Установка active directory windows server 2022

Службы Active Directory – решение от компании Microsoft позволяющее объединить различные объекты сети (компьютеры, сервера, принтеры и различные сервисы) в единую систему. Благодаря Active Directory администратор сети получает очень удобное централизованное средство управления учетными записями пользователей, групповыми политиками  и объектами в сети.

Шаг 1. Подготовка сервера и развертывание Active Directory

Для начала нам необходимо подготовить главный контроллер домена, для этого нам понадобится сервер с установленной на нем Windows Server, в данной статье все манипуляции будем производить на Windows Server 2022, но это будет так же актуально и для Windows Server 2016 и 2019.

Забегая вперед скажу, что для безотказной работы Active Directory нам желательно иметь минимум два контроллера, чтобы в случае отказа одного из них (или на время его выключения для профилактики или установки обновлений) наша сеть AD продолжала функционировать.

Первым делом обязательно переименуйте ваш сервер, дав ему какое ни будь логичное для контроллера имя, например DC-1. Вторым делом, установите на сервер статический IP-адрес.

Теперь установим необходимые роли на наш будущий контроллер, выберем роль “DNS-сервер” и “Доменные службы Active Directory”.

Нажимаем несколько раз “Далее” и в конце нажимаем “Установить”, ждем завершения установки новых ролей.

После завершения установки ролей можно нажать кнопку “Закрыть”. Далее в диспетчере серверов необходимо щелкнуть по флажку сверху и выбрать “Повысить роль этого сервера до уровня контроллера домена”.

Запустится конфигуратор развертывания Active Directory. Выберем параметр “Добавить новый лес” и укажем имя нашего создаваемого домена, например KONTORA.ORG.

На следующей странице выбираем режим работы леса (рекомендую оставить Windows Server 2016), а так же укажите пароль для режима восстановления служб каталогов. Главное, не забудьте потом этот пароль.

Дальше нам предлагается указать параметры делегирования DNS, но сделать этого сейчас не получится, так как у нас еще не настроен DNS сервер, пропускаем этот шаг – жмем “Далее”.

Дальше нас просят проверить NetBIOS имя вашего домена, ничего не трогаем, нажимаем “Далее”.

Далее нас попросят указать расположение базы данных Active Directory, файлов журналов и папки SYSVOL. Оставляем все по умолчанию и нажимаем “Далее”.

Затем нам предлагается посмотреть параметры, которые мы указали на этапах мастера развертывания AD, если хотите можете полистать. Нажимаем “Далее”.

На этом этапе мастер говорит нам, что все готово к начале развертывания AD. Нажимаем кнопку “Установить” и ждем, в конце сервер сам уйдет в перезагрузку.

Теперь нам надо авторизоваться на сервере уже под доменной учетной записью. Так как ранее у нас на сервере был один пользователь, он же администратор, с именем “Администратор”, используем то же самое имя и тот же пароль, только при этом заходим в домен KONTORA.ORG.

Если вы подключаетесь к серверу через RDP, то указывать имя пользователя надо так: Администратор@KONTORA (.ORG можно не писать). Если авторизация под доменной учеткой прошла успешно, значит контроллер работает.

Откроем оснастку диспетчера DNS на контроллере домена командой dnsmgmt.msc или через ярлык в меню “Пуск” – “Средства администрирования Windows” – “DNS”. Как видим, мастер развертывания AD за нас уже подготовил и создал зону прямого просмотра, назвав ее именем нашего домена. Данная зона содержит в себе всю информацию о доменных именах компьютерах и прочих устройствах, добавленных в домен.

Откроем свойства нашего DNS-сервера и перейдем на вкладку “Сервер пересылки”. Сервер пересылки нужен для того, чтобы пересылать DNS-запросы внешних DNS-имен на DNS-серверы за пределами локальной сети. Сюда мастер по умолчанию добавит IP-адрес DNS-сервера, который был указан в статичных настройках IPv4 перед началом развертывания AD, у меня здесь указан IP-адрес моего маршрутизатора на котором работает DNS. По идее сюда можно прописать IP-адреса различных публичных DNS-серверов, например Google, Cloudflare и т.д.

Откроем свойства зоны прямого просмотра, перейдем на вкладку “Серверы имен”. Здесь отображаются все DNS-серверы в нашем домене, в настоящее время у нас один контроллер и один сервер DNS, так как дополнительных серверов мы не поднимали. В случае если если мы добавим в наш домен еще один контроллер домена для репликации, на нем тоже будет поднята роль DNS-сервера и он отобразится на этой вкладке.

Перейдем на вкладку “Передачи зон” и заранее поставим галочку “Разрешить передачи зон” и выберем “только на серверы, перечисленные на странице серверов имен”. Данной настройкой мы заранее разрешим репликацию зоны на другие DNS-серверы в домене, если они будут добавлены. Если вы добавите в домен новый контроллер домена, не забудьте в свойствах этой же зоны на его DNS-сервере сделать такие же настройки, чтобы репликация была двухсторонняя.

Так же рекомендую открыть вкладку “Дополнительно” и поставить галочку “Разрешить автоматическое удаление устаревших записей”, это поможет избавиться от старых, неактуальных DNS записей.

При желании можно создать зону обратного просмотра. Зона обратного просмотра нужна для определения имен хостов имен по их IP -адресу. Нажимаем правой кнопкой мыши по зоне обратного просмотра и выбираем “Создать новую зону”, откроется мастер. Нажимаем “Далее”, выбираем “Основная зона”, далее указываем репликацию для всех DNS-серверов работающих на контроллерах домена в этом домене, выбираем зону обратного просмотра IPv4, указываем идентификатор сети (первые три октета вашей подсети), выбираем “Разрешить только безопасные динамические обновления” и “Готово”. Зона обратного просмотра создана. Зайдем в свойства зоны и тоже включим передачу имен на вкладке “Передачи зон”, как мы делали с зоной прямого просмотра.

Проверить работоспособность DNS-сервера можно командой:

dcdiag /test:dns

В случае ошибок при работе DNS инициируйте регистрацию или удаление записей DNS, выполнив команду:

nltest.exe /dsregdns

Выполнять обе команды необходимо в командной строке контроллера домена от имени администратора.

Шаг 2. Поднятие роли DHCP-сервера на контроллере домена и его настройка

У вас уже наверняка имеется в сети свой DHCP-сервер, скорее всего это классическая его реализация на вашем маршрутизаторе. Если вы используете маршрутизатор MikroTik, вы вполне можете продолжать использовать и его. Главное, необходимо указать в его параметрах, чтобы он выдавал клиентам сетевые настройки используя в качестве DNS-сервера IP-адрес вашего контроллера домена, поскольку именно контроллер будет нашим главным DNS-сервером в сети, иначе клиентские компьютеры просто не увидят наш домен. Еще в параметрах DHCP-сервера необходимо будет указать имя вашего домена.

У MikroTik это выглядит так:

Но лучше все таки будет отдать роль DHCP-сервера самому контроллеру. Дело в том, что штатная роль DHCP на Windows Server умеет сама править зону прямого просмотра DNS, когда выдает тому или иному хосту новый IP-адрес. Плюс, можно будет настроить любое время аренды и не бояться, что в вашей прямой зоне DNS будут устаревшие сведения. В случае использования стороннего DHCP, того же MikroTik, необходимо будет выставлять время аренды вдвое больше, чем указано в параметрах автоматического удаления устаревших записей на вашем DNS-сервере. В нашем случае необходимо будет выставлять 14 дней.

Если вы не планируете разворачивать DHCP на Windows Server и планируете использовать DHCP на вашем маршрутизаторе, можете пропустить этот шаг.

Для развертывания DHCP-сервера на контроллере домена, необходимо добавить новую роль.

Нажимаем несколько раз “Далее” и в конце “Установить”. Ждем завершения установки новой роли. Затем щелкнем на флажок в правой верхней части диспетчера серверов и выберем “Завершение настройки DHCP”.

Запустится мастер настройки конфигурации DHCP, нажимаем “Далее”.

Указываем учетные записи для авторизации DHCP-сервера. Можно оставить администратора домена, а можно создать отдельную учетную запись и внести ее в группу “Администраторы DHCP”. Я оставлю администратора домена.

Нажимаем кнопку “Фиксировать” и “Закрыть”.

Теперь откроем диспетчер DHCP командой dhcpmgmt.msc или вызовем его из меню “Пуск” – “Средства администрирования Windows” – “DHCP”, откроется оснастка.

Развернем дерево нашего DHCP-сервера, щелкнем правой кнопкой мыши на “IPv4” и выберем “Создать область”, откроется мастер создания области.

Нажимаем “Далее”, задаем имя области, можно указать имя нашего домена.

Нажимаем далее и указываем диапазон выдаваемых адресов, а так же маску подсети.

Нажимаем “Далее”. Здесь нам предлагается указать диапазон IP-адресов, которые DHCP-сервер не будет выдавать. Если таковых у вас нет, просто нажимаем “Далее”. Я же внесу сюда адрес, который сейчас предоставлен нашему контроллеру – 192.168.12.200. Вообще, правильнее было бы назначить контроллеру домена IP-адрес вне диапазона адресов, выдаваемых DHCP, например 192.168.12.2. Просто в моем случае я развернул стенд в своей действующей сети, где часть IP-адресов была уже занята и поэтому я назначил контроллеру IP-адрес из доступного участка адресов.

Теперь нас просят указать имя аренды IP-адресов, по умолчанию 8 дней. Можете оставить как есть, или указать свое значение. Я оставляю по умолчанию.

Идем дальше, нам предлагают настроить другие параметры, которые DHCP-сервер будет назначать клиентам, такие как IP-адрес маршрутизатора, DNS-сервера и т.д. Можем настроить позже, можем сейчас. Давайте сделаем.

Указываем IP-адрес вашего маршрутизатора (шлюза).

Далее нас просят указать имя домена и адрес DNS-сервера, мастер автоматически пропишет имя нашего домена и предложит в качестве DNS использовать IP-адрес контроллера домена, который у нас и будет основным DNS в сети.

Далее нас просят указать адрес WINS сервера. Он у нас не используется, поэтому пропускаем данный шаг. В конце нас спросят, хотим ли мы активировать данную область? Выбираем “Да”, нажимаем “Далее” и “Готово”.

Как видим у нас создалась новая область IPv4 с заданным пулом адресов и необходимыми параметрами. На вкладке “Арендованные адреса” можно посмотреть список клиентов.

DHCP-сервер настроен и готов к работе. Для проверки работоспособности запросите новые настройки DHCP на клиентской машине, в Windows это можно сделать командой:

ipconfig /renew

Обязательно отключите DHCP-сервер на вашем маршрутизаторе, он нам больше не пригодится.

Шаг 3. Создание пользователей в домене

И так, у нас теперь есть домен и собственно первый его контроллер, он же основной. Но у нас пока нет пользователей, приступим к их созданию.

Для создания пользователей в AD используется оснастка “Active Directory – пользователи и компьютеры”, запустить ее можно командой dsa.msc или открыть с помощью ярлыка из меню “Пуск”, во вкладке “Средства администрирования”.

В данной оснастке можно создавать и удалять пользователей, группы, подразделения, компьютеры. Если у вас в организации много пользователей и отделов, удобнее всего для каждого отдела создать свое подразделение и всех его сотрудников помещать туда. Так же для отдельных подразделений будет удобно создавать персональные групповые политики.

Для примера создадим подразделение “Отдел продаж” и создадим в нем учетные записи сотрудников – Петрова Ивана и Иванова Михаила.

Для создания подразделения щелкните правой кнопкой мыши по имени домена в оснастке “Пользователи и компьютеры” и выбирите “Создать” – “Подразделение”, затем введите имя подразделения и нажмите “ОК”.

Теперь щелкаем правой кнопкой мыши по значку нашего подразделения, выбираем “Создать” – “Пользователь”. Пишем имя и фамилию – Иван Петров, создадим ему логин ipetrov.

Нажимаем “Далее” и придумываем ему пароль. По стандартной политике использования паролей, он должен иметь минимум 8 символов, содержать буквы, цифры и хотя бы одна буква должна быть другого регистра, например – Pass1234. Ставим галочку “Срок действия пароля не ограничен”, если хотим создать постоянный пароль, и убираем галочку “Требовать смены пароля при следующем входе в систему”, если не хотим обременять пользователя лишними действиями при первом входе в систему. Нажимаем “Далее” и “Готово”, один пользователь в домене у нас есть.

Далее, опять же для нашего удобства, создадим еще одно подразделение и назовем его “Группы”, в нем мы будем создавать наши группы пользователей и компьютеров, чтобы они все были в одном месте. В новом подразделении создадим первую группу “Отдел продаж”, в эту группу мы внесем пользователей из этого отдела.

Переходим обратно в наше подразделение “Отдел продаж”, щелкаем дважды по пользователю Иван Петров, переходим на вкладку “Член групп” и добавляем группу “Отдел продаж”. Первый пользователь в группе у нас уже есть.

Теперь создадим в подразделении “Отдел продаж” второго пользователя – Михаил Иванов. Чтобы нам не указывать все параметры заново и не добавлять этого сотрудника в нужную группу, мы просто скопируем параметры из пользователя Иван Петров. Щелкаем по пользователю правой кнопкой мыши и выбираем “Копировать”.

Отроется уже знакомая нам форма которую нужно заполнить. Вводим имя и фамилию пользователя, придумываем логин, нажимем “Далее”, задаем пароль и “Готово”. Обратите внимание, что на этапе установки пароля все галочки уже были проставлены в том порядке, как мы это делали у прошлого пользователя. Так же новый пользователь уже будет включен в группу “Отдел продаж”.

Теперь у нас есть два пользователя в подразделении.

Действуя по аналогии можно создавать другие подразделения, группы и пользователей.

Шаг 4. Присоединение компьютеров в домен

После того как пользователи созданы, необходимо завести компьютеры в домен. Подключить к домену получится только те компьютеры, на которых Windows имеет редакцию “Профессиональная”, “Корпоративная”, “Embedded” и т.д. Домашнюю версию завести в домен не получится.

Переходим к компьютеру, который мы будем заводить в домен. Открываем дополнительные параметры системы, нажимаем “Изменить”.

Выбираем, что компьютер является членом домена, вводим домен KONTORA.ORG, при желании можем указать новое имя компьютеру.

Нажимаем “ОК”, далее нас попросят ввести данные администратора домена, вводим и ждем появления уведомления о том, что компьютер добавлен в домен.

Если во время присоединения к домену вышла ошибка, что указанный домен не найден, проверяйте, правильные ли настройки DNS указаны на клиентском компьютере. В качестве предпочитаемого DNS-сервера должен быть указан IP-адрес контроллера домена. Если вы вносили изменения в настройки DHCP-сервера, проверьте, что клиентский компьютер получил новые настройки.

Теперь необходимо перезагрузить компьютер. После перезагрузки на компьютере можно будет авторизоваться под доменной учетной записью администратора, либо пользователя из числа тех, что мы создали. Попробуем авторизоваться под именем Ивана Петрова, вводим его логин ipetrov и пароль Pass1234.

