Как установить дополнительный контроллер домена
Перейти к содержимому

Как установить дополнительный контроллер домена

  • автор:

Установка реплики контроллера домена Windows Server 2012 в существующем домене (уровень 200)

В этом разделе рассматриваются действия, необходимые для обновления существующего леса или домена до Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell. В нем описывается, как добавить контроллеры домена с ОС Windows Server 2012 в существующий домен.

  • Рабочий процесс обновления и реплики
  • Обновление и реплика Windows PowerShell
  • Развертывание

Процесс обновления и добавления реплики

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать контроллер домена в существующем домене.

Diagram that illustrates the Active Directory Domain Services configuration process when you previously installed the AD DS role.

Обновление и добавление реплики с помощью Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-AddsDomainController -SkipPreChecks

-Domainname

-Сейф Mode Администратор istratorPassword

-Учетных данных

Аргумент -credential требуется только в том случае, если вы еще не вошли как член групп «Администраторы предприятия» и «Администраторы схемы» (при обновлении леса) или группы «Администраторы домена» (при добавлении нового контроллера домена в существующий домен).

Развертывание

Конфигурация развертывания

Screenshot that shows the Deployment Configuration page.

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы обновить существующий лес или добавить доступный для записи контроллер домена в существующий домен, установите переключатель в положение Добавить контроллер домена в существующий домен и нажмите кнопку Выбрать в разделе Укажите сведения о домене для этой операции. При необходимости диспетчер серверов запрашивает действующие учетные данные.

Для обновления леса в Windows Server 2012 требуются учетные данные, включающие членство в группах «Администраторы предприятия» и «Администраторы схемы». Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы.

Автоматическое выполнение процесса Adprep — это единственное различие между добавлением контроллера домена в существующий домен Windows Server 2012 и домен, в котором контроллеры домена работают под управлением более ранней версии Windows Server.

Командлет и аргументы модуля Windows PowerShell ADDSDeployment:

Install-AddsDomainController -domainname -credential

Screenshot that shows where you supply the credentials for deployment operation.

Screenshot that shows where to select a domain in the forest where the new domain controller will reside.

На каждой странице выполняются определенные тесты, некоторые из которых проводятся повторно позднее как отдельные проверки предварительных требований. Например, если выбранный домен не отвечают требованию к минимальному режиму работы, вам не придется проходить всю процедуру повышения роли вплоть до проверки предварительных требований, чтобы получить в итоге следующее сообщение:

Screenshot that highlights the message that states if the selected domain does not meet the minimal functional levels.

Параметры контроллера домена

Screenshot that shows the Domain Controller Options page.

На странице Параметры контроллера домена показаны возможности настройки нового контроллера домена. Они включают в себя DNS-сервер, Глобальный каталог и Контроллер домена только для чтения. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. По умолчанию выбирается сайт с наиболее подходящей подсетью. Если существует только один сайт, он выбирается автоматически.

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Аргументы ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена:

-InstallDNS > -NoGlobalCatalog > -sitename -SafeModeAdministratorPassword

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет install-AddsDomainController не создает сайты. Для создания сайтов можно использовать командлет new-adreplicationsite.

Аргумент SafeModeAdministratorPassword действует особым образом.

    Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета. Например, чтобы создать дополнительный контроллер домена в домене treyresearch.net с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:

Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential) 

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring) 

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) 

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = "c:\pw.txt" $pw = read-host -prompt "Password:" -assecurestring $pw | ConvertFrom-SecureString | Set-Content $file -safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString) 

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:

-SkipAutoConfigureDNS 

На странице Параметры контроллера домена выводится предупреждение о том, что нельзя создать контроллеры домена только для чтения, если существующие контроллеры домена работают под управлением Windows Server 2003. Это ожидаемое предупреждение, и его можно пропустить.

Screenshot that highlights a warning that says that you can

Параметры DNS и учетные данные для делегирования DNS

Screenshot that shows where you can specify the DNS delegation option.

