Dcpromo установка active directory



Установка Active Directory в Windows 2003: dcpromo

Теперь, когда мы установили Windows Server 2003 на нашей виртуальной машине, установили исправления с помощью пакета обновления 2 (SP2), установили антивирус и настроили DNS, пришло время настроить Active Directory с помощью dcpromo.

Настройка Active Directory с помощью команды run dcpromo — это простая процедура. Для начала на рабочем столе Windows 2003 Server перейдите в « Пуск», нажмите « Выполнить», введите « dcpromo» и нажмите « Enter».

« Добро пожаловать в мастер установки Active Directory » должно появиться:

Нажмите на Далее . В следующем окне вы получите предупреждение о проблемах сопоставимости со старыми операционными системами. Улучшенные параметры безопасности в Windows Server 2003 влияют на более старые версии Windows, такие как Windows 95 и Windows NT 4.0 SP3 и более ранние версии.

После прочтения и обдумывания последствий нажмите « Далее» . На следующем экране вы получите два варианта. Первый вариант спрашивает вас, хотите ли вы, чтобы сервер стал контроллером домена для нового домена или вы хотите, чтобы сервер был дополнительным контроллером домена для существующего домена:

Выберите первый вариант и нажмите « Далее» . В следующем окне вы получите три варианта. Первый вариант — настроить домен в новом лесу. Выберите эту опцию, если это первый контроллер домена в вашей организации или вы хотите, чтобы он был полностью независим от любого леса.

Вариант второй: дочерний домен в существующем доменном дереве . Выберите эту опцию, если вы хотите, чтобы домен был дочерним по сравнению с существующим доменом. Вариант третий: Доменное дерево в существующем лесу . Если вы не хотите ничего из вышеперечисленного, выберите эту опцию.

В нашем случае выберите первый вариант и нажмите «Далее». На следующем экране нам нужно ввести полное DNS-имя для нового домена:

Введите полное DNS-имя, например helpdeskgeek.com, и нажмите «Далее». На следующем экране нам нужно выбрать имя NETBIOS. Это имя, которое более ранние версии Windows будут использовать для идентификации нового домена.

Выберите имя и нажмите «Далее». На следующем экране вам нужно выбрать место, где вы хотите хранить базу данных и файлы журналов. Для лучшей производительности храните их на отдельных дисках.

Далее откроется окно « Общий том системы» . Здесь вам нужно выбрать место, где вы хотите хранить файлы SYSVOL. Эта папка содержит публичные файлы домена и реплицируется на все контроллеры домена в домене.

Выберите местоположение папки и нажмите «Далее». В следующем окне появится диагностика регистрации DNS. Здесь, скорее всего, вы получите « Диагностика не удалась», и она даст вам три варианта. Первый вариант позволит вам снова выполнить диагностику DNS, если вы исправили проблему.

Второй вариант позволит мастеру Active Directory установить и настроить DNS и использовать этот DNS в качестве основного DNS для этого сервера. Третий вариант позволяет обойти это окно, если вы планируете исправить проблему позже.

Несмотря на то, что мы уже установили DNS на этом сервере, мы не настроили ни одну из его служб, поэтому мы выберем опцию Установить и настроить DNS-сервер на этом компьютере и настроить этот компьютер на использование этого DNS-сервера в качестве предпочитаемого DNS-сервера.

В следующем окне вам нужно выбрать, какой тип или разрешения вы хотите для пользователей и групповых объектов. Здесь вы получите два варианта. Первые параметры следует выбирать, если вы запускаете серверные программы на серверах, предшествующих Windows 2000. Выберите второй вариант, если вы используете Windows Server 2000 и Windows Server 2003 только в своем домене.

В следующем окне необходимо ввести пароль администратора режима восстановления служб каталогов . Этот пароль используется при запуске компьютера в режиме восстановления служб каталогов. Эта учетная запись отличается от учетной записи администратора домена.

