Установка и настройка dns и ad на windows server 2012 r2

В статье подробно разберем процесс развертывания контроллер домена на базе Windows Server 2012 R2 и настройка служб AD DS, DNS, DHCP.

Наша задача:

• Установить Windows Server 2012 R2 и подготовить систему к развертыванию служб.
• Развернуть службы Active Directory + DNS, выполнить настройку служб.
• Развернуть службу DHCP, выполнить настройку обслуживания подсети 192.168.0.0/24.

Проделываться все действия будут на виртуальной машине.

Установка Windows Server 2012 R2 и настройка

При выборе типа устанавливаемой системы, выбираем Windows Server 2012 R2 Standart with GUI. Далее саму установку я пропущу, т.к. она полностью тривиальная.

После установки системы, обязательно обновляем систему до актуального состояния. Изменяем имя ПК (прим. DC1).

В настройках TCP/IP указываем статические IP-адреса (прим. как на скриншоте ниже)

Изменяем временную зону, выбираем относящуюся к нам зону (+03:00 Moscow, St. Petersburg, Volgograd).

На этом базовая подготовка системы выполнена, можно приступать к развертыванию служб.

Разворачиваем службы Active Directory + DNS

Добавляем новую роль Server Manager — Manage — Add Roles and Features. Отмечаем галочкой пункт Skip this page by default (чтобы в будущем не видеть эту страницу) и нажимаем Next.

Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен только для установки роли удаленных рабочих столов. Нажимаем Next.

Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Пункт Select a virtual hard disk позволяет указать сервер расположенный на VHD-диске. Нажимаем Next.

Отмечаем галочкой роль Active Directory Domain Services, в подтверждающем запросе добавления роли и компонентов, необходимых для установки AD нажимаем Add Features и после нажимаем Next.

В этом окне предлагается выбрать дополнительные компоненты, в моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.

Информационная страница на которой обращается внимание на то что желательно иметь несколько контроллеров домена, на случай выхода из строя основного. Служба AD DS требует установленного в сети DNS-сервера, если он не установлен, то будет предложено его установить, а так же AD DS требует установки дополнительных служб DFS Namesspases (пространства имен), DFS Replication (DFS репликации) и File Replication (Файловой репликации). Нажимаем Next. 

На завершающей странице мастера отображается информация по устанавливаемым компонентам. Так же здесь можно экспортировать конфигурацию в  xml-файл (Export configuration settings), на случай если нужно развернуть идентичный сервер. Нажимаем Install.

После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Promote this server to a domain controller (Повысить этот сервер до контроллера домена). Запустится мастер конфигурирования AD DS.

Необходимо выбрать вариант развертывания AD DS.

• Add a domain controller to an existing domain — добавить дополнительный контроллер домена в существующем домене.
• Add a new domain to an existing forest — добавить новый домен в существующем лесу:

• Tree Domain —  корневой домен нового дерева в существующем лесу
• Child Domain — дочерний домен в существующем лесу

• Add New Forest — создать новый корневой домен в новом лесу.

Выбираем вариант Add New Forest, указываем корневое имя домена, нажимаем Next.

В параметрах контроллера домена оставляем по умолчанию функционал леса и домена, проверяем отмечен ли галочкой пункт Domain Name System (DNS), будет автоматически поднята роль DNS и задаем пароль для режима восстановления служб каталогов. Нажимаем Next.

Не обращаем внимание на предупреждение ошибки делегирования для этого DNS-сервера, т.к. роль DNS поднимается в процессе конфигурации AD DS. Нажимаем Next.

Оставляем подставленное мастером NetBIOS имя. Нажимаем Next.

Пути к каталогам оставляем по-умолчанию. Нажимаем Next.

Вывод сводной информации по настройке AD DS. Нажимаем Next.

Дожидаемся выполнения предварительной проверки и если проверка прошла успешно, то мастер нам сообщит об этом: All prerequisite checks are passed successfully. Click «install» to begin installation. (Все предварительные проверки пройдены успешно. Нажмите кнопку «установить», чтобы начать установку.). Нажимаем Install.

В ходе установки конфигурации AD DS, система будет перезагружена. После перезагрузки добавим зону обратного просмотра в DNS. Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств.

Запускаем Server Manager, выбираем роль DNS и на сервере жмем правой кнопкой мыши. Выбираем пункт DNS Manager (Диспетчер DNS).

Выделяем вкладку Reverse Lookup Zones, нажимаем правой кнопкой и выбираем New Zone.

Задаем тип добавляемой зоны:

• Primary zone — Основная зона. Зона хранится на DNS-сервере, является основной. DNS-сервер становится основным источником сведений об этой зоне.
• Secondary zone — Дополнительная зона. DNS-сервер становится дополнительным источником сведений о зоне. Зона на этом сервере должна быть получена от другого удаленного компьютера DNS-сервера, который также хранит зону.
• Stub zone — Зона заглушка. DNS-сервер становится источником сведений только о полномочных серверах имен для этой зоны.

Выбираем Primary zone и нажимаем Next.

Предлагается выбрать как будет выполнятся репликация добавляемой зоны:

• То all DNS servers running on domain controllers in this forest — Репликации во всем лесу AD включая все деревья доменов.
• То all DNS servers running on domain controllers in this domain — Репликация внутри текущего домена и его дочерних доменов.
• То all domain controllers in this domain — Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.
• To all domain controllers specified in the scope of this directory partition — Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога.

Выбираем То all DNS servers running on domain controllers in this domain. Нажимаем Next.

Выбираем протокол заданный по умолчанию IPv4 Reverse Lookup Zone. Нажимаем Next.

Задаем параметр Network ID. В моем случае 192.168.0. В поле Reverse Lookup Zone Name автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

Выбор параметра динамического обновления:

• Allow only secure dynamic updates (recommended for Active Directory) — Разрешить только безопасные динамические обновления.
• Allow both nonsecure and secure dynamic updates — Разрешить любые динамические обновления, как безопасные так и нет.
• Do not allow dynamic updates — Не разрешать динамические обновления.

Выбираем Allow both nonsecure and secure dynamic updates. Нажимаем Next.

В завершении добавлении зоны обратного просмотра нажимаем Finish.

Теперь укажем Forwarders (Серверы пересылки). Серверы пересылки служат для того чтобы кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет. Это нужно для того чтобы локальные компьютеры доменной сети смогли получить доступ в интернет.

В оснастке DNS Manage (Диспетчер DNS) выделяем наш сервер и нажимаем правой кнопкой мыши. Выбираем Properties. Переходим во вкладку Forwarders и нажимаем на Edit.

В поле <Click here to add an IP Address or DNS Name> вбиваем IP-адрес или DNS имя, например провайдера или можно 8.8.8.8 (DNS Google). Нажимаем OK.

Теперь локальные компьютеры состоящие в доменной сети, смогут выходить в интернет.

Поднимаем службу DHCP и выполняем настройку ее

Добавляем новую роль Server Manager — Manage — Add Roles and Features. Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Нажимаем Next.

Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Нажимаем Next.

Отмечаем галочкой роль DHPC Server, в подтверждающем запросе добавления роли и компонентов, необходимых для установки DHCP Server нажимаем Add Features и после нажимаем Next.

В моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.

Информационная страница на которой обращается внимание на то что необходимо настроить на компьютере статический IP-адрес и перед установкой DHCP сервера нужно спланировать подсеть, области и исключения. Нажимаем Next.

На завершающем этапе установки, нажимаем Install.

После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Complete DHCP configuration (Завершить конфигурацию DHCP). Запустится мастер после установочной конфигурации DHCP.

Информационная страница, на которой сообщается что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.

На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.

Если процесс создания групп безопасности и авторизация в AD прошли успешно, то получим вывод Done. Нажимаем Close.

Запускаем Server Manager, выбираем роль DHCP и на сервере жмем правой кнопкой мыши. Выбираем пункт DHCP Manager (Диспетчер DHCP).

Выполним настройку DHCP. Создадим рабочий диапазон адресов из которого будут выдаваться адреса клиентам. Создавать диапазон будем в зоне IPv4. Выбираем протокол IPv4 и нажимаем Action — New Scope… или на иконку отмеченную ниже.

Задаем имя области и ее описание. Нажимаем Next.

Определяем начальный и конечный адрес диапазона подсети. Нажимаем Next.

По желанию можно задать диапазон адресов которые не будут выдаваться клиентам. Для задания диапазона исключения указываем начальный адрес и конечный и нажимаем Add. По окончании нажимаем Next.

Задаем время аренды выданного IP-адреса. Нажимаем Next.

Указываем Yes, I want to configure these options now (Да, я хочу настроить опции сейчас). Нажимаем Next.

Указываем адрес шлюза. Нажимаем Next.

Параметры задания доменного имени, DNS сервера и WINS Servers пропускаем, оставляем указанных значения по-умолчанию. Нажимаем Next.

Соглашаемся с активацией заданной области, выбираем Yes, I want to activate thisscope now. Нажимаем Next.

На этом установка и настройка AD DS, DNS, DHCP завершена.

Сервер готов к работе, можно заводить компьютеры в домен.

Понравилась или оказалась полезной статья, поблагодари автора

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА

Обновлено: 16.09.2023
Опубликовано: 01.10.2016

Что такое Active Directory простыми словами.

1. Подготовка системы

Для контроллера домена необходимо заранее задать имя компьютера и настроить статический IP-адрес. Это важно, так как смена этих настроек на рабочем активном каталоге может привести к потери работоспособности системы.

Проверяем настройку системного времени и часового пояса. Данный параметр также важен для устанавливаемой роли.

2. Установка роли AD DS

Открываем Диспетчер серверов

Нажимаем Управление — Добавить роли и компоненты:

Если откроется окно с приветствием, просто нажимаем Далее. В следующем окне оставляем Установка ролей и компонентов и нажимаем Далее:

Выбираем сервер, на который будет установлена роль контроллера домена (по умолчанию выбран локальный сервер) и нажимаем Далее:

Среди всех ролей выбираем следующие:

• DNS-сервер.
• Доменные службы Active Directory.
• DHCP-сервер (чаще всего используется, но не обязательно).