На странице Параметры DNS можно настроить делегирование DNS, если вы выбрали параметр DNS-сервер на странице Параметры контроллера домена и указана зона, в которой разрешено делегирование DNS. Может потребоваться предоставить другие учетные данные, принадлежащие пользователю, который является членом группы Администраторы DNS.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Параметры DNS:

-creatednsdelegation -dnsdelegationcredential

Screenshot that shows the Windows Security dialog box for supplying credentials for the deployment operation.

Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.

Дополнительные параметры

Screenshot that shows where you can find the configuration option to name a domain controller as the replication source.

На странице Дополнительные параметры приводится параметр конфигурации, позволяющий указать имя контроллера домена, используемого в качестве источника репликации.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). При установке флажка Установка с носителя появляется возможность выбора носителя. Чтобы убедиться в том, что указанный путь является действительным путем к носителю, необходимо нажать кнопку Проверить. Носители, используемые параметром IFM, создаются с помощью системы архивации данных Windows Server или Ntdsutil.exe только из другого существующего компьютера с Windows Server 2012. Windows Server 2008 R2 или операционные системы более ранних версий не подходят для создания носителей для контроллера домена с Windows Server 2012. Дополнительные сведения о внесении изменений в IFM см. в разделе Simplified Administration Appendix. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.

Screenshot that shows a terminal window during the installation of a domain controller.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Дополнительные параметры:

-replicationsourcedc -installationmediapath -syskey

Пути

Screenshot that shows where you can override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share.

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot%.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице «Пути»:

-databasepath -logpath -sysvolpath

Параметры подготовки

Screenshot that shows the Preparation Options page that alerts you that the AD DS configuration includes extending the Schema (forestprep) and updating the domain (domainprep).

На странице Параметры подготовки выводится оповещение о том, что настройка доменных служб Active Directory включает в себя расширение схемы (forestprep) и обновление домена (domainprep). Эта страница появляется только в том случае, если лес и домен не были подготовлены в ходе предыдущей установки контроллера домена Windows Server 2012 или путем запуска средства Adprep.exe вручную. Например, мастер настройки доменных служб Active Directory подавляет эту страницу, если вы добавляете новый контроллер домена в существующий корневой домен леса Windows Server 2012.

Расширение схемы и обновление домена не производятся после нажатия кнопки Далее. Эти операции выполняются только во время этапа установки. На этой странице просто сообщается о событиях, которые будут происходить позднее в ходе установки.

На этой странице также проверяется, является ли текущий пользователь членом групп «Администраторы схемы» и «Администраторы предприятия». Членство в этих группах необходимо для расширения схемы и подготовки домена. Если на странице указано, что текущие учетные данные не дают необходимых разрешений, нажмите кнопку Изменить, чтобы предоставить соответствующие учетные данные пользователя.

Screenshot that shows the Preparation Options page and highlights the Change button.

Аргумент Дополнительных параметров командлета ADDSDeployment таков:

-adprepcredential

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.

Средство RODCPrep запускается автоматически при повышении роли первого контроллера RODC без предварительной подготовки в домене. Этого не происходит при повышении роли первого доступного для записи контроллера домена Windows Server 2012. Если планируется развертывать контроллеры домена только для чтения, команду adprep.exe /rodcprep также можно выполнить вручную.

«Просмотреть параметры» и «Просмотреть скрипт»

Screenshot that shows the Review Options page which enables you to validate your settings and ensure that they meet your requirements before you start the installation.

Страница Просмотрь параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации.

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования.

# # Windows PowerShell Script for AD DS Deployment # Import-Module ADDSDeployment Install-ADDSDomainController ` -CreateDNSDelegation ` -Credential (Get-Credential) ` -CriticalReplicationOnly:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainName "root.fabrikam.com" ` -InstallDNS:$true ` -LogPath "C:\Windows\NTDS" ` -SiteName "Default-First-Site-Name" ` -SYSVOLPath "C:\Windows\SYSVOL" -Force:$true 

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра сведений о конфигурации воспользуйтесь необязательным аргументом Whatif с командлетом Install-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Screenshot of a terminal window that shows using the optional Whatif argument with the Install-ADDSDomainController cmdlet.