Как видим у нас прекрасно получилось авторизоваться под данным пользователем и даже имя и фамилия отображается во время входа в профиль.

В системе так же видно, что мы работаем под данным пользователем.

Перейдем в оснастку “Пользователи и компьютеры” на контроллере домена и откроем раздел Computers. Видим, что наш новый компьютер отображается в списке.

Кстати, если вы планируете завести в домен новый компьютер на котором ранее пользователь уже долгое время работал в своей локальной учетной записи и у него там наверняка все было настроено привычным ему образом – документы лежат в определенных местах, сохранена история браузера, сделаны удобные настройки Windows, стоят свои обои и т.д., вам наверняка потом придется переносить все в новый, доменный профиль, так как при первой авторизации после ввода компьютера в домен у пользователя создастся новый, пустой рабочий стол.

Чтобы этим не заморачиваться, нам нужно конвертировать локальную учетную запись пользователя в доменную, или другими словами – сделать миграцию профиля. Как делать миграцию профиля в Active Directory я описывал в этой статье.

Шаг 5. Примеры использования групповых политик в домене

Теперь, когда у вас есть свой домен, самое время заняться подготовкой групповых политик. Это очень удобно, достаточно создать одну политику и она будет применяться к тем пользователям и компьютерам, которые вы укажете в параметрах делегирования.

Запустить оснастку для работы с групповыми политиками можно командой gpms.msc или вызвать ее через ярлык в меню “Пуск” – “Средства администрирования Windows” – “Управление групповой политикой”.

По умолчанию используется политика “Default Domain Policy”, рекомендую не трогать ее и создать свою политику, которую в случае чего можно будет потом удалить.

Щелкаем правой кнопкой мыши по имени нашего домена в оснастке и выбираем “Создать объект групповой политики в этом домене и связать его”, вводим имя нашей политики.

Щелкаем на нашу созданную политику и смотрим на “Фильтр безопасности”. Видим, что политика применяется к группе “Прошедшие проверку”, это означает, что политика будет применять ко всем пользователям и компьютерам домена. В случае чего эту группу можно убрать из фильтра и добавить туда какую ни будь другую, например “Отдел продаж”, которую мы создавали ранее. В таком случае параметры этой политики будут распространяться только на пользователей, которые были добавлены в группу “Отдел продаж”. Но есть один нюанс. Если мы убираем из фильтра безопасности группу “Прошедшие проверку” и добавляем туда любую другую группу, политика не будет применяться пока на вкладке “Делегирование” мы не добавим группу “Компьютеры домена.

В нашем примере мы не будем менять настройки делегирования и оставим все по стандарту, чтобы созданная нами политика применялась ко всем пользователям и компьютерам в домене.

Для редактирования групповой политики, щелкнем по нашей политике правой кнопкой мыши и выберем “Изменить”, откроется редактор групповой политики.

Давайте для примера сделаем следующие настройки:

  • Создадим на рабочих столах всех пользователей ярлык на сайт https://evs.msk.ru/
  • Запретим запуск командной строки и редактора реестра.
  • Отключим на компьютерах автоматические обновления.

Первые две настройки делаются в конфигурации пользователя.

Для создания ярлыков перейдем в “Настройка” – “Конфигурация Windows” – “Ярлыки” и создадим новый ярлык. В качестве действия выбираем “Обновить”, это создаст ярлык заново при следующем входе в профиль, если пользователь решит удалить его. В качестве места размещения ярлыка выбираем “Рабочий стол”.

Для запрета использования командной строки и редактора реестра, перейдем в “Политики” – “Административные шаблоны” – “Система” и включим параметры “Запретить использование командной строки” и “Запретить доступ к средствам редактирования реестра”.

Теперь авторизуемся под одним из наших пользователей на клиентской машине.

Как видим у пользователя создался на рабочем столе наш ярлык.

А при попытке открыть командную строку у него она откроется с сообщением “Приглашение командной строки отключено вашим администратором”.

При попытке открыть редактор реестра тоже выйдет предупреждение.

Теперь отключим обновления Windows. Для этого мы перейдем в конфигурацию компьютера в нашей политике. Откроем “Политики” – “Административные шаблоны” – “Компоненты Windows” – “Центр обновления Windows”. Далее выберем параметр “Настройка автоматического обновления”.

Выберем “Отключено” и нажмем “ОК”.

Проверим на нашей клиентской машине. Для этого перезагрузим клиентский компьютер, а затем откроем центр обновления Windows.

Как видим, система сообщаем нам, что “Ваша организация отключила автоматические обновления”.

Кстати, большинство новых групповых политик можно применить не прибегая к перезагрузке или завершению сеанса пользователя. Достаточно выполнить команду:

gpupdate /force

Таким образом можно создавать разные групповые политики, причем можно на каждую задачу создавать отдельную политику и в случае необходимости временно выключать ее. Для этого надо щелкнуть правой кнопкой мыши по нужно политике и снять галочку “Связь включена”. Для включения политики необходимо вернуть галочку.

Так как в нашем примере мы создали политику, которая делегируется всем пользователям в домене, она так же будет действовать и для администраторов и для них так же будут действовать ограничения, которые мы установили. Поэтому, если вы создаете политики с различными запретами и ограничениями, обязательно делегируйте их только для тех пользователей и групп, для которых данные ограничения должны действовать.

Шаг 6. Добавление в действующий домен второго контроллера

Теперь, когда вы создали домен, научились подключать к домену новые компьютеры, создавать пользователей, группы и научились работать с групповыми политиками, стоит побеспокоиться об отказоустойчивости построенной системы. В Active Directory это достигается созданием дополнительных контроллеров домена, которые реплицируются с главным контроллером и имеют в себе всегда актуальную базу Active Directory. Так, если один из контроллеров выйдет из строя, ваша инфраструктура продолжит функционировать в штатном режиме, а в случае восстановления вышедшего из строя контроллера, или добавления нового, он быстро обновит в себе актуальность вашей базы Active Directory.

Добавлять дополнительные контроллеры можно в двух режимах:

  • Полноценный дополнительный контроллер домена, на котором как и на главном контроллере можно изменять настройки AD, создавать/удалять пользователей, группы, работать с редактором групповых политик и т.д. Все действия будут синхронизироваться со всеми контроллерами в домене.
  • Режим “Только для чтения (RODC)”. Актуально, если вы планируете использовать такой контроллер на удаленном филиале, где у вас не будет к нему постоянного физического доступа. В таком режиме контроллер будет всегда поддерживать актуальную базу AD, синхронизируя ее с вашим основным контроллером, например, через VPN, и с помощью него смогут авторизовываться пользователи данного филиала не прибегая к необходимости обращаться каждый раз к вашему основном контроллеру. И при всем этом никто не сможет на таком контроллере внести какие либо изменения в вашу структуру AD.

Мы будем использовать первый режим.

Если первый контроллер домена вы разворачивали на “железном” сервере, а не на виртуальной машине, второй вполне можно развернуть на виртуалке. Главное, чтобы в сети был хотя бы один “железный” контроллер. Поэтому, если первый контроллер вы развернули на виртуальной машине, второй рекомендуется развернуть на “железном” сервере. Дело в том, что при использовании “железного” сервера, при развертывании AD по умолчанию отключается кэш диска, чтобы избежать потери информации при внезапных отключениях, а на виртуальной машине такая возможность отсутствует. Так, если на виртуальном сервере произойдет внештатная ситуация и часть данных будет потеряна, контроллер благополучно восстановит ее, загрузив с “железного” контроллера.

