Создание сервера Active Directory в Windows Server 2003

В этой статье описывается установка и настройка новой установки Active Directory в лабораторной среде, которая включает Windows Server 2003 и Active Directory.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 324753

Для этой цели в лабораторной среде потребуется два сетевых сервера под управлением Windows Server 2003.

Создание Active Directory

После установки Windows Server 2003 на отдельном сервере запустите мастер Active Directory, чтобы создать новый лес или домен Active Directory, а затем преобразуйте компьютер с Windows Server 2003 в первый контроллер домена в лесу. Чтобы преобразовать компьютер с Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия.

Вставьте компакт-диск Windows Server 2003 в компакт-диск компьютера или DVD-диск.

Нажмите кнопку«Начните», щелкните «Выполнить» и введите dcpromo.

Нажмите кнопку «ОК», чтобы запустить мастер установки Active Directory, а затем нажмите кнопку «Далее».

Щелкните контроллер домена для нового домена и нажмите кнопку «Далее».

Щелкните «Домен» в новом лесу, а затем нажмите кнопку «Далее».

Укажите полное DNS-имя для нового домена. Обратите внимание, что поскольку эта процедура используется для лабораторной среды и вы не интегрируетсяе эту среду в существующую инфраструктуру DNS, для этого параметра можно использовать что-то общее, например mycompany.local. Нажмите кнопку Далее.

Примите netBIOS-имя домена по умолчанию (это mycompany, если вы использовали предложение на шаге 6). Нажмите кнопку Далее.

Установите для базы данных и файла журнала значение по умолчанию для папки c: \ winnt \ ntds и нажмите кнопку «Далее».

Установите для папки Sysvol значение по умолчанию для папки c: winnt sysvol и нажмите кнопку \ \ «Далее».

Нажмите кнопку «Установить» и настройте DNS-сервер на этом компьютере, а затем нажмите кнопку «Далее».

Щелкните «Разрешения», совместимые только с серверами Windows 2000 или Windows Server 2003 или операционными системами, а затем нажмите кнопку «Далее».

Так как это лабораторная среда, оставьте пароль администратора режима восстановления служб каталогов пустым. Обратите внимание, что в полной производственной среде этот пароль устанавливается в безопасном формате пароля. Нажмите кнопку Далее.

Просмотрите и подтвердите выбранные параметры и нажмите кнопку «Далее».

Установка Active Directory продолжается. Обратите внимание, что эта операция может занять несколько минут.

После запроса перезапустите компьютер. После перезагрузки компьютера подтвердите, что для нового контроллера домена созданы записи о расположении службы DNS. Чтобы подтвердить, что записи о расположении службы DNS созданы, выполните следующие действия.

1. Нажмите кнопку«Начните», выберите пункт «Администрирование», а затем щелкните DNS, чтобы запустить консоль администратора DNS.
2. Расширьте имя сервера, расширьте зоны forward Lookup (Зоны переадритет просмотр) и затем расширьте домен.
3. Убедитесь, что _msdcs, _sites, _tcp и _udp есть папки. Эти папки и содержащиеся в них записи о расположении служб критически важны для операций Active Directory и Windows Server 2003.

Добавление пользователей и компьютеров в домен Active Directory

После создания нового домена Active Directory создайте учетную запись пользователя в этом домене для использования в качестве административной учетной записи. При добавлении этого пользователя в соответствующие группы безопасности используйте эту учетную запись для добавления компьютеров в домен.

Чтобы создать нового пользователя, выполните следующие действия:

Нажмите кнопку«Начните», найдите пункт «Администрирование», а затем выберите «Пользователи и компьютеры Active Directory», чтобы запустить консоль «Пользователи и компьютеры Active Directory».

Щелкните созданное доменное имя, а затем разойдите содержимое.

Щелкните правой кнопкой мыши «Пользователи», найдите пункт «Новый» и выберите «Пользователь».

Введите имя, фамилию и имя пользователя для нового пользователя и нажмите кнопку «Далее».

