Настройка домена windows server 2018: Установка Active Directory Domain Services и настройка контроллера для Windows Server
Содержание
Как настроить контроллер домена Windows Server 2019
Домен — важнейший административный элемент в сетевой инфраструктуре организации. Он включает в себя такие объекты как: сетевые устройства, пользователей, сервера, принтеры, компьютеры, файловые ресурсы и т.д.
Взаимодействие устройств в сети домена осуществляется через контроллер домена. Наша задача — настроить контроллер домена на windows server 2019.
Для создания контроллера домена нами предварительно подготовлена виртуальная машина с Windows Server 2019.
Шаг 1. Сначала необходимо прописать сетевые настройки на сервере: ip, маску, шлюз, в dns указываем свой ip, так как на сервере будет использоваться роль dns server, она устанавливается вместе с ролью active directory domain services.
Шаг 2. Открываем Диспетчер серверов и добавляем роль доменные службы active directory.
Шаг 3. Система предложит добавить необходимые компоненты. Нажимаем Далее.
Шаг 4. В компонентах оставляем всё без изменений. Нажимаем Далее.
Шаг 5. В ad ds нажимаем Далее. Проверяем всё ли верно указано.
Рисунок 1 — Подтверждение установки компонентов AD DS
Шаг 6. Нажимаем Установить. На данном этапе появится строка с предложением повысить роль сервера до контроллера домена, но на данном этапе мы это пропустим и выполним после установки роли.
Рисунок 2 — Установка роли AD DS
Шаг 7. После установки нажимаем Закрыть.
Шаг 8. Снова открываем Диспетчер серверов и переходим в роль AD DS.
Шаг 9. Здесь видим уведомление «Доменные службы Active Directory – требуется настройка на «сервере». Нажимаем Подробнее.
Шаг 10. Нажимаем повысить роль этого сервера до контроллера домена.
Рисунок 3 — Повышение роли сервера до уровня контроллера домена
Шаг 11. Выбираем Добавить лес и вводим «имя корневого домена». Нажимаем Далее.
Шаг 12. Если домен новый (как в нашем случае) и в дальнейшем планируется использовать операционные системы не ниже Windows Server 2016, то режим работы леса и режим работы домена не меняем. Проверяем что установлена галочка на DNS-сервер.
Шаг 13. Устанавливаем пароль для режима восстановления службы каталогов и нажимаем Далее.
Шаг 14. В Параметрах DNS ничего не меняем и нажимаем Далее.
Имя NetBIOS-домена можно изменить, но рекомендуем оставить его по умолчанию.
Пути к каталогам базы данных active directory тоже лучше оставить по умолчанию.
Шаг 15. На следующем этапе проверяем сводную информацию по настройке сервера.
Проверка предварительных требований сообщит все ли условия соблюдены и выведет отчет. Если проблем никаких не возникло, то мы сможем нажать кнопку Установить.
Теперь выполняется процесс повышения роли сервера до контроллера домена. После выполнения, сервер автоматически перезагрузится.
В сетевых настройках поле dns сервера изменится на 127.0.0.1. Домен создан и готов к использованию.
Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг.
