В Windows Server 2016 появились новые довольно интересные новые функции, такие как временное членство в группах AD, Privileged Access Management и т.д. Постараюсь описать их более подробно в следующих статьях. В этой статье я покажу, как установить домен Active Directory в Windows Server 2016. Для установки AD, сервер по минимальным требованиям должен соответствовать следующим условиям:
Процессор :
- 64-битный процессор с частотой не менее 1,4 Ггц
- поддержка NX, DEP, CMPXCHG16b, LAHF/SAHF, PrefetchW, Second Level Address Translation (EPT или NPT)
Память
- не менее 512 Мб (для Server Core и Nano редакций), 2 Гб для версии Windows Server с GUI
- поддержка ECC (Error Correcting Code) или аналогов
Дисковый контроллер и требования к месту:
Дисковый контроллер для установки Windows Server 2016 должен быть совместим со спецификацией PCI Express. Windows Server 2016 не позволяет использовать диски ATA/PATA/IDE/EIDE для загрузки, хранения файла подкачки или дисков с данными
Минимальный размер раздела на систему: 32 Гб
Сетевой адаптер :
- сетевой адаптер Ethernet с пропускной способностью не менее 1 Гб/с
- Совместимость с архитектурой PCI Express
- поддержка PXE (-boot Execution Environment)
- Желательна (но не обязательно) поддержка сетевой отладки (KDNet)
В этом примере я использую виртуальную машину, запущенную на сервере VMWare ESXi, на которую и уставлена Windows Server 2016.
1) Войдите на сервер под локальным администраторов. На сервер кроме роли также будет установлена служба DNS . Изменим настройки сетевого интерфейса, указав в качестве первичного DNS сервера собственный IP адрес севера или адрес 127.0.0.1.
2) Затем откройте Server Manager, нажав на соответствующий значок или выполнив в консоли PowerShell команду .
3) В окне Server Manager нажмите
4) В окне мастера добавления ролей и компонентов нажмите Next .
5) В следующем окне нажмите Next
6) Т.к. установка выполняется на локальный сервер, в следующем окне оставьте переключатель в исходном положении и нажмите Next
7) В следующем окне в списке ролей выберите Active Directory Domain Services . В открывшемся окне появится список ассоциированных компонентов, которые должны быть установлены вместе с ролью ADDS. Нажмите кнопку Add features , а затем Next .
8) В списке компонентов уже должны быть отмечены требуемые для установки компоненты. Нажмите Next .
9) В следующем окне приведено небольшое описание роли AD DS . Нажмите Next.
10) Ознакомьтесь со списком выбранных для установки ролей и компонентов. Для начала установки нажмите кнопку Install .
11) На экране будет отображаться текущий статус процесса установки 
12) После окончания установки, нажмите на ссылку
13) Запустите мастер настройки Active Directory. В моем случае я устанавливаю новый лес AD. В том случае, если вы добавляете дополнительный контроллер домена в существующий домен, выберите соответствующую опцию. Я же выбираю опцию Add a new forest и указывают FQDN имя домена (test.net).
14) В следующем окне нужно указать функциональный уровень домена и леса AD. Я выбрал последнюю версию схемы AD – Windows Server 2016 . Кроме того, этот сервер будет выступать сервером DNS и являться Global Catalog. Также нужно указать пароль администратора для входа в DSRM режим.
15) Т.к. мой сервер будет первым DNS сервером в лесу, нет необходимости настраивать делегацию DNS. Поэтому просто нажмите Next .
16) NETBIOS имя домена оставим без изменений (TEST)
17) На следующем экране нужно указать путь к каталогам NTDS, SYSVOL и LOG . Мы оставим все пути по-умолчанию, предполагая, что все папки будут храниться в каталоге системного диска C:\Windows.
18) На следующем экране можно ознакомиться со списком выбранных настроек. Если все OK, нажмите Next, если нет – вернитесь назад и внесите изменения.
20) Запустится процесс установки контроллера домена
21) После окончания установки, сервер автоматически перезагрузится. Войдите на сервер под учетной записью администратора домена.
