Active Directory (AD) to narzędzia zaprojektowane dla systemu operacyjnego Microsoft Server. Pierwotnie został stworzony jako lekki algorytm dostępu do katalogów użytkowników. Integracja z usługami autoryzacyjnymi została wprowadzona od Windows Server 2008.
Umożliwia wymuszenie zasad grupy, które stosują te same ustawienia i oprogramowanie do wszystkich kontrolowanych komputerów za pomocą programu System Center Configuration Manager.
W prostych słowach dla początkujących jest to rola serwera, która pozwala zarządzać wszystkimi dostępami i uprawnieniami w sieci lokalnej z jednego miejsca
Funkcje i cele
Microsoft Active Directory - (tzw. Katalog) pakiet narzędzi pozwalający na manipulowanie użytkownikami i danymi sieciowymi. główny cel Tworzenie - Ułatwia pracę administratorom systemów w dużych sieciach.
Katalogi zawierają różne informacje dotyczące użytkowników, grup, urządzeń sieciowych, zasobów plikowych - jednym słowem obiektów. Na przykład atrybuty użytkownika przechowywane w katalogu muszą być następujące: adres, login, hasło, numer telefonu komórkowego itp. Katalog jest używany jako punkty uwierzytelniania, za pomocą którego możesz znaleźć niezbędne informacje o użytkowniku.
Podstawowe pojęcia napotykane podczas pracy
Istnieje wiele specjalistycznych pojęć, które mają zastosowanie podczas pracy z AD:
- Serwer to komputer zawierający wszystkie dane.
- Kontroler - serwer z rolą AD, który obsługuje żądania od osób korzystających z domeny.
- Domena AD to zbiór urządzeń zgrupowanych razem pod jedną unikalną nazwą, które jednocześnie współużytkują wspólną bazę danych katalogu.
- Magazyn danych to część katalogu odpowiedzialna za przechowywanie i pobieranie danych z dowolnego kontrolera domeny.
Jak działają aktywne katalogi
Główne zasady pracy to:
- Upoważnienie, za pomocą którego można korzystać z komputera w sieci po prostu po wprowadzeniu osobistego hasła. W takim przypadku wszystkie informacje z konta zostaną przeniesione.
- Bezpieczeństwo... Usługa Active Directory zawiera funkcję rozpoznawania użytkowników. Dla dowolnego obiektu sieciowego możesz zdalnie z jednego urządzenia ustawić niezbędne uprawnienia, które będą zależne od kategorii i konkretnych użytkowników.
- Administracja sieci z jednego punktu. Pracując z Active Directory, administrator systemu nie musi rekonfigurować wszystkich komputerów, jeśli trzeba zmienić prawa dostępu, np. Do drukarki. Zmiany są dokonywane zdalnie i globalnie.
- Pełny integracja DNS... Z jego pomocą nie ma zamieszania w AD, wszystkie urządzenia są oznaczone w taki sam sposób, jak w sieci WWW.
- Na dużą skalę... Zbiór serwerów może być kontrolowany przez jedną usługę Active Directory.
- Szukaj odbywa się według różnych parametrów, na przykład nazwy komputera, loginu.
Obiekty i atrybuty
Obiekt - zbiór atrybutów, zjednoczonych pod własną nazwą, reprezentujących zasób sieciowy.
Atrybut - charakterystyka obiektu w katalogu. Na przykład obejmują one imię i nazwisko użytkownika, login. Ale atrybutami konta PC może być nazwa tego komputera i jego opis.
„Pracownik” - obiekt, który posiada atrybuty „Imię i nazwisko”, „Stanowisko” i „TabN”.
Kontener i nazwa LDAP
Pojemnik - rodzaj obiektów, które mogą składają się z innych obiektów... Na przykład domena może zawierać obiekty kont.
Ich głównym celem jest zamawianie przedmiotów według rodzajów znaków. Najczęściej kontenery służą do grupowania obiektów o tych samych atrybutach.
Prawie wszystkie kontenery wyświetlają kolekcję obiektów, a zasoby są reprezentowane przez unikalny obiekt usługi Active Directory. Jednym z głównych typów kontenerów AD jest jednostka organizacyjna lub OU (jednostka organizacyjna). Obiekty umieszczone w tym kontenerze należą tylko do domeny, w której zostały utworzone.
Protokół Lightweight Directory Access Protocol (LDAP) to podstawowy algorytm połączenia TCP / IP. Został zaprojektowany w celu zmniejszenia ilości niuansów podczas dostępu do usług katalogowych. Protokół LDAP definiuje również działania używane do wykonywania zapytań i edycji danych katalogu.
Drzewo i miejsce
Drzewo domeny to struktura, zbiór domen, które mają wspólny schemat i konfigurację, które tworzą wspólną przestrzeń nazw i są połączone zaufaniem.
Las domeny to zbiór połączonych ze sobą drzew.
Lokacja to zbiór urządzeń w podsieciach IP, reprezentujących fizyczny model sieci, którego planowanie jest wykonywane niezależnie od logicznej reprezentacji jej budowy. Usługa Active Directory ma możliwość tworzenia n-tej liczby witryn lub łączenia n-tej liczby domen w jednej witrynie.
Instalowanie i konfigurowanie usługi Active Directory
Przejdźmy teraz bezpośrednio do konfigurowania usługi Active Directory na przykładzie systemu Windows Server 2008 (w innych wersjach procedura jest identyczna):
Kliknij przycisk „OK”. Należy zauważyć, że te wartości są opcjonalne. Możesz użyć adresu IP i DNS ze swojej sieci. 
- Następnie przejdź do menu „Start”, wybierz „Narzędzia administracyjne” i „”.
- Przejdź do pozycji „Role”, wybierz pole „ Dodaj role”.
