Службы Active Directory – решение от компании Microsoft позволяющее объединить различные объекты сети (компьютеры, сервера, принтеры и различные сервисы) в единую систему. Благодаря Active Directory администратор сети получает очень удобное централизованное средство управления учетными записями пользователей, групповыми политиками и объектами в сети.
Шаг 1. Подготовка сервера и развертывание Active Directory
Для начала нам необходимо подготовить главный контроллер домена, для этого нам понадобится сервер с установленной на нем Windows Server, в данной статье все манипуляции будем производить на Windows Server 2022, но это будет так же актуально и для Windows Server 2016 и 2019.
Забегая вперед скажу, что для безотказной работы Active Directory нам желательно иметь минимум два контроллера, чтобы в случае отказа одного из них (или на время его выключения для профилактики или установки обновлений) наша сеть AD продолжала функционировать.
Первым делом обязательно переименуйте ваш сервер, дав ему какое ни будь логичное для контроллера имя, например DC-1. Вторым делом, установите на сервер статический IP-адрес.
Теперь установим необходимые роли на наш будущий контроллер, выберем роль “DNS-сервер” и “Доменные службы Active Directory”.
Нажимаем несколько раз “Далее” и в конце нажимаем “Установить”, ждем завершения установки новых ролей.
После завершения установки ролей можно нажать кнопку “Закрыть”. Далее в диспетчере серверов необходимо щелкнуть по флажку сверху и выбрать “Повысить роль этого сервера до уровня контроллера домена”.
Запустится конфигуратор развертывания Active Directory. Выберем параметр “Добавить новый лес” и укажем имя нашего создаваемого домена, например KONTORA.ORG.
На следующей странице выбираем режим работы леса (рекомендую оставить Windows Server 2016), а так же укажите пароль для режима восстановления служб каталогов. Главное, не забудьте потом этот пароль.
Дальше нам предлагается указать параметры делегирования DNS, но сделать этого сейчас не получится, так как у нас еще не настроен DNS сервер, пропускаем этот шаг – жмем “Далее”.
Дальше нас просят проверить NetBIOS имя вашего домена, ничего не трогаем, нажимаем “Далее”.
Далее нас попросят указать расположение базы данных Active Directory, файлов журналов и папки SYSVOL. Оставляем все по умолчанию и нажимаем “Далее”.
Затем нам предлагается посмотреть параметры, которые мы указали на этапах мастера развертывания AD, если хотите можете полистать. Нажимаем “Далее”.
На этом этапе мастер говорит нам, что все готово к начале развертывания AD. Нажимаем кнопку “Установить” и ждем, в конце сервер сам уйдет в перезагрузку.
Теперь нам надо авторизоваться на сервере уже под доменной учетной записью. Так как ранее у нас на сервере был один пользователь, он же администратор, с именем “Администратор”, используем то же самое имя и тот же пароль, только при этом заходим в домен KONTORA.ORG.
Если вы подключаетесь к серверу через RDP, то указывать имя пользователя надо так: Администратор@KONTORA (.ORG можно не писать). Если авторизация под доменной учеткой прошла успешно, значит контроллер работает.
Откроем оснастку диспетчера DNS на контроллере домена командой dnsmgmt.msc или через ярлык в меню “Пуск” – “Средства администрирования Windows” – “DNS”. Как видим, мастер развертывания AD за нас уже подготовил и создал зону прямого просмотра, назвав ее именем нашего домена. Данная зона содержит в себе всю информацию о доменных именах компьютерах и прочих устройствах, добавленных в домен.
Откроем свойства нашего DNS-сервера и перейдем на вкладку “Сервер пересылки”. Сервер пересылки нужен для того, чтобы пересылать DNS-запросы внешних DNS-имен на DNS-серверы за пределами локальной сети. Сюда мастер по умолчанию добавит IP-адрес DNS-сервера, который был указан в статичных настройках IPv4 перед началом развертывания AD, у меня здесь указан IP-адрес моего маршрутизатора на котором работает DNS. По идее сюда можно прописать IP-адреса различных публичных DNS-серверов, например Google, Cloudflare и т.д.
Откроем свойства зоны прямого просмотра, перейдем на вкладку “Серверы имен”. Здесь отображаются все DNS-серверы в нашем домене, в настоящее время у нас один контроллер и один сервер DNS, так как дополнительных серверов мы не поднимали. В случае если если мы добавим в наш домен еще один контроллер домена для репликации, на нем тоже будет поднята роль DNS-сервера и он отобразится на этой вкладке.
Перейдем на вкладку “Передачи зон” и заранее поставим галочку “Разрешить передачи зон” и выберем “только на серверы, перечисленные на странице серверов имен”. Данной настройкой мы заранее разрешим репликацию зоны на другие DNS-серверы в домене, если они будут добавлены. Если вы добавите в домен новый контроллер домена, не забудьте в свойствах этой же зоны на его DNS-сервере сделать такие же настройки, чтобы репликация была двухсторонняя.
Так же рекомендую открыть вкладку “Дополнительно” и поставить галочку “Разрешить автоматическое удаление устаревших записей”, это поможет избавиться от старых, неактуальных DNS записей.
При желании можно создать зону обратного просмотра. Зона обратного просмотра нужна для определения имен хостов имен по их IP -адресу. Нажимаем правой кнопкой мыши по зоне обратного просмотра и выбираем “Создать новую зону”, откроется мастер. Нажимаем “Далее”, выбираем “Основная зона”, далее указываем репликацию для всех DNS-серверов работающих на контроллерах домена в этом домене, выбираем зону обратного просмотра IPv4, указываем идентификатор сети (первые три октета вашей подсети), выбираем “Разрешить только безопасные динамические обновления” и “Готово”. Зона обратного просмотра создана. Зайдем в свойства зоны и тоже включим передачу имен на вкладке “Передачи зон”, как мы делали с зоной прямого просмотра.
Проверить работоспособность DNS-сервера можно командой:
dcdiag /test:dns
В случае ошибок при работе DNS инициируйте регистрацию или удаление записей DNS, выполнив команду:
nltest.exe /dsregdns
Выполнять обе команды необходимо в командной строке контроллера домена от имени администратора.
Шаг 2. Поднятие роли DHCP-сервера на контроллере домена и его настройка
У вас уже наверняка имеется в сети свой DHCP-сервер, скорее всего это классическая его реализация на вашем маршрутизаторе. Если вы используете маршрутизатор MikroTik, вы вполне можете продолжать использовать и его. Главное, необходимо указать в его параметрах, чтобы он выдавал клиентам сетевые настройки используя в качестве DNS-сервера IP-адрес вашего контроллера домена, поскольку именно контроллер будет нашим главным DNS-сервером в сети, иначе клиентские компьютеры просто не увидят наш домен. Еще в параметрах DHCP-сервера необходимо будет указать имя вашего домена.
У MikroTik это выглядит так:
Но лучше все таки будет отдать роль DHCP-сервера самому контроллеру. Дело в том, что штатная роль DHCP на Windows Server умеет сама править зону прямого просмотра DNS, когда выдает тому или иному хосту новый IP-адрес. Плюс, можно будет настроить любое время аренды и не бояться, что в вашей прямой зоне DNS будут устаревшие сведения. В случае использования стороннего DHCP, того же MikroTik, необходимо будет выставлять время аренды вдвое больше, чем указано в параметрах автоматического удаления устаревших записей на вашем DNS-сервере. В нашем случае необходимо будет выставлять 14 дней.
Если вы не планируете разворачивать DHCP на Windows Server и планируете использовать DHCP на вашем маршрутизаторе, можете пропустить этот шаг.
Для развертывания DHCP-сервера на контроллере домена, необходимо добавить новую роль.
Нажимаем несколько раз “Далее” и в конце “Установить”. Ждем завершения установки новой роли. Затем щелкнем на флажок в правой верхней части диспетчера серверов и выберем “Завершение настройки DHCP”.
Запустится мастер настройки конфигурации DHCP, нажимаем “Далее”.
Указываем учетные записи для авторизации DHCP-сервера. Можно оставить администратора домена, а можно создать отдельную учетную запись и внести ее в группу “Администраторы DHCP”. Я оставлю администратора домена.
Нажимаем кнопку “Фиксировать” и “Закрыть”.
Теперь откроем диспетчер DHCP командой dhcpmgmt.msc или вызовем его из меню “Пуск” – “Средства администрирования Windows” – “DHCP”, откроется оснастка.
Развернем дерево нашего DHCP-сервера, щелкнем правой кнопкой мыши на “IPv4” и выберем “Создать область”, откроется мастер создания области.