* на самом деле, для работы роли контроллера домена не обязательна установка первых двух. Они могут быть настроены на других серверах.

В следующем окне Выбор компонентов просто нажимаем Далее.

Досчелкиваем Далее до конца и нажимаем Установить:

Те же действия можно выполнить командой Powershell:

Install-WindowsFeature -Name DNS, DHCP, AD-Domain-Services -IncludeManagementTools

Или без DHCP:

Install-WindowsFeature -Name DNS, AD-Domain-Services -IncludeManagementTools

После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:

* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.

В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:

В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:

В окне Параметры DNS нажимаем Далее.

В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:

В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.

Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.

Настройка после развертывания сервиса

После развертывания контроллера домера, выполняем следующие действия.

Синхронизация времени

На контроллере домена с ролью PDC Emulator необходимо настроить источник синхронизации времени. Для этого открываем командную строку от администратора и вводим команду:

w32tm /config /manualpeerlist:»time.nist.gov,0x8 time.windows.com,0x8″ /syncfromflags:manual /reliable:yes /update

* данная команда задаст в качестве источника времени 2 сервера — time.nist.gov и time.windows.com.
* если мы не знаем, на каком контроллере у нас роль PDC Emulator, воспользуемся инструкцией Управление FSMO через powershell.

Соответствие рекомендациям Best Practice

1. Создание коротких имен файлов должно быть отключено

Ранее в DOS все файлы называли в формате 8.3 — 8 символов под имя, 3 для расширения. Необходимость такого подхода сильно устарело, однако по умолчанию для обеспечения совместимости может быть включено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Готово — поддержка создания коротких имен отключено.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В обычной командной строке от имени администратора вводим:

sc config srv start= demand

3. Некоторые сетевые адаптеры поддерживают RSS, но эта возможность отключена.

Необходимо для сетевого адаптера, который используется для подключения к сети, включить RSS.

Вводим команду в Powershell:

Enable-NetAdapterRss -Name *

4. Некоторые сетевые адаптеры поддерживают IPsec TOv2, но эта возможность отключена.

Вводим команду в Powershell:

Enable-NetAdapterIPsecOffload -Name *

5. Некоторые сетевые адаптеры поддерживают LSO, но эта возможность отключена.

Вводим команду в Powershell:

Enable-NetAdapterLso -Name *

6. Значение … не соответствует рекомендуемому на этом сервере.

Система может предложить более оптимальные параметры для опций:

• Smb2CreditsMin — 512.
• Smb2CreditsMax — 8192.
• DurableHandleV2TimeoutInSeconds — 180.
• AutoDisconnectTimeout — 15.
• CachedOpenLimit — 10.
• AsynchronousCredits — 512.

Данные значения могут различаться в разных версиях Windows.

Выставить данные опции можно командой Set-SmbServerConfiguration:

Set-SmbServerConfiguration -Smb2CreditsMin 512 -Smb2CreditsMax 8192 -DurableHandleV2TimeoutInSeconds 180 -AutoDisconnectTimeout 15 -CachedOpenLimit 10 -AsynchronousCredits 512 -Confirm:$false

7. Для повышения производительности SmbDirect отключите подписывание и шифрование.

Вводим команду в Powershell:

Disable-NetAdapterRdma *

Настройка DNS

Как правило, на один сервер с ролью контроллера домена устанавливается DNS. В этом случае необходимо выполнить ряд действий.

1. Настройка перенаправления.

Если наш сервер DNS не может ответить на запрос, он должен передавать его на внешний сервер. Для настройки перенаправления открываем консоль управления сервером имен и кликаем правой кнопкой по названию сервера — выбираем Свойства:

Переходим на вкладку Сервер пересылки:

Кликаем по кнопке Изменить:

Вводим адреса серверов, на которые хотим переводить запросы:

* это могут быть любые DNS, например, глобальные от Google или Яндекса, а также серверы от Интернет-провайдера.

2. Удаление корневых ссылок

Если наш сервер не работает по Ipv6, стоит удалить корневые ссылки, которые работают по этой адресации. Для этого заходим в свойства нашего сервера DNS:

Переходим во вкладку Корневые ссылки:

Мы увидим список серверов имен — удаляем все с адресами IPv6.

3. Включение очистки

Чтобы в DNS не хранилось много ненужных записей, настраиваем автоматическую читску. Для этого открываем настройки сервера имен:

Переходим на вкладку Дополнительно:

Ставим галочку Разрешить автоматическое удаление устаревших записей и ставим количество дней, по прошествию которых считать запись устаревшей:

Готово.

Проверка корректности работы AD

После выполнения всех процедур по настройке сервера, ждем около 15 минут. После открываем командную строку от администратора и вводим:

dcdiag /a /q

Данная команда выполнит диагностику работы контроллера домена и отобразит все замечания. Если такие будут, необходимо самостоятельно найти решение в сети.

Читайте также

Дополнительные сведения по работе с контроллерами домена:

1. Как добавить компьютер с Windows к домену.

2. Понижение контроллера домена и удаление роли AD DS.

