Installazione e installazione di Active Directory. Cos'è Active Directory e come installare e configurare il database. Qual è l'annuncio della delegazione

Active Directory (AD) è stato sviluppato i programmi di servizio per sistema operativo Microsoft Server.. Originariamente è stato creato come un leggero algoritmo di accesso alle directory degli utenti. A PARTIRE DAL versione Windows Server 2008 ha l'integrazione con i servizi di autorizzazione.

Consente di seguire il criterio del Gruppo utilizzando lo stesso tipo di parametri e su tutti i PC controllati utilizzando System Center Configuration Manager.

Se un parole semplici Per i principianti - questo è il ruolo del server che consente di gestire tutti gli accessi e le autorizzazioni sulla rete locale da un luogo.

Funzioni e scopo

Microsoft Active Directory - (cosiddetto directory) Pacchetto di fondi per effettuare manipolazioni con utenti e dati di rete. l'obiettivo principale Creare - lavoro di soccorso amministratori di sistema In reti estese.

I cataloghi contengono diverse informazioni relative agli utenti, ai gruppi, ai dispositivi di rete, alle risorse dei file - in una parola, oggetti. Ad esempio, gli attributi utente memorizzati nella directory devono essere i seguenti: indirizzo, login, password, numero cellulare eccetera. La directory è utilizzata come punti di autenticazioneCon il quale è possibile scoprire le informazioni desiderate sull'utente.

Concetti di base che si verificano durante il lavoro

Ci sono un certo numero di concetti specializzati che vengono utilizzati quando si lavora con l'annuncio:

1. Il server è un computer contenente tutti i dati.
2. Il controller è un server con il ruolo dell'annuncio, che elabora le richieste da persone che utilizzano un dominio.
3. Domain AD è un set di dispositivi unito sotto un nome univoco che utilizzano simultaneamente il database della directory comune.
4. Data Warehouse fa parte della directory responsabile della memorizzazione ed estrazione dei dati da qualsiasi controller di dominio.

Come lavorare Active Directory

I principi di base del lavoro sono:

• AutorizzazioneCon cui la possibilità di utilizzare un PC sulla rete semplicemente inserendo una password personale. Allo stesso tempo, tutte le informazioni del conto sono posticipate.
• Sicurezza. Active Directory contiene funzioni di riconoscimento degli utenti. Per qualsiasi oggetto di rete, è possibile remoto, da un unico dispositivo, mettere i diritti giusti che dipenderanno dalle categorie e dalle specifiche utenti.
• Amministrazione della rete Da un punto. Durante il lavoro con il regista Asset, Sisadmin non ha bisogno di ri-configurare l'intero PC se è necessario modificare i diritti di accesso, ad esempio, alla stampante. Le modifiche vengono eseguite da remoto e globalmente.
• Pieno integrazione con DNS.. Con il suo aiuto, la confusione non si verifica nell'annuncio, tutti i dispositivi sono indicati nello stesso modo del Web in tutto il mondo.
• Grande scala. Il set di server è in grado di monitorare una directory attiva.
• Ricerca Viene eseguito in base a vari parametri, come il nome del computer, il login.

Oggetti e attributi

L'oggetto è un insieme di attributi unito sotto il proprio nome, che è una risorsa di rete.

Attributo - caratteristiche dell'oggetto nella directory. Ad esempio, tale include il nome utente, il suo login. Ma gli attributi dell'account PC potrebbero essere il nome di questo computer e la sua descrizione.

"Ufficiale" - Un oggetto che ha gli attributi "Nome completo", "Posizione" e "Tabn".

Contenitore e nome LDAP

Contenitore - Tipo di oggetti che possono consistono in altri oggetti. Dominio, ad esempio, può includere oggetti account.

Il loro appuntamento principale - ordinazione di oggetti Per tipo di segni. Molto spesso, i contenitori vengono utilizzati per raggruppare oggetti con gli stessi attributi.

Quasi tutti i contenitori visualizzano un insieme di oggetti e le risorse vengono visualizzate da un oggetto esclusivo di Active Directory. Uno dei tipi principali di contenitori AD è un modulo organizzativo, o ou (unità organizzativa). Gli oggetti che sono collocati in questo contenitore appartengono solo al dominio in cui vengono creati.

Protocollo di accesso alla directory leggero (protocollo di accesso alla directory leggero, LDAP) è il principale algoritmo di connessione TCP / IP. È progettato per ridurre il numero di sfumature durante l'accesso ai servizi di catalogo. Inoltre, nelle azioni installate LDAP utilizzate per richiedere e modificare i dati della directory.

Albero e sito.

L'albero di dominio è una struttura, una serie di domini aventi schema generale e la configurazione che costituisce lo spazio dei nomi complessivi e sono associati a relazioni di fiducia.

La foresta del dominio è una totalità di alberi associati tra loro.

Il sito è un insieme di dispositivi in \u200b\u200bsottoreti IP che rappresentano un modello di rete fisica la cui pianificazione è effettuata indipendentemente dalla rappresentazione logica della sua costruzione. Active Directory ha la possibilità di creare un numero N-Number di siti o unisci domini N-Number Numero sotto un sito.

Installazione e configurazione di Active Directory

Ora giriamo direttamente per configurare Active Directory sull'esempio di Windows Server 2008 (su altre versioni della procedura identica):

Premere il pulsante "OK". Vale la pena notare che tali valori non sono richiesti. È possibile utilizzare l'indirizzo IP e DNS dalla tua rete.

• Successivamente, è necessario andare al menu "Start", selezionare "Amministrazione" e "".
  
