Installation et configuration d'Active Directory. Qu'est-ce qu'Active Directory et comment installer et configurer la base de données. Qu'est-ce que la délégation AD

Active Directory (AD) sont des utilitaires conçus pour le système d'exploitation Microsoft Server. Il a été créé à l'origine comme un algorithme léger pour accéder aux répertoires des utilisateurs. L'intégration avec les services d'autorisation a été introduite depuis Windows Server 2008.

Vous permet d'appliquer une stratégie de groupe qui applique les mêmes paramètres et logiciels sur tous les PC contrôlés à l'aide de System Center Configuration Manager.

En termes simples pour les débutants, il s'agit d'un rôle de serveur qui vous permet de gérer tous les accès et autorisations sur le réseau local à partir d'un seul endroit

Fonctions et objectifs

Microsoft Active Directory - (le soi-disant répertoire) un ensemble d'outils qui vous permet de manipuler les utilisateurs et les données réseau. objectif principal Création - Facilite le travail des administrateurs système dans les grands réseaux.

Les répertoires contiennent diverses informations relatives aux utilisateurs, aux groupes, aux périphériques réseau, aux ressources de fichiers - en un mot, aux objets. Par exemple, les attributs utilisateur stockés dans l'annuaire doivent être les suivants: adresse, login, mot de passe, numéro de téléphone portable, etc. Le répertoire est utilisé comme points d'authentification, avec lequel vous pouvez trouver les informations nécessaires sur l'utilisateur.

Concepts de base rencontrés pendant le travail

Il existe un certain nombre de concepts spécialisés qui s'appliquent lorsque vous travaillez avec AD:

1. Le serveur est un ordinateur contenant toutes les données.
2. Contrôleur - Un serveur avec un rôle AD qui gère les demandes des personnes utilisant le domaine.
3. Un domaine AD est un ensemble d'appareils regroupés sous un nom unique qui partagent simultanément une base de données d'annuaire commune.
4. Le magasin de données est la partie de l'annuaire responsable du stockage et de la récupération des données à partir de n'importe quel contrôleur de domaine.

Comment fonctionnent les répertoires actifs

Les grands principes de travail sont:

• Autorisation, avec lequel il devient possible d'utiliser un PC sur le réseau en entrant simplement un mot de passe personnel. Dans ce cas, toutes les informations du compte sont transférées.
• Sécurité... Active Directory contient une fonctionnalité de reconnaissance des utilisateurs. Pour tout objet réseau, vous pouvez à distance, à partir d'un appareil, définir les droits nécessaires, qui dépendront des catégories et des utilisateurs spécifiques.
• L'administration du réseau d'un point. Tout en travaillant avec Active Directory, l'administrateur système n'a pas besoin de reconfigurer tous les PC si vous devez modifier les droits d'accès, par exemple, à une imprimante. Les modifications sont effectuées à distance et globalement.
• Plein intégration DNS... Avec son aide, il n'y a pas de confusion dans AD, tous les appareils sont désignés de la même manière que dans le World Wide Web.
• Grande échelle... Un ensemble de serveurs peut être contrôlé par un seul Active Directory.
• Chercher produit par divers paramètres, par exemple, nom de l'ordinateur, connexion.

Objets et attributs

Objet - un ensemble d'attributs, réunis sous son propre nom, représentant une ressource réseau.

Attribut - caractéristiques de l'objet dans le catalogue. Par exemple, ceux-ci incluent le nom complet de l'utilisateur, login. Mais les attributs d'un compte PC peuvent être le nom de cet ordinateur et sa description.

«Employé» - un objet qui a les attributs «Nom complet», «Position» et «TabN».

Conteneur LDAP et nom

Conteneur - le type d'objets qui peuvent se composent d'autres objets... Un domaine, par exemple, peut inclure des objets de compte.

Leur objectif principal est commande d'objets par types de signes. Le plus souvent, les conteneurs sont utilisés pour regrouper des objets avec les mêmes attributs.

Presque tous les conteneurs affichent une collection d'objets et les ressources sont représentées par un objet Active Directory unique. L'un des principaux types de conteneurs AD est une unité d'organisation, ou UO (unité d'organisation). Les objets placés dans ce conteneur appartiennent uniquement au domaine dans lequel ils ont été créés.

Le protocole LDAP (Lightweight Directory Access Protocol) est le principal algorithme de connexion TCP / IP. Il est conçu pour réduire la quantité de nuances lors de l'accès aux services d'annuaire. En outre, LDAP définit les actions utilisées pour interroger et modifier les données de l'annuaire.

Arbre et site

Une arborescence de domaines est une structure, une collection de domaines avec un schéma et une configuration communs qui forment un espace de noms commun et sont liés par une approbation.

Une forêt de domaine est un ensemble d'arbres liés entre eux.

Site est un ensemble de périphériques dans des sous-réseaux IP, représentant un modèle physique d'un réseau, dont la planification est effectuée quelle que soit la représentation logique de sa construction. Active Directory a la capacité de créer un n-ième nombre de sites ou de combiner le n-ième nombre de domaines sous un même site.

Installation et configuration d'Active Directory

Passons maintenant directement à la configuration d'Active Directory en utilisant Windows Server 2008 comme exemple (sur les autres versions, la procédure est identique):

Cliquez sur le bouton "OK". Il est à noter que ces valeurs sont facultatives. Vous pouvez utiliser l'adresse IP et le DNS de votre réseau.

• Ensuite, vous devez aller dans le menu "Démarrer", sélectionnez "Outils d'administration" et "".
  
• Allez dans l'élément "Rôles", sélectionnez le champ " Ajouter des rôles”.
  
