В предишната публикация ви дадох концептуален преглед на Active Directory.
В тази публикация ще сложим пръстите си на клавишите и всъщност ще започнем да го инсталираме от нулата в Windows Server 2012 R2.
Ще научите:
Как да добавите опцията за услуга за домейн на Active Directory на вашия сървър Как да популяризирате сървъра до контролер на домейн Научете какво ще кажете за общите функции и кога да ги използватеНека да направим това!
С появата на Windows Server 2012 R2 Microsoft наистина подобри целия процес на настройка на нов домейн контролер. (DC)
Microsoft също ускори процеса на мигриране. Преди, ако сте имали по-стар домейн контролер, трябваше да стартирате Adprep.exe, за да мигрирате домейна и гората, така че по-старата схема (скелетът на базата данни) да се свърже с по-новата схема на вашия DC. Windows 2012 няма да ви натовари с подобни глупости, защото обработва adprep вместо вас.
Да започваме.
Продължете и влезте във вашата машина с Windows Server 2012 и отворете Server Manager, като щракнете върху малката икона до бутона "Старт" в долния ляв ъгъл на екрана.
Изберете Управление от лентата с менюта и след това изберете Добавяне на роли и функции.
Съветникът Преди да започнете трябва да изскочи.
Щракнете върху Напред, за да стартирате шоуто.
Тъй като не извършваме виртуализация, просто се придържайте към инсталацията, базирана на роли или функции по подразбиране.
Сега трябва да изберем на кой сървър искаме да инсталираме ролята и функцията на Active Directory.
Можете да го инсталирате на няколко сървъра едновременно. Ние обаче имаме само един сървър, така че просто щракнете върху Напред.
В екрана Избор на сървърни роли изберете Услуги за домейн на Active Directory.
Изберете Добавяне на функции.
Сега можете да преминете през разделите „Функции“, „AD DS“ и „Потвърждение“.
Завършете съветника и вземете чаша зелен чай на Kirkland, защото сега инсталирате AD като професионалист.
Отлично.
Сега обратно в мениджъра на сървъра ще забележите лъскава нова AD DS роля, която виси в левия панел.
След това в десния панел щракнете върху връзката Още… в предупреждението, което гласи Необходима е конфигурация за домейн услуги на Active Directory на MyServerName.
Ако само получаването на повишение в реалната ви работа беше толкова лесно, колкото щракването на бутон...
Просто щракнете върху Повишаване на този сървър до домейн контролер.
Тъй като създаваме първия и единствен домейн в нашата компания, можем да изберем Добавяне на нова гора.
Не забравяйте, че един домейн също е гора...
Основното име на домейн не е нищо друго освен вашето супер креативно име на домейн: smocksocks.com
На следващия екран може да получите следната грешка:
Делегиране за този DNS сървър не може да бъде създадено, тъй като авторитетната родителска зона не може да бъде намерена или не изпълнява Windows DNS сървър. Ако интегрирате със съществуваща DNS инфраструктура, трябва ръчно да създадете делегиране към този DNS сървър в родителската зона за да се осигури надеждно разпознаване на имена извън домейна "domain-name.com". В противен случай не е необходимо действие.Това е само високопарният начин на Microsoft да каже:
Хей, къде е DNS сървърът? Не мога да намеря такъв, така че ще ви предупредя за това. Но хей, ако смятате да направите този сървър DNS сървър, просто игнорирайте малката ми грешка.
Щракнете върху OK и продължете напред.
Следващият екран ви дава повече опции за вашия домейн контролер. Нека първо се фокусираме върху горната половина на екрана:
Ще видите две падащи полета до функционално ниво на гората и функционално ниво на домейна.
Ако добавяхме домейнови услуги на Active Directory към съществуващ, по-стар домейн, тогава бихме могли да понижим нашия сайт на Windows Server 2012, така че да може да съответства на по-стария набор от функции. С други думи, бихме могли ръчно да зададем нивото на съвместимост на гората или домейна чрез премахване на функции въз основа на избраното функционално ниво.
Това не се отнася за нас.
Под падащите полета на функционалните нива има три раздела, които ви позволяват да посочите възможностите на вашия домейн контролер:
Сървър на системата за имена на домейни (DNS) Глобален каталог (GC) Контролер на домейни само за четене (RODC)Не съм много сигурен защо настройката на DNS не е задължителна, защото Active Directory разчита на DNS за разрешаване на имена. Определено оставете тази отметната.