Проверка необходимых компонентов

Screenshot that shows the Prerequisites Check page which is a new feature in AD DS domain configuration.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового контроллера домена Windows Server 2012 доменом и лесом.

При установке нового контроллера домена мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.

Подробнее о проверках предварительных требований см. в разделе Prerequisite Checking.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:

-skipprechecks 

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса. На странице Проверка предварительных требований выводится информация обо всех неполадках, выявленных в ходе проверки, и рекомендации по их устранению.

Установка

Screenshot that shows the Installation page.

Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log
  • %systemroot%\debug\adprep\logs
  • %systemroot%\debug\netsetup.log (если сервер входит в рабочую группу)

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomaincontroller 

Сведения об обязательных и необязательных аргументах см. в разделе Upgrade and Replica Windows PowerShell .

Выполнение командлета Install-AddsDomainController включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname и -credential. Обратите внимание на то, что операция Adprep выполняется автоматически в рамках добавления первого контроллера домена Windows Server 2012 в существующий лес Windows Server 2003:

Screenshot of a terminal window that shows the installation phase with the minimum required arguments of -domainname and -credential.

Обратите внимание на то, что командлет Install-ADDSDomainController, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли. Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Screenshot of a terminal window that shows the successful completion of the domain controller reboot process.

Чтобы удаленно настроить контроллер домена с помощью Windows PowerShell, заключите командлет install-addsdomaincontroller вкомандлет invoke-command. Для этого необходимо использовать фигурные скобки.

invoke-command -credential (get-credential)> -computername

Дополнительные сведения о том, как выполняется установка и процесс Adprep, см. в разделе Troubleshooting Domain Controller Deployment.

Результаты

Screenshot of the Results page that includes the the success or failure message for the promotion and any important administrative information.

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. В случае успешного выполнения контроллер домена автоматически перезагрузится через 10 секунд.

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.

Добавляем дополнительный контроллер домена в Active Directory

date

16.03.2023

user

itpro

directory

Active Directory, Windows Server 2016, Windows Server 2019, Windows Server 2022

comments

комментариев 18

Для построение отказоустойчивой инфраструктуры Active Directory и распределения нагрузки необходимо иметь как минимум два контроллера домена. Также рекомендуется создавать дополнительные контроллеры домена на удаленных площадках. В этой статье мы рассмотрим, как развернуть дополнительный контроллер домена в существующем домене AD.

Подготовка Windows Server перед развертыванием DC

Разверните новый сервер (физический или виртуальный) с Windows Server. Рекомендуется использовать одинаковые версии Windows Server на всех DC. В нашем примере это Windows Server 2019.

Не рекомендуется устанавливать дополнительные службы или приложения на контроллер домена. На нем должны быть запущены только роли DNS и ADDS (допускается размещение DHCP сервера), а также мониторинга и агенты систем резервного копирования контроллера домена (если используются). Можно использовать режим Server Core для развертывания DC. Это уменьшит использование ресурсов и увеличит безопасность.

Выполните первоначальную настройку нового Windows Server

Задайте имя контроллера домена, соответствующее вашей инфраструктуре через Server Manager или с помощью команды PowerShell. Например, spb-dc02:

Rename-Computer -NewName spb-dc02

Задайте статический IP адрес серверу, укажите настройки DNS. В качестве предпочитаемого DNS сервера укажите IP адрес 127.0.0.1 (для более быстрого выполнения DNS запросов), а в качестве альтернативного – IP адрес ближайшего контроллера домена в этом же сайте AD. Можно задать настройки IP и DNS с помощью PowerShell:

Get-NetAdapter
New-NetIPAddress -IPAddress 192.168.13.14 -DefaultGateway 192.168.13.1 -PrefixLength 24 -InterfaceIndex 6
Set-DNSClientServerAddress -InterfaceIndex 6 -ServerAddresses («127.0.0.1″,»192.168.10.14»)

задать ip адрес контроллеру домена

Задайте часовой пояс, проверьте что на сервере задано корректное время.