• Sélectionnez «Services de domaine Active Directory», cliquez deux fois sur «Suivant», puis sur «Installer».
  
• Attendez la fin de l'installation.
  
• Ouvrez le menu Démarrer - " Exécuter». Entrez dcpromo.exe dans le champ.
  
• Cliquez sur Suivant".
  
• Sélectionner un article " Créer un nouveau domaine dans une nouvelle forêt»Et cliquez à nouveau sur« Suivant ».
  
• Dans la fenêtre suivante, entrez le nom, cliquez sur "Suivant".
  
• Choisir le mode de compatibilité (Windows Server 2008).
  
• Dans la fenêtre suivante, laissez tout par défaut.
  
• Va commencer fenêtre de configurationDNS... Puisqu'il n'a pas été utilisé sur le serveur auparavant, aucune délégation n'a été créée.
  
• Sélectionnez un répertoire pour l'installation.
  
• Après cette étape, vous devez définir mot de passe d'administration.

Pour des raisons de fiabilité, le mot de passe doit répondre aux exigences suivantes:

Une fois qu'AD a fini de configurer les composants, vous devez redémarrer le serveur.

La configuration est terminée, le composant logiciel enfichable et le rôle sont installés sur le système. Vous ne pouvez installer AD que sur Windows de la famille Server, les versions régulières, par exemple 7 ou 10, ne peuvent vous permettre d'installer que la console de gestion.

Administration dans Active Directory

Par défaut, dans Windows Server, la console Utilisateurs et ordinateurs Active Directory fonctionne avec le domaine auquel appartient l'ordinateur. Vous pouvez accéder aux objets ordinateur et utilisateur de ce domaine via l'arborescence de la console ou vous connecter à un autre contrôleur.

Les outils de la même console vous permettent de visualiser options supplémentaires objets et les rechercher, vous pouvez créer de nouveaux utilisateurs, groupes et changer d'autorisation.

Au fait, il y a 2 types de groupes dans Active Directory - sécurité et distribution. Les groupes de sécurité sont chargés de différencier les droits d'accès aux objets; ils peuvent être utilisés comme groupes de distribution.

Les groupes de distribution ne peuvent pas différencier les droits, mais sont principalement utilisés pour envoyer des messages sur le réseau.

Qu'est-ce que la délégation AD

La délégation elle-même est transfert d'une partie des permis et contrôle de l'objet parent à l'autre partie responsable.

On sait que chaque organisation a plusieurs administrateurs système à son siège. Différentes tâches doivent être attribuées à différentes épaules. Pour appliquer les modifications, vous devez disposer des droits et autorisations, qui sont divisés en standard et spécial. Spécial - s'appliquent à un objet spécifique, et la norme est un ensemble d'autorisations existantes qui rendent certaines fonctions disponibles ou indisponibles.

Établir une relation de confiance

AD a deux types de relations d'approbation: unidirectionnelle et bidirectionnelle. Dans le premier cas, un domaine fait confiance à l'autre, mais pas l'inverse, respectivement, le premier a accès aux ressources du second, et le second non. Dans le second type, la confiance est «mutuelle». Il existe également des relations «sortantes» et «entrantes». En sortant, le premier domaine fait confiance au second, permettant ainsi aux utilisateurs du second d'utiliser les ressources du premier.

Lors de l'installation, les procédures suivantes doivent être effectuées:

• Vérifier connexions réseau entre les contrôleurs.
• Vérifiez les paramètres.
• Régler résolution de noms pour les domaines externes.
• Créer un lien du côté du domaine d'approbation.
• Créez un lien à partir du contrôleur auquel la confiance est adressée.
• Vérifiez la relation unidirectionnelle créée.
• Si un il y a un besoin dans l'établissement de relations bilatérales - pour faire l'installation.

Catalogue global

Il s'agit d'un contrôleur de domaine qui conserve des copies de tous les objets de la forêt. Il donne aux utilisateurs et aux programmes la possibilité de rechercher des objets dans n'importe quel domaine de la forêt actuelle en utilisant découvreurs d'attributsinclus dans le catalogue global.

Le catalogue global (GC) comprend un ensemble limité d'attributs pour chaque objet de forêt dans chaque domaine. Il récupère les données de toutes les partitions de l'annuaire de domaine dans la forêt et les copie à l'aide du processus de réplication Active Directory standard.

Le schéma détermine si l'attribut est copié. Il y a une possibilité configuration de fonctionnalités supplémentairesqui sera recréé dans le catalogue global à l'aide du «schéma Active Directory». Pour ajouter un attribut au catalogue global, sélectionnez l'attribut de réplication et utilisez l'option «Copier». Cela créera une réplication de l'attribut dans le catalogue global. Valeur du paramètre d'attribut isMemberOfPartialAttributeSet deviendra vrai.

À découvrir l'emplacement catalogue global, vous devez entrer dans la ligne de commande:

Serveur Dsquery –isgc

Répliquer des données dans Active Directory

La réplication est une procédure de copie qui est effectuée lorsqu'il est nécessaire de stocker les mêmes informations à jour qui existent sur n'importe quel contrôleur.

Il est produit sans participation de l'opérateur... Il existe ces types de contenu de réplique:

• Les réplicas de données sont créés à partir de tous les domaines existants.
• Répliques de schéma de données. Le schéma de données étant le même pour tous les objets de la forêt Active Directory, ses réplicas sont conservés dans tous les domaines.
• Données de configuration. Affiche des copies de construction parmi les contrôleurs. Les informations s'appliquent à tous les domaines de la forêt.

Les principaux types de répliques sont intrasites et intersites.

