Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Недавно я уже публиковал статью, посвященную переимнованию контроллера домена Windows Server 2008. Сегодня я собираюсь опубликовать связанную, но совершенно другую задачу – переимнование домена. Переименование домена это процедура, которую выполняют очень редко в реальном окружении, если вообще когда либо выполняют. Однако например в тестовом окружении это бывает полезно, да и просто для широты кругозора это не помешает знать.

У Microsoft имеется много информации в документации, посвященной переименованию домена и я рекомендую использовать её(ссылка будет в конце статьи), особенно если дело касается домена в промышленной среде. Однако шаги ниже впринципе вполне полностью описывают процедуру переименования и достаточны для тестовых целей. Для начала опишем первоначальные требования к переименованию домена в среде с одним доменом в лесу:

• У вас должны быть права Enterprise Administrator.
• Домен должен функционировать в нормальном режиме, не должно быть ни каких ошибок.
• Функциональный уровень леса должен быть Windows Server 2003 или 2008, и все контроллеры домена должны быть под управлением как минимум Server 2003.
• Должна существовать DNS зона для нового домена.
• На рядовой сервер необходимо скопировать утилиты Rendom и Gpfixup для выполнения операции переименование. Данная операция не может быть выполнена с контроллера домена.
• Дополнительные требования выдвигаются к DFS, перемещаемым профилям, центру сертификации и серверу Exchange. По этим вопросам посмотрите ссылку на документацию на TechNet, которая будет в конце статьи.

Переименование домена выполняется утилитой Rendom, которая устанавливается вместе с Active Directory при запуске dcpromo. Далее выполняем следующие шаги.

1. Выполните команду“rendom /list” для генерации файла Domainlist.xml, содержащего текущую конфигурацию леса.
2. Отредактируйте полученный файл, заменив значения полей и на новое имя домена.
3. Выполните команду“rendom /showforest” для отображения потенциальный изменений. Этот шаг не делает никаких реальных изменений.
4. Выполните команду “rendom /upload” для загрузки инструкции переименования на контроллер домена с ролью domain naming operations master. Данная инструкция будет реплицирована на все другие контроллеры в лесу. После репликации на все контроллеры инструкция будет готова к применению. Вы можете ускорить репликацию запустив команду “repadmin /syncall”.
5. Выполните команду “rendom /prepare” для проверки готовности всех контроллеров домена в лесу к процедуре переименования. Все контроллеры должны сообщить о готовности и не должно быть никаких ошибок.
6. Выполните команду “rendom /do” для проверки готовности всех контроллеров, затем будет запущена процедура переименования для каждого контроллера. На период выполнения будет прерывания работы домена. После окончания процедуры контроллеры будут перезагружены. Если в период выполнения процедуры произойдет ошибка будет выполнен откат изменений. Поэтому любой контроллер домена, который завершил процедуру переименования с ошибкой должен быть понижен до рядового сервера.
7. Выполните команду “gpfixup” для обновления всех ссылок на групповые политики.
8. Дважды перегрузите все клиентские компьютеры и рядовые сервера для получения нового доменного имени. Так как при процедуре переименования GUID домена остается старый, членство в домене не затрагивается. DNS суффикс на клиентских машинах будет обновлен автоматически если установлена опция “Change primary DNS suffix when domain membership changes”.
9. Выполните команду “rendom /clean” для удаления ссылок на устаревшее имя домена из Active Directory.
10. Выполните команду “rendom /end” для прекращения заморозки конфигурации леса и разрешения дальнейших изменений.

Если у вас проявились какие либо проблемы с определением клиентскими машинами нового имени домена то вы можете удалить их с помощью команды “netdom remove /Domain: /Force”, затем перегрузить и присоединить к новому домену. После того как переименование завершено, нам остается сделать только одно последнее действие. DNS суффикс контроллера домена не был изменен в ходе процедуры и нам необходимо сделать это вручную.

Для дальнейшего изучения публикую обещанную ссылку на документацию TechNet

Определение функционального уровня домена или леса

Функциональные уровни определяют возможности службы AD DS (Active Directory Domain Services), доступные в домене или в лесу. Они также ограничивают версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но функциональные уровни не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, входящих в домен или лес.