Введите выбранный вами пароль и нажмите Далее. Далее вы получите сводку всех параметров, выбранных вами в мастере Active Directory. Помните, что пароль учетной записи администратора домена совпадает с текущим паролем локального администратора.

Нажмите кнопку "Далее. Установка Active Directory должна начаться.

Через несколько минут Active Directory должен быть установлен.

Нажмите « Готово» и перезапустите сервер. Установка Active Directory должна быть завершена.

Источник

Принудительное понижение роли контроллеров домена Windows Server 2003

Принудительное понижение роли контроллеров домена Windows Server 2003

Бывают случаи когда корректно понизить роль контроллера домена под управлением Windows 2000 или Windows Server 2003 с помощью мастера установки Active Directory (Dcpromo.exe) не удается. Такая ситуация может быть в случае сбоя зависимости или операции, например сбой подключения к сети, проверки аутентификации, репликации службы каталогов Active Directory, разрешения имен и тд.. Для начала нужно выяснить причину возникновения данной ситуации, для этого нужно запустить мастер установки Active Directory. В случае неудачи при установке или удалении выйдет ошибка! Также рекомендуется просмотреть ошибки в eventlog.

Читайте также:  Установка датчика наддува турбины

Для начала работ по принудительному понижению роли контроллеров домена, необходимо иметь административный пароль ОС, потому как после понижения роли войти под учетными данными не удастся.

Действия:

Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду

Нажмите кнопку ОК.

В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.

Нажмите в окне сообщения кнопку ОК, если удаляемый компьютер является сервером глобального каталога.
Примечание. Если удаляемый компьютер является сервером глобального каталога, в соответствующем лесу или узле эту роль необходимо передать другому контроллеру домена.

 принудительного понижения роли реализована в Windows Server 2003

На странице Удаление Active Directory снимите флажок Этот сервер — последний контроллер домена в данном домене и нажмите кнопку Далее.

На странице Сетевые учетные данные введите имя, пароль и имя домена для учетной записи, которая обладает правами администратора предприятия в данном лесу, и нажмите кнопку Далее.

Пароль администратора

На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.

Нажмите кнопку Далее на странице Сводка.

На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.

Если домен был удален из леса с помощью утилиты Ntdsutil используя коменду: remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Если записи управления доступом (АСЕ) на компьютере, с которого была удалена служба Active Directory, основаны на локальных группах домена, то, возможно, их придется настроить снова, поскольку эти группы недоступны рядовым и изолированным серверам. Если предполагается, установив Active Directory, сделать компьютер контроллером в исходном домене, настраивать таблицы управления доступом (Access Control List, ACL) нет необходимости. Если компьютер будет использоваться в качестве рядового или изолированного сервера, все разрешения, основанные на локальных группах домена, необходимо заменить или преобразовать.

Принудительное понижение роли контроллера домена приводит к потере локально хранимых в Active Directory на контроллере домена изменений, включая добавление, изменение и удаление пользователей, компьютеров, групп, доверительных отношений, групповой политики и конфигурации Active Directory, которые не были реплицированы до запуска команды dcpromo /forceremoval. Кроме того, удаляются изменения всех атрибутов таких объектов (например паролей для пользователей, компьютеров, доверительных отношений и членства в группах).

Принудительное понижение роли контроллера домена возвращает операционную систему в состояние, которое аналогично состоянию после успешного понижения роли последнего контроллера домена, включая тип запуска служб, установленные службы, использование диспетчера SAM на базе реестра и членство в рабочей группе. На пониженном в роли контроллере домена сохраняются установленные программы.

После принудительного понижения роли контроллера домена необходимо выполнить следующие действия.

  1. Удалите из домена учетную запись компьютера.
  2. Удалите оставшиеся DNS-записи, включая записи A, CNAME и SRV.
  3. Удалите оставшиеся объекты члена FRS (FRS и DFS). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

Источник

Dcpromo установка active directory

Active Directory Windows Server 2019Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.

