Active Directory(AD) to narzędzia przeznaczone do system operacyjny Serwer Microsoft... Został pierwotnie stworzony jako lekki algorytm dostępu do katalogów użytkowników. Z Wersje Windows Server 2008 wprowadził integrację z usługami autoryzacyjnymi.
Umożliwia wymuszenie zasad grupy, które stosują te same ustawienia i oprogramowanie do wszystkich kontrolowanych komputerów za pomocą programu System Center Configuration Manager.
Jeśli w prostych słowach dla początkujących jest to rola serwera, która pozwala zarządzać wszystkimi dostępami i uprawnieniami w sieci lokalnej z jednego miejsca
Funkcje i cele
Microsoft Active Directory – (tzw. katalog) pakiet narzędzi pozwalający manipulować użytkownikami i danymi sieciowymi. Główny cel kreacja - ułatwienie pracy administratorzy systemu w rozległych sieciach.
Katalogi zawierają różne informacje związane z użytkownikami, grupami, urządzeniami sieciowymi, zasobami plikowymi - słowem, obiektami. Na przykład atrybuty użytkownika przechowywane w katalogu powinny wyglądać następująco: adres, login, hasło, numer telefon komórkowy itp. Katalog jest używany jako punkty uwierzytelniania, za pomocą którego można uzyskać niezbędne informacje o użytkowniku.
Podstawowe pojęcia napotykane w trakcie pracy
Istnieje wiele specjalistycznych koncepcji, które mają zastosowanie podczas pracy z AD:
- Serwer to komputer zawierający wszystkie dane.
- Kontroler — serwer z rolą AD, który obsługuje żądania od osób korzystających z domeny.
- Domena AD to zbiór urządzeń zgrupowanych pod jedną unikatową nazwą, które jednocześnie współdzielą wspólną bazę danych katalogów.
- Magazyn danych to część katalogu odpowiedzialna za przechowywanie i pobieranie danych z dowolnego kontrolera domeny.
Jak działają aktywne katalogi
Główne zasady pracy to:
- Upoważnienie, dzięki któremu można korzystać z komputera w sieci, po prostu wprowadzając osobiste hasło. W takim przypadku przenoszone są wszystkie informacje z konta.
- Bezpieczeństwo... Active Directory zawiera funkcję rozpoznawania użytkowników. Dla dowolnego obiektu sieciowego możesz zdalnie, z jednego urządzenia, ustawić niezbędne uprawnienia, które będą zależeć od kategorii i konkretnych użytkowników.
- Administracja sieci z jednego punktu. Podczas pracy z Active Directory administrator systemu nie musi ponownie konfigurować wszystkich komputerów, jeśli zachodzi potrzeba zmiany praw dostępu, na przykład do drukarki. Zmiany dokonywane są zdalnie i globalnie.
- Pełny Integracja DNS DNS... Z jego pomocą w AD nie pojawia się zamieszanie, wszystkie urządzenia są oznaczone w taki sam sposób, jak w sieci WWW.
- Duża skala... Zbiór serwerów może być kontrolowany przez jedną usługę Active Directory.
- Szukaj odbywa się według różnych parametrów, na przykład nazwa komputera, login.
Obiekty i atrybuty
Obiekt - zbiór atrybutów, zjednoczonych pod własną nazwą, reprezentujących zasób sieciowy.
Atrybut - charakterystyka obiektu w katalogu. Na przykład są to imię i nazwisko użytkownika, login. Ale atrybutami konta PC może być nazwa tego komputera i jego opis.
„Pracownik” - obiekt, który posiada atrybuty „Pełne imię”, „Pozycja” i „TabN”.
Kontener i nazwa LDAP
Kontener - rodzaj obiektów, które mogą składają się z innych obiektów... Na przykład domena może zawierać obiekty kont.
Ich głównym celem jest: zamawianie przedmiotów według rodzajów znaków. Najczęściej kontenery służą do grupowania obiektów o tych samych atrybutach.
Prawie wszystkie kontenery wyświetlają kolekcję obiektów, a zasoby są reprezentowane przez unikalny obiekt Active Directory. Jednym z głównych typów kontenerów AD jest jednostka organizacyjna lub OU (jednostka organizacyjna). Obiekty umieszczone w tym kontenerze należą tylko do domeny, w której zostały utworzone.
Protokół LDAP (Lightweight Directory Access Protocol) jest podstawowym algorytmem połączenia TCP/IP. Został zaprojektowany w celu zmniejszenia ilości niuansów podczas dostępu do usług katalogowych. Ponadto LDAP definiuje akcje używane do wykonywania zapytań i edycji danych katalogowych.
Drzewo i miejsce
Drzewo domen to struktura, zbiór domen, które mają ogólny schemat i konfiguracji, które tworzą wspólną przestrzeń nazw i są połączone relacjami zaufania.
Las domeny to zbiór połączonych ze sobą drzew.
Witryna to zbiór urządzeń w podsieciach IP, reprezentujący fizyczny model sieci, którego planowanie odbywa się niezależnie od logicznej reprezentacji jej budowy. Active Directory umożliwia tworzenie n-tej liczby witryn lub łączenie n-tej liczby domen w jedną witrynę.
Instalowanie i konfigurowanie Active Directory
Przejdźmy teraz bezpośrednio do konfiguracji Active Directory na przykładzie Windows Server 2008 (w innych wersjach procedura jest identyczna):
Kliknij przycisk „OK”. Należy zauważyć, że wartości te są opcjonalne. Możesz użyć adresu IP i DNS ze swojej sieci. 
- Następnie musisz przejść do menu „Start”, wybrać „Narzędzia administracyjne” i „”.
- Przejdź do pozycji "Role", wybierz pole " Dodaj role”.
- Wybierz „Usługi domenowe Active Directory”, kliknij dwukrotnie „Dalej”, a następnie „Zainstaluj”.
- Poczekaj na zakończenie instalacji.
- Otwórz menu „Start” - „ Wykonać”. Wpisz dcpromo.exe w polu.
- Kliknij Następny".
- Wybierz przedmiot " Utwórz nową domenę w nowym lesie”I ponownie kliknij„ Dalej ”.
- W następnym oknie wpisz nazwę, kliknij „Dalej”.
- Wybierać Tryb zgodności(Windows Server 2008).
- W następnym oknie pozostaw wszystko jako domyślne.
- Zacznie się okno konfiguracjiDNS... Ponieważ nie był wcześniej używany na serwerze, nie utworzono delegacji.
- Wybierz katalog do instalacji.
- Po tym kroku musisz ustawić hasło administracyjne.
Aby zapewnić niezawodność, hasło musi spełniać następujące wymagania:
Gdy AD zakończy konfigurowanie składników, musisz zrestartować serwer.
Konfiguracja jest zakończona, przystawka i rola są zainstalowane w systemie. AD można zainstalować tylko w systemie Windows z rodziny Server, zwykłe wersje, na przykład 7 lub 10, pozwalają tylko na zainstalowanie konsoli zarządzania.
Administracja w Active Directory
Domyślnie w systemie Windows Server konsola Użytkownicy i komputery usługi Active Directory współpracuje z domeną, do której należy komputer. Dostęp do komputera i obiektów użytkownika w tej domenie można uzyskać za pośrednictwem drzewa konsoli lub połączyć się z innym kontrolerem.
Narzędzia tej samej konsoli umożliwiają przeglądanie Dodatkowe opcje obiektów i ich wyszukiwania, możesz tworzyć nowych użytkowników, grupy i zmieniać uprawnienia.
Nawiasem mówiąc, jest 2 rodzaje grup w Active Directory - bezpieczeństwo i dystrybucja. Grupy zabezpieczeń są odpowiedzialne za różnicowanie praw dostępu do obiektów i mogą być używane jako grupy dystrybucyjne.
Grupy dystrybucyjne nie mogą rozróżniać praw, ale służą głównie do wysyłania wiadomości w sieci.
Co to jest delegowanie AD
Samo delegowanie jest przeniesienie części pozwoleń i kontroli z obiektu nadrzędnego do drugiej strony odpowiedzialnej.
Wiadomo, że każda organizacja ma w swojej siedzibie kilku administratorów systemu. Różne zadania powinny być przypisane do różnych ramion. Aby wprowadzić zmiany, musisz posiadać uprawnienia i uprawnienia, które dzielą się na standardowe i specjalne. Specjalne - dotyczą konkretnego obiektu, a standardowe to zestaw istniejących uprawnień, które sprawiają, że niektóre funkcje są dostępne lub niedostępne.
Nawiązanie relacji opartej na zaufaniu
W AD istnieją dwa rodzaje relacji zaufania: jednokierunkowe i dwukierunkowe. W pierwszym przypadku jedna domena ufa drugiej, ale nie odwrotnie, odpowiednio pierwsza ma dostęp do zasobów drugiej, a druga nie. W drugim typie zaufanie jest „wzajemne”. Istnieją również relacje „wychodzące” i „przychodzące”. W ruchu wychodzącym pierwsza domena ufa drugiej, umożliwiając w ten sposób użytkownikom drugiej korzystanie z zasobów pierwszej.
Podczas instalacji należy przeprowadzić następujące procedury:
- Czek połączenia sieciowe między kontrolerami.
- Sprawdź ustawienia.
- Melodia rozpoznawanie nazw domen zewnętrznych.
- Utwórz link ze strony domeny ufającej.
- Utwórz łącze po stronie kontrolera, do którego adresowane jest zaufanie.
- Sprawdź utworzoną relację jednokierunkową.
- Jeśli jest potrzeba w nawiązaniu stosunków dwustronnych - dokonać instalacji.
Katalog globalny
Jest to kontroler domeny, który przechowuje kopie wszystkich obiektów w lesie. Daje użytkownikom i programom możliwość wyszukiwania obiektów w dowolnej domenie bieżącego lasu za pomocą odkrywcy atrybutów zawarte w katalogu globalnym.
Wykaz globalny (GC) zawiera ograniczony zestaw atrybutów dla każdego obiektu lasu w każdej domenie. Pobiera dane ze wszystkich partycji katalogu domeny w lesie i kopiuje je przy użyciu standardowego procesu replikacji usługi Active Directory.
Schemat określa, czy atrybut jest kopiowany. Jest taka możliwość konfigurowanie dodatkowych funkcji które zostaną odtworzone w wykazie globalnym przy użyciu „Schematu Active Directory”. Aby dodać atrybut do wykazu globalnego, wybierz atrybut replikacji i użyj opcji „Kopiuj”. Spowoduje to utworzenie replikacji atrybutu do wykazu globalnego. Wartość parametru atrybutu isMemberOfPartialAttributeSet stanie się prawdą.
W celu znajdź lokalizację katalog globalny, musisz wiersz poleceń wchodzić:
Serwer Dsquery – isgc
Replikowanie danych w Active Directory
Replikacja to procedura kopiowania, która jest wykonywana, gdy konieczne jest przechowywanie tych samych aktualnych informacji, które istnieją na dowolnym kontrolerze.
Jest produkowany bez udziału operatora... Istnieją następujące rodzaje zawartości replik:
- Repliki danych są tworzone ze wszystkich istniejących domen.
- Repliki schematów danych. Ponieważ schemat danych jest taki sam dla wszystkich obiektów w lesie Active Directory, jego repliki są zachowywane we wszystkich domenach.
- Dane konfiguracyjne. Pokazuje budowanie kopii wśród kontrolerów. Informacje dotyczą wszystkich domen w lesie.