При создании нового домена или нового леса устанавливайте максимально возможные функциональные уровни домена и леса, которые может поддерживать среда. Таким образом, можно будет пользоваться преимуществами максимального количества возможностей службы AD DS. Например, если известно, что в домен или лес никогда не будут добавлены контроллеры домена с операционной системой Windows Server 2008 (или более ранней версией), выберите режим работы Windows Server 2008 R2. С другой стороны, если существует вероятность того, что будут добавлены или оставлены контроллеры домена с операционной системой Windows Server 2008 или более ранней версией, выберите при установке режим работы Windows Server 2008. Повысить функциональный уровень можно и после установки, когда появится уверенность в том, что подобные контроллеры домена не используются и не будут добавляться.

При установке нового леса будет предложено определить функциональный уровень леса, а затем функциональный уровень домена. Нельзя определить для функционального уровня домена значение, меньшее функционального уровня леса. Например, если установлен режим работы леса Windows Server 2008 R2, можно установить только режим работы домена Windows Server 2008 R2. Режимы работы домена Windows 2000, Windows Server 2003 и Windows Server 2008 на странице мастера Задание режима работы домена будут недоступны. Кроме того, всем доменам, впоследствии добавляемым в лес, по умолчанию будет назначаться режим работы домена Windows Server 2008 R2.

После установки значения режима работы домена его нельзя отменить или понизить, за исключением следующего случая: режим работы домена повышается до Windows Server 2008 R2, а для леса установлен уровень работы Windows Windows Server 2008 или ниже. В этом случае можно восстановить режим работы домена Windows Server 2008. Режим работы домена может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы домена Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.

После установки значения режима работы леса его нельзя отменить или понизить, за исключением следующего случая: режим работы леса повышается до Windows Server 2008 R2, а корзина Active Directory не включена. В этом случае можно восстановить режим работы леса Windows Server 2008. Режим работы леса может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы леса Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.

В следующем разделе объясняются наборы возможностей, доступные при различных функциональных уровнях домена и леса.

Возможности, доступные на функциональных уровнях доменов

В следующей таблице перечислены доступные возможности и поддерживаемые операционные системы контроллеров домена для каждого функционального уровня домена.

• Универсальные группы как для групп рассылки, так и для групп безопасности
• Вложенные группы
• Преобразование групп, позволяющее выполнять преобразование между группами рассылки и группами безопасности
• Журнал идентификаторов безопасности

• Для переименования контроллера домена доступно средство управления доменом Netdom.exe.
• Обновление метки времени входа в систему. Атрибут lastLogonTimestamp получит значение времени последнего входа в систему пользователя или компьютера. Этот атрибут реплицируется внутри домена. Обратите внимание, что этот атрибут не может быть обновлен, если проверку подлинности учетной записи осуществляет контроллер домена только для чтения (RODC).
• В качестве эффективного пароля для объектов inetOrgPerson и объектов пользователей может быть определен атрибут userPassword.
• Возможно перенаправление контейнеров пользователей и компьютеров. По умолчанию предусмотрено два общеизвестных контейнера для размещения учетных записей компьютеров и пользователей/групп: cn=Computers,<корень_домена> и cn=Users,<корень_домена>. Благодаря этой возможности можно определить новое общеизвестное местонахождение этих учетных записей.
• Диспетчер авторизации может хранить свои политики авторизации в службе AD DS.
• Ограниченное делегирование, позволяющее приложениям использовать преимущество защищенного делегирования учетных данных пользователя с помощью протокола проверки подлинности Kerberos. Делегирование можно настроить так, чтобы оно было доступно только конкретным целевым службам.
• Поддержка выборочной проверки подлинности, позволяющая задать пользователей и группы из доверенного леса, которым разрешено проходить проверку подлинности на серверах ресурсов доверяющего леса.

• Поддержка репликации распределенной файловой системы (DFS) для SYSVOL, обеспечивающая более надежную и подробную репликацию содержимого SYSVOL. Чтобы использовать репликацию DFS для SYSVOL, может понадобиться выполнить дополнительные действия. Для получения дополнительных сведений см. описание файловых служб (http://go.microsoft.com/fwlink/?LinkId=93167).
• Поддержка расширенных служб шифрования (AES 128 и 256) для протокола Kerberos.
• Сведения о последнем интерактивном входе в систему, показывающие время последнего успешного входа пользователя в систему, с какого компьютера был выполнен вход, также количество неудачных попыток входа с последнего входа в систему.
• Детальные политики паролей, позволяющие определять для пользователей и глобальных групп безопасности в домене политики блокировки учетных записей и паролей.

