Установка контроллера домена на windows server 2020

Настройка Active Directory Domain Services

Настройка Active Directory представляет из себя достаточно простой процесс и рассматривается на множестве ресурсов в интернете, включая официальные . Тем не менее на своем блоге я не могу не затронуть этот момент, поскольку большинство дальнейших статей будет так или иначе основано на окружении, настройкой которого я планирую заняться как раз сейчас.

Если вам интересна тематика Windows Server, рекомендую обратиться к тегу Windows Server на моем блоге. Также рекомендую ознакомиться с основной статье по Active Directory — Active Directory Domain Services

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

1. Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
2. Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
3. Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет. Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS 4 5 :

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Установка Active Directory

Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:

Сам процесс установки претерпел некоторые изменения 6 по сравнению с предыдущими версиями ОС:

Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.

Необходимо выбрать только роль Доменные службы Active Directory, никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.

Настройка Active Directory

Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак — требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена.

Далее весь процесс будет проходить в мастере настройки.

Повышение роли сервера до контроллера домена

Этапы работы мастера подробно описаны в документации 7 . Тем не менее, пройдемся по основным шагам.

Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).

После этого сервер самостоятельно перезагрузится.

Создание учетных записей администраторов домена/предприятия

Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory — пользователи и компьютеры, создайте необходимые учетные записи — на этом этапе это администратор домена.

Сразу же рекомендую настроить и иерархию организации (только не используйте русские символы!).

Настройка DNS на единственном DC в домене

Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.

Убедившись в корректности настроек, открываем оснастку DNS. Правой кнопкой нажимаем на имени сервера и открываем его свойства, переходим на вкладку «Сервер пересылки». Адрес DNS-сервера, который был указан в настройках сети до установки роли AD DS, автоматически прописался в качестве единственного сервера пересылки:

Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки — это общеизвестный пул DNS-серверов высшего уровня.

Добавление второго DC в домен

Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен:

Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена! Это обязательно, иначе получите ошибку.

После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.

Настройка DNS на нескольких DC в домене

Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:

Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье Шпаргалка по DNS.

Настройка времени

Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью PDC emulator — Эмулятор первичного контроллера домена). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.

Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.

Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой — Изменить. Переходим в Конфигурация компьютераПолитикиАдминистративные шаблоныСистемаСлужба времени WindowsПоставщики времени. Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows, заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола — NTP, остальные настройки не трогаем:

Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:

Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики — в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:

Подробнее о принципе работы и настройке службы времени читайте в официальной документации 8 .

На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена.

Подготовка домена для установки контроллера домена на Windows Server 2008 R2

Перед установкой первого контроллера домена на Windows Server 2008 R2 в существующий домен (Windows 2000, Windows Server 2003 или Windows Server 2008), вы должны подготовить лес и домен Active Directory. Это делается путем запуска утилиты ADPREP. С этой утилитой вы могли познакомится в статье: обновление домена Active Directory в Wndows 2008.

ADPREP расширяет схему Active Directory и обновляет разрешений, необходимые для подготовки леса и домена к внедрению контроллера домена, который работает под управлением ОС Windows Server 2008 R2.

Примечание: Возможно, вы помните, что ADPREP использовался и в предыдущих версиях Windows Server 2003, Windows Server 2003 R2 и Windows Server 2008. Эта статья специфична для Windows Server 2008 R2.

Не все версии ADPREP выполняют одни и те же операции, но, как правило ADPREP выполняет следующее:

• Обновляет схему Active Directory
• Обновляет дескрипторы безопасности
• Изменяет списки контроля доступа (ACL) на объекты Active Directory и на файлы в папке SYSVOL
• Создает новые объекты
• Создает новые контейнеры

Чтобы подготовить лес и домен для установки первого Windows Server 2008 R2 контроллера домена, выполните следующие задачи:

Важно: Если вы планируете просто добавить в домен рядовой сервер Windows Server 2008 R2 Server, никаких дополнительных действий выполнять не надо. Его можно добавить в домен и без расширения схемы J

Во-первых, вы должны рассмотреть и понять схему обновления и другие изменения, которые внесет ADPREP в Active Directory (AD DS). Вы должны протестировать обновление схемы утилитой ADPREP в тестовой среде, чтобы убедится, что не будет с приложениями, которые работают в вашей среде.

Вы должны сделать резервную копию ваших контроллеров домена, в том числе хозяина схемы и по крайней мере по одному контроллеру домена в каждом домене в лесу AD.