3. Как перенести групповые политики на новый контроллер домена.

4. Ручное удаление контроллера домена.

В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:

1) Основной контроллер домена, ОС — Windows Server 2012 R2 with GUI, сетевое имя: dc1.

2) Дополнительный контроллер домена (на случай выхода из строя основного), ОС — Windows Server 2012 R2 Core, сетевое имя: dc2.

3) Контроллер домена только для чтения (RODC), находящийся в филиале компании за vpn-каналом, ОС — Windows Server 2012 R2 Core, сетевое имя: dc3.

Данное руководство подойдет для внедрения доменной структуры в небольшой компании и пригодится начинающим администраторам Windows.

Шаг 1: Установка первого контроллера домена. Подготовка.

Перед запуском мастера ролей, серверу необходимо задать сетевое имя и настроить ip-адрес. Сетевое имя — dc1. Настройки TCP/IP укажем как на скриншоте ниже.

Запускаем диспетчер сервера — Server Manager -> Dashboard -> Configure this local server -> Add Role and Features Wizard. На первом экране мастер нам сообщает, что перед тем как продолжить, должен быть установлен сложный пароль администратора, в настройках сети указан статический ip-адрес, установлены  последние обновления. Если все это сделано, то нажимаем Next.

На следующем экране, выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен исключительно для установки роли удаленных рабочих столов.

На экране Select Destination server диспетчер предлагает нам, выбрать сервер из пула или расположенный на VHD-диске. Поскольку у нас пока только один локальный сервер, то нажимаем Next.

Выбираем Active Directory Domain Services (Доменные службы Active Directory), после чего появится окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features и затем Next.

Обычно, на серверах с AD DS имеет смысл, параллельно разворачивать DHCP Server, поэтому отмечаем его для установки так же. Соглашаемся с установкой компонент. Нажимаем Next.

На экране Features предлагается выбрать дополнительные компоненты. На контроллере домена ничего экстраординарного обычно не требуется, поэтому нажимаем Next.

На завершающих этапах подготовки к установке, на вкладке AD DS, мастер даст нам некоторые пояснения, а именно, в случае, если основной контроллер будет не доступен, то рекомендуется в одном домене держать как минимум два контроллера.

Службы Active Directory Domain Services требуют установленного в сети DNS-сервера. В случае если он не установлен, то роль DNS Server будет предложена для установки.

Так же, службы Active Directory Domain Services требуют установки дополнительных служб пространства имен, файловой и DFS репликации (DFS Namespace, DFS Replication, File Replication). Нажимаем Next.

На последнем экране Confirm installation selection (Подтверждение устанавливаемых компонентов), можно экспортировать конфигурацию в xml-фаил, который поможет быстро установить еще один сервер с идентичными настройками. Для этого потребуется на новом сервере, используя PowerShell, ввести следующую команду:

Install-WindowsFeature –ConfigurationFilePath
D:\ConfigurationFiles\DeploymentConfigTemplate.xml

или если требуется задать новое имя серверу, набираем:

Install-WindowsFeature –ConfigurationFilePath
D:\ConfigurationFiles\ADCSConfigFile.xml -ComputerName $servername

В конце нажимаем Install. Дожидаемся окончания процесса установки.

Шаг 2: Установка первого контроллера домена. Настройка служб Active Directory, DNS, DHCP.

Теперь нажимаем на значок треугольника с восклицательным знаком и выбираем сначала Promote this server to domain controller (Повысить этот сервер до контроллера домена). Позже запустим процесс развертывания DHCP-сервера.

Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Доступно, три варианта развертывания, если:

Add New Forest — создать новый корневой домен в новом лесу. Используется для новой «чистой» установки Active Directory; (например ‘test.ru’)

Add a new domain to an existing forest — добавить новый домен в существующем лесу, возможные варианты: Tree Domain —  корневой домен нового дерева в существующем лесу (например ‘test2.ru’ параллельно с ‘test.ru’) или Child Domain — дочерний домен в существующем лесу (например ‘corp.test.ru’)

Add a domain controller to an existing domain — добавить дополнительный контроллер домена в существующем домене, используется для резервного или филиального домена.

Выбираем вариант Add New Forest, задаем корневое имя домена, нажимаем Next.

На следующей вкладке можно задать функциональный уровень домена и леса (по умолчанию 2012R2), снять или отметить для установки DNS Server, и задать пароль для режима восстановления службы каталогов (DSRM). Укажем только пароль для DSRM и нажмем Далее.

На следующем шаге DNS Options мастер ругнется, на то, что делегирование для этого DNS-сервера создано не было, потому что не найдена дочерняя зона или запущенный DNS-сервер. Что не удивительно, т.к. роль DNS Server у нас создается в процессе. Нажимаем Next.

Далее в Addional Optional соглашаемся с NetBIOS именем, которое предлагает нам система, жмем Next.

В разделе Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.

На следующем этапе Review Options отображается сводная информация по настройке. Кнопка View Script, позволяет посмотреть Powershell скрипт, при помощи которого, в будущем можно будет произвести настройку доменных служб Active Directory. Нажимаем Next.