• Контроль механизма проверки подлинности, позволяющий определить примененный пользователем метод входа в систему (смарт-карта или имя пользователя и пароль) по его токену Kerberos. Если этот компонент включен в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями (например, службы федерации Active Directory (AD FS)), данные токена могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые предназначены для определения авторизации на основе метода, применяемого пользователем для входа в систему.

Возможности, доступные на функциональных уровнях лесов

В следующей таблице перечислены доступные возможности и поддерживаемые операционные системы контроллеров домена для каждого функционального уровня леса.

• доверие леса;
• переименование домена.
• Репликация связанных значений (изменения членства в группах, чтобы сохранить и реплицировать значения для отдельных членов вместо репликации всего членства как единого блока). Это изменение приводит к уменьшению используемых пропускной способности локальной сети и ресурсов процессора при репликации, а также устраняет возможность потери обновлений при одновременном добавлении или удалении различных членов на различных контроллерах домена.
• Возможность развертывания RODC
• Улучшенные алгоритмы и масштабируемость проверки согласованности знаний (KCC). Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, масштабируемые для поддержки лесов с увеличенным количеством сайтов, чем может поддерживаться на функциональном уровне леса Windows 2000.
• Возможность создавать экземпляры динамического вспомогательного класса dynamicObject в разделе каталога домена.
• Возможность преобразовывать экземпляр объекта inetOrgPerson в экземпляр объекта пользователя и обратно.
• Возможность создавать экземпляры новых типов групп, называемых базовыми группами приложений и группами запросов LDAP, для поддержки авторизации на основе ролей.
• Деактивация и переопределение атрибутов и классов в схеме

• Корзина, предназначенная для полного восстановления удаленных объектов во время работы служб AD DS.

Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме Windows Server 2008 R2.

Админко

К одному из ключевых моментов концепции доменных служб Active Directory можно отнести обеспечение авторизации принципалов безопасности для получения доступа к имеющимся сетевым ресурсам. Несмотря на то, что весь доступ к сетевым ресурсам основан на учетных записях отдельных пользователей, компьютеров или служб, со временем они могут меняться. В средних и крупных компаниях управление существующими пользователями требует большой административной нагрузки. Стоит учесть, что пользователи, выполняющие в компании конкретную роль, могут меняться, но сама роль должна оставаться без каких-либо изменений. Если назначать доступ к сетевым ресурсами индивидуально для каждого отдельного пользователя, то списки контроля доступа ACL вскоре станут неуправляемыми и при изменении отдела пользователем вам нужно будет учесть все возможные разрешения доступа. Так как этот процесс может легко выйти из-под контроля, задачи, связанные с управлением должны быть привязаны к объектам групп. Чаще всего группы используются для идентификации ролей пользователей и компьютеров, фильтрации групповой политики, назначения уникальных политик паролей, прав, разрешений доступа, приложений электронной почты и многое другое.

Сами по себе, группы представляют собой принципалы безопасности с уникальными SID, которые могут содержать в атрибуте member такие принципалы безопасности, как пользователи, компьютеры, группы и контакты.

Перед тем как создавать группы следует знать, какие существуют разновидности групп. Так как структура доменных служб предназначена для поддержки сложных и крупных распределительных сред, Active Directory включает в себя два типа групп домена с тремя областями действия в каждой из них, а также локальную группу безопасности. Типы групп, а также их область действия подробно рассмотрены в следующих подразделах.

В доменных службах Active Directory Windows Server 2008 можно отметить два типа групп: безопасности и распространения. При создании новой группы в диалоговом окне «Новый объект – группа» оснастки «Active Directory – пользователи и компьютеры» вы можете выбрать одну из этих двух групп. Группы безопасности относятся к принципалам безопасности с SID-идентификаторами. В связи с этим данный тип группы считается самым распространенным и группы такого типа можно использовать для управления безопасностью и назначения разрешений доступа к сетевым ресурсам в списках ACL. В общем, группу безопасности стоит использовать в том случае, если они будут использоваться для управления безопасностью.