Введите новый пароль, подтвердите пароль и нажмите, чтобы выбрать один из следующих флажков:

• Пользователи должны изменить пароль при следующем учете (рекомендуется для большинства пользователей)
• Пользователь не может изменить пароль
• Срок действия пароля не истекает
• Учетная запись отключена

Нажмите кнопку Далее.

Просмотрите предоставленные сведения и, если все правильно, нажмите кнопку «Готово».

После создания нового пользователя придайте этой учетной записи членство в группе, которая позволяет этому пользователю выполнять административные задачи. Так как вы управляете этой лабораторной средой, вы можете предоставить этой учетной записи пользователя полный административный доступ, сделав ее участником групп администраторов схемы, предприятия и домена. Чтобы добавить учетную запись в группы администраторов схемы, предприятия и домена, выполните следующие действия.

1. В консоли «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши созданную учетную запись и выберите «Свойства».
2. Щелкните вкладку «Член» и нажмите кнопку «Добавить».
3. В диалоговом окне «Выбор групп» укажите группу и нажмите кнопку «ОК», чтобы добавить нужные группы в список.
4. Повторите процесс выбора для каждой группы, в которой пользователю требуется членство в учетной записи.
5. Для завершения нажмите кнопку ОК.

Последний этап этого процесса — добавление рядового сервера в домен. Этот процесс также применим к рабочим станциям. Чтобы добавить компьютер в домен, выполните следующие действия.

Войдите на компьютер, который нужно добавить в домен.

Щелкните правой кнопкой мыши«Мой компьютер» и выберите «Свойства».

Перейдите на вкладку «Имя компьютера» и нажмите кнопку «Изменить».

В диалоговом окне «Изменение имени компьютера» щелкните «Домен» в поле «Член» и введите имя домена. Нажмите кнопку ОК.

При запросе введите имя пользователя и пароль ранее созданной учетной записи, а затем нажмите кнопку «ОК».

Создается сообщение с приветствием к домену.

Нажмите кнопку «ОК», чтобы вернуться на вкладку «Имя компьютера», а затем нажмите кнопку «ОК», чтобы завершить работу.

Перезапустите компьютер, если вам будет предложено это сделать.

Устранение неполадок: невозможно открыть оснастку Active Directory

После завершения установки Active Directory, возможно, не удастся запустить оснастку «Пользователи и компьютеры Active Directory», а также может появиться сообщение об ошибке, в которое указывается, что с проверкой подлинности нельзя связаться ни с одним органом. Это может произойти, если DNS настроена неправильно. Чтобы устранить эту проблему, убедитесь, что зоны на DNS-сервере настроены правильно и что ваш DNS-сервер обладает полномочиями для зоны, которая содержит доменное имя Active Directory. Если зоны кажутся правильными и у сервера есть полномочия для домена, попробуйте снова запустить оснастку «Пользователи и компьютеры Active Directory». Если вы получили такое же сообщение об ошибке, удалите Active Directory, перезагрузите компьютер и переустановите Active Directory с помощью этой с помощью с помощью этой с помощью.

Дополнительные сведения о настройке DNS в Windows Server 2003 см. в сведениях о настройке DNS для доступа к Интернету в Windows Server 2003.

Имя домена windows 2003

Установка службы каталогов Active Directory

Создание домена Windows Server 2003

Для создания домена используется программа dcpromo . Название программы – это сокращение от Domain Controller Promotion (Продвижение в контроллеры домена).

После запуска dcpromo начинает работать «Мастер установки Active Directory ».

До начала задания параметров создаваемого домена мастер выводит предупреждение о том, работа каких операционных систем невозможна в домене Windows Server 2003 без изменения параметров безопасности.

При установке первого контроллера домена пользователи сервера, где производится установка, становятся доменными пользователями. «Администратор» преобразовывается в доменного пользователя, включаемого в группу «Администраторы домена». Членство в этой группе обеспечивает все права пользователю.

Если создаётся новый домен, в окне «Тип контроллера домена» необходимо выбрать «Контроллер домена в новом домене».

( Если домен уже существует, необходимо выбрать «Добавочный контроллер домена в существующем домене». Создание добавочного контроллера, в отличие от основного, как правило, не вызывает сложностей).

В окне «Создать новый домен» при установке нового домена следует выбрать «Новый домен в новом лесу».

Поскольку устанавливается первый сервер домена, в окне «Установка или настройка DNS » нужно выбрать параметр «Нет, надо только установить и настроить DNS на этом компьютере». Выбор параметра «Да, и я буду настраивать клиента DNS » подразумевает наличие существующего сервера DNS в сети.

В окне «Новое имя домена» необходимо задать имя, которое присваивается создаваемому домену (например « domain 1. local »).

Имя создаваемого домена должно быть уникальным в сети, использовать такое же имя для серверов или рабочих станций недопустимо. При указании имени следует учитывать следующее:

1. Часть имени слева от точки может быть произвольной (не учитывая специальные символы);

2. Часть имени справа от точки (для доменов локальных сетей, не являющихся непосредственной частью сети Internet ) ограничена единственным словом « local », которое является безусловным указанием для службы DNS создать локальные служебные записи в рамках создаваемого домена.

Использование других вариантов возможно только в случае, когда сеть предполагается интегрировать с другими сетями высшего уровня, и имя домена оговорено особо. В окне « Net — BIOS -имя домена» имя будет проставлено автоматически, изменять его не требуется.

В окне «Папки базы данных и журналов» указывается, где будут располагаться системные данные домена. Рекомендуется либо оставить пути к ним без изменений, либо размещать данные файлы на наиболее отказоустойчивых дисковых массивах. При этом следует помнить, что программное кэширование дисковых операций будет отключено для диска, где будут размещаться данные контроллера домена.

В окне «Общий доступ к системному тому» выбирается расположение папки, общей для всех контроллеров домена. При выборе её размещения следует руководствоваться теми же принципами, как и для папок БД и журналов AD . В обоих случаях рекомендуется следовать указаниям, приведенным в окнах мастера установки Active directory .

В окне «Разрешения» требуется выбрать, какие типы серверов MS Windows будут обладать возможностью считывать информацию из AD . Требуется выбрать параметр «Разрешения, совместимые только с Windows 2000 или Windows Server 2003 «.

В окне «Пароль администратора для режима восстановления» требуется ввести пароль, который потребуется для работ в режиме восстановления служб каталогов. Рекомендуется записать введенный пароль, поскольку он независим по отношению к паролю администратора домена.

На этом выбор параметров в мастере установки AD завершается. Можно просмотреть сделанные настройки, при необходимости вернуться назад и изменить необходимые значения.

После нажатия на кнопку «Далее» начнется установка и настройка AD .

По ее завершению будет выведено информационное сообщение о завершении работы мастера установки AD и предложено перезагрузить сервер.

Рекомендуется перезагрузить сервер.

После перезагрузки сервера необходимо убедиться, что Основной режим разрешений (режим Windows Server 2003) установился. Для этого необходимо открыть оснастку « Active Directory – домены и доверие», «встать» мышкой на название своего домена и из меню выбрать «Изменение режима работы домена».

Если Основной режим разрешений не установлен, его необходимо установить.

Для настройки автоматически созданного при установке контроллера домена DNS следует загрузить оснастку DNS , нажать правой кнопкой мыши на вкладке «Зоны обратного просмотра» и из предложенного меню выбрать пункт «Создать новую зону».

Будет выполнен запуск Мастера создания новой зоны.

В окне «Тип зоны» нужно указать, какая зона будет создана. Поскольку производится настройка первого сервера DNS в домене, требуется выбрать пункт «Основная зона», и рекомендуется выбрать параметр «Хранить зону в Active Directory ».

Выбор в окне «Область репликации зоны, интегрированной в Active Directory » рекомендуется остановить на пункте «На все DNS -серверы в домене имя_созданного_домена . local ». Это позволит передавать зоны только в пределах конкретного домена в случае наличия леса.