И наконец, на последнем этапе предварительных проверок, если видим надпись: «All prerequisite checks are passed successfully. Click «install» to begin installation.» (Все предварительные проверки пройдены успешно. Нажмите кнопку «установить», чтобы начать установку.), то нажимаем Install, дожидаемся окончания процесса установки.

После перезагрузки, снова заходим в Server Manager -> Dashboard и запускаем пиктограмму треугольника с восклицательным знаком и выбираем там Complete DHCP Configuration (Завершение конфигурации DHCP).

Запустится мастер по конфигурированию DHCP, который нам сообщит, что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.

На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.

Если видим, что Create Security Group — Done и Authorizing DHCP Server — Done, то процесс завершился успешно, нажимаем Close.

Теперь создадим обратную зону в DNS. Обратная зона, позволяет выполнить разрешение FQDN-имен хостов по их IP-адресам. В процессе добавления ролей AD и DNS по умолчанию не создаются, поскольку предполагается, что в сети может существовать другой DNS-сервер, контролирующий обратную зону. Поэтому создадим ее сами, для этого переходим в диспетчер DNS (DNS Manager), на вкладку Reverse Lookup Zones, кликаем правой кнопкой и выбираем  New Zone.

Запустится мастер DNS-зоны. Соглашаемся с параметрами по умолчанию, а именно нам предлагается создать основную зону которая будет хранится на этом сервере (Primary Zone) и будет интегрирована в Active Directory (Store the zone in Active Directory..). Нажимаем Next.

На следующем экране, предлагается выбрать как зона будет реплицироваться, обмениваться данными с другими зонами расположенными на контроллерах и DNS-серверах. Возможны следующие варианты:

Для всех DNS-серверов расположенных на контроллере домена в этом лесу (То all DNS servers running on domain controllers in this forest). Репликации во всем лесу Active Directory включая все деревья доменов.

Для всех DNS-серверов расположенных на контроллере домена в этом домене (То all DNS servers running on domain controllers in this domain). Репликация внутри текущего домена и его дочерних доменов.

Для всех контроллеров домена в этом домене (То all domain controllers in this domain). Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.

На все контроллеры домена в указанном разделе каталога приложений (To all domain controllers specified in the scope of this directory partition). Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога. Подробнее.

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS — это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

Теперь настроим службу DHCP. Запускаем оснастку.

Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

Далее укажем начальный и конечный адрес диапазона сети.

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.

Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу «DnsUpdateProxy». Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

Нажимаем Credentials и указываем там нашего пользователя DHCP.

Нажимаем ОК, перезапускаем службу.

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум второй и последующий контроллеры домена.

Устанавливаем контроллер домена на windows server 2012 r2, а именно сервер будет выполнять следующие роли:

1. Доменные службы Active Directory
2. DHCP-сервер
3. DNS-сервер

Исходные данные:

1. Сеть: 192.168.11.0/24
2. Адрес сервера: 192.168.11.11
3. Шлюз: 192.168.11.111

Первым делом дадим имя нашему серверу. По возможности советую называть согласно выполняемых задач и поэтому в этом случае остановился на имени «DC»

Следующим пунктом будет настройка сети. Советую взять за правило, что на серверах используется статическая настройка.

Открываем «Диспетчер серверов» и нажимаем «Добавить роли и компоненты»

Ставим галочку и нажимаем «Далее»

Выбираем «Установка ролей и компонентов» и нажимаем «Далее»

Указываем «Выберите сервер из пула серверов» выбираем нужный сервер, пока он единственный и нажимаем «Далее»

Выбираем «Доменные службы Active Directory» и нажимаем «Добавить компоненты».

Нажимаем «Далее»

Нажимаем «Далее»

Наживаем «Установить».

 По окончанию установки закрываем окно

Теперь необходимо повысить роль этого сервера до уровня контролера домена

Так как у нас это новый лес, выбираем «Добавить новый лес» и указываем имя нового корневого домена

Выбираем «Режим работы леса» в «Windows Server 2012 R2«, этим мы указываем, что у нас не будет доменов ниже windows server 2012

Выбираем «Режим работы домена» в «Windows Server 2012 R2» — указываем что функциональный уровень леса в новом домене будет на уровне windows server 2012.

Для нормальной работы доменных служб Active Directory необходим DNS сервер, о чем и сообщает мастер настройки

Открываем ещё один «Диспетчер серверов» и устанавливаем недостающие роли DNS и DHCP и опять

После установки возвращаемся в Active Directory и настройке NetBIOS

Указываем места хранения, я всегда оставляю по умолчанию

Нажав «Просмотр операций» (1) вы сможете сохранить файл сценария для установки аналогичного домена в автоматическом режиме из windows powersheel. Если вам это не интересно жмите «Далее» (2)

По завершению установки сервер попросится перезагрузиться !

Советую на контроллере домена в качестве ip адреса не указывать «127.0.0.1».

