Как установить на Windows Server 2012 R2 службу каталога Active Directory

Данная заметка будет своего рода шпаргалкой по аналогии с тем что у меня опубликовано на блоге но применительно к домену на Server 2008 R2

Первое устанавливаю саму систему: Windows Server 2012 R2 English, подробно останавливаться на этом не буду, так как все предельно ясно. Однако напомню, следует на сайте майкрософта ознакомиться с минимально допустимыми требованиями к железу.

Я же в свою очередь разберу процесс данной заметки на примере Virtualbox

1. CPU – 2
2. RAM – 4
3. HDD – 40

Рекомендую всегда использовать англоязычные издания Windows Server . Как показывает практика, оригинальные (английские) версии Windows работают стабильнее, к тому же вам будет проще общаться на одном языке с профессионалами в случае возникновения проблем или при желании обменяться опытом.

Перед началом установки роли Active Directory Domain Services необходимо присвоить серверу корректное имя в соответствии со стандартами вашей организации , а затем указать статический IP-адрес в настройках сетевого подключения.

Заходим в систему под учетной записью Administrator и вводим пароль который указывали при установке системы, в моем случаем аутентификационные данные следующие:

• Login: Administrator
• Password: 712mbddr@

Далее открываем оснастку Control Panel, для этого нажимаем сочетание клавиш Win+X и в выпадающем списке выбираем оснастку Control Panel – Category – Small icons – далее выбираем раздел System.

Далее в окне System в разделе «Computer name, domain, and workgroup settings» нажимаем кнопку «Change settings».

В окне «System Properties» на вкладке «Computer Name» нажимаем кнопку «Change».

Далее указываем новое имя сервера в поле «Computer Name» и нажимаем кнопку «OK».

Здесь в данной заметке: Computer Name: srv-dc

Система предупредит о том, что для применения новых настроек необходимо перезагрузить сервер. Теперь система предложит перезагрузить сервер для того чтобы новые настройки вступили в силу. Нажимаем кнопку «Restart Now». Если же проигнорировали данное окно и случайно нажали Cancel, то чтобы перезагрузить сервер делаем так:

Win + C – в правом фрейме выбираем Settings – Power – Restart “Other(Unplanned)” и нажимаем кнопку Continue.

Далее прописываем статический IP— адрес в настройках сетевого подключения:

Нажимаем сочетание клавиш Win+X – Control Panel – Network and Sharing Center – Change adapter settings – выбираем сетевое соединение, вызываем его свойства ( Properties) через правый клик — находим Internet Protocol Version 4 (TCP/IPv4) – Properti e s и указываем:

IP address: 10.9.9.1

Preferred DNS server: 127.0.0.1, т. к. на сервере будет присутствовать роль DNS Server, которая устанавливается вместе с ролью Active Directory Domain Services

Теперь можно приступить к установке роли Active Directory Domain Services.

– Server Manager – Add Roles and features – нажимаем кнопку Next – выбираем: Role-based or feature-based installation и нажимаем кнопку Next – далее выбираем сервер на который будет производиться установка роли: srv-dc 10.9.9.1 и нажимаем кнопку Next

Далее выбираем роль которую хотим использовать на этом сервере: роль Active Directory Domain Services и для ее установки мастер предложит установить так называемые компоненты соглашаемся нажатием кнопки Add Features ( галочка Include management tools (it applicable) должна быть установлена. Нажимаем кнопку «Next».

На этапе добавления компонентов оставляем все значения по умолчанию.

Нажимаем кнопку «Next». — Next

Далее «Мастер установки ролей» предлагает ознакомиться с дополнительной информацией касательно роли Active Directory Domain Services.

Нажимаем кнопку «Next».

Для того чтобы начать установку выбранной роли нажимаем кнопку «Install».