Нажимаем “Далее”, задаем имя области, можно указать имя нашего домена.
Нажимаем далее и указываем диапазон выдаваемых адресов, а так же маску подсети.
Нажимаем “Далее”. Здесь нам предлагается указать диапазон IP-адресов, которые DHCP-сервер не будет выдавать. Если таковых у вас нет, просто нажимаем “Далее”. Я же внесу сюда адрес, который сейчас предоставлен нашему контроллеру – 192.168.12.200. Вообще, правильнее было бы назначить контроллеру домена IP-адрес вне диапазона адресов, выдаваемых DHCP, например 192.168.12.2. Просто в моем случае я развернул стенд в своей действующей сети, где часть IP-адресов была уже занята и поэтому я назначил контроллеру IP-адрес из доступного участка адресов.
Теперь нас просят указать имя аренды IP-адресов, по умолчанию 8 дней. Можете оставить как есть, или указать свое значение. Я оставляю по умолчанию.
Идем дальше, нам предлагают настроить другие параметры, которые DHCP-сервер будет назначать клиентам, такие как IP-адрес маршрутизатора, DNS-сервера и т.д. Можем настроить позже, можем сейчас. Давайте сделаем.
Указываем IP-адрес вашего маршрутизатора (шлюза).
Далее нас просят указать имя домена и адрес DNS-сервера, мастер автоматически пропишет имя нашего домена и предложит в качестве DNS использовать IP-адрес контроллера домена, который у нас и будет основным DNS в сети.
Далее нас просят указать адрес WINS сервера. Он у нас не используется, поэтому пропускаем данный шаг. В конце нас спросят, хотим ли мы активировать данную область? Выбираем “Да”, нажимаем “Далее” и “Готово”.
Как видим у нас создалась новая область IPv4 с заданным пулом адресов и необходимыми параметрами. На вкладке “Арендованные адреса” можно посмотреть список клиентов.
DHCP-сервер настроен и готов к работе. Для проверки работоспособности запросите новые настройки DHCP на клиентской машине, в Windows это можно сделать командой:
ipconfig /renew
Обязательно отключите DHCP-сервер на вашем маршрутизаторе, он нам больше не пригодится.
Шаг 3. Создание пользователей в домене
И так, у нас теперь есть домен и собственно первый его контроллер, он же основной. Но у нас пока нет пользователей, приступим к их созданию.
Для создания пользователей в AD используется оснастка “Active Directory – пользователи и компьютеры”, запустить ее можно командой dsa.msc или открыть с помощью ярлыка из меню “Пуск”, во вкладке “Средства администрирования”.
В данной оснастке можно создавать и удалять пользователей, группы, подразделения, компьютеры. Если у вас в организации много пользователей и отделов, удобнее всего для каждого отдела создать свое подразделение и всех его сотрудников помещать туда. Так же для отдельных подразделений будет удобно создавать персональные групповые политики.
Для примера создадим подразделение “Отдел продаж” и создадим в нем учетные записи сотрудников – Петрова Ивана и Иванова Михаила.
Для создания подразделения щелкните правой кнопкой мыши по имени домена в оснастке “Пользователи и компьютеры” и выбирите “Создать” – “Подразделение”, затем введите имя подразделения и нажмите “ОК”.
Теперь щелкаем правой кнопкой мыши по значку нашего подразделения, выбираем “Создать” – “Пользователь”. Пишем имя и фамилию – Иван Петров, создадим ему логин ipetrov.
Нажимаем “Далее” и придумываем ему пароль. По стандартной политике использования паролей, он должен иметь минимум 8 символов, содержать буквы, цифры и хотя бы одна буква должна быть другого регистра, например – Pass1234. Ставим галочку “Срок действия пароля не ограничен”, если хотим создать постоянный пароль, и убираем галочку “Требовать смены пароля при следующем входе в систему”, если не хотим обременять пользователя лишними действиями при первом входе в систему. Нажимаем “Далее” и “Готово”, один пользователь в домене у нас есть.
Далее, опять же для нашего удобства, создадим еще одно подразделение и назовем его “Группы”, в нем мы будем создавать наши группы пользователей и компьютеров, чтобы они все были в одном месте. В новом подразделении создадим первую группу “Отдел продаж”, в эту группу мы внесем пользователей из этого отдела.
Переходим обратно в наше подразделение “Отдел продаж”, щелкаем дважды по пользователю Иван Петров, переходим на вкладку “Член групп” и добавляем группу “Отдел продаж”. Первый пользователь в группе у нас уже есть.
Теперь создадим в подразделении “Отдел продаж” второго пользователя – Михаил Иванов. Чтобы нам не указывать все параметры заново и не добавлять этого сотрудника в нужную группу, мы просто скопируем параметры из пользователя Иван Петров. Щелкаем по пользователю правой кнопкой мыши и выбираем “Копировать”.
Отроется уже знакомая нам форма которую нужно заполнить. Вводим имя и фамилию пользователя, придумываем логин, нажимем “Далее”, задаем пароль и “Готово”. Обратите внимание, что на этапе установки пароля все галочки уже были проставлены в том порядке, как мы это делали у прошлого пользователя. Так же новый пользователь уже будет включен в группу “Отдел продаж”.
Теперь у нас есть два пользователя в подразделении.
Действуя по аналогии можно создавать другие подразделения, группы и пользователей.
Шаг 4. Присоединение компьютеров в домен
После того как пользователи созданы, необходимо завести компьютеры в домен. Подключить к домену получится только те компьютеры, на которых Windows имеет редакцию “Профессиональная”, “Корпоративная”, “Embedded” и т.д. Домашнюю версию завести в домен не получится.
Переходим к компьютеру, который мы будем заводить в домен. Открываем дополнительные параметры системы, нажимаем “Изменить”.
Выбираем, что компьютер является членом домена, вводим домен KONTORA.ORG, при желании можем указать новое имя компьютеру.
Нажимаем “ОК”, далее нас попросят ввести данные администратора домена, вводим и ждем появления уведомления о том, что компьютер добавлен в домен.
Если во время присоединения к домену вышла ошибка, что указанный домен не найден, проверяйте, правильные ли настройки DNS указаны на клиентском компьютере. В качестве предпочитаемого DNS-сервера должен быть указан IP-адрес контроллера домена. Если вы вносили изменения в настройки DHCP-сервера, проверьте, что клиентский компьютер получил новые настройки.
Теперь необходимо перезагрузить компьютер. После перезагрузки на компьютере можно будет авторизоваться под доменной учетной записью администратора, либо пользователя из числа тех, что мы создали. Попробуем авторизоваться под именем Ивана Петрова, вводим его логин ipetrov и пароль Pass1234.
Как видим у нас прекрасно получилось авторизоваться под данным пользователем и даже имя и фамилия отображается во время входа в профиль.
В системе так же видно, что мы работаем под данным пользователем.
Перейдем в оснастку “Пользователи и компьютеры” на контроллере домена и откроем раздел Computers. Видим, что наш новый компьютер отображается в списке.
Кстати, если вы планируете завести в домен новый компьютер на котором ранее пользователь уже долгое время работал в своей локальной учетной записи и у него там наверняка все было настроено привычным ему образом – документы лежат в определенных местах, сохранена история браузера, сделаны удобные настройки Windows, стоят свои обои и т.д., вам наверняка потом придется переносить все в новый, доменный профиль, так как при первой авторизации после ввода компьютера в домен у пользователя создастся новый, пустой рабочий стол.
Чтобы этим не заморачиваться, нам нужно конвертировать локальную учетную запись пользователя в доменную, или другими словами – сделать миграцию профиля. Как делать миграцию профиля в Active Directory я описывал в этой статье.
Шаг 5. Примеры использования групповых политик в домене
Теперь, когда у вас есть свой домен, самое время заняться подготовкой групповых политик. Это очень удобно, достаточно создать одну политику и она будет применяться к тем пользователям и компьютерам, которые вы укажете в параметрах делегирования.
Запустить оснастку для работы с групповыми политиками можно командой gpms.msc или вызвать ее через ярлык в меню “Пуск” – “Средства администрирования Windows” – “Управление групповой политикой”.
По умолчанию используется политика “Default Domain Policy”, рекомендую не трогать ее и создать свою политику, которую в случае чего можно будет потом удалить.
Щелкаем правой кнопкой мыши по имени нашего домена в оснастке и выбираем “Создать объект групповой политики в этом домене и связать его”, вводим имя нашей политики.