- Wybierz „Usługi domenowe w usłudze Active Directory”, kliknij dwukrotnie „Dalej”, a następnie „Instaluj”.
- Zaczekaj na zakończenie instalacji.
- Otwórz menu „Start” - „ Wykonać”. Wpisz w polu dcpromo.exe.
- Kliknij Następny".
- Wybierz przedmiot " Utwórz nową domenę w nowym lesie”I ponownie kliknij„ Dalej ”.
- W następnym oknie wprowadź nazwę i kliknij „Dalej”.
- Wybierać tryb zgodności (Windows Server 2008).
- W następnym oknie pozostaw wszystko jako domyślne.
- Zacznie się okno konfiguracjiDNS... Ponieważ nie był wcześniej używany na serwerze, nie utworzono delegacji.
- Wybierz katalog do instalacji.
- Po tym kroku musisz ustawić hasło administratora.
Aby zapewnić niezawodność, hasło musi spełniać następujące wymagania:
Po zakończeniu konfigurowania składników przez usługę AD należy ponownie uruchomić serwer.
Konfiguracja jest zakończona, przystawka i rola są zainstalowane w systemie. Usługę AD można zainstalować tylko w systemie Windows z rodziny serwerów, zwykłe wersje, na przykład 7 lub 10, pozwalają tylko na zainstalowanie konsoli zarządzania.
Administracja w Active Directory
Domyślnie w systemie Windows Server konsola Użytkownicy i komputery usługi Active Directory współpracuje z domeną, do której należy komputer. Możesz uzyskać dostęp do komputera i obiektów użytkowników w tej domenie za pośrednictwem drzewa konsoli lub połączyć się z innym kontrolerem.
Narzędzia tej samej konsoli umożliwiają przeglądanie dodatkowe opcje obiekty i szukać ich, możesz tworzyć nowych użytkowników, grupy i zmieniać uprawnienia.
Nawiasem mówiąc, jest 2 rodzaje grup w Active Directory - bezpieczeństwo i dystrybucja. Grupy zabezpieczeń są odpowiedzialne za różnicowanie praw dostępu do obiektów; mogą być używane jako grupy dystrybucyjne.
Grupy dystrybucyjne nie mogą rozróżniać uprawnień, ale służą głównie do wysyłania wiadomości w sieci.
Co to jest delegowanie AD
Sama delegacja jest przeniesienie części zezwoleń i kontroli od obiektu nadrzędnego do drugiej odpowiedzialnej strony.
Wiadomo, że każda organizacja ma w swojej siedzibie kilku administratorów systemu. Różne zadania powinny być przypisane różnym barkom. Aby zastosować zmiany, musisz mieć uprawnienia i uprawnienia, które są podzielone na standardowe i specjalne. Specjalne - mają zastosowanie do konkretnego obiektu, a standard to zestaw istniejących uprawnień, które udostępniają lub uniemożliwiają określone funkcje.
Nawiązanie relacji zaufania
AD ma dwa rodzaje relacji zaufania: jednokierunkowe i dwukierunkowe. W pierwszym przypadku jedna domena ufa drugiej, ale nie odwrotnie; w związku z tym pierwsza ma dostęp do zasobów drugiej, a druga nie. W drugim typie zaufanie jest „wzajemne”. Istnieją również relacje „wychodzące” i „przychodzące”. W ruchu wychodzącym pierwsza domena ufa drugiej, umożliwiając użytkownikom drugiej korzystanie z zasobów pierwszej.
Podczas instalacji należy wykonać następujące procedury:
- Czek połączenia sieciowe pomiędzy kontrolerami.
- Sprawdź ustawienia.
- Melodia Rozpoznawanie nazw dla domen zewnętrznych.
- Utwórz łącze ze strony domeny ufającej.
- Utwórz relację z kontrolera, do którego kierowane jest zaufanie.
- Sprawdź utworzoną relację jednokierunkową.
- Jeśli jest potrzeba w nawiązywaniu stosunków dwustronnych - do wykonania instalacji.
Katalog globalny
Jest to kontroler domeny, który przechowuje kopie wszystkich obiektów w lesie. Daje użytkownikom i programom możliwość wyszukiwania obiektów w dowolnej domenie bieżącego lasu przy użyciu odkrywcy atrybutówzawarte w katalogu globalnym.
Wykaz globalny (GC) zawiera ograniczony zestaw atrybutów dla każdego obiektu lasu w każdej domenie. Pobiera dane ze wszystkich partycji katalogu domeny w lesie i kopiuje je przy użyciu standardowego procesu replikacji usługi Active Directory.
Schemat określa, czy atrybut jest kopiowany. Jest taka możliwość konfigurowanie dodatkowych funkcjido odtworzenia w wykazie globalnym przy użyciu „schematu usługi Active Directory”. Aby dodać atrybut do wykazu globalnego, wybierz atrybut replikacji i użyj opcji „Kopiuj”. Spowoduje to replikację atrybutu do wykazu globalnego. Wartość parametru atrybutu isMemberOfPartialAttributeSet stanie się prawdą.
Do znaleźć lokalizację katalog globalny, należy wpisać w linii poleceń:
Serwer Dsquery –isgc
Replikowanie danych w usłudze Active Directory
Replikacja to procedura kopiowania wykonywana, gdy konieczne jest przechowywanie tych samych aktualnych informacji, które istnieją na dowolnym kontrolerze.
Jest produkowany bez udziału operatora... Istnieją następujące typy zawartości repliki:
- Repliki danych są tworzone ze wszystkich istniejących domen.
- Repliki schematów danych. Ponieważ schemat danych jest taki sam dla wszystkich obiektów w lesie usługi Active Directory, jego repliki są zachowywane we wszystkich domenach.
- Dane konfiguracyjne. Pokazuje tworzenie kopii między kontrolerami. Informacje dotyczą wszystkich domen w lesie.