Перед тем как я покажу процесс установки AD в Windows Server 2019, я бы хотел вам напомнить, что ASctive Directory — это по сути создание централизованной базы данных в которой будут хранится и управляться компьютеры, пользователи, принтеры. Более подробно, что такое Active Directory читайте по ссылке слева.

Подготовительный этап

Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.

Установка и настройка Active Directory на 2019 сервере

Существует два метода выполнения нашей задачи:

  1. Классический метод с использованием оснастки «Диспетчер серверов»
  2. Использование утилиты Windows Admin Center
  3. Второй метод, это использование Power Shell

Установка AD через сервер менеджеров

Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».

установка active directory-01

Тип установки оставьте «Установка ролей и компонентов».

установка роли active directory

Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.

Инсталляция active directory

Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.

Установка роли доменных служб Active Directory

Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.

установка active directory-05

Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.

Компоненты роли служб Active Directory

Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:

Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.

установка active directory-07

Выгруженная конфигурация, это XML файл с таким вот содержанием.

XML файл установки AD DS

Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.

установка active directory-08

Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».

Повышение компьютера до контроллера домена

То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.

Повышение компьютера до контроллера домена

Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.

установка доменных служб active directory

На следующем окне вы должны выбрать параметры:

    , определяет какие функции и возможности есть на уровне леса.
  • Режим работы домена, так же определяет какие функции будут доступны на уровне домена.
    , лучше всегда совмещать эти роли
  • Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
  • Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
  • Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора

Выбор режима работы леса и домена

Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.

делегирование DNS при установке Active Directory

Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.

Короткое имя NetBIOS при установке AD DS

Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:

  • Папка базы данных — C:\Windows\NTDS
  • Папка файлов журналов — C:\Windows\NTDS
  • Папка SYSVOL — C:\Windows\SYSVOL

Выбор место куда устанавливается SYSVOL и база данных AD

Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.

Выглядит сценарий вот так:

Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.

установка active directory-17

В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.

Проверка предварительных требования при установке доменных служб Active Directory

После установки вам сообщат:

установка active directory-19

Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.

Перезагрузка после установки AD

Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,

Замена петлевого адреса в ipv4

В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.

Замена петлевого адреса в ipv4-2

Установка контроллера домена Windows Server 2019 с помощью Powershell

Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.

Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.

Установка скриптом Active Directory-01

Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.

Установка скриптом Active Directory-02

Установка скриптом Active Directory-03

Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.

Установка скриптом Active Directory-04

Полезные команды при установке доменных служб

  • Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
  • Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
  • Просмотр подсетей — Get-ADReplicationSubnet -Filter * — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
  • Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions

Полезные командлеты в модуле ADDSDeployment

  • Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
  • Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
  • Установка дополнительного контроллера домена — Install-ADDSDomainController
  • Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
  • Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation

Установка и настройка Active Directory Windows Admin Center

Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.

Установка AD в Windows Admin Center-01

Появится мастер установки, если все верно, то нажмите да.

Установка AD в Windows Admin Center-02

В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.

Установка AD в Windows Admin Center-03

Процесс установки доменных служб.

Установка AD в Windows Admin Center-04

Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.

Источник

Служба каталогов Active Directory в Windows 2000 Server
Страница 3. Мастер установки Active Directory

Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.

1. Запуск мастера установки выполнять нужно только пользователю с правами Администратор (Administrator).

2. Для запуска мастера можно воспользоваться командой dcpromo, которую запустить из меню Пуск|Выполнить (Start|Run). Альтернативный вариант — выбрать команду Пуск|Программы|Администрирование|Настройка сервера (Start|Programs|Administrative Tools|Configure Your Server), в открывшемся окне последовательно нажать кнопки Active Directory и Запустить (Start).

3. В появившемся окне мастера установки для данного варианта установки контроллера домена выбирается переключатель Контроллер домена в новом домене (Domain controller for a new domain) и нажимаем кнопку Далее.

4. В следующем окне в данном случае устанавливается переключатель Создать новое доменное