На диске с дистрибутивом Windows Server 2008 R2 нужно найти утилиту adprep.exe (для 64-разрядных серверов) или adprep32.exe (для 32-х разрядных контроллеров домена). Они находятся в папке D:supportadprep

Для выполнения этой процедуры необходимо использовать учетную запись, которая является членом всех следующих групп:

• Администраторы предприятия
• Администраторы схемы
• Администраторы домена в домене, который содержит хозяин схемы

Зайдите с этой учетной записью на существующий контролер домена и откройте командную строку с правами администратора. Введите команду:

adprep /forestprep

В это время в схему AD будут импортированы несколько файлов LDF и сообщения об этом будут отображаться в окне командной строки.

После завершения вы получите сообщение об успешном окончании процесса.

После окончания этой операции дождитесь пока изменения реплицируются на все контроллеры домена в лесу AD.

В окне командной строки введите следующую команду:

Процесс займет менее секунды.

ADPREP должна быть запущена только в Windows 2000 в режиме Native или выше. Если вы попытаетесь запустить ее в смешанном режиме (Mixed Mode), вы получите ошибку:

Adprep detected that the domain is not in native mode

[Status/Consequence]
Adprep has stopped without making changes.

[User Action]
Configure the domain to run in native mode and re-run domainprep

После окончания этой операции дождитесь пока изменения реплицируются на все контроллеры домена в лесу AD.

Если ваш домен уже работал в режиме Windows 2008 Active Directory, на этом процесс можно считать оконченным, никаких дополнительных задач выполнять не требуется.

Если вы работаете в домене Active Directory Windows 2000, вы должны выполнить следующую команду:

Если вы работаете в домене Active Directory Windows 2003, то также никаких дополнительных действий выполнять не нужно. Однако, если вы планируете использовать контроллеры домена RODC (Read Only Domain controllers), вы также должны набрать следующую команду:

Если у вас уже запускали эту команду в домене Windows Server 2008, то вам не нужно запускать ее снова.

Команда отработает за пару секунд.

Чтобы убедиться, что Adprep / ForestPrep отработала успешно, выполните следующие действия:

1. Зайдите на компьютер с установленной ADSIEdit. ADSIEdit устанавливается по умолчанию на контроллеры домена под управлением Windows Server 2008 или Windows Server 2008 R2. В Windows Server 2003 необходимо установить Resource Kit Tools.

2. Нажмите Пуск -Выполнить, введите ADSIEdit.msc, а затем нажмите кнопку ОК.

3. Нажмите Action, а затем нажмите кнопку Connect to.

4. Нажмите Naming Context, выберите Configuration и ОК.

5. Откройте пункт Configuration, а затем CN = Configuration, DC = forest_root_domain, где forest_root_domain — имя вашего корневого домена.

6. Откройте CN = ForestUpdates.

7. Щелкните правой кнопкой мыши по CN = ActiveDirectoryUpdate, а затем выберите пункт Свойства.

8. Если вы запускали adprep /forestprep для Windows Server 2008 R2, убедитесь, что значение атрибута Revision — 5, а затем нажмите кнопку ОК.

9. В ADSIEdit перейдите в раздел Schema

10. Щелкните правой кнопкой мыши по узлу CN = Schema, CN = Configuration, DC = forest_root_domain, а затем выберите пункт Свойства.

11. Если вы запускали adprep /forestprep для Windows Server 2008 R2, убедитесь, что значение атрибута objectVersion равен 47, а затем нажмите кнопку ОК.

Установка нового контроллера домена Active Directory

Ранее разговор был о том, как нельзя проектировать службы каталогов. Сейчас же, мы поговорим о практической составляющей и применим ранее полученное знание на практике. В этой статье будут рассмотрены вопросы подготовки свежего сервера под новый лес Active Directory. Задачи не сложные, но критически важные! Именно сейчас закладывается фундамент будущей инфраструктуры.

Инсталляция операционной системы

В качестве платформы виртуализации будет использоваться инфраструктура VMWare, VSphere 6.7 с гипервизором той же версии.

Сама же виртуальная машина должна обладать следующими минимальными техническими характеристиками — 1 Core, 2 RAM, 30 GB SSD.

При проектировании инфраструктуры возникает вопрос именования как виртуальных машин, так и самих хостов. В этом вопросе моя позиция состоит в жестком соблюдении конвенции именования. Например, виртуальная машина будет иметь следующее имя: kv-dc01.corp.norvato.pp.ua, где

• Обязательный географический признак, например, kv – Kyiv;
• Сокращение dc будет означать domain controller;
• 01, порядковый номер сервера. Если планируется несколько серверов с развертываемым сервисом, номер обязателен;
• corp.norvato.pp.ua – внутренняя DNS зона организации.