Dans le premier cas, après les modifications, le système attend, puis informe le partenaire de la création d'une réplique pour terminer les modifications. Même en l'absence de modifications, le processus de réplication se produit automatiquement après une certaine période de temps. La réplication se produit immédiatement après l'application des modifications de l'annuaire.

Procédure de réplication entre les nœuds se passe entre charge réseau minimale, cela évite la perte d'informations.

La configuration d'Active Directory est un processus assez simple et est pris en compte sur de nombreuses ressources sur Internet, y compris les ressources officielles. Néanmoins, sur mon blog, je ne peux m'empêcher d'évoquer ce point, car la plupart des autres articles seront en quelque sorte basés sur l'environnement, que je prévois de mettre en place tout à l'heure.

Si vous êtes intéressé par les sujets Windows Server, je vous recommande de vous référer à la balise sur mon blog. Je vous recommande également de lire l'article principal sur Active Directory -

Je prévois de déployer le rôle AD sur deux serveurs virtuels (futurs contrôleurs de domaine) à tour de rôle.

1. La première étape consiste à définir le noms de serveur, pour moi ce sera DC01 et DC02;
2. Inscription suivante paramètres réseau statiques (Je vais examiner ce moment en détail ci-dessous);
3. Installer toutes les mises à jour du système, en particulier les mises à jour de sécurité (ceci est plus important pour CD que pour tout autre rôle).

À ce stade, vous devez décider quel nom de domaine aurez-vous... Ceci est extrêmement important, car changer ultérieurement le nom de domaine sera un très gros problème pour vous, bien que le script de changement de nom soit officiellement pris en charge et implémenté depuis longtemps.

Remarque:n vous pouvez trouver des raisonnements, ainsi que de nombreux liens vers du matériel utile dans mon article. Je vous recommande de vous familiariser avec lui, ainsi qu'avec une liste des sources utilisées.

Étant donné que j'utiliserai des contrôleurs de domaine virtualisés, il est nécessaire de modifier certains paramètres des machines virtuelles, à savoir désactiver la synchronisation de l'heure avec l'hyperviseur... L'heure dans AD doit être synchronisée exclusivement à partir de sources externes. Les paramètres activés de synchronisation de l'heure avec l'hyperviseur peuvent entraîner une synchronisation cyclique et, par conséquent, des problèmes avec le fonctionnement de l'ensemble du domaine.

Remarque: la désactivation de la synchronisation avec l'hôte de virtualisation est l'option la plus simple et la plus rapide. Cependant, ce n'est pas la meilleure pratique. Microsoft recommande de ne désactiver que partiellement la synchronisation des hôtes. Pour comprendre comment cela fonctionne, lisez la documentation officielle, qui a considérablement augmenté le niveau de présentation ces dernières années. .

En général, l'approche même de l'administration des contrôleurs de domaine virtualisés diffère en raison de certaines des fonctionnalités d'AD DS:

Les environnements virtuels sont particulièrement difficiles pour les flux de travail distribués qui reposent sur une réplication logique au fil du temps. Par exemple, la réplication AD DS utilise une valeur uniformément croissante (appelée USN ou numéro de mise à jour série) qui est attribuée aux transactions sur chaque contrôleur de domaine. Chaque instance de base de données de contrôleur de domaine reçoit également un identificateur appelé InvocationID. L'InvocationID d'un contrôleur de domaine et son numéro de séquence de roulement servent ensemble d'identificateur unique associé à chaque transaction d'écriture qui s'exécute sur chaque contrôleur de domaine et doit être unique dans la forêt.

Ceci termine les principales étapes de préparation de l'environnement, nous passons à l'étape d'installation.

Installer Active Directory

L'installation se fait via Server Manager et il n'y a rien de compliqué, vous pouvez voir en détail toutes les étapes d'installation ci-dessous:

Le processus d'installation lui-même a subi quelques modifications par rapport aux versions précédentes du système d'exploitation:

Le déploiement des services de domaine Active Directory (AD DS) dans Windows Server 2012 est plus simple et plus rapide que les versions précédentes de Windows Server. L'installation d'AD DS est désormais basée sur Windows PowerShell et intégrée au Gestionnaire de serveur. Le nombre d'étapes requises pour intégrer les contrôleurs de domaine dans un environnement Active Directory existant a été réduit.

Seul le rôle doit être sélectionné Services de domaine Active Directory, aucun composant supplémentaire ne doit être installé. Le processus d'installation prend peu de temps et vous pouvez passer directement à la configuration.

Lorsque le rôle est installé, vous verrez un point d'exclamation dans le coin supérieur droit du Gestionnaire de serveur - vous devez configurer après le déploiement. Pousser Promouvoir ce serveur en contrôleur de domaine.

Promotion du serveur en contrôleur de domaine

Les étapes de l'assistant sont décrites en détail dans la documentation. Cependant, passons en revue les principales étapes.

Puisque nous déployons AD à partir de zéro, nous devons ajouter une nouvelle forêt. Veillez à stocker en toute sécurité le mot de passe du mode de restauration des services d'annuaire (DSRM). L'emplacement de la base de données AD DS peut être laissé à l'emplacement par défaut (ce qui est recommandé, mais pour une modification, j'ai spécifié un répertoire différent dans mon environnement de test).

Nous attendons l'installation.

Le serveur redémarrera alors de lui-même.

Créer des comptes d'administrateur de domaine / entreprise

Vous devrez vous connecter sous le compte administrateur local, comme auparavant. Aller au snap Utilisateurs et ordinateurs Active Directory, créez les comptes requis - à ce stade, il s'agit de l'administrateur du domaine.