Główne typy replik to intrasite i inter-site.
W pierwszym przypadku po zmianach system czeka, a następnie powiadamia partnera o utworzeniu repliki w celu zakończenia zmian. Nawet przy braku zmian proces replikacji następuje automatycznie po pewnym czasie. Po zastosowaniu krytycznych zmian w katalogach replikacja następuje natychmiast.
Procedura replikacji między węzłami dzieje się pomiędzy minimalne obciążenie sieci, pozwala to uniknąć utraty informacji.
Konfiguracja Active Directory jest dość prostym procesem i jest rozważana w wielu zasobach w Internecie, w tym w oficjalnych. Niemniej jednak na moim blogu nie mogę się powstrzymać od poruszenia tego punktu, ponieważ większość dalszych artykułów będzie w jakiś sposób oparta na środowisku, którego ustawienie planuję teraz zrobić.
Jeśli interesują Cię tematy związane z Windows Server, polecam sprawdzić tag na moim blogu. Polecam również przeczytanie głównego artykułu na temat Active Directory -
Planuję po kolei wdrożyć rolę AD na dwóch serwerach wirtualnych (przyszłych kontrolerach domeny).
- Pierwszym krokiem jest ustawienie odpowiedniego nazwy serwerówdla mnie będzie to DC01 i DC02;
- Następny rejestr statyczne ustawienia sieciowe (Rozważę ten moment szczegółowo poniżej);
- zainstalować wszystkie aktualizacje systemu, zwłaszcza aktualizacje zabezpieczeń (jest to ważne w przypadku dysku CD, jak w przypadku żadnej innej roli).
Na tym etapie musisz zdecydować jaką będziesz mieć nazwę domeny... Jest to niezwykle ważne, ponieważ później zmiana nazwy domeny będzie dla Ciebie bardzo dużym problemem, chociaż skrypt zmiany nazwy jest oficjalnie wspierany i wdrażany od dawna.
Uwaga:n w moim artykule można znaleźć uzasadnienie, a także wiele linków do przydatnych materiałów. Polecam zapoznać się z nim, a także z listą wykorzystanych źródeł.
Ponieważ będę korzystał ze zwirtualizowanych kontrolerów domeny, konieczna jest zmiana niektórych ustawień maszyn wirtualnych, a mianowicie wyłącz synchronizację czasu z hiperwizorem... Czas w AD powinien być synchronizowany wyłącznie ze źródeł zewnętrznych. Włączone ustawienia synchronizacji czasu z hiperwizorem mogą skutkować cykliczną synchronizacją iw efekcie problemami z działaniem całej domeny.
Uwaga: wyłączenie synchronizacji z hostem wirtualizacji jest najłatwiejszą i najszybszą opcją. Jednak nie jest to najlepsza praktyka. Firma Microsoft zaleca tylko częściowe wyłączenie synchronizacji hosta. Aby zrozumieć, jak to działa, przeczytaj oficjalną dokumentację, która dramatycznie podniosła poziom prezentacji w ostatnich latach. .
Ogólnie samo podejście do administrowania zwirtualizowanymi kontrolerami domeny różni się ze względu na niektóre funkcje usług AD DS:
Środowiska wirtualne są szczególnie trudne w przypadku rozproszonych przepływów pracy, które opierają się na logicznej replikacji w czasie. Na przykład replikacja usług AD DS używa równomiernie rosnącej wartości (nazywanej numerem USN lub seryjnym numerem aktualizacji), która jest przypisywana do transakcji na każdym kontrolerze domeny. Każdej instancji bazy danych kontrolera domeny jest również przypisywany identyfikator o nazwie InvocationID. Identyfikator InvocationID kontrolera domeny i jego zmienny numer sekwencyjny razem służą jako unikatowy identyfikator, który jest powiązany z każdą transakcją zapisu, która jest uruchamiana na każdym kontrolerze domeny i musi być unikatowy w obrębie lasu.
To kończy główne kroki przygotowania środowiska, przechodzimy do etapu instalacji.
Instalowanie usługi Active Directory
Instalacja odbywa się za pośrednictwem Menedżera serwera i nie ma w tym nic skomplikowanego, wszystkie etapy instalacji możesz zobaczyć szczegółowo poniżej:
Sam proces instalacji przeszedł pewne zmiany w porównaniu z poprzednimi wersjami systemu operacyjnego:
Wdrażanie usług domenowych w usłudze Active Directory (AD DS) w systemie Windows Server 2012 jest łatwiejsze i szybsze niż w poprzednich wersjach systemu Windows Server. Instalacja usług AD DS jest teraz oparta na programie Windows PowerShell i jest zintegrowana z Menedżerem serwera. Zmniejszono liczbę kroków wymaganych do zintegrowania kontrolerów domeny z istniejącym środowiskiem Active Directory.
Wystarczy wybrać rolę Usługi domenowe w usłudze Active Directory, nie trzeba instalować żadnych dodatkowych komponentów. Proces instalacji zajmuje niewiele czasu i możesz od razu przejść do konfiguracji.
Po zainstalowaniu roli zobaczysz wykrzyknik w prawym górnym rogu Menedżera serwera - konfigurację należy przeprowadzić po wdrożeniu. Pchać Promuj ten serwer do kontrolera domeny.
Promocja serwera na kontroler domeny
Kroki kreatora zostały szczegółowo opisane w dokumentacji. Przejdźmy jednak przez główne kroki.
Ponieważ wdrażamy usługę AD od podstaw, musimy dodać nowy las. Pamiętaj, aby bezpiecznie przechowywać hasło trybu przywracania usług katalogowych (DSRM). Lokalizację bazy danych usług AD DS można pozostawić w lokalizacji domyślnej (co jest zalecane, ale w celu zmiany w moim środowisku testowym określono inny katalog).
Czekamy na instalację.