Для начала подготовим сервер для второго контроллера. Поменяем ему имя на DC-2 и введем его в наш домен. Далее установим, как в случае с первым нашим контроллером, роли “DNS-сервер” и “Доменные службы Active Directory”, а так же роль DHCP-сервера. Таким образом у нас будет второй, резервный контроллер домена со своим DNS-сервером и резервный DHCP-сервер.

Если вы используете свой отдельный DHCP-сервер, то роль DHCP-сервера разворачивать не нужно.

После установки ролей так же повышаем наш сервер до уровня контроллера домена и в мастере развертывания AD выбираем “Добавить контроллер домена в существующий домен”.

Далее, как и в случае с первым контроллером, указываем пароль для режима восстановления служб каталогов, на этом же этапе можно поставить галочку “Контроллер домена только для чтения (RODC)”. Мы будем делать полноценный контроллер, поэтому галочку ставить не будем. Здесь же предлагается выбрать сайт в который мы будем добавлять данный контроллер домена, что такое сайты в Active Directory я расскажу чуть ниже. Пока сайт у нас один, созданный по умолчанию, оставляем его и идем дальше.

Далее пропускаем страницу “Делегирование DNS” и на странице параметров репликации нам необходимо выбрать источник репликации. Можно выбрать наш основной контроллер домена, однако я рекомендую оставить параметр “Любой контроллер домена”, на случай если у нас их в сети будет несколько. В таком случае наш подготавливаемый контроллер сможет реплицировать базу со всех контроллеров в домене, а не только с одного.

Дальше нас, как и в случае с настройкой первого контроллера, попросят указать пути к базе данных, файлам журналов и папке SYSVOL, оставляем все по умолчанию, нажимаем несколько раз “Далее” и “Установить”. Дожидаемся завершения работы мастера, по окончании ваш сервер уйдет в перезагрузку.

Зайдем на наш главный контроллер домена DC-1 и откроем оснастку “Active Directory – сайты и службы” по команда dssite.msc или через ярлык в меню “Пуск” – “Средства администрирования Windows” – “Active Directory – сайты и службы”. Развернем “Default-First-Site-Name”, затем “Servers” и увидим, что у нас в домене теперь два контроллера, DC-1 и DC-2.

Название сайта “Default-First-Site-Name” можно переименовать без каких либо опасений, можно ему дать имя вашей организации. Так же можно создавать другие сайты, если у вас, например, несколько филиалов и в каждом филиале используется своя подсеть. В настройках каждого сайта указываются параметры подсети, для которой он создается и это поможет мастеру развертывания AD добавлять новые контроллеры сразу в нужные сайты. С помощью сайтов можно оптимизировать трафик между филиалами в разных городах. Так, компьютеры филиала, подсеть которого ссылается на определенный сайт в котором есть свой контроллер домена, будет взаимодействовать в первую очередь с этим контроллером домена, а потом уже с остальными.

Для сопоставления подсетей с сайтами в Active Directory, в оснастке “Active Directory – сайты и службы” щелкните правой кнопкой по “Subnets” и выберете “Создать подсеть”. Укажите адрес подсети с маской и выберите мышкой сайт для которого создается данная подсеть.

После данной операции подсеть появится в разделе Subnets.

Переходим на наш второй контроллер DC-2 и открываем оснастку DNS. Видим, что зона основного просмотра реплицировалась с нашим DNS-сервером на первом контроллере. Так же видим в записях DNS наш новый контроллер.

Зайдем в свойства этой зоны и включим передачу зон на серверы, перечисленные на странице серверов имен. Далее перейдем на вкладку “Серверы имен” и убедимся, что у нас теперь там отображаются два наших DNS-сервера: DC-1 и DC-2.

Можно еще перейти в оснастку DNS на первом контроллере и проверить, что там так же отображаются оба сервера.

И так, репликация DNS у нас работает. Проверим работает ли репликация между самими контроллерами, для этого существует команда:

repadmin /replsummary

Выполняем ее в командной строке от имени администратора, должны получить такой результат:

Как видим, репликация работает. Если значение наиб. дельты не боле часа – с репликацией всё в порядке. Количество сбоев должно быть равно 0.

Если же в работе репликации возникли ошибки то можно использовать следующую команду чтобы посмотреть какой контекст наименования не реплицируется:

repadmin /showreps

Теперь настроим DHCP-сервер на втором контроллере и изменим настройки на DHCP-сервере нашего главного контроллера.

Для начала на DHCP-сервере нашего главного контроллера надо изменить диапазон выдаваемых адресов. Нужно сделать так, чтобы диапазоны выдаваемых адресов не пересекались между первым и вторым DHCP серверами. Например, чтобы первый DHCP выдавал IP-адреса в диапазоне 192.168.12.50-192.168.12.150, а второй DHCP в диапазоне 192.168.12.151-192.168.12.254. Таким образом диапазоны DHCP серверов не будут пересекаться между собой в тот момент, когда в сети они будут работать одновременно. Если вам не будет хватать адресов в пуле, можно расширить вашу сеть, сделав ее, например, с 22 маской (255.255.252.000). В таком случае у вас будут доступны подсети 192.168.12.0, 192.168.13.0, 192.168.14.0 и 192.168.15.0, разгуляться будет где.

Чтобы поменять диапазон выдаваемых адресов, нужно перейти в свойства вашей области IPv4 и поменять там значения:

Так же, если IP-адрес вашего второго контроллера пересекается с диапазоном выдаваемых адресов, добавьте его в исключения, однако я уже говорил, что лучше назначать контроллерам IP-адреса не из области выдаваемых DHCP.

Последним немаловажным изменением в настройках DHCP-сервера является добавление в параметрах области второго DNS-сервера – IP-адреса второго контроллера.

Теперь, используя инструкцию по настройке DHCP-сервера из этой статьи, завершите его настройку на втором контроллере домена.

Заключение

И так, мы сделали основные шаги в развертывании отказоустойчивой системы Active Directory в вашей сети. Теперь у вас в руках имеется мощный инструмент, благодаря которому администрирование огромных сетей теперь можно выполнять буквально в несколько кликов вышкой. Сломать отказоустойчивую систему AD очень сложно, но тем не менее не забывайте проверять техническое состояние ваших контроллеров, вовремя производите обслуживание серверов и конечно не забывайте про резервное копирование.

windows active directory logo

Active Directory is a powerful tool that allows administrators to manage user accounts, computers, and security policies across an organization’s network. It is a key component of Windows Server, and with the release of Windows Server 2022, how to install Active Directory has become even easier. In this article, we’ll guide you through the process of installing Active Directory on Windows Server 2022. 

Process of Installing Active Directory on Windows Server 2022

To ensure a successful installation, please log in to your Windows Server 2022 environment as an administrator. Then follow the steps below to install Active Directory.

Step 1. Log in to Server Manager

To initiate the installation process for Active Directory Domain Services, please enter «Server Manager» in the Windows search box. After opening it, refer to the image below and follow the outlined steps.

log in server manager on windows server 2022

Step 2. Select “Add Roles and Features”

Here are two ways to access to the «Add Roles and Features”. You can either click on the option on the home page or right-click “Manage” to choose the function from the context menu.

select add roles and feature in server manager

The process will open the “Add Roles and Features Wizard” page, which proceeds with the Active Directory installation. Please click on “Next”.

add roles and feature wizard

Step 3. Select Installation Type

On the «Installation Type» screen, select «Role-based or feature-based installation» and click «Next.»

select installation type in server manager

Step 4. Server Selection

In the «Server Selection» screen, select the server on which you want to install Active Directory and click «Next«. Taking the picture as an example, we chose the local Windows Server 2022 Standard as the reference.

server selection in server manager

Step 5. Select Server Roles

All the previous settings will guide you to the «Server Roles» page where you will see multiple options with square checkbox beside them. To proceed, select «Active Directory Domain Services».

select server role in server manager

Step 6. Select and Add Features

The precondition to installing the Active Directory Domain Services is to add the necessary features. So please click “Add Features” first to select features and then proceed with the installation process.

add roles and feature wizard in server manager

select features in server manager

Step 7. Active Directory Domain Service

After step 6, you will be directed to the “Activate Directory Domain Services” page.

