Лабораторная работа 4 Установка роли Active Directory на сервер под управлением Windows Server 2012 r2 Core.

Цель

Выполнить установку роли AD на сервере Windows Server 2012 R2 в режиме удаленного управления. Провести первоначальную настройку доменных служб Active Directory.

Теоретические сведения

Домен Active Directory

Административная единица в сети компьютеров, которая для удобства управления объединяет в себе несколько функций, включая перечисленные ниже.

• Удостоверение пользователя для всей сети. К однажды созданному в домене удостоверению пользователя затем можно обращаться с любого компьютера, присоединенного к лесу, в котором расположен домен. Контроллеры домена, составляющие домен, осуществляют безопасное хранение учетных записей пользователей и их учетных данных, таких как пароли и сертификаты.

• Проверка подлинности. Контроллеры домена предоставляют пользователям службы проверки подлинности. Также они предоставляют дополнительные данные авторизации, такие как членство в группах. Эти службы могут использоваться администраторами для контроля доступа к сетевым ресурсам.

• Отношения доверия. Домены распространяют действие служб проверки подлинности на пользователей других доменов в том же лесу с помощью автоматического двунаправленного доверия. Кроме того, домены распространяют действие служб проверки подлинности на пользователей доменов в других лесах при помощи либо доверий лесов, либо внешних доверий, созданных вручную.

• Управление политиками. Домен является областью действия административных политик, таких как сложность пароля и правила повторного использования пароля.

• Репликация. Домен определяет раздел дерева каталогов, обеспечивающий данные для работы необходимых служб и реплицируемый между контроллерами домена. Поэтому все контроллеры домена являются его узлами и управляются как единое целое.

Лес Active Directory

Набор из одного или нескольких доменов Active Directory с единой логической структурой, схемой каталогов и конфигурацией сети, а также автоматическими двунаправленными транзитивными отношениями доверия. Каждый лес представляет собой экземпляр каталога с заданной защитной границей.

Режим работы Active Directory

Параметр доменных служб Active Directory, включающий расширенные возможности доменных служб Active Directory уровня домена или леса.

В полноценной структуре Active Directory контроллеров домена должно быть не менее двух. В противном случае возникает неоправданный риск, так как в случае отказа единственного контроллера домена структура AD будет полностью уничтожена. Хорошо если будет актуальная резервная копия и из нее удастся восстановиться, в любом случае все это время ваша сеть будет полностью парализована.

Поэтому сразу же после создания первого контроллера домена нужно развернуть второй. Второй контроллер должен быть предусмотрен еще на стадии планирования. Также не стоит совмещать роль контроллера домена с любыми иными серверными ролями.

Выполнение

1. Продолжаем использовать тестовый полигон из созданных в предыдущих лабораторных работах виртуальных машин.

2. Подготовительный этап при «поднятии» роли сервера до Active Directory заключается в задании серверу статического IP адреса, изменение IP адреса Предпочитаемого DNS сервера на 127.0.0.1 (т.к. наш контроллер будет еще и выполнять роль DNS сервера) и изменение имени на более понятное ассоциативное, например DC или PDC.

3. Итак, все управление сервером dc12_r2_core выполняется с рабочей станции Администратора – ws_win81.

4. Запускаем Диспетчер серверов, выбираем из списка единственный пока зарегистрированный сервер dc12_r2_core, вызываем контекстное меню и в нем выбираем пункт Добавить роли и компоненты.

.

5. В окне Мастер добавления ролей и компонентов читаем, собственно какими возможностями этот мастер обладает , и идем дальше.

6. На следующем шаге соглашаемся, что нас интересует Установка ролей и компонентов.

7. Еще раз подтверждаем, что нам нужен именно сервер dc12_r2_core.

8. Из списка доступных для установки ролей отмечаем галочкой DNS-сервер и затем Доменные службы Active Directory. Дополнительно у нас будет спрошено разрешение установить необходимые для роли компоненты.

9. На следующем шаге имеется возможность посмотреть, какие компоненты будут установлены (мы же дали согласие на предыдущем шаге) и в случае необходимости выбрать дополнительные компоненты для установки. Обратите внимание, что снять галочки, т.е. выполнить деинсталляцию компонентов (да собственно и ролей на предыдущем шаге) невозможно. Для этого необходимо запускать мастера в режиме удаления ролей и компонентов.