Глобалният каталог също е друг добър, който да оставите отметнат, защото позволява на потребителите да търсят обекти от всеки домейн във вашата гора. Мислете за него като за „Жълтите страници“ на Active Directory.
Последната опция за домейн контролер е наистина интересна.
Ако активирате домейн контролер само за четене (RODC), този домейн контролер ще забрани на всеки да създава или променя акаунти на сървъра. Понякога е разумно да използвате това в по-малки клонове, където имате по-ниски от идеалните нива на физическа сигурност. Ако разгневен служител получи физически достъп до RODC, той не може да промени нито един от вашите обекти. Това ограничава обхвата на щетите.
Говорейки за повреда, какво се случва, ако вашият контролер на домейн се повреди? Как ще влезете във вашия DC, ако DC не работи?
За това се отнася паролата за режим на възстановяване на справочните услуги (DSRM). Тя ви позволява да влизате във вашия DC с акаунт, който не е в Active Directory, за да можете да отстранявате проблеми. Уверете се, че сте задали силна парола тук, защото това е вашата спасителна лодка за спешни случаи.
Сега продължете да щраквате напред, докато стигнете до секцията Пътища. Тук ще намерите местоположението на папката за базата данни на Active Directory, регистрационните файлове и публичните файлове, които се репликират (папката SYSVOL)
В миналото имаше смисъл базата данни и регистрационните файлове да се инсталират на отделен твърд диск; това обаче вече не е критично поради последните хардуерни и софтуерни подобрения. Повечето системни администратори могат безопасно да оставят тези настройки по подразбиране недокоснати.
Щракнете върху „Напред“, за да прегледате вашите опции и след това изберете бутона „Преглед на скрипт“ в долния десен ъгъл на екрана.
Текстов файл ще изскочи на екрана с куп готин код.
Познайте какво прави това?
Да.
Ако запишете този файл като скрипт на PowerShell (например File, Save As, „ADDSSetup.ps1“), можете да го изпълните от други сървъри във вашата среда, за да преминете бързо през процеса на настройка. Скриптът PowerShell е основно кратък базиран на текст начин да направим всички неща, които току-що направихме в съветника за конфигуриране на услугите на домейни на Active Directory.
Хубаво.
Добре, сега щракнете върху Напред, за да насърчите съветника автоматично да извърши проверка на предпоставките. Windows ще се увери, че всичко е на правилното място, преди да продължи с инсталацията.
Неизменно ще виждате колекция от сигнали в полето Преглед на резултатите. Повечето от тях са доброкачествени, но все пак трябва да разберете всяко предупреждение. Например, един от сигналите по-долу ми казва, че сървърът ми няма статичен IP адрес и вероятно трябва да го поправя.
О, кой използва статичен IP за сървър? Рестартирането на сървъра може да доведе до различен IP адрес, което затруднява удостоверяването на работните станции!
Както и да е, щракнете върху Инсталиране и изчакайте.
След няколко минути сървърът ще се рестартира.
Нека се върнем за момент в сървърния мениджър. Искам да ви покажа нещо страхотно.
Щракнете върху Инструменти в горния десен ъгъл и задръжте надолу върху DNS.
DNS мениджърът ще скочи на екрана в очакване на вашите команди.
Разширете левия панел. Искам да ви покажа DNS записа за нашия нов домейн контролер.
Името на хоста на моя домейн контролер е FBVDC1. Така че, когато разширя DNS > FBVDC1 Виждам куп опции. Една от тях се нарича Зони за търсене напред.
Зоната е просто надеждно, авторитетно място за DNS информация. В този пример секцията Зони за напредващо търсене показва IP адреса, който се свързва с нашия домейн.
Например, можете действително да видите Host записа за обекта, който току-що създадохме. Това означава, че ако напишем fbvdc1.smocksocks.com в нашата LAN, това ще отведе нашите потребители до 10.0.2.15.
Просто исках да ви покажа това много бързо, за да можете да добиете представа как работи разрешаването на имена.
В следващата и последна статия от нашата серия от три части ще ви покажа как да създадете първата си организационна единица и потребител. След това ще ви покажа как да присъедините компютър към домейна.
Вие ставате експерт!
Нека продължим. Проверете отново утре.
PREV: ЧЗВ за виртуална мрежа Azure | Microsoft Docs
NEXT: Настройване на IP и базиран на порт виртуален хост Apache