Serwer sam się zrestartuje.
Utwórz konta administratora domeny / przedsiębiorstwa
Będziesz musiał zalogować się na konto administratora lokalnego, jak poprzednio. Idź do przystawki Użytkownicy i komputery usługi Active Directory, utwórz wymagane konta - w tym momencie jest to administrator domeny.
Konfigurowanie DNS na jednym kontrolerze domeny w domenie
Podczas instalacji AD zainstalowano również rolę AD DNS, ponieważ nie miałem żadnych innych serwerów DNS w infrastrukturze. Aby usługa działała poprawnie, musisz zmienić niektóre ustawienia. Najpierw musisz sprawdzić preferowane serwery DNS w ustawieniach karty sieciowej. Musisz użyć tylko jednego serwera DNS o adresie 127.0.0.1. Tak, to jest localhost. Domyślnie musi się zarejestrować.
Po upewnieniu się, że ustawienia są prawidłowe, otwórz przystawkę DNS. Kliknij prawym przyciskiem myszy nazwę serwera i otwórz jego właściwości, przejdź do zakładki „Forwarder”. Adres serwera DNS określony w ustawieniach sieci przed zainstalowaniem roli usług AD DS został automatycznie zarejestrowany jako jedyna usługa przesyłania dalej:
Konieczne jest jego usunięcie i utworzenie nowego. Bardzo pożądane jest, aby był to serwer dostawcy, ale nie adres publiczny, taki jak dobrze znane 8.8.8.8 i 8.8.4.4. Aby zapewnić odporność na uszkodzenia, zarejestruj co najmniej dwa serwery. Nie usuwaj zaznaczenia z tego pola, aby używać wskazówek dotyczących serwerów głównych, jeśli nie ma dostępnych usług przesyłania dalej. Linki główne to dobrze znana pula serwerów DNS najwyższego poziomu.
Dodanie drugiego kontrolera domeny do domeny
Ponieważ początkowo mówiłem o posiadaniu dwóch kontrolerów domeny, czas rozpocząć konfigurację drugiego. Przechodzimy również przez kreatora instalacji, podnosimy rolę do kontrolera domeny, po prostu wybieramy Dodaj kontroler domeny do istniejącej domeny:
Należy pamiętać, że w ustawieniach sieciowych tego serwera plik main Pierwszy skonfigurowany wcześniej kontroler domeny musi zostać wybrany jako serwer DNS! Jest to wymagane, w przeciwnym razie pojawi się błąd.
Po dokonaniu niezbędnych ustawień zaloguj się do serwera na konto administratora domeny, które zostało utworzone wcześniej.
Konfigurowanie DNS na wielu kontrolerach domeny w domenie
Aby zapobiec problemom z replikacją, musisz ponownie zmienić ustawienia sieciowe i należy to zrobić na każdym kontrolerze domeny (a także na wcześniej istniejących) i za każdym razem, gdy dodawany jest nowy kontroler domeny:
Jeśli masz więcej niż trzy kontrolery domeny w domenie, musisz zarejestrować serwery DNS za pomocą dodatkowych ustawień w tej kolejności. Możesz przeczytać więcej o DNS w moim artykule.
Ustawienie czasu
Ten krok jest koniecznością, zwłaszcza jeśli konfigurujesz rzeczywiste środowisko w produkcji. Jak pamiętacie, wcześniej wyłączyłem synchronizację czasu przez hiperwizor, a teraz muszę to odpowiednio skonfigurować. Kontroler z rolą emulatora FSMO PDC jest odpowiedzialny za dystrybucję poprawnego czasu do całej domeny (Czy wiesz, co to za rola? Przeczytaj artykuł). W moim przypadku jest to oczywiście pierwszy kontroler domeny, który jest natywnym nośnikiem wszystkich ról FSMO. 
Skonfigurujemy czas na kontrolerach domeny za pomocą zasad grupy. Przypominamy, że konta komputerów kontrolerów domeny znajdują się w osobnym kontenerze i mają oddzielne domyślne zasady grupy. Nie ma potrzeby wprowadzania zmian w tej polityce, lepiej utwórz nową.
Nazwij go według własnego uznania i jak obiekt zostanie utworzony, kliknij prawym przyciskiem myszy - Edytować... Iść do Konfiguracja komputera \\ Zasady \\ Szablony administracyjne \\ System \\ Usługa czasu systemu Windows \\ Dostawcy czasu... Aktywacja polityk Włącz klienta Windows NTP i Włącz serwer NTP systemu Windowsprzejdź do właściwości polisy Skonfiguruj klienta Windows NTP i ustaw typ protokołu - NTP, nie dotykaj pozostałych ustawień:
Czekamy na zastosowanie polis (zajęło mi to około 5-8 minut pomimo uruchomienia gpupdate / force i kilku restartów), po czym otrzymujemy:
Ogólnie rzecz biorąc, należy upewnić się, że tylko emulator kontrolera PDC synchronizuje czas ze źródeł zewnętrznych, a nie wszystkie kontrolery domeny z rzędu, ale tak będzie, ponieważ zasady grupy są stosowane do wszystkich obiektów w kontenerze. Musisz przekierować go do określonego obiektu konta komputera, które jest właścicielem roli emulatora kontrolera PDC. Odbywa się to również poprzez polityki grupowe - w konsoli gpmc.msc kliknij lewym przyciskiem myszy żądaną politykę, a jej ustawienia pojawią się po prawej stronie. W filtrach zabezpieczeń dodaj konto wymaganego kontrolera domeny:
Przeczytaj więcej o tym, jak działa usługa czasu i jak ją skonfigurować w oficjalnej dokumentacji.
To kończy ustawianie czasu, a wraz z nim początkową konfigurację usługi Active Directory.
