Создание сервера Active Directory в Windows Server 2003

В этой статье описывается установка и настройка новой установки Active Directory в лабораторной среде, которая включает Windows Server 2003 и Active Directory.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 324753

Для этой цели в лабораторной среде потребуется два сетевых сервера под управлением Windows Server 2003.

Создание Active Directory

После установки Windows Server 2003 на отдельном сервере запустите мастер Active Directory, чтобы создать новый лес или домен Active Directory, а затем преобразуйте компьютер с Windows Server 2003 в первый контроллер домена в лесу. Чтобы преобразовать компьютер с Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия.

Вставьте компакт-диск Windows Server 2003 в компакт-диск компьютера или DVD-диск.

Нажмите кнопку«Начните», щелкните «Выполнить» и введите dcpromo.

Нажмите кнопку «ОК», чтобы запустить мастер установки Active Directory, а затем нажмите кнопку «Далее».

Щелкните контроллер домена для нового домена и нажмите кнопку «Далее».

Щелкните «Домен» в новом лесу, а затем нажмите кнопку «Далее».

Укажите полное DNS-имя для нового домена. Обратите внимание, что поскольку эта процедура используется для лабораторной среды и вы не интегрируетсяе эту среду в существующую инфраструктуру DNS, для этого параметра можно использовать что-то общее, например mycompany.local. Нажмите кнопку Далее.

Примите netBIOS-имя домена по умолчанию (это mycompany, если вы использовали предложение на шаге 6). Нажмите кнопку Далее.

Установите для базы данных и файла журнала значение по умолчанию для папки c: \ winnt \ ntds и нажмите кнопку «Далее».

Установите для папки Sysvol значение по умолчанию для папки c: winnt sysvol и нажмите кнопку \ \ «Далее».

Нажмите кнопку «Установить» и настройте DNS-сервер на этом компьютере, а затем нажмите кнопку «Далее».

Щелкните «Разрешения», совместимые только с серверами Windows 2000 или Windows Server 2003 или операционными системами, а затем нажмите кнопку «Далее».

Так как это лабораторная среда, оставьте пароль администратора режима восстановления служб каталогов пустым. Обратите внимание, что в полной производственной среде этот пароль устанавливается в безопасном формате пароля. Нажмите кнопку Далее.

Просмотрите и подтвердите выбранные параметры и нажмите кнопку «Далее».

Установка Active Directory продолжается. Обратите внимание, что эта операция может занять несколько минут.

После запроса перезапустите компьютер. После перезагрузки компьютера подтвердите, что для нового контроллера домена созданы записи о расположении службы DNS. Чтобы подтвердить, что записи о расположении службы DNS созданы, выполните следующие действия.

1. Нажмите кнопку«Начните», выберите пункт «Администрирование», а затем щелкните DNS, чтобы запустить консоль администратора DNS.
2. Расширьте имя сервера, расширьте зоны forward Lookup (Зоны переадритет просмотр) и затем расширьте домен.
3. Убедитесь, что _msdcs, _sites, _tcp и _udp есть папки. Эти папки и содержащиеся в них записи о расположении служб критически важны для операций Active Directory и Windows Server 2003.

Добавление пользователей и компьютеров в домен Active Directory

После создания нового домена Active Directory создайте учетную запись пользователя в этом домене для использования в качестве административной учетной записи. При добавлении этого пользователя в соответствующие группы безопасности используйте эту учетную запись для добавления компьютеров в домен.

Чтобы создать нового пользователя, выполните следующие действия:

Нажмите кнопку«Начните», найдите пункт «Администрирование», а затем выберите «Пользователи и компьютеры Active Directory», чтобы запустить консоль «Пользователи и компьютеры Active Directory».

Щелкните созданное доменное имя, а затем разойдите содержимое.

Щелкните правой кнопкой мыши «Пользователи», найдите пункт «Новый» и выберите «Пользователь».

Введите имя, фамилию и имя пользователя для нового пользователя и нажмите кнопку «Далее».

Введите новый пароль, подтвердите пароль и нажмите, чтобы выбрать один из следующих флажков:

• Пользователи должны изменить пароль при следующем учете (рекомендуется для большинства пользователей)
• Пользователь не может изменить пароль
• Срок действия пароля не истекает
• Учетная запись отключена

Нажмите кнопку Далее.