Główne typy replik to repliki wewnątrzlokacyjne i międzylokacyjne.
W pierwszym przypadku po zmianach system czeka, a następnie powiadamia partnera o utworzeniu repliki w celu dokończenia zmian. Nawet w przypadku braku zmian proces replikacji następuje automatycznie po pewnym czasie. Po zastosowaniu zmian w katalogu następuje natychmiastowa replikacja.
Procedura replikacji między węzłami dzieje się pomiędzy minimalne obciążenie sieci, co pozwala uniknąć utraty informacji.
Konfiguracja Active Directory jest dość prostym procesem i jest uwzględniana w wielu zasobach w Internecie, w tym oficjalnych. Niemniej jednak na moim blogu nie mogę nie poruszyć tej kwestii, ponieważ większość dalszych artykułów będzie w jakiś sposób oparta na środowisku, którego oprawę planuję teraz zrobić.
Jeśli interesują Cię tematy związane z Windows Server, polecam odnieść się do tagu na moim blogu. Polecam również przeczytać główny artykuł o Active Directory -
Planuję wdrożyć rolę AD na dwoje Serwery Wirtualne(przyszłe kontrolery domeny) z kolei.
- Pierwszym krokiem jest ustawienie odpowiedniego nazwy serwerów, dla mnie będzie to DC01 i DC02;
- Następnie zarejestruj się statyczne ustawienia sieciowe(Omówię ten moment szczegółowo poniżej);
- zainstalować wszystkie aktualizacje systemu, zwłaszcza aktualizacje zabezpieczeń (jest to ważne dla CD bardziej niż dla jakiejkolwiek innej roli).
Na tym etapie musisz się zdecydować jaką nazwę domeny będziesz miał... Jest to niezwykle ważne, ponieważ późniejsza zmiana nazwy domeny będzie dla Ciebie bardzo dużym problemem, chociaż skrypt zmiany nazwy jest oficjalnie wspierany i wdrażany od dłuższego czasu.
Uwaga: nie Trochę rozumowania, a także wiele linków do przydatnych materiałów można znaleźć w moim artykule. Polecam zapoznać się z nim, a także z listą wykorzystanych źródeł.
Ponieważ będę używał zwirtualizowanych kontrolerów domeny, konieczna jest zmiana niektórych ustawień maszyn wirtualnych, a mianowicie wyłącz synchronizację czasu z hiperwizorem... Czas w AD powinien być synchronizowany wyłącznie ze źródeł zewnętrznych. Włączenie ustawień synchronizacji czasu z hiperwizorem może skutkować cykliczną synchronizacją i w efekcie problemami z działaniem całej domeny.
Uwaga: wyłączenie synchronizacji z hostem wirtualizacji jest najłatwiejsze i szybka opcja... Nie jest to jednak najlepsza praktyka. Firma Microsoft zaleca tylko częściowe wyłączenie synchronizacji hosta. Aby zrozumieć, jak to działa, przeczytaj oficjalną dokumentację, która w ostatnie lata dramatycznie podskoczył na poziomie prezentacji materiału .
Ogólnie rzecz biorąc, samo podejście do administrowania zwirtualizowanymi kontrolerami domeny różni się ze względu na niektóre funkcje usług AD DS:
Środowiska wirtualne stanowią szczególne wyzwanie w przypadku rozproszonych przepływów pracy, które opierają się na: schemat logiczny replikacja w czasie. Na przykład replikacja usług AD DS używa równomiernie rosnącej wartości (nazywanej USN lub seryjnym numerem aktualizacji), która jest przypisywana do transakcji na każdym kontrolerze domeny. Każdemu wystąpieniu bazy danych kontrolera domeny przypisywany jest również identyfikator o nazwie InvocationID. Identyfikator InvocationID kontrolera domeny i jego numer aktualizacji kroczącej razem służą jako unikatowy identyfikator skojarzony z każdą transakcją zapisu działającą na każdym kontrolerze domeny i muszą być unikatowe w obrębie lasu.
Na tym kończymy główne kroki przygotowania środowiska, przechodzimy do etapu instalacji.
Instalowanie Active Directory
Instalacja odbywa się za pomocą Menedżera serwera i nie ma w tym nic skomplikowanego, poniżej możesz zobaczyć szczegółowo wszystkie etapy instalacji:
Sam proces instalacji przeszedł pewne zmiany w porównaniu do poprzednie wersje System operacyjny:
Wdrażanie usług domenowych w usłudze Active Directory (AD DS) w systemie Windows Server 2012 jest łatwiejsze i szybsze niż w poprzednich wersjach systemu Windows Server. Instalacja AD DS jest teraz wykonywana na podstawie Windows PowerShell i jest zintegrowany z Menedżerem Serwera. Zmniejszono liczbę kroków wymaganych do wdrożenia kontrolerów domeny w istniejące środowisko Active Directory.
Należy wybrać tylko rolę Usługi domenowe Active Directory, nie trzeba instalować żadnych dodatkowych komponentów. Proces instalacji zajmuje niewiele czasu i możesz przejść od razu do konfiguracji.
Po zainstalowaniu roli zobaczysz wykrzyknik w prawym górnym rogu Menedżera serwera — musisz skonfigurować po wdrożeniu. Pchać Podnieś ten serwer do kontrolera domeny.
Awans serwera do kontrolera domeny
Kroki kreatora są szczegółowo opisane w dokumentacji. Przejdźmy jednak przez główne kroki.
Ponieważ wdrażamy AD od podstaw, musimy dodać nowy las. Pamiętaj, aby bezpiecznie przechowywać hasło trybu przywracania usług katalogowych (DSRM). Lokalizację bazy danych AD DS można pozostawić w lokalizacji domyślnej (co jest zalecane, ale dla zmiany określiłem inny katalog w moim środowisku testowym).