Начинается установка — ожидаем… через некоторое время роль будет установлена останется нажать только кнопку Close

Теперь повысим роль нашего сервера до уровня контроллера домена:

сочетание клавиш Win+X – Control Panel – Server Manager – в левой части выбираем AD DS – More

теперь нажимаем на кнопку Promote this server to a domain controller

Настоятельно рекомендую заранее продумать какое доменное имя вы будете использовать при добавлении нового леса.

В данном руководстве рассматривается добавление нового леса , поэтому в окне «Active Directory Domain Services Configuration Wizard» выбираем пункт «Add a new forest» и в поле «Root domain name» указываем желаемое имя для корневого домена. В рамках этой заметки это polygon.local

На следующем шаге предлагается выбрать функциональный уровень нового леса и корневого домена. Если вы добавляете новый лес и планируете в дальнейшем использовать сервера на базе операционной системы Windows Server 2012 R2, то можете не менять функциональный уровень леса и корневого домена.

Указываем пароль (712mbddr@) для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажимаем кнопку «Next».

На данном этапе «Мастер настройки AD DS» предупредит, что делегирование для этого DNS-сервера создано не было.

Так как в данном примере один домен просто проигнорируйте данное сообщение, если же вы создаете дочерний домен, то на родительском домене необходимо создать делегирование DN S зоны.

Нажимаем кнопку «Next».

Далее можно изменить NetBIOS имя которое было присвоено вашему домену. Рекомендую оставить значение NetBIOS по умолчанию.

Нажимаем кнопку «Next».

Теперь можно изменить пути к каталогам базы данных AD DS, файлам журнала и папке SYSVOL. Рекомендую оставить эти значения по умолчанию.

Нажимаем кнопку «Next».

На следующем шаге отображается сводная информация по настройке сервера которую также можно сохранить в ps1 файле, данный файл есть скрипт PowerShell – т. е. Разворачивание домена можно автоматизировать.

Нажимаем кнопку «Next».

Далее «Мастер настройки AD DS» проверит все ли предварительные требования соблюдены и выведет отчет.

Сообщение «All prerequisite checks are passed successfully» означает, что все требования соблюдены.

Нажимаем кнопку «Install» и тем самым установщик начинает процесс повышения роли сервера до уровня контроллера домена. После того как роль вашего сервера будет повышена до уровня контроллера домена, сервер автоматически перезагрузится.

Д алее я покажу, как производить управление пользователями, группами и другими объектами каталога Active Directory – это делается посредством оснастки Active Directory Administrative Center. Авторизуемся в системе под учетной записью polygon.local\Administrator

сочетание клавиш Win+X – Control Panel – Server Manager – Administrative Tools – запускаем Active Directory Administrative Center либо легко вспоминаемую Active Directory Users and Computers

На этом Установка Active Directory Domain Services на Windows Server 2012 R2 завершена. На этом я пока пожалуй завершу свое пошаговое повествование, в последствии я на основе этой заметки буду строить дальнейшее повествование используемых у меня на рабочем месте сервисов и делиться результатами своих работ на своем блоге, до встречи, с уважением ekzorchik.

Заметки по информационным технологиям

В данной статье будет приведена подробная пошаговая инструкция по установке и настройке с нуля роли Active Directory на базе Windows Server 2012. Инструкция будет основываться на базе английской редакции. Иногда будут приводиться названия параметров и команд, аналогичные русской редакции Windows Server 2012.

Подготовка

Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.

Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings. Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.

192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.

192.168.0.254 — IP адрес шлюза.

Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.

Установка роли Active Directory на Windows Server 2012

Итак, после предварительной настройки сервера, переходим к установки роли службы каталогов.

Start -> Server Manager (Пуск -> Диспетчер сервера).

Add roles and features -> Next

Выбрать Role-based or feature-based Installation (Установка ролей и компонентов) -> Next

Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next

Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.

Можно также выбрать роль DNS Server. Если вы забудете установить галочку для добавления роли DNS Server, можно особо не переживать, т.к. её можно будет добавить позже на стадии настройки роли AD.

После этого жмем каждый раз кнопку Next и устанавливаем роль.