Щелкаем на нашу созданную политику и смотрим на “Фильтр безопасности”. Видим, что политика применяется к группе “Прошедшие проверку”, это означает, что политика будет применять ко всем пользователям и компьютерам домена. В случае чего эту группу можно убрать из фильтра и добавить туда какую ни будь другую, например “Отдел продаж”, которую мы создавали ранее. В таком случае параметры этой политики будут распространяться только на пользователей, которые были добавлены в группу “Отдел продаж”. Но есть один нюанс. Если мы убираем из фильтра безопасности группу “Прошедшие проверку” и добавляем туда любую другую группу, политика не будет применяться пока на вкладке “Делегирование” мы не добавим группу “Компьютеры домена.
В нашем примере мы не будем менять настройки делегирования и оставим все по стандарту, чтобы созданная нами политика применялась ко всем пользователям и компьютерам в домене.
Для редактирования групповой политики, щелкнем по нашей политике правой кнопкой мыши и выберем “Изменить”, откроется редактор групповой политики.
Давайте для примера сделаем следующие настройки:
- Создадим на рабочих столах всех пользователей ярлык на сайт https://evs.msk.ru/
- Запретим запуск командной строки и редактора реестра.
- Отключим на компьютерах автоматические обновления.
Первые две настройки делаются в конфигурации пользователя.
Для создания ярлыков перейдем в “Настройка” – “Конфигурация Windows” – “Ярлыки” и создадим новый ярлык. В качестве действия выбираем “Обновить”, это создаст ярлык заново при следующем входе в профиль, если пользователь решит удалить его. В качестве места размещения ярлыка выбираем “Рабочий стол”.
Для запрета использования командной строки и редактора реестра, перейдем в “Политики” – “Административные шаблоны” – “Система” и включим параметры “Запретить использование командной строки” и “Запретить доступ к средствам редактирования реестра”.
Теперь авторизуемся под одним из наших пользователей на клиентской машине.
Как видим у пользователя создался на рабочем столе наш ярлык.
А при попытке открыть командную строку у него она откроется с сообщением “Приглашение командной строки отключено вашим администратором”.
При попытке открыть редактор реестра тоже выйдет предупреждение.
Теперь отключим обновления Windows. Для этого мы перейдем в конфигурацию компьютера в нашей политике. Откроем “Политики” – “Административные шаблоны” – “Компоненты Windows” – “Центр обновления Windows”. Далее выберем параметр “Настройка автоматического обновления”.
Выберем “Отключено” и нажмем “ОК”.
Проверим на нашей клиентской машине. Для этого перезагрузим клиентский компьютер, а затем откроем центр обновления Windows.
Как видим, система сообщаем нам, что “Ваша организация отключила автоматические обновления”.
Кстати, большинство новых групповых политик можно применить не прибегая к перезагрузке или завершению сеанса пользователя. Достаточно выполнить команду:
gpupdate /force
Таким образом можно создавать разные групповые политики, причем можно на каждую задачу создавать отдельную политику и в случае необходимости временно выключать ее. Для этого надо щелкнуть правой кнопкой мыши по нужно политике и снять галочку “Связь включена”. Для включения политики необходимо вернуть галочку.
Так как в нашем примере мы создали политику, которая делегируется всем пользователям в домене, она так же будет действовать и для администраторов и для них так же будут действовать ограничения, которые мы установили. Поэтому, если вы создаете политики с различными запретами и ограничениями, обязательно делегируйте их только для тех пользователей и групп, для которых данные ограничения должны действовать.
Шаг 6. Добавление в действующий домен второго контроллера
Теперь, когда вы создали домен, научились подключать к домену новые компьютеры, создавать пользователей, группы и научились работать с групповыми политиками, стоит побеспокоиться об отказоустойчивости построенной системы. В Active Directory это достигается созданием дополнительных контроллеров домена, которые реплицируются с главным контроллером и имеют в себе всегда актуальную базу Active Directory. Так, если один из контроллеров выйдет из строя, ваша инфраструктура продолжит функционировать в штатном режиме, а в случае восстановления вышедшего из строя контроллера, или добавления нового, он быстро обновит в себе актуальность вашей базы Active Directory.
Добавлять дополнительные контроллеры можно в двух режимах:
- Полноценный дополнительный контроллер домена, на котором как и на главном контроллере можно изменять настройки AD, создавать/удалять пользователей, группы, работать с редактором групповых политик и т.д. Все действия будут синхронизироваться со всеми контроллерами в домене.
- Режим “Только для чтения (RODC)”. Актуально, если вы планируете использовать такой контроллер на удаленном филиале, где у вас не будет к нему постоянного физического доступа. В таком режиме контроллер будет всегда поддерживать актуальную базу AD, синхронизируя ее с вашим основным контроллером, например, через VPN, и с помощью него смогут авторизовываться пользователи данного филиала не прибегая к необходимости обращаться каждый раз к вашему основном контроллеру. И при всем этом никто не сможет на таком контроллере внести какие либо изменения в вашу структуру AD.
Мы будем использовать первый режим.
Если первый контроллер домена вы разворачивали на “железном” сервере, а не на виртуальной машине, второй вполне можно развернуть на виртуалке. Главное, чтобы в сети был хотя бы один “железный” контроллер. Поэтому, если первый контроллер вы развернули на виртуальной машине, второй рекомендуется развернуть на “железном” сервере. Дело в том, что при использовании “железного” сервера, при развертывании AD по умолчанию отключается кэш диска, чтобы избежать потери информации при внезапных отключениях, а на виртуальной машине такая возможность отсутствует. Так, если на виртуальном сервере произойдет внештатная ситуация и часть данных будет потеряна, контроллер благополучно восстановит ее, загрузив с “железного” контроллера.
Для начала подготовим сервер для второго контроллера. Поменяем ему имя на DC-2 и введем его в наш домен. Далее установим, как в случае с первым нашим контроллером, роли “DNS-сервер” и “Доменные службы Active Directory”, а так же роль DHCP-сервера. Таким образом у нас будет второй, резервный контроллер домена со своим DNS-сервером и резервный DHCP-сервер.
Если вы используете свой отдельный DHCP-сервер, то роль DHCP-сервера разворачивать не нужно.
После установки ролей так же повышаем наш сервер до уровня контроллера домена и в мастере развертывания AD выбираем “Добавить контроллер домена в существующий домен”.
Далее, как и в случае с первым контроллером, указываем пароль для режима восстановления служб каталогов, на этом же этапе можно поставить галочку “Контроллер домена только для чтения (RODC)”. Мы будем делать полноценный контроллер, поэтому галочку ставить не будем. Здесь же предлагается выбрать сайт в который мы будем добавлять данный контроллер домена, что такое сайты в Active Directory я расскажу чуть ниже. Пока сайт у нас один, созданный по умолчанию, оставляем его и идем дальше.
Далее пропускаем страницу “Делегирование DNS” и на странице параметров репликации нам необходимо выбрать источник репликации. Можно выбрать наш основной контроллер домена, однако я рекомендую оставить параметр “Любой контроллер домена”, на случай если у нас их в сети будет несколько. В таком случае наш подготавливаемый контроллер сможет реплицировать базу со всех контроллеров в домене, а не только с одного.
Дальше нас, как и в случае с настройкой первого контроллера, попросят указать пути к базе данных, файлам журналов и папке SYSVOL, оставляем все по умолчанию, нажимаем несколько раз “Далее” и “Установить”. Дожидаемся завершения работы мастера, по окончании ваш сервер уйдет в перезагрузку.
Зайдем на наш главный контроллер домена DC-1 и откроем оснастку “Active Directory – сайты и службы” по команда dssite.msc или через ярлык в меню “Пуск” – “Средства администрирования Windows” – “Active Directory – сайты и службы”. Развернем “Default-First-Site-Name”, затем “Servers” и увидим, что у нас в домене теперь два контроллера, DC-1 и DC-2.
Название сайта “Default-First-Site-Name” можно переименовать без каких либо опасений, можно ему дать имя вашей организации. Так же можно создавать другие сайты, если у вас, например, несколько филиалов и в каждом филиале используется своя подсеть. В настройках каждого сайта указываются параметры подсети, для которой он создается и это поможет мастеру развертывания AD добавлять новые контроллеры сразу в нужные сайты. С помощью сайтов можно оптимизировать трафик между филиалами в разных городах. Так, компьютеры филиала, подсеть которого ссылается на определенный сайт в котором есть свой контроллер домена, будет взаимодействовать в первую очередь с этим контроллером домена, а потом уже с остальными.
Для сопоставления подсетей с сайтами в Active Directory, в оснастке “Active Directory – сайты и службы” щелкните правой кнопкой по “Subnets” и выберете “Создать подсеть”. Укажите адрес подсети с маской и выберите мышкой сайт для которого создается данная подсеть.