Установите обновления Windows (можно установить обновления с локального WSUS сервера или через Windows Update). Для установки обновления Windows можно использовать PowerShell модуль PSWindowsUpdate.

Add-Computer -DomainName winitpro.loc
Restart-Computer -force

Если вы разворачиваете DC для новой удаленной площадки, откройте консоль Active Directory Sites & Services ( dssite.msc ), создайте новый сайт и привяжите к нему IP подсети клеиентов, которые будет обслуживать ваш DC.

сайты и подсети Active Directory

Установка роли Active Directory Domain Services (ADDS)

После предварительной подготовки Windows Server, вы можете установить на нем роль ADDS. Откройте Server Manager, выберет Manage -> Add Roles and Features -> Server Roles -> отметьте Active Directory Domain Services.

Установка роли Active Directory Domain Services в Windows Server

Можно установить роль ADDS с помощью PowerShell:

Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose

Проверьте, что что роль AD-Domain-Services установлена:

Повышение сервера до контроллера домена Active Directory

После установки роли ADDS, вы можете повысить ваш Windows Server от рядового члена до контроллера домена.

В консоли Server Manager щелкните по ссылке Promote this server to a domain controller.

Promote this server to a domain controller

Укажите, что вы хотите добавить дополнительный контроллер домена в существующий домен: Add a domain controller to an existing domain.

Добавить второй котроллер домена в домен Active Directory

Выберите что на этом сервере нужно установить DNS сервер и активировать роль Global Catalog.

Затем задайте пароль восстановления Directory Services Restore Mode (DRSM).

В режиме DSRM вы можете выполнить восстановление контроллера AD домена из бэкапа.

Если вы планируете развернуть контроллер домена для чтения, отметьте опцию RODC (read-only domain controller). В данном случае мы не используем этот режим, и разворачиваем обычный RW DC.

Выберите сайт AD, в который нужно поместить новый DC (в нашем примере мы выбрали сайт SPB, который создали ранее).

Пароль DSRM и имя сайта AD

Пропустите шаг с делегацией DNS сервера.

Далее вы можете выбрать ближайший контроллер домена, с которого нужно выполнить репликацию на ваш новый DC. Если все DC находятся близко и не подключены через WAN каналы, выберите Any domain controller. Первоначальная репликация каталога и SYSVOL на новый DC может вызвать повышенную нагрузку на WAN каналы.

Для развертывания нового DC на площадке с плохим или нестабильным каналом связи можно использовать режим IFM (Install from media). В этом случае вам нужно сформировать снимок раздела домена и SYSVOL на любом DC, скопировать его на физический носитель и передать носить в филиал для развертывания нового DC.

выберите источник первоначальной репликации контроллера домена

Затем укажите пути к каталогам базы данных ADDS (ntds.dit) и sysvol. В большинстве случаев можно оставить пути по умолчанию:

  • C:\Windows\NTDS
  • C:\Windows\SYSVOL

Запустится проверка. Если все предварительные требования выполнены, появится надпись:

All prerequisite checks passed successfully.

Нажмите Install чтобы повысить сервер до DC.

развернуть новый контроллер домена

Можно использовать PowerShell для развертывания нового контроллера домена. Все описанные выше настройки можно задать следующей командой:

Import-Module ADDSDeployment
Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -CriticalReplicationOnly:$false -DatabasePath «C:\Windows\NTDS» -DomainName «winitpro.loc» -InstallDns:$true -LogPath «C:\Windows\NTDS» -NoRebootOnCompletion:$false -SiteName «SPB» -SysvolPath «C:\Windows\SYSVOL» -Force:$true

После завершения установки, сервер будет автоматически перезагружен.

Проверка состояние нового контроллера домена

После установки нового DC нужно проверить его состояние и корректность репликации в Active Directory.

В первую очередь проверьте, что новый контроллер домена появится в разделе Domain Controllers консоли ADUC.