In the «AD DS» screen, review the information and click «Next».

active directory domain services

Step 8. Confirm Installation Selections

Review your installation selections for confirmation before proceeding with the actual installation. You have the option to automatically restart the server if required. After checking, please click “Next” to move forward.

confirm installation selections

Once the previous settings are done, the installation will proceed.

feature installation progress page in server manager

After it finishes, please click “Close”.

installation finish in server manager

Step 9. Configure Active Directory Domain Services

After Active Directory Domain Services installation is complete, promote it to a Domain Controller. Please open Server Manager and locate the «Manage» tab, which will have a yellow exclamation notification next to it. Click on it and select «Promote this server to a domain controller».

configure active directory domain services

Step 10. Add a Forest

Click on «Promote this server to a domain controller», and a new window titled «Active Directory Domain Services Configuration Wizard» will appear. In this step, we will add a new Forest and customize your root domain name. However, if you have a different preference, you are free to choose the other options. Please enter your root domain name and click on «Next».

add forest in active directory

Step 11. Domain Controller Options

In the Domain Controller options, keep the default settings checked and set your password. After that, click on «Next».

domain controller options in active directory

Step 12. DNS Options

On the “DNS Options” page, there will be a notification at the top stating «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found». Please disregard this message and proceed by clicking on «Next».

dns options in active directory setting

Step 13. Additional Options

On the page, you can modify the NetBios domain name as long as it doesn’t exceed 15 characters. You are also able to keep the NetBIOS domain name as default. Once you have made your selection, click on «Next».

additional options in active directory

Step 14. Set Path

Please leave paths as default and click “Next” as shown below.

set path for active directory

Step 15. Review Options

At this stage, the server will display a summary of the selections you have made. If you don’t want to change your choices, click on «Next» to proceed.

review options in active directory

Step 16. Check Prerequisites

At this point, the server will provide a summary of the selections you have made. If you are content with your choices, proceed by clicking on «Install».

check prerequisites for active directory installation

Then your server will reboot. After that, you can log into the Domain with your password.

Tools to Back Up Active Directory

After completing the aforementioned process, you will be able to effectively manage user accounts. To prevent potential data loss resulting from inadvertent actions, we recommend all domain administrators use using a reliable backup tool to back up activate directory regularly.  

EaseUS Todo Backup Enterprise provides various solutions for all types of data backup, which is an excellent tool for backing up data on your Active Directory to avoid any accidental data loss. You can easily find and select your account there and then set up your backup plans to initiate the backup process.

backup active directory in todo backup enterprise

You can also refer to the guide on how to back up an active directory in EaseUS Todo Backup Enterprise. 

Conclusion

Installing Active Directory on Windows Server 2022 is a straightforward process that allows administrators to manage user accounts, computers, and security policies across an organization’s network. By following the steps outlined in this article, you’ll be able to install and configure Active Directory on your Windows Server 2022 environment quickly and easily. And please do not forget to use a backup tool to protect your important data.

1. What is Active Directory in Windows Server 2022?

Active Directory in Windows Server 2022 is a directory service that provides a centralized database for managing and organizing user accounts, computers, and other resources on a network. It allows administrators to easily manage and control access to network resources, enforce security policies, and streamline user authentication and authorization processes.

2. How do I know if Active Directory is installed?

  • Open the Server Manager
  • In the Server Manager, click on «Local Server» in the left-hand pane.
  • Look for the «Roles and Features» section in the right-hand pane and click on «Add roles and features.»
  • In the «Add Roles and Features Wizard,» click «Next» until you reach the «Server Roles» page.
  • Look for the «Active Directory Domain Services» role in the list. If it is checked, then Active Directory is installed on the server. If it is not checked, then Active Directory is not installed.

3. How to find your Active Directory Search Base?

  • Select Start > Administrative Tools > Active Directory Users and Computers.
  • In the Active Directory Users and Computers tree, find and select your domain name.
  • Expand the tree to find the path through your Active Directory hierarchy.

4. Can Windows Server 2022 Essentials be a domain controller?

No, Windows Server 2022 Essentials cannot be a domain controller. Microsoft has discontinued the Essentials edition of Windows Server starting with the 2022 release. Instead, Microsoft recommends using the Standard or Datacenter editions of Windows Server 2022 for domain controller roles.

Оглавление

1. Введение в Active Directory (концепции, использование, отличие от рабочей группы)

2. Установите Windows Server 2022 и Windows Server Core 2022

3. Средства настройки Windows Server 2022 и Windows Server Core 2022

4. Установите доменные службы Active Directory в Windows Server 2022

4.1 Как установить доменные службы Active Directory

4.2 Подготовка к включению Active Directory

4.3 Как установить доменные службы Active Directory в диспетчере серверов

4.4 Как установить доменные службы Active Directory в центре администрирования Windows

4.5 Как установить доменные службы Active Directory в PowerShell

5. Присоединяйте компьютеры к Active Directory. Проверьте и отсоединитесь от Active Directory

6. Инструменты настройки и оснастки Active Directory

7. Понимание инфраструктуры AD

8. Групповые политики

9. Управление пользователями, компьютерами, группами и организационными подразделениями в Active Directory

10. Настройка доверия и доменов сайтов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты аудита безопасности Active Directory


Как установить доменные службы Active Directory

Итак, помните, что Active Directory — это собирательное название для всех протоколов и программного обеспечения, о которых идет речь в этом руководстве. Важной частью которого являются доменные службы Active Directory.

«Установка Active Directory» состоит из установки и настройки доменных служб Active Directory. Затем мы повысим уровень нашего сервера доменных служб Active Directory до уровня контроллера домена (DC). После этого мы присоединим к этому домену другие компьютеры.

Доменные службы Active Directory могут быть установлены на Windows Server. В этом руководстве доменные службы Active Directory устанавливаются на Windows Server 2022.

Всего мы рассмотрим три разных способа установки доменных служб Active Directory с помощью таких инструментов, как:

  • Менеджер сервера

  • Центр администрирования Windows

  • PowerShell

Для серверов с графическим рабочим столом можно выбрать любой из этих способов, а для серверов без графического рабочего стола (Windows Server Core) будет работать только второй или третий способ.

Я думаю понятно, что доменные службы Active Directory нужно установить только один раз, используя инструкции только из одного (любого) дальнейшего раздела.

Подготовка к включению Active Directory

Среди служб Active Directory есть служба DNS. Каждый компьютер уже пользуется услугами того или иного DNS-сервера, но для работы Active Directory необходимо настроить роль DNS-сервера, по сути, DNS-сервера, который будет обеспечивать преобразование имен компьютеров в IP-адреса, третий -партийный DNS-сервер работать не будет. DNS будет включен после установки Active Directory. Для правильной работы DNS-сервера все компьютеры в Active Directory должны иметь статические IP-адреса. Поэтому вам необходимо настроить свои компьютеры и сервер Windows для работы со статическими IP-адресами. Всю необходимую теорию и инструкции по настройке можно найти в статье «Как сделать веб-сервер в Windows, доступных для других» (статические IP-адреса необходимы для многих сетевых служб). В предыдущей части показано, как настроить статические IP-адреса в Windows. сетевые интерфейсы. Ниже под спойлером пример назначения статических IP на роутере.