После данной операции подсеть появится в разделе Subnets.
Переходим на наш второй контроллер DC-2 и открываем оснастку DNS. Видим, что зона основного просмотра реплицировалась с нашим DNS-сервером на первом контроллере. Так же видим в записях DNS наш новый контроллер.
Зайдем в свойства этой зоны и включим передачу зон на серверы, перечисленные на странице серверов имен. Далее перейдем на вкладку “Серверы имен” и убедимся, что у нас теперь там отображаются два наших DNS-сервера: DC-1 и DC-2.
Можно еще перейти в оснастку DNS на первом контроллере и проверить, что там так же отображаются оба сервера.
И так, репликация DNS у нас работает. Проверим работает ли репликация между самими контроллерами, для этого существует команда:
repadmin /replsummary
Выполняем ее в командной строке от имени администратора, должны получить такой результат:
Как видим, репликация работает. Если значение наиб. дельты не боле часа – с репликацией всё в порядке. Количество сбоев должно быть равно 0.
Если же в работе репликации возникли ошибки то можно использовать следующую команду чтобы посмотреть какой контекст наименования не реплицируется:
repadmin /showreps
Теперь настроим DHCP-сервер на втором контроллере и изменим настройки на DHCP-сервере нашего главного контроллера.
Для начала на DHCP-сервере нашего главного контроллера надо изменить диапазон выдаваемых адресов. Нужно сделать так, чтобы диапазоны выдаваемых адресов не пересекались между первым и вторым DHCP серверами. Например, чтобы первый DHCP выдавал IP-адреса в диапазоне 192.168.12.50-192.168.12.150, а второй DHCP в диапазоне 192.168.12.151-192.168.12.254. Таким образом диапазоны DHCP серверов не будут пересекаться между собой в тот момент, когда в сети они будут работать одновременно. Если вам не будет хватать адресов в пуле, можно расширить вашу сеть, сделав ее, например, с 22 маской (255.255.252.000). В таком случае у вас будут доступны подсети 192.168.12.0, 192.168.13.0, 192.168.14.0 и 192.168.15.0, разгуляться будет где.
Чтобы поменять диапазон выдаваемых адресов, нужно перейти в свойства вашей области IPv4 и поменять там значения:
Так же, если IP-адрес вашего второго контроллера пересекается с диапазоном выдаваемых адресов, добавьте его в исключения, однако я уже говорил, что лучше назначать контроллерам IP-адреса не из области выдаваемых DHCP.
Последним немаловажным изменением в настройках DHCP-сервера является добавление в параметрах области второго DNS-сервера – IP-адреса второго контроллера.
Теперь, используя инструкцию по настройке DHCP-сервера из этой статьи, завершите его настройку на втором контроллере домена.
Заключение
И так, мы сделали основные шаги в развертывании отказоустойчивой системы Active Directory в вашей сети. Теперь у вас в руках имеется мощный инструмент, благодаря которому администрирование огромных сетей теперь можно выполнять буквально в несколько кликов вышкой. Сломать отказоустойчивую систему AD очень сложно, но тем не менее не забывайте проверять техническое состояние ваших контроллеров, вовремя производите обслуживание серверов и конечно не забывайте про резервное копирование.
Active Directory is essential for managing users, computers, and resources in a network environment. Administrators can easily manage and secure user accounts, group policies, and resources. This guide will teach you how to install Active Directory on Windows Server 2022 using the GUI. I will also go through some basic configurations to get you started. All these steps can be completed using PowerShell; look out for the PowerShell tips.
180-Day Windows Server Trial
Did you know you can get a 180-day free trial of Windows Server 2022 – Simply download direct from Microsoft.
Pre-Reqs
Minimum Requirements
- Processor: 1.4 GHz 64-bit processor
- RAM: 2 GB or higher
- Hard Disk Space: At least 40 GB of free space on the system drive
- Network Adapter: A network adapter that supports Ethernet, Fast Ethernet, or Gigabit Ethernet
- DNS Server: A DNS server should be configured or available on the network
- Domain Name: A unique and valid domain name should be selected
Static IP Address
Before installing AD, ensuring the server has a static IP address is important. This will prevent the IP address from changing, which can cause issues with the AD installation. To set a static IP address:
Note: Set the IPAddress and Default Gateway to your local values
- First, open the Network and Sharing Center.
- Select the Ethernet connection.
- Click on Properties
- Select Internet Protocol Version 4 (TCP/IPv4) from the list.
- Click on Properties
- Enter the IP address, subnet mask, default gateway, and DNS server address.
PowerShell
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress "10.1.1.10" -PrefixLength 24 -DefaultGateway "10.1.1.1"It is important to note that the DNS server address should be set to the server’s IP address (127.0.0.1). This will ensure the server can resolve its hostname and prevent issues with the Active Directory installation.
Once the static IP address has been set, you can proceed with the AD installation.
Step 1 – Add the Active Directory Domain Services Role
The first step in installing AD is to use Server Manager to add the Active Directory Domain Services role. To do this:
- Open Server Manager and Select Add Roles and Features from the Manage menu.
- Press the Windows key + R on your keyboard to open the Run dialogue box.
- Type “servermanager” in the Run box.
- Click on the “OK” button or press Enter.
- Click Next until you reach the Server Roles screen. Select Active Directory Domain Services and click Next.
- Review the features and click Next again. Finally, click Install to begin the installation process.
PowerShell
Install-WindowsFeature -Name AD-Domain-Services, RSAT-AD-Tools -IncludeManagementToolsStep 2 – Install Active Directory
After installing the Active Directory Domain Services role, you must promote the server to a domain controller.
To do this,
- Open Server Manager
- Select the Active Directory Domain Services role from the Dashboard.
- Click on the Configuration Required link to open the configuration wizard. Follow the prompts to configure the necessary settings, such as the domain name, domain functional, and forest functional levels.
PowerShell
Install-ADDSForest -DomainName "turbogeek.co.uk" -DomainNetbiosName "TURBOGEEK" -DomainMode "WinThreshold" -ForestMode "WinThreshold" -InstallDns -NoRebootOnCompletionStep 3 – Setup the Domain
After selecting Promote this server to a domain controller, you will see the screen below. Fill in the information that’s relevant to you.
- Complete the Deployment configuration.
- Add the domain controller to an existing domain, add to an existing forest, or create a new one. In this example, I am creating a new forest called turbogeek.co.uk
- Set the Domain Functional Level and set a domain administrator password. I have also selected my domain controller as the DNS server and Global Catalog.
To find out more about Domain Functional Levels, click here.
If required, you can configure your DNS settings on the next page. In my example, I am skipping this warning because my domain controller will be the DNS server too. It may be different in your domain.
- The installer should automatically populate the NetBIOS name on the next screen.
- Next, set the location to save the AD database, log files, and SYSVOL. In this example, I will leave these values as the default.
- You may want to move NTDS and SYSVOL to separate disks in a production environment. This can improve performance on very large AD deployments.
- Click next on the Review Options and Prerequisites Check pages.
- Once the installer is running, give it a few minutes to complete the installation.
Step 4 – View Active Directory Users and Computers
- Then, from Server Manager, Open “Active Directory Users and Computers
- Equally, you can type dsa.msc from the command prompt or Powershell CLI
Installing AD on Windows Server 2022 is crucial in managing users, computers, and resources in a network environment. By following the steps outlined in this guide, you can ensure that the installation is successful and that your network environment is secure and easy to manage. Remember to verify the successful installation and access AD tools to ensure everything works correctly.
Windows Server Hints and Tips
Here are some hints and tips for Windows Server 2022:
Use Server Core installation:
Server Core installation provides a minimalistic interface with less disk space usage and fewer vulnerabilities, making it more secure and easier to manage.
Enable Windows Admin Center:
Windows Admin Center is a web-based tool with a graphical interface for server management tasks. It’s free and easy to install, making it a valuable addition to any Windows Server 2022 environment.
Use the latest security features:
Windows Server 2022 has many built-in security features, such as Credential Guard, Device Guard, and Just Enough Administration (JEA). It’s recommended to enable these features to enhance the server’s security posture.
Consider using Azure Hybrid Benefits:
If you have an Azure subscription, you can use the Azure Hybrid Benefits to save money on your Windows Server 2022 licensing costs. This benefit allows you to use your existing Windows Server licenses to run virtual machines in Azure, reducing the need to purchase new licenses.
Use Storage Spaces Direct:
Storage Spaces Direct is a software-defined storage solution that allows you to use commodity hardware to create highly available and scalable storage solutions. It’s easy to set up and manage and can be a cost-effective alternative to traditional storage arrays.