Завершаем настройку DHCP сервера

Нажимаем «Далее»

Модно завести отдельного пользователя, я же использовал локального администратора

По завершению операции нажимаем «Закрыть»

Нажимаем «Завершение настройки DHCP»

Если перепутали и нажали не то, настройки можно завершить из диспетчера серверов

В настройках DHCP создаём область

Указываем имя и описание области DHCP

Задаём начальный и конечный адрес сети, а также маску

Если необходимо, задаём исключения. Это адреса которые DHCP сервер не будет выдавать

Указываем срок действия аренды адреса

Выбираем «Да, настроить эти параметры сейчас» и нажимаем «Далее»

Указываем адрес нашего шлюза, это адрес сервера куда будут отсылаться все запросы не нашей сети

Указываем адрес DNS сервера

Если необходимо, указывайте WINS сервер. В нашем случае он не будет использоваться.

Активируем область

Теперь переходим к клиентскому компьютеру и попробуем автоматически получить сетевые настройки от DHCP-сервера.

Теперь возвращаемся на контроллер домена и настраиваем DNS

Создадим зону обратного просмотра

Выбираем «Основная зона»

выбираем «Для всех DNS-серверов, работающих на контроллерах домена в этом домене«

Выбираем «Зона обратного просмотра IPv4«

Указываем «Идентификатор сети»

Оставляем без изменений и нажимаем «Далее»

Отлично, у нас появилась зона обратного просмотра

Указываем сервера пересылки — это DNS — сервера к которым будет обращаться наш сервер, если не сможет разрешить запрос самостоятельно

Я обычно указываю гугловские адреса, но это не принципиально и можно использовать любые другие

Исправляем работу нашего DNS сервера, чтобы имя нашего сервера разрешалось в IP-адрес

Нажимаем «Разрешить в адрес»

Обновляем PTR-запись сервера

До обновления PTR

После обновления PTR

Тестируем DNS — сервер

На этом всё ! Теперь можно добавлять компьютеры в домен

Windows Server 2012 R2 предоставляет удобные инструменты для установки и настройки службы DNS (Domain Name System) и службы Active Directory (AD), которые являются важными компонентами в сетевой инфраструктуре организации. Знание процесса установки и правильной настройки этих служб позволит администраторам создать и управлять собственной доменной сетью с высокой степенью надежности и безопасности.

Служба DNS обеспечивает преобразование доменных имен в сетевые IP-адреса, что позволяет пользователям и компьютерам находить ресурсы в сети. Active Directory (AD) представляет собой сервис каталога, который хранит информацию о компьютерах, пользователях, группах и разрешениях доступа в сети. Установка и настройка DNS и AD на Windows Server 2012 R2 требует выполнения нескольких шагов, начиная с установки операционной системы и заканчивая настройкой домена и интеграцией служб.

Данное подробное руководство позволит вам ознакомиться с каждым шагом процесса установки и настройки DNS и AD на Windows Server 2012 R2. Вы узнаете, как установить операционную систему, как установить службы DNS и AD, а также как корректно настроить домен и интегрировать службы для обеспечения безопасной и стабильной сетевой инфраструктуры.

Чтобы установить и настроить DNS на Windows Server 2012 R2, выполните следующие шаги:

1. Откройте «Server Manager» и выберите «Add roles and features».
2. В мастере установки выберите «Role-based or feature-based installation» и нажмите «Next».
3. Выберите сервер, на котором будет установлен DNS, и нажмите «Next».
4. В списке «Server Roles» выберите «DNS Server» и нажмите «Next».
5. Необходимые компоненты будут установлены автоматически. Нажмите «Next».
6. Подтвердите выбор и нажмите «Install».

После установки DNS можно начинать настраивать его параметры:

1. Откройте «Server Manager» и выберите «Tools» -> «DNS».
2. В DNS Manager выберите свой сервер в левой панели.
3. Щелкните правой кнопкой мыши на сервере и выберите «Configure a DNS Server».
4. Выберите «Forwarders» и введите IP-адреса внешних DNS-серверов, которые будут использоваться в случае невозможности выполнить запрос на своем сервере.
5. Нажмите «Ok», чтобы сохранить изменения.

После установки и настройки DNS вы можете создавать зоны, добавлять записи и управлять настройками вашего DNS-сервера.

Шаг 1: Загрузка и установка Windows Server 2012 R2

Чтобы начать установку Windows Server 2012 R2, вам необходимо загрузить образ операционной системы с официального сайта Microsoft или использовать установочный диск.

Вам потребуется следующее для установки:

1. Компьютер или виртуальная машина — убедитесь, что ваше оборудование соответствует требованиям операционной системы.
2. Установочный носитель — образ операционной системы в виде ISO-файла или физический диск.
3. Лицензионный ключ — у вас должен быть действующий ключ для активации Windows Server 2012 R2.

