Настройка Active Directory Domain Services

Настройка Active Directory представляет из себя достаточно простой процесс и рассматривается на множестве ресурсов в интернете, включая официальные . Тем не менее на своем блоге я не могу не затронуть этот момент, поскольку большинство дальнейших статей будет так или иначе основано на окружении, настройкой которого я планирую заняться как раз сейчас.

Если вам интересна тематика Windows Server, рекомендую обратиться к тегу Windows Server на моем блоге. Также рекомендую ознакомиться с основной статье по Active Directory — Active Directory Domain Services

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

1. Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
2. Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
3. Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет. Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS 4 5 :

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Установка Active Directory

Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:

Сам процесс установки претерпел некоторые изменения 6 по сравнению с предыдущими версиями ОС:

Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.

Необходимо выбрать только роль Доменные службы Active Directory, никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.

Настройка Active Directory

Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак — требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена.

Далее весь процесс будет проходить в мастере настройки.

Повышение роли сервера до контроллера домена

Этапы работы мастера подробно описаны в документации 7 . Тем не менее, пройдемся по основным шагам.

Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).

После этого сервер самостоятельно перезагрузится.

Создание учетных записей администраторов домена/предприятия

Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory — пользователи и компьютеры, создайте необходимые учетные записи — на этом этапе это администратор домена.

Сразу же рекомендую настроить и иерархию организации (только не используйте русские символы!).

Настройка DNS на единственном DC в домене

Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.

Убедившись в корректности настроек, открываем оснастку DNS. Правой кнопкой нажимаем на имени сервера и открываем его свойства, переходим на вкладку «Сервер пересылки». Адрес DNS-сервера, который был указан в настройках сети до установки роли AD DS, автоматически прописался в качестве единственного сервера пересылки:

Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки — это общеизвестный пул DNS-серверов высшего уровня.

Добавление второго DC в домен

Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен:

Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена! Это обязательно, иначе получите ошибку.

После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.

Настройка DNS на нескольких DC в домене

Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:

Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье Шпаргалка по DNS.

Настройка времени

Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью PDC emulator — Эмулятор первичного контроллера домена). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.

Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.

Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой — Изменить. Переходим в Конфигурация компьютера\Политики\Административные шаблоны\Система\Служба времени Windows\Поставщики времени. Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows, заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола — NTP, остальные настройки не трогаем:

Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:

Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики — в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:

Подробнее о принципе работы и настройке службы времени читайте в официальной документации 8 .

На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена.

Правила поддержки доменов третьего уровня

Введено в действие
27 июня 2011 года

Правила поддержки доменных имен третьего уровня в географических доменах и домене RU.NET (далее — Правила) определяют основные права и обязанности пользователей и Регистратора, возникающие в связи с использованием доменных имен третьего уровня в географических доменах и домене RU.NET.

Домен — область пространства иерархических имен сети Интернет, которая обозначается уникальным доменным именем, обслуживается набором серверов доменных имен ( DNS ) и администрируется его администратором.

Географические домены — домены второго уровня ABKHAZIA.SU, ADYGEYA.RU, ADYGEYA.SU, AKTYUBINSK.SU, ARKHANGELSK.SU, ARMENIA.SU, ASHGABAD.SU, AZERBAIJAN.SU, BALASHOV.SU, BASHKIRIA.RU, BASHKIRIA.SU, BIR.RU, BRYANSK.SU, BUKHARA.SU, CBG.RU, CHIMKENT.SU, DAGESTAN.RU, DAGESTAN.SU, EAST-KAZAKHSTAN.SU, EXNET.SU, GEORGIA.SU, GROZNY.RU, GROZNY.SU, IVANOVO.SU, JAMBYL.SU, KALMYKIA.RU, KALMYKIA.SU, KALUGA.SU, KARACOL.SU, KARAGANDA.SU, KARELIA.SU, KHAKASSIA.SU, KRASNODAR.SU, KURGAN.SU, KUSTANAI.RU, KUSTANAI.SU, LENUG.SU, MANGYSHLAK.SU, MARINE.RU, MORDOVIA.RU, MORDOVIA.SU, MSK.RU, MSK.SU, MURMANSK.SU, MYTIS.RU, NALCHIK.RU, NALCHIK.SU, NAVOI.SU, NORTH-KAZAKHSTAN.SU, NOV.RU, NOV.SU, OBNINSK.SU, PENZA.SU, POKROVSK.SU, PYATIGORSK.RU, RU.NET, SOCHI.SU, SPB.RU, SPB.SU, TASHKENT.SU, TERMEZ.SU, TOGLIATTI.SU, TROITSK.SU, TSELINOGRAD.SU, TULA.SU, TUVA.SU, VLADIKAVKAZ.RU, VLADIKAVKAZ.SU, VLADIMIR.RU, VLADIMIR.SU, VOLOGDA.SU.