Use the Windows Server Update Services (WSUS):
WSUS is a built-in feature allowing you to manage and deploy Windows Servers and other Microsoft product updates. Therefore, using WSUS can help you maintain the server’s security and stability by keeping it up-to-date with the latest patches and updates.
Enable Remote Desktop Protocol (RDP) with caution:
RDP is a convenient way to access the server remotely but can also be a security risk if not configured correctly. It’s recommended to use Network Level Authentication (NLA) and limit the number of users accessing RDP.
These are just a few hints and tips for Windows Server 2022, and there are many other features and best practices to explore. It’s important to stay informed and up-to-date with the latest developments and security updates to ensure the server’s optimal performance and security.
FAQ on Installing Active Directory on Windows Server 2022
What is Active Directory?
Active Directory is a Microsoft service that manages identities and authentication for resources, including users, computers, and applications. It simplifies the management of user accounts and enables centralized management of security policies.
What are the system requirements for installing Active Directory on Windows Server 2022?
To install Active Directory on Windows Server 2022, your server must meet the minimum hardware and software requirements. These include a 64-bit processor with a minimum of 4 GB of RAM and 64 GB of available disk space.
Can I install Active Directory on a Windows Server 2022 Core installation?
You can install Active Directory on a Windows Server 2022 Core installation. However, the process is command-line based, and you will need to use PowerShell or the Sconfig tool to install and configure Active Directory.
How do I install Active Directory on Windows Server 2022 using the Server Manager?
To install Active Directory using the Server Manager, launch the Server Manager and click on “Add roles and features”. Then select the “Active Directory Domain Services” role and follow the wizard to complete the installation.
How do I configure Active Directory after installation?
After installing Active Directory, you must configure it by running the Active Directory Domain Services Configuration Wizard. This wizard will guide you through the process of configuring your domain, including setting up DNS, creating a domain controller, and configuring forest and domain functional levels.
Can I install Active Directory on Windows 2022 Nano Server?
You cannot install Active Directory on a Windows 2022 Nano Server. Nano Server is a lightweight installation option that does not include the Active Directory Domain Services role.
What is the difference between a domain and a forest in Active Directory?
A domain is a logical group of computers, users, and devices with a common security database. A forest is a collection of domains with a common schema and trust relationship. A forest can contain one or more domains.
Can I add a Windows Server 2019 domain controller to a Windows Server 2022 domain?
You can add a Windows Server 2019 domain controller to a Windows Server 2022 domain. However, you must ensure that the forest and domain functional levels are compatible with Windows Server 2019.
Can I install Active Directory on a virtual machine running on Windows Server 2022?
Yes, you can install Active Directory on a virtual machine running on Windows Server 2022. However, you must ensure that the virtual machine meets the minimum hardware and software requirements for installing Active Directory.
What are some best practices for securing Active Directory on Windows Server 2022?
Some best practices for securing Active Directory include enforcing strong passwords, limiting administrative access, enabling auditing, and monitoring logs for suspicious activity regularly. You should also keep your server up-to-date with the latest security patches and updates.
Post Views: 2,785
How to Setup Active Directory on Windows Server 2022. One of the most notable features of Windows Server that helps it stand out in the Enterprise sphere is Active Directory. All in all, Active Directory is a great tool for enhancing security for organizations, enabling administrators to have a centralized user and rights management.
The latest Windows server version that runs Active Directory service is the Windows Server 2022. Setting up Active Directory on this machine is a delicate process and this article offers a complete step by step guide on how to set it up on a Windows Server 2022 machine. Also, it highlights key prerequisites that are needed to begin installation.
First, let’s start with the prerequisites needed for installation. Shall we?
Prerequisites
The following are the prerequisites needed before you begin with the Active Directory setup:
• Name The Server. Change the name of your server or the domain controller after it has been set up. However, it is recommended that you settle on the final name for your server before installing Active Directory.
• Configure a Static IP for the server. A static or a fixed IP configuration and assignment to your server is mandatory to ensure that the resources stay connected and remain accessible by the server.
• Make sure that the machine is fully dedicated to the role of the server. Ensure that the server has sufficient hardware resources and that it handles extreme computation load.
Now, you should be ready to start the installation. But before that, let’s dive on how an active directory works.
How Does Active Directory Function?
Primarily, Active Directory helps administrators in managing users and resources across a network. In addition, active directory is mainly structured into three main tiers: domains, trees and forests. A forest is a collection of trees, each of which may contain numerous domains.
One major checkpoint of this installation is a setup of the Active Directory Domain Services which is a component of Windows Server and the core Active Directory service. Domain controllers on the other hand are the machines that host Active Directory Domain Services (AD DS).
AD DS is based on a number of well-known protocols and standards including LDAP (Lightweight Directory Access Protocol), Kerberos, and DNS (Domain Name System). AD DS is usually the central node in a network and therefore, AD DS makes it easy for changes made to one domain controller to be replicated to the rest of the domain controllers.
Importantly, Active Directory is only for on premises Microsoft environments. Important to note that even though AD DS is the core of the Active Directory within a network, desktops, laptops, and other Windows based devices which are a part of an Active Directory system, cannot run the service.
Now with this basic understanding of the Active Directory, let’s proceed with the setup.
Active Directory Setup: A Step by Step Guide
To set up an Active Directory on a Windows Server 2022 machine you need to execute the following steps.
1. Launch the Server Manager Program
Launch the Server Manager program, press the Windows Logo Key and search for “Server Manager”. An application should show up on the list. Click on it to launch the program.
2. Set up Roles & Features
- Look for “Manage” on the top right of the menu bar. Click on it and then select “Add Roles and Features.” A pop-up window will open immediately. This pop-up window is the installer wizard that guides you with the roles and features setup.
2. On the left side of the window, you’ll see a list of all the checkpoints you encounter in this stage. Click “Next”.
3. Select Installation Type
3. At the “Installation Type” checkpoint select “Role-based or feature based installation” radio button and then click “Next”.
4. Configure your Server Selection and Roles
4. On the “Server Selection” checkpoint, select “Select a server from the server pool” radio button. This lists a server installed on your machine. Please, click on the desired server once to select it and click “Next.”
5. At the “Select Server Roles” checkpoint, select the role for the server. In the centre of the window, there is a list of all the roles that you can assign to your server machine. Search for “Active Directory Domain Services”.
To quickly find the required role, simply click on the first role in the list once and quickly type the keyword “active”. This will bring the selection to the required role. Once you’ve found “Active Directory Server Roles”, click the square box to confirm the selection and click “Next.”
5. Add features
6. Next, a pop-up window will be displayed. This is the checkpoint for adding new features. Navigate on the “Add features” button at the bottom of the window and a list of available features will be displayed.
Next simply click “next” without making modifications to any other settings.
7. You will be redirected to the adding “Active Directory Domain Services” feature once the previous step is complete. On the installer wizard window, click “Next”.
Improve your Active Directory Security & Azure AD
Try us out for Free, Access to all features. – 200+ AD Report templates Available. Easily customise your own AD reports.
6. Summary and confirmation
8. You’ll see a summary of your selected options here. Have a look at them carefully, and if you think you’ve made a mistake at any of the earlier checkpoints, you can go back and fix it by clicking “previous.”
Then, click “Install” button, once you’re satisfied with your selections at the “Confirmation” checkpoint.
9. The wizard will then begin installation. The time of install depends on your machine’s hardware configuration and what features you’ve selected to be installed. Please make sure not to interrupt the installation. Once the installation is complete, click the “Close” button.
NOTE: Please don’t close the Server Manager application as you will be using the application for the next steps.
7. Promoting Your Server to a Domain Controller
So far, you’ve just added the required feature “Active Directory Domain Services.” The feature “Active Directory Domain Services” you’ve just added needs to be promoted to a DC (Domain Controller). Here are the following steps needed to do so:
1. Relaunch “Server Manager” if you have already closed it. On your Server Manager dashboard, you’ll should see a yellow triangle warning sign on the top right of the window near the menu bar. This sign appears only if Active Directory Domain Services was properly installed.
2. Click on the warning sign and a dropdown list will show you the required actions termed “post-deployment configuration.”
3. Look for the “Promote this server to a domain controller” option and click on it.
8. Add A Forest
At this checkpoint, a configuration wizard will open on your screen, which will guide you throughout your deployment configuration. The first step of the deployment configuration is to add a new forest.
9. Deployment Configuration
- At the first checkpoint “Deployment Configuration”, please select the “add a new forest” radio button and enter your root domain name as desired. Then click “next”. (When adding a new forest, you’ll see multiple options. You don’t necessarily have to add a new forest and you choose any option from the given list.)
