настройка домен контроллера на windows server 2019
Настройка домен контроллера на windows server 2019
Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.
Подготовительный этап
Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.
Установка и настройка Active Directory на 2019 сервере
Существует два метода выполнения нашей задачи:
Установка AD через сервер менеджеров
Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».
Тип установки оставьте «Установка ролей и компонентов».
Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.
Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.
Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.
Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.
Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:
Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.
Выгруженная конфигурация, это XML файл с таким вот содержанием.
Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.
Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».
То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.
Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.
На следующем окне вы должны выбрать параметры:
Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.
Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.
Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:
Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.
Выглядит сценарий вот так:
Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.
В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.
После установки вам сообщат:
Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.
Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,
В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.
Установка контроллера домена Windows Server 2019 с помощью Powershell
Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.
Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.
Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.
Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.
Полезные команды при установке доменных служб
Полезные командлеты в модуле ADDSDeployment
Установка и настройка Active Directory Windows Admin Center
Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.
Появится мастер установки, если все верно, то нажмите да.
В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.
Процесс установки доменных служб.
Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.
Windows Server 2019 — установка контроллера домена
Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.
AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.
Подготовительные работы
Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:
После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:
Хочется отметить обязательные пункты, которые нужно выполнить.
Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.
Укажите имя сервера.
Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.
Установка роли Active Directory Domain Services
Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.
Дополнительно будет установлена роль DNS.
Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.
Запускается мастер добавления ролей.
Раздел Before You Begin нас не интересует. Next.
В разделе Installation Type выбираем Role-based or feature-based installation. Next.
В разделе Server Selection выделяем текущий сервер. Next.
В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.
Для роли контроллера домена нам предлагают установить дополнительные опции:
Всё это не помешает. Add Features.
Теперь роль Active Directory Domain Services отмечена галкой. Next.
В разделе Features нам не нужно отмечать дополнительные опции. Next.
У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.
Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.
Начинается установка компонентов, ждём.
Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.
Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.
Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:
Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.
Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.
Попадаем в раздел Doman Controller Options.
В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.
У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.
В Domain functional level также выбираю Windows Server 2012.
Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.
Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.
Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found. «. Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.
В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.
В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:
В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.
Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.
Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.
Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.
Для начала установки роли контроллера домена нажимаем Install.
Начинается процесс установки.
Сервер будет перезагружен, о чём нас и предупреждают. Close.
Дожидаемся загрузки сервера.
Первоначальная настройка контроллера домена
Наша учётная запись Administrator теперь стала доменной — ILAB\Administrator. Выполняем вход.
Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.
На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.
Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.
Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.
Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.
Правой кнопкой на корень каталога, New > Organizational Unit.
Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.
Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.
Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.
Настройка контроллера домена Windows Server 2019
Для создания контроллера домена нами предварительно подготовлена виртуальная машина с Windows Server 2019.
Шаг 1. Сначала необходимо прописать сетевые настройки на сервере: ip, маску, шлюз, в dns указываем свой ip, так как на сервере будет использоваться роль dns server, она устанавливается вместе с ролью active directory domain services.
Шаг 2. Открываем Диспетчер серверов и добавляем роль доменные службы active directory.
Шаг 3. Система предложит добавить необходимые компоненты. Нажимаем Далее.
Шаг 4. В компонентах оставляем всё без изменений. Нажимаем Далее.
Шаг 5. В ad ds нажимаем Далее. Проверяем всё ли верно указано.
Шаг 6. Нажимаем Установить. На данном этапе появится строка с предложением повысить роль сервера до контроллера домена, но на данном этапе мы это пропустим и выполним после установки роли.
Шаг 7. После установки нажимаем Закрыть.
Шаг 8. Снова открываем Диспетчер серверов и переходим в роль AD DS.
Шаг 9. Здесь видим уведомление «Доменные службы Active Directory – требуется настройка на «сервере». Нажимаем Подробнее.
Шаг 10. Нажимаем повысить роль этого сервера до контроллера домена.
Шаг 11. Выбираем Добавить лес и вводим «имя корневого домена». Нажимаем Далее.
Шаг 12. Если домен новый (как в нашем случае) и в дальнейшем планируется использовать операционные системы не ниже Windows Server 2016, то режим работы леса и режим работы домена не меняем. Проверяем что установлена галочка на DNS-сервер.
Шаг 13. Устанавливаем пароль для режима восстановления службы каталогов и нажимаем Далее.
Шаг 14. В Параметрах DNS ничего не меняем и нажимаем Далее.
Имя NetBIOS-домена можно изменить, но рекомендуем оставить его по умолчанию.
Пути к каталогам базы данных active directory тоже лучше оставить по умолчанию.
Шаг 15. На следующем этапе проверяем сводную информацию по настройке сервера.
Проверка предварительных требований сообщит все ли условия соблюдены и выведет отчет. Если проблем никаких не возникло, то мы сможем нажать кнопку Установить.
Теперь выполняется процесс повышения роли сервера до контроллера домена. После выполнения, сервер автоматически перезагрузится.
В сетевых настройках поле dns сервера изменится на 127.0.0.1. Домен создан и готов к использованию.
Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг.