Настройка домена windows server 2018: Установка Active Directory Domain Services и настройка контроллера для Windows Server

Содержание

Как настроить контроллер домена Windows Server 2019

Домен — важнейший административный элемент в сетевой инфраструктуре организации. Он включает в себя такие объекты как: сетевые устройства, пользователей, сервера, принтеры, компьютеры, файловые ресурсы и т.д.

Взаимодействие устройств в сети домена осуществляется через контроллер домена. Наша задача — настроить контроллер домена на windows server 2019.

Для создания контроллера домена нами предварительно подготовлена виртуальная машина с Windows Server 2019.

Шаг 1. Сначала необходимо прописать сетевые настройки на сервере: ip, маску, шлюз, в dns указываем свой ip, так как на сервере будет использоваться роль dns server, она устанавливается вместе с ролью active directory domain services.

Шаг 2. Открываем Диспетчер серверов и добавляем роль доменные службы active directory.

Шаг 3. Система предложит добавить необходимые компоненты. Нажимаем Далее.

Шаг 4. В компонентах оставляем всё без изменений. Нажимаем Далее.

Шаг 5. В ad ds нажимаем Далее. Проверяем всё ли верно указано.

Рисунок 1 — Подтверждение установки компонентов AD DS

Шаг 6. Нажимаем Установить. На данном этапе появится строка с предложением повысить роль сервера до контроллера домена, но на данном этапе мы это пропустим и выполним после установки роли.

Рисунок 2 — Установка роли AD DS

Шаг 7. После установки нажимаем Закрыть.

Шаг 8. Снова открываем Диспетчер серверов и переходим в роль AD DS.

Шаг 9. Здесь видим уведомление «Доменные службы Active Directory – требуется настройка на «сервере». Нажимаем Подробнее.

Шаг 10. Нажимаем повысить роль этого сервера до контроллера домена.

Рисунок 3 — Повышение роли сервера до уровня контроллера домена

Шаг 11. Выбираем Добавить лес и вводим «имя корневого домена». Нажимаем Далее.

Шаг 12. Если домен новый (как в нашем случае) и в дальнейшем планируется использовать операционные системы не ниже Windows Server 2016, то режим работы леса и режим работы домена не меняем. Проверяем что установлена галочка на DNS-сервер.

Шаг 13. Устанавливаем пароль для режима восстановления службы каталогов и нажимаем Далее.

Шаг 14. В Параметрах DNS ничего не меняем и нажимаем Далее.

Имя NetBIOS-домена можно изменить, но рекомендуем оставить его по умолчанию.

Пути к каталогам базы данных active directory тоже лучше оставить по умолчанию.

Шаг 15. На следующем этапе проверяем сводную информацию по настройке сервера.

Проверка предварительных требований сообщит все ли условия соблюдены и выведет отчет. Если проблем никаких не возникло, то мы сможем нажать кнопку Установить.

Теперь выполняется процесс повышения роли сервера до контроллера домена. После выполнения, сервер автоматически перезагрузится.

В сетевых настройках поле dns сервера изменится на 127.0.0.1. Домен создан и готов к использованию.

Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг.

Курс Microsoft — Cлужбы Active Directory в Windows Server (10969)


Программа курса:


Глава 1. Обзор технологий доступа и защиты информации

Темы

  • Обзор решений предоставления доступа и защиты информации в бизнесе

  • Обзор AIP решений в Windows Server 2012

  • Обзор Forefront Identity Manager 2010 R2


Лабораторная работа: Выбор подходящего решения по управлению доступом и защите информации

  • Анализ сценариев и определение бизнес-требований

  • Решение по предоставлению доступа


Глава 2. Расширенное развертывание и администрирование доменных служб ActiveDirectory