Окно «Имя зоны обратного просмотра» задает описание, для каких IP -адресов будет вестись накопление информации и предоставление имен по запросу клиентов. Рекомендуется для простоты вводить именно код сети, представляющий собой количество значащих октетов в адресах локальной сети (Например: 192.168.1).

В форме «Динамическое обновление» требуется выбрать, каким образом может быть изменена информация, хранимая DNS -сервером. Для сетей, в состав которых входят клиенты Windows 2000 и старше, можно разрешать только безопасные динамические обновления. В общем же случае рекомендуется выбирать параметр «Разрешать любые динамические обновления».

После этого создание новой зоны обратного просмотра будет завершено, и появится информационное окно с кратким описанием создаваемой зоны. При необходимости можно вернуться назад и внести необходимые изменения.

После того, как создание зоны обратного просмотра будет завершено, можно просмотреть ее содержимое и корректность именования зоны.

Затем нужно произвести настройку зоны прямого просмотра. Для этого, «встав» в ветви «Зоны прямого просмотра» на зону с именем созданного домена, требуется правой кнопкой мыши вызвать меню и выбрать пункт «Свойства».

На вкладке «Общие», как было проделано при создании ветви обратного просмотра, так же рекомендуется задать параметр «Динамическое обновление» в значение «Небезопасные и безопасные».

На этом настройка сервера DNS заканчивается, и теперь необходимо создать записи для сетевых устройств и активного сетевого оборудования.

Создание записи выполняется следующим образом: на зоне с именем домена следует нажать правую кнопку мыши, и выбрать в меню пункт «Создать узел». В форме ввода информации о создаваемом узле нужно ввести имя узла (полное доменное имя заполняется автоматически) и его IP -адрес, после чего проставить галочку на пункте «Создать соответствующую PTR -запись».

По нажатию кнопки «Добавить узел» запись будет внесена сразу в зоны прямого и обратного просмотра. Если галочка не стоит, в зоне обратного просмотра запись придется создавать отдельно.

Настоятельно не рекомендуется создавать записи для компьютеров и серверов домена в DNS вручную. Для корректного создания записи в меню «Пуск — Выполнить» лучше выполнить команду ipconfig / registerdns , которая выполнит регистрацию на DNS -сервере.

Все операционные системы, подключенные к домену должны быть настроены на использование локальных DNS-серверов (обычно ими являются доменные контроллеры) в качестве предпочитаемых и альтернативных. Если конфигурация протокола TCP/IP настроена верно, операционные системы выполняют создание записей в доменных зонах в автоматическом режиме (за исключением Windows 9X).

Установка и настройка DHCP

Применение службы DHCP упрощает администрирование сети и позволяет обеспечить уникальность используемых в домене IP -адресов. Для установки службы DHCP достаточно зайти в «Панель управления», запустить «Установка и удаление программ», и выбрать вкладку «Установка компонентов Windows », «встать» на строку «Сетевые службы», и нажать «Состав».

Нужно установить компонент « DHCP ».

(Компонент « DNS » был добавлен автоматически в ходе установки AD и снимать с него галочку нельзя).

По завершению установки компонента DHCP нужно загрузить оснастку « DHCP », встать на запись, содержащую имя установленного сервера, и, развернув правой кнопкой мыши меню, выбрать пункт «Создать область». Будет запущен Мастер создания области.

В окне «Имя области» требуется ввести имя создаваемой области раздаваемых адресов и описание к ней. Данная информация вводится для удобства, и принципиального значения введенные данные не имеют значения.

В окне «Диапазон адресов» следует ввести начальный и конечный адреса диапазона, который будет доступен для автоматического распределения между компьютерами домена, и задать маску подсети, выбранную на этапе планирования сети.

В диалоговом окне задан диапазон, включающий в себя все возможные значения адресов в сети. Для того , чтобы не происходила выдача используемых адресов ( IP -адреса серверов, активного сетевого оборудования и другие устройства со статическими адресами) необходимо на форме «Добавление исключений» указать исключаемый из распределения диапазон адресов. Можно перечислить адреса, исключаемые из распределения, по одному вводя их в графу « Начальный IP -адрес».