Configuration du DNS sur un seul contrôleur de domaine dans le domaine

Lors de l'installation d'AD, le rôle AD DNS a également été installé, car je n'avais aucun autre serveur DNS dans l'infrastructure. Pour que le service fonctionne correctement, vous devez modifier certains paramètres. Vous devez d'abord vérifier vos serveurs DNS préférés dans les paramètres de votre carte réseau. Vous devez utiliser un seul serveur DNS avec l'adresse 127.0.0.1. Oui, c'est localhost. Par défaut, il doit s'enregistrer.

Après vous être assuré que les paramètres sont corrects, ouvrez le composant logiciel enfichable DNS. Faites un clic droit sur le nom du serveur et ouvrez ses propriétés, allez dans l'onglet "Forwarder". L'adresse du serveur DNS qui a été spécifiée dans les paramètres réseau avant l'installation du rôle AD DS a été automatiquement enregistrée en tant que seul redirecteur:

Il est nécessaire de le supprimer et d'en créer un nouveau, et il est hautement souhaitable que ce soit le serveur du fournisseur, mais pas une adresse publique comme les bien connus 8.8.8.8 et 8.8.4.4. Pour la tolérance aux pannes, enregistrez au moins deux serveurs. Ne décochez pas la case pour utiliser les indications de racine s'il n'y a pas de redirecteurs disponibles. Les liens racine sont un pool bien connu de serveurs DNS de premier niveau.

Ajout d'un deuxième contrôleur de domaine au domaine

Depuis que j'ai parlé à l'origine d'avoir deux contrôleurs de domaine, il est temps de commencer à en configurer un second. Nous passons également par l'assistant d'installation, élevons le rôle à un contrôleur de domaine, sélectionnez simplement Ajouter un contrôleur de domaine à un domaine existant:

Veuillez noter que dans les paramètres réseau de ce serveur, le Le premier contrôleur de domaine configuré précédemment doit être sélectionné comme serveur DNS! Ceci est obligatoire, sinon vous obtiendrez une erreur.

Une fois les paramètres nécessaires définis, connectez-vous au serveur sous le compte d'administrateur de domaine créé précédemment.

Configuration du DNS sur plusieurs contrôleurs de domaine dans un domaine

Pour éviter les problèmes de réplication, vous devez modifier à nouveau les paramètres réseau et cela doit être fait sur chaque contrôleur de domaine (et sur les contrôleurs précédemment existants également) et chaque fois qu'un nouveau contrôleur de domaine est ajouté:

Si vous avez plus de trois contrôleurs de domaine dans un domaine, vous devez enregistrer les serveurs DNS via des paramètres supplémentaires dans cet ordre. Vous pouvez en savoir plus sur DNS dans mon article.

Réglage de l'heure

Cette étape est indispensable, surtout si vous mettez en place un véritable environnement de production. Comme vous vous en souvenez, auparavant, j'ai désactivé la synchronisation de l'heure via l'hyperviseur et je dois maintenant la configurer correctement. Le contrôleur avec le rôle d'émulateur FSMO PDC est responsable de la distribution de l'heure correcte à l'ensemble du domaine (savez-vous ce qu'est ce rôle? Lisez l'article). Dans mon cas, il s'agit bien sûr du premier contrôleur de domaine, qui est le transporteur natif de tous les rôles FSMO.

Nous allons configurer l'heure sur les contrôleurs de domaine à l'aide de stratégies de groupe. Pour rappel, les comptes d'ordinateurs du contrôleur de domaine se trouvent dans un conteneur distinct et disposent d'une stratégie de groupe par défaut distincte. Il n'est pas nécessaire d'apporter des modifications à cette politique, il est préférable d'en créer une nouvelle.

Nommez-le comme bon vous semble et comment l'objet sera créé, faites un clic droit - Éditer... Aller à Configuration ordinateur \\ Stratégies \\ Modèles d'administration \\ Système \\ Service de temps Windows \\ Fournisseurs de temps... Activation des politiques Activer le client NTP Windows et Activer le serveur NTP Windows, accédez aux propriétés de la politique Configurer le client NTP Windows et définissez le type de protocole - NTP, ne touchez pas au reste des paramètres:

Nous attendons que les politiques soient appliquées (cela m'a pris environ 5 à 8 minutes, malgré l'exécution de gpupdate / force et quelques redémarrages), après quoi nous obtenons:

En général, il est nécessaire de s'assurer que seul l'émulateur PDC synchronise l'heure à partir de sources externes, et non tous les contrôleurs de domaine dans une ligne, mais il en sera ainsi, car la stratégie de groupe est appliquée à tous les objets du conteneur. Il est nécessaire de le recibler vers un objet spécifique du compte d'ordinateur qui possède le rôle d'émulateur PDC. Cela se fait également via les stratégies de groupe - dans la console gpmc.msc, cliquez avec le bouton gauche sur la stratégie souhaitée et ses paramètres apparaîtront sur la droite. Dans les filtres de sécurité, ajoutez le compte du contrôleur de domaine requis:

En savoir plus sur le fonctionnement du service de temps et comment le configurer dans la documentation officielle.

Ceci termine la configuration de l'heure et avec elle la configuration initiale d'Active Directory.

