Создание контроллера домена Active Directory Domain Services

В статье описан процесс установки Active Directory, настройки контроллера домена и создание пользователей AD на VPS с операционной системой семейства Windows Server.

Виртуальный сервер на базе Windows

• Лицензия включена в стоимость
• Тестирование 3-5 дней
• Безлимитный трафик

Что это такое?

Доменные службы Active Directory (AD DS) — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации. AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам. Active Directory Domain Services используется для организации локальных вычислительных сетей.

Подготовка Windows Server и конфигурация сети

Создание и конфигурация сети

Для начала в панели управления необходимо создать необходимые для сети серверы и один из них будет контроллером домена.

Важно: для работы с Active Directory необходимо при заказе сервера в панели управления отметить галочкой поле “выполнить системную подготовку Windows”.

После создания необходимо объединить все машины в единую частную сеть через панель управления в разделе “Частные сети”, в результате чего они получат локальные IP-адреса.

Настройка сетевого адаптера контроллера домена

Для начала подключитесь к виртуальному серверу по протоколу RDP.

О том как настроить сетевой адаптер написано в нашей инструкции.

Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес шлюза по умолчанию. Сохраните настройки.

Установка Active Directory Domain Service

Откройте Диспетчер серверов и выберете пункт «Add roles and features».

В качестве типа установки укажите Role-based or feature-based installation.

Выберете ваш сервер из пула.

В следующем окне отметьте Active Directory Domain Services (Доменные службы Active Directory).

Установите все отмеченные компоненты на VPS с помощью кнопки Установить.

Настройка

В поиске введите dcpromo и откройте одноименную утилиту.

В открывшемся окне нажмите Ok.

После этого откройте Диспетчер серверов, в вертикальном меню у вас появится вкладка AD DS.

В горизонтальном меню нажмите на восклицательный знак и выберете Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера).

В появившемся окне настроек выберите Добавить новый лес (т.к. действия выполняются впервые) и введите ваше доменное имя.

Примечания:
— Имя корневого домена леса не может быть однокомпонентным (например, он должен быть «company.local» вместо «company»);
— Домен должен быть уникальным;
— Рекомендуем использовать уникальное имя домена из списка локальных (напр. company.local) во избежание конфликтов разрешения имен DNS в случае идентичных имен. — учетная запись, с которой делают настройки, должна входить в группу администраторов.

На следующем шаге введите и подтвердите пароль для режима восстановления служб каталогов.

На этом шаге просто нажмите Next.

Укажите удобное имя домена NetBIOS.

Укажите пути до базы данных AD DS, файлов журналов и папки SYSVOL. Рекомендуем оставить значения по умолчанию.

Проверьте настроенные параметры.

Дождитесь проверки предварительных требований после чего нажмите Установить. После установки сервер будет перезагружен.

Создание учетных записей

Для создания новых учетных записей и администраторов откройте оснастку Active Directory Users and Computers, для этого откройте Диспетчер серверов и перейдите в раздел AD DS. В контекстном меню сервера выберете соответствующую оснастку.

В новом окне разверните дерево вашего домена и найдите каталог с пользователями Users. Правой кнопкой мыши нажмите на каталог и выберете Создать -> Пользователь.

Для нового пользователя задайте личные данные и имя входа.

Далее введите пароль, который должен быть достаточно сложным и содержать буквы разного регистра и цифры. Дополнительные опции выберите на свое усмотрение.

Создайте нового пользователя.

Чтобы пользователь мог управлять службами Active Directory, его необходимо добавить в группу Domain Admins. Для этого с помощью правой кнопки мыши откройте свойства пользователя и перейдите во вкладку Member Of. Нажмите кнопку Add для добавления в группу.

Выполните поиск группы Domain Admins с помощью кнопки Check Names. Нажмите OK.

Сохраните изменения кнопкой Apply.

Теперь созданный пользователь сможет подключиться к контроллеру домена.

Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей — отключен.

Создание сервера Active Directory в Windows Server 2003

В этой статье описывается установка и настройка новой установки Active Directory в лабораторной среде, которая включает Windows Server 2003 и Active Directory.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 324753

Для этой цели в лабораторной среде потребуется два сетевых сервера под управлением Windows Server 2003.

Создание Active Directory

После установки Windows Server 2003 на отдельном сервере запустите мастер Active Directory, чтобы создать новый лес или домен Active Directory, а затем преобразуйте компьютер с Windows Server 2003 в первый контроллер домена в лесу. Чтобы преобразовать компьютер с Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия.

Вставьте компакт-диск Windows Server 2003 в компакт-диск компьютера или DVD-диск.

Нажмите кнопку«Начните», щелкните «Выполнить» и введите dcpromo.

Нажмите кнопку «ОК», чтобы запустить мастер установки Active Directory, а затем нажмите кнопку «Далее».

Щелкните контроллер домена для нового домена и нажмите кнопку «Далее».

Щелкните «Домен» в новом лесу, а затем нажмите кнопку «Далее».

Укажите полное DNS-имя для нового домена. Обратите внимание, что поскольку эта процедура используется для лабораторной среды и вы не интегрируетсяе эту среду в существующую инфраструктуру DNS, для этого параметра можно использовать что-то общее, например mycompany.local. Нажмите кнопку Далее.

Примите netBIOS-имя домена по умолчанию (это mycompany, если вы использовали предложение на шаге 6). Нажмите кнопку Далее.

Установите для базы данных и файла журнала значение по умолчанию для папки c: \ winnt \ ntds и нажмите кнопку «Далее».