Czekamy na instalację.
Następnie serwer sam się zrestartuje.
Utwórz konta administratora domeny / przedsiębiorstwa
Musisz się zalogować pod konto lokalny administrator jak poprzednio. Idź do przystawki Użytkownicy i komputery Active Directory, utwórz wymagane konta - w tym momencie jest to administrator domeny.
Konfiguracja DNS na jednym kontrolerze domeny w domenie
Podczas instalacji AD zainstalowano również rolę AD DNS, ponieważ nie miałem w infrastrukturze żadnych innych serwerów DNS. Aby usługa działała poprawnie, musisz zmienić niektóre ustawienia. Najpierw musisz sprawdzić preferowane serwery DNS w ustawieniach adapter sieciowy... Musisz używać tylko jednego serwera DNS o adresie 127.0.0.1. Tak, jest to host lokalny. Domyślnie musi się zarejestrować.
Po upewnieniu się, że ustawienia są prawidłowe, otwórz przystawkę DNS. Kliknij prawym przyciskiem myszy nazwę serwera i otwórz jego właściwości, przejdź do zakładki „Forwarder”. Adres serwera DNS, który został określony w ustawieniach sieci przed zainstalowaniem roli AD DS, został automatycznie zarejestrowany jako jedyny przesyłający dalej:
Konieczne jest usunięcie go i utworzenie nowego, a wysoce pożądane jest, aby był to serwer dostawcy, ale nie adres publiczny, taki jak dobrze znane 8.8.8.8 i 8.8.4.4. Aby zapewnić odporność na uszkodzenia, zarejestruj co najmniej dwa serwery. Nie odznaczaj tego pola, aby używać wskazówek dotyczących roota, jeśli nie ma dostępnych usług przesyłania dalej. Łącza główne to dobrze znana pula serwerów DNS najwyższego poziomu.
Dodanie drugiego kontrolera domeny do domeny
Ponieważ początkowo mówiłem o posiadaniu dwóch kontrolerów domeny, czas zacząć konfigurować drugi. Przechodzimy również przez kreatora instalacji, podnosimy rolę do kontrolera domeny, wystarczy wybrać Dodaj kontroler domeny do istniejącej domeny:
Należy pamiętać, że w ustawienia sieci ten główny serwer Pierwszy skonfigurowany wcześniej kontroler domeny musi być wybrany jako serwer DNS! Jest to wymagane, w przeciwnym razie pojawi się błąd.
Po wymagane ustawienia zaloguj się do serwera na utworzone wcześniej konto administratora domeny.
Konfigurowanie DNS na wielu kontrolerach domeny w domenie
Aby zapobiec problemom z replikacją, musisz ponownie zmienić ustawienia sieciowe i należy to zrobić na każdym kontrolerze domeny (i na tych wcześniej istniejących) i za każdym razem, gdy dodawany jest nowy kontroler domeny:
Jeśli masz więcej niż trzy kontrolery domeny w swojej domenie, musisz zarejestrować serwery DNS przez dodatkowe ustawienia w tej kolejności. Więcej o DNS możesz przeczytać w moim artykule.
Ustawienie czasu
Ten krok jest koniecznością, zwłaszcza jeśli tworzysz prawdziwe środowisko produkcyjne. Jak pamiętacie, wcześniej wyłączyłem synchronizację czasu przez hypervisor, a teraz muszę to odpowiednio skonfigurować. Kontroler z rolą emulatora FSMO PDC jest odpowiedzialny za dystrybucję prawidłowego czasu do całej domeny (Nie wiesz, co to za rola? Przeczytaj artykuł). W moim przypadku jest to oczywiście pierwszy kontroler domeny, który jest natywnym nośnikiem wszystkich ról FSMO. 
Ustawimy czas na kontrolerach domeny za pomocą zasady grupy... Przypominamy, że konta komputerów kontrolerów domeny znajdują się w osobnym kontenerze i mają osobne domyślne zasady grupy. Nie ma potrzeby wprowadzania zmian w tej polityce, lepiej stworzyć nową.
Nazwij go tak, jak chcesz i jak obiekt zostanie utworzony, kliknij kliknij prawym przyciskiem myszy — Edytować... Iść do Konfiguracja komputera \ Zasady \ Szablony administracyjne \ System \ Usługa czasu systemu Windows \ Dostawcy czasu... Aktywacja polityk Włącz klienta Windows NTP i Włącz serwer Windows NTP, przejdź do właściwości polityki Skonfiguruj klienta Windows NTP i ustaw typ protokołu - NTP, nie dotykaj pozostałych ustawień:
Czekamy na zastosowanie zasad (zajęło mi to około 5-8 minut, pomimo uruchomienia gpupdate/force i kilku restartów), po czym otrzymujemy:
Ogólnie rzecz biorąc, konieczne jest upewnienie się, że tylko emulator kontrolera PDC synchronizuje czas ze źródeł zewnętrznych, a nie ze wszystkich kontrolerów domeny z rzędu, ale tak będzie, ponieważ zasady grupy są stosowane do wszystkich obiektów w kontenerze. Konieczne jest ponowne ukierunkowanie go na określony obiekt konta komputera, który jest właścicielem roli emulatora kontrolera PDC. Odbywa się to również za pomocą polityk grupowych - w konsoli gpmc.msc kliknij lewym przyciskiem wybraną politykę, a po prawej stronie zobaczysz jej ustawienia. W filtrach bezpieczeństwa musisz dodać konto wymaganego kontrolera domeny:
Przeczytaj więcej o tym, jak działa usługa czasu i jak ją skonfigurować w oficjalnej dokumentacji.
To jest ustawienie czasu, a wraz z nim początkowe ustawienia Ukończono Active Directory.
Windows Server 2016 ma kilka całkiem fajnych nowych funkcji, takich jak tymczasowe członkostwo w grupie AD, zarządzanie uprzywilejowanym dostępem i nie tylko. Postaram się je bardziej szczegółowo opisać w kolejnych artykułach. W tym artykule pokażę jak zainstalować Aktywna domena Katalog w Windows Server 2016. Aby zainstalować AD, oprogramowanie serwera minimalne wymagania musi spełniać następujące warunki:
procesor:
- 64-bitowy procesor o częstotliwości co najmniej 1,4 GHz
- obsługa NX, DEP, CMPXCHG16b, LAHF / SAHF, PrefetchW, translacja adresów drugiego poziomu (EPT lub NPT)
Pamięć
- co najmniej 512 MB (dla wersji Server Core i Nano), 2 GB dla wersji Windows Server z graficznym interfejsem użytkownika
- ECC (Kod korekcji błędów) lub obsługa analogowa
Wymagania dotyczące kontrolera dysku i lokalizacji:
Kontroler dysku do instalacji systemu Windows Server 2016 musi być zgodny z Specyfikacja PCI Wyrazić. Windows Server 2016 nie pozwala na użycie dysków ATA / PATA / IDE / EIDE do uruchamiania, przechowywania pliku stronicowania lub dysków danych
Minimalny rozmiar partycji na system: 32 GB
Adapter sieciowy:
- sieć Adapter Ethernet z wydajność nie mniej niż 1 Gb/s
- Zgodność z architekturą PCI Express
- Obsługa środowiska PXE (-boot Execution Environment)
- Wsparcie debugowania sieci (KDNet) jest pożądane (ale nie wymagane)
W tym przykładzie używam maszyna wirtualna uruchomiony na serwerze VMWare ESXi, na którym jest zainstalowany system Windows Server 2016.
1) Zaloguj się do serwera jako administratorzy lokalni. Oprócz roli usługa zostanie również zainstalowana na serwerze. DNS... Zmieńmy ustawienia interfejsu sieciowego, określając własny adres IP serwera lub 127.0.0.1 jako podstawowy serwer DNS.
2) Następnie otwórz Menedżera serwera, klikając odpowiednią ikonę lub uruchamiając polecenie w konsoli PowerShell.
3) W oknie Menedżer serwera kliknij
4) W oknie Kreatora dodawania ról i funkcji kliknij Kolejny.
5) W następnym oknie kliknij Kolejny
6) Ponieważ instalacja odbywa się w dniu serwer lokalny, w następnym oknie pozostaw przełącznik w pierwotnej pozycji i kliknij Dalej
7) W następnym oknie, na liście ról, wybierz Usługi domenowe Active Directory... W otwartym oknie zostanie wyświetlona lista powiązanych komponentów, które należy zainstalować wraz z rolą ADDS. Naciśnij przycisk Dodać funkcje, i wtedy Kolejny.
8) Elementy wymagane do instalacji powinny być już zaznaczone na liście elementów. Kliknij Kolejny.
9) Następne okno pokazuje mały opis rola AD DS... Kliknij Następny.
10) Przejrzyj listę ról i funkcji wybranych do instalacji. Naciśnij przycisk, aby rozpocząć instalację. zainstalować.
11) Na ekranie pojawi się aktualny stan procesu instalacji 
12) Po zakończeniu instalacji kliknij łącze
13) Uruchom Kreatora konfiguracji usługi Active Directory. W moim przypadku zakładam nowy las AD. W przypadku dodania dodatkowy kontroler domeny do istniejącej domeny, wybierz odpowiednią opcję. wybieram opcję Dodaj nowy las i wskaż FQDN nazwy domeny (test.net).
14) W następnym oknie musisz określić poziom funkcjonalności domeny i lasu AD. Wybrałem najnowszą wersję schematu AD - Windows Server 2016... Ponadto serwer ten będzie działał jako serwer DNS i będzie Katalogiem globalnym. Aby przejść do trybu DSRM, należy również określić hasło administratora.
15) Ponieważ mój serwer będzie pierwszy serwer DNS w lesie nie ma potrzeby konfigurowania delegowania DNS. Więc po prostu naciśnij Kolejny.
16) Nazwa domeny NETBIOS pozostanie niezmieniona (TEST)
17) Na następnym ekranie musisz podać ścieżkę do katalogów NTDS, SYSVOL i LOG... Domyślnie zostawimy wszystkie ścieżki, zakładając, że wszystkie foldery będą przechowywane w katalogu dysk systemowy C: \ Windows.
18) Na następnym ekranie możesz zobaczyć listę wybranych ustawień. Jeśli wszystko jest w porządku, kliknij Dalej, jeśli nie, wróć i wprowadź zmiany.
20) Rozpocznie się proces instalacji kontrolera domeny
21) Po zakończeniu instalacji serwer automatycznie uruchomi się ponownie. Zaloguj się do serwera przy użyciu konta administratora domeny.
22) Po zalogowaniu uruchom uprzywilejowaną sesję powershell i wykonaj polecenie. Otworzy się okno Centrum administracyjne usługi Active Directory. Możesz zacząć zarządzać zasobami domeny
23) Używając następujących poleceń, możesz sprawdzić aktualny poziom funkcjonalności poleceń domeny i lasu Get-ADDomain | fl Nazwa, DomainMode i Get-ADForest | fl Nazwa, Tryb lasu
- Instruktaż
Dzień dobry wszystkim. Chciałbym porozmawiać o instalacji i konfiguracji systemu Windows Server 2012 R2 Essentials. Ten artykuł nie jest wezwaniem do wszechobecnych Instalacja systemu Windows lub promować produkty firmy Microsoft. Chciałabym tylko opowiedzieć o ciekawym produkcie, a może o kimś ten produkt zainteresuje Cię i przyda się w Twojej pracy. Starałem się napisać artykuł dla nieprzygotowanego czytelnika, zatem minimum terminologii, a maksimum uogólnienia niektórych pojęć.
Trochę o edycji Essentials
Windows Server 2012 R2 Essentials to jedna z edycji serwerowego systemu operacyjnego firmy Microsoft. Jednak ma wiele różnic w stosunku do edycji Standard i Datacenter. Co potrafią Essentials:- Autoryzacja i uwierzytelnianie użytkowników w Twojej sieci (kontroler domeny Active Directory)
- Magazyn plików (rola serwera plików)
- Zdalny dostęp do sieć korporacyjna(serwer VPN i DirectAccess)
- Zdalny dostęp do przechowywania plików przez interfejs sieciowy (skonfigurowany dla tego IIS)
- Zdalny dostęp do pulpitów maszyn klienckich (Remote Desktop Gateway)
- Tworzenie kopii zapasowych komputerów klienckich (kopia zapasowa systemu Windows)
- Tworzenie kopii zapasowej samego serwera (kopia zapasowa systemu Windows)
- Integracja z technologie chmurowe Microsoft (Office 365, kopia zapasowa Azure itp.)
- Essentials ujednolicona konsola konfiguracyjna, która pozwoli skonfigurować opisane powyżej możliwości nawet niedoświadczonemu administratorowi systemu.
To sprawia, że Essentials bardzo dobrze nadaje się dla małych organizacji, które chciałyby korzystać z większości nowoczesne rozwiązania zapewnienie bezpieczeństwa sieci firmowej, przechowywanie dokumentów, zdalny dostęp, możliwie, systemy pocztowe... Dla tych organizacji, które nie chcą wydawać dużych pieniędzy zarówno na samą infrastrukturę IT, jak i na pracę wysoko wykwalifikowanych administratorów systemów.
Instalacja i wstępna konfiguracja
Instalacja tego systemu operacyjnego jest dość standardowa procedura... Jeśli kiedykolwiek zainstalowałeś Windows Vista/7/8/8.1, możesz zainstalować Essentials bez żadnych problemów. Jeśli jednak nie zainstalowałeś żadnego z powyższych systemów operacyjnych lub żadnego z najnowsze wersje serwerowy OS, to polecam zaufać profesjonalistom lub przynajmniej studentom drugiego roku.Jedyną rzeczą, którą poleciłbym podczas instalacji, jeśli masz jeden dysk twardy, to podzielenie go na dwie partycje. Te. spraw, aby po instalacji w systemie był drugi już sformatowany Dysk twardy... Oczywiście to tylko zalecenie, w przyszłości możesz przygotować drugi dysk, ale będziesz musiał przenieść niektóre foldery.
Po pierwszym zalogowaniu się do nowo zainstalowanego systemu operacyjnego uruchomi się kreator „Konfiguruj Windows Server Essentials”, który przeprowadzi Cię przez początkową konfigurację.
W pierwszym kroku musisz skonfigurować ustawienia daty i godziny.
W drugim kroku należy wypełnić dalej język angielski Nazwa firmy. W tym przypadku nazwa domeny i nazwa serwera zostaną wygenerowane automatycznie, choć oczywiście możesz je zmienić.
W kolejnym kroku musisz podać nazwę administratora i ustawić jego hasło.
W ostatnim kroku musisz określić metodę aktualizacji systemu operacyjnego i kliknąć konfiguruj
Następnie rozpocznie się proces, który dokona wszystkich niezbędnych ustawień początkowych. Zajmie to około 30 minut i będzie wymagało kilku restartów. W tym czasie system operacyjny będzie miał czas w szczególności na zainstalowanie niezbędnych ról i skonfigurowanie serwera jako kontrolera domeny dla nowej domeny.
Dostosowywanie
Produkt jest bardzo duży i rozbudowany, chciałbym opowiedzieć o najbardziej podstawowych opcjach konfiguracyjnych, takich jak tworzenie użytkowników, konfigurowanie zdalnego dostępu, tworzenie folderów, łączenie klientów.Cała konfiguracja odbywa się w desce rozdzielczej, można uzyskać do niej dostęp z pulpitu, panelu szybki start i ekran startowy.
Utwórz użytkowników
Gdy uruchomisz ten panel po raz pierwszy, zobaczysz zakładkę instalacji, w której możesz wykonać szereg zadań związanych z konfiguracją serwera.Zacznę od dodania użytkowników. Klikamy link, aby dodać konta.
Wybór poziomu dostępu do udostępnione foldery które zostały stworzone. Na początkowym etapie jest tylko jedna - Organizacja. W przyszłości uprawnienia dostępu można zmieniać zarówno we właściwościach użytkownika, jak i we właściwościach folderu.
Konto zostało utworzone. Naciskamy blisko.
W ten sposób można utworzyć wiele kont. Oczywiście możesz używać zarówno znanego, jak i znanego interfejsu Użytkownicy i komputery usługi Active Directory, ale w tym przypadku będziesz musiał wydać uprawnienia za pomocą piór.
Dodawanie folderów serwera
Aby dodać foldery, jest inny kreator, który pomoże Ci utworzyć folder na dysku, i dostęp ogólny skonfigurować dla niego i wydać uprawnienia. Aby go uruchomić, musisz kliknąć odpowiedni link na pulpicie nawigacyjnym.
W otwartym oknie kreatora wprowadź nazwę. Możesz zmienić lokalizację i dodać opis. Kliknij Dalej.
Na następnej stronie wskazujemy wymagane uprawnienia. W razie potrzeby uniemożliwiamy dostęp zdalny.
Od ostatniego kroku tego kreatora możesz uruchomić Kreatora konfiguracji kopii zapasowej. Kliknij zamknij.