В свою очередь, группа распространения изначально используется приложениями электронной почты, и она не может быть принципалом безопасности. Другими словами, этот тип группы не является субъектом безопасности. Так как эту группу нельзя использовать для назначения доступа к ресурсам, она чаще всего используется при установке Microsoft Exchange Server в том случае, когда пользователей необходимо объединить в группу с целью отправки электронной почты сразу всей группе.

Ввиду того, что именно группы безопасности вы можете использовать как с целью назначения доступа к ресурсам, так и с целью распространения электронной почты, многие организации используют только этот тип группы. В домене с функциональным уровнем не ниже Windows 2000 вы можете преобразовывать группы безопасности в группы распространения и наоборот.

Область действия групп

Область действия группы определяет диапазон, в котором применяется группа внутри домена. Помимо того, что группы могут содержать пользователей и компьютеры, они могут быть членами других групп, ссылаться на списки ACL, фильтры объектов и групповых политик и пр. Граница диапазона области действия группы может определяться заданием режима работы домена. К основным характеристикам области действия групп можно отнести членство (определение принципалов безопасности, которые может содержать группа), репликация (определение области репликации группы), а также доступность (определение местонахождения группы, возможности включения этой группы в членство другой, добавление группы в список ACL). Существует четыре области действия групп: локальная, локальная в домене, глобальная и универсальная. Рассмотрим подробнее каждую из них:
Локальная группа в домене. Группы с областью локальные группы в домене предназначены для управления разрешениями доступа к ресурсам и функционируют в том случае, если домен работает на функциональном уровне не ниже Windows 2000. В том случае, если домен работает на уровне Windows NT или в смешанном уровне, то эти группы будут использоваться лишь как локальные группы. Такая группа определяется в контексте именования домена. Локальную группу в домене можно добавлять в списки ACL любого ресурса на любом рядовом компьютере домена. В локальную группу в домене могут входить пользователи, компьютеры, глобальные и локальные группы в текущем домене, любом другом домене леса, а также универсальные группы в любом домене леса. Другими словами, репликация и доступность такой группы позволяет ее использовать в пределах всего домена. В связи с этим, локальные группы в домене обычно используют для предоставления правил доступа во всем домене, а также для членов доверительных доменов. Чаще всего, с локальными группами в домене связаны сценарии, подобные следующему: вам нужно предоставить доступ к папке с секретной документацией восьми пользователям из разных отделов. Вы должны учесть, что кто-либо из этих пользователей может перейти в другой отдел или уволиться и позже вам придется изменять разрешения доступа на принтере. А если доступ нужно предоставить не восьми, а восьмидесяти пользователям из разных подразделений и доменов? Поэтому, чтобы упростить такую рутинную работу вы можете создать группу с локальной областью безопасности в домене и разрешить доступ к папке именно этой группе. После этого вы можете добавлять, любых пользователей из этой группы и все пользователи, входящие в состав этой группы автоматически получат доступ к папке;
Глобальная группа. Основной целью глобальных групп безопасности является определение коллекции объектов доменов на основании бизнес-правил и управление объектами, которые требуют ежедневного использования. Чаще всего, членами таких групп выступают пользователи и компьютеры. Группы безопасности удобно использовать для фильтрации области действия групповых политик, так как область действия таких групп не реплицируется за пределы своего домена, при этом не вызывая дополнительного трафика к глобальному каталогу. Глобальная группа может содержать пользователей, компьютеры и другие глобальные группы только из одного домена. Несмотря на это, глобальные группы могут быть членами любых универсальных и локальных групп как в своем домене, так и доверяющем домене. Помимо этого, глобальные группы можно добавлять в списки ACL в домене, лесу и в доверяющем домене, что делает управление группами более простым и рациональным;
Универсальная группа. Универсальные группы целесообразно задействовать только в лесах, состоящих из множества доменов для их объединения. Эти группы позволяют управлять ресурсами, распределенными на нескольких доменах, поэтому универсальные группы считаются самыми гибкими. Универсальные группы определяются в одном домене, но реплицируются в глобальный каталог. Например, для того чтобы получить пользователям из домена В доступ к ресурсам, расположенным в домене А, добавьте учетные записи пользователей домена В в глобальные группы безопасности, а затем эти группы вложите в универсальную группу. Универсальная группа может быть членом другой универсальной или локальной группы домена в лесу, а также может использоваться для управления ресурсами;
Локальная группа. Локальная группа считается самой примитивной, так как она доступна только на одном компьютере. Такая группа создается в базе данных диспетчера безопасности учетных записей рядового компьютера и поэтому в домене управление локальными группами не нужно. В списках ACL можно использовать такие группы только на локальном компьютере. В другие системы такие группы не реплицируются, но эта группа содержит пользователей, компьютеры, глобальные и локальные группы в домене в своем домене, пользователей, компьютеры и глобальные и универсальные группы в любом домене леса.

В некоторых случаях перед вами может встать необходимость преобразования одной области действия в другую. Например, в связи с тем, что по умолчанию при создании группы фокус установлен на глобальной группе безопасности, по невнимательности можно оставить все без изменений и создать группу. После создания группы, ее область действия можно изменить на вкладке «Общие» диалогового окна свойств группы, одним из следующих доступных способов:
Глобальную группу в универсальную в том случае, если изменяемая группа не является членом другой глобальной группы;
Локальную группу в домене в универсальную в том случае, если эта группа не содержит другую локальную группу в домене в качестве члена;
Универсальную группу в глобальную в том случае, если эта группа не содержит в качестве члена другую универсальную группу;
Универсальную группу в локальную группу в домене.

Как вы заметили, глобальную группу просто так невозможно модифицировать в локальную группу в домене. Несмотря на это, вы можете сначала глобальную группу преобразовать в универсальную, а затем уже получившуюся универсальную группу – в локальную группу в домене.

На первый взгляд все эти области групп могут показаться одинаковыми, но для наилучшего понимания их использования можно рассмотреть простой пример. Допустим, есть два домена. На первом домене (домен А) есть папка, для которой должен быть предоставлен доступ сотрудникам отдела продаж обоих доменов. В домене А, доступ к этой папке могут получить любые пользователи, но для более рационального использования пользователей, которым должен предоставляться доступ можно поместить их в глобальную группу безопасности. Но глобальная группа «Продажи» домена В не может получать доступ к папке в домене А. Поэтому глобальную группу «Продажи» из домена В нужно включить в универсальную группу, скажем «Доступ к ресурсам домена А». Затем, в домене А нужно создать локальную группу в домене (например, «Доступ к секретным материалам»), так как универсальная группа не может быть членом глобальной группы. Теперь нужно включить в группу «Доступ к секретным материалам» глобальную группу «Продажи» из домена А и универсальную группу «Доступ к ресурсам домена А» домена В. Только после этого, члены групп «Продажи» из обоих доменов будут иметь разрешения на использование секретных документов, расположенных в домене А.

Для того, чтобы запомнить все эти связи – вы можете просто запомнить интересный фейковый термин: AGUDLP, что расшифровывается как «Account – Global – Universal – Domain Local – Permissions» (Учетная запись – Глобальная – Универсальная – Локальная в домене – Доступ), то есть запомнив эту аббревиатуру вы не ошибетесь при назначении доступа к любым ресурсам.

Обновление контроллеров домена до Windows Server 2016

1. Проверяем, что каталоги AD синхронизируются без проблем. Запускаем
repadmin /replsum
Убеждаемся, что в столбце «Fails» нет ошибок, а дельта синхронизации не превышает той, которая настроена между сайтами.

2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».

3. Разворачиваем новый сервер Windows Server 2016. Добавляем его в домен. Задаем статичный IP-адрес и имя хоста.

4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.

5. Получим текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.

6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.

7. Запускаем службу KCC для создания новых связей с новыми контроллерами домена.
repadmin /kcc
и проверяем, что синхронизация проходит без ошибок на каждом из контроллеров
Repadmin /syncall /AeS
repadmin /replsum

8. Перераспределяем роли FSMO:
Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster
где dc-01 и dc-02 новые сервера на WS2016
Еще раз запускаем репликацию на всех контроллерах:
repadmin /syncall /AeS
Командой netdom query fsmo убеждаемся, что все роли переехали на нужные сервера.

9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.

10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum

11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.

Установка домена Active Directory в Windows Server 2016

В Windows Server 2016 появились новые довольно интересные новые функции, такие как временное членство в группах AD, Privileged Access Management и т.д. Постараюсь описать их более подробно в следующих статьях. В этой статье я покажу, как установить домен Active Directory в Windows Server 2016. Для установки AD, сервер по минимальным требованиям должен соответствовать следующим условиям:

Процессор:

• 64-битный процессор с частотой не менее 1,4 Ггц
• поддержка NX, DEP, CMPXCHG16b, LAHF/SAHF, PrefetchW, Second Level Address Translation (EPT или NPT)

Память

• не менее 512 Мб (для Server Core и Nano редакций), 2 Гб для версии Windows Server с GUI
• поддержка ECC (Error Correcting Code) или аналогов

Дисковый контроллер и требования к месту:

Дисковый контроллер для установки Windows Server 2016 должен быть совместим со спецификацией PCI Express. Windows Server 2016 не позволяет использовать диски ATA/PATA/IDE/EIDE для загрузки, хранения файла подкачки или дисков с данными

Минимальный размер раздела на систему: 32 Гб

Сетевой адаптер:

• сетевой адаптер Ethernet с пропускной способностью не менее 1 Гб/с
• Совместимость с архитектурой PCI Express
• поддержка PXE (-boot Execution Environment)
• Желательна (но не обязательно) поддержка сетевой отладки (KDNet)

В этом примере я использую виртуальную машину, запущенную на сервере VMWare ESXi, на которую и уставлена Windows Server 2016.

1) Войдите на сервер под локальным администраторов. На сервер кроме роли Active Directory Domain Services также будет установлена служба DNS. Изменим настройки сетевого интерфейса, указав в качестве первичного DNS сервера собственный IP адрес севера или адрес 127.0.0.1.

2) Затем откройте Server Manager, нажав на соответствующий значок или выполнив в консоли PowerShell команду ServerManager.exe.

3) В окне Server Manager нажмите Add roles and features

4) В окне мастера добавления ролей и компонентов нажмите Next.

5) В следующем окне нажмите Next

6) Т.к. установка выполняется на локальный сервер, в следующем окне оставьте переключатель в исходном положении и нажмите Next

7) В следующем окне в списке ролей выберите Active Directory Domain Services. В открывшемся окне появится список ассоциированных компонентов, которые должны быть установлены вместе с ролью ADDS. Нажмите кнопку Add features, а затем Next.

8) В списке компонентов уже должны быть отмечены требуемые для установки компоненты. Нажмите Next.

9) В следующем окне приведено небольшое описание роли AD DS. Нажмите Next.

10) Ознакомьтесь со списком выбранных для установки ролей и компонентов. Для начала установки нажмите кнопку Install.

11) На экране будет отображаться текущий статус процесса установки

12) После окончания установки, нажмите на ссылку Promote this server to a domain controller.

13) Запустите мастер настройки Active Directory. В моем случае я устанавливаю новый лес AD. В том случае, если вы добавляете дополнительный контроллер домена в существующий домен, выберите соответствующую опцию. Я же выбираю опцию Add a new forest и указывают FQDN имя домена (test.net).

14) В следующем окне нужно указать функциональный уровень домена и леса AD. Я выбрал последнюю версию схемы AD – Windows Server 2016. Кроме того, этот сервер будет выступать сервером DNS и являться Global Catalog. Также нужно указать пароль администратора для входа в DSRM режим.

15) Т.к. мой сервер будет первым DNS сервером в лесу, нет необходимости настраивать делегацию DNS. Поэтому просто нажмите Next.

16) NETBIOS имя домена оставим без изменений (TEST)

17) На следующем экране нужно указать путь к каталогам NTDS, SYSVOL и LOG. Мы оставим все пути по-умолчанию, предполагая, что все папки будут храниться в каталоге системного диска C:Windows.

18) На следующем экране можно ознакомиться со списком выбранных настроек. Если все OK, нажмите Next, если нет – вернитесь назад и внесите изменения.

19) Далее выполнится предварительная оценка выбранной конфигурации, в том случае, если критичных конфликтов не будет, станет доступна кнопка Install.

20) Запустится процесс установки контроллера домена

21) После окончания установки, сервер автоматически перезагрузится. Войдите на сервер под учетной записью администратора домена.

22) После входа, запустите привилегированную сессию powershell и выполните команду dsac.exe. Откроется окно центра администрирования Active Directory (Administrative Center). Можно начинать управлять ресурсами домена

23) С помощью следующих команду можно узнать текущий функциональный уровень домена и леса команд Get-ADDomain | fl Name,DomainMode и Get-ADForest | fl Name,ForestMode