Администратор домена второго уровня — юридическое лицо АО «Региональный Сетевой Информационный Центр», осуществляющее организационную и техническую поддержку функционирования домена.

Администратор домена третьего уровня (Администратор) — Пользователь, успешно выполнивший процедуру переноса доменного имени третьего уровня, установленную Регистратором. Администратор домена третьего уровня определяет порядок использования домена, несет ответственность за выбор доменного имени, возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени, а также несет риск убытков, связанных с такими нарушениями.

Аннулирование регистрации — исключение из реестра информации о домене и его Администраторе.

Пользователь домена третьего уровня (Пользователь) — лицо, которому было предоставлено право использования домена третьего уровня, и сведения о котором переданы от Передающего Регистратора Регистратору.

Регистратор — юридическое лицо АО «Региональный Сетевой Информационный Центр», поддерживающее сведения о доменных именах третьего уровня.

Реестр — центральная база данных географических доменов и домена RU.NET, содержащая информацию о зарегистрированных доменных именах, Администраторах доменов, иную информацию, необходимую для регистрации доменных имен.

Передающий Регистратор — юридическое лицо ООО «Релком Деловая Сеть», осуществившее регистрацию доменных имен третьего уровня в географических доменах и домене RU.NET и передавшее свои права по администрированию соответствующих доменных имен второго уровня и необходимых сведений о доменных именах третьего уровня и их пользователях Регистратору 24 апреля 2010 года.

Делегирование домена третьего уровня — размещение и хранение информации о доменном имени и соответствующих ему записях на корневых серверах DNS домена второго уровня, что обеспечивает функционирование домена в сети Интернет. Делегирование домена с записями, переданными из системы регистрации Передающего Регистратора, возможно только в течение срока регистрации домена. Делегирование домена со списком DNS-серверов, указанных Администратором, возможно только в течение срока действия регистрации домена.

Поддержка домена третьего уровня — внесение Регистратором в Реестр информации о доменном имени и его Пользователе на основании сведений, полученных из системы регистрации Передающего Регистратора. Доменное имя считается зарегистрированным с момента внесения Регистратором в Реестр информации о нем. Срок действия регистрации, в течение которого осуществляется хранение в Реестре информации о доменном имени, истекает в дату, указанную в Whois-сервисе Регистратора в поле paid-till. Срок действия регистрации может быть продлен на очередной год после заключения Пользователем договора с Регистратором (с индексом NIC-D) или Партнером Регистратора (список Партнеров опубликован на сайте Регистратора) в отношении доменного имени. Регистрация доменного имени может быть аннулирована досрочно в случаях, предусмотренных настоящими Правилами.

Срок действия Правил — настоящие Правила действуют с 24 апреля 2010 года по дату, указанную в Whois-сервисе Регистратора в поле free-date. Настоящие Правила распространяются на Пользователей, не состоящих в договорных отношениях с Регистратором (индекс NIC-D) или Партнером Регистратора в отношении доменных имен третьего уровня, зарегистрированных в географических доменах и домене RU.NET.

2. Права и обязанности Пользователя и Регистратора

2.1. Пользователь обязан

2.1.1. надлежащим образом выполнять настоящие Правила;

2.1.2. предоставлять запрошенные Регистратором сведения, необходимые в целях поддержки доменного имени;

2.2. Пользователь вправе заключить договор с Регистратором или Партнером Регистратора до даты окончания срока действия настоящих Правил.

2.3. Пользователь несет ответственность за выбор доменного имени, возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени, а также несет риск убытков, связанных с такими нарушениями.

2.4. Пользователь согласен, что делегирование домена может быть приостановлено, или регистрация доменного имени может быть аннулирована Регистратором, в случаях:

2.4.1. разрешения спора по доменному имени,

2.4.2. исполнения решения суда,

2.4.3. пресечения незаконной деятельности, а также деятельности, наносящей ущерб третьим лицам, в том числе, деятельности по распространению и рекламированию порнографических материалов, призывов к насилию, осуществлению экстремистской деятельности, свержению власти и др., а также деятельности, противоречащей общественным интересам, принципам гуманности и морали, оскорбляющей человеческое достоинство либо религиозные чувства, и т.д. При этом Регистратор вправе самостоятельно давать оценку деятельности Пользователя на предмет нарушения законодательства, в том числе в случаях, когда определение таких действий не закреплено нормативными актами. Определение порнографических материалов опубликовано на сайте Регистратора по адресу https://www.nic.ru/dns/service/hosting/moral_standards.html,

2.4.4. непредоставления по запросу Регистратора данных о Пользователе, указанных в запросе, в течение 3-х рабочих дней с даты направления запроса.