Просмотрите предоставленные сведения и, если все правильно, нажмите кнопку «Готово».

После создания нового пользователя придайте этой учетной записи членство в группе, которая позволяет этому пользователю выполнять административные задачи. Так как вы управляете этой лабораторной средой, вы можете предоставить этой учетной записи пользователя полный административный доступ, сделав ее участником групп администраторов схемы, предприятия и домена. Чтобы добавить учетную запись в группы администраторов схемы, предприятия и домена, выполните следующие действия.

1. В консоли «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши созданную учетную запись и выберите «Свойства».
2. Щелкните вкладку «Член» и нажмите кнопку «Добавить».
3. В диалоговом окне «Выбор групп» укажите группу и нажмите кнопку «ОК», чтобы добавить нужные группы в список.
4. Повторите процесс выбора для каждой группы, в которой пользователю требуется членство в учетной записи.
5. Для завершения нажмите кнопку ОК.

Последний этап этого процесса — добавление рядового сервера в домен. Этот процесс также применим к рабочим станциям. Чтобы добавить компьютер в домен, выполните следующие действия.

Войдите на компьютер, который нужно добавить в домен.

Щелкните правой кнопкой мыши«Мой компьютер» и выберите «Свойства».

Перейдите на вкладку «Имя компьютера» и нажмите кнопку «Изменить».

В диалоговом окне «Изменение имени компьютера» щелкните «Домен» в поле «Член» и введите имя домена. Нажмите кнопку ОК.

При запросе введите имя пользователя и пароль ранее созданной учетной записи, а затем нажмите кнопку «ОК».

Создается сообщение с приветствием к домену.

Нажмите кнопку «ОК», чтобы вернуться на вкладку «Имя компьютера», а затем нажмите кнопку «ОК», чтобы завершить работу.

Перезапустите компьютер, если вам будет предложено это сделать.

Устранение неполадок: невозможно открыть оснастку Active Directory

После завершения установки Active Directory, возможно, не удастся запустить оснастку «Пользователи и компьютеры Active Directory», а также может появиться сообщение об ошибке, в которое указывается, что с проверкой подлинности нельзя связаться ни с одним органом. Это может произойти, если DNS настроена неправильно. Чтобы устранить эту проблему, убедитесь, что зоны на DNS-сервере настроены правильно и что ваш DNS-сервер обладает полномочиями для зоны, которая содержит доменное имя Active Directory. Если зоны кажутся правильными и у сервера есть полномочия для домена, попробуйте снова запустить оснастку «Пользователи и компьютеры Active Directory». Если вы получили такое же сообщение об ошибке, удалите Active Directory, перезагрузите компьютер и переустановите Active Directory с помощью этой с помощью с помощью этой с помощью.

Дополнительные сведения о настройке DNS в Windows Server 2003 см. в сведениях о настройке DNS для доступа к Интернету в Windows Server 2003.

Восстановление леса AD — восстановление Windows Server 2003 AD Forest Recovery — Windows Server 2003 Recovery

Область применения: Windows Server 2003 Applies To: Windows Server 2003

В этом разделе содержатся процедуры восстановления леса для контроллеров домена под управлением Windows Server 2003. This topic includes forest recovery procedures for domain controllers (DCs) that run Windows Server 2003. Общий процесс восстановления леса не отличается от Windows Server 2003 DCs, но конкретные процедуры могут отличаться из-за различных средств. The general process for forest recovery is no different with Windows Server 2003 DCs, but specific procedures can differ because of different tools. Например, Ntdsutil.exe можно использовать для резервного копирования и восстановления контроллеров домена под управлением Windows Server 2003, в то время как cистема архивации данных Windows Server или Wbadmin.exe используется для контроллеров домена под управлением Windows Server 2008 или более поздней версии. For example, Ntdsutil.exe can be used to backup and restore DCs that run Windows Server 2003 DCs, whereas Windows Server Backup or Wbadmin.exe is used for DCs that run Windows Server 2008 or later.