Windows Server 2016 ma kilka całkiem fajnych nowych funkcji, takich jak tymczasowe członkostwo w grupach AD, zarządzanie dostępem uprzywilejowanym i nie tylko. Bardziej szczegółowo spróbuję je opisać w kolejnych artykułach. W tym artykule pokażę, jak zainstalować domenę Active Directory w Windows Server 2016. Aby zainstalować AD, serwer musi spełniać następujące minimalne wymagania:
procesor:
- 64-bitowy procesor o częstotliwości co najmniej 1,4 GHz
- obsługa NX, DEP, CMPXCHG16b, LAHF / SAHF, PrefetchW, Translacja adresów drugiego poziomu (EPT lub NPT)
Pamięć
- co najmniej 512 MB (dla wersji Server Core i Nano), 2 GB dla wersji Windows Server z GUI
- eCC (Error Correcting Code) lub wsparcie analogowe
Wymagania dotyczące kontrolera dysku i lokalizacji:
Kontroler dysku do instalacji systemu Windows Server 2016 musi być zgodny ze standardem PCI Express. Windows Server 2016 nie zezwala na używanie dysków ATA / PATA / IDE / EIDE do uruchamiania, stronicowania przechowywania plików lub dysków z danymi
Minimalny rozmiar partycji na system: 32 GB
Adapter sieciowy:
- karta sieciowa Ethernet o przepustowości co najmniej 1 Gb / s
- Zgodność z architekturą PCI Express
- obsługa PXE (-boot Execution Environment)
- Obsługa debugowania sieci (KDNet) jest pożądana (ale nie wymagana)
W tym przykładzie używam maszyny wirtualnej działającej na serwerze VMWare ESXi, na którym jest zainstalowany system Windows Server 2016.
1) Zaloguj się do serwera jako administratorzy lokalni. Oprócz roli usługa zostanie również zainstalowana na serwerze DNS... Zmieńmy ustawienia interfejsu sieciowego, określając własny adres IP serwera lub 127.0.0.1 jako podstawowy serwer DNS.
2) Następnie otwórz Menedżera serwera, klikając odpowiednią ikonę lub uruchamiając polecenie w konsoli PowerShell.
3) W oknie Menedżer serwera kliknij
4) W oknie Kreatora dodawania ról i funkcji kliknij Kolejny.
5) W następnym oknie kliknij Kolejny
6) Ponieważ instalacja odbywa się na serwerze lokalnym, w następnym oknie pozostaw przełącznik w jego pierwotnej pozycji i kliknij Dalej
7) W kolejnym oknie z listy ról wybierz Usługi domenowe w usłudze Active Directory... W oknie, które zostanie otwarte, zostanie wyświetlona lista skojarzonych składników, które należy zainstalować wraz z rolą ADDS. Naciśnij przycisk Dodać funkcje, i wtedy Kolejny.
8) Elementy wymagane do instalacji muszą być już zaznaczone na liście komponentów. Kliknij Kolejny.
9) Następne okno zawiera krótki opis roli AD DS... Kliknij Następny.
10) Przejrzyj listę ról i funkcji wybranych do instalacji. Naciśnij przycisk, aby rozpocząć instalację. zainstalować.
11) Na ekranie zostanie wyświetlony aktualny stan procesu instalacji 
12) Po zakończeniu instalacji kliknij łącze
13) Uruchom Kreatora konfiguracji usługi Active Directory. W moim przypadku instaluję nowy las usługi AD. W przypadku dodawania dodatkowego kontrolera domeny do istniejącej domeny wybierz odpowiednią opcję. Wybieram opcję Dodaj nowy las i wskaż FQDN nazwy domeny (test.net).
14) W następnym oknie musisz określić poziom funkcjonalności domeny i lasu AD. Wybrałem najnowszą wersję schematu AD - Windows Server 2016... Ponadto ten serwer będzie działał jako serwer DNS i będzie wykazem globalnym. Aby przejść do trybu DSRM, należy również określić hasło administratora.
15) Ponieważ mój serwer będzie pierwszym serwerem DNS w lesie, nie ma potrzeby konfigurowania delegowania DNS. Więc po prostu naciśnij Kolejny.
16) Nazwa domeny NETBIOS pozostanie niezmieniona (TEST)
17) Na następnym ekranie musisz określić ścieżkę do katalogów NTDS, SYSVOL i LOG... Domyślnie zostawimy wszystkie ścieżki, zakładając, że wszystkie foldery będą przechowywane w katalogu dysku systemowego C: \\ Windows.
18) Na następnym ekranie możesz zobaczyć listę wybranych ustawień. Jeśli wszystko jest w porządku, kliknij Dalej, jeśli nie, wróć i wprowadź zmiany.
20) Rozpocznie się proces instalacji kontrolera domeny
21) Po zakończeniu instalacji serwer automatycznie uruchomi się ponownie. Zaloguj się do serwera jako administrator domeny.
22) Po zalogowaniu uruchom uprzywilejowaną sesję PowerShell i wykonaj polecenie. Otworzy się okno Centrum administracyjne usługi Active Directory. Możesz rozpocząć zarządzanie zasobami domeny
23) Za pomocą następujących poleceń można sprawdzić bieżący poziom funkcjonalności poleceń domeny i lasu Get-ADDomain | fl Name, DomainMode i Get-ADForest | fl Nazwa, ForestMode
- Instruktaż
Dzień dobry wszystkim. Chciałbym porozmawiać o instalacji i konfiguracji systemu Windows Server 2012 R2 Essentials. Ten artykuł nie jest wezwaniem do wszędzie Windows ani nie jest orędownikiem produktów Microsoft. Chciałbym tylko opowiedzieć o ciekawym produkcie i może ktoś będzie zainteresowany tym produktem i przyda się w ich pracy. Starałem się napisać artykuł dla nieprzygotowanego czytelnika, dlatego minimum terminologii i maksimum uogólnienia niektórych pojęć.