Как настроить статические IP-адреса в ZyXEL Keenetic Lite II

Существует список компьютеров со следующими именами и следующими желаемыми статическими IP-адресами:

HackWare-Server-2022 — 192.168.1.60
VYACHESLAV — 192.168.1.61
HackWare — 192.168.1.62
HackWare-Win — 192.168.1.63
HackWare-Windows-En — 192.168.1.64
HackWare-Server — 192.168.1.65

На маршрутизаторе Перейдите в «Дом» → Настройки IP. По умолчанию размер пула адресов был 20, увеличиваем его количество до 40. Так как первый IP адрес пула 192.168.1.33, то теперь доступный для использования диапазон 192.168.1.33-192.168.1.72.

Перейдите к списку устройств (вкладка «Хосты»):

Выбираем по очереди каждое устройство, ставим галочку «Статический IP-адрес», вводим нужный статический IP и нажимаем кнопку «Зарегистрироваться»:

Мы повторяем эту операцию для каждого компьютера и устройства, которым мы хотим назначить статические IP-адреса.

Когда все будет готово, все устройства со статическими адресами будут выделены жирным шрифтом.

Изменения вступят в силу при следующем подключении устройств к маршрутизатору.

Второе, на что следует обратить внимание, — это имена компьютеров. Все компьютеры Windows имеют имена, которые генерируются автоматически и не являются описательными, например WIN-M30RTOJQTFM. Поэтому рекомендуется использовать средства, рассмотренные в предыдущей части, или инструкцию «Компьютер Windows имя: как изменить и использовать» и назначьте своим компьютерам имена, описывающие их функции или иным образом помогающие понять, о каком компьютере идет речь.

Примеры смены имени компьютера

Как изменить имя компьютера в Windows 10

Чтобы изменить имя компьютера, откройте приложение «Настройки» (Win+I) и нажмите «Система».

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот компьютер (дополнительно)»:

Чтобы изменить имя компьютера, нажмите кнопку «Изменить».

Введите желаемое имя в поле «Имя компьютера» и нажмите «ОК».

Необходимо перезагрузить компьютер, чтобы изменения вступили в силу:

Как изменить имя компьютера в Windows 11

Откройте приложение «Настройки», нажав Win+x.

Перейдите на вкладку «Система» и нажмите кнопку «Переименовать этот компьютер».

Введите новое имя компьютера и нажмите «Далее».

Нажмите «Перезагрузить сейчас».

Как установить доменные службы Active Directory в диспетчере серверов

Нажмите клавишу «Windows» на клавиатуре и введите «Диспетчер серверов», чтобы найти приложение и открыть его.

Нажмите «Управление» в окне «Диспетчер серверов» и выберите «Добавить роли и компоненты».

Это откроет мастер добавления ролей и компонентов, который приведет нас к той части, где мы устанавливаем доменные службы Active Directory. Нажмите «Далее».

В разделе «Тип установки» оставьте выбранным переключатель «Установка на основе ролей или функций» и нажмите «Далее».

На этом шаге под названием «Выбор целевого сервера» выберите сервер, на котором вы хотите установить AD DS, и нажмите «Далее». Я собираюсь выбрать свой локальный сервер.

Предыдущий шаг приведет вас к следующей странице. Здесь вы увидите множество опций с квадратным флажком напротив них. Как вы уже догадались, мы выберем «Доменные службы Active Directory».

Как только вы выберете эту опцию, появится новое окно. В нем просто нажмите кнопку «Добавить функции» и нажмите «Далее».

На следующей странице под названием «Выберите функции» просто нажмите «Далее», чтобы продолжить установку AD DS.

Как показано ниже, вам будет представлена следующая страница под названием «Доменные службы Active Directory». Нажмите «Далее». Обратите внимание, что нам напоминают об установке DNS-сервера, если сервер еще не установлен, это будет сделано во время развертывания доменных служб Active Directory. Для него мы выполнили такие подготовительные действия, как настройка статических IP-адресов и информативных имен компьютеров.

Следующая страница посвящена подтверждению того, что вам нужно установить. Если вы уверены в правильности своего выбора, нажмите «Установить». Вы можете выбрать опцию, которая будет перезапускать сервер при необходимости. Нажмите кнопку «Установить».

Вы можете закрыть окно мастера.

После того, как вы завершили установку доменных служб Active Directory, последним шагом будет повышение роли вашего сервера до контроллера домена. Перейдите в Диспетчер серверов, где вы увидите желтый восклицательный знак рядом с вкладкой «Управление», как показано ниже. Нажмите здесь

и выберите «Повысить уровень этого сервера до контроллера домена».

Появится новое окно под названием «Мастер настройки доменных служб Active Directory», как показано ниже. Мы собираемся «Добавить новый лес», но если вы хотите сделать что-то другое на этом шаге, вы можете выбрать другие варианты. Добавьте корневое доменное имя вашей организации. Обратите внимание, имя не может состоять из одного слова, имя должно иметь суффикс, разделенный точкой. Кроме того, имя может иметь префикс, разделенный точкой. При настройке доменного имени в реальной производственной среде нужно быть очень осторожным с выбором имени. Например, следует быть осторожным при выборе имени с несуществующим суффиксом, например, hackware.loc или hackware.comp, так как количество доменов первого уровня стремительно увеличивается и выбранный вами суффикс может однажды стать реальным , что в дальнейшем приведет к проблемам с доступом к домену. Нажмите «Далее» после выбора.

В параметрах контроллера домена оставьте флажки по умолчанию и введите свой пароль. Затем нажмите «Далее».

На следующей странице параметров DNS вы, вероятно, увидите сообщение об ошибке вверху со словами «Невозможно создать делегацию для этого DNS-сервера, поскольку не удается найти авторитетный сервер имен родительской зоны». Не обращайте на это внимания и нажмите «Далее».

На следующей странице оставьте имя домена NetBIOS по умолчанию или вы можете изменить его на любое менее 15 символов. Затем нажмите «Далее».

Оставьте пути по умолчанию и нажмите «Далее», как показано ниже.

В этот момент сервер позволяет вам просмотреть настройки, которые будут применены. Если вы сделали правильный выбор, нажмите «Далее».

На этом шаге предварительные условия будут проверены перед установкой доменных служб Active Directory. Если вы обнаружите здесь какие-либо ошибки, просмотрите их и исправьте что-либо в предыдущих шагах. Если все в порядке, нажмите «Установить».

После этого сервер перезагрузится, и вы сможете войти в домен с установленными вами учетными данными:

Повышение роли сервера до контроллера домена завершено.

Вы можете использовать Центр администрирования Active Directory или оснастку «Пользователи и компьютеры Active Directory» для управления пользователями, группами и другими объектами Active Directory. Следующая часть будет посвящена этому.

Как установить доменные службы Active Directory в центре администрирования Windows

В Windows Admin Center очень удобно устанавливать доменные службы Active Directory и роли DNS-сервера, для этого нужно сделать всего несколько кликов. Но, как уже было сказано, Windows Admin Center пока не является полноценной заменой другим инструментам, поэтому, когда придет время Повысить этот сервер до контроллера домена, вам нужно будет сделать это с помощью инструментов Server Manager, либо в PowerShell.

Подключитесь к своему серверу в Центре администрирования Windows и перейдите на вкладку «Роли и функции».

Установите флажок рядом с «Доменные службы Active Directory» и нажмите кнопку «Установить».