Резервное копирование данных состояния системы Backing up the System State data

Используйте следующую процедуру для резервного копирования данных состояния системы, а также любых других данных, выбранных для текущей операции резервного копирования контроллера домена, работающего под управлением Windows Server 2003. Use the following procedure to back up the System State data, along with any other data you have selected for the current backup operation, of a DC that runs Windows Server 2003. Windows Server 2003 включает средство NTBACKUP, которое можно использовать для резервного копирования данных о состоянии системы. Windows Server 2003 includes the Ntbackup tool, which you can use to back up System State data.

Членство в группах Администраторы или Операторы резервного копирования, или эквивалентное, является минимальным требованием для резервного копирования файлов и папок. Membership in Administrators or Backup Operators, or equivalent, is the minimum required to back up files and folders.

Если выполняется резервное копирование данных состояния системы на ленту, а программа резервного копирования указывает, что неиспользуемый носитель недоступен, может потребоваться использовать съемные носители. If you are backing up the System State data to a tape, and the Backup program indicates that there is no unused media available, you might have to use Removable Storage. При этом лента будет добавлена в пул свободных носителей, чтобы ее можно было использовать в резервной копии. This adds your tape to the free media pool so that Backup can use it.

Можно выполнять резервное копирование только данных о состоянии системы на локальном компьютере. You can only back up the System State data on a local computer. Вы не можете создать резервную копию на удаленном компьютере. You cannot back it up on a remote computer.

Резервное копирование данных о состоянии системы на контроллере домена под управлением Windows Server 2003 To back up the System State data on a domain controller that runs Windows Server 2003

1. Нажмите кнопку Пуск, укажите пункт Все программы, затем стандартные, служебные , а затем выберите пункт Архивация. Click Start, point to All Programs, point to Accessories, point to System Tools, and then click Backup.
2. На странице приветствия щелкните Расширенный режим. On the Welcome page, click Advanced Mode.
3. На вкладке резервное копирование установите флажок для всех дисков, папок или файлов, для которых требуется создать резервную копию. On the Backup tab, select the check box for any drive, folder, or file that you want to back up.
4. Установите флажок состояние системы . Select the System State check box.
5. Нажмите кнопку начать резервное копирование. Click Start Backup.

Выполнение неполномочного восстановления Performing a nonauthoritative restore

Следующая процедура используется для выполнения неполномочного восстановления контроллера домена под управлением Windows Server 2003. Use the following procedure to perform a nonauthoritative restore of a DC that runs Windows Server 2003. Выполнив неполномочное восстановление Active Directory в Windows Server 2003, вы автоматически выполняете неполномочное восстановление SYSVOL. By performing a nonauthoritative restore on Active Directory in Windows Server 2003, you automatically perform a nonauthoritative restore of SYSVOL. Дополнительные действия не требуются. No additional steps are required.

Если вы также переустанавливаете операционную систему Windows Server 2003, возможно, вы не присоединяете компьютер к домену, и вы можете присвоить компьютеру любое имя во время установки операционной системы. If you are also reinstalling the Windows Server 2003 operating system, you might or might not join the computer to the domain and you can give any name to the computer during setup of the operating system. Не устанавливайте Active Directory. Do not install Active Directory. После переустановки операционной системы перейдите непосредственно к шагу 4. After reinstalling the operating system, go directly to step 4.

На контроллерах домена Windows Server 2003, где были восстановлены только данные о состоянии системы, необходимо также переустановить все программные приложения, запущенные на контроллерах доменов, перед восстановлением. On Windows Server 2003 domain controllers where you have restored only system state data, you need to also reinstall any software applications that were running on DCs before recovery. Восстановление AD DS на первом КОНТРОЛЛЕРе домена в домене также приводит к восстановлению реестра, так как они являются частью данных о состоянии системы. Restoring AD DS on the first DC in the domain also restores the registry because they both are part of System State data. Помните об этом, если у вас есть приложения, работающие на этих контроллерах домена, и если в реестре содержатся какие бы то ни было данные. Keep this in mind if you had any applications running on these DCs and if they had any information stored in the registry.