• Vai a "Ruolo", seleziona il campo " Aggiungi un ruolo”.
  
• Selezionare "Active Directory Domain Services" Elemento due volte "Avanti" e dopo "Installa".
  
• Attendere l'installazione.
  
• Apri il menu "Start" - " Eseguire". Nel campo Enter DCPROMO.EXE.
  
• Fai clic su "Avanti".
  
• Scegliere oggetto " Crea un nuovo dominio nella nuova foresta"E premere di nuovo" Avanti ".
  
• Nella finestra successiva, inserisci il nome, fai clic su "Avanti".
  
• Scegliere modalità di compatibilità (Windows Server 2008).
  
• Nella finestra successiva, lasciare tutto per impostazione predefinita.
  
• Correre finestra di configurazioneDNS.. Dal momento che non è stato utilizzato sul server prima, la delega non è stata creata.
  
• Selezionare una directory per l'installazione.
  
• Dopo questo passo devi chiedere password amministrativa.

Per affidabilità, la password deve essere conforme a tali requisiti:

Dopo aver completato il processo di configurazione dei componenti, è necessario riavviare il server.

La configurazione è completa, equipaggiata e il ruolo è impostato sul sistema. È possibile installare l'annuncio solo sulla famiglia Windows Server, le versioni regolari, come 7 o 10, possono essere installate solo per installare la console di controllo.

Amministrazione in Active Directory

Per impostazione predefinita, in Windows Server, l'utente di Active Directory e Console Computers funziona con un dominio a cui appartiene il computer. È possibile accedere agli oggetti di computer e utenti in questo dominio attraverso la struttura della console o connettersi a un altro controller.

I mezzi della stessa console consentono di visualizzare opzioni extra. Oggetti e cerca per loro, è possibile creare nuovi utenti, gruppi e modificare il permesso.

A proposito, c'è 2 tipi di gruppi Nelle directory Asset - sicurezza e distribuzione. I gruppi di sicurezza sono responsabili del delimitazione dei diritti di accesso agli oggetti, possono essere utilizzati come gruppi di distribuzione.

I gruppi di distribuzione non possono distinguere tra i diritti, ma sono utilizzati principalmente per distribuire i messaggi sulla rete.

Qual è l'annuncio della delegazione

La delegazione stessa è trasferimento di parte delle autorizzazioni e controllo dall'oggetto principale un altro lato responsabile.

È noto che ogni organizzazione ha diversi amministratori di sistema presso la sua sede centrale. Compiti diversi dovrebbero essere nudi su spalle diverse. Per applicare le modifiche, è necessario avere diritti e autorizzazioni divise in standard e speciali. Speciale - Applicabile a un oggetto specifico e standard sono un set composto da autorizzazioni esistenti che rendono le singole funzioni disponibili o inaccessibili.

Installazione delle relazioni di fiducia

Nell'annuncio ci sono due tipi di relazioni di fiducia: "Unidirezionale" e "bidirezionale". Nel primo caso, un dominio si fida di un altro, ma non il contrario, rispettivamente, il primo ha accesso alle risorse del secondo, e il secondo non ha accesso. Nella seconda forma di fiducia "reciproco". Ci sono anche relazioni "in uscita" e "in entrata". In uscita - il primo dominio si fida del secondo, consentendo così agli utenti di utilizzare le risorse del primo.

Quando si installa, le procedure devono essere eseguite:

• Dai un'occhiata le connessioni di rete Tra i kotrollars.
• Controllare le impostazioni.
• Sintonizzare Risoluzione dei nomi per domini esterni.
• Creare una comunicazione dal dominio Trust.
• Creare una connessione dal controller a cui è indirizzata la fiducia.
• Controlla la relazione a senso unico creato.
• Se un nevability sorge Nella creazione di relazioni bilaterali - per effettuare l'installazione.

Catalogo globale

Questo è un controller di dominio che memorizza copie di tutti gli oggetti della foresta. Dà agli utenti e ai programmi la possibilità di cercare oggetti in qualsiasi dominio della foresta attuale con strumenti di rilevamento attributiincluso nella directory globale.

Il catalogo globale (GC) include un set limitato di attributi per ciascun oggetto forestale in ciascun dominio. Dati che riceve da tutte le partizioni del catalogo dominio nella foresta, vengono copiate utilizzando il processo di replicazione del servizio di Active Directory standard.

Il regime determina se l'attributo verrà copiato. C'è un'opportunità configurazione di funzionalità aggiuntiveCiò verrà creato reinserito alla directory globale utilizzando lo schema di Active Directory. Per aggiungere un attributo a una directory globale, è necessario selezionare l'attributo di replica e utilizzare l'opzione "Copia". Successivamente, la replica dell'attributo verrà creata nella directory globale. Attributo Parameter Value. ismemberfpartialattributeset. sarà la verità

In modo da posizione Catalogo globale, devi riga di comando Accedere:

Dsquery Server -ISGC.

Replica dei dati in Active Directory

La replica è una procedura di copia, che viene eseguita se è necessario memorizzare le stesse informazioni topiche che esistono su qualsiasi controller.

Produce senza la partecipazione dell'operatore. Esistono tali tipi di contenuti di replica:

• Le repliche di dati sono create da tutti i domini esistenti.
• Schemi di dati replica. Poiché lo schema dati è uno per tutti gli oggetti forestali di Active Directory, le sue repliche sono memorizzate su tutti i domini.
• Dati di configurazione. Mostra la costruzione di copie tra i controller. I dettagli sono distribuiti a tutti i domini della foresta.