Курс Microsoft — Cлужбы Active Directory в Windows Server (10969)
Программа курса:
Глава 1. Обзор технологий доступа и защиты информации
Темы
- Обзор решений предоставления доступа и защиты информации в бизнесе
- Обзор AIP решений в Windows Server 2012
- Обзор Forefront Identity Manager 2010 R2
Лабораторная работа: Выбор подходящего решения по управлению доступом и защите информации
- Анализ сценариев и определение бизнес-требований
- Решение по предоставлению доступа
Глава 2. Расширенное развертывание и администрирование доменных служб ActiveDirectory
Темы
- Развертывание служб AD DS
- Развертывание и клонирование виртуальных контроллеров домена
- Развертывание контроллеров домена в Windows Azure
- Администрирование AD DS
Лабораторная работа: Развертывание и администрирование AD DS
- Развертывание службы AD DS
- Развертывание контроллеров домена, выполнение клонирования контроллера домена
- Администрирование AD DS
Глава 3. Обеспечение безопасности доменных служб Active Directory
Темы
- Обеспечение безопасности контроллеров домена
- Реализация паролей и политики блокировки
- Аудит аутентификации
Лабораторная работа: Обеспечение безопасности доменных служб Active Directory
- Реализация политики безопасности учетных записей и паролей
- Развертывание и настройка контроллера домена только для чтения
Глава 4. Мониторинг, управление и восстановление AD DS
Темы
- Мониторинг AD DS
- Управление базой данных AD DS
- Резервное копирование и восстановление AD DS
Лабораторная работа: Мониторинг доменных служб Active Directory
- Мониторинг AD DS с помощью системного монитора
Лабораторная работа: Восстановление объектов в AD DS
- Резервное копирование и восстановление AD DS
- Восстановление объектов в AD DS
Глава 5. Внедрение, администрирование и репликация сайтов доменных служб ActiveDirectory
Темы
- Обзор репликации AD DS
- Настройка сайтов доменных служб Active Directory
- Конфигурирование и мониторинг репликации AD DS
Лабораторная работа: Реализация и репликация сайтов AD DS
- Создание подсетей и сайтов
- Развертывание дополнительного контроллера домена
- Настройка репликации AD DS
- Устранение неполадок репликации AD DS
Глава 6. Создание групповых политик
Темы
- Создание групповой политики
- Внедрение и администрирование групповой политики
- Область действия группы политики и обработка групповой политики
- Поиск и устранение неисправностей применения объектов групповой политики
Лабораторная работа: Реализация и отладка инфраструктуры групповых политик
- Создание и настройка объектов групповой политики
- Управление областью действия объекта групповой политики
- Проверка применения объектов групповой политики
- Управление объектами групповой политики
- Устранение неполадок групповой политики
Глава 7. Управление параметрам пользователей с помощью групповой политики
Темы
- Внедрение административных шаблонов
- Настройка перенаправления папок и скрипты
- Настройка параметров групповой политики
Лабораторная работа: Управление рабочими столами пользователей с помощью групповой политики
- Реализация настроек с помощью предпочтений в групповой политике
- Настройка перенаправления папок
Глава 8. Реализация безопасного общего доступа к файлам
Темы
- Обзор динамического управления доступом (DAC)
- Реализация компонентов DAC
- Реализация DAC для управления доступом
- Реализация помощи при запрете доступа
- Внедрение и управление рабочими папками (Work Folder)
- Реализация подключения к рабочему пространству (Workplace Join)
Лабораторная работа: Реализация защищенного доступа к файлам
- Подготовка к развертыванию DAC
- Реализация DAC
- Проверка и ликвидацию последствий DAC
- Реализация рабочих папок
Глава 9. Развертывание и управление службой сертификатов Active Directory
Темы
- Развертывание центров сертификации
- Администрирование ЦС
- Поиск и устранение неисправностей обслуживания и мониторинга центров сертификации
Лабораторная работа: Развертывание и настройка двухуровневой иерархии ЦС
- Развертывание корневого центра сертификации
- Развертывание подчиненного ЦС
Глава 10. Развертывание и управление сертификатами
Темы
- Развертывание и управление шаблонами сертификатов
- Управление развертыванием сертификатов, аннулирование и восстановление
- Использование сертификатов в бизнес-среде
- Внедрение и управление смарт-картами
Лабораторная работа: Развертывание и использования сертификатов
- Настройка шаблонов сертификатов
- Введение и использование сертификатов
- Настройка и реализация ключа восстановления
Глава 11. Внедрение и администрирование Службы управления правами Active Directory
Темы
- Обзор службы управления правами (AD RMS)
- Развертывание и управление инфраструктурой AD RMS
- Настройка защиты контента в AD RMS
- Настройка внешнего доступа к AD RMS
Лабораторная работа: Реализация инфраструктуры AD RMS
- Установка и настройка AD RMS
- Настройка шаблонов AD RMS
- Использование AD RMS на клиентах
- Настройка мониторинга и отчетности AD RMS
Глава 12. Внедрение и администрирование службы федераций AD
Темы
- Обзор службы федераций (AD FS)
- Развертывание AD FS
- Реализация AD FS для одной организации
- Развертывание AD FS для объединения нескольких организаций
- Расширение AD FS для внешних клиентов
Лабораторная работа: Реализация AD FS
- Установка и настройка AD FS
- Настройка внутреннего применения AD FS
- Настройка AD FS для бизнес-партнера
- Настройка прокси веб-приложений
Глава 13. Внедрение Windows Azure Active Directory
Темы
- Обзор Windows Azure Active Directory
- Администрирование Windows Azure Active Directory
Лабораторная работа: Реализация Azure AD
- Планирование Windows Azure Active Directory
- Администрирование Windows Azure Active Directory
Глава 14. Внедрение и администрирование AD LDS
Темы
- Обзор AD LDS
- Развертывание AD LDS
- Настройка экземпляров и разделов AD LDS
- Настройка репликации AD LDS
Лабораторная работа: Внедрение и администрирование AD LDS
- Настройка AD LDS экземпляров и разделов
- Настройка репликации AD LDS
! Данный курс может быть заказан согласно 44-ФЗ,
223-ФЗ (закупка, аукцион, запрос котировок, конкурсные процедуры)
Как настроить контроллер домена в Windows Server
Как настроить контроллер домена в Windows Server 2016, 2019, 2022. Шаги одинаковы для всех версий Active Directory из Windows Server 2016.
Что такое контроллер домена
Контроллер домена (DC) — это компьютерный сервер, который обрабатывает аутентификацию пользователей. Он принимает участие в дублировании и содержит полную копию всей информации каталога и других файлов домена. Контроллер домена — это коробка, содержащая средства для доступа к Active Directory и отчетам AD. В то время как злоумышленники используют различные методы для получения повышенного доступа к сетям, включая атаку самого контроллера домена, вы можете использовать свои контроллеры домена для кибератак и обеспечения безопасности, а также для выявления атак в процессе.
С другой стороны, установка безопасного и стабильного контроллера домена не гарантирует, что вы останетесь в безопасности на неопределенный срок. Злоумышленники будут продолжать пытаться взломать ваш контроллер домена, чтобы получить повышенные привилегии или разрешить боковое перемещение по вашей сети.
Microsoft Active Directory — одна из лучших функций, благодаря которым Windows Server сияет в корпоративном секторе. Это программное обеспечение единого входа (SSO), которое безупречно и легко подключается к большинству программ Microsoft, делает администрирование пользователей и другие задачи простыми и приятными.
Active Directory — это полезный инструмент для сетевых администраторов для мониторинга и отчетности, особенно когда бизнес становится больше и в его сети добавляется больше пользователей и ресурсов. Это также весьма полезно для подтверждения соответствия отрасли.
В этой статье вы узнаете, как настроить контроллер домена в Windows Server, предоставив подробное руководство с выделением всех шагов, необходимых для беспрепятственной установки.
Как настроить контроллер домена в Windows Server 2019, 2016, 2022
Шаг 1) Откройте Диспетчер серверов
Используя свои административные учетные данные, войдите на свой сервер Windows и откройте диспетчер серверов. Нажмите на панель инструментов в диспетчере серверов, а затем выберите параметр «Добавить роли и функции», как показано на снимке экрана ниже:
.
Затем вы увидите вкладку « Перед тем, как начать », которая содержит важную информацию. Внимательно изучив его, вы можете нажать « Следующий », как показано ниже:
Active Directory в Azure. 2 Контроллер домена
Active Directory в AWS
Развернуть Контроллер домена 2016
Развернуть Контроллер домена 2019
Развернуть контроллер домена 2022
Active Directory в GCP
Развернуть контроллер домена 2016
Развернуть контроллер домена 2019
Шаг 2) Тип установки
На следующем этапе настройки контроллера домена на Windows Server нам будет представлена вкладка Тип установки , на которой мы выберем вариант установки на основе ролей или функций , затем мы нажмем Далее, чтобы продолжить, как показать ниже:
Шаг 3) Выбор сервера
Далее на вкладке Server Selection мы теперь выберем наш целевой сервер, на котором будут установлены наши роли. Теперь необходимо проверить имя хоста и IP-адрес выбранного сервера. После этого нажмите Далее для продолжения:
Шаг 4) Роли сервера
Далее мы будем перенаправлены на вкладку Роли сервера , где мы проверим «Доменные службы Active Directory» поле, как показано ниже:
Шаг 5 ) Добавить функции
Далее в разделе «Настройка контроллера домена на Windows Server» нам будет предложено просмотреть связанные функции для роли. Затем мы должны нажать на Добавить параметры , чтобы добавить функции, а затем на кнопку Далее :
Шаг 6) Выберите функции
Поскольку мы перенаправлены на вкладку «Функции» рядом с функциями по умолчанию, которые уже были выбраны в соответствии с требованиями для нашей роли, их следует оставить нетронутыми. Мы просто нажмем на Далее для перехода к установке:
Шаг 7) AD DS
После выбора вкладки AD DS будет отображаться краткая информация о « доменных службах Active Directory» . Затем мы нажмем Далее:
Шаг 8 ) Подтвердите свой выбор
Далее нам будет представлена вкладка подтверждения. Здесь мы можем перейти и проверить наш выбор, а затем нажать на Кнопка Установить :
Затем мы можем отслеживать ход установки на вкладке Результаты , как показано ниже:
Шаг 9 ) Повысьте уровень сервера до контроллера домена
После завершения установки AD DS мы перейдем к повышению роли нашего контроллера домена, щелкнув параметр «Повысить уровень этого сервера до контроллера домена» , как показано ниже:
Шаг 10) Добавить новый лес
Теперь мастер настройки Active Directory будет открыт. На вкладке Deployment Configuration мы выберем опцию Add a new forest и предоставим имя корневого домена, которое может быть любым, которое вы хотите, а затем нажмите Next , чтобы продолжить.
Шаг 11) Параметры контроллера домена
Выберите функциональный уровень для своего леса и домена в зависимости от вашей среды на вкладке «Параметры контроллера домена». Установите флажки DNS-сервер и глобальный каталог, поскольку это первый контроллер домена в лесу. Затем для извлечения/восстановления данных Active Directory введите пароль DSRM. Затем, чтобы продолжить, нажмите Далее:
Поскольку DNS-сервер, интегрированный в AD, настроен, мы можем игнорировать предупреждение о делегировании DNS и, чтобы продолжить, можем нажать Next .
Шаг 12) Имя домена
После открытия вкладки под названием Дополнительные параметры далее мы введем имя NetBIOS для нашего домена, которое должно совпадать с именем нашего корневого домена, введенным на шаге 11. Нажмите Далее , чтобы продолжить.
Шаг 13 ) Пути
Теперь мы должны указать путь к базе данных (базе данных NTDS), файлам журнала и каталогам SYSVOL на вкладке «Путь». Чтобы продолжить, нажмите Далее , как показано ниже:
Шаг 14 ) Просмотр параметров
Настройка будет проверена на вкладке «Параметры просмотра». Если все соответствует вашим требованиям, нажмите «Далее», чтобы продолжить; если нет, вернитесь к предыдущему экрану и внесите необходимые изменения, прежде чем продолжить. Также можно просмотреть сценарий powershell для будущего развертывания.
Шаг 15) Проверка предварительных условий
В этом разделе мы щелкнем вкладку Prerequisites Check , и будет выполнена проверка, и после ее завершения нам будет представлена кнопка Install , которую мы должны нажать, чтобы инициализировать установку:
Шаг 16) Установка выполнена успешно
- Когда установка будет завершена, вы увидите подтверждающее сообщение, показанное ниже.
- Перезапустите Сервер после закрытия этого окна. Вы должны подключиться, используя имя пользователя и пароль вашего домена, после перезапуска сервера. По умолчанию учетная запись локального администратора будет повышена до администратора домена.
- Войдите в систему и проверьте работоспособность контроллера домена.
- Для проверки работоспособности используйте команду DCDIAG . Вы также можете проверить конфигурации с помощью инструментов Active Directory, которые находятся в папке «Администрирование» в меню «Пуск».
Как настроить контроллер домена на Windows Server Заключение
Данные, которые определяют и проверяют доступ к сети, включая любые групповые политики и все имена компьютеров, хранятся на контроллерах домена. В DC есть все, что может понадобиться злоумышленнику, чтобы нанести огромный ущерб вашим данным и сети, что делает его главной целью кибератаки.
По сути, Active Directory — это платформа для управления несколькими доменами Windows Server, важнейшим компонентом которой является контроллер домена. Это сервер, который управляет Active Directory и аутентифицирует пользователей, используя информацию, содержащуюся в каталоге.
Информация хранится в Active Directory в виде объектов, объединенных в леса, деревья и домены. В каждом лесу Active Directory может быть множество доменов, а контроллеры домена управляют доверительными отношениями, которые позволяют пользователям из одного домена получать доступ к пользователям из другого домена.
Благодаря этому руководству вы установили контроллер домена на Windows Server. Мы очень надеемся, что эта статья была информативной и легкой для понимания. Спасибо, что прочитали эту статью полностью.
Установка и настройка контроллеров домена с ядром Windows Server — Майк Галвин
Эта страница выглядит лучше всего с включенным JavaScript
Ядро Windows Server — идеальный выбор для контроллеров домена Active Directory из-за низкого использования ресурсов и значительного уменьшения поверхности атаки. В этом посте я рассмотрю начальные шаги по развертыванию нового леса Active Directory и добавлению в домен дополнительного контроллера домена, и, наконец, я проведу некоторые базовые проверки работоспособности домена после установки. Это руководство также подходит для обычных установок Windows Server с графическим интерфейсом.
Установка Windows Server Core
Загрузите сервер с носителя Windows Server и на экране «Выберите операционную систему, которую хотите установить» выберите вариант «Windows Server Standard» или «Datacenter». Другие параметры с надписью «Desktop Experience» в скобках — это параметры для других выпусков сервера с установленным графическим интерфейсом.
Обратите внимание: вы больше не можете добавлять и удалять графический интерфейс (Desktop Experience) в Windows Server 2016, как это было в Windows Server 2012 и 2012 R2. Это связано с многочисленными проблемами, связанными с поддержанием процесса установки и удаления в соответствии с обновлениями. В Windows Server 2016 единственный способ добавить или удалить графический интерфейс — это переустановить и выбрать одну из серверных редакций с параметром «Возможности рабочего стола».
Исходная конфигурация
После завершения процесса установки вам будет предложено открыть окно командной строки и задать пароль администратора.
- Установите пароль администратора.
- Введите
sconfig
, чтобы открыть меню конфигурации сервера. Это довольно прямолинейно. В меню «Конфигурация сервера» вы можете настроить все основные параметры, необходимые для сервера. - Для первого контроллера домена в новом лесу необходимо настроить как минимум параметры сети — IP-адрес, маску подсети, шлюз и DNS.
- Вы также можете настроить имя компьютера. Настройка имени компьютера потребует перезагрузки.
- После перезагрузки войдите на сервер с паролем администратора, который вы установили на шаге 1.
Совет: «sconfig» также присутствует в версии Windows Server с графическим интерфейсом, что упрощает первоначальную настройку новых серверов.
Дополнительная конфигурация хранилища
Возможно, вы захотите настроить дополнительные локально подключенные диски или хранилище iSCSI/MPIO. Создание новых томов, которые подключены локально, может быть выполнено с помощью diskpart
инструмент командной строки. Вот последовательность команд для создания нового тома в формате NTFS с буквой диска E:\
и именем «Данные» со второго диска на сервере с помощью инструмента diskpart
. Сначала запустите diskpart
из командной строки, затем используйте следующие команды:
1 2 3 4 5 6 7 8 9 10 11 12 | список дисков выберите диск 1 онлайн диск атрибуты диска очистить только для чтения чистый преобразовать mbr -или gpt создать раздел первичным выберите часть 1 активный format fs=ntfs label=Быстрые данные присвоить букву Е: список томов |
Хранилище iSCSI можно настроить с помощью тех же инструментов графического интерфейса, которые вы использовали бы в версии Windows Server с графическим интерфейсом. Функция MPIO должна быть установлена до того, как инструмент станет доступен. Вы можете сделать это через PowerShell:
1 | Install-WindowsFeature -Name 'Multipath-IO' |
Когда MPIO установлен, вы можете загрузить утилиту MPIO, используя mpiocpl
. Для утилиты iSCSI вы можете использовать iscsicpl
. iSCSI устанавливается как часть базового набора функций Windows Server.
Установка доменных служб Active Directory
Теперь мы установим доменные службы Active Directory и создадим первый контроллер домена для нового леса.
Следующая команда PowerShell установит двоичные файлы доменных служб Active Directory, но не сделает сервер контроллером домена:
1 | Install-WindowsFeature AD-Domain-Services -IncludeManagementTools |
После установки двоичных файлов можно создать лес и сервер может стать контроллером домена:
1 | Install-ADDSForest-DomainName contoso.com |
Если вы хотите настроить путь хранения базы данных AD, журналов AD и SYSVOL, выполните следующую команду:
1 | Install-ADDSForest -DomainName contoso. com -DatabasePath "E:\AD\DB" -LogPath "E:\AD\Log" -SysvolPath "E:\AD\SYSVOL" |
В процессе установки вам будет предложено установить «пароль администратора безопасного режима» — он также известен как «пароль режима восстановления служб каталогов (DSRM)».
После завершения процесса установки вам будет предложено выполнить перезагрузку, и после перезагрузки у вас будет первый контроллер домена для нового леса.
Добавление дополнительного контроллера домена к существующему домену
Чтобы добавить в домен дополнительный контроллер домена, сначала установите ядро Windows Server, как описано выше, настройте сетевые параметры и любое необходимое дополнительное хранилище.
Добавьте сервер в существующий домен, для которого вы хотите создать дополнительный контроллер домена, и войдите в систему как пользователь с правами администратора домена для этого домена.
Установите двоичные файлы доменных служб Active Directory, выполнив следующую команду в PowerShell:
1 | Install-WindowsFeature AD-Domain-Services -IncludeManagementTools |
Чтобы сделать сервер контроллером домена, выполните следующую команду:
1 | Install-ADDSDomainController-DomainName "contoso. com" |
Если вы хотите настроить путь хранения базы данных AD, журналов AD и SYSVOL, выполните следующую команду:
1 | Install-ADDSDomainController -DomainName "contoso.com" -DatabasePath "E:\AD\DB" -LogPath "E:\AD\Log" -SysvolPath "E:\AD\SYSVOL" |
В процессе установки вам будет предложено установить «пароль администратора безопасного режима» — он также известен как «пароль режима восстановления служб каталогов (DSRM)».
После завершения процесса установки вам будет предложено выполнить перезагрузку, и после перезагрузки у вас будет другой контроллер домена для домена.
Проверка работоспособности после установки
Для проверки работоспособности контроллера домена можно использовать инструмент dcdiag
. Чтобы направить вывод в файл TXT и прочитать его с помощью блокнот
запустите из командной строки следующее:
1 2 | dcdiag > C:\dctest. txt блокнот C:\dctest.txt |
У вас может возникнуть проблема с первым контроллером домена для леса, который не объявляет себя сервером времени. Если вы столкнулись с этой проблемой, попробуйте следующие команды, чтобы устранить проблему:
1 2 3 4 | чистая остановка w32time w32tm /отменить регистрацию w32tm /регистр чистый старт w32time |
Запустите dcdiag
еще раз, и проблема должна быть решена. Одной из возможных проблем с Active Directory, на которую следует обратить внимание, является DNS. Вы можете настроить dcdiag
для запуска специального теста DNS:
1 | dcdiag/тест: днс |
Заключительные задачи
Возможно, вы захотите вернуться к инструменту настройки сервера «sconfig» и выполнить некоторые окончательные задачи настройки, такие как включение удаленного рабочего стола или настройка обновлений Windows.