Windows Server 2016 propose de nouvelles fonctionnalités assez intéressantes telles que l'appartenance temporaire au groupe AD, la gestion des accès privilégiés, etc. J'essaierai de les décrire plus en détail dans les articles suivants. Dans cet article, je vais vous montrer comment installer un domaine Active Directory dans Windows Server 2016. Pour installer AD, le serveur doit répondre aux exigences minimales suivantes:

CPU:

• Processeur 64 bits avec une fréquence d'au moins 1,4 GHz
• prise en charge de NX, DEP, CMPXCHG16b, LAHF / SAHF, PrefetchW, traduction d'adresse de deuxième niveau (EPT ou NPT)

Mémoire

• au moins 512 Mo (pour les éditions Server Core et Nano), 2 Go pour la version Windows Server avec interface graphique
• eCC (Error Correcting Code) ou prise en charge analogique

Exigences relatives au contrôleur de disque et au site:

Le contrôleur de disque pour l'installation de Windows Server 2016 doit être compatible PCI Express. Windows Server 2016 n'autorise pas l'utilisation de lecteurs ATA / PATA / IDE / EIDE pour le démarrage, le stockage de fichiers d'échange ou les lecteurs de données

Taille de partition minimale par système: 32 Go

Adaptateur de réseau:

• adaptateur réseau Ethernet avec une bande passante d'au moins 1 Gb / s
• Conforme à l'architecture PCI Express
• prise en charge PXE (-boot Execution Environment)
• La prise en charge du débogage réseau (KDNet) est souhaitable (mais pas obligatoire)

Dans cet exemple, j'utilise une machine virtuelle s'exécutant sur un serveur VMWare ESXi, sur lequel Windows Server 2016 est installé.

1) Connectez-vous au serveur en tant qu'administrateurs locaux. En plus du rôle, le service sera également installé sur le serveur DNS... Modifions les paramètres de l'interface réseau, en spécifiant la propre adresse IP du serveur ou 127.0.0.1 comme serveur DNS principal.

2) Ouvrez ensuite le Gestionnaire de serveur en cliquant sur l'icône correspondante ou en exécutant une commande dans la console PowerShell.

3) Dans la fenêtre Gestionnaire de serveur, cliquez sur

4) Dans la fenêtre de l'assistant d'ajout de rôles et de fonctionnalités, cliquez sur Prochain.

5) Dans la fenêtre suivante, cliquez sur Prochain

6) Parce que l'installation est effectuée sur un serveur local, dans la fenêtre suivante, laissez le commutateur dans sa position d'origine et cliquez sur Suivant

7) Dans la fenêtre suivante, dans la liste des rôles, sélectionnez Services de domaine Active Directory... La fenêtre qui s'ouvre affichera une liste des composants associés qui doivent être installés avec le rôle ADDS. Cliquez sur le bouton Ajouter des fonctionnalités, puis Prochain.

8) Les composants nécessaires à l'installation doivent déjà être indiqués dans la liste des composants. Cliquer sur Prochain.

9) La fenêtre suivante contient une petite description du rôle AD DS... Cliquez sur Suivant.

10) Consultez la liste des rôles et fonctionnalités sélectionnés pour l'installation. Appuyez sur le bouton pour démarrer l'installation. Installer.

11) L'écran affichera l'état actuel du processus d'installation

12) Après avoir terminé l'installation, cliquez sur le lien

13) Exécutez l'assistant de configuration Active Directory. Dans mon cas, je mets en place une nouvelle forêt AD. Si vous ajoutez un contrôleur de domaine supplémentaire à un domaine existant, sélectionnez l'option appropriée. Je choisis l'option Ajouter une nouvelle forêt et indiquez le FQDN du nom de domaine (test.net).

14) Dans la fenêtre suivante, vous devez spécifier le niveau fonctionnel du domaine et de la forêt AD. J'ai sélectionné la dernière version du schéma AD - Windows Server 2016... En outre, ce serveur agira comme un serveur DNS et sera le catalogue global. Vous devez également spécifier le mot de passe administrateur pour passer en mode DSRM.

15) Parce que mon serveur sera le premier serveur DNS de la forêt, pas besoin de configurer la délégation DNS. Alors appuyez simplement sur Prochain.

16) Le nom de domaine NETBIOS restera inchangé (TEST)

17) Sur l'écran suivant, vous devez spécifier le chemin d'accès aux répertoires NTDS, SYSVOL et JOURNAL... Nous laisserons tous les chemins par défaut, en supposant que tous les dossiers seront stockés dans le répertoire du lecteur système C: \\ Windows.

18) Sur l'écran suivant, vous pouvez voir la liste des paramètres sélectionnés. Si tout va bien, cliquez sur Suivant, sinon, revenez en arrière et apportez des modifications.

20) Le processus d'installation du contrôleur de domaine démarre

21) Une fois l'installation terminée, le serveur redémarrera automatiquement. Connectez-vous au serveur en tant qu'administrateur de domaine.

22) Une fois connecté, démarrez une session PowerShell privilégiée et exécutez la commande. La fenêtre Centre d'administration Active Directory s'ouvre. Vous pouvez commencer à gérer les ressources du domaine

23) À l'aide des commandes suivantes, vous pouvez connaître le niveau fonctionnel actuel des commandes de domaine et de forêt Get-ADDomain | fl Nom, DomainMode et Get-ADForest | fl Nom, ForestMode

• Didacticiel

Bonjour à tous. Je voudrais parler de l'installation et de la configuration de Windows Server 2012 R2 Essentials. Cet article n'est pas un appel pour Windows partout ou un plaidoyer pour les produits Microsoft. Je voudrais juste vous parler d'un produit intéressant et peut-être que quelqu'un sera intéressé par ce produit et sera utile dans son travail. J'ai essayé d'écrire l'article pour un lecteur non préparé, il y a donc un minimum de terminologie et un maximum de généralisation de certains concepts.