Вам будет показан список установленных компонентов и их зависимостей. Нажмите «Да», чтобы продолжить.

Вы можете наблюдать за процессом установки в разделе уведомлений.

Перейдем к серверу, для которого мы устанавливаем доменные службы Active Directory. Визуально там ничего не изменилось, нажимаем кнопку «Обновить „Dashboard“».

Как видите, теперь есть информация о работающей AD DS.

На самом сервере в Диспетчере серверов можно запустить «Повысить уровень этого сервера до контроллера домена«, но я не знаю, как это сделать удаленно на компьютере из Центра администрирования Windows.

Снова перейдите на компьютер Windows Admin Center, чтобы установить роль «DNS-сервер». Фактически, «Доменные службы Active Directory», «DNS-сервер» и любые другие роли и функции можно было установить за один раз, просто установив несколько флажков.

Все повторяется — нам показывают список зависимостей.

Наблюдаем за процессом установки.

Теперь в диспетчере серверов мы можем убедиться, что DNS-сервер работает.

Здесь, в Центре администрирования Windows, вы также можете удалить роли и функции.

Если вы решили сделать это в PowerShell (подключиться можно через соответствующую вкладку в Windows Admin Center), то для того, чтобы повысить роль сервера до уровня контроллера домена, выполняем команду:

Install-ADDSForest -DomainName "dc.hackware.ru" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainNetbiosName "DC" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$True -SysvolPath "C:\Windows\SYSVOL" -Force:$true

Обратите внимание на варианты:

-DomainName "dc.hackware.ru"
-DomainNetbiosName "DC"

Они задают имя контроллера домена и имя NetBIOS. Замените их своими значениями.

См. также: NetBIOS: что это такое, как это работает и как использовать в информации безопасность

В командной строке введите и подтвердите пароль для DSRM (режим восстановления службы каталогов) и нажмите Enter.

Как установить доменные службы Active Directory в PowerShell

Вы можете установить доменные службы Active Directory с помощью PowerShell, либо введя команды непосредственно в консоль сервера, либо подключившись к ней удаленно. Это возможно с помощью инструментов удаленного взаимодействия PowerShell.

Удаленное взаимодействие PowerShell включено на серверах Windows. В моих тестах мне не нужно было ничего дополнительно настраивать, хотя информация противоречива: в документации можно найти информацию о том, что удаленное взаимодействие PowerShell включено только на Windows Server Core и что приватное (не публичное) подключение к сети обычно необходимо.

Однако в моих тестах дополнительной настройки не требовалось — соединение прошло нормально, без необходимости использовать Enable-PSRemoting, Set-NetConnectionProfile, winrm quickconfig< и добавить компьютер в доверенные. Если у вас возникли проблемы с подключением к удаленному серверу, то напишите об этом в комментариях. Вы также можете проверить текущие настройки на сервере с помощью команды:

Get-PSSessionConfiguration

Все следующие шаги относятся к Windows Server с графическим рабочим столом и ядром Windows Server.

Подключаемся к серверу с помощью такой команды:

Enter-PSSession -ComputerName SERVER_NAME -Credential SERVER_NAME\Administrator

Например, имя сервера TEST-SERVER, тогда команда выглядит следующим образом:

Enter-PSSession -ComputerName TEST-SERVER -Credential TEST-SERVER\Administrator

Если вы используете PowerShell 5, появится следующее окно для ввода пароля для учетной записи администратора удаленного компьютера:

Если вы используете последние версии PowerShell, пароль вводится непосредственно в командной строке.

Обратите внимание, что приглашение командной строки изменилось. Это было

PS C:\Users\MiAl>

стал

[TEST-SERVER]: PS C:\Users\Administrator\Documents>

Если вы пользователь Linux, Enter-PSSession похож на SSH. То есть теперь мы находимся в командной строке удаленного компьютера и все команды, которые выполняются, будут выполняться на удаленном сервере, а не на локальной системе.

Теперь вы можете приступить к установке роли доменных служб Active Directory.

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Началась установка выбранной роли и необходимых для нее компонентов.

Для того, чтобы повысить роль сервера до уровня контроллера домена, выполните команду:

Install-ADDSForest -DomainName "dc.hackware.ru" -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainNetbiosName "DC" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$True -SysvolPath "C:\Windows\SYSVOL" -Force:$true

Обратите внимание на варианты:

-DomainName "dc.hackware.ru"
-DomainNetbiosName "DC"

Они задают имя контроллера домена и имя NetBIOS. Замените их своими значениями.

См. также: NetBIOS: что это такое, как это работает и как использовать в информации безопасность

В командной строке введите пароль для DSRM (режим восстановления службы каталогов), который здесь называется SafeModeAdministratorPassword, и нажмите Enter.

Подтверждаем пароль и нажимаем «Enter».

Начался процесс повышения роли сервера до контроллера домена.

Повышение роли сервера до контроллера домена завершено.

Перезагрузите компьютер:

Restart-Computer -Force

Давайте снова подключимся к удаленному компьютеру, чтобы проверить, прошла ли установка успешно. Обратите внимание, что предыдущая команда, которую мы использовали для успешного подключения к серверу, больше не работает, потому что, хотя я отметил имя пользователя как «ИМЯ_СЕРВЕРА\Администратор», на самом деле это «РАБОЧАЯ ГРУППА\Администратор». WORKGROUP — это то же самое, что и SERVER_NAME, поэтому я не запутал вас раньше времени.

Но теперь сервер не входит в рабочую группу, а входит в домен, поэтому команда для подключения должна выглядеть так:

Enter-PSSession -ComputerName SERVER_NAME -Credential DOMAIN\Administrator

Например:

Enter-PSSession -ComputerName TEST-SERVER -Credential dc.hackware.ru\Administrator

Соединение с сервером установлено.

С помощью следующей команды проверим состояние служб, необходимых для работы контроллера домена:

Get-Service adws,kdc,netlogon,dns

Службы, необходимые для контроллера домена, запущены.

Для просмотра подробной информации о конфигурации контроллера домена можно выполнить команду:

Get-ADDomainController

Чтобы просмотреть подробную информацию о домене Active Directory, вы можете выполнить команду:

Get-ADDomain dc.hackware.ru

Чтобы просмотреть подробную информацию о лесе Active Directory, вы можете запустить команду:

Get-ADForest dc.hackware.ru

Чтобы проверить доступность общей папки SYSVOL, вы можете запустить команду:

Get-SmbShare SYSVOL

Доступна общая папка «SYSVOL». Он используется для предоставления клиентам параметров групповой политики, входа в систему и сценариев входа в систему.

Возвращаемся на рабочую станцию (отключаем удаленную сессию PowerShell):

exit


Microsoft’s Active Directory (AD) offers many global corporations an enterprise-grade Single Sign-On environment.
Knowing how to configure this on the latest version of Windows Server will always benefit any IT professional.
In this article, we will discuss the initial setup of Active Directory.

Note 1: This was set up in a test environment; please always be cautious while working in a production environment.
Note 2: IP addresses listed are from the test environment; please ensure to match your environment.

Prerequisites

Processor

A 1.4 GHz 64-bit processor compatible with the x64 instruction set.
Support NX (no execution) and DEP (Data Execution Prevention).
Supports second-level address translation such as EPT and NPT.

RAM

At least 512MB (if a server with a desktop environment is installed, a minimum of 2GB is needed).
RAM with error-correcting code (ECC).

Storage

PCI Express storage adapter.
Hard disks can have a minimum partition requirement of 32GB.

Network

Any adapter that can use gigabit throughput.
PCI Express compliant adapter.
A card that supports a Pre-Boot Execution Environment (PXE).
A network debugging-enabled card is desirable but not a requirement.