Темы

  • Развертывание служб AD DS

  • Развертывание и клонирование виртуальных контроллеров домена

  • Развертывание контроллеров домена в Windows Azure

  • Администрирование AD DS


Лабораторная работа: Развертывание и администрирование AD DS

  • Развертывание службы AD DS

  • Развертывание контроллеров домена, выполнение клонирования контроллера домена

  • Администрирование AD DS


Глава 3. Обеспечение безопасности доменных служб Active Directory

Темы

  • Обеспечение безопасности контроллеров домена

  • Реализация паролей и политики блокировки

  • Аудит аутентификации


Лабораторная работа: Обеспечение безопасности доменных служб Active Directory

  • Реализация политики безопасности учетных записей и паролей

  • Развертывание и настройка контроллера домена только для чтения


Глава 4. Мониторинг, управление и восстановление AD DS

Темы

  • Мониторинг AD ​​DS

  • Управление базой данных AD DS

  • Резервное копирование и восстановление AD DS


Лабораторная работа: Мониторинг доменных служб Active Directory

  • Мониторинг AD ​​DS с помощью системного монитора


Лабораторная работа: Восстановление объектов в AD DS

  • Резервное копирование и восстановление AD DS

  • Восстановление объектов в AD DS


Глава 5. Внедрение, администрирование и репликация сайтов доменных служб ActiveDirectory

Темы

  • Обзор репликации AD DS

  • Настройка сайтов доменных служб Active Directory

  • Конфигурирование и мониторинг репликации AD DS


Лабораторная работа: Реализация и репликация сайтов AD DS

  • Создание подсетей и сайтов

  • Развертывание дополнительного контроллера домена

  • Настройка репликации AD DS

  • Устранение неполадок репликации AD DS


Глава 6. Создание групповых политик

Темы

  • Создание групповой политики

  • Внедрение и администрирование групповой политики

  • Область действия группы политики и обработка групповой политики

  • Поиск и устранение неисправностей применения объектов групповой политики


Лабораторная работа: Реализация и отладка инфраструктуры групповых политик

  • Создание и настройка объектов групповой политики

  • Управление областью действия объекта групповой политики

  • Проверка применения объектов групповой политики

  • Управление объектами групповой политики

  • Устранение неполадок групповой политики


Глава 7. Управление параметрам пользователей с помощью групповой политики

Темы

  • Внедрение административных шаблонов

  • Настройка перенаправления папок и скрипты

  • Настройка параметров групповой политики


Лабораторная работа: Управление рабочими столами пользователей с помощью групповой политики

  • Реализация настроек с помощью предпочтений в групповой политике

  • Настройка перенаправления папок


Глава 8. Реализация безопасного общего доступа к файлам

Темы

  • Обзор динамического управления доступом (DAC)

  • Реализация компонентов DAC

  • Реализация DAC для управления доступом

  • Реализация помощи при запрете доступа

  • Внедрение и управление рабочими папками (Work Folder)

  • Реализация подключения к рабочему пространству (Workplace Join)


Лабораторная работа: Реализация защищенного доступа к файлам

  • Подготовка к развертыванию DAC

  • Реализация DAC

  • Проверка и ликвидацию последствий DAC

  • Реализация рабочих папок


Глава 9. Развертывание и управление службой сертификатов Active Directory

Темы

  • Развертывание центров сертификации

  • Администрирование ЦС

  • Поиск и устранение неисправностей обслуживания и мониторинга центров сертификации


Лабораторная работа: Развертывание и настройка двухуровневой иерархии ЦС

  • Развертывание корневого центра сертификации

  • Развертывание подчиненного ЦС


Глава 10. Развертывание и управление сертификатами

Темы

  • Развертывание и управление шаблонами сертификатов

  • Управление развертыванием сертификатов, аннулирование и восстановление

  • Использование сертификатов в бизнес-среде

  • Внедрение и управление смарт-картами


Лабораторная работа: Развертывание и использования сертификатов

  • Настройка шаблонов сертификатов

  • Введение и использование сертификатов

  • Настройка и реализация ключа восстановления


Глава 11. Внедрение и администрирование Службы управления правами Active Directory

Темы

  • Обзор службы управления правами (AD RMS)

  • Развертывание и управление инфраструктурой AD RMS

  • Настройка защиты контента в AD RMS

  • Настройка внешнего доступа к AD RMS


Лабораторная работа: Реализация инфраструктуры AD RMS

  • Установка и настройка AD RMS

  • Настройка шаблонов AD RMS

  • Использование AD RMS на клиентах

  • Настройка мониторинга и отчетности AD RMS


Глава 12. Внедрение и администрирование службы федераций AD

Темы

  • Обзор службы федераций (AD FS)