10. Setting Domain Controller options
2. At the “Domain Controller Options” checkpoint, leave all the settings untouched and enter your password and confirm it. Make sure to keep a note of this password as changing it later on is troublesome.
11. Configuring DNS Options
3. On the DNS Options page, you’l see an error message stating that there’s no parent zone found and no delegation for your DNS server could be created. Ignore this message and click the “next” button, leaving all the settings at this checkpoint unchanged.
12. Configure Additional Options
4. On the Additional Options page, enter your desired NetBIOS domain name in the given textbox. Click “Next”.
13. Confirm Preselected Paths
5. Three or more paths will be listed on your screen. Do not change these paths. You’re not required to keep a note of these paths either. Click “next”.
14. Review your Selections
6. Whatever options you’ve selected so far will listed on the configuration wizard at this checkpoint. Have a look at them and if needed, move to the previous checkpoints using the “previous” button and make the desired changes. Once you’re satisfied with the selected options, click “next” on the “Review Options”.
15. Run Prerequisites Check
7. Next, head to the “Prerequisites Check” checkpoint. At this stage you’ll see, if all the prerequisite checks were successfully completed. If not, then a list of errors will be displayed on the window. If there are any errors, you’ll need to go to the stated checkpoint and fix the errors. Once you’ve fixed all the errors, a green check mark with a success message will be displayed. Then click “Install” to begin the installation.
Congratulations! You have successfully set up Active Directory on your Windows Server 2022. Next, your server machine will need to be restarted once the promotion is successfully complete.
After that, log into your server using the domain you just created and the password that you just set in the previous steps. Once logged in successfully, start managing Active Directory Domain Services through the administrative centre. Moreover, integrate all the tools with the AD DS and start using them immediately.
Important PowerShell Commands After Active Directory Setup
Once done with the Active Directory setup, you might want to verify the installation and check for any errors. Here are some Windows PowerShell commands that you use to do so.
- Verifing if the Active Directory installation was successfully completed:
Get-Service adws,kdc,netlogon,dns
- Getting the details of your Domain Controller:
- To get the details of your domain, use this command:
Get-ADDomain exampledomain.com
NOTE: Whenever you need to add a new forest, make sure that you are logged into the server as the local administrator of that machine. You can always add more domain controllers to your server. However, you must be a member of the domain administrators’ group to be able to do so.
Thank you for reading How to Setup Active Directory on Windows Server 2022. We shall conclude this article blog.
How to Setup Active Directory on Windows Server 2022 Conclusion
Finally, always remember to keep a record of the Active Directory credentials you use during setup to avoid hiccups later on. Active directory is a valuable resource in any organization as it can be integrated with other tools to facilitate a seamless user management across the organization. This guide is meant to help you set it up correctly.
Please note that the tutorial above is only designed for Windows Server 2022 version. If you’re on a different version, you might encounter some issues, as the installation process might be different than that of Windows Server 2022.
Try InfraSOS for FREE
Invite your team and explore InfraSOS features for free
- Free 15-Days Trial
- Easy Setup
- Full Access to Enterprise Plan
Active Directory is a powerful tool that allows administrators to manage user accounts, computers, and security policies across an organization’s network. It is a key component of Windows Server, and with the release of Windows Server 2022, how to install Active Directory has become even easier. In this article, we’ll guide you through the process of installing Active Directory on Windows Server 2022.
Process of Installing Active Directory on Windows Server 2022
To ensure a successful installation, please log in to your Windows Server 2022 environment as an administrator. Then follow the steps below to install Active Directory.
Step 1. Log in to Server Manager
To initiate the installation process for Active Directory Domain Services, please enter «Server Manager» in the Windows search box. After opening it, refer to the image below and follow the outlined steps.
Step 2. Select “Add Roles and Features”
Here are two ways to access to the «Add Roles and Features”. You can either click on the option on the home page or right-click “Manage” to choose the function from the context menu.
The process will open the “Add Roles and Features Wizard” page, which proceeds with the Active Directory installation. Please click on “Next”.
Step 3. Select Installation Type
On the «Installation Type» screen, select «Role-based or feature-based installation» and click «Next.»
Step 4. Server Selection
In the «Server Selection» screen, select the server on which you want to install Active Directory and click «Next«. Taking the picture as an example, we chose the local Windows Server 2022 Standard as the reference.
Step 5. Select Server Roles
All the previous settings will guide you to the «Server Roles» page where you will see multiple options with square checkbox beside them. To proceed, select «Active Directory Domain Services».
Step 6. Select and Add Features
The precondition to installing the Active Directory Domain Services is to add the necessary features. So please click “Add Features” first to select features and then proceed with the installation process.
Step 7. Active Directory Domain Service
After step 6, you will be directed to the “Activate Directory Domain Services” page.
In the «AD DS» screen, review the information and click «Next».
Step 8. Confirm Installation Selections
Review your installation selections for confirmation before proceeding with the actual installation. You have the option to automatically restart the server if required. After checking, please click “Next” to move forward.
Once the previous settings are done, the installation will proceed.
After it finishes, please click “Close”.
Step 9. Configure Active Directory Domain Services
After Active Directory Domain Services installation is complete, promote it to a Domain Controller. Please open Server Manager and locate the «Manage» tab, which will have a yellow exclamation notification next to it. Click on it and select «Promote this server to a domain controller».
Step 10. Add a Forest
Click on «Promote this server to a domain controller», and a new window titled «Active Directory Domain Services Configuration Wizard» will appear. In this step, we will add a new Forest and customize your root domain name. However, if you have a different preference, you are free to choose the other options. Please enter your root domain name and click on «Next».
Step 11. Domain Controller Options
In the Domain Controller options, keep the default settings checked and set your password. After that, click on «Next».
Step 12. DNS Options
On the “DNS Options” page, there will be a notification at the top stating «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found». Please disregard this message and proceed by clicking on «Next».
Step 13. Additional Options
On the page, you can modify the NetBios domain name as long as it doesn’t exceed 15 characters. You are also able to keep the NetBIOS domain name as default. Once you have made your selection, click on «Next».
Step 14. Set Path
Please leave paths as default and click “Next” as shown below.
Step 15. Review Options
At this stage, the server will display a summary of the selections you have made. If you don’t want to change your choices, click on «Next» to proceed.
Step 16. Check Prerequisites
At this point, the server will provide a summary of the selections you have made. If you are content with your choices, proceed by clicking on «Install».
Then your server will reboot. After that, you can log into the Domain with your password.
Tools to Back Up Active Directory
After completing the aforementioned process, you will be able to effectively manage user accounts. To prevent potential data loss resulting from inadvertent actions, we recommend all domain administrators use using a reliable backup tool to back up activate directory regularly.
EaseUS Todo Backup Enterprise provides various solutions for all types of data backup, which is an excellent tool for backing up data on your Active Directory to avoid any accidental data loss. You can easily find and select your account there and then set up your backup plans to initiate the backup process.
You can also refer to the guide on how to back up an active directory in EaseUS Todo Backup Enterprise.
Conclusion
Installing Active Directory on Windows Server 2022 is a straightforward process that allows administrators to manage user accounts, computers, and security policies across an organization’s network. By following the steps outlined in this article, you’ll be able to install and configure Active Directory on your Windows Server 2022 environment quickly and easily. And please do not forget to use a backup tool to protect your important data.
1. What is Active Directory in Windows Server 2022?
Active Directory in Windows Server 2022 is a directory service that provides a centralized database for managing and organizing user accounts, computers, and other resources on a network. It allows administrators to easily manage and control access to network resources, enforce security policies, and streamline user authentication and authorization processes.
2. How do I know if Active Directory is installed?
- Open the Server Manager
- In the Server Manager, click on «Local Server» in the left-hand pane.
- Look for the «Roles and Features» section in the right-hand pane and click on «Add roles and features.»
- In the «Add Roles and Features Wizard,» click «Next» until you reach the «Server Roles» page.
- Look for the «Active Directory Domain Services» role in the list. If it is checked, then Active Directory is installed on the server. If it is not checked, then Active Directory is not installed.
3. How to find your Active Directory Search Base?
- Select Start > Administrative Tools > Active Directory Users and Computers.
- In the Active Directory Users and Computers tree, find and select your domain name.
- Expand the tree to find the path through your Active Directory hierarchy.
4. Can Windows Server 2022 Essentials be a domain controller?
No, Windows Server 2022 Essentials cannot be a domain controller. Microsoft has discontinued the Essentials edition of Windows Server starting with the 2022 release. Instead, Microsoft recommends using the Standard or Datacenter editions of Windows Server 2022 for domain controller roles.
