Контроллер домена 2008 R2

Эта статья для тех, у кого воникают трудности с установкой и насройкой роли контроллера домена. Запомните важное правило - для контроллера домена желательно выделить отдельный компьютер\сервер и не совмещать с другими ролями. Это связано с тем, что роли могут влиять на работу контроллера домена. К примеру, если у вас контроллер ещё и шлюз в интернет, то без правильной настройки интерфейсов AD DS просто не смогут работать. А если у вас на контроллере домена установлено критичное приложение, которое требует срочного обновления и перезагрузки? Или на контроллер домена перенаправляются папки пользователей? Вот почему я не долюбливаю SBS редакции, но хорошо, что SBS 2011 - последняя версия. Хотя молги бы сделать SBS, где роли разнесены по виртуальным машинам. Сама по себе перезагрузка не критична, а что если после обновления программы сервер не загрузится?

Для установки контроллера домена достаточно следовать следующим ниже инструкциям. Очень много настроек уже предусмотрены Microsoft, по этому менять их нет необходимости. К тому же это может привести к нестабильной работе служб AD. Весь процесс установки очень прост и не требует много времени. После установки чистой ОС я не рекомендую отключать протокол IPv6. Если вам не привычно с ним работать, измените порядок работы протоколов: Fix 50410

Исходные данные:
- Хостовой сервер: Intel 2700, 8 GB RAM, ATI 4550, Windows Server 2012 Eval,Hyper-V, виртуальный коммутатор в режиме INTERNAL, RRAS для подключения гостевого сервера к интернету.
- Гостевой сервер: Intel 2700 x4, 2 GB RAM, ATI 4550. x4 для гостевого означает, что добавлено 4 виртуальных процессора.
- Сетевые настройки гостевого сервера: статический адрес, ДНС указывает на мой корпоративный контроллер домена.

Запускаем Server Manager, и визард установки ролей. Выполняем по умолчанию до завершения установки:

Отмечаем только Active Directory Domain Services. Роль ДНС сервера будет установлена в процессе.

Можно выбрать "Close" или нажать "dcpromo.exe". В первом случае dcpromo.exe можно запустить из командной строки.

Выбираем "Create a new domain in a new forest", т.к. мы создаём контроллер домена в новой оганизации, где нет других доменов.
Пункт "Existing forest" для того случая, когда вы или добавляете дополнительный контроллер домена (Add a domain controller to an existing domain) или создаёте дочерний домен (Create a new domain an existing forest)

Имя корневого домена выбираем на своё усмотрение. Однако есть некоторые особенности в именовании домена.
Во-первых если вы используете интернет зону, например ".ru", ".com", то при наличии веб-сайта с одноименным доменом потребуется дополнительная настройка ДНС.
Во-вторых если вы используете зону ".local" некоторые клиенты, по отзывам в интернете, не смогут корректно взаимодействовать с доменом. Например МАС OS. Однако, при установки Windows Server Small Business 2011 зона будет ".local", и при этом мои клиенты МАС OS в нашей организации работают с доменом без проблем. Для подключения MAC OS к Windows домену я не использую встроенные средства в MAC OS. Я использую бесплатную программу Power Broker Open Edition.

Т.к. у нас новая организация без домена и в будущем мы не будем устанавливать контроллеры домена ниже 2008 R2, то уровень леса выбираем 2008 R2.

Поддерживается сценарий когда ДНС сервер расположен на другом сервере. Но мы не будем отклонятся от классического сценария и не будем менять настройки по умолчанию для ДНС сервера.

Делегирование ДНС невозможно по причине того, что ДНС ещё не установлен. После перезагрузки создастся зона, и ДНС будет делегирован для AD доменной зоны.

На следующем этапе не нужно менять расположение системных папок! Т.к. вненесение измений на этом этапе не гарантирует корректную работу служб AD.

Задаём пароль для Administratora, который используется для восстановления AD в случае неполадок.

После перезгрузки в журналах мы увидим предупреждения. Это нормальное поведение, и некотрые из них будут повторятся при последующих перезагрузках контроллера домена. Однако их не будет во время работы, и через некоторое время они не будут регистрироваться DCDIAG.

Далее изобрежена оснастка ADUC, с уже созданной некоторой структурой. После установки контроллера домена, не забудьте отключить учётную запись Administrator. Для административных задач создайте новую административную учётную запись. Она может быть копией встроенного Administratora. Эти действия исключительно из соображений безопасности.

Оснастка управления групповыми политиками. Не меняйте политики Default. От них зависит работа всего домена и контроллера домена.

После установки служб AD сетевые настройки сервера будут изменены. Вам нужно их слегка подправить следуя рекомендациям Microsoft.
Configure adapter settings to add the loopback IP address to the list of DNS servers on all active interfaces, but not as the first server in the list
Сконфигурируйте настройки адаптера, добавив петлевой IP адрес в список ДНС серверов во всех активных интерфейсах, но не как первый сервер в списке.

Единственные необходимые настройки ДНС сервера - добавление "внешнего" ДНС сервера (куда будут перенаправляться интернет-запросы) и создание обратной зоны для вашей сети (выделено красным). Спискок ДНС для перенаправления уже может содержать предыдущий ДНС сервер или список будет пустой в случае, если никаких ДНС не было указано перед установкой.

Для корректной работы служб, сервисов (к примеру Exchange), которым нужны службы AD, необходимо определить сети домена. Оснастка ADSS.

На этом всё. Все необходимые оснастки есть Adninstrative Tools

Заключение. Важные моменты:

- Не рекомендуется использовать контроллер домена в роли маршрутизатора в целях безопасности из-за угроз из сети Интернет.
- Я не рекомендую совмещать "тяжёлые" и наиболее используемые пользователями роли (Exchange, File Server, Hyper-V) с ролями AD DS. Это связанно не столько с доступом пользователей к серверу, сколько к обслуживанию и восстановлению ролей. Я считаю, что в случае, если какая-либо роль даёт сбой, то на время её восстановления приходится выключать\перезагружать сервер, а следовательно пропадает авторизация, необходимая для доступа к другим ресурсам. Вот почему я не люблю SBS редакцию.
- Для контроллера домена необходим статический IP адрес.
- В настройках сетевого адаптера в поле ДНС должны быть указаны только IP адреса контроллеров домена и только после петлевой адрес 127.0.0.1.
- Для работы с интернетом необходимо проверить вкладку Forwarders в настройках ДНС сервиса.
- При наличии внешней сетевой карты исключить её из регистрации в ДНС. Настройки для внешней сетевой карты выдаются провайдером. На моей практике в одном из "двадцати" случаев наличие ДНС на внешнем интерфейсе не влияет на работу контроллера домена.
- После установки роли AD DS необходимо создать обратную зону в ДНС, определить сеть для вашего сайта.

18.10.2012