Контейнер Domain Controllers в AD

Также можно получить информацию о вашем новом DC с помощью командлета из модуля AD PowerShell:

Проверьте состояние репликации между контроллерами домена домене с помощью команд:

repadmin /showrepl *
repadmin /replsummary

Можно получить информацию о партнерах по репликации для конкретного DC:

repadmin /replsummary spb-dc02

repadmin /replsummary unknown

В моем случае в значении largest delta было указано unknown. Обычно это связано с тем, что репликация еще не завершена. Вы можете подтолкнуть репликацию с помощью консоли Active Directory Sites and Services. Разверните ваш сайт, выберите ваш DC, разверните NTDS Settings, щелкните по связи и выберите Replicate All.

Либо вы можете инициировать полную репликацию командой:

Запустить репликацию с контроллера домена вручную

Проверьте что ошибок репликации нет.

проверка ошибок репликации AD

Для проверки здоровья контроллеров домена и репликации AD можно использовать скрипт по ссылке.

Теперь ваш новый DC может обслуживать клиентов и использоваться в качестве logonserver для компьютеров из привязанных IP подсетей/сайта.

В завершении оставлю еще несколько ссылок на статье, которые должны быть полезны для администраторов AD:

  • Перенос FSMO ролей
  • Корректное удаление контроллера домена
  • Управление групповыми политиками (GPO) в Active Directory
  • Как переименовать домен AD?
  • Сброс пароля администратора домена

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Читайте далее в разделе Active Directory Windows Server 2016 Windows Server 2019 Windows Server 2022

page

page

page

Настройка двухфакторной аутентификации (2FA) в Windows с помощью MultiOTP

Настройка перенаправления папок пользователей в AD с помощью GPO

Распространить задание планировщика Windows через групповые политики

Аудит события входа пользователей в Windows

Создание контроллера домена Active Directory Domain Services

Консультация по продукту 1cloud

Пошаговый процесс установки Active Directory, настройки контроллера домена и создание пользователей AD на VPS с операционной системой семейства Windows Server (на серверах 1cloud) T5M51S

  • Создание контроллера домена Active Directory Domain Services 2019-05-16 true 640 360

    Что такое Active Directory?

    Доменная служба Active Directory — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации. AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам. Active Directory Domain Services используется для организации локальных вычислительных сетей.

    Подготовка Windows Server и конфигурация сети

    Создание и конфигурация сети

    Галочка при заказе сервера

    Для начала в панели управления необходимо создать необходимые для сети серверы и один из них будет контроллером домена. Важно: для работы с Active Directory необходимо при заказе сервера в панели управления отметить галочкой поле “выполнить системную подготовку Windows”. После создания необходимо объединить все машины в единую частную сеть через панель управления в разделе “Частные сети”, в результате чего они получат локальные IP-адреса.

    Настройка сетевого адаптера контроллера домена

    Properties

    Для начала подключитесь к виртуальному серверу по протоколу RDP. О том как настроить сетевой адаптер написано в нашей инструкции. Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес шлюза по умолчанию. Сохраните настройки.

    Установка Active Directory Domain Service

    Откройте Диспетчер серверов и выберете пункт «Add roles and features». DashboardВ качестве типа установки укажите Role-based or feature-based installation. Installation TypeВыберете ваш сервер из пула. Select a server from the server poolВ следующем окне отметьте Active Directory Domain Services (Доменные службы Active Directory). RolesДобавьте компоненты. Add FeaturesУстановите все отмеченные компоненты на VPS с помощью кнопки Установить. Install

    Настройка Active Directory

    Для настройки Active Directory Domain Service выполните следующие действия:

    1. В поиске введите dcpromo и откройте одноименную утилиту.
    2. В открывшемся окне нажмите Ok.
    3. Откройте Диспетчер серверов, в вертикальном меню у вас появится вкладка AD DS
    4. В горизонтальном меню нажмите на восклицательный знак и выберете Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера).
    5. В появившемся окне настроек выберите Добавить новый лес (т.к. действия выполняются впервые) и введите ваше доменное имя.
      Примечания:
      • Имя корневого домена леса не может быть однокомпонентным (например, он должен быть «company.local» вместо «company»);
      • Домен должен быть уникальным;
      • Рекомендуем использовать уникальное имя домена из списка локальных (напр. company.local) во избежание конфликтов разрешения имен DNS в случае идентичных имен. — учетная запись, с которой делают настройки, должна входить в группу администраторов.