Trochę o edycji Essentials
Windows Server 2012 R2 Essentials to jedna z edycji serwerowego systemu operacyjnego firmy Microsoft. Jednak ma wiele różnic w porównaniu z wersjami Standard i Datacenter. Co może zrobić Essentials:- Autoryzacja i uwierzytelnianie użytkowników w Twojej sieci (kontroler domeny Active Directory)
- Magazyn plików (rola serwera plików)
- Zdalny dostęp do sieci firmowej (VPN i serwer DirectAccess)
- Zdalny dostęp do magazynu plików przez interfejs sieciowy (skonfigurowany dla tego IIS)
- Zdalny dostęp do pulpitów komputerów klienckich (brama usług pulpitu zdalnego)
- Tworzenie kopii zapasowych komputerów klienckich (kopia zapasowa systemu Windows)
- Tworzenie kopii zapasowej samego serwera (kopia zapasowa systemu Windows)
- Integracja z technologiami chmurowymi Microsoft (Office 365, kopia zapasowa Azure itp.)
- Ujednolicona konsola konfiguracyjna Essentials, która pozwoli Ci skonfigurować opisane powyżej możliwości nawet niedoświadczonemu administratorowi systemu.
Dzięki temu Essentials jest bardzo dobrze przystosowany do małych organizacji, które chciałyby wykorzystać większość nowoczesnych rozwiązań w zakresie bezpieczeństwa sieci korporacyjnych, przechowywania dokumentów, zdalnego dostępu, ewentualnie systemów pocztowych. Dla organizacji, które nie chcą wydawać dużych pieniędzy zarówno na samą infrastrukturę IT, jak i na pracę wysoko wykwalifikowanych administratorów systemów.
Instalacja i wstępna konfiguracja
Instalowanie tego systemu operacyjnego jest dość standardową procedurą. Jeśli przynajmniej raz zainstalowałeś Windows Vista /7/8/8.1, to bez problemu zainstalujesz Essentials. Jeśli jednak nie zainstalowałeś żadnego z powyższych systemów operacyjnych ani żadnej z najnowszych wersji systemów operacyjnych dla serwerów, polecam zaufać specjaliście lub przynajmniej studentowi drugiego roku.Jedyne, co poleciłbym podczas instalacji, jeśli masz jeden dysk twardy, podziel go na dwie partycje. Te. upewnij się, że po instalacji system ma drugi już sformatowany dysk twardy. Oczywiście to tylko zalecenie, w przyszłości możesz przygotować drugi dysk, ale będziesz musiał przenieść niektóre foldery.
Po pierwszym zalogowaniu się do nowo zainstalowanego systemu operacyjnego zostanie uruchomiony kreator „Konfiguruj Windows Server Essentials”, który przeprowadzi Cię przez wstępną konfigurację.
W pierwszym kroku musisz skonfigurować ustawienia daty i godziny.
W drugim kroku musisz wpisać nazwę firmy w języku angielskim. W takim przypadku nazwa domeny i nazwa serwera zostaną wygenerowane automatycznie, chociaż oczywiście możesz je zmienić.
W następnym kroku musisz wpisać nazwę administratora i ustawić jego hasło.
W ostatnim kroku musisz określić metodę aktualizacji systemu operacyjnego i kliknąć konfiguruj
Następnie rozpocznie się proces, który wprowadzi wszystkie niezbędne ustawienia początkowe. Zajmie to około 30 minut i będzie wymagało kilku ponownych uruchomień. W tym czasie system operacyjny będzie miał w szczególności czas na zainstalowanie niezbędnych ról i skonfigurowanie serwera jako kontrolera domeny dla nowej domeny.
Konfigurowanie
Produkt jest bardzo duży i rozbudowany, chciałbym porozmawiać o najbardziej podstawowych opcjach konfiguracyjnych, takich jak tworzenie użytkowników, konfiguracja zdalnego dostępu, tworzenie folderów, podłączanie klientów.Cała konfiguracja odbywa się w desce rozdzielczej, można uzyskać do niej dostęp z pulpitu, panelu szybkiego uruchamiania i ekranu startowego.
Tworzenie użytkownika
Przy pierwszym uruchomieniu tego panelu zostanie wyświetlona zakładka instalacja, na której można wykonać szereg zadań konfiguracyjnych serwera.Zacznę od dodania użytkowników. Kliknij link, aby dodać konta.
Wybieramy poziom dostępu do utworzonych folderów współdzielonych. Na początkowym etapie jest tylko jedna - Organizacja. W przyszłości możesz zmieniać uprawnienia dostępu zarówno we właściwościach użytkownika, jak i we właściwościach folderu.
Konto zostało utworzone. Naciskamy blisko.
W ten sposób można utworzyć wiele kont. Oczywiście możesz korzystać zarówno ze znanego, jak i znanego interfejsu Użytkownicy i komputery usługi Active Directory, ale w tym przypadku będziesz musiał nadać uprawnienia za pomocą długopisów.
Dodawanie folderów na serwerze
Aby dodać foldery, istnieje inny kreator, który pomoże Ci utworzyć folder na dysku, skonfigurować go do udostępniania i nadać uprawnienia. Aby go uruchomić, musisz kliknąć odpowiedni link na pulpicie nawigacyjnym.
W otwartym oknie kreatora wprowadź nazwę. Możesz zmienić lokalizację i dodać opis. Kliknij dalej.
Na następnej stronie wskazujemy wymagane uprawnienia. W razie potrzeby uniemożliwiamy dostęp zdalny.
Od ostatniego kroku tego kreatora można uruchomić Kreatora konfiguracji kopii zapasowych. Kliknij zamknij.