Установите для папки Sysvol значение по умолчанию для папки c: winnt sysvol и нажмите кнопку \ \ «Далее».

Нажмите кнопку «Установить» и настройте DNS-сервер на этом компьютере, а затем нажмите кнопку «Далее».

Щелкните «Разрешения», совместимые только с серверами Windows 2000 или Windows Server 2003 или операционными системами, а затем нажмите кнопку «Далее».

Так как это лабораторная среда, оставьте пароль администратора режима восстановления служб каталогов пустым. Обратите внимание, что в полной производственной среде этот пароль устанавливается в безопасном формате пароля. Нажмите кнопку Далее.

Просмотрите и подтвердите выбранные параметры и нажмите кнопку «Далее».

Установка Active Directory продолжается. Обратите внимание, что эта операция может занять несколько минут.

После запроса перезапустите компьютер. После перезагрузки компьютера подтвердите, что для нового контроллера домена созданы записи о расположении службы DNS. Чтобы подтвердить, что записи о расположении службы DNS созданы, выполните следующие действия.

1. Нажмите кнопку«Начните», выберите пункт «Администрирование», а затем щелкните DNS, чтобы запустить консоль администратора DNS.
2. Расширьте имя сервера, расширьте зоны forward Lookup (Зоны переадритет просмотр) и затем расширьте домен.
3. Убедитесь, что _msdcs, _sites, _tcp и _udp есть папки. Эти папки и содержащиеся в них записи о расположении служб критически важны для операций Active Directory и Windows Server 2003.

Добавление пользователей и компьютеров в домен Active Directory

После создания нового домена Active Directory создайте учетную запись пользователя в этом домене для использования в качестве административной учетной записи. При добавлении этого пользователя в соответствующие группы безопасности используйте эту учетную запись для добавления компьютеров в домен.

Чтобы создать нового пользователя, выполните следующие действия:

Нажмите кнопку«Начните», найдите пункт «Администрирование», а затем выберите «Пользователи и компьютеры Active Directory», чтобы запустить консоль «Пользователи и компьютеры Active Directory».

Щелкните созданное доменное имя, а затем разойдите содержимое.

Щелкните правой кнопкой мыши «Пользователи», найдите пункт «Новый» и выберите «Пользователь».

Введите имя, фамилию и имя пользователя для нового пользователя и нажмите кнопку «Далее».

Введите новый пароль, подтвердите пароль и нажмите, чтобы выбрать один из следующих флажков:

• Пользователи должны изменить пароль при следующем учете (рекомендуется для большинства пользователей)
• Пользователь не может изменить пароль
• Срок действия пароля не истекает
• Учетная запись отключена

Нажмите кнопку Далее.

Просмотрите предоставленные сведения и, если все правильно, нажмите кнопку «Готово».

После создания нового пользователя придайте этой учетной записи членство в группе, которая позволяет этому пользователю выполнять административные задачи. Так как вы управляете этой лабораторной средой, вы можете предоставить этой учетной записи пользователя полный административный доступ, сделав ее участником групп администраторов схемы, предприятия и домена. Чтобы добавить учетную запись в группы администраторов схемы, предприятия и домена, выполните следующие действия.

1. В консоли «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши созданную учетную запись и выберите «Свойства».
2. Щелкните вкладку «Член» и нажмите кнопку «Добавить».
3. В диалоговом окне «Выбор групп» укажите группу и нажмите кнопку «ОК», чтобы добавить нужные группы в список.
4. Повторите процесс выбора для каждой группы, в которой пользователю требуется членство в учетной записи.
5. Для завершения нажмите кнопку ОК.

Последний этап этого процесса — добавление рядового сервера в домен. Этот процесс также применим к рабочим станциям. Чтобы добавить компьютер в домен, выполните следующие действия.

Войдите на компьютер, который нужно добавить в домен.

Щелкните правой кнопкой мыши«Мой компьютер» и выберите «Свойства».

Перейдите на вкладку «Имя компьютера» и нажмите кнопку «Изменить».

В диалоговом окне «Изменение имени компьютера» щелкните «Домен» в поле «Член» и введите имя домена. Нажмите кнопку ОК.

При запросе введите имя пользователя и пароль ранее созданной учетной записи, а затем нажмите кнопку «ОК».

Создается сообщение с приветствием к домену.

Нажмите кнопку «ОК», чтобы вернуться на вкладку «Имя компьютера», а затем нажмите кнопку «ОК», чтобы завершить работу.

Перезапустите компьютер, если вам будет предложено это сделать.

Устранение неполадок: невозможно открыть оснастку Active Directory

После завершения установки Active Directory, возможно, не удастся запустить оснастку «Пользователи и компьютеры Active Directory», а также может появиться сообщение об ошибке, в которое указывается, что с проверкой подлинности нельзя связаться ни с одним органом. Это может произойти, если DNS настроена неправильно. Чтобы устранить эту проблему, убедитесь, что зоны на DNS-сервере настроены правильно и что ваш DNS-сервер обладает полномочиями для зоны, которая содержит доменное имя Active Directory. Если зоны кажутся правильными и у сервера есть полномочия для домена, попробуйте снова запустить оснастку «Пользователи и компьютеры Active Directory». Если вы получили такое же сообщение об ошибке, удалите Active Directory, перезагрузите компьютер и переустановите Active Directory с помощью этой с помощью с помощью этой с помощью.

Дополнительные сведения о настройке DNS в Windows Server 2003 см. в сведениях о настройке DNS для доступа к Интернету в Windows Server 2003.