22) После входа, запустите привилегированную сессию powershell и выполните команду . Откроется окно центра администрирования Active Directory (Administrative Center). Можно начинать управлять ресурсами домена
23) С помощью следующих команду можно узнать текущий функциональный уровень домена и леса команд Get-ADDomain | fl Name,DomainMode и Get-ADForest | fl Name,ForestMode
Добрый день уважаемые читатели блога сайт, сегодня хочется рассказать в данной статье как установить контроллер домена. Когда то я тоже начинал мечтать об админстве, и на первой же работе я увидел, что же такое AD, осознал всю мощь MS:). Шло время я немного вырос в своих глазах в профессиональном плане и решил сделать тестовый стенд, о том как его делать будет отдельная статья, и первое что я решил попробовать поставить свой домен.
Когда вы уже поставили windows server 2008R2 все обновили настроили статику назвали свой компьютер как нужно (), у меня это будет для примера DC, то можно приступать.
Как установить active directory
Открываем Диспетчер сервера, это централизованный и краеугольный инструмент Microsoft по добавлению ролей, но все тоже самое можно сделать и через powershell. Нажимаем добавить роли
Откроется мастер со справочной информацией, жмем далее. Советую сразу поставить снизу галку, пропустить эту страницу, я сомневаюсь, что вы будите ее читать.
Выбираем Доменные службы Active Directory.
В следующем окне нас подробно познакомят c Active directory, жмем ДАлее
Жмем установить. Процесс быстрый буквально пару минут.
Видим, что Active Directory установилась успешно
После установки в диспетчере ролей мы видим ошибку и ее текст, мол введите в пуске dcpromo.exe и будут вам счастье, так и поступим.
Открываем пуск и пишем dcpromo.exe
Создаем новый домен в новом лесу.
Придумываем имя нашего домена, я выбрал contoso.com в целях тестового тестирования, вам же хочу посоветовать прочитать статью как правильно выбрать имя домена Active Directory,
Начнется проверка уникальности имени нового леса.
Выбираем режим работы домена windows server 2003 , я выбрал этот режим для того чтобы показать как поднимается режим работы, вы же выбирайте сразу 2008R2, чтобы получить все его преимущества о которых позже.
Выбираем уровень леса тоже windows server 2003 по тем же причинам.
Спросят про делегирование, жмем ДА.
В следующем окне, нам покажут и предложат папки размещения Базы данных.
Попросят придумать и ввести пароль Администратор, пароль должен включать в себя большую букву, маленькую и цифру и быть не менее 6 символов.
После перезагрузки посмотрим в диспетчере сервера какие события произошли и нет ли там ошибок.
Иногда может получиться что сеть видится не как доменная, а как неопознанная. Это происходит когда в настройках ip прописывается днс сервер вида 127.0.0.1. Его нужно сменить на нормальный вида 10.10.10.1.
После чего выключим и включим интерфейс, увидим что все ок и сеть определилась как доменная.
В данной статье мы рассмотрим установку контроллера Active Directory под Windows 2008 R2 с подготовкой и будем считать, что до нас служба доменных имен не была развернута. А наш контроллер домена будет первым. Все ниже перечисленные действия мы выполняем из-под Администратора.
Для начала необходимо установить IP адрес сетевому адаптеру. Для нашего случая мы задали адрес 192.168.1.5, маску подсети 255.255.255.0 и в качестве предпочитаемого DNS свой IP или 127.0.0.1. Эти настройки мы прописываем для сети со статическим IP адресом.
Переменнуем компьютер так, чтобы было понятно, что за зверь. Для этого: жмем правой кнопкой мыши по Мой компьютер –> Свойства –> Справа снизу жмем Изменить параметры –> на вкладке Имя компьютера кликаем на Изменить .
Перегружаем сервер.
Нажимаем ПУСК –> Администрирование –> Диспетчер сервера . Возле пункта Роли ищем кнопку Добавить роли , нажимаем. В появившемся окне нажимаем Далее , ставим галочку на Доменные службы Active Directory . Ждем окончания установки.
Ждем установки
Заходим ПУСК
–> Выполнить
. В появившемся окне пишем dcpromo.exe
.
Откроется установщик Active Directory.
Далее
Так как у нас производится установка AD с нуля, то необходимо создать новый лес
.