Un peu sur l'édition Essentials

Windows Server 2012 R2 Essentials est l'une des éditions du système d'exploitation serveur de Microsoft. Cependant, il présente de nombreuses différences par rapport aux éditions Standard et Datacenter. Ce que Essentials peut faire:

1. Autorisation et authentification des utilisateurs sur votre réseau (contrôleur de domaine Active Directory)
2. Stockage de fichiers (rôle de serveur de fichiers)
3. Accès à distance au réseau d'entreprise (VPN et serveur DirectAccess)
4. Accès à distance au stockage de fichiers via l'interface Web (configuré pour cet IIS)
5. Accès à distance aux postes de travail des machines clientes (Remote Desktop Gateway)
6. Sauvegarde des machines clientes (sauvegarde Windows)
7. Sauvegarde du serveur lui-même (sauvegarde Windows)
8. Intégration avec les technologies cloud Microsoft (Office 365, sauvegarde Azure, etc.)
9. Console de configuration unifiée Essentials, qui vous permettra de configurer les capacités décrites ci-dessus même pour un administrateur système inexpérimenté.

Pour résumer, l'édition Essentials a la plupart des rôles Windows Server. Certains de ces rôles sont configurés, certains sont entièrement disponibles, certains comme Hyper-V avec des limitations sévères. La compensation pour toutes ces limitations est le prix le plus bas, comprenant 25 CAL, une configuration centralisée et facile. Je tiens également à souligner que le processus d'octroi de licences est très différent. Vous ne pouvez utiliser cette édition que pour les organisations où le nombre d'utilisateurs ne dépasse pas 25. Mais là encore, vous n'avez pas besoin d'acheter de licence client.
Ainsi, Essentials convient parfaitement aux petites organisations qui souhaitent utiliser les solutions les plus modernes pour la sécurité des réseaux d'entreprise, le stockage de documents, l'accès à distance, peut-être les systèmes de messagerie. Pour les organisations qui ne veulent pas dépenser beaucoup d'argent à la fois pour l'infrastructure informatique elle-même et pour le travail d'administrateurs système hautement qualifiés.

Installation et configuration initiale

L'installation de ce système d'exploitation est une procédure assez standard. Si vous avez installé Windows Vista /7/8/8.1 au moins une fois, vous pouvez installer Essentials sans aucun problème. Cependant, si vous n'avez installé aucun des systèmes d'exploitation ci-dessus ou l'une des dernières versions des systèmes d'exploitation serveur, je vous recommande de faire confiance à un professionnel ou au moins à un étudiant en deuxième année.
La seule chose que je recommanderais au moment de l'installation, si vous avez un disque dur, est de le diviser en deux partitions. Ceux. assurez-vous qu'après l'installation, le système dispose d'un deuxième disque dur déjà formaté. Bien sûr, ce n'est qu'une recommandation, vous pouvez préparer le deuxième disque à l'avenir, mais vous devrez transférer certains dossiers.
Après la première connexion au système d'exploitation nouvellement installé, l'assistant «Configurer Windows Server Essentials» démarre, qui vous guide tout au long de la configuration initiale.

Dans la première étape, vous devez configurer les paramètres de date et d'heure.

Dans la deuxième étape, vous devez renseigner le nom de l'entreprise en anglais. Le nom de domaine et le nom du serveur seront générés automatiquement dans ce cas, bien que vous puissiez bien sûr les modifier.

À l'étape suivante, vous devez remplir le nom de l'administrateur et définir son mot de passe.

À la dernière étape, vous devez spécifier la méthode de mise à jour du système d'exploitation et cliquer sur configurer

Après cela, un processus démarrera qui effectuera tous les réglages initiaux nécessaires. Cela prendra environ 30 minutes et nécessitera plusieurs redémarrages. Pendant ce temps, le système d'exploitation aura le temps, en particulier, d'installer les rôles nécessaires et de configurer le serveur en tant que contrôleur de domaine pour le nouveau domaine.

Personnalisation

Le produit est très volumineux et étendu, je voudrais parler des options de configuration les plus basiques, telles que la création d'utilisateurs, la configuration de l'accès à distance, la création de dossiers, la connexion de clients.
Toute la configuration a lieu dans le tableau de bord, vous pouvez y accéder depuis le bureau, le panneau de lancement rapide et l'écran de démarrage.

Création d'utilisateur

Lorsque vous démarrez ce panneau pour la première fois, l'onglet d'installation s'affiche, dans lequel vous pouvez effectuer un certain nombre de tâches de configuration du serveur.
Je vais commencer par ajouter des utilisateurs. Nous cliquons sur le lien pour ajouter des comptes.

Nous sélectionnons le niveau d'accès aux dossiers partagés qui ont été créés. Au stade initial, il n’y en a qu’une - l’Organisation. À l'avenir, vous pourrez modifier les autorisations d'accès à partir des propriétés de l'utilisateur et des propriétés du dossier.

Le compte a été créé. Nous pressons fermer.

De nombreux comptes peuvent être créés de cette manière. Bien sûr, vous pouvez utiliser à la fois l'interface familière et familière des utilisateurs et ordinateurs Active Directory, mais dans ce cas, vous devrez émettre des autorisations avec des stylos.

Ajout de dossiers de serveur

Pour ajouter des dossiers, il existe un autre assistant qui vous aidera à créer un dossier sur le disque, à le configurer pour le partage et à émettre des autorisations. Pour le lancer, vous devez cliquer sur le lien correspondant dans le tableau de bord.

Dans la fenêtre de l'assistant qui s'ouvre, entrez le nom. Vous pouvez modifier l'emplacement et ajouter une description. Cliquez sur suivant.

Sur la page suivante, nous indiquons les autorisations requises. Si nécessaire, nous le rendons indisponible pour l'accès à distance.

À partir de la dernière étape de cet assistant, vous pouvez démarrer l'assistant de configuration de sauvegarde. Cliquez sur fermer.