После указания каждого исключаемого адреса либо диапазона требуется подтверждать ввод нажатием кнопки «Добавить», после чего запись будет добавлена в список исключений.

Окно «Срок действия аренды адреса» служит для указания периода времени, спустя который выданный сервером IP -адрес может быть выдан другому получателю динамических адресов. Для сети, в архитектуре и составе которой изменения достаточно редки, рекомендуется устанавливать достаточно длительный срок аренды.

Для уменьшения общего времени создания домена, рекомендуется ответить согласием на предложение мастера создания области произвести настройку параметров DHCP .

Окно « Маршрутизатор (основной шлюз)» заполняется при наличии такового в составе сети.

Если подобного устройства нет, то окно нужно оставить незаполненным. Добавление основного шлюза так же требует нажатия на кнопку «Добавить», после чего введенный адрес маршрутизатора будет добавлен в список.

Окно «Имя домена и DNS -серверы» требует особого внимания. В графу «Родительский домен» требуется ввести без каких-либо сокращений полное имя созданного домена (например: « domain 1. local »). Ошибка или неполный ввод имени домена повлечет за собой проблемы в работе сети, например, сложности с подключением компьютера к домену.

Тут же вводятся адреса DNS -серверов сети. Рекомендуется вводить не адрес DNS -сервера, а его имя, при нажатии на кнопку «Сопоставить» адрес сервера будет проставлен автоматически, после чего так же необходимо нажать на кнопку «Добавить». Если не произошло сопоставление имени DNS -сервера либо был возвращен неверный IP -адрес, это может означать наличие проблем либо в службе DNS , либо в настройке сетевого соединения.

Можно вводить адреса нескольких DNS -серверов, если в сети используется одновременно несколько DNS -серверов.

Если в сети нет серверов WINS , то окно « WINS -серверы» следует оставить пустым.

Окно «Активировать область» позволяет отложить активацию создаваемой области на произвольное время (например, когда настройка сервера производится в другой локальной сети, либо выдача адресов производится другой зоной, и создаваемая зона еще не используется). Если сервер настраивается первым необходимо выбрать пункт «Да, я хочу активизировать эту область сейчас».

На этом работа мастера создания зоны завершается, можно при необходимости вернуться и произвести требуемые изменения в параметрах создаваемой области.

После завершения работы мастера создания зоны требуется авторизовать DHCP в AD . Если этого не проделать, адреса клиентам выдаваться не будут.

Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Авторизовать».

Знаком того, что сервер уже авторизован либо авторизация прошла успешно и теперь может производиться выдача адресов является изменение внешнего вида иконки сервера DHCP .

После авторизации стрелка меняет цвет на зеленый и указывает наверх.

Для того , чтобы выданные сервером адреса автоматически передавались в DNS , следует произвести дополнительную настройку сервера DHCP . Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Свойства».

На вкладке «Служба DNS » рекомендуется выставить те же параметры, что использовались ранее. Данная настройка обеспечит одновременно и передачу информации в DNS обо всех выданных адресах, вне зависимости от типа клиента, и будет выполнять автоматическое удаление устаревшей информации при истечении срока аренды адреса.

Работа клиентов Windows 9х в домене Windows Server 2003

В домене Windows Server 2003 был повышен уровень безопасности по умолчанию, что привело к появлению определенных сложностей в работе устаревших клиентских систем, таких как Windows 95, 98, NT 4.0.

Для того , чтобы позволить данным операционным системам производить работу в домене, рекомендуется выполнить установку на машины клиента Active Directory DSCLIENT.EXE (располагается на дистрибутивах Windows 2000 Server в папке CLIENTS\WIN9X), и произвести ряд модификаций политик безопасности.

Для выполнения модификаций следует запустить оснастки «Политика безопасности контроллера домена»,

затем «Политика безопасности домена», и отключить показанные параметры безопасности.

По информации Microsoft , достаточным является отключение параметра «Сервер сети Microsoft : использовать цифровую подпись (всегда)» в политике безопасности домена Windows 2003.

После завершения редактирования данных политик безопасности рекомендуется произвести перезагрузку сервера.