Описанный способ удобен ввиду явной однозначности интерпретирования. Можно с уверенностью понять, что за сервис и где его расположение.

В качестве операционной системы будет использоваться Windows Server 2019 Standard Core. В конфигурации виртуальной машины обязательное наличие UEFI и включенным Secure Boot. Сервер устанавливается стандартно и после завершения процесса необходимо задать пароль встроенной учетной записи Administrator:

Окно задания пароля administrator установленного Windows Server Core

После описанных шагов, сервер готов для предварительной конфигурации перед установкой первого контроллера домена.

Пост конфигурация

Средства интеграции VMWare Tools

Как ранее я писал, моя лаба будет построена на технологии виртуализации VMWare. Это означает, что самым первым обязательным шагом будет инсталляция средств интеграции VMWare Tools. Установка происходит вызовом этого действия консоли VMRC или веб клиента.

Инсталляция в VMRC средств интеграции VMWare Tools

Инсталляция в веб клиенте средств интеграции VMWare Tools

Как только ISO файл будет примонтирован к виртуальной машине, необходимо выполнить D:setup64.exe, тем самым запустив установку средств интеграции. В конце выполнения мастер попросит о перезагрузке:

Перезагрузка после установки средств интеграции VMWare Tools

Утилита sconfig

После перезагрузки, для дальнейшей конфигурации сервера, будет использована утилита sconfig. Она появилась с Windows Server 2008 R2 Core в качестве штатной утилиты для быстрой начальной настройки. Вызвать ее можно выполнив sconfig в окне cmd:

утилита sconfig

С помощью нее выпонняем следующую настройку:

1. Имени сервера (опция 2), в моем случае kv-dc01;
2. Устанавливаем все необходимые обновления (опция 6);
3. Задаем сетевые настройки (опция 2). Устанавливаем статический IP адрес;
4. Указываем корректный часовой пояс (опция 9);
5. Активируем сервер (опция 11).

Отключение IPv6

В дефолтном состоянии сетевого интерфейса автоматически сконфигурирован link-local IPv6 адрес. Интерфейс будет ждать любого анонса от IPv6 роутера, который даст динамический адрес. Если в вашей сетевой инфраструктуре не используется протокол IPv6, рекомендую отключить его поддержку. Делается это так:

В настоящей статье мы подробно рассмотрим процесс развёртывания контроллера домена на на базе Windows Server 2016, а также процесс настройки служб AD DS и DNS.

Первое, что необходимо сделать, это подготовить систему для развертывания служб.

Для этого устанавливаем операционную систему Windows Server 2016 и обновляем её до актуального состояния.

Следующий шаг, это изменяем имя сервера. Для этого идём в Диспетчер серверов и переходим на вкладку Локальный сервер. Кликаем по имени компьютера.

В появившемся окне жмём Изменить

И изменяем имя на своё (например BEARNET_DC1)

Жмём ОК! Система затребует перезагрузку. Жмём Перезагрузить позже.

Следующий шаг, это указать статические IP-адреса в настройках TCP/IP и изменить настройки временной зоны на относящуюся к нам.

Для этого всё в том же Диспетчере серверов кликаем по настройкам сетевой карты и часовому поясу.

Примеры настройки TCP/IP и временной зоны:

На этом первоначальная подготовка система закончена, перезагружаем сервер и можно приступать к развертыванию служб.

Приступим к развертыванию служб Active Directory и DNS.

Добавляем новую роль на сервере. Для этого идём в Диспетчер серверов и на вкладке панель мониторинга кликаем Добавить роли и компоненты.

В появившемся окне жмём Далее.

Выбираем первый пункт Установка ролей и компонентов и жмём Далее

В следующем окне выбираем сервер на котором будет развёрнута роль. Жмём Далее.

Галочкой отмечаем роль Доменные службы Active Directory и в подтверждающем запросе мастера добавления ролей и компонентов жмём Добавить компоненты. Жмём Далее.

В следующем окне система предлагает выбрать дополнительные компоненты. В моём случае в этом нет необходимости. Жмём Далее.

Следующее окно является информационным. на нём наше внимание обращается на то что желательно иметь по два контролера домена в каждом домене. Также здесь говорится о том что службы Active Directory требуют наличие установленного в сети DNS-сервера, если он не установлен, то будет предложено его установить. Жмём Далее.

На завершающей странице мастера жмём Установить.

После завершения установки Роли, в Диспетчере серверов кликаем по значку Флажка с восклицательным знаком и выбираем Повысить роль этого сервера до уровня контроллера домена.