После того, как у вас есть все необходимое, выполните следующие шаги:

1. Вставьте установочный носитель
   Если у вас есть физический диск, вставьте его в соответствующий привод компьютера. Если у вас есть образ ISO-файла, вам потребуется программа для монтирования образа (например, DAEMON Tools или WinCDEmu). Монтируйте образ ISO-файла с помощью выбранной программы.
2. Загрузите компьютер с установочного носителя
   Перезагрузите компьютер и убедитесь, что он загружается с вашего установочного носителя. Если это не происходит автоматически, возможно вам нужно будет изменить настройки загрузки в BIOS компьютера.
3. Выберите язык и настройки
   На первом экране установщика выберите язык, тип клавиатуры и часовой пояс в соответствии с вашими предпочтениями.
4. Примите лицензионное соглашение
   Ознакомьтесь с условиями лицензионного соглашения и, если вы согласны, примите их.
5. Выберите тип установки
   Выберите тип установки, который соответствует вашей ситуации. Обычно выбирают опцию «Пользовательский: установка новой копии Windows».
6. Выберите диск для установки
   Выберите диск, на который будет установлена операционная система. Если у вас есть несколько дисков, выберите нужный.
7. Дождитесь завершения установки
   Дождитесь, пока процесс установки завершится. Это может занять некоторое время в зависимости от вашего оборудования.
8. Настройте пароль администратора
   При первом входе в систему вам будет предложено задать пароль для учетной записи администратора. Убедитесь, что пароль надежный и запомните его.

Поздравляем! Теперь у вас установлена Windows Server 2012 R2 и вы готовы перейти к следующему шагу — установке и настройке DNS и AD.

Шаг 2: Установка роли DNS на сервере

Для того чтобы настроить DNS-сервер на Windows Server 2012 R2, необходимо установить соответствующую роль на сервере.

Для начала, откройте «Центр управления сервером» и выберите пункт «Менеджер сервера».

Далее, нажмите на кнопку «Добавить роли и компоненты» в правой части окна «Обзор». В появившемся окне нажмите кнопку «Далее».

Выберите «Установка ролей или компонентов только на одном сервере» и нажмите «Далее».

В списке ролей найдите и отметьте пункт «Службы доменных имен (DNS)» и нажмите кнопку «Далее».

В появившемся окне нажмите «Далее» еще раз и, если необходимо, настройте дополнительные параметры установки.

Затем нажмите «Установить» и дождитесь завершения установки роли DNS.

После установки роли DNS, необходимо настроить основные параметры сервера DNS, такие как зона первого уровня, зона второго уровня, поддомены и т.д. Эти настройки можно осуществить после установки роли DNS, запустив утилиту «Управление DNS-сервером».

Теперь вы готовы к выполнению следующего шага, который заключается в настройке AD на сервере.

Шаг 3: Настройка DNS-зоны и записей

После установки роли DNS и установки Actiive Directory (AD) на Windows Server 2012 R2 необходимо настроить DNS-зону и добавить необходимые записи.

В Windows Server 2012 R2 есть два типа зон DNS: прямые и обратные. Прямая зона DNS отображает соответствие имени хоста и его IP-адреса, тогда как обратная зона DNS отображает соответствие IP-адреса и имени хоста.

Для настройки DNS-зоны и записей выполните следующие шаги:

1. Откройте консоль Server Manager.
2. Выберите меню «Tools» и выберите «DNS» в разделе «Network Services».
3. Откроется DNS Manager. Щелкните правой кнопкой мыши на сервере и выберите «Configure a DNS Server…»
4. В мастере конфигурации DNS выберите «Create a forward lookup zone» и нажмите «Next».
5. Выберите «Primary zone» и нажмите «Next».
6. Введите имя зоны и нажмите «Next».
7. Выберите путь, где будет храниться файл зоны, и нажмите «Next».
8. Выберите «Allow only secure dynamic updates» и нажмите «Next».
9. В мастере зон DNS нажмите «Finish» для завершения создания зоны.
10. После завершения создания зоны, выберите созданную зону и щелкните правой кнопкой мыши, чтобы добавить записи.
11. В контекстном меню выберите «New Host (A or AAAA)…» для добавления DNS-записи имени хоста.
12. Введите имя хоста и его IP-адрес, затем нажмите «Add host» и «Done».
13. Повторите шаги 10-11 для добавления других DNS-записей, таких как Mail Exchanger (MX) или Name Server (NS).

После настройки DNS-зоны и добавления записей, сервер будет готов к использованию для разрешения имён и управления DNS-записями в сети.

Шаг 4: Проверка и тестирование настроек DNS

После завершения установки и настройки DNS на Windows Server 2012 R2 необходимо проверить, что настройки работают корректно. Ниже представлены основные шаги для проверки и тестирования настроек DNS.

1. Проверка прямого преобразования имен (DNS-префикса) в IP-адреса:

   • Откройте командную строку на компьютере, подключенном к локальной сети;
   • Введите команду nslookup <имя_узла> и нажмите Enter, где <имя_узла> — имя компьютера, которое вы хотите преобразовать в IP-адрес;
   • Убедитесь, что вывод команды включает правильный IP-адрес для указанного имени компьютера.

2. Проверка обратного преобразования IP-адреса в имя узла:

   • Откройте командную строку на компьютере, подключенном к локальной сети;
   • Введите команду nslookup <IP-адрес> и нажмите Enter, где <IP-адрес> — IP-адрес компьютера, который вы хотите преобразовать в имя узла;
   • Убедитесь, что вывод команды включает правильное имя узла для указанного IP-адреса.

