Windows Server 2019 — установка контроллера домена

Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.

AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.

Подготовительные работы

Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:

После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:

Хочется отметить обязательные пункты, которые нужно выполнить.

Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.

Укажите имя сервера.

Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.

Установка роли Active Directory Domain Services

Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.

Дополнительно будет установлена роль DNS.

Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.

Запускается мастер добавления ролей.

Раздел Before You Begin нас не интересует. Next.

В разделе Installation Type выбираем Role-based or feature-based installation. Next.

В разделе Server Selection выделяем текущий сервер. Next.

В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.

Для роли контроллера домена нам предлагают установить дополнительные опции:

• [Tools] Group Policy Management
• Active Directory module for Windows PowerShell
• [Tools] Active Directory Administrative Center
• [Tools] AD DS Snap-Ins and Command-Line Tools

Всё это не помешает. Add Features.

Теперь роль Active Directory Domain Services отмечена галкой. Next.

В разделе Features нам не нужно отмечать дополнительные опции. Next.

У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.

Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.

Начинается установка компонентов, ждём.

Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.

Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.

Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:

• Add a domain controller to an existing domain
• Add a new domain to an existing forest
• Add a new forest

Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.

Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.

Попадаем в раздел Doman Controller Options.

В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.

У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.

В Domain functional level также выбираю Windows Server 2012.

Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.

Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.

Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found. «. Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.

В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.

В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:

• Database folder: C:\Windows\NTDS
• Log files folder: C:\Windows\NTDS
• SYSVOL folder: C:\Windows\SYSVOL

В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.

Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.

Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.

Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.

Для начала установки роли контроллера домена нажимаем Install.

Начинается процесс установки.

Сервер будет перезагружен, о чём нас и предупреждают. Close.

Дожидаемся загрузки сервера.

Первоначальная настройка контроллера домена

Наша учётная запись Administrator теперь стала доменной — ILAB\Administrator. Выполняем вход.

Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.

На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.

Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.

Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.

Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.

Правой кнопкой на корень каталога, New > Organizational Unit.

Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.

Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.

Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.

Создание администратора домена APS Create an APS Domain Administrator

Для некоторых операций требуются права администратора домена системной платформы аналитики. Some operations require Analytics Platform System domain administrator privileges. В этом разделе объясняется, как создать дополнительных администраторов домена устройств. This explains how to create additional appliance domain administrators.

Создание администратора домена Create a Domain Administrator

Чтобы иметь достаточные разрешения для настройки всех узлов AP, пользователь, запускающий Configuration Manager ТД ( dwconfig.exe ), должен быть членом группы «Администраторы домена «. To have sufficient permissions to configure all APS nodes, the user running the APS Configuration Manager ( dwconfig.exe ) must be a member of the Domain Admins group. Для запуска и завершения служб APS пользователь должен быть членом группы пдвконтролнодеакцесс . To start and stop the APS services, the user must be a member of the PdwControlNodeAccess group.

Добавление пользователя в группу «Администраторы домена» To add a user to the Domain Admins group

Войдите в активный узел AD (устройство_Domain-AD01 или ** устройство_Domain-AD02**), используя существующую учетную запись администратора домена устройства. Log into the active AD node (appliance_domain-AD01 or appliance_domain-AD02) using an existing appliance domain administrator account.

В меню Пуск выберите команду выполнить. On the Start menu, click Run. В поле Открыть введите DSA. msc. In the Open box, type dsa.msc. Нажмите кнопку ОК. Click OK.

В программе Active Directory пользователи и компьютеры щелкните правой кнопкой мыши элемент Пользователи, наведите указатель на пункт создатьи выберите пункт пользователь. In the Active Directory Users and Computers program, right-click Users, point to New, and then click User.

В диалоговом окне новый объект — пользователь введите описание нового пользователя и нажмите кнопку Далее. In the New Object — User dialog box, complete the description of the new user, and then click Next.

Заполните диалоговое окно пароль и нажмите кнопку Далее. Complete the password dialog box, and then click Next.

SQL Server PDW не поддерживает знак доллара ($) в паролях администратора домена или локального администратора. SQL Server PDW does not support the dollar sign character ($) in the domain administrator or local administrator passwords. Пароль, содержащий знак доллара, будет действительным и пригодным для использования, но может блокировать операции обновления и обслуживания. A password containing a dollar sign will valid and be usable but can block upgrade and maintenance activities

Подтвердите новое описание пользователя и нажмите кнопку Готово. Confirm the new user description, and then click Finish.

В списке пользователей дважды щелкните нового пользователя, чтобы открыть диалоговое окно Свойства пользователя. In the list of users, double-click the new user to open the user properties dialog box.

На вкладке Входит в состав нажмите кнопку Добавить. On the Member Of tab, click Add.

Введите Администраторы домена. Пдвконтролнодеакцесс и нажмите кнопку Проверить имена. Type Domain Admins; PdwControlNodeAccess and then click Check Names. Нажмите кнопку ОК. Click OK.

Это добавит нового пользователя в группу «Администраторы домена » и группу пдвконтролнодеакцесс . This adds the new user to the Domain Admins group and the PdwControlNodeAccess group. Нажмите кнопку ОК. Click OK.