Konfigurowanie zdalnego dostępu
Jeden z najtrudniejszych kroków podczas konfigurowania systemu Windows Server 2012R2 Essentials. Konfiguracja odbywa się również za pomocą kreatora. Kreator jest tradycyjnie uruchamiany z pulpitu nawigacyjnego.
Pierwszą rzeczą, którą musisz skonfigurować, jest router - kreator poinformuje Cię o tym. Właściwie musisz skonfigurować przekierowanie portów na routerze. Aby to zrobić, router musi mieć „biały” adres IP. A na samym serwerze lepiej skonfigurować statyczny adres IP. Musisz przekierować następujące porty 80, 443, 1723, 987 na adres IP Twojego serwera. Zasadniczo procedurę konfiguracji można przeprowadzić sam kreator, jeśli router obsługuje UPnP. Dokonałem korekt za pomocą pisaków, więc pominąłem ten krok.
Spowoduje to otwarcie nowego kreatora konfiguracji nazwy domeny. Kliknij Dalej.
Kreator poprosi o wprowadzenie nazwy domeny zewnętrznej lub utworzenie nowej. Do własnej domeny potrzebny będzie certyfikat, więc rozważmy tutaj opcję konfiguracji przy użyciu domeny Microsoft. Wybierz inną nazwę domeny i kliknij Dalej.
Rozważ opcję z domeną Microsoft.
Wpisz nazwę domeny i sprawdź dostępność, kliknij konfiguruj.
Dobrze uporządkowane z nazwą domeny. Kontynuujemy - dalej.
Wybór funkcji, które będą dostępne.
Wybieramy, czy zdalny dostęp będzie dostępny dla obecnych użytkowników.
Cóż, to wszystko, co możesz spróbować, aby przejść do witryny wiseguy.remoteweaccess.com.
Z tej witryny można uzyskać dostęp do folderów współdzielonych i dostęp do pulpitów użytkowników.
Podłączanie stacji roboczych
Jeśli tym razem otworzymy dashboard i przejdziemy na stronę łączenia komputerów, zobaczymy tam tylko instrukcje działania.
Postępując zgodnie z instrukcjami klienta w przeglądarce, otwórz stronę http://<Имя сервера>/ połączyć. Kliknij łącze pobierania.
Decydujemy się na wykonanie.
Akceptujemy licencję i czekamy.
Wpisz nazwę użytkownika i hasło użytkownika ten komputer lub administratorem. Wszedłem na konto użytkownika.
Restartujemy serwer.
Wybieramy, kto będzie korzystał z komputera.
Wprowadzamy opis komputera.
Opcje archiwizacji.
Hurra! Gotowy.
Idziemy do komputera pod kontem użytkownika.
Możesz pracować. Pulpit ma już wszystkie niezbędne skróty.
Post Scriptum
Oczywiście Windows Server 2012R2 Essentials nie jest panaceum. Wiele jest w nim zautomatyzowanych, ale nie wszystko. Jednak w przypadku małych organizacji jest to bardzo ciekawe rozwiązanie i należy to rozważyć. W tym artykule omówiłem tylko najbardziej podstawowe ustawienia Essentials. Jeśli chcesz bliżej poznać produkt, możesz obejrzeć moje relacje wideo na stronie Techdays.ru.Windows Server 2012 R2 Essentials na pierwszy rzut oka: www.techdays.ru/videos/7351.html - tutaj możesz dokładnie przestudiować proces instalacji Essentials.
Ustawienie Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7370.html — rozważono skonfigurowanie wszystkich funkcji, pokazując konfigurację zdalnego dostępu do Twojej domeny.
Windows Server 2012 R2 Essentials Integracja Office 365: www.techdays.ru/videos/7380.html - integracja z biurem w chmurze firmy Microsoft.
W tym artykule znajdziesz szczegółowe informacje instrukcja krok po kroku o instalacji i konfiguracji od podstaw roli Active Directory w oparciu o Windows Server 2012. Instrukcja będzie oparta na wersji angielskiej. Czasami podawane są nazwy parametrów i poleceń, podobnie jak w rosyjskiej wersji systemu Windows Server 2012.
Przygotowanie
Przed skonfigurowaniem roli Active Directory należy wykonać Dostosowywanie systemu Windows Serwer 2012 - zestaw Statyczny adres IP i Przemianować komputer.
Aby ustawić statyczny adres IP, kliknij prawym przyciskiem myszy ikonę Sieć na pasku zadań i wybierz Centrum udostępniania sieci otwartej -> Zmień ustawienia adaptera... Wybierz kartę, która wygląda na sieć wewnętrzną. Właściwości -> Protokół internetowy w wersji 4 (TCP/IPv4) i ustaw adres IP podobny do pokazanego na obrazku.
192.168.0.11 - adres IP aktualnego serwera - pierwszego kontrolera domeny.
192.168.0.254 - adres IP bramy.
Teraz musisz zmienić nazwę serwera i zrestartować go. Start -> System -> Zmień ustawienia -> Nazwa komputera -> Zmień. Wprowadź nazwę komputera. W tym przykładzie serwer będzie miał nazwę DC1.
Instalowanie roli Active Directory w systemie Windows Server 2012
Więc później wstępne ustawienie serwer, przejdź do instalacji roli usługi katalogowej.
Start -> Menedżer serwera(Start -> Menedżer serwera).
Dodaj role i funkcje -> Dalej
Wybierać Instalacja oparta na rolach lub funkcjach(Instalowanie ról i funkcji) -> Dalej
Wybierz serwer, na którym zainstalowana jest rola AD i kliknij Dalej. Wybierz serwer z puli serwerów-> Dalej
Wybór roli Usługi domenowe Active Directory(Active Directory Domain Services), po czym pojawi się okno z monitem o dodanie ról i funkcji wymaganych do zainstalowania roli AD. Kliknij przycisk Dodaj funkcje.