Оглавление
1. Введение в Active Directory (концепции, использование, отличие от рабочей группы)
2. Установите Windows Server 2022 и Windows Server Core 2022
3. Средства настройки Windows Server 2022 и Windows Server Core 2022
4. Установите доменные службы Active Directory в Windows Server 2022
4.1 Как установить доменные службы Active Directory
4.2 Подготовка к включению Active Directory
4.3 Как установить доменные службы Active Directory в диспетчере серверов
4.4 Как установить доменные службы Active Directory в центре администрирования Windows
4.5 Как установить доменные службы Active Directory в PowerShell
5. Присоединяйте компьютеры к Active Directory. Проверьте и отсоединитесь от Active Directory
6. Инструменты настройки и оснастки Active Directory
7. Понимание инфраструктуры AD
8. Групповые политики
9. Управление пользователями, компьютерами, группами и организационными подразделениями в Active Directory
10. Настройка доверия и доменов сайтов
11. Другие службы и роли Active Directory
12. Настройка Samba (Active Directory для Linux)
13. Инструменты аудита безопасности Active Directory
Как установить доменные службы Active Directory
Итак, помните, что Active Directory — это собирательное название для всех протоколов и программного обеспечения, о которых идет речь в этом руководстве. Важной частью которого являются доменные службы Active Directory.
«Установка Active Directory» состоит из установки и настройки доменных служб Active Directory. Затем мы повысим уровень нашего сервера доменных служб Active Directory до уровня контроллера домена (DC). После этого мы присоединим к этому домену другие компьютеры.
Доменные службы Active Directory могут быть установлены на Windows Server. В этом руководстве доменные службы Active Directory устанавливаются на Windows Server 2022.
Всего мы рассмотрим три разных способа установки доменных служб Active Directory с помощью таких инструментов, как:
-
Менеджер сервера
-
Центр администрирования Windows
-
PowerShell
Для серверов с графическим рабочим столом можно выбрать любой из этих способов, а для серверов без графического рабочего стола (Windows Server Core) будет работать только второй или третий способ.
Я думаю понятно, что доменные службы Active Directory нужно установить только один раз, используя инструкции только из одного (любого) дальнейшего раздела.
Подготовка к включению Active Directory
Среди служб Active Directory есть служба DNS. Каждый компьютер уже пользуется услугами того или иного DNS-сервера, но для работы Active Directory необходимо настроить роль DNS-сервера, по сути, DNS-сервера, который будет обеспечивать преобразование имен компьютеров в IP-адреса, третий -партийный DNS-сервер работать не будет. DNS будет включен после установки Active Directory. Для правильной работы DNS-сервера все компьютеры в Active Directory должны иметь статические IP-адреса. Поэтому вам необходимо настроить свои компьютеры и сервер Windows для работы со статическими IP-адресами. Всю необходимую теорию и инструкции по настройке можно найти в статье «Как сделать веб-сервер в Windows, доступных для других» (статические IP-адреса необходимы для многих сетевых служб). В предыдущей части показано, как настроить статические IP-адреса в Windows. сетевые интерфейсы. Ниже под спойлером пример назначения статических IP на роутере.
Как настроить статические IP-адреса в ZyXEL Keenetic Lite II
Существует список компьютеров со следующими именами и следующими желаемыми статическими IP-адресами:
HackWare-Server-2022 — 192.168.1.60 VYACHESLAV — 192.168.1.61 HackWare — 192.168.1.62 HackWare-Win — 192.168.1.63 HackWare-Windows-En — 192.168.1.64 HackWare-Server — 192.168.1.65
На маршрутизаторе Перейдите в «Дом» → Настройки IP. По умолчанию размер пула адресов был 20, увеличиваем его количество до 40. Так как первый IP адрес пула 192.168.1.33, то теперь доступный для использования диапазон 192.168.1.33-192.168.1.72.
Перейдите к списку устройств (вкладка «Хосты»):
Выбираем по очереди каждое устройство, ставим галочку «Статический IP-адрес», вводим нужный статический IP и нажимаем кнопку «Зарегистрироваться»:
Мы повторяем эту операцию для каждого компьютера и устройства, которым мы хотим назначить статические IP-адреса.
Когда все будет готово, все устройства со статическими адресами будут выделены жирным шрифтом.
Изменения вступят в силу при следующем подключении устройств к маршрутизатору.
Второе, на что следует обратить внимание, — это имена компьютеров. Все компьютеры Windows имеют имена, которые генерируются автоматически и не являются описательными, например WIN-M30RTOJQTFM. Поэтому рекомендуется использовать средства, рассмотренные в предыдущей части, или инструкцию «Компьютер Windows имя: как изменить и использовать» и назначьте своим компьютерам имена, описывающие их функции или иным образом помогающие понять, о каком компьютере идет речь.
Примеры смены имени компьютера
Как изменить имя компьютера в Windows 10
Чтобы изменить имя компьютера, откройте приложение «Настройки» (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот компьютер (дополнительно)»:
Чтобы изменить имя компьютера, нажмите кнопку «Изменить».
Введите желаемое имя в поле «Имя компьютера» и нажмите «ОК».
Необходимо перезагрузить компьютер, чтобы изменения вступили в силу:
Как изменить имя компьютера в Windows 11
Откройте приложение «Настройки», нажав Win+x.
Перейдите на вкладку «Система» и нажмите кнопку «Переименовать этот компьютер».
Введите новое имя компьютера и нажмите «Далее».
Нажмите «Перезагрузить сейчас».
Как установить доменные службы Active Directory в диспетчере серверов
Нажмите клавишу «Windows» на клавиатуре и введите «Диспетчер серверов», чтобы найти приложение и открыть его.
Нажмите «Управление» в окне «Диспетчер серверов» и выберите «Добавить роли и компоненты».
Это откроет мастер добавления ролей и компонентов, который приведет нас к той части, где мы устанавливаем доменные службы Active Directory. Нажмите «Далее».
В разделе «Тип установки» оставьте выбранным переключатель «Установка на основе ролей или функций» и нажмите «Далее».
На этом шаге под названием «Выбор целевого сервера» выберите сервер, на котором вы хотите установить AD DS, и нажмите «Далее». Я собираюсь выбрать свой локальный сервер.
Предыдущий шаг приведет вас к следующей странице. Здесь вы увидите множество опций с квадратным флажком напротив них. Как вы уже догадались, мы выберем «Доменные службы Active Directory».
Как только вы выберете эту опцию, появится новое окно. В нем просто нажмите кнопку «Добавить функции» и нажмите «Далее».
На следующей странице под названием «Выберите функции» просто нажмите «Далее», чтобы продолжить установку AD DS.
Как показано ниже, вам будет представлена следующая страница под названием «Доменные службы Active Directory». Нажмите «Далее». Обратите внимание, что нам напоминают об установке DNS-сервера, если сервер еще не установлен, это будет сделано во время развертывания доменных служб Active Directory. Для него мы выполнили такие подготовительные действия, как настройка статических IP-адресов и информативных имен компьютеров.
Следующая страница посвящена подтверждению того, что вам нужно установить. Если вы уверены в правильности своего выбора, нажмите «Установить». Вы можете выбрать опцию, которая будет перезапускать сервер при необходимости. Нажмите кнопку «Установить».
Вы можете закрыть окно мастера.
После того, как вы завершили установку доменных служб Active Directory, последним шагом будет повышение роли вашего сервера до контроллера домена. Перейдите в Диспетчер серверов, где вы увидите желтый восклицательный знак рядом с вкладкой «Управление», как показано ниже. Нажмите здесь
и выберите «Повысить уровень этого сервера до контроллера домена».
Появится новое окно под названием «Мастер настройки доменных служб Active Directory», как показано ниже. Мы собираемся «Добавить новый лес», но если вы хотите сделать что-то другое на этом шаге, вы можете выбрать другие варианты. Добавьте корневое доменное имя вашей организации. Обратите внимание, имя не может состоять из одного слова, имя должно иметь суффикс, разделенный точкой. Кроме того, имя может иметь префикс, разделенный точкой. При настройке доменного имени в реальной производственной среде нужно быть очень осторожным с выбором имени. Например, следует быть осторожным при выборе имени с несуществующим суффиксом, например, hackware.loc или hackware.comp, так как количество доменов первого уровня стремительно увеличивается и выбранный вами суффикс может однажды стать реальным , что в дальнейшем приведет к проблемам с доступом к домену. Нажмите «Далее» после выбора.