I principali tipi di repliche sono intracelain e intersloval.

Nel primo caso, dopo le modifiche, il sistema è in attesa, quindi notifica al partner sulla creazione di una replica per completare le modifiche. Anche in assenza di cambiamento, il processo di replica si verifica dopo un certo periodo di tempo automaticamente. Dopo aver applicato modifiche critiche ai cataloghi, la replica si verifica immediatamente.

Procedura di replica tra i nodi si verifica negli intervalli Carico di rete minimo, evita la perdita di informazioni.

L'installazione di Active Directory è un processo abbastanza semplice ed è considerata su un insieme di risorse su Internet, incluso il funzionario. Tuttavia, sul mio blog non riesco a influenzare questo momento, poiché la maggior parte degli altri articoli sarà in qualche modo basata sull'ambiente, l'impostazione di cui intendo fare proprio ora.

Se sei interessato a Windows Server Theme, consiglio di contattare il tag sul mio blog. Ti consiglio anche di conoscere l'articolo principale su Active Directory -

Ho intenzione di distribuire il ruolo di AD su due server virtuali (futuri controller di dominio) a loro volta.

1. Prima di tutto, devi chiedere adatto nomi di server., Ho DC01 e DC02;
2. Accanto a registrare impostazioni di rete statica (in dettaglio questo momento ritengo sotto);
3. Installare tutti gli aggiornamenti del sistema., in particolare gli aggiornamenti di sicurezza (per il CD, è importante per qualsiasi altro ruolo).

In questa fase è necessario decidere quale nome di dominio avrai. Questo è estremamente importante perché allora il cambiamento di un nome di dominio sarà un problema molto grande per te, anche se lo scenario della ridenominazione è ufficialmente supportato e implementato per molto tempo.

Nota:n. ragionamento extra, oltre a molti collegamenti a materiale utile, puoi trovare nel mio articolo. Raccomando di familiarizzare con esso, così come con l'elenco delle fonti utilizzate.

Dal momento che sarò utilizzato dai controller di dominio virtualizzati, è necessario modificare alcune delle impostazioni per le macchine virtuali, vale a dire disabilita la sincronizzazione del tempo con hypervisor. Il tempo nell'annuncio dovrebbe essere sincronizzato esclusivamente da fonti esterne. Le impostazioni di sincronizzazione del tempo incluse con un hypervisor possono causare la sincronizzazione ciclica e come risultato dei problemi con il funzionamento dell'intero dominio.

Nota: Disabilita la sincronizzazione con un host di virtualizzazione: il più semplice e opzione veloce. Tuttavia, questo non è un miglior practico. Secondo Raccomandazioni Microsoft, è necessario disabilitare la sincronizzazione con l'host solo parzialmente. Per comprendere il principio del lavoro, leggere la documentazione ufficiale che l'anno scorso radicalmente saltò il livello di presentazione materiale .

In generale, l'approccio all'amministrazione dei controller di dominio virtualizzato è diverso in vista di alcune funzionalità della funzione AD DS:

Gli ambienti virtuali sono di particolare difficoltà per i flussi di lavoro distribuiti, a seconda dello schema di replicazione del tempo logico. Ad esempio, la replica AD DS utilizza un valore crescente uniforme (che è chiamato USN o un numero di aggiornamento seriale) assegnato alle transazioni in ciascun controller di dominio. Ogni istanza del database del controller di dominio riceve anche un identificatore chiamato invocationid. Il controller di dominio invocativo e il suo numero di aggiornamento seriale insieme servono come identificatore univoco associato a ciascuna transazione di registrazione eseguita su ciascun controller di dominio e deve essere unico all'interno della foresta.

A questo punto, i passaggi principali per preparare l'ambiente sono completati, andare alla fase di installazione.

Installazione di Active Directory.

L'installazione è effettuata tramite Server Manager e non c'è nulla di complicato in esso, in dettaglio tutti i passaggi di installazione che puoi vedere di seguito:

Il processo di installazione stesso ha subito alcune modifiche a confrontare con versione precedente OS:

Distribuzione dei domini servizi attivi La directory (AD DS) in Windows Server 2012 è diventata più semplice e più veloce delle versioni precedenti di Windows Server. L'installazione di AD DS è ora basato su Windows PowerShell e integrato con Server Manager. Ridotto il numero di passaggi necessari per implementare i controller di dominio in mercoledì esistente Active Directory.

È necessario scegliere solo il ruolo Servizi di dominio Active DirectoryNon devono essere installati componenti aggiuntivi. Il processo di installazione richiede un tempo leggero e puoi immediatamente andare all'impostazione.

Quando un ruolo è assegnato a destra nella parte superiore del Server Manager, verrà visualizzato un punto esclamativo - è necessario configurare dopo la distribuzione. stampa Migliora il ruolo di questo server al controller di dominio.

Migliora il ruolo del server al controller di dominio

Le fasi della procedura guidata sono descritte in dettaglio nella documentazione. Tuttavia, cammineremo nei passaggi principali.

Mentre distribuiamo annuncio da zero, devi aggiungere una nuova foresta. Non dimenticare di salvare in modo sicuro la password per la modalità di recupero dei servizi di directory (DSRM). La posizione del database AD DS può essere lasciata per impostazione predefinita (si consiglia in questo modo. Tuttavia, per una varietà nell'ambiente di test, ho specificato un'altra directory).

Aspettiamo l'installazione.

Successivamente, il server si riavvierà in modo indipendente.