Настройка доменных служб Active Directory

После установки роли, закрыть окно — Close. Теперь необходимо перейти к настройке роли AD.

В окне Server Manager нажать пиктограмму флага с уведомлением и нажать Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера домена) на плашке Post-deploiment Configuration.

Выбрать Add a new forest (Добавить новый лес), ввести название домена и нажать Далее.

Можете выбрать совместимость режима работы леса и корневого домена. По умолчанию устанавливается Windows Server 2012.

На этой вкладке можно будет отключить роль DNS Server. Но, в нашем случае, галочку оставляем.

Далее ввести пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажимаем Далее.

На следующем шаге мастер предупреждает о том, что делегирование для этого DNS-сервера создано не было (A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server. If you are integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain «ithz.ru». Otherwise, no action is required.).

На следующем шаге можно изменить NetBIOS имя, которое было присвоено домену. Мы этого делать не будем. Просто нажимаем Далее.

На следующем шаге можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Мы менять ничего не будем. Нажимаем кнопку Далее.

На следующем шаге отображается сводная информация по настройке. Нажав кнопку View Script, можно посмотреть Powershell скрипт, который произведет настройку доменных служб Active Directory.

# Windows PowerShell script for AD DS Deployment

Убедившись, что все указано верно, нажимаем на кнопку Next.

На следующем шаге производится проверка, все ли предварительные требования соблюдены. После чего покажет нам отчёт. Одно из обязательных требований — это установленный пароль локального администратора. В самом низу можно прочитать предупреждение о том, что после того, как будет нажата кнопка Install уровень сервера будет повышен до контроллера домена и будет произведена автоматическая перезагрузка.

Должна появиться надпись All prerequisite checks are passed successfully. Click «install» to begin installation.

Нажимаем кнопку Install.

После завершения всех настроек, сервер перезагрузится, и вы совершите первый ввод компьютера в ваш домен. Для этого необходимо ввести логин и пароль администратора домена.

На этом базовая настройка служб каталога Active Directory завершена. Конечно же еще предстоит проделать огромный объем работы по созданию подразделений, созданию новых пользователей, настройке групповых политик безопасности, …

Дополнительная информация по статье

Прощай dcpromo, привет Powershell

Из анонсов все уже знают, что утилита dcpromo устарела. Если запустить в командной строке dcpromo, то появится окно с предупреждением, предлагающее вам воспользоваться Диспетчером сервера.

The Active Directory Services installation Wizard is relocated in Server Manager.

Тем не менее, данной командой можно воспользоваться c указанием параметра автоматической настройки — dcpromo /unattend. При работе сервера в режиме Core, предупреждения не будет, а в командной строке появится информация по использованию утилиты dcpromo.

Все эти изменения связаны с тем, что в Windows Server 2012 сделали акцент на администрирование с помощью Powershell.

Компоненты, связанные с Active Directory, удаленны из Windows Server 2012

Службы федерации Active Directory (AD FS)

• Больше не поддерживаются приложения, использующие веб-агенты «в режиме маркеров NT». Эти приложения должны переноситься на платформу Windows Identity Foundation и использовать службу Claims to Windows Token для преобразования имени участника-пользователя из маркера SAML в маркер Windows для использования в приложении.
• Больше не поддерживаются «Группы ресурсов» (описание групп ресурсов см. по адресу http://technet.microsoft.com/library/cc753670(WS.10).aspx)
• Больше не поддерживается возможность использования служб Active Directory облегченного доступа к каталогам (AD LDS) в качестве хранилища результатов проверки подлинности.
• Необходим переход к версии AD FS в Windows Server 2012. Не поддерживается обновление «на месте» с AD FS 1.0 или со «стандартной» версии AD FS 2.0.

Поставщики WMI

• Устарел поставщик WMI для Active Directory. Для управления Active Directory рекомендуется использовать командлеты PowerShell.

Источники информации

Features Removed or Deprecated in Windows Server 2012 — Компоненты, удаленные или не рекомендуемые к использованию в Windows Server 2012.