В параметрах контроллера домена оставьте флажки по умолчанию и введите свой пароль. Затем нажмите «Далее».
На следующей странице параметров DNS вы, вероятно, увидите сообщение об ошибке вверху со словами «Невозможно создать делегацию для этого DNS-сервера, поскольку не удается найти авторитетный сервер имен родительской зоны». Не обращайте на это внимания и нажмите «Далее».
На следующей странице оставьте имя домена NetBIOS по умолчанию или вы можете изменить его на любое менее 15 символов. Затем нажмите «Далее».
Оставьте пути по умолчанию и нажмите «Далее», как показано ниже.
В этот момент сервер позволяет вам просмотреть настройки, которые будут применены. Если вы сделали правильный выбор, нажмите «Далее».
На этом шаге предварительные условия будут проверены перед установкой доменных служб Active Directory. Если вы обнаружите здесь какие-либо ошибки, просмотрите их и исправьте что-либо в предыдущих шагах. Если все в порядке, нажмите «Установить».
После этого сервер перезагрузится, и вы сможете войти в домен с установленными вами учетными данными:
Повышение роли сервера до контроллера домена завершено.
Вы можете использовать Центр администрирования Active Directory или оснастку «Пользователи и компьютеры Active Directory» для управления пользователями, группами и другими объектами Active Directory. Следующая часть будет посвящена этому.
Как установить доменные службы Active Directory в центре администрирования Windows
В Windows Admin Center очень удобно устанавливать доменные службы Active Directory и роли DNS-сервера, для этого нужно сделать всего несколько кликов. Но, как уже было сказано, Windows Admin Center пока не является полноценной заменой другим инструментам, поэтому, когда придет время Повысить этот сервер до контроллера домена, вам нужно будет сделать это с помощью инструментов Server Manager, либо в PowerShell.
Подключитесь к своему серверу в Центре администрирования Windows и перейдите на вкладку «Роли и функции».
Установите флажок рядом с «Доменные службы Active Directory» и нажмите кнопку «Установить».
Вам будет показан список установленных компонентов и их зависимостей. Нажмите «Да», чтобы продолжить.
Вы можете наблюдать за процессом установки в разделе уведомлений.
Перейдем к серверу, для которого мы устанавливаем доменные службы Active Directory. Визуально там ничего не изменилось, нажимаем кнопку «Обновить „Dashboard“».
Как видите, теперь есть информация о работающей AD DS.
На самом сервере в Диспетчере серверов можно запустить «Повысить уровень этого сервера до контроллера домена«, но я не знаю, как это сделать удаленно на компьютере из Центра администрирования Windows.
Снова перейдите на компьютер Windows Admin Center, чтобы установить роль «DNS-сервер». Фактически, «Доменные службы Active Directory», «DNS-сервер» и любые другие роли и функции можно было установить за один раз, просто установив несколько флажков.
Все повторяется — нам показывают список зависимостей.
Наблюдаем за процессом установки.
Теперь в диспетчере серверов мы можем убедиться, что DNS-сервер работает.
Здесь, в Центре администрирования Windows, вы также можете удалить роли и функции.
Если вы решили сделать это в PowerShell (подключиться можно через соответствующую вкладку в Windows Admin Center), то для того, чтобы повысить роль сервера до уровня контроллера домена, выполняем команду:
Install-ADDSForest -DomainName "dc.hackware.ru" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainNetbiosName "DC" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$True -SysvolPath "C:\Windows\SYSVOL" -Force:$true
Обратите внимание на варианты:
-DomainName "dc.hackware.ru" -DomainNetbiosName "DC"
Они задают имя контроллера домена и имя NetBIOS. Замените их своими значениями.
См. также: NetBIOS: что это такое, как это работает и как использовать в информации безопасность
В командной строке введите и подтвердите пароль для DSRM (режим восстановления службы каталогов) и нажмите Enter.
Как установить доменные службы Active Directory в PowerShell
Вы можете установить доменные службы Active Directory с помощью PowerShell, либо введя команды непосредственно в консоль сервера, либо подключившись к ней удаленно. Это возможно с помощью инструментов удаленного взаимодействия PowerShell.
Удаленное взаимодействие PowerShell включено на серверах Windows. В моих тестах мне не нужно было ничего дополнительно настраивать, хотя информация противоречива: в документации можно найти информацию о том, что удаленное взаимодействие PowerShell включено только на Windows Server Core и что приватное (не публичное) подключение к сети обычно необходимо.
Однако в моих тестах дополнительной настройки не требовалось — соединение прошло нормально, без необходимости использовать Enable-PSRemoting, Set-NetConnectionProfile, winrm quickconfig< и добавить компьютер в доверенные. Если у вас возникли проблемы с подключением к удаленному серверу, то напишите об этом в комментариях. Вы также можете проверить текущие настройки на сервере с помощью команды:
Get-PSSessionConfiguration
Все следующие шаги относятся к Windows Server с графическим рабочим столом и ядром Windows Server.
Подключаемся к серверу с помощью такой команды:
Enter-PSSession -ComputerName SERVER_NAME -Credential SERVER_NAME\Administrator
Например, имя сервера TEST-SERVER, тогда команда выглядит следующим образом:
Enter-PSSession -ComputerName TEST-SERVER -Credential TEST-SERVER\Administrator
Если вы используете PowerShell 5, появится следующее окно для ввода пароля для учетной записи администратора удаленного компьютера:
Если вы используете последние версии PowerShell, пароль вводится непосредственно в командной строке.
Обратите внимание, что приглашение командной строки изменилось. Это было
PS C:\Users\MiAl>
стал
[TEST-SERVER]: PS C:\Users\Administrator\Documents>
Если вы пользователь Linux, Enter-PSSession похож на SSH. То есть теперь мы находимся в командной строке удаленного компьютера и все команды, которые выполняются, будут выполняться на удаленном сервере, а не на локальной системе.
Теперь вы можете приступить к установке роли доменных служб Active Directory.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Началась установка выбранной роли и необходимых для нее компонентов.
Для того, чтобы повысить роль сервера до уровня контроллера домена, выполните команду:
Install-ADDSForest -DomainName "dc.hackware.ru" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainNetbiosName "DC" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$True -SysvolPath "C:\Windows\SYSVOL" -Force:$true
Обратите внимание на варианты:
-DomainName "dc.hackware.ru" -DomainNetbiosName "DC"
Они задают имя контроллера домена и имя NetBIOS. Замените их своими значениями.
См. также: NetBIOS: что это такое, как это работает и как использовать в информации безопасность
В командной строке введите пароль для DSRM (режим восстановления службы каталогов), который здесь называется SafeModeAdministratorPassword, и нажмите Enter.
Подтверждаем пароль и нажимаем «Enter».
Начался процесс повышения роли сервера до контроллера домена.
Повышение роли сервера до контроллера домена завершено.
Перезагрузите компьютер:
Restart-Computer -Force
Давайте снова подключимся к удаленному компьютеру, чтобы проверить, прошла ли установка успешно. Обратите внимание, что предыдущая команда, которую мы использовали для успешного подключения к серверу, больше не работает, потому что, хотя я отметил имя пользователя как «ИМЯ_СЕРВЕРА\Администратор», на самом деле это «РАБОЧАЯ ГРУППА\Администратор». WORKGROUP — это то же самое, что и SERVER_NAME, поэтому я не запутал вас раньше времени.
Но теперь сервер не входит в рабочую группу, а входит в домен, поэтому команда для подключения должна выглядеть так:
Enter-PSSession -ComputerName SERVER_NAME -Credential DOMAIN\Administrator
Например:
Enter-PSSession -ComputerName TEST-SERVER -Credential dc.hackware.ru\Administrator
Соединение с сервером установлено.
С помощью следующей команды проверим состояние служб, необходимых для работы контроллера домена:
Get-Service adws,kdc,netlogon,dns
Службы, необходимые для контроллера домена, запущены.
Для просмотра подробной информации о конфигурации контроллера домена можно выполнить команду:
Get-ADDomainController
Чтобы просмотреть подробную информацию о домене Active Directory, вы можете выполнить команду:
Get-ADDomain dc.hackware.ru
Чтобы просмотреть подробную информацию о лесе Active Directory, вы можете запустить команду:
Get-ADForest dc.hackware.ru
Чтобы проверить доступность общей папки SYSVOL, вы можете запустить команду:
Get-SmbShare SYSVOL
Доступна общая папка «SYSVOL». Он используется для предоставления клиентам параметров групповой политики, входа в систему и сценариев входа в систему.
Возвращаемся на рабочую станцию (отключаем удаленную сессию PowerShell):
exit