Konfigurowanie dostępu zdalnego
Jeden z najtrudniejszych etapów konfiguracji systemu Windows Server 2012R2 Essentials. Konfiguracja jest również wykonywana za pomocą kreatora. Kreator jest tradycyjnie uruchamiany z pulpitu nawigacyjnego.
Pierwszą rzeczą, którą musisz skonfigurować, jest router - kreator powie Ci o tym. W rzeczywistości musisz skonfigurować przekierowanie portów na routerze. Aby to zrobić, router musi mieć „biały” adres IP. A na samym serwerze lepiej jest skonfigurować statyczny adres IP. Musisz przekierować następujące porty 80, 443, 1723, 987 na adres IP twojego serwera. Ogólnie procedurę konfiguracji może przeprowadzić sam kreator, jeśli router obsługuje protokół UPnP. Dokonywałem korekt za pomocą długopisów, więc pominąłem ten krok.
Następnie zostanie otwarty kreator konfiguracji nowej nazwy domeny. Kliknij dalej.
Kreator wyświetli monit o wprowadzenie nazwy domeny zewnętrznej lub utworzenie nowej. Dla własnej domeny będziesz potrzebować certyfikatu, więc rozważmy tutaj opcję konfiguracji przy użyciu domeny Microsoft. Wybierz inną nazwę domeny i kliknij dalej.
Rozważ opcję z domeną Microsoft.
Wpisz nazwę domeny i sprawdź dostępność, kliknij konfiguruj.
Dobrze uporządkowane z nazwą domeny. Kontynuujemy - dalej.
Wybieramy, które funkcje będą dostępne.
Decydujemy, czy dostęp zdalny będzie dostępny dla obecnych użytkowników.
Cóż, to wszystko, co możesz spróbować, aby przejść do witryny wiseguy.remoteweaccess.com.
Z tej witryny internetowej można uzyskać dostęp do folderów współdzielonych i pulpitów użytkowników.
Podłączanie stacji roboczych
Jeśli tym razem otworzymy dashboard i przejdziemy do strony podłączania komputerów to zobaczymy tam tylko instrukcje działania
Postępując zgodnie z instrukcjami na kliencie w przeglądarce, otwórz stronę http: //<Имя сервера>/ połączyć. Kliknij łącze pobierania.
Decydujemy się na wykonanie.
Akceptujemy licencję i czekamy.
Wprowadź nazwę użytkownika i hasło użytkownika tego komputera lub administratora. Wszedłem na konto użytkownika.
Ponownie uruchamiamy serwer.
Decydujemy, kto będzie korzystał z komputera.
Wprowadź opis komputera.
Opcje archiwizacji.
Brawo! Gotowe.
Wchodzimy do komputera pod kontem użytkownika.
Możesz pracować. Pulpit ma już wszystkie niezbędne skróty.
Post Scriptum
Z pewnością Windows Server 2012R2 Essentials nie jest panaceum. Wiele jest w nim zautomatyzowanych, ale nie wszystko. Jednak dla małych organizacji jest to ciekawe rozwiązanie i należy je wziąć pod uwagę. W tym artykule omówiłem tylko najbardziej podstawowe ustawienia Essentials. Jeśli chciałbyś nieco bliżej zapoznać się z produktem, możesz obejrzeć moje relacje wideo na stronie Techdays.ru.Pierwsze spojrzenie na Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7351.html - tutaj możesz dokładnie zapoznać się z procesem instalacji Essentials.
Ustawienie Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7370.html - rozważane skonfigurowanie wszystkich funkcji, pokazuje konfigurację zdalnego dostępu do domeny.
Windows Server 2012 R2 Essentials Integracja z Office 365: www.techdays.ru/videos/7380.html - integracja z biurem w chmurze firmy Microsoft.
Ten artykuł zawiera szczegółowe instrukcje krok po kroku dotyczące instalowania i konfigurowania od podstaw roli usługi Active Directory opartej na systemie Windows Server 2012. Instrukcje będą oparte na wydaniu angielskim. Czasami nazwy parametrów i poleceń będą podobne do rosyjskiej edycji systemu Windows Server 2012.
Trening
Przed skonfigurowaniem roli Active Directory należy skonfigurować system Windows Server 2012 - ustaw statyczny adres IP i przemianować komputer.
Aby ustawić statyczny adres IP, kliknij prawym przyciskiem myszy ikonę Sieć na pasku zadań i wybierz Otwórz sieć i centrum udostępniania -> Zmień ustawienia adaptera... Wybierz kartę, która wyszukuje w sieci wewnętrznej. Właściwości -\u003e Protokół internetowy w wersji 4 (TCP / IPv4) i ustaw adres IP podobny do pokazanego na obrazku.
192.168.0.11 - adres IP aktualnego serwera - pierwszego kontrolera domeny.
192.168.0.254 - adres IP bramy.
Teraz musisz zmienić nazwę serwera i zrestartować go. Start -\u003e System -\u003e Zmień ustawienia -\u003e Nazwa komputera -\u003e Zmień. Wprowadź nazwę komputera. W tym przykładzie serwer będzie miał nazwę DC1.
Instalowanie roli Active Directory w systemie Windows Server 2012
Po wstępnej konfiguracji serwera przejdźmy więc do instalacji roli usługi katalogowej.
Start -\u003e Menedżer serwera (Start -\u003e Menedżer serwera).
Dodaj role i funkcje -\u003e Dalej
Wybierać Instalacja oparta na rolach lub funkcjach (Instalowanie ról i funkcji) -\u003e Dalej
Wybierz serwer, na którym jest zainstalowana rola usługi AD i kliknij przycisk Dalej. Wybierz serwer z puli serwerów -\u003e Dalej
Wybór roli Usługi domenowe w usłudze Active Directory (Usługi domenowe w usłudze Active Directory), pojawi się okno z prośbą o dodanie ról i funkcji wymaganych do zainstalowania roli AD. Kliknij przycisk Dodaj funkcje.