Чтобы сэкономить время, необходимое для повторной установки программного обеспечения, определите, совместимы ли приложения, которые должны быть установлены на контроллерах домена, с клонированием виртуальных контроллеров домена. To save time required to re-install software, determine if applications that need to be installed on the DCs are compatible with virtual DC cloning. Такие приложения можно установить на исходном контроллере домена до клонирования, чтобы сэкономить время и усилия, необходимые для их установки на клонированных виртуальных контроллерах домена. Such applications can be installed on the source DC prior to cloning in order to save the time and effort required to install them on the cloned virtual DCs.

Выполнение неполномочного восстановления To perform a nonauthoritative restore

1. После запуска контроллера домена нажмите клавишу F8, чтобы перезагрузить компьютер в режиме восстановления служб каталогов (DSRM). After you start the DC, press F8 to restart the computer in Directory Services Restore Mode (DSRM).
2. Выберите режим восстановления служб каталогов (только контроллеры домена Windows). Select Directory Services Restore Mode (Windows domain controllers only).
3. Выберите операционную систему, которую нужно запустить в режиме восстановления. Select the operating system that you want to start in restore mode.
4. Войдите в систему с правами администратора (вы можете использовать только учетную запись локального компьютера, но не доступен параметр входа в домен). Log on as an administrator (you can only use a local computer account, no domain logon option is available).
5. В командной строке введите Ntbackup и нажмите клавишу ВВОД. At a command prompt, type ntbackup, and then press ENTER.
6. На странице приветствия щелкните Расширенный режим, а затем выберите вкладку восстановление и управление носителем . (не выбирайте Мастер восстановления). On the Welcome page, click Advanced Mode, and then select the Restore and Manage Media tab. (Do not select Restore Wizard.)
7. Выберите нужный файл резервной копии и убедитесь, что установлены флажки системный диск и состояние системы . Select the appropriate backup file to restore from and ensure that the System disk and System State check boxes are selected.
8. Нажмите кнопку Начать восстановление. Click Start Restore.
9. После завершения операции восстановления перезагрузите компьютер. When the restore operation is complete, restart the computer.

Используйте следующую процедуру, чтобы выполнить полномочное (первичное) восстановление SYSVOL на контроллере домена под управлением Windows Server 2003. Use the following procedure to perform an authoritative (also known as primary) restore of SYSVOL on a DC that runs Windows Server 2003. Эту процедуру следует выполнять только на первом контроллере домена Windows Server 2003, который восстанавливается в домене. Perform this procedure only on the first Windows Server 2003 DC that is restored in the domain.

Выполнение полномочного восстановления SYSVOL To perform an authoritative restore of SYSVOL

Выполните шаги 1 – 8 в предыдущей процедуре. Perform steps 1 through 8 in the previous procedure.

В диалоговом окне Подтверждение восстановления нажмите кнопку Дополнительно. In the Confirm Restore dialog box, click Advanced.

Чтобы выполнить полномочное восстановление SYSVOL, установите флажок при восстановлении реплицируемых наборов данных, пометьте восстановленные данные как первичные данные для всех реплик. To perform an authoritative restore of SYSVOL, select the check box When restoring replicated data sets, mark the restored data as the primary data for all replicas.

Пометка восстановленных данных в качестве первичных данных в резервной копии эквивалентна установке значения D4 для записи BurFlags в следующем подразделе реестра: Marking the restored data as the primary data in the Backup is equivalent to setting the BurFlags entry to D4 under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\ Идентификатор GUID HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\ GUID

После завершения операции восстановления перезагрузите компьютер. When the restore operation is complete, restart the computer.

Установка и Настройка службы DNS-сервера Install and configure the DNS Server service

Если контроллер домена, восстановленный из резервной копии, работает под Windows Server 2003, можно установить DNS-сервер без подключения контроллера домена к любой сети. If the DC that you restored from backup is running Windows Server 2003, you can install DNS server without connecting the DC to any network.

Установка и Настройка службы DNS-сервера To install and configure the DNS Server service

Откройте мастер компонентов Windows. Open Windows Components Wizard. Чтобы открыть мастер, выполните следующие действия. To open the wizard:

• Щелкните Пуск, нажмите Панель управления, а затем Установка и удаление программ. Click Start, click Control Panel, and then click Add or Remove Programs.
• Щелкните элемент Установка и удаление компонентов Windows. Click Add/Remove Windows Components.