Możesz także wybrać rolę serwera DNS. Jeśli zapomnisz zaznaczyć pole, aby dodać rolę serwera DNS, nie musisz się zbytnio martwić, ponieważ można go dodać później, na etapie konfiguracji roli AD.
Następnie naciśnij za każdym razem przycisk Dalej i ustaw rolę.
Konfigurowanie usług domenowych Active Directory
Po zainstalowaniu roli zamknij okno - Zamknij. Teraz musisz przejść do konfiguracji roli AD.
W oknie Menedżera serwera kliknij ikonę flagi powiadomienia i kliknij Podnieś ten serwer do kontrolera domeny(Promuj ten serwer na kontroler domeny) na płytce konfiguracji po wdrożeniu.
Wybierać Dodaj nowy las(Dodaj nowy las), wprowadź nazwę domeny i kliknij Dalej.
Możesz wybrać zgodność między poziomem funkcjonalności lasu a domeną główną. System Windows Server 2012 jest instalowany domyślnie.
Na tej karcie możesz wyłączyć rolę serwera DNS. Ale w naszym przypadku zostawiamy kleszcza.
W następnym kroku kreator ostrzega, że dla tego serwera DNS nie utworzono delegacji ( Nie można utworzyć delegacji dla tego serwera DNS, ponieważ nie można znaleźć autorytatywnej strefy nadrzędnej lub nie działa serwer DNS systemu Windows. W przeciwnym razie nie jest wymagane żadne działanie.).
Kliknij Następny.
W następnym kroku możesz zmienić nazwę NetBIOS przypisaną do domeny. Nie zrobimy tego. Po prostu kliknij Dalej.
W następnym kroku możesz zmienić ścieżki do katalogów baz danych AD DS (Active Directory Domain Services), plików dziennika i folderu SYSVOL. Niczego nie zmienimy. Kliknij przycisk Dalej.
Następny krok wyświetla podsumowanie konfiguracji. Klikając przycisk Wyświetl skrypt, możesz wyświetlić skrypt Powershell, który skonfiguruje usługi domenowe w usłudze Active Directory.
# Skrypt programu Windows PowerShell do wdrażania usług AD DS
Import-Module ADDSDeployment Install-ADDSForest `-CreateDnsDelegation: $ false` -DatabasePath "C: \ Windows \ NTDS" `-DomainMode" Win2012 "` -DomainName "site" `-DomainNetbiosName" ITME "` -ForestMode "Win2012" `- InstallDns: $ true `-LogPath" C: \ Windows \ NTDS "` -NoRebootOnCompletion: $ false `-SysvolPath" C: \ Windows \ SYSVOL "` -Force: $ true
Po upewnieniu się, że wszystko jest w porządku, kliknij przycisk Dalej.
Następnym krokiem jest sprawdzenie, czy wszystkie wymagania wstępne są spełnione. Wtedy pokaże nam raport. Jednym z obowiązkowych wymagań jest: Ustaw hasło lokalny administrator. Na samym dole można przeczytać ostrzeżenie, że po naciśnięciu przycisku Instaluj poziom serwera zostanie podniesiony do kontrolera domeny i nastąpi automatyczne ponowne uruchomienie.
Powinien pojawić się napis Wszystkie kontrole wymagań wstępnych zostały pomyślnie zakończone. Kliknij "zainstaluj", aby rozpocząć instalację.
Kliknij przycisk Zainstaluj.
Po zakończeniu wszystkich ustawień serwer uruchomi się ponownie, a Ty dokonasz pierwszego wpisu komputera do domeny. Aby to zrobić, musisz podać login i hasło administratora domeny.
Na to podstawowe ustawienia Usługi katalogowe Active Directory zostały zakończone. Oczywiście jest jeszcze dużo pracy do wykonania przy tworzeniu dywizji, tworzeniu nowych użytkowników, ustawianiu grupowych polityk bezpieczeństwa,...
Dodatkowe informacje o artykule
Żegnaj dcpromo, witaj Powershell
Wszyscy już wiedzą z zapowiedzi, że narzędzie dcpromo jest przestarzałe. Jeśli uruchomisz dcpromo w wierszu polecenia, pojawi się okno ostrzeżenia z monitem o użycie Menedżera serwera.
Kreator instalacji usług Active Directory zostanie przeniesiony w Menedżerze serwera.
Jednak tego polecenia można użyć z parametrem automatyczne strojenie — dcpromo / nienadzorowane... Gdy serwer działa w trybie Core, nie będzie ostrzeżenia, aw wierszu poleceń pojawi się informacja o użyciu narzędzia dcpromo.
Wszystkie te zmiany wynikają z faktu, że w Windows Server 2012 położono nacisk na administrację przy użyciu Powershell.
Składniki związane z usługą Active Directory usunięte z systemu Windows Server 2012
Usługi federacyjne Active Directory (AD FS)
- Aplikacje korzystające z agentów internetowych „NT token mode” nie są już obsługiwane. Te aplikacje muszą zostać przeniesione do Windows Identity Foundation i użyć usługi Oświadczenia do tokenu systemu Windows, aby przekonwertować nazwę UPN z tokenu SAML na token systemu Windows do użycia w aplikacji.
- Grupy zasobów nie są już obsługiwane (opis grup zasobów znajduje się na stronie http://technet.microsoft.com/library/cc753670(WS.10).aspx)
- Możliwość używania Active Directory Lightweight Directory Services (AD LDS) jako repozytorium wyników uwierzytelniania nie jest już obsługiwana.
- Wymaga migracji do AD FS w systemie Windows Server 2012. Uaktualnienie w miejscu z AD FS 1.0 lub ze „standardowej” wersji AD FS 2.0 nie jest obsługiwane.