Installation

To install Active Directory, Server 2022 must be installed and fully updated.

After the updates are installed, open the Server Manager application.
Once open, select the Ethernet connection so a static IP address relevant to the environment can be set.


Select the Ethernet adapter and open the Properties.
Under properties, select the TCP/IPv4 and click Properties.

Select the radio button to Use the following IP address.
Specify a free IP address in the network, as well as the subnet mask and correct default gateway, and click OK

Next, select the computer name under the Server Manager to change it.
The server will need a valid name before installing Active Directory.

On the System Properties window that opens, select Change.

Create a meaningful name for the server in our example DC1 and click OK.

Click Ok to acknowledge that the computer needs to be restarted.

Click Restart Now

After restart, the new IP address and computer name are visible when checking the Server Manager.

In the Server Manager, select Manage, and then Add Roles and Features

The wizard will give basic information; click Next.

Select Role-based or feature-based installation and click Next.

Should there be multiple servers in the environment, ensure the correct server is selected and click Next.
Should there only be one server, the above can be ignored. Just click Next.

On the server roles list, select Active Directory Domain Services.

Leave the tick box ticked to Include management tools, and click Add Features.

Active Directory Domain Services will now be ticked. Click Next.

For the Features, click Next with no changes.

The Active Directory Domain Services will make some suggestions that are very important for production environments, namely:
Install a minimum of two domain controllers so users can log in even if there is a server outage.
A Microsoft DNS server must be set up in the network.
Click Next.

Ticking the option to restart automatically for test environments will speed up the installation process. This should be used with caution for production environments.
Click Install.
If the option to restart was selected, click Yes to allow the automatic restart.

Installation of the Active Directory Domain Services will now run.

Once completed, select the option to Promote this server to a domain controller.

As this is a new domain, we will create a new forest.
For the root domain name, it is best to use a subdomain of an existing public FQDN (Fully Qualified Domain Name).
For example, adtest.foldersecurityviewer.com.
Should you not have a public domain, replacing the .com on the end with .local will work for test domains.

When setting up the domain controller for the first time, certain decisions will need to be made.
Forest Functional Level is the minimum Operating System version for all servers in all sub-domains.
Domain Functional Level could be set higher than the Forest level, but not lower.

Conclusion

We hope that this guide will help you on your journey to Active Directory setup and administration.

Here, we have a look at how to install Active Directory in Windows Server 2022. We are going to show you the Domain controller installation and configuration of Active Directory domain services Role in Windows Server 2022 and promote Windows Server 2022 as a Domain Controller. First, I will show you how to install the ADDS binaries and then 2nd promote Windows Server 2022 to a Domain Controller.

The Windows Server 2022 operating system is the latest and often advanced Windows Server OS to date. Microsoft has constantly been making their Server operating system more cloud base with a lot of Azure features incorporated into the operating system natively. Using the new features and capabilities untied using Windows Admin Center, New Windows Server 2022 will have the most direct integration with Microsoft Azure of any server OS.

Microsoft is surely wanting to get everybody focused on Azure. The new combination with Azure makes Windows Server 2022 a simple way that customers get a powerful on-premises OS with all the Azure bells and whistles offered by Microsoft and unlocked potential with Windows Admin Center.

Table of Contents

  • Change Computer Name
  • Install Active Directory Services
  • Domain Name System Server (AD & DNS)
  • Promote Server to a Domain Controller
  • How to configure DNS Server

Install Active Directory in Server 2022

Note:

Before you start, verify that the following things have been completed.

Change Computer Name

Change the computer name or server name, easy to an understandable format.
(In this Example: Server name: Server2022, Active Directory Server)
In the Network settings, use a static IP address is configuration is best practice.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

How to Install Active Directory Domain Services

We are going to install an active directory & domain controller. It’s will be a physical computer or a virtual machine.

Once you changed the computer name and assign a static IP address to the server. Launch the Server Manager, click on Dashboard and then click on Add Roles and Features.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Add roles and features wizard, select next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Installation type, select the radio button Role-based or feature-based installation, and then click on next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

In the Select destination server option, choose the option Select a server from the server pool and then click on next. In the image below you can see what servers are available, select the one you wish to install the active directory on.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Choose server roles window, I am going to install Active Directory so I am selecting Active Directory Domain Services roles.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Click on Add features button to add features that are required for Active Directory Domain Services.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Domain Name Server (AD & DNS)

In the Select one more role to install wizard, select the DNS Server role name.
We need to install and configure Active Directory and DNS server roles to work together.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Click on Add Features button to add features that are required for the DNS server including management tools.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Please ensure the Active Directory Domain Services and DNS Server options are selected and then click on next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Choose the checkbox .NET Framework 3.5 Features and then click on the next option to continue.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Active directory domain services, click next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

DNS Server option click next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Click the next button to start the active directory and DNS server installation.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

If you get the below error, its means we need to install .net framework 3.5

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Follow the above steps to reach the confirmed installation selection window. Click on the Specify an alternate source path.

.Net Framework 3.5 Installation failed

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Insert the windows server 2022 installation media or mount the Server 2022 ISO file as a drive. Then go to the location of the source path drive letter\sources\sxs. (My drive letter is D:\sources\sxs). Copy the path D:\srouce\sxs

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Then paste the copied path in the path option or type manually. Then click on the ok and select the Install button to continue.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Click Install.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Active Directory and DNS server feature installation are in progress.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

The Active Directory and DNS server installation process has been completed. Click close.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Promote Server to a Domain Controller

How to Configure DNS (Domain Name System)

How to deploy and configure the Domain Controller 2022. In the Server Manager click on the notification button and then click on Promote this server to a domain controller.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Active Directory Domain Services Configuration, deployment configuration. Now we are going to install new forest and new domain.
Select Add a new forest checkbox and then specify the domain information for this operation. Type your domain name next to the root domain name and then click on next.
(Example: xpertstec.local you can use xpertstec.com).

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Domain controller options, select the forest functional level and domain functional level as per your requirement.
Specify domain controller capabilities.
Domain name system (DNS) server selected
Global Catalog (GC) selected
Type Directory Services Restore Mode (DSRM) password and then select Next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

DNS Options windows, select next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Verify the NetBIOS domain name. Mostly, it’s automatically picked from your domain name related. Then click next

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Specify the location of the AD DS database,
Database folder
Log files folder
SYSVOL folder
Keep it is as it is and click next.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Verify all the settings with your requirements and then click on next to continue.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Prerequisites check done automatically

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Click on the install button to start the Active Directory Domain Controller installation.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Domain Controller Installation is in Progress…

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

The domain controller server is successfully configured, then select close.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

After configuration of the domain controller your server reboot automatically.
Domain Administrator Login screen windows, type your domain controller password.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

After login with your Active Directory Domain Controller, open your network connection TCP/IP properties. You can see the preferred DNS server IP Addresses.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Change it with your DNS Server IP Address.

Install Active Directory in Server 2022, How to Install Active Directory in Server 2022

Jamil Parvez

Jamil Parvezhttps://www.xpertstec.com

Jamil Pervez works as a Network Administrator, based in Kuwait with a Primary focus on Microsoft technologies. Microsoft Certified MCSE, MCTP, MCITP, CCNP, CCIP, CCVP with 20 years of experience in administering Windows Servers, Exchange, VMWare, Veeam B&R, Veritas BackupExec.

  • Установка ableton live 11 на windows
  • Установить карточные игры для windows 10
  • Установить интернет эксплорер 7 бесплатно для windows 7 на русском
  • Установка active directory windows server 2016
  • Установить установщик модулей windows 7