Configurer l'accès à distance

L'une des étapes les plus difficiles de la configuration de Windows Server 2012R2 Essentials. La configuration se fait également à l'aide de l'assistant. L'assistant est traditionnellement lancé depuis le tableau de bord.

La première chose que vous devez configurer est votre routeur - l'assistant vous en informe. En fait, vous devez configurer la redirection de port sur votre routeur. Pour ce faire, le routeur doit avoir une adresse IP «blanche». Et sur le serveur lui-même, il est préférable de configurer une adresse IP statique. Vous devez rediriger les ports suivants 80, 443, 1723, 987 vers l'adresse IP de votre serveur. En général, la procédure de configuration peut être effectuée par l'assistant lui-même, si votre routeur prend en charge UPnP. J'ai fait des ajustements avec des stylos, j'ai donc sauté cette étape.

Cela ouvrira un nouvel assistant pour configurer un nom de domaine. Cliquez sur suivant.

L'assistant vous invite à saisir un nom de domaine externe ou à en créer un nouveau. Pour votre propre domaine, vous avez besoin d'un certificat, alors considérons ici l'option de configuration à l'aide d'un domaine Microsoft. Choisissez un autre nom de domaine et cliquez sur suivant.

Considérez l'option avec un domaine Microsoft.

Entrez le nom de domaine et vérifiez la disponibilité, cliquez sur configurer.

Bien réglé avec le nom de domaine. Nous continuons - plus loin.

Nous choisissons les fonctionnalités qui seront disponibles.

Nous choisissons si l'accès à distance sera disponible pour les utilisateurs actuels.

Eh bien, c'est tout ce que vous pouvez essayer d'aller sur le site wiseguy.remoteweaccess.com.

Depuis ce site Web, il est possible d'accéder aux dossiers partagés et d'accéder aux bureaux des utilisateurs.

Connexion des postes de travail

Si nous ouvrons le tableau de bord cette fois et allons sur la page de connexion des ordinateurs, nous n'y verrons que des instructions pour l'action

En suivant les instructions sur le client dans le navigateur, ouvrez la page http: //<Имя сервера>/ relier. Cliquez sur le lien de téléchargement.

Nous choisissons d'exécuter.

Nous acceptons la licence et attendons.

Entrez le nom d'utilisateur et le mot de passe de l'utilisateur de cet ordinateur ou de l'administrateur. J'ai entré le compte utilisateur.

Nous redémarrons le serveur.

Nous choisissons qui utilisera l'ordinateur.

Entrez une description de l'ordinateur.

Options d'archivage.

Hourra! Terminé.

Nous allons à l'ordinateur sous un compte utilisateur.

Tu peux travailler. Le bureau dispose déjà de tous les raccourcis nécessaires.

Post Scriptum

Windows Server 2012R2 Essentials n'est certainement pas une panacée. Une grande partie est automatisée, mais pas tout. Cependant, pour les petites organisations, c'est une solution intéressante et doit être envisagée. Dans cet article, je n'ai couvert que les paramètres essentiels les plus basiques. Si vous souhaitez connaître le produit un peu plus près, vous pouvez regarder mes reportages vidéo sur le site Techdays.ru.

Aperçu de Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7351.html - ici, vous pouvez examiner attentivement le processus d'installation d'Essentials.

Paramètre Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7370.html - a envisagé de configurer toutes les fonctionnalités, montrant la configuration de l'accès à distance pour votre domaine.

Intégration de Windows Server 2012 R2 Essentials Office 365: www.techdays.ru/videos/7380.html - intégration avec le bureau cloud de Microsoft.

Cet article fournit des instructions détaillées étape par étape pour installer et configurer à partir de zéro le rôle Active Directory basé sur Windows Server 2012. Les instructions seront basées sur l'édition anglaise. Parfois, les noms des paramètres et des commandes seront similaires à l'édition russe de Windows Server 2012.

Formation

Avant de configurer le rôle Active Directory, vous devez configurer Windows Server 2012 - définir adresse IP statique et renommer ordinateur.

Pour définir une adresse IP statique, vous devez cliquer avec le bouton droit de la souris sur l'icône Réseau dans la barre des tâches et sélectionner Ouvrir le centre de partage en réseau -> Changer les paramètres d'adaptation... Sélectionnez un adaptateur qui regarde le réseau interne. Propriétés -\u003e Internet Protocol Version 4 (TCP / IPv4) et définissez une adresse IP similaire à celle montrée dans l'image.

192.168.0.11 - Adresse IP du serveur actuel - le premier contrôleur de domaine.

192.168.0.254 - adresse IP de la passerelle.

Vous devez maintenant renommer le nom du serveur et le redémarrer. Démarrer -\u003e Système -\u003e Modifier les paramètres -\u003e Nom de l'ordinateur -\u003e Modifier. Entrez le nom de l'ordinateur. Dans l'exemple, le serveur sera nommé DC1.

Installation du rôle Active Directory sur Windows Server 2012

Ainsi, après avoir préconfiguré le serveur, passons à l'installation du rôle de service d'annuaire.

Démarrer -\u003e Gestionnaire de serveur (Démarrer -\u003e Gestionnaire de serveur).

Ajouter des rôles et des fonctionnalités -\u003e Suivant

Choisir Installation basée sur les rôles ou les fonctionnalités (Installation des rôles et des fonctionnalités) -\u003e Suivant

Sélectionnez le serveur sur lequel le rôle AD est installé et cliquez sur Suivant. Sélectionnez un serveur dans le pool de serveurs -\u003e Suivant

Choisir un rôle Services de domaine Active Directory (Services de domaine Active Directory), après quoi une fenêtre apparaît vous demandant d'ajouter les rôles et les fonctionnalités requis pour installer le rôle AD. Cliquez sur le bouton Ajouter des fonctionnalités.