Creazione di amministratori di dominio / Account aziendali

Dovrà accedere contabilità Amministratore locale, come prima. Vai all'attrezzatura Active Directory - Utenti e computer, Creare gli account necessari: in questa fase questo è l'amministratore del dominio.

Impostazione di DNS sull'unica DC nel dominio

Durante l'installazione di AD, è stato installato anche il ruolo di AD DNS, poiché non c'erano altri server DNS nella mia infrastruttura. Per il lavoro del servizio, è necessario modificare alcune impostazioni. Per prima cosa è necessario controllare i server DNS preferiti nelle impostazioni scheda di rete. È necessario utilizzare solo un server DNS con l'indirizzo 127.0.0.1. Sì, è localhost. Per impostazione predefinita, deve registrarsi in modo indipendente.

Assicurarsi la correttezza delle impostazioni, aprire lo snap DNS. Fare clic con il tasto destro del mouse sul nome del server e aprire le proprietà IT, vai alla scheda "Transfer Server". L'indirizzo del server DNS, che è stato specificato nelle impostazioni di rete prima di installare il ruolo AD DS, prescritto automaticamente come unico server di inoltro:

È necessario eliminarlo e crearne uno nuovo ed estremamente preferibilmente in modo che sia stato un server del provider, ma non un indirizzo pubblico del tipo di ben noto 8.8.8 e 8.8.4.4. Per la tolleranza agli errori, tagliare il minimo di due server. Non rimuovere un segno di spunta per utilizzare i collegamenti root se non ci sono server di spedizione. I collegamenti di root sono il famoso pool DNS di livello superiore del DNS.

Aggiunta di un secondo DC al dominio

Dal momento che inizialmente ho detto che avrò due controller di dominio, è ora di fare la seconda impostazione. Passiamo anche la procedura guidata di installazione, solleva un ruolo prima del controller di dominio, scegliere solo Aggiungi il controller di dominio a un dominio esistente:

Si noti che nelle impostazioni di rete di questo server il principale Il server DNS deve essere selezionato in precedenza il primo controller di dominio! Questo è necessario, altrimenti otterrai un errore.

Dopo le impostazioni richieste, accedere al server con il conto dell'amministratore del dominio, che è stato creato in precedenza.

Impostazione della DNS su più DC nel dominio

Per avvisare i problemi con la replica, è necessario modificare nuovamente le impostazioni di rete ed è necessario eseguire questa operazione su ciascun controller di dominio (e anche sul precedente esistente) e ogni volta che si aggiunge una nuova DC:

Se hai più di tre DCS nel dominio, è necessario registrare i server DNS attraverso ulteriori impostazioni in questo ordine. Puoi leggere di più su DNS nel mio articolo.

Tempo di impostazione

Questa fase deve essere eseguita necessariamente, specialmente se si configura l'ambiente reale nella produzione. Come ti ricordi, in precedenza ho disattivato la sincronizzazione del tempo attraverso un hypervisor e ora è necessario regolarlo correttamente. Per la distribuzione del tempo giusto, il controller è responsabile per l'intero dominio con il ruolo dell'emulatore FSMO PDC (non so che tipo di ruolo è? Leggi l'articolo). Nel mio caso, questo è ovviamente il primo controller di dominio, che è inizialmente il corriere di tutti i ruoli FSMO.

Personalizza il tempo sui controller di dominio utilizzerà politica di gruppo. Ti ricordo che i conti dei computer del controller di dominio si trovano in un contenitore separato e hanno una politica politica multi-predefinita separata. Non c'è bisogno di apportare modifiche a questa politica, meglio crearne uno nuovo.

Nominarlo mentre lo consideri necessario e come verrà creato l'oggetto, fare clic con il pulsante destro del mouse - Modificare. Vai a B. Configurazione del computer \\ Politica \\ Modelli di amministrazione \\ System \\ Windows Time Service \\ Time Fornitori. Attiva le politiche Abilita client Windows NTP e Abilita Windows NTP Server, vai alla politica Configurare il client Windows NTP ed esibisci il tipo di protocollo - NTP., le impostazioni rimanenti non toccano:

Stiamo aspettando l'applicazione del politico (ci è voluta circa 5-8 minuti, nonostante l'esecuzione di Gpupdate / Force e un paio di riavvio), quindi otteniamo:

In generale, è necessario effettuare il tempo da fonti esterne per sincronizzare solo l'emulatore PDC, e non tutti i controller di dominio sotto una riga, e sarà il modo in cui il criterio di gruppo si applica a tutti gli oggetti nel contenitore. È necessario trasferirlo a un oggetto specifico del proprietario del computer del ruolo dell'emulatore PDC. Viene anche fatto tramite politiche di gruppo - nella console GPMC.MSC, premere la giusta politica e il pulsante di destra e sulla destra apparirà. Nei filtri di sicurezza, è necessario aggiungere un account del controller di dominio desiderato:

Leggi di più sul principio di funzionamento e configurazione del servizio temporale, leggi nella documentazione ufficiale.

In questo momento, e con esso e impostazioni iniziali Active Directory completato.

Nuove nuove funzionalità abbastanza interessanti sono apparse in Windows Server 2016, come l'iscrizione temporanea in AD, gestione degli accessi privilegiati, ecc. Proverò a descriverli in modo più dettagliato nei seguenti articoli. In questo articolo, mostrerò come installare dominio attivo. Directory in Windows Server 2016. Per installare annuncio, server requisiti minimi Deve essere conforme alle seguenti condizioni:

processore:

• Processore a 64 bit con una frequenza di almeno 1,4 GHz
• supporta NX, DEP, CMPXChg16B, Lahf / Sahf, PREFETCHW, Condizionamento degli indirizzi di secondo livello (EPT o NPT)

Memoria

• almeno 512 MB (per il nucleo del server e Nano Editorial), 2 GB per la versione del server Windows con GUI
• supporto ECC (codice di correzione degli errori) o analoghi

Controller del disco e requisiti dei luoghi:

Disc Controller per installare Windows Server 2016 deve essere compatibile con specifiche PCI. Esprimere. Windows Server 2016 non consente di utilizzare dischi ATA / PATA / IDE / EIDE per scaricare, memorizzare il file di paging o i dischi di dati

Partizione minima del sistema: 32 GB

Scheda di rete:

• rete adattatore Ethernet. a partire dal portata non meno di 1 GB / s
• Compatibilità con PCI Express Architecture
• supporto PXE (-Boot Exection Ambiente)
• Debug di rete di supporto (ma non necessario) desiderato (ma non necessario) (KDNet)

In questo esempio, utilizzo una macchina virtuale in esecuzione sul server VMware ESXI a cui è impostato Windows Server 2016.

1) Accedi al server in Amministratori locali. Il server è installato anche sul server DNS.. Modificare la configurazione dell'interfaccia di rete, specificando il proprio indirizzo IP del Nord o indirizzo 127.0.0.1 come server DNS primario.

2) Quindi aprire il Gestione server facendo clic sull'icona corrispondente o eseguendo il comando nella console PowerShell.

3) Nella finestra Gestione server, fare clic su

4) Nel ruolo Add-on Ruolo e della finestra guidata componente, fare clic su Il prossimo.

5) Nella finestra successiva, fare clic su Il prossimo

6) Perché L'installazione viene eseguita sul server locale, nella finestra successiva, lasciare l'interruttore nella posizione originale e fare clic su Avanti

7) Nella finestra successiva nell'elenco dei ruoli, selezionare Servizi di dominio di Active Directory. Nella finestra a cui si apre, verrà visualizzato un elenco di componenti associati, che deve essere installato con il ruolo di aggiunge. premi il bottone Aggiungi caratteristiche., poi Il prossimo.

8) Nell'elenco dei componenti, i componenti necessari per l'installazione devono essere già contrassegnati. Clic Il prossimo.

9) La prossima finestra mostra piccola descrizione ruolo Ad ds.. Fare clic su Avanti.

10) Controlla l'elenco dei ruoli selezionati per installare ruoli e componenti. Per avviare l'installazione, fare clic su Installare.

11) Lo stato corrente del processo di installazione verrà visualizzato sullo schermo.

12) Dopo aver completato l'installazione, fare clic sul collegamento

13) Eseguire la procedura guidata di installazione di Active Directory. Nel mio caso, ho impostato una nuova foresta. Nel caso in cui aggiungi controller aggiuntivo. Dominio a un dominio esistente, selezionare l'opzione appropriata. Scelgo l'opzione Aggiungi una nuova foresta e indicare il nome di dominio FQDN (test.net).

14) Nella finestra successiva, è necessario specificare il livello funzionale del dominio e la foresta pubblicitaria. Ho scelto l'ultima versione del programma AD - Windows Server 2016.. Inoltre, questo server fungerà da server DNS e appare il catalogo globale. È inoltre necessario specificare la password dell'amministratore per accedere alla modalità DSRM.

15) Perché Il mio server sarà il primo server DNS nella foresta, non è necessario configurare la delegazione DNS. Pertanto, basta fare clic Il prossimo.

16) Nome dominio NetBIOS lascerà invariato (test)

17) La schermata successiva deve specificare il percorso verso i cataloghi NTDS, Sysvol. e Log.. Lasceremo tutti i percorsi predefiniti, supponendo che tutte le cartelle siano memorizzate nel catalogo disco del sistema C: \\ Windows.

18) La schermata successiva può essere trovata con l'elenco delle impostazioni selezionate. Se tutto ok, fare clic su Avanti, se non - tornare indietro e apportare modifiche.

20) inizierà il processo di installazione del controller di dominio

21) Dopo aver completato l'installazione, il server si riavvierà automaticamente. Accedi al server con il conto dell'amministratore del dominio.

22) Dopo aver effettuato l'accesso, eseguire la sessione privilegiata PowerShell ed eseguire il comando. Si apre la finestra di amministrazione di Active Directory (centro amministrativo). Puoi iniziare a eseguire risorse dominio

23) Con il seguente comando, è possibile scoprire il livello funzionale corrente di Dominio e Forest Teams Get-Addomain | FL NOME, DOMANOMMODE E GET-ADFORTED | Fl nome, forestmode

• Tutorial

Buon pomeriggio. Vorrei raccontare l'installazione e la configurazione di Windows Server 2012 R2 Essentials. Questo articolo non è una chiamata a diffondersi. installazione di Windows o la propaganda di Microsoft. Vorrei solo raccontare un prodotto interessante e forse qualcuno questo prodotto Vi interesseremo e vogliamo praticare il lavoro. Ho provato a scrivere un articolo per un lettore impreparato, la terminologia minima e la massima generalizzazione di alcuni concetti.