    6. На следующем шаге введите и подтвердите пароль для режима восстановления служб каталогов.
    7. На этом шаге просто нажмите Next.
    8. Укажите удобное имя домена NetBIOS.
    9. Укажите пути до базы данных AD DS, файлов журналов и папки SYSVOL. Рекомендуем оставить значения по умолчанию.
    10. Проверьте настроенные параметры.
    11. Дождитесь проверки предварительных требований после чего нажмите Установить.

    После установки сервер будет перезагружен.

    Создание учетных записей

    Для создания новых учетных записей и администраторов откройте оснастку Active Directory Users and Computers, для этого откройте Диспетчер серверов и перейдите в раздел AD DS. В контекстном меню сервера выберете соответствующую оснастку.

    Server Manager

    В новом окне разверните дерево вашего домена и найдите каталог с пользователями Users. Правой кнопкой мыши нажмите на каталог и выберете Создать -> Пользователь.

    Users

    Для нового пользователя задайте личные данные и имя входа.

    New Object

    Далее введите пароль, который должен быть достаточно сложным и содержать буквы разного регистра и цифры. Дополнительные опции выберите на свое усмотрение.

    Пароль

    Создайте нового пользователя.

    Finish

    Чтобы пользователь мог управлять службами Active Directory, его необходимо добавить в группу Domain Admins. Для этого с помощью правой кнопки мыши откройте свойства пользователя и перейдите во вкладку Member Of. Нажмите кнопку Add для добавления в группу.

    Add..

    Выполните поиск группы Domain Admins с помощью кнопки Check Names. Нажмите OK.

    Check

    Сохраните изменения кнопкой Apply.

    Apply

    Теперь созданный пользователь сможет подключиться к контроллеру домена.

    Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей — отключен.

    Apply

    P. S. Другие инструкции:

    • Структура хранилища Active Directory
    • Проблемы при подключении по RDP
    • Как отключить Конфигурацию усиленной безопасности Internet Explorer в Windows Server 2012
    • Настройка сетевого адаптера в Windows

    Ознакомиться с другими инструкциями по работе с Windows можно здесь. А чтобы попробовать услугу — кликните на кнопку ниже.

    Поделиться в соцсетях:

    Средняя оценка: 5,0, всего оценок: 38 Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

    Второй контроллер домена — Windows Server 2016

    Второй контроллер домена - Windows Server 2016

    Информация о материале Категория: Система

    • windows-server-2016
    • windows server

    После того, как установлен и настроен основной контроллер домена , а также установлен и настроен DHCP-сервер , следует установить и настроить второй, дополнительный контроллер домена. Это необходимо для того, чтобы в случае потери связи или выхода из строя первого контроллера домена, добавочный контроллер домена смог обрабатывать запросы пользователей. Тогда работа в сети будет безостановочной, в случае проблем одного из контроллеров, второй будет выполнять все те же функции.

    Установка и настройка второго контроллера домена.

    1. На первом контроллере домена открываем сетевые настройки первого сервера. Для этого в поле поиска набираем ncpa.cpl. Далее выбираем нужный сетевой интерфейс, правый клик — «Свойства — IP версии 4(TCP/IPv4). — Свойства». В поле альтернативный интерфейс, вписываем IP-адрес добавочного контроллера домена (в данном случае 192.168.100.6).

    second controller domen 2016 1

    2. Затем переходим на второй сервер и задаём имя будущему серверу: «Этот компьютер — Свойства — Изменить параметры — Изменить». В поле «Имя компьютера» задаём имя серверу, далее «ОК». Потребуется перезагрузка компьютера, соглашаемся.