Vous pouvez également sélectionner le rôle de serveur DNS. Si vous oubliez de cocher la case pour ajouter le rôle de serveur DNS, vous n'avez pas à vous inquiéter trop, car il peut être ajouté plus tard lors de l'étape de configuration du rôle AD.

Après cela, appuyez à chaque fois sur le bouton Suivant et définissez le rôle.

Configuration des services de domaine Active Directory

Après avoir installé le rôle, fermez la fenêtre - Fermer. Vous devez maintenant passer à la configuration du rôle AD.

Dans la fenêtre Gestionnaire de serveur, cliquez sur l'icône d'indicateur de notification et cliquez sur Promouvoir ce serveur en contrôleur de domaine (Promouvez ce serveur vers un contrôleur de domaine) sur la plaque de configuration post-déploiment.

Choisir Ajouter une nouvelle forêt (Ajouter une nouvelle forêt), entrez le nom de domaine et cliquez sur Suivant.

Vous pouvez choisir la compatibilité entre le niveau fonctionnel de la forêt et le domaine racine. Windows Server 2012 est installé par défaut.

Sur cet onglet, vous pouvez désactiver le rôle de serveur DNS. Mais, dans notre cas, nous laissons une coche.

À l'étape suivante, l'assistant avertit qu'aucune délégation n'a été créée pour ce serveur DNS ( Une délégation pour ce serveur DNS ne peut pas être créée car la zone parent faisant autorité est introuvable ou elle n'exécute pas le serveur DNS Windows. Sinon, aucune action n'est requise.).

Cliquez sur Suivant.

À l'étape suivante, vous pouvez modifier le nom NetBIOS qui a été attribué au domaine. Nous ne ferons pas cela. Cliquez simplement sur Suivant.

À l'étape suivante, vous pouvez modifier les chemins d'accès aux répertoires de base de données AD DS (services de domaine Active Directory), aux fichiers journaux et au dossier SYSVOL. Nous ne changerons rien. Cliquez sur le bouton Suivant.

L'étape suivante affiche un résumé de la configuration. En cliquant sur le bouton Afficher le script, vous pouvez afficher le script Powershell qui configurera les services de domaine Active Directory.

# Script Windows PowerShell pour le déploiement AD DS

Import-Module ADDSDeployment Install-ADDSForest `-CreateDnsDelegation: $ false` -DatabasePath" C: \\ Windows \\ NTDS "` -DomainMode "Win2012" "-DomainName" site "` -DomainNetbiosName "ITME" InstallDns: $ true `-LogPath" C: \\ Windows \\ NTDS "` -NoRebootOnCompletion: $ false `-SysvolPath" C: \\ Windows \\ SYSVOL "` -Force: $ true

Après vous être assuré que tout est correct, cliquez sur le bouton Suivant.

L'étape suivante consiste à vérifier si toutes les conditions préalables sont remplies. Ensuite, il nous montrera un rapport. L'un des prérequis est un mot de passe administrateur local défini. Tout en bas, vous pouvez lire un avertissement qu'après avoir appuyé sur le bouton Installer, le niveau du serveur sera élevé à un contrôleur de domaine et un redémarrage automatique sera effectué.

Une inscription devrait apparaître Toutes les vérifications des prérequis sont réussies. Cliquez sur "installer" pour commencer l'installation.

Cliquez sur le bouton Installer.

Après avoir terminé tous les paramètres, le serveur redémarrera et vous effectuerez la première entrée de l'ordinateur dans votre domaine. Pour ce faire, vous devez entrer le login et le mot de passe de l'administrateur du domaine.

Ceci termine la configuration de base d'Active Directory. Bien sûr, il reste encore beaucoup de travail à faire pour créer des divisions, créer de nouveaux utilisateurs, mettre en place des politiques de sécurité de groupe, ...

Informations complémentaires sur l'article

Au revoir dcpromo, bonjour Powershell

Tout le monde sait déjà d'après les annonces que l'utilitaire dcpromo est obsolète. Si vous exécutez dcpromo sur la ligne de commande, une fenêtre d'avertissement apparaît, vous invitant à utiliser le Gestionnaire de serveur.

L'Assistant d'installation des services Active Directory est déplacé dans le Gestionnaire de serveur.

Cependant, cette commande peut être utilisée en spécifiant le paramètre de configuration automatique - dcpromo / sans assistance... Lorsque le serveur fonctionne en mode Core, il n'y aura pas d'avertissement et des informations sur l'utilisation de l'utilitaire dcpromo apparaîtront sur la ligne de commande.

Tous ces changements sont dus au fait que dans Windows Server 2012, ils ont mis l'accent sur l'administration en utilisant Powershell.

Composants liés à Active Directory supprimés de Windows Server 2012

Services de fédération Active Directory (AD FS)

• Les applications utilisant des agents Web "NT Token Mode" ne sont plus prises en charge. Ces applications doivent être portées vers Windows Identity Foundation et utiliser le service Revendications to Windows Token pour convertir l'UPN d'un jeton SAML en jeton Windows à utiliser dans l'application.
• Les groupes de ressources ne sont plus pris en charge (pour une description des groupes de ressources, voir http://technet.microsoft.com/library/cc753670(WS.10).aspx)
• La possibilité d'utiliser les services Active Directory Lightweight Directory (AD LDS) comme référentiel pour les résultats d'authentification n'est plus prise en charge.
• Nécessite la migration vers AD FS sur Windows Server 2012. La mise à niveau sur place à partir d'AD FS 1.0 ou de la version «standard» d'AD FS 2.0 n'est pas prise en charge.