Далее впишем имя нашего домена.
На следующем этапе необходимо выбрать режим совместимости. Если в Вашем домене не будет других сервером кроме как Windows 2008 R2 – можно выбрать соответствующий режим.
На следующем шаге оставляем все по умолчанию.
Так как на нашем сервере DNS ранее не использовался, то и делегирование создано не было.
Следующим этапом необходимо выбрать папку для хранения системных файлов.
Устанавливаем пароль администрирования.
ВНИМАНИЕ! Пароль должен отвечать требованиям политики безопасности. По умолчанию, он должен содержать:
— Цифры;
— Спецсимволы;
— Буквы латинского алфавита (заглавные и прописные);
Следующий этап Далее.
Active Directory устанавливает и настраивает компоненты. Иногда это может занять некоторое время.
После чего, ОБЯЗАТЕЛЬНО
перегружаем сервер.
На следующем этапе необходимо установить и настроить DHCP-сервер
.
Заходим в Диспетчер сервера
, снова жмем Добавить роль
. Ставим галку на DHCP-сервер
. Ниже будут показаны только основные шаги.
Был произведен автоматический поиск активных сетевых адаптеров. IP добавлены автоматически. Если у вас динамические IP адреса ситуация будет совсем иная, начнут возникать проблемы).
Прописываем статический IP адрес .
IPv6 в нашей сети не используется, поэтому данная опция была отключена.
На этом этапе выбираем ту учетную запись, под которой выполнялась установка Active Directory. В будущем это позволит избежать непонятных ситуаций и путаниц.
Давно собирался написать несколько статей по работе с Active Directory . Недавно в комментариях попросили помочь с данным вопросом и я решил что время пришло:))
Говорю сразу, особо глубоких познаний в этой теме у меня нет, поэтому, ничего нового вы здесь не увидите. Но для начинающих админов-виндузятников данная статья может послужить хорошим отправительным «пинком» для начала изучения данной системы каталогов.
Сам я давно отошел от администрирования винды, но по долгу службы (а занимаюсь я в основном виртуализацией) приходится часто настраивать много всяких вспомогательных сервисов от Microsoft (всякие там AD, DNS, MSSQL и т.п..).
В общем хорош болтать, перейдем к делу.
Рассматривать будем службы каталогов Active Directory на основе Windows 2008 R2 как наиболее распространенную в наше время.
Итак для установки роли лезем в Server Manager -> Add Roles :
Собсна выбираем интересующую нас роль — Active Directory Domain Services :
Добавляем .NET Framework , если нужен:
Начинаем установку:
Процесс пошел:
Установка завершена успешно, видим только предупреждение о том, что отключены обновления, (кому это важно — можем включить), а так ничего критического — нажимаем «Close «:
Отметим галочку «Use advanced mode installation » мы же профессионалы 8-)
Читаем важное уведомление по поводу нового алгоритма шифрования и нажимаем «Next «:
Предлагаются варианты: подключить наш контроллер домена к существующему домену, создать новый домен в существующем лесу, или создать новый лес и новый домен. Я выбираю последнее, т.к. ни леса, ни домена у меня еще нет:
Вводим имя домена. Если ваш контроллер домена не будет смотреть «наружу» и привязываться к внешней доменной зоне, то здесь можно написать какую-то бредовую зону типа «.local» или «.lab», что я собственно и сделал:
Нет времени объяснять, просто пишем имя домена без зоны:))
Выбираем функциональность нашего домена. У меня домен новый, поэтому я выбрал самую новую версию что бы насладиться всеми замечательными возможностями 2008 R2 :
Какой же домен без DNS сервера:
Матюки по поводу отсутствия родительской зоны. В нашем случае это нормально, т.к. мы не интегрируемся с внешним DNS -сервером:
Пути оставляем стандартные:
Вводим пароль администратора домена, который лучше всего не забыть и сохранить в тайне:
Еще раз все проверяем и жмем «Next «:
Процесс пошел:
Установка завершена жмем «Finish «:
Если на данном сервере работают пользователи (не администраторы) посредством удаленных рабочих столов (RDP ), то после перезагрузки вас будет ожидать сюрприз — на контроллер домена, по-умолчанию имеют право подключаться только пользователи группы локальных администраторов и доменные админы.
О том, как это изменить я писал .
На сегодня все, в следующий четверг поговорим о том, как всем этим счастьем управлять и рассмотрим основные инструменты администрирования.
- Tutorial
Всем добрый день. Хотелось бы рассказать о установке и конфигурировании Windows Server 2012 R2 Essentials. Эта статья не является призывом к повсеместной установке Windows или пропагандой продуктов Microsoft. Хотелось бы просто рассказать об интересном продукте и возможно кого-то данный продукт заинтересует и пригодится в работе. Статью я старался писать для неподготовленного читателя, поэтому минимум терминологии и максимум обобщения некоторых понятий.
Немножко о редакции Essentials
Windows Server 2012 R2 Essentials – это одна из редакция серверной операционной системы от компании Microsoft. Однако имеет множество отличий от редакций Standard и Datacenter. Что же умеет Essentials:- Авторизация и аутентификация пользователей вашей сети (домен контроллер службы каталогов Active Directory)
- Файловое хранилище (роль файлового сервера)
- Удаленный доступ к корпоративной сети (VPN и DirectAccess сервер)
- Удаленный доступ к файловому хранилищу через Web-интерфейс (настроенный для этого IIS)
- Удаленный доступ к рабочем столам клиентских машин (шлюз удаленных рабочих столов)
- Резервное копирование клиентских машин (windows backup)
- Резервное копирование самого сервера (windows backup)
- Интеграция с облачными технологиями Microsoft (Office 365, Azure backup и т.д.)
- Консоль единой настройки Essentials, которая позволит настроить возможности описанные выше даже не подготовленному системному администратору.
Таким образом Essentials очень хорошо подходит для малых организаций, которые бы хотели пользоваться большинством современных решений для обеспечения безопасности корпоративной сети, хранения документов, удаленного доступа, возможно, почтовые системы. Для тех организаций, которые не хотели бы тратить много денег как на саму ИТ инфраструктуру, так и на работу высококвалифицированных системных администраторов.
Установка и первоначальная настройка
Установка данной ОС вполне стандартная процедура. Если вы хоть раз устанавливали Windows Vista /7/8/8.1, то вы без проблем установите и Essentials. Однако, если вы не устанавливали ни вышеперечисленных ОС ни любую из последних версий серверных ОС, то я рекомендую или довериться профессионалу или как минимум студенту второкурснику.Единственное, что я бы рекомендовал в момент установки, если у вас один жёсткий диск, разбить его на два раздела. Т.е. сделать так чтобы после установки в системе был второй уже отформатированный жесткий диск. Безусловно это только рекомендация, вы сможете подготовить второй диск в последующем, однако придется переносить некоторые папки.
После первого входа в свежеустановленную ОС запустится мастер «Настройка Windows Server Essentials», который поможет произвести первоначальную настройку.
На первом шаге вам необходимо задать настройки даты и времени.
На втором шаге вам необходимо заполнить на английском языке название компании. Имя домена и имя сервера будут в таком случая сгенерированы автоматически, хотя конечно вы можете поменять их.
На следующем шаге вам необходимо заполнить имя администратора и задать его пароль.
На последнем шаге необходимо указать способ обновления операционной системы и нажать настроить
После этого запустится процесс, который произведет все необходимые первоначальные настройки. Это займет около 30 минут и потребует несколько перезагрузок. За это время ОС успеет в частности установить необходимые роли и настроить сервер в качестве домен контроллера для нового домена.
Настройка
Продукт весьма большой и обширный, я хотел бы рассказать о самых базовых возможностях настройки, такие как создание пользователей, настройка удаленного доступа, создание папок, подключение клиентов.Вся настройка происходит в панели мониторинга, доступ к ней есть с рабочего стола, панели быстрого запуска и стартового экрана.
Создание пользователей
При первом запуске данной панели вам откроется вкладка установка, на которой можно выполнить ряд задач по настройке сервера.Я начну с добавления пользователей. Щелкаем ссылку для добавления учетных записей.
Выбираем уровень доступа к общим папкам, которые были созданы. На начальном этапе существует лишь одна – Организация. В дальнейшем вы можете менять разрешения на доступ как из свойств пользователя, так и из свойств папки.
Учетная запись создана. Жмем закрыть.
Подобным образом можно создать множество учетных записей. Безусловно, Вы можете пользоваться и привычным и знакомым для вас интерфейсом Active Directory Users and Computers, но в таком случае выдавать разрешения на доступ вам придется ручками.
Добавление папок сервера
Для добавление папок существует другой мастер, который поможет и создать папку на диске, и общий доступ для нее настроить, и разрешения выдать. Для его запуска необходимо щелкнуть соответствующую ссылку в панели мониторинга.
В открывшемся окне мастера вводим название. Можно изменить расположение и добавить описание. Нажимаем далее.
На следующей странице указываем необходимые разрешения. При необходимости делаем ее недоступной при удаленном доступе.
С последнего шага данного мастера можно запустить мастер настройки архивации. Нажимаем закрыть.
Настройка удаленного доступа
Один, наверное, из самых сложных этапов настройки Windows Server 2012R2 Essentials. Настройка так же происходит с помощью мастера. Мастер традиционно запускается из панели мониторинга.
Первое что Вам необходимо настроить это ваш маршрутизатор – об этом Вам сообщает мастер. На самом деле Вам необходимо настроить перенаправление портов на маршрутизаторе. Для этого у маршрутизатора должен быть «белый» IP адрес. А на самом сервере лучше настроить статический IP адрес. Перенаправить нужно следующие порты 80, 443, 1723, 987 на IP адрес вашего сервера. В общем то процедуру настройки может выполнить и сам мастер, если ваш маршрутизатор поддерживает UPnP. Я делал настройку ручками, поэтому пропустил данный шаг.
После этого открывается новый мастер настройки доменного имени. Нажимаем далее.
Мастер предложит ввести имя внешнего домена или создать новый. Для собственного домена Вам понадобится сертификат, поэтому рассмотрим тут вариант настройки с использованием домена Microsoft. Выбираем другое имя домена и щелкаем далее.
Рассмотрим вариант с доменом компании Microsoft.
Вводим имя домена и проверяем доступность, жмем настроить.
Ну что с именем домена разобрались. Продолжаем - далее.
Выбираем какие именно возможности будут доступны.
Выбираем будет ли доступен удаленный доступ для текущих пользователей.
Ну вот и все можете попробовать зайти на сайт wiseguy.remoteweaccess.com .
C данного веб сайта есть возможность доступа к общим папкам и доступ к рабочим столам пользователей.
Подключение рабочих станций
Если мы и на этот раз откроем панель мониторинга и перейдем на страницу подключение компьютеров, то увидим там лишь инструкцию к действию
Следуя инструкции на клиенте в браузере открываем страничку http://<Имя сервера>/connect. Нажимаем ссылку для скачивания.
Выбираем выполнить.
Принимаем лицензию и ждем.
Вводим имя пользователя и пароль пользователя данного компьютера или администратора. Я вводил учетку пользователя.
Перезагружаем сервер.
Выбираем, кто будет пользоваться компьютером.
Вводим описание компьютера.
Параметры архивации.
Ура! Готово.
Заходим на компьютер под учетной записью пользователя.
Можно работать. На рабочем столе уже есть все необходимые ярлыки.
Post scriptum
Безусловно Windows Server 2012R2 Essentials – это не панацея. Автоматизировано в ней многое, но не все. Тем не менее для малых организаций, это весьма интересное решение и его необходимо рассмотреть. В этой статье я рассказал лишь о самых базовых настройках Essentials. Если вы желаете чуть ближе познакомиться с продуктом, вы можете посмотреть мои видеодоклады на сайте Techdays.ru .Windows Server 2012 R2 Essentials первый взгляд: www.techdays.ru/videos/7351.html - тут можно внимательно изучить процесс инсталляции Essentials.
Windows Server 2012 R2 Essentials настройка: www.techdays.ru/videos/7370.html - рассмотрены настройка всех возможностей, показана настройка удаленного доступа для своего домена.
Windows Server 2012 R2 Essentials интеграция Office 365: www.techdays.ru/videos/7380.html - интеграция с облачным офисом от Microsoft.