2.5. Регистратор обязан:

2.5.1. надлежащим образом выполнять настоящие Правила,

2.5.2. поддерживать сведения о домене в течение срока регистрации домена.

2.6. Регистратор вправе

приостановить делегирование домена в случае очевидного, с точки зрения Регистратора, нарушения Пользователем законодательства РФ, без предварительного предупреждения со стороны Регистратора.

3. Условия делегирования домена третьего уровня

3.1. Домены третьего уровня делегированы с записями, переданными из системы регистрации Передающего Регистратора.

3.2. Делегирование домена может быть приостановлено по основаниям, установленным настоящими Правилами.

4. Порядок переноса домена третьего уровня в систему регистрации доменов Регистратора

Перенос домена — включение домена Пользователя в состав услуг, оказываемых Регистратором Пользователю по заключенному между ними договору с индексом NIC-D.

4.1. Регистратор осуществляет запрос на контактный адрес электронной почты Пользователя, полученный Регистратором от Передающего Регистратора.

4.2. Пользователь, получив запрос, при желании перенести домен к Регистратору, должен произвести все указанные ниже действия:

А) зайти на страницу, указанную Регистратором в запросе (пройти по ссылке),
Б) авторизоваться со своим номером договора /NIC-D, а в случае отсутствия договора с Регистратором, заполнить анкету, получить номер договора и авторизоваться с полученным номером договора /NIC-D,
В) убедиться, что напротив переносимого домена стоит флаг,
Г) ввести код, указанный в запросе Регистратора,
Д) нажать кнопку «Принять».

4.3. При выполнении Пользователем указанных выше действий Регистратор переносит домен на договор (индекс NIC-D), номер которого указан Пользователем. В дальнейшем поддержка домена осуществляется в порядке, определенном соответствующим «Регламентом регистрации доменов третьего уровня».

4.4. Если ответ от Пользователя не получен в течение 21 (двадцати одного) календарного дня с момента направления запроса Регистратором, то ссылка, переданная Пользователю в запросе Регистратора, становится недействующей.

4.5. При отсутствии достаточной контактной информации для переноса домена, Регистратор самостоятельно определяет порядок подтверждения сведений о Пользователе домена и порядок переноса домена на договор с индексом NIC-D.

4.6. Передача прав на домен новому Администратору запрещена в течение 60 (шестидесяти) календарных дней с момента переноса домена.

5. Продление регистрации доменного имени

5.1. Для домена третьего уровня, перенесенного на договор Администратора, продление срока действия регистрации осуществляется по процедуре, определенной в п.5 «Регламента регистрации доменов третьего уровня».

5.2. Продление регистрации может быть осуществлено только при условии переноса домена по процедуре, определенной в п.4 настоящих Правил.

5.3. Регистрация доменного имени аннулируется Регистратором, если она не будет продлена Администратором в течение 90 (девяноста) календарных дней с даты окончания срока ее действия.

6. Изменение данных

6.1. Изменение DNS-серверов домена, других записей (A, MX, CNAME), изменение контактных данных Пользователя, изменение данных Пользователя для отображения в поисковых сервисах

6.1.1. недоступно для домена третьего уровня, не перенесенного по процедуре, определенной в п.4 настоящих Правил;

6.1.2. осуществляется в порядке, определенном «Регламентом регистрации доменов третьего уровня», для домена третьего уровня, перенесенного по процедуре, определенной в п.4 настоящих Правил.

7. Передача прав

7.1. Передача домена иному юридическому или физическому лицу для домена, прошедшего процедуру переноса в соответствии с п.4 настоящих Правил, осуществляется в порядке, определенном «Регламентом регистрации доменов третьего уровня».

7.2. Передача домена иному лицу не производится Регистратором в следующих случаях:

7.2.1. Процедура переноса домена третьего уровня не произведена;

7.2.2. В течение 60 дней (шестидесяти) календарных дней после переноса домена в порядке, определенном в п.4 настоящих Правил.