V předchozím příspěvku jsem vám poskytl koncepční přehled Active Directory.
V tomto příspěvku přiložíme prsty ke klávesám a začneme jej instalovat od začátku do systému Windows Server 2012 R2.
Budete se učit:
Jak přidat možnost Active Directory Domain Service na váš serverJak povýšit server na řadič doményZjistěte, jaké jsou běžné funkce a kdy je používatPojďme na to!
S příchodem systému Windows Server 2012 R2 společnost Microsoft skutečně zlepšila celý proces nastavení nového řadiče domény. (DC)
Microsoft také urychlil proces migrace. Pokud jste dříve měli starší řadič domény, museli jste k migraci domény a doménové struktury spustit Adprep.exe, aby se starší schéma (kostra databáze) spojilo s novějším schématem. vašeho DC. Windows 2012 vám žádné takové svinstvo nenaimportuje, protože adprep zpracovává za vás.
Začněme.
Pokračujte a přihlaste se k počítači se systémem Windows Server 2012 a otevřete Správce serveru kliknutím na malou ikonu vedle tlačítka Start v levém dolním rohu obrazovky.
Na liště nabídek vyberte Spravovat a poté vyberte Přidat role a funkce.
Měl by se objevit průvodce Než začnete.
Kliknutím na tlačítko Další spustíte představení.
Protože neprovádíme žádnou virtualizaci, zůstaňte u výchozí instalace založené na rolích nebo funkcích.
Nyní musíme vybrat, na který server chceme nainstalovat roli a funkci Active Directory.
Můžete jej nainstalovat na více serverů současně. Máme však pouze jeden server, takže stačí kliknout na tlačítko Další.
Na obrazovce Vybrat role serveru vyberte Služby domény Active Directory.
Vyberte Přidat funkce.
Nyní můžete dále projít sekcemi Funkce, AD DS a Potvrzení.
Dokončete průvodce a vezměte si šálek Kirkland's Signature Green Tea, protože nyní instalujete AD jako profesionál.
Výborně.
Nyní zpět ve Správci serveru si v levém podokně všimnete nové role služby AD DS.
Potom v pravém podokně klikněte na odkaz Více… ve výstraze, která říká Konfigurace je vyžadována pro služby Active Directory Domain Services na MyServerName.
Kdyby bylo získání povýšení ve skutečné práci tak snadné jako kliknutí na tlačítko…
Stačí kliknout na Povýšit tento server na řadič domény.
Vzhledem k tomu, že vytváříme první a jedinou doménu v naší společnosti, můžeme vybrat Přidat novou doménu.
Pamatujte, že jedna doména je také doménová struktura…
Kořenový název domény není nic jiného než název vaší super kreativní domény: smocksocks.com
Na další obrazovce se může zobrazit následující chyba:
Delegování pro tento server DNS nelze vytvořit, protože nelze nalézt autoritativní nadřazenou zónu nebo na něm není spuštěn server DNS systému Windows. Pokud provádíte integraci s existující infrastrukturou DNS, měli byste ručně vytvořit delegování na tento server DNS v nadřazené zóně. k zajištění spolehlivého překladu názvů mimo doménu „název-domény.com“. V opačném případě není vyžadována žádná akce.To je jen velkolepý způsob, jak Microsoft říci:
Ahoj, kde je server DNS? Nemohu žádný najít, takže vás na to upozorním. Ale hej, pokud z tohoto serveru uděláte DNS server, mou malou chybu ignorujte.
Klikněte na OK a pokračujte vpřed.
Další obrazovka vám nabízí další možnosti pro váš řadič domény. Nejprve se zaměřme na horní polovinu obrazovky:
Uvidíte dvě rozbalovací políčka vedle úrovně funkčnosti doménové struktury a funkční úrovně domény.
Pokud bychom přidali služby Active Directory Domain Services do existující starší domény, mohli bychom přejít na nižší verzi našeho webu Windows Server 2012, aby se shodoval se starší sadou funkcí. Jinými slovy, mohli bychom ručně nastavit úroveň kompatibility doménovou strukturu nebo doménu odstraněním funkcí na základě vybrané funkční úrovně.
To se nás netýká.
V rozevíracím seznamu úrovní funkčnosti jsou tři části, které vám umožňují určit možnosti vašeho řadiče domény:
Server systému názvů domén (DNS) Globální katalog (GC) řadič domény pouze pro čtení (RODC)Nejsem si jistý, proč je nastavení DNS volitelné, protože služba Active Directory spoléhá na DNS při překladu názvů. Toto rozhodně ponechte zaškrtnuté.