    second controller domen 2016 2

    3. После перезагрузки переходим к настройке сетевого интерфейса. Для этого в поле поиск пишем ncpa.cpl. Выбираем нужный интерфейс, правый клик — «Свойства — IP версии 4(TCP/IPv4). — Свойства». В открывшемся окне заполняем поля:

    • IP-адрес: IP-адрес сервера (например, 192.168.100.6)
    • Маска подсети: например, 255.255.255.0 (маска 24 бит)
    • Основной шлюз: например, 192.168.100.1
    • Предпочитаемый DNS-сервер: IP-адрес первого сервера (например, 192.168.100.5)
    • Альтернативный DNS-сервер: IP-адрес второго сервера (например, 192.168.100.6)

    Затем нажимаем «ОК».

    second controller domen 2016 3

    4. Добавляем в домен новый сервер. Для этого выбираем «Этот компьютер — Свойства — Изменить параметры — Изменить». Ставим чекбокс «Является членом домена» и вписываем имя домена. Затем «ОК».

    second controller domen 2016 4

    5. В диалоге «Изменение имени компьютера или домена» вводим имя пользователя домена с административными правами (пользователь должен иметь возможность добавлять компьютеры в домен), далее «ОК».

    second controller domen 2016 5

    6. При успешной операции появится надпись «Добро пожаловать в домен. «. Нажимаем «ОК».

    second controller domen 2016 6

    7. После перезагрузки компьютера в окне «Просмотр основных сведений о вашем компьютере» можно проверить напротив «Полное имя», что компьютер вошел в состав домена.

    second controller domen 2016 7

    8. На этом подготовительный этап закончен, пора устанавливать необходимые роли на сервер. Для этого открываем «Диспетчер серверов» — «Добавить роли и компоненты». Необходимо установить DNS-сервер, Доменные службы Active Directory, DHCP-сервер.

    second controller domen 2016 8

    9. Читаем информацию в окне «Перед началом работы», нажимаем «Далее». В следующем окне «Выбор типа установки» оставляем чекбокс «Установка ролей или компонентов» по умолчанию, снова «Далее». Выбираем наш сервер из пула серверов, затем «Далее».

    second controller domen 2016 9

    10. В окне «Выбор ролей сервера» выбираем DNS-сервер, Доменные службы Active Directory, DHCP-сервер. При добавлении роли будет появляться предупреждение, например «Добавить компоненты, необходимые для DHCP-сервер». Нажимаем «Добавить компоненты». После выбора нужных ролей нажимаем «Далее».

    second controller domen 2016 10

    11. В новом окне «Выбор компонентов» игнорируем «Выберите один или несколько компонентов для установки на этом сервере», нажимаем Далее. В следующем окне «DHCP-сервер» читаем на что обратить внимание при установке DHCP-сервера, затем «Далее». В новом окне «Подтверждение установки» проверяем выбранные роли, нажимаем «Установить».

    second controller domen 2016 11

    12. Появится окно с ходом установки выбранных компонентов. Данное окно можно закрыть, оно на процесс установки уже не влияет.

    second controller domen 2016 12

    13. После того, как установятся выбранные компоненты, в «Диспетчер серверов» нажимаем значок предупреждения в виде восклицательного знака, выбираем «Повысить роль этого сервера до уровня контроллера домена».

    second controller domen 2016 13

    14. Появится «Мастер настройки доменных служб Active Directory». В окне «Конфигурация развертывания» оставляем по умолчанию чекбокс «Добавить контроллер домена в существующий домен», проверяем название домена в поле «Домен». Напротив поля (текущий пользователь) нажимаем кнопку «Изменить».

    second controller domen 2016 14

    15. Вводим логин и пароль пользователя в домене с административными правами. Нажимаем «ОК». Затем «Далее».

    second controller domen 2016 15

    16. В окне «Параметры контроллера домена» вводим парль для режима восстановления служб каталогов (DSRM), снова «Далее».

    second controller domen 2016 16

    17. В окне «Параметры DNS» игнорируем предупреждение о том, что делегирование для этого DNS-сервера невозможно создать, поскольку полномочная родительская зона не найдена», просто жмем «Далее».