Далее открывается окно Мастера настройки доменных служб Active Directory где необходимо выбрать вариант развёртывания контроллера домена. Выбираем добавить новый лес и указываем корневое имя домена. Жмём Далее.

В параметрах контролера домена оставляем всё по умолчанию, задаём пароль для восстановления служб каталогов (DSRM). Проверяем наличие галочки в пункте DNS-сервер, она необходима для автоматического поднятия роли DNS.

В параметрах DNS оставляем всё по умолчанию. На ошибку делегирования не обращаем внимание, т.к. роль DNS поднимается в процессе конфигурации контроллера домена. Жмём Далее.

Следующие три окна просто жмём Далее.

Дожидаемся окончания проверки готовности к установке. После сообщения мастера об успешной проверке жмём Установить.

В ходе установки конфигурации Контроллера домена, сервер будет перезагружен. После того, как сервер перезагрузился добавим в DNS зону обратного просмотра. Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств.

В Диспетчере серверов кликаем по кнопке Средства и вападающем списке выбираем DNS.

В диспетчере DNS выделяем вкладку Зоны обратного просмотра, кликаем правой кнопкой мыши и выбираем Создать новую зону.

В мастере создания новой зоны выбираем тип добавляемой зоны. Выбираем Основная зона и жмём Далее.

Далее предлагается выбрать каким образом будет выполняться репликация добавляемой зоны. Выбираем Для всех DNS-серверов, работающих на контролерах домена в этом домене.

В следующем окне выбираем Зону обратного просмотра IPv4 и жмём Далее.

Далее задаём Идентификатор сети. В моём варианте это 192.168.1. Жмём Далее.

В следующем окне выбираем Разрешить любые динамические обновления и жмём Далее.

В завершении мастера создания новой зоны жмём Готово.

На следующем этапе укажем Сервера пересылки. Они необходимы для того чтобы кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет. Это необходимо для того чтобы локальные компьютеры доменной сети смогли получить доступ в интернет.

В диспетчере DNS выделяем наш сервер и кликаем правой кнопкой мыши. В Выпадающем меню выбираем свойства

далее переходим во вкладку Сервер пересылки и жмём кнопку Изменить.

В редакторе серверов пересылки вводим IP-адрес или DNS имя провайдера или например DNS Google (8.8.8.8). Жмём ОК.

Контроллер домена развёрнут и настроен. Можно добавлять компьютеры в домен.

Установка и настройка Active Directory в Windows Server 2019

Установка и настройка Active Directory в Windows Server 2019

Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.

Перед тем как я покажу процесс установки AD в Windows Server 2019, я бы хотел вам напомнить, что ASctive Directory — это по сути создание централизованной базы данных в которой будут хранится и управляться компьютеры, пользователи, принтеры. Более подробно, что такое Active Directory читайте по ссылке слева.

Подготовительный этап

Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.

Установка и настройка Active Directory на 2019 сервере

Существует два метода выполнения нашей задачи:

1. Классический метод с использованием оснастки «Диспетчер серверов»
2. Использование утилиты Windows Admin Center
3. Второй метод, это использование Power Shell

Установка AD через сервер менеджеров

Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».

Тип установки оставьте «Установка ролей и компонентов».

Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.

Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.

Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.

Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.

Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:

• Средства удаленного администрирования сервера
• Средства администрирования ролей
• Средства AD DS и AD LDS
• Модуль Active Directory для PowerShell
• Центр администрирования Active Directory
• Оснастки и программы командной строки AD DS
• Управление групповой политикой

Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.

Выгруженная конфигурация, это XML файл с таким вот содержанием.

Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.

Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».

То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.

Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.

На следующем окне вы должны выбрать параметры:

• Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
• Режим работы домена, так же определяет какие функции будут доступны на уровне домена.

• DNS-сервер, лучше всегда совмещать эти роли
• Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
• Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
• Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора

Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.

Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.

Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:

• Папка базы данных — C:WindowsNTDS
• Папка файлов журналов — C:WindowsNTDS
• Папка SYSVOL — C:WindowsSYSVOL

Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.

Выглядит сценарий вот так:

Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.

В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.

После установки вам сообщат:

Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.

Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,

В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.

Установка контроллера домена Windows Server 2019 с помощью Powershell

Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.

Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.

Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.

Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.

Полезные команды при установке доменных служб

• Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
• Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
• Просмотр подсетей — Get-ADReplicationSubnet -Filter *
• Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
• Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions

Полезные командлеты в модуле ADDSDeployment

• Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
• Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
• Установка дополнительного контроллера домена — Install-ADDSDomainController
• Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
• Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation

Установка и настройка Active Directory Windows Admin Center

Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.

Появится мастер установки, если все верно, то нажмите да.

В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.

Процесс установки доменных служб.

Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.