Un po 'di conto editoriale di Essentials

Windows Server 2012 R2 Essentials è una dell'edition del sistema operativo del server da Microsoft. Tuttavia, ha molte differenze dallo standard e dal datacenter. Per quanto riguarda gli elementi essenziali:

1. Autorizzazione e autenticazione degli utenti della rete (Domain Active Directory Service Controller)
2. Archiviazione file (ruolo del file server)
3. Accesso remoto alla rete aziendale (server VPN e DirectAccess)
4. Accesso remoto su Archiviazione del file tramite l'interfaccia Web (configurata per questo IIS)
5. Accesso remoto alle macchine per il client desktop desktop (gateway remoto desktop)
6. Macchine per il client di backup (backup di Windows)
7. Backup del server (backup di Windows)
8. Integrazione S. tecnologie cloud. Microsoft (Office 365, backup azzurro, ecc.)
9. Single Configuration Console Essentials, che ti consentirà di configurare le funzionalità sopra descritte, non preparate nemmeno dall'amministratore di sistema.

Se si riepiloga, l'edizione Essentials ha la maggior parte dei ruoli di Windows Server. Alcuni di questi ruoli sono personalizzati, alcuni sono disponibili per intero, alcuni, come Hyper-V con gravi restrizioni. Compensazione per queste tutte le restrizioni è di più prezzo basso25 licenze client incluse, configurazione centralizzata e facile. Voglio anche notare che il processo di licenza è seriamente diverso. È possibile utilizzare questa edizione solo per le organizzazioni in cui il numero di utenti non supera i 25. Ma ripeto che non è necessario acquisire alcun licenza del cliente.
Pertanto, Essentials è molto adatto per piccole organizzazioni che vorrebbero usare la maggioranza. soluzioni moderne Per garantire la sicurezza della rete aziendale, archiviare documenti, accesso remoto, possibilmente, sistemi postali. Per quelle organizzazioni che non vorrebbero spendere un sacco di soldi sia sull'infrastruttura IT e sul lavoro di amministratori di sistema altamente qualificati.

Installazione e configurazione iniziale

Installazione di questo sistema operativo è abbastanza procedura standard. Se hai almeno una volta installato Windows Vista / 7/8/8.1, quindi è possibile installare ed essenziale facilmente. Tuttavia, se non hai installato il sistema operativo sopra menzionato delle versioni più recenti del sistema operativo server, quindi consiglio o fidato un professionista o almeno uno studente di secondo anno.
L'unica cosa che consiglierei al momento dell'installazione, se hai un disco rigido, interromperlo in due sezioni. Quelli. rendere così che dopo l'installazione nel sistema è stato il secondo già formattato hDD. Naturalmente, questa è solo una raccomandazione, è possibile preparare un secondo disco in successiva, ma alcune cartelle dovranno essere trasferite.
Dopo il primo login, la procedura guidata "Configurazione di Windows Server Essentials" verrà avviata nel sistema operativo fresco, che aiuterà a generare impostazioni iniziali.

Nel primo passo è necessario impostare le impostazioni della data e dell'ora.

Nel secondo passo è necessario compilare lingua inglese Il nome della compagnia. Il nome del dominio e il nome del server verranno generati automaticamente in questo caso, anche se ovviamente è possibile cambiarli.

Nel passaggio successivo, è necessario compilare il nome dell'amministratore e impostarlo una password.

Nell'ultimo passaggio, è necessario specificare il metodo di aggiornamento del sistema operativo e fare clic su Configura

Successivamente, il processo inizierà, il che produrrà tutte le impostazioni iniziali necessarie. Ci vorranno circa 30 minuti e richiederà diversi riavvolgi. Durante questo periodo, il sistema operativo avrà tempo in particolare per installare i ruoli necessari e configurare il server come controller di dominio per un nuovo dominio.

Ambientazione

Il prodotto è molto grande ed esteso, vorrei parlare delle impostazioni più basilari, come la creazione di utenti, configurare l'accesso remoto, la creazione di cartelle, la connessione client.
Tutte le impostazioni si verificano nel pannello di monitoraggio, l'accesso ad esso è dal desktop, pannelli lancio rapido e schermo iniziale.

Creando utenti

Quando inizi a questo pannello, aprirai la scheda Installazione su cui è possibile eseguire un numero di attività per impostare il server.
Inizierò ad aggiungere utenti. Fai clic sul collegamento per aggiungere account.

Seleziona il livello di accesso a cartelle comuniche sono stati creati. Nella fase iniziale c'è solo una - l'organizzazione. In futuro, è possibile modificare le autorizzazioni di accesso da entrambe le proprietà dell'utente e delle proprietà della cartella.

Account creato. Chiudere chiudere

Allo stesso modo, è possibile creare più account. Naturalmente, è possibile utilizzare e familiarità e familiarità per l'interfaccia di attività di Active Directory e Computer per te, ma in questo caso, per emettere autorizzazioni per accedere, avrà maniglie.

Aggiunta di cartelle del server

Per aggiungere cartelle c'è un'altra procedura guidata che aiuterà e crea una cartella sul disco e personalizzalo per questo, e dare autorizzazioni. Per avviarlo, è necessario fare clic sul collegamento appropriato nel pannello di monitoraggio.

Nella finestra del wizard che si apre, entriamo nel nome. È possibile modificare la posizione e aggiungere una descrizione. Fare clic su Avanti.

Nella pagina successiva, specificare le autorizzazioni necessarie. Se necessario, lo rendiamo inaccessibile quando l'accesso remoto.

Dall'ultimo passaggio di questa procedura guidata, è possibile eseguire la procedura guidata di installazione di archiviazione. Fai clic su Chiusura.

Impostazione dell'accesso remoto

Uno, probabilmente, dai passaggi più difficili di configurare Essentials di Windows Server 2012R2. L'impostazione si verifica anche con la procedura guidata. Il master è tradizionalmente lanciato dal pannello di monitoraggio.

La prima cosa che devi configurare è il tuo router - il Master ti riferisce a riguardo. In effetti, è necessario configurare il reindirizzamento della porta sul router. Per fare ciò, il router deve avere un indirizzo IP "bianco". E sul server stesso è meglio configurare l'indirizzo IP statico. È necessario reindirizzare le seguenti porte 80, 443, 1723, 987 sull'indirizzo IP del server. In generale, la procedura di installazione può essere eseguita dalla magata stessa se il router supporta UPNP. Ho fatto l'impostazione con le maniglie, quindi ho perso questo passaggio.

Successivamente, si apre una nuova procedura guidata di configurazione del nome di dominio. Fare clic su Avanti.

La procedura guidata richiederà inserire il nome del dominio esterno o creerà uno nuovo. Per il tuo dominio è necessario un certificato, quindi considera l'opzione di impostazioni utilizzando il dominio Microsoft. Scegli un altro nome di dominio e fai clic su Avanti.

Considera l'opzione con il dominio di Microsoft.

Inserisci il nome del dominio e controlla la disponibilità, fare clic per configurare.

Bene, con il dominio del nome ordinato. Continuiamo - in seguito.

Scegli quali opzioni saranno disponibili.

Selezionare se l'accesso remoto per gli utenti attuali sarà disponibile.

Bene, è tutto ciò che puoi provare ad andare al sito web wiseguy.remoteweaccess.com.

C Questo sito Web ha la possibilità di accedere alle cartelle comuni e all'accesso ai desktop utente.

Collegamento di workstation.

Se apriamo questa volta il pannello di monitoraggio e vai alla pagina che collega i computer alla pagina, vedremo lì solo istruzioni per l'azione

Seguendo le istruzioni sul client nel browser, apri la pagina http: //<Имя сервера>/ Collegare. Premere il link di download.

Seleziona per eseguire.

Accettiamo la licenza e l'attesa.

Inserisci il nome utente e la password dell'utente questo computer o amministratore. Ho inserito l'account utente.

Riavvia il server.

Scegli chi userà il computer.

Inserire la descrizione del computer.

Parametri di archiviazione.

Evviva! Pronto.

Andiamo al computer sotto l'account utente.

Puoi lavorare. Sul desktop ci sono già tutte le etichette necessarie.

Post scriptum

Naturalmente, Windows Server 2012R2 Essentials non è una panacea. Automatizzato in esso molto, ma non tutto. Tuttavia, per le piccole organizzazioni, è abbastanza soluzione interessante E deve essere considerato. In questo articolo, ho solo raccontato le impostazioni di base essenziali più basilari. Se desideri un po 'più vicino a conoscere il prodotto, puoi vedere i miei lati video sul sito Web di Techdays.ru.

Windows Server 2012 R2 Essentials Prima vista: www.techdays.ru/videos/7351.html - Qui è possibile esaminare attentamente il processo di installazione di Essentials.

Configurazione di Windows Server 2012 Essentials Essentials: www.techdays.ru/videos/7370.html - Considerando tutte le funzionalità sono considerate, viene mostrato configurare l'accesso remoto per il tuo dominio.

Windows Server 2012 R2 Essentials Integration Office 365: www.techdays.ru/videos/7380.html - Integrazione con ufficio cloud da Microsoft.

Questo articolo conterrà un'istruzione dettagliata passo passo per l'installazione e la configurazione dal ruolo di Active Directory da zero basato su Windows Server 2012. Le istruzioni saranno basate sull'editor inglese. A volte saranno dati i nomi dei parametri e dei team, simili all'edizione russa di Windows Server 2012.

Preparazione

Prima di configurare il ruolo di Active Directory, è necessario produrre set-up di Windows. Server 2012 - Set indirizzo IP statico e rinominare un computer.

Per installare un indirizzo IP statico, è necessario fare clic con il pulsante destro del mouse sull'icona di rete nella barra delle applicazioni e selezionare Open Network Ang Sharing Center -> Cambia le impostazioni dell'adattatore. Scegli un adattatore che guarda nella rete interna. Proprietà -\u003e Protocollo Internet versione 4 (TCP / IPv4) e impostare l'indirizzo IP sulla somiglianza, come mostrato nell'immagine.

192.168.0.11 - Indirizzo IP del server corrente - il primo controller di dominio.

192.168.0.254 - Indirizzo IP del gateway.

Ora è necessario rinominare il nome del server e riavviarlo. Start -\u003e System -\u003e Modifica impostazioni -\u003e Nome computer -\u003e Modifica. Inserisci il nome del computer. Nell'esempio, il server verrà chiamato DC1.

Installazione del ruolo di Active Directory su Windows Server 2012

Quindi, dopo aver pre-configurato il server, andare all'installazione del ruolo della directory.

Inizio - \u003e. Server Manager. (Inizio -\u003e Server Manager.).

Aggiungi ruoli e caratteristiche -\u003e Avanti

Scegliere Installazione basata su ruolo o basata su funzionalità (Impostazione dei ruoli e dei componenti) -\u003e Avanti

Selezionare il server a cui è installato il ruolo di AD e fare clic su Avanti. Seleziona un server dal pool del server -\u003e Avanti

Scegliamo un ruolo Servizi di dominio di Active Directory (Servizi di dominio di Active Directory), dopo il quale viene visualizzata una finestra con un'offerta per aggiungere ruoli e componenti necessari per installare il ruolo dell'annuncio. Fai clic sul pulsante Aggiungi funzionalità.