    second controller domen 2016 17

    18. В окне «Дополнительные параметры» источник репликации оставляем «Любой контроллер домена», снова «Далее».

    second controller domen 2016 18

    19. Расположение базы данных AD DS, файлов журналов и папки SYSVOL оставляем по умолчанию, нажимаем «Далее».

    second controller domen 2016 19

    20. Просматриваем параметры, настроенные в «Мастер настройки доменных служб Active Directory», затем «Далее».

    second controller domen 2016 20

    21. В окне «Проверка предварительных требований» проверяем, что появился зеленый чекбокс. Таким образом все проверки готовности к установке выполнены успешно. Нажимаем «Установить».

    second controller domen 2016 21

    22. В следующем окне читаем, что «Этот сервер успешно настроен как контроллер домена». Читаем предупреждения, нажимаем «Закрыть».

    second controller domen 2016 22

    23. Пришло время проверить работоспособность Доменных служб Active Directory и DNS-сервера. Для этого открываем «Диспетчер серверов».

    second controller domen 2016 23

    24. Выбираем «Средства» — «Пользователи и компьютеры Active Directory».

    second controller domen 2016 24

    25. Открываем наш домен и раскрываем подразделение «Domain Controllers». В окне напротив проверяем наличие второго сервера как контроллера домена.

    second controller domen 2016 25

    26. Далее в «Диспетчер серверов» выбираем «Средства» — «DNS».

    second controller domen 2016 26

    27. Проверяем наличие IP-адреса второго сервера в зоне прямого и в зоне обратного просмотра.

    second controller domen 2016 27

    28. Затем выбираем «Active Directory — сайты и службы».

    second controller domen 2016 28

    29. Раскрываем дерево «Active Directory — сайты». Проверяем наличие второго контроллера домена напротив «Servers».

    second controller domen 2016 29

    30. Пришло время настроить DHCP-сервер. Для этого на втором сервере выбираем в «Диспетчер серверов» — «Средства» — «DHCP».

    second controller domen 2016 30

    31. Выбираем добавочный сервер, правой клавишей мыши — «Добавить или удалить привязки».

    second controller domen 2016 31

    32. Проверяем настройку сетевого интерфейса, через который будут обслуживать DHCP-клиенты на втором сервере.

    second controller domen 2016 32

    33. Объединяем два DHCP-сервера. Конфигурация высокой доступности, режим балансировка высокой нагрузки. Распределяем нагрузку на сервера 50×50. Для настройки на первом сервере, где установлен и настроен DHCP-сервер, выбираем «Диспетчер серверов» — «Средства» — «DHCP».

    second controller domen 2016 33

    34. Правый клик на созданную в DHCP-сервере область, далее «Настройка отработки отказа. «.

    second controller domen 2016 34

    35. Появится мастер «Настройка отработки отказа», затем «Далее».

    second controller domen 2016 35

    36. Указываем сервер-партнер для отработки отказа. Для этого в поле «Сервер партнер» с помощью кнопки «Добавить сервер» добавляем второй (дополнительный) сервер, на котором развернута роль DHCP-сервер. Затем нажимаем «Далее».

    second controller domen 2016 36

    37. В поле «Общий секрет» вписываем пароль. Остальные настройки можно оставить по умолчанию, в том числе процент распределения нагрузки Локальный сервер — Сервер партнер — 50% на 50%. Снова «Далее».

    second controller domen 2016 37

    38. Проверяем параметры настройки отработки отказа между первым сервером и дополнительным сервером. Нажимаем «Готово».

    second controller domen 2016 38

    39. Смотрим в ходе настройки отработки отказа, чтобы все было «Успешно» и закрываем мастер.

    second controller domen 2016 39

    40. Открываем второй сервер. «Диспетчер серверов» — «Средства» — «Авторизовать».

    second controller domen 2016 40

    41. Проверяем «Пул адресов». Будет произведена синхронизация DHCP-серверов.

    second controller domen 2016 41

    На этом процесс установки и настройки Active Directory, DHCP, DNS закончен. Посмотреть, что и как делать, можно здесь:

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *