Windows Server 2012. Установка и настройка Active Directory

Written by administrat0r. Posted in windows

В этой статье я хотел бы рассказать об установке и настройке роли ActiveDirectory на компьютере под управлением Windows Server 2012. После установки роли Active Directory на нём настраивается контроллер домена, после чего с помощью этого сервера можно будет централизованно управлять сетевой инфраструктурой. С помощью групповых политик домена, вы сможете управлять пользователями вашей сети (открывать или блокировать им доступ к определённым ресурсам сети, хранить данные о каждом пользователе, такие как Ф.И.О, адреса, телефоны, почту и многое другое). Так же вы сможете развёртывать приложения на всех или только на группе компьютеров входящих в ваш домен. Подготовка Для начала давайте подготовим Windows Server 2012 к установке роли Active Directory (далее AD). Нам необходимо сделать две вещи:
  • Задать осмысленное имя компьютеру.
Для этого откроем “свойства системы”, нажимаем (Пуск -> Панель управления –> Система) после чего жмём “Изменить параметры”. Далее в “свойствах системы” на вкладке “Имя компьютера” нажимаем кнопку “Изменить” после чего в поле “Имя компьютера” задаём компьютеру имя и нажимаем “OK”. Нам покажут предупреждение, что компьютер необходимо перезагрузить, жмём “OK”. В “Свойствах системы” нажимаем “Закрыть” после чего нам предлагают перезагрузить компьютер прямо сейчас или сделать это позже, выбираем первый вариант и компьютер перезагружается. В этом примере я задал компьютеру имя Server. Windows Server 2012. Имя компьютера
  • Задать статический IP адрес и маску подсети сетевому адаптеру конечно если ваш сетевой адаптер не получает настройки по DHCP.
Открываем “свойства сетевого подключения” (Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера), далее вызываем контекстное меню сетевого подключения и нажимаем “свойства”. Далее на вкладке “Сеть” выделяем “Протокол интернета версии 4 (TCP/IPv4)” и нажимаем “свойства”. Задаём IP адрес и маску подсети, после чего нажимаем “OK” а затем “Закрыть”. На этом подготовку компьютера к установке роли AD можно считать законченной. В этом примере я задал следующие параметры, IP адрес: 192.168.0.1 маска подсети: 255.255.255.0 Windows Server 2012. Параметры сетевого подключения.   Установка роли После того как компьютер будет подготовлен приступаем к установке роли AD на компьютер. Для этого откроем “Диспетчер сервера” (Пуск -> Диспетчер сервера). Выберем “Добавить роли и компоненты” тем самым запустив “Мастер добавления ролей и компонентов”, в этот статье я кратко опишу добавление роли AD на сервер, т.к. роли добавляются одинаково, подробную установку вы можете прочитать в моих прошлых статьях про установку роли NAT и DHCP. 1. На первом этапе мастер напоминает, что необходимо сделать перед началом добавления роли на сервер, нажимаем ”Далее”. 2. На втором шаге выбираем “Установка ролей и компонентов” и нажимаем “Далее”. 3. Выбираем сервер, на который мы установим роль AD и снова нажимаем ” Далее ”. 4. На этом шаге нам нужно выбрать роль, которую мы хотим добавить на компьютер, отмечаем галочкой “Доменные службы Active Directory”, после чего нам предлагают добавить «службы ролей или компоненты» необходимые для установки роли AD, нажимаем кнопку “Добавить компоненты” после чего жмём “Далее”. 5. На следующем шаге нам предлагают выбрать компоненты, просто жмём “Далее” 6. Попадаем на описание роли “Доменных служб Active Directory”. Читаем описание роли и пункт “на что обратить внимание” после чего нажимаем “Далее” 7. На этом шаге нам показывают, что будет добавлено на сервер, проверяем, если всё верно нажимаем “Установить”. 8. После того как установка будет завершена нажимает “Закрыть”   Настройка доменных служб Active Directory После того как роль была добавлена на сервер, необходимо настроить доменную службу, для этого запустим “Мастер настройки доменных служб Active Directory” (нажмите на иконку “уведомления” в “диспетчере сервера” после чего нажмите “Повысить роль этого сервера до уровня контроллера домена”) 1. Выберете пункт “Добавить новый лес”, после этого впишите имя домена в поле “Имя корневого домена” и нажмите “Далее” Windows Server 2012. Мастер настройки доменных служб Active Directory (конфигурация развёртывания) 2. На этом шаге мы можем изменить совместимость режима работы леса и корневого домена. В моём примере я оставляю эти настройки по умолчанию (в режиме работы “Windows Server 2012 RC”). Так же мы может отключить возможность DNS-сервера, я оставил эту настройку включенной. В низу нам необходимо задать пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога), задаём пароль и нажимаем “Далее” Windows Server 2012. Мастер настройки доменных служб Active Directory (параметры контроллера домена) 3. На этом шаге мастер предупреждает нас о том, что делегирование для этого DNS-сервера создано не было, нажимаем “Далее”. Windows Server 2012. Мастер настройки доменных служб Active Directory (параметры DNS) 4. Здесь мы можем изменить NetBIOS имя, которое было присвоено нашему домену, изменяем, если требуется и нажимаем “Далее”. Windows Server 2012. Мастер настройки доменных служб Active Directory (дополнительные параметры, имя домена NetBIOS) 5. Теперь мы можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Если требуется, измените, пути расположения каталогов и нажимайте «Далее». Windows Server 2012. Мастер настройки доменных служб Active Directory (пути к базе данных AD DS, файлам журналов и папке SYSVOL) 6. В этом шаге, можно проверить какие параметры мы выбрали, так же мы можем посмотреть “Сценарий Windows PowerShell для развертывания AD DS ”. Нажимаем “Далее”.Windows Server 2012. Мастер настройки доменных служб Active Directory (просмотр выбранных параметров) 7. Мастер проверит, соблюдены ли предварительные требования, после чего покажет нам отчёт. Одно из обязательных требований, это установленный пароль на профиль локального администратора. В самом низу мы может прочитать предупреждение мастера о том что после того как будет нажата кнопка “Установить” уровень сервера будет повышен до контроллера домена, после чего произойдёт автоматическая перезагрузка. Нажимаем “Установить”. Windows Server 2012. Мастер настройки доменных служб Active Directory (проверка предварительных требований) 8. После того как установка будет закончена, компьютер перезагрузится, вы совершите первый ввод компьютера в ваш домен. Для этого введите логин и пароль администратора домена и нажмите “Войти”. Windows Server 2012. Мастер настройки доменных служб Active Directory (процесс установки роли Active Directory)   Добавление нового пользователя Теперь нам нужно добавить новых пользователей в наш домен, ниже я покажу, как создать новое подразделение и добавить в него пользователя, после чего можно присоединить компьютер к домену и войти в домен под новым пользователем. 1. Для начала работы запустите оснастку “Пользователи и компьютеры Active Directory” (Пуск -> Панель управления -> Администрирование -> Пользователи и компьютеры Active Directory) Windows Server 2012. Оснастка Active Directory - пользователи и компьютеры 2. Выделите название домена и вызовите контекстное меню, в котором выбираете (Создать -> Подразделение). После чего вводим имя для подразделения, а так же можем снять защиту контейнера от случайного удаления, эту опцию я оставил включённой. Нажимаем “OK”. Подразделения служат для того что бы удобно управлять группами компьютеров пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компании, в которой они работают (Бухгалтерия, отдел кадров, менеджеры и т.д.) Windows Server 2012. Оснастка Active Directory - пользователи и компьютеры (создание нового объекта "подразделение")Windows Server 2012. Оснастка Active Directory - пользователи и компьютеры (наименование нового подразделения) 3. Теперь создадим нового пользователя в контейнере. Выделяем контейнер “Пользователи”, вызываем контекстное меню и выбираем в нём (Создать -> Пользователь). Заполняем поля имя и фамилия, в полях имя входа пользователя указываем логин пользователя, под которым он будет заходить в домен. Логин может содержать точки, например: Ivan.Ivanov Windows Server 2012. Оснастка Active Directory - пользователи и компьютеры (создание нового объекта "пользователь")Windows Server 2012. Оснастка Active Directory - пользователи и компьютеры (данные нового пользователя)  Нажмите кнопку “Далее”, задайте пароль для пользователя (пароль должен соответствовать политике безопасности Windows), так же доступны четыре опции для изменения
  • Требовать смены пароля пользователя при следующем входе в систему – при входе пользователя в ваш домен ему будет предложено сменить пароль.
  • Запретить смену пароля пользователем – отключает возможность смены пароля пользователем
  • Срок действия пароля не ограничен – пароль можно не менять сколь угодно долго
  • Отключить учётную запись – делает учётную запись пользователя не активной
Нажмите “Далее”, затем нажмите “Готово”. 4. Выделите созданного пользователя и в контекстном меню выберите “Свойства”. Перейдите на вкладку “Учётная запись” и поставьте галку напротив “Разблокировать учётную запись”, после чего нажмите “Применить”, затем «OK». Windows Server 2012. Оснастка Active Directory - пользователи и компьютеры (свойства пользователя)   Ввод компьютера в домен После проделанных манипуляций мы создали новое подразделение “Пользователи” и добавили в него нового пользователя “Иван Иванов” с логином “Ivan.Ivanov”.Давайте теперь введём компьютер в наш домен и попробуем залогиниться под новым пользователем. Для этого на компьютере пользователя делаем следующие: 1. Укажем на клиентском компьютере DNS-адрес. Для этого открывает “Свойства сетевого подключения” (Пуск –> Панель управления –> Центр управления сетями и общим доступом -> Изменить параметры адаптера), вызываем контекстное меню подключения и нажимаем «Свойства». После чего выделяем “Протокол Интернета версии 4 (TCP/IPv4)”, нажимаем “Свойства”, выбираем “Использовать следующие адреса DNS-серверов” и в поле “Предпочитаемый DNS -сервер” указываем адрес вашего DNS-сервера. Windows 7. Свойства протокола интернета версии 4 (TCP/IPv4) 2. Открываем “Свойства системы” (Пуск -> Панель управления -> Система -> Изменить параметры), нажимаем кнопку “Изменить» Windows 7. Свойства системы (ввод компьютера в домен) 3. Выберете “Компьютер является членом домена” и введите имя домена. Нажмите “OK”, после чего введите имя пользователя и пароль созданного вами пользователя, нажмите “OK” после чего выскочит приветствие “Добро пожаловать в домен”. Подтверждаем “OK” и видим предупреждение, что компьютер необходимо перезагрузить, жмём “OK” потом “Закрыть” затем “Перезагрузить сейчас”.
Windows 7. Изменение имени компьютера или домена    Windows 7. Имя пользовате и пароль для входа в домен.
Windows 7. Добро пожаловать в домен!
4. После того как клиентская машина будет перезагружена, вводим в поле «Пользователь» имя домена/Ivan.Ivanov в поле пароль указываем пароль от учётной записи пользователя. Нажимаем “Войти”. Windows 7. Клиентский компьютер в домене   Заключение В этой статье была описана установка роли доменных служб Active Directory, развёртка домена, создание подразделения и добавление нового пользователя. А так же ввод компьютера в домен.

Теги: , ,

Трекбэк с Вашего сайта.

Комментарии (0)

  • administrat0r

    |

    [quote name=»Николай»]Благодарю за статью! 🙂 А как теперь настроить DNS?[/quote]
    Ждите продолжение в следующих статьях =)

    Ответить

  • Николай

    |

    Следуя рекомендациям статьи, без проблем добавил в домен машину с WinХP Pro. А вот с добавлением в домен машины Win 7 Pro SP1 — проблемы: «Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что настройки данного клиента обеспечивают доступ к DNS-серверу, который может выполнять разрешение DNS-имен в целевом домене.»
    Как быть? мыло для связи nikolkahot@mail.ru

    Ответить

  • administrat0r

    |

    [quote name=»Николай»]Как быть?[/quote]
    Первым делом проверьте отключён ли брандмауэр, затем следует проверить правильность введённых параметров с свойствах сетевого подключения, а конкретно проверьте правильно ли вы ввели IP адреса ДНС сервера. Так же советую попробывать при вводе машины в домен указывать домен без суффикса или же наоборот с ним, например (вместо domain.local указывайте просто domain).

    Ответить

  • Николай

    |

    Оказалось что отключения брандмауэра на рабочей станции не достаточно. Отключил брандмауэр ещё и на сервере и тогда ПК с Win7 добавился в домен 🙂

    Ответить

  • DV

    |

    У меня проблемка с последующим удаленным доступом этого юзера на удаленный рабочий стол — пишет что нет прав подключаться удаленно

    Ответить

  • Друг

    |

    Большое спасибо за статью! Всё наглядно и просто!
    Теперь курсовая будет сдана в срок=)

    Ответить

  • administrat0r

    |

    [quote name=»Друг»]Теперь курсовая будет сдана в срок=)[/quote]
    Не забудь указать мою статью в списке литературы )) аххах))

    Ответить

  • Alexneouk

    |

    При вводе компьютера в домен, начали глючить браузеры. а именно — если переключился на другую вкладку то потом уже не получается перейти по ссылке или зависает видео, при ресайзе окна все востанавливается, но потом опять заглючивает. что это может быть?

    Ответить

  • tpabojita

    |

    Здравствуйте, сначала хочу поблагодарить за подробное описание как настроить АД. Все настроил и подключил комп. Но у меня возникает проблема при входе пользователя, всплывает окошко около трея и говорит что «вход выполнен под временным профилем и все данные будут удалены после завершения работы». Как мне перенести профиль пользователя в домен?

    Ответить

  • Say-RUS

    |

    Добрый день, огромное спасибо за блог. Изучаю основы AD по вашей статье. Скажите будут ли ещё статьи по Windows Server 2012, очень хотелось бы изучать его вместе с вами так как подача материала у вас лучше любого учебника.

    Ответить

  • xFinder

    |

    [quote name=»DV»]У меня проблемка с последующим удаленным доступом этого юзера на удаленный рабочий стол — пишет что нет прав подключаться удаленно[/quote]

    Твоему пользователю необходимо дать доступ к удаленному рабочему столу — введи его в групу «Пользователи удаленного рабочего стола»

    Ответить

  • Николай

    |

    Все сделал. Спасибо. Какой логин и пароль администратора после перезагрузки?

    Ответить

  • rustem

    |

    спасибо большое одна из глав моей дипломной работы=) в литературе буду указывать

    Ответить

  • Николай

    |

    Благодарю за статью! 🙂 А как теперь настроить DNS?

    Ответить

  • Виктор

    |

    Всем добрый день, подскажите:
    1. обязательно ли указывать blablabla.ru или можно corp.blablabla.ru (и вообше нужно ли делать резолв имени на белый ip? )
    2. при подключении второго контроллера не получается его ввести в домен пишет [quote]Не удается разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что настройки данного клиента обеспечивают доступ к DNS-серверу, который может выполнять разрешение DNS-имен в целевом домене.[/quote]

    Ответить

  • Виктор

    |

    Всем добрый день, подскажите:
    1. обязательно ли указывать blablabla.ru или можно corp.blablabla.ru (и вообше нужно ли делать резолв имени на белый ip? )
    2. при подключении второго контроллера не получается его ввести в домен пишет [quote]Не удается разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что настройки данного клиента обеспечивают доступ к DNS-серверу, который может выполнять разрешение DNS-имен в целевом домене.[/quote]
    гуглить упарился…. Брандмауер отключил везде, днс на первом КД 127.0.0.1 у второго КД ip первого

    Ответить

Оставить комментарий

Свежие комментарии

administrat0r

|

Здравствуйте! С локального хостинга придётся уйти, т.к. туда куда я переезжаю нету нормального выделенного канала в интернет. Большое спасибо за ваш отзыв, буду стараться радовать Вас новыми статьями!

Slava

|

Молодец! красивое оформление.

Alexrad

|

Здравствуйте.
У меня проблема следующего рода:
к серверу подключены два шлюза через две сетевые карты, мне необходимо поднять AD и разным пользователям раздавать разный трафик (например, тем кому необходим медленный канал трафика раздача идёт через один шлюз, тем кому необходим более быстрый канал — второй шлюз) при этом есть вероятность того, что один канал отвалится (например, провайдер начнет ремонт сетей) и тогда те пользователи которые сидели на нём перейдут на резервный, т.е. второй. Подскажите пожалуйста как это реализовать, как определенной группе пользователей задать один шлюз, а другой группе второй шлюз.

ОлегСег

|

А например можно ограничить весь ресурс интернета разрешив только пару сайтов и отключить все порты оставив только для оутлука? Или всё же придётся ставить на вторую виртуалку прокси Squid и юзать с шаманским бубном?

la

|

По поводу разбиения диска, по данным с [url=»http://litl-admin.ru»]блога litl-admin[/url], «один или несколько файлов», на самом деле это работает чуток иначе. Если один файл (монолитный), то он размечается полностью, забивается нулями. Если используются несколько, то файлы создаются по мере заполнения диска, то есть предел, допустим, в 40 Гб. На установку выделилось 10Гб… по мере заполнения, выделяется ещё фрагмент места, заполняется он. Это приводит к фрагментации диска виртуальной машины, но зато намного более экономично с точки зрения затрат дискового пространства реальной машины.

Все материалы блога принадлежат его владельцу. По всем вопросам обращаться admin@vlanblog.ru

© vlanblog.ru 2012-2017 «Блог одной виртуальной сети»