È inoltre possibile selezionare il ruolo del server DNS. Se si dimentica di installare un segno di spunta per aggiungere il ruolo del server DNS, non puoi davvero preoccuparti, perché Può essere aggiunto più avanti alla fase di installazione del ruolo AD.

Dopodiché, premiamo il pulsante successivo ogni volta e impostiamo il ruolo.

Configurazione dei servizi di dominio Active Directory

Dopo aver installato il ruolo, chiudere la finestra - Chiudi. Ora devi procedere per creare il ruolo dell'annuncio.

Nella finestra Server Manager, fare clic sull'icona Bandiera con Notifica e fare clic Promuovi questo server a un controller di dominio (Migliora il ruolo di questo server al controller di dominio) sulla configurazione post-deplimento.

Scegliere Aggiungi una nuova foresta (Aggiungi una nuova foresta), inserisci il nome del dominio e fai clic su Avanti.

È possibile scegliere la compatibilità della modalità di registrazione e del dominio root. Per impostazione predefinita, Windows Server 2012 è installato.

In questa scheda, è possibile disabilitare il ruolo del server DNS. Ma nel nostro caso, lasciamo un segno di spunta.

Nel passaggio successivo, il master avverte che la delega per questo server DNS non è stata creata ( Una devazione per questo server DNS non può essere creata perché non è possibile trovare la zona genitore autorevole o non esegue Windows DNS Server .. Altrimenti, non è richiesta alcuna azione.).

Fare clic su Avanti.

Nel passaggio successivo, è possibile modificare il nome NetBIOS assegnato al dominio. Non lo faremo. Basta premere ulteriormente.

Nel passaggio successivo, è possibile modificare i percorsi per le directory del database di AD DS (Servizi di dominio di Active Directory - Servizio di dominio Active Directory), file di registro, nonché la cartella Sysvol. Non cambieremo nulla. Fai clic sul pulsante Avanti.

Il prossimo passo visualizza le informazioni di riepilogo sull'impostazione. Facendo clic sul pulsante Visualizza script, è possibile visualizzare lo script di PowerShell che configurerà i servizi di dominio Active Directory.

# Script di Windows PowerShell per la distribuzione di AD DS

Import-module addsdeployment Installazione-addsfortest `-CreatednsDelegation: $ falso` -Databasepath" c: \\ windows \\ ntds "` -domainmode "win2012" `-domainname" sito "` -domnetbiosname "itme" `-FodestMode" win2012 "` InstallDNS: $ true `-logpath" C: \\ windows \\ ntds "` -norebootonCompletion: $ falso `-sysVolpath" C: \\ Windows \\ Sysvol "` -force: $ true

Assicurarsi che tutto sia corretto, fare clic sul pulsante Avanti.

Il prossimo passo è controllato, se sono osservati tutti i requisiti preliminari. Dopodiché, mostraci un rapporto. Uno dei requisiti obbligatori è impostare la password Amministratore locale. In fondo, è possibile leggere l'avviso che dopo aver premuto il pulsante di installazione, il livello del server verrà migliorato al controller di dominio e verrà eseguito il riavvio automatico.

Ci dovrebbe essere un'iscrizione Tutti i controlli prerequisiti sono passati con successo. Fai clic su "Installa" per iniziare l'installazione.

Premere il pulsante di installazione.

Dopo aver completato tutte le impostazioni, il server si riavvierà e si effettua la prima voce del computer al tuo dominio. Per fare ciò, è necessario inserire il login e la password dell'amministratore del dominio.

Su questo impostazioni di base I servizi di catalogo di Active Directory sono completati. Naturalmente, c'è ancora un'enorme quantità di lavoro sulla creazione divisioni, creando nuovi utenti, configurando le politiche di sicurezza del Gruppo, ...

Ulteriori informazioni sull'articolo

Arrivederci Dcpromo, Hi PowerShell

Dai annunci, tutti sanno già che l'utilità DCPROMO è obsoleta. Se si esegue il prompt dei comandi DCPROMO, verrà visualizzata una finestra di avviso, che ti offre per utilizzare Server Manager.

La procedura guidata di installazione dei servizi di Active Directory viene trasferita in Server Manager.

Tuttavia, questo comando può essere utilizzato indicando il parametro impostazione automatica — dCPROMO / UNETEND.. Quando il server è in esecuzione in modalità Core, gli avvisi non saranno, e sul prompt dei comandi, le informazioni sull'uso dell'utility DCPROMO appariranno.

Tutte queste modifiche sono correlate al fatto che Windows Server 2012 ha focalizzato sull'amministrazione utilizzando Powershell..

Componenti associati a Active Directory, remoto da Windows Server 2012

Servizi di federazione di Active Directory (AD FS)

• Le applicazioni che utilizzano agenti web "in NT Markers" non sono più supportati. Queste applicazioni devono essere trasferite alla piattaforma di Windows Identity Foundation e utilizzare le rivendicazioni per il token di Windows per convertire il nome del nome utente dal marker SAML a Windows Marker per l'uso nell'applicazione.
• Non più supportato da "Gruppi di risorse" (per una descrizione dei gruppi di risorse, vedere http://technet.microsoft.com/Library/CC753670(WS.10).aspx)
• Non ha più supportato la possibilità di utilizzare Active Directory Services di Lightweight Directory Access (AD LDS) come magazzino dei risultati di autenticazione.
• È necessario andare alla versione AD FS in Windows Server 2012. Non supportato dall'aggiornamento "Sul sito" con AD FS 1.0 o con una versione "standard" di AD FS 2.0.