В окне компоненты установите флажок Сетевые службы и нажмите кнопку сведения. In Components, select the Networking Services check box, and then click Details.

В области «Сетевые службы» установите флажок Служба доменных имен (DNS) , нажмите кнопку ОК, а затем нажмите кнопку Далее. In Subcomponents of Networking Services, select the Domain Name System (DNS) check box, click OK, and then click Next.

При появлении запроса в поле Copy files from (копирование файлов из) введите полный путь к файлам распространения и нажмите кнопку ОК. If you are prompted, in Copy files from, type the full path of the distribution files, and then click OK.

После установки выполните следующие действия, чтобы настроить DNS-сервер. After the installation, complete the following steps to configure the DNS server.

Нажмите кнопку Пуск, укажите пункт все программы, затем Администрирование и щелкните DNS. Click Start, point to All Programs, point to Administrative Tools, and then click DNS.

Создайте зоны DNS для тех же доменных имен DNS, которые были размещены на DNS-серверах до критического сбоя. Create DNS zones for the same DNS domain names that were hosted on the DNS servers before the critical malfunction. Дополнительные сведения см. в разделе Добавление зоны прямого просмотра ( https://go.microsoft.com/fwlink/?LinkId=74574 ). For more information, see Add a Forward Lookup Zone (https://go.microsoft.com/fwlink/?LinkId=74574).

Настройте данные DNS в том виде, в котором они существовали до критического сбоя. Configure the DNS data as it existed before the critical malfunction. Пример. For example:

• Настройте зоны DNS, которые будут храниться в AD DS. Configure DNS zones to be stored in AD DS. Дополнительные сведения см. в разделе Изменение типа зоны ( https://go.microsoft.com/fwlink/?LinkId=74579 ). For more information, see Change the Zone Type (https://go.microsoft.com/fwlink/?LinkId=74579).
• Настройте зону DNS, которая является полномочным для записей ресурсов локатора контроллеров доменов (локатора контроллера домена), чтобы разрешить безопасное динамическое обновление. Configure the DNS zone that is authoritative for domain controller locator (DC Locator) resource records to allow secure dynamic update. Дополнительные сведения см. в разделе разрешение только безопасных динамических обновлений ( https://go.microsoft.com/fwlink/?LinkId=74580 ). For more information, see Allow Only Secure Dynamic Updates (https://go.microsoft.com/fwlink/?LinkId=74580).

Убедитесь, что родительская зона DNS содержит записи ресурсов делегирования (записи ресурсов сервера имен (NS) и узлов (A)) для дочерней зоны, размещенной на этом DNS-сервере. Ensure that the parent DNS zone contains delegation resource records (name server (NS) and glue host (A) resource records) for the child zone that is hosted on this DNS server. Дополнительные сведения см. в разделе Создание делегирования зоны ( https://go.microsoft.com/fwlink/?LinkId=74562 ). For more information, see Create a Zone Delegation (https://go.microsoft.com/fwlink/?LinkId=74562).

После настройки DNS в командной строке введите следующую команду и нажмите клавишу ВВОД: After you configure DNS, at the command prompt, type the following command, and then press ENTER:

net stop netlogon net stop netlogon

Введите следующую команду и нажмите клавишу ВВОД. Type the following command, and then press ENTER:

net start netlogon net start netlogon

Команда Net Logon регистрирует записи ресурсов локатора контроллеров домена в DNS для этого контроллера домена. Net Logon will register the DC Locator resource records in DNS for this DC. Если служба DNS-сервера устанавливается на сервере в дочернем домене, этот контроллер не сможет немедленно зарегистрировать свои записи. If you are installing the DNS Server service on a server in the child domain, this DC will not be able to register its records immediately. Это связано с тем, что в настоящее время он изолирован как часть процесса восстановления, а его основной DNS-сервер — корневой DNS-сервер леса. This is because it is currently isolated as part of the recovery process, and its primary DNS server is the forest root DNS server. Настройте этот компьютер с тем же IP-адресом, который использовался до аварии, чтобы избежать сбоев поиска в службе контроллера домена. Configure this computer with the same IP address as it had before the disaster to avoid DC service lookup failures.