Globální katalog je také další vhodné nechat zaškrtnuté, protože umožňuje uživatelům vyhledávat objekty ze všech domén ve vaší doménové struktuře. Představte si to jako „žluté stránky“ služby Active Directory.
Konečná možnost řadiče domény je opravdu zajímavá.
Pokud povolíte řadič domény pouze pro čtení (RODC), tento řadič domény zakáže komukoli vytvářet nebo upravovat účty na serveru. Někdy je rozumné toto použít v menších pobočkách, kde máte méně než ideální úrovně fyzického zabezpečení. Pokud rozhořčený zaměstnanec získal fyzický přístup k RODC, nemohl by upravit žádný z vašich objektů. Omezuje to rozsah poškození.
Když už mluvíme o poškození, co se stane, když váš řadič domény selže?Jak byste se přihlásili do vašeho DC, když DC nefunguje?
Právě o tom je heslo režimu obnovení adresářových služeb (DSRM). Umožní vám přihlásit se k vašemu řadiči domény pomocí účtu mimo službu Active Directory, abyste mohli odstraňovat problémy. Ujistěte se, že si zde nastavíte silné heslo, protože je to vaše záchranný člun pro případ nouze.
Nyní klikejte na další, dokud se nedostanete do sekce Cesty. Zde najdete umístění složky pro databázi Active Directory, protokoly a veřejné soubory, které se replikují (složka SYSVOL)
V minulosti dávalo smysl instalovat databázi a protokoly na samostatný pevný disk; to však již není kritické kvůli nedávným vylepšením hardwaru a softwaru. Většina správců systému může tyto výchozí hodnoty bezpečně ponechat nedotčené.
Kliknutím na tlačítko Další zkontrolujte možnosti a poté vyberte tlačítko Zobrazit skript v pravém dolním rohu obrazovky.
Na obrazovku vyskočí textový soubor se spoustou skvělých kódů.
Hádejte, co to dělá?
Ano.
Pokud tento soubor uložíte jako skript prostředí PowerShell (například Soubor, Uložit jako, „ADDSSetup.ps1“), můžete jej spustit z jiných serverů ve vašem prostředí a rychle tak projít procesem nastavení. Skript PowerShell je v podstatě stručný textový způsob, jak provést všechny věci, které jsme právě provedli v Průvodci konfigurací služby Active Directory Domain Services.
Pěkné.
Dobře, nyní klikněte na Další, abyste průvodce vyzvali k automatickému provedení kontroly předpokladů. Před pokračováním v instalaci se Windows ujistí, že je vše na správném místě.
V poli Zobrazit výsledky vždy uvidíte sbírku upozornění. Většina z nich je neškodná, ale přesto byste měli každému upozornění rozumět. Jedno z upozornění níže mi například říká, že můj server nemá statickou IP adresu a asi bych to měl opravit.
Proboha, kdo používá statickou IP pro server? Restartování serveru může mít za následek jinou IP adresu, která ztíží ověření pracovních stanic!
Každopádně klikněte na Instalovat a počkejte.
Po několika minutách se server restartuje.
Vraťme se na chvíli zpět do Správce serveru. Chci vám ukázat něco skvělého.
Klikněte na Nástroje v pravém horním rohu a přejděte myší na DNS.
Správce DNS přeskočí na obrazovku a čeká na vaše příkazy.
Rozbalte levý panel. Chci vám ukázat záznam DNS pro náš nový řadič domény.
Název hostitele mého doménového řadiče je FBVDC1. Takže když rozbalím DNS > FBVDC1 Vidím spoustu možností. Jedna z nich se nazývá Forward Lookup Zones.
Zóna je pouze důvěryhodné, autoritativní místo pro informace DNS. V tomto příkladu část Zóny dopředného vyhledávání zobrazuje IP adresu, která je mapována na naši doménu.
Například můžete skutečně vidět záznam hostitele pro objekt, který jsme právě vytvořili. To znamená, že pokud napíšeme fbvdc1.smoccksocks.com do naší sítě LAN, přenesou naše uživatele na 10.0.2.15.
Chtěl jsem vám to opravdu rychle ukázat, abyste si udělali představu, jak funguje rozlišení jmen.
V dalším a posledním článku naší třídílné série vám ukážu, jak vytvořit svou první organizační jednotku a uživatele. Pak vám ukážu, jak připojit PC k doméně.
Stáváte se odborníkem!
Pokračujme v tom. Vraťte se zítra.
PREV: Nejčastější dotazy k virtuální síti Azure | Dokumenty Microsoft
NEXT: Nastavení virtuálního hostitele založeného na IP a portu Apache