Możesz także wybrać rolę serwera DNS. Jeśli zapomnisz zaznaczyć pole, aby dodać rolę serwera DNS, nie musisz się zbytnio martwić, ponieważ można go dodać później na etapie konfiguracji roli AD.
Następnie za każdym razem naciśnij przycisk Dalej i ustaw rolę.
Konfigurowanie usług domenowych w usłudze Active Directory
Po zainstalowaniu roli zamknij okno - Zamknij. Teraz musisz przejść do konfigurowania roli AD.
W oknie Menedżer serwera kliknij ikonę flagi powiadomienia i kliknij Promuj ten serwer do kontrolera domeny (Promuj ten serwer do kontrolera domeny) na płycie konfiguracji po wdrożeniu.
Wybierać Dodaj nowy las (Dodaj nowy las), wprowadź nazwę domeny i kliknij Dalej.
Możesz wybrać zgodność między poziomem funkcjonalności lasu a domeną główną. Windows Server 2012 jest instalowany domyślnie.
Na tej karcie możesz wyłączyć rolę serwera DNS. Ale w naszym przypadku zostawiamy zaznaczenie.
W następnym kroku kreator ostrzega, że \u200b\u200bnie utworzono delegacji dla tego serwera DNS ( Nie można utworzyć delegacji dla tego serwera DNS, ponieważ nie można znaleźć autorytatywnej strefy nadrzędnej lub nie działa na niej serwer DNS systemu Windows. W przeciwnym razie nie jest wymagana żadna czynność.).
Kliknij Następny.
W następnym kroku możesz zmienić nazwę NetBIOS przypisaną do domeny. My tego nie zrobimy. Po prostu kliknij Dalej.
W następnym kroku można zmienić ścieżki do katalogów bazy danych AD DS (usług domenowych w usłudze Active Directory), plików dziennika i folderu SYSVOL. Nic nie zmienimy. Kliknij przycisk Dalej.
W następnym kroku zostanie wyświetlone podsumowanie konfiguracji. Klikając przycisk Wyświetl skrypt, można wyświetlić skrypt Powershell, który skonfiguruje usługi domenowe w usłudze Active Directory.
# Skrypt programu Windows PowerShell do wdrażania usług AD DS
Import-Module ADDSDeployment Install-ADDSForest `-CreateDnsDelegation: $ false` -DatabasePath" C: \\ Windows \\ NTDS "` -DomainMode "Win2012" `-DomainName" site "` -DomainNetbiosName "ITME" `-ForestMode" Win2012 "` - InstallDns: $ true `-LogPath" C: \\ Windows \\ NTDS "` -NoRebootOnCompletion: $ false `-SysvolPath" C: \\ Windows \\ SYSVOL "` -Force: $ true
Po upewnieniu się, że wszystko jest określone poprawnie, kliknij przycisk Dalej.
Następnym krokiem jest sprawdzenie, czy wszystkie wymagania wstępne zostały spełnione. Wtedy pokaże nam raport. Jednym z wymagań wstępnych jest ustawienie hasła administratora lokalnego. Na samym dole można przeczytać ostrzeżenie, że po naciśnięciu przycisku Instaluj poziom serwera zostanie podniesiony do kontrolera domeny i nastąpi automatyczne ponowne uruchomienie.
Powinien pojawić się napis Wszystkie testy wymagań wstępnych zostały pomyślnie zakończone. Kliknij „zainstaluj”, aby rozpocząć instalację.
Kliknij przycisk Instaluj.
Po zakończeniu wszystkich ustawień serwer uruchomi się ponownie, a Ty dokonasz pierwszego wpisu komputera w swojej domenie. Aby to zrobić, musisz podać login i hasło administratora domeny.
Na tym kończy się podstawowa konfiguracja usługi Active Directory. Oczywiście nadal pozostaje wiele do zrobienia przy tworzeniu oddziałów, tworzeniu nowych użytkowników, konfigurowaniu grupowych zasad bezpieczeństwa, ...
Dodatkowe informacje o artykule
Żegnaj dcpromo, witaj Powershell
Wszyscy już wiedzą z zapowiedzi, że narzędzie dcpromo jest przestarzałe. Jeśli uruchomisz dcpromo w wierszu poleceń, pojawi się okno ostrzegawcze z monitem o użycie Menedżera serwera.
Kreator instalacji usług Active Directory jest przenoszony w Menedżerze serwera.
Jednak tego polecenia można użyć, określając parametr automatycznej konfiguracji - dcpromo / unattend... Gdy serwer działa w trybie Core, nie będzie ostrzeżenia, a wiersz poleceń wyświetli informacje o używaniu narzędzia dcpromo.
Wszystkie te zmiany wynikają z faktu, że w Windows Server 2012 położyli nacisk na administrację przy użyciu Powershell.
Składniki związane z usługą Active Directory usunięte z systemu Windows Server 2012
Usługi federacyjne w usłudze Active Directory (AD FS)
- Aplikacje korzystające z agentów WWW „NT Token Mode” nie są już obsługiwane. Te aplikacje muszą zostać przeniesione do Windows Identity Foundation i użyć usługi Claims to Windows Token, aby przekonwertować nazwę UPN z tokenu SAML na token systemu Windows w celu użycia w aplikacji.
- Grupy zasobów nie są już obsługiwane (opis grup zasobów można znaleźć pod adresem http://technet.microsoft.com/library/cc753670(WS.10).aspx)
- Możliwość używania usług LDS w usłudze Active Directory (AD LDS) jako repozytorium wyników uwierzytelniania nie jest już obsługiwana.
- Wymaga migracji do usług AD FS w systemie Windows Server 2012. Uaktualnienie w miejscu z AD FS 1.0 lub ze „standardowej” wersji AD FS 2.0 nie jest obsługiwane.