10. Мастер установки рассказывает нам про DNS сервер.

11. Затем Мастер рассказывает про AD DS и обращает внимание на некоторые очевидные вещи .

12. И на последнем шаге Мастер показывает набор компонентов, которые были выбраны для установки и просит подтверждения. Опцию Автоматический перезапуск конечного сервера, если требуется можно не выбирать, т.к. при установке роли Active Directory перезагрузка сервера произойдет в любом случае. Полезной является опция Указать альтернативный исходный путь, т.к. позволяет задать расположение установочных пакетов (дистрибутивов).

13. После запуска процесса установки окно Мастера можно закрыть и следить за процессом выполнения установки нажав на значок флага уведомлений в основном окне Диспетчера серверов. Более подробную информацию о выполняемых задачах можно посмотреть в отдельном окне, выбрав пункт Сведения о задаче.

14. После успешной установки компонентов необходимо выполнить настройку роль Active Directory. Рядом с пиктограммой флага уведомлений появиться желтый треугольник. Нажимаем на флаг уведомления и видим незаконченную задачу Конфигурация после развертывания. Щелкаем на ссылку Повысить роль этого сервера до уровня контроллера домена.

15. На первом шаге конфигурирования необходимо выбрать опцию Добавить новый лес и указать Имя корневого домена – my.local (в нашем случае).

16. На следующем шаге можно установить режим работы леса и домена. Это может потребоваться для обеспечения совместимости с существующими Active Directory развернутыми в организации. Т.к. в нашем сценарии имеем только один контроллер домена, то оставляем без изменений предложенный режим работы – Windows Server 2012 R2. Устанавливаем пароль для режима восстановления служб каталогов (DSRM). Здесь имеется последний шанс отключить возможность DNS-сервера, этого делать не нужно .

17. Мастер настройки предупредит о невозможности создать делегирование для нашего DNS-сервера.

18. Мастер предлагает убедиться, что NetBIOS имя присвоенное домену нас устраивает и дает последний шанс поменять его.

19. Пути расположения баз данных AD DS, файлов журналов и папки SYSVOL оставим без изменений.

20. Мастер предлагает ознакомиться с параметрами конфигурации – сводной информацией по настройки. Кроме этого, можно нажать на кнопку Просмотреть сценарий и получить готовый PowerShell скрипт, который произведет настройку доменных служб Active Directory.

21. Перед установкой Мастер проверяет выполнения предварительных требований. В нашем случае получили «зеленый свет» с небольшими замечаниями-уведомлениями.

22. Смело жмем кнопку Установить наблюдаем за происходящим. После завершения установки сервер будет «поднят» до уровня контроллера домена и перезагрузиться. Окно мастера можно закрыть и отслеживать выполнение задачи нажав на флаг уведомлений в основном окне Диспетчера серверов. Возможно, получим ошибку при выполнении задачи Автоматическое обновление. Возникновение ошибки понятно, т.к. сервер «ушел» на перезагрузку .

23. Перейдем на виртуальную машину с сервером и убедимся, что сервер успешно перезагрузился.

24. Возвращаемся на виртуальную машину ws_win81 (рабочая станция Администратора) в Диспетчер серверов. Обратите внимание, что слева добавились новые пункты: AD DS и DNS. Кроме того, если щелкнуть правой клавишей мыши на сервере dc12_r2_core в списке зарегистрированных серверов, то увидим, что количество пунктов меню значительно увеличилось. Выбираем пункт Обновить и к сожалению эта задача завершается с ошибкой Отказано в доступе. Такое поведение сервера понятно, т.к. теперь он находится в домене MY и соответственно данные для авторизации, которые указывались ранее уже стали не актуальны.

25. Открываем Диспетчер учетных данных (Панель управления->Учетные записи пользователей->Администрирование учетных записей) на вкладке Учетные данные Windows необходимо скорректировать данные для сервера dc12_r2_core. Указываем уже не локального администратора, а доменного.

26. В Диспетчере серверов повторяем попытку Обновить информацию о сервере dc12_r2_core. Видим, что задача выполняется успешно.