  • Развертывание AD FS

  • Реализация AD FS для одной организации

  • Развертывание AD FS для объединения нескольких организаций

  • Расширение AD FS для внешних клиентов


Лабораторная работа: Реализация AD FS

  • Установка и настройка AD FS

  • Настройка внутреннего применения AD FS

  • Настройка AD FS для бизнес-партнера

  • Настройка прокси веб-приложений


Глава 13.  Внедрение Windows Azure Active Directory

Темы

  • Обзор Windows Azure Active Directory

  • Администрирование Windows Azure Active Directory


Лабораторная работа: Реализация Azure AD

  • Планирование Windows Azure Active Directory

  • Администрирование Windows Azure Active Directory


Глава 14. Внедрение и администрирование AD LDS

Темы

  • Обзор AD LDS

  • Развертывание AD LDS

  • Настройка экземпляров и разделов AD LDS

  • Настройка репликации AD LDS


Лабораторная работа: Внедрение и администрирование AD LDS

  • Настройка AD LDS экземпляров и разделов

  • Настройка репликации AD LDS

! Данный курс может быть заказан согласно 44-ФЗ,
223-ФЗ (закупка, аукцион, запрос котировок, конкурсные процедуры)

Как настроить контроллер домена в Windows Server

Как настроить контроллер домена в Windows Server 2016, 2019, 2022. Шаги одинаковы для всех версий Active Directory из Windows Server 2016.

Что такое контроллер домена

Контроллер домена (DC) — это компьютерный сервер, который обрабатывает аутентификацию пользователей. Он принимает участие в дублировании и содержит полную копию всей информации каталога и других файлов домена. Контроллер домена — это коробка, содержащая средства для доступа к Active Directory  и отчетам AD. В то время как злоумышленники используют различные методы для получения повышенного доступа к сетям, включая атаку самого контроллера домена, вы можете использовать свои контроллеры домена для кибератак и обеспечения безопасности, а также для выявления атак в процессе.

С другой стороны, установка безопасного и стабильного контроллера домена не гарантирует, что вы останетесь в безопасности на неопределенный срок. Злоумышленники будут продолжать пытаться взломать ваш контроллер домена, чтобы получить повышенные привилегии или разрешить боковое перемещение по вашей сети.

Microsoft Active Directory — одна из лучших функций, благодаря которым Windows Server сияет в корпоративном секторе. Это программное обеспечение единого входа (SSO), которое безупречно и легко подключается к большинству программ Microsoft, делает администрирование пользователей и другие задачи простыми и приятными.

Active Directory — это полезный инструмент для сетевых администраторов для мониторинга и отчетности, особенно когда бизнес становится больше и в его сети добавляется больше пользователей и ресурсов. Это также весьма полезно для подтверждения соответствия отрасли.

В этой статье вы узнаете, как настроить контроллер домена в Windows Server, предоставив подробное руководство с выделением всех шагов, необходимых для беспрепятственной установки.

Как настроить контроллер домена в Windows Server 2019, 2016, 2022

Шаг 1) Откройте Диспетчер серверов

Используя свои административные учетные данные, войдите на свой сервер Windows и откройте диспетчер серверов. Нажмите на панель инструментов в диспетчере серверов, а затем выберите параметр «Добавить роли и функции», как показано на снимке экрана ниже:

.

Затем вы увидите вкладку « Перед тем, как начать », которая содержит важную информацию. Внимательно изучив его, вы можете нажать « Следующий », как показано ниже:

Active Directory в Azure. 2 Контроллер домена

Active Directory в AWS

Развернуть Контроллер домена 2016

Развернуть Контроллер домена 2019

Развернуть контроллер домена 2022

Active Directory в GCP

Развернуть контроллер домена 2016

Развернуть контроллер домена 2019

Шаг 2) Тип установки

На следующем этапе настройки контроллера домена на Windows Server нам будет представлена ​​вкладка Тип установки , на которой мы выберем вариант установки на основе ролей или функций , затем мы нажмем Далее, чтобы продолжить, как показать ниже:

Шаг 3) Выбор сервера

Далее на вкладке Server Selection мы теперь выберем наш целевой сервер, на котором будут установлены наши роли. Теперь необходимо проверить имя хоста и IP-адрес выбранного сервера. После этого нажмите Далее для продолжения:

Шаг 4) Роли сервера

Далее мы будем перенаправлены на вкладку Роли сервера , где мы проверим «Доменные службы Active Directory» поле, как показано ниже:

Шаг 5 ) Добавить функции

Далее в разделе «Настройка контроллера домена на Windows Server» нам будет предложено просмотреть связанные функции для роли. Затем мы должны нажать на Добавить параметры , чтобы добавить функции, а затем на кнопку Далее :

Шаг 6) Выберите функции

Поскольку мы перенаправлены на вкладку «Функции» рядом с функциями по умолчанию, которые уже были выбраны в соответствии с требованиями для нашей роли, их следует оставить нетронутыми. Мы просто нажмем на Далее для перехода к установке:

Шаг 7) AD DS

После выбора вкладки AD DS будет отображаться краткая информация о « доменных службах Active Directory» . Затем мы нажмем Далее:

Шаг 8 ) Подтвердите свой выбор

Далее нам будет представлена ​​вкладка подтверждения. Здесь мы можем перейти и проверить наш выбор, а затем нажать на Кнопка Установить :

Затем мы можем отслеживать ход установки на вкладке Результаты , как показано ниже:

Шаг 9 ) Повысьте уровень сервера до контроллера домена

После завершения установки AD DS мы перейдем к повышению роли нашего контроллера домена, щелкнув параметр «Повысить уровень этого сервера до контроллера домена» , как показано ниже:

Шаг 10) Добавить новый лес

Теперь мастер настройки Active Directory будет открыт. На вкладке Deployment Configuration мы выберем опцию Add a new forest и предоставим имя корневого домена, которое может быть любым, которое вы хотите, а затем нажмите Next , чтобы продолжить.

Шаг 11) Параметры контроллера домена

Выберите функциональный уровень для своего леса и домена в зависимости от вашей среды на вкладке «Параметры контроллера домена». Установите флажки DNS-сервер и глобальный каталог, поскольку это первый контроллер домена в лесу. Затем для извлечения/восстановления данных Active Directory введите пароль DSRM. Затем, чтобы продолжить, нажмите Далее:

Поскольку DNS-сервер, интегрированный в AD, настроен, мы можем игнорировать предупреждение о делегировании DNS и, чтобы продолжить, можем нажать Next .

Шаг 12) Имя домена

После открытия вкладки под названием Дополнительные параметры далее мы введем имя NetBIOS для нашего домена, которое должно совпадать с именем нашего корневого домена, введенным на шаге 11. Нажмите Далее , чтобы продолжить.

Шаг 13 ) Пути

Теперь мы должны указать путь к базе данных (базе данных NTDS), файлам журнала и каталогам SYSVOL на вкладке «Путь». Чтобы продолжить, нажмите Далее , как показано ниже:

Шаг 14 ) Просмотр параметров

Настройка будет проверена на вкладке «Параметры просмотра». Если все соответствует вашим требованиям, нажмите «Далее», чтобы продолжить; если нет, вернитесь к предыдущему экрану и внесите необходимые изменения, прежде чем продолжить. Также можно просмотреть сценарий powershell для будущего развертывания.

Шаг 15) Проверка предварительных условий

В этом разделе мы щелкнем вкладку Prerequisites Check , и будет выполнена проверка, и после ее завершения нам будет представлена ​​кнопка Install , которую мы должны нажать, чтобы инициализировать установку:

Шаг 16) Установка выполнена успешно

  • Когда установка будет завершена, вы увидите подтверждающее сообщение, показанное ниже.
  • Перезапустите Сервер после закрытия этого окна. Вы должны подключиться, используя имя пользователя и пароль вашего домена, после перезапуска сервера. По умолчанию учетная запись локального администратора будет повышена до администратора домена.
  • Войдите в систему и проверьте работоспособность контроллера домена.
  • Для проверки работоспособности используйте команду DCDIAG . Вы также можете проверить конфигурации с помощью инструментов Active Directory, которые находятся в папке «Администрирование» в меню «Пуск».

Как настроить контроллер домена на Windows Server Заключение

Данные, которые определяют и проверяют доступ к сети, включая любые групповые политики и все имена компьютеров, хранятся на контроллерах домена. В DC ​​есть все, что может понадобиться злоумышленнику, чтобы нанести огромный ущерб вашим данным и сети, что делает его главной целью кибератаки.

По сути, Active Directory — это платформа для управления несколькими доменами Windows Server, важнейшим компонентом которой является контроллер домена. Это сервер, который управляет Active Directory и аутентифицирует пользователей, используя информацию, содержащуюся в каталоге.

Информация хранится в Active Directory в виде объектов, объединенных в леса, деревья и домены. В каждом лесу Active Directory может быть множество доменов, а контроллеры домена управляют доверительными отношениями, которые позволяют пользователям из одного домена получать доступ к пользователям из другого домена.

Благодаря этому руководству вы установили контроллер домена на Windows Server. Мы очень надеемся, что эта статья была информативной и легкой для понимания. Спасибо, что прочитали эту статью полностью.

Установка и настройка контроллеров домена с ядром Windows Server — Майк Галвин

Эта страница выглядит лучше всего с включенным JavaScript

Ядро Windows Server — идеальный выбор для контроллеров домена Active Directory из-за низкого использования ресурсов и значительного уменьшения поверхности атаки. В этом посте я рассмотрю начальные шаги по развертыванию нового леса Active Directory и добавлению в домен дополнительного контроллера домена, и, наконец, я проведу некоторые базовые проверки работоспособности домена после установки. Это руководство также подходит для обычных установок Windows Server с графическим интерфейсом.

Установка Windows Server Core

Загрузите сервер с носителя Windows Server и на экране «Выберите операционную систему, которую хотите установить» выберите вариант «Windows Server Standard» или «Datacenter». Другие параметры с надписью «Desktop Experience» в скобках — это параметры для других выпусков сервера с установленным графическим интерфейсом.

Обратите внимание: вы больше не можете добавлять и удалять графический интерфейс (Desktop Experience) в Windows Server 2016, как это было в Windows Server 2012 и 2012 R2. Это связано с многочисленными проблемами, связанными с поддержанием процесса установки и удаления в соответствии с обновлениями. В Windows Server 2016 единственный способ добавить или удалить графический интерфейс — это переустановить и выбрать одну из серверных редакций с параметром «Возможности рабочего стола».

Исходная конфигурация

После завершения процесса установки вам будет предложено открыть окно командной строки и задать пароль администратора.

  1. Установите пароль администратора.
  2. Введите sconfig , чтобы открыть меню конфигурации сервера. Это довольно прямолинейно. В меню «Конфигурация сервера» вы можете настроить все основные параметры, необходимые для сервера.
  3. Для первого контроллера домена в новом лесу необходимо настроить как минимум параметры сети — IP-адрес, маску подсети, шлюз и DNS.
  4. Вы также можете настроить имя компьютера. Настройка имени компьютера потребует перезагрузки.
  5. После перезагрузки войдите на сервер с паролем администратора, который вы установили на шаге 1.

Совет: «sconfig» также присутствует в версии Windows Server с графическим интерфейсом, что упрощает первоначальную настройку новых серверов.

Дополнительная конфигурация хранилища

Возможно, вы захотите настроить дополнительные локально подключенные диски или хранилище iSCSI/MPIO. Создание новых томов, которые подключены локально, может быть выполнено с помощью diskpart инструмент командной строки. Вот последовательность команд для создания нового тома в формате NTFS с буквой диска E:\ и именем «Данные» со второго диска на сервере с помощью инструмента diskpart . Сначала запустите diskpart из командной строки, затем используйте следующие команды:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
 
 список дисков
выберите диск 1
онлайн диск
атрибуты диска очистить только для чтения
чистый
преобразовать mbr -или gpt
создать раздел первичным
выберите часть 1
активный
format fs=ntfs label=Быстрые данные
присвоить букву Е:
список томов

Хранилище iSCSI можно настроить с помощью тех же инструментов графического интерфейса, которые вы использовали бы в версии Windows Server с графическим интерфейсом. Функция MPIO должна быть установлена ​​до того, как инструмент станет доступен. Вы можете сделать это через PowerShell:

 1
 
 Install-WindowsFeature -Name 'Multipath-IO'

Когда MPIO установлен, вы можете загрузить утилиту MPIO, используя mpiocpl . Для утилиты iSCSI вы можете использовать iscsicpl . iSCSI устанавливается как часть базового набора функций Windows Server.

Установка доменных служб Active Directory

Теперь мы установим доменные службы Active Directory и создадим первый контроллер домена для нового леса.

Следующая команда PowerShell установит двоичные файлы доменных служб Active Directory, но не сделает сервер контроллером домена:

 1
 
 Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

После установки двоичных файлов можно создать лес и сервер может стать контроллером домена:

 1
 
 Install-ADDSForest-DomainName contoso.com

Если вы хотите настроить путь хранения базы данных AD, журналов AD и SYSVOL, выполните следующую команду:

 1
 
 Install-ADDSForest -DomainName contoso. com -DatabasePath "E:\AD\DB" -LogPath "E:\AD\Log" -SysvolPath "E:\AD\SYSVOL"

В процессе установки вам будет предложено установить «пароль администратора безопасного режима» — он также известен как «пароль режима восстановления служб каталогов (DSRM)».

После завершения процесса установки вам будет предложено выполнить перезагрузку, и после перезагрузки у вас будет первый контроллер домена для нового леса.

Добавление дополнительного контроллера домена к существующему домену

Чтобы добавить в домен дополнительный контроллер домена, сначала установите ядро ​​Windows Server, как описано выше, настройте сетевые параметры и любое необходимое дополнительное хранилище.

Добавьте сервер в существующий домен, для которого вы хотите создать дополнительный контроллер домена, и войдите в систему как пользователь с правами администратора домена для этого домена.

Установите двоичные файлы доменных служб Active Directory, выполнив следующую команду в PowerShell:

 1
 
 Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Чтобы сделать сервер контроллером домена, выполните следующую команду:

 1
 
 Install-ADDSDomainController-DomainName "contoso. com"

Если вы хотите настроить путь хранения базы данных AD, журналов AD и SYSVOL, выполните следующую команду:

 1
 
 Install-ADDSDomainController -DomainName "contoso.com" -DatabasePath "E:\AD\DB" -LogPath "E:\AD\Log" -SysvolPath "E:\AD\SYSVOL"

В процессе установки вам будет предложено установить «пароль администратора безопасного режима» — он также известен как «пароль режима восстановления служб каталогов (DSRM)».

После завершения процесса установки вам будет предложено выполнить перезагрузку, и после перезагрузки у вас будет другой контроллер домена для домена.

Проверка работоспособности после установки

Для проверки работоспособности контроллера домена можно использовать инструмент dcdiag . Чтобы направить вывод в файл TXT и прочитать его с помощью блокнот запустите из командной строки следующее:

 1
2
 
 dcdiag > C:\dctest. txt
блокнот C:\dctest.txt

У вас может возникнуть проблема с первым контроллером домена для леса, который не объявляет себя сервером времени. Если вы столкнулись с этой проблемой, попробуйте следующие команды, чтобы устранить проблему:

 1
2
3
4
 
 чистая остановка w32time
w32tm /отменить регистрацию
w32tm /регистр
чистый старт w32time

Запустите dcdiag еще раз, и проблема должна быть решена. Одной из возможных проблем с Active Directory, на которую следует обратить внимание, является DNS. Вы можете настроить dcdiag для запуска специального теста DNS:

 1
 
 dcdiag/тест: днс

Заключительные задачи

Возможно, вы захотите вернуться к инструменту настройки сервера «sconfig» и выполнить некоторые окончательные задачи настройки, такие как включение удаленного рабочего стола или настройка обновлений Windows.