. Это индивидуальные контейнеры,
которые позволяют администраторам структурировать объекты со схожими требованиями. Например, некая организация со
множеством офисов может иметь отдельные подразделения (OU) для каждого местоположения. В основе этих контейнеров
располагаются отдельные подразделения для компьютеров и пользователей. Такой формат делает возможным администратору
применять настройки групповой политики и делегировать административное управление на основе площадок. - (Домены): Некая коллекция объектов,
которая совместно использует одну общую базу данных каталога. Каждый домен действует как некое административное
ограничение для подобных связанных объектов. Отдельный домен может охватывать множество географических местоположений
и содержать миллионы объектов. - (Деревья доменов) состоят из множества
доменов. Группирующиеся в деревья домены следуют взаимоотношениям родитель ребёнок. В иерархической структуре домен
корня дерева называется родительским (parent) доменом. Объединяющиеся с родительским домены называются дочерними
(child) доменами. - (Леса) создают завершённый экземпляр
Active Directory. Каждый лес действует как ограничитель безопасности для содержащейся в рамках данного экземпляра
Active Directory содержательной информации. Лес может содержать внутри себя множество доменов и все объекты.
Чтобы начать с AD DS, мы вначале должны установить новый лес. В следующем примере, Wingtip Toys приняла
решение реализовать в своём окружении AD DS. Они применяют Windows Server 2016 для всех своих контроллеров
домена. Для данного примера вы должны быть знакомы с установкой некоторого леса при помощи Диспетчера
сервера и PowerShell.
Установка нового леса при помощи Диспетчера сервера
В данном разделе мы собираемся установить новый лес с использованием Диспетчера сервера. Для выполнения
такой установки придерживайтесь такой последовательности:
Резюме главыМысленный экспериментПродемонстрируйте в данном мысленном эксперименте свои навыки и умения, полученные в данной главе.
В следующем разделе вы можете найти ответы данного
эксперимента.Вы являетесь системным администратором в Wingtip Toys, организации с 16ю офисами по всему миру, а также
дополнительно с 45 магазинами, которые специализируются на высокопроизводительных квадрокоптерах и дронах.
Ваша команда является относительно новой организацией, наследующей некий единственный домен с 72 Контроллерами
домена. Отдельный физически записываемый Контроллер домена представлен в каждом розничном магазине, причём в
каждом из офисов имеется смесь из 1 — 2 контроллеров. Все контроллеры работают под управлением Windows Server
2008 R2, причём ему соответствует установленный уровень функционирования домена. Всё имеющееся в этих
Контроллерах домена оборудования вырабатывает свой поддерживаемый ресурс в последующие шесть месяцев. Ваша
команда корпоративных приложений также заинтересована в интеграции AD DS с их развёрнутым в общедоступную
сторону веб порталом розничных продаж. Ваш менеджер добавил некое обновление контроллера домена в общий
годовой бюджет. При подготовке к этой работе он запросил ответы на следующие вопросы:1. Имеются вопросы по ограничению физической
безопасности в каждом магазине розничной торговли. Что вы рекомендуете для расширения логической безопасности
Контроллеров домена в этих подразделениях?2. Системное сопровождение для всех розничных
магазинов может осуществляться только по прошествии часов, причём критически важно чтобы все системы
находились в рабочем состоянии перед открытием магазинов. Какие у вас имеются рекомендации по развёртыванию
таких новых контроллеров в столь ограниченных временных рамках?3. Не все основные офисы работают с состоятельным
общим числом Контроллеров домена в каждом из местоположений. Что вы посоветуете для улучшения такой
топологии?4. Какой тип установки вы рекомендуете для развёрнутого
в общедоступную сторону веб портала розничной торговли?Ответ на мысленный эксперимент1 Реализация RODC в магазинах розничной торговли поможет ограничить потенциал злонамеренной
активности в случае компрометации имеющегося локального Контроллера домена.2 Использование IFM для развёртывания таких новых контроллеров позволит вашей команде
быстро развёртывать новые серверы, а также существенно снижает перегруженность репликациями во множестве
соединений WAN.3 Для улучшения надёжности и резервирования каждый офис должен применять два Контроллера
домена. В тех офисах, которые содержат только один сервер, следует развернуть новые серверы.4 Для имеющегося веб портала установка Сервера ядра для размещения его Контроллера домена
улучшит безопасность и ограничит время простоя при накатывании исправления благодаря уменьшению общего
числа исправлений, вызванных безопасностью.
Шаг 1 — Подготовка и требования к оборудованию
Основные минимальные требования к аппаратному и программному обеспечению:
- Наличие хотя бы одного узла (аппаратного или виртуального) под управлением MS Windows Server
- 64-битный процессор с тактовой частотой не менее 1.4 Ггц
- ОЗУ не менее 512 МБ
- Системный диск не менее 40 ГБ
Тестовый стенд представляет из себя виртуальную машину под управлением MS Windows Server 2016 Standard, развернутую на сервере с ролью Hyper-V.
Шаг 2 — Установка и настройка контроллера домена
Рисунок 1 — Настройка сетевого интерфейса
Рисунок 3 — Мастер добавления ролей и компонентов. Выбор типа установки
Рисунок 4 — Мастер добавления ролей и компонентов. Выбор целевого сервера
Рисунок 5 — Мастер добавления ролей и компонентов. Выбор ролей сервера
Рисунок 6 — Мастер добавления ролей и компонентов. Выбор служб ролей или компонентов
Рисунок 7 — Мастер добавления ролей и компонентов. Подтверждение установки компонентов
Рисунок 8 — Мастер добавления ролей и компонентов. Ход установки
Рисунок 9 — Мастер настройки доменных служб Active Directory. Конфигурация
Рисунок 10 — Мастер настройки доменных служб Active Directory. Параметры контроллера домена
Рисунок 11 — Мастер настройки доменных служб Active Directory. Параметры DNS
- В следующем окне оставляем NETBIOS имя домена без изменений и нажимаем Далее.
- Указываем расположение баз данных AD DS, файлов журналов и папки SYSVOL. После выбора нажимаем Далее.
Рисунок 12 — Мастер настройки доменных служб Active Directory. Пути
Рисунок 13 — Мастер настройки доменных служб Active Directory. Проверка предварительных требований
Базовая установка и настройка контроллера домена завершена. Если вам нужна помощь по настройке Active Directory и любым ИТ-задачам, свяжитесь с нами любым удобным способом. Возможно, вашей компании требуется ИТ-обслуживание.