3. Проверка резолюции имени узла с другого компьютера в локальной сети:

   • Откройте командную строку на другом компьютере в локальной сети;
   • Введите команду ping <имя_узла> и нажмите Enter, где <имя_узла> — имя компьютера, для которого вы хотите протестировать резолюцию имени узла;
   • Убедитесь, что компьютер успешно получает ответы от указанного имени узла, что указывает на успешную резолюцию имени узла.

Проверка и тестирование настроек DNS выполняется для убеждения в корректности конфигурации и возможности успешного разрешения имени узла в IP-адрес и наоборот. Если во время проверки возникают ошибки или проблемы с разрешением имен, следует проверить настройки DNS-сервера и внести необходимые изменения.

Windows Server 2012 R2 предоставляет возможность установки и настройки службы Active Directory (AD), которая позволяет управлять и аутентифицировать пользователями, группами и ресурсами в доменной сети.

Для установки и настройки AD на Windows Server 2012 R2 выполните следующие шаги:

1. Установите Windows Server 2012 R2 на сервер, следуя указаниям установщика.
2. После завершения установки войдите в систему под учетной записью администратора.
3. Откройте «Управление сервером» (Server Manager). Для этого щелкните правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Управление сервером».
4. На панели инструментов «Управления сервером» щелкните на «Управление» и выберите «Установка ролей и компонентов».
5. В мастере «Добавление ролей и компонентов» нажмите «Далее» и выберите сервер, на котором будет установлена роль AD. Затем нажмите «Далее».
6. Выберите «Службы домена Active Directory» в списке ролей сервера и нажмите «Далее».
7. В появившемся окне «Установка службы домена» нажмите «Далее» и подтвердите выбор «Инсталляция на отдельном сервере».
8. Выберите «Создать новый лес» и введите имя домена. Затем нажмите «Далее».
9. Выберите уровень функциональности и главный контроллер домена (если требуется) и нажмите «Далее».
10. Перейдите к настройке директории и учетной записи администратора. Введите пароль для учетной записи администратора и нажмите «Далее».
11. Подтвердите выбор установки всех необходимых компонентов и нажмите «Далее».
12. Дождитесь завершения установки и настройки AD. После этого сервер будет перезагружен.

После перезагрузки сервера будет создан новый домен и установлена роль AD. Теперь вы можете использовать Active Directory для управления пользователями, группами и ресурсами в вашей доменной сети.

Шаг 1: Установка роли Active Directory Domain Services

Перед началом установки роли Active Directory Domain Services убедитесь, что у вас есть сервер, на котором будет устанавливаться роль, и что у вас есть права администратора на этом сервере.

Чтобы установить роль Active Directory Domain Services на Windows Server 2012 R2, выполните следующие шаги:

1. Откройте PowerShell или Server Manager на сервере.
2. В Server Manager выберите «Add Roles and Features» (Добавить роли и компоненты).
3. В окне «Before you begin» (Перед началом работы) нажмите «Next» (Далее).
4. Выберите «Role-based or feature-based installation» (Установка роли или компонента на основе ролей) и нажмите «Next» (Далее).
5. Выберите сервер, на котором вы хотите установить роль, и нажмите «Next» (Далее).
6. Выберите «Active Directory Domain Services» (Active Directory службы домена) в списке ролей и нажмите «Next» (Далее).
7. Нажмите «Next» (Далее) на экране «Features» (Компоненты).
8. На экране «AD DS» (AD DS) прочтите информацию о роли и нажмите «Next» (Далее).
9. На экране «Confirmation» (Подтверждение) проверьте выбранные опции и нажмите «Install» (Установить).
10. После установки роли нажмите «Close» (Закрыть).

Поздравляю! Вы успешно установили роль Active Directory Domain Services на сервере! Теперь вы можете переходить к следующему шагу — настройке роли.

Шаг 2: Создание и настройка домена

После успешной установки Windows Server 2012 R2 на компьютер или сервер нужно создать и настроить домен, чтобы использовать Active Directory (AD).

Для этого выполните следующие шаги:

1. Запустите «Установка службы Active Directory» из «Центра администрирования сервером» или используйте команду «dcpromo» в командной строке.
2. В появившемся окне «Служба Active Directory» выберите «Создать новый лес Active Directory» и нажмите кнопку «ОК».
3. Затем введите имя домена и нажмите кнопку «Далее». Обратите внимание, что имя домена должно быть уникальным и зарегистрировано на DNS-сервере.
4. Выберите функциональный уровень леса Active Directory. Рекомендуется выбрать наивысший возможный уровень совместимости.
5. Задайте пароль для «Directory Services Restore Mode Administrator Account» и нажмите кнопку «Далее».
6. Выберите опции установки службы DNS (если служба DNS еще не установлена) и нажмите кнопку «Далее».
7. Затем проверьте конфигурацию установки Active Directory и нажмите кнопку «Установить».

После завершения процесса установки Active Directory необходимо перезагрузить сервер.

Теперь вы успешно создали и настроили домен на Windows Server 2012 R2. Это позволит вам использовать Active Directory для управления пользователями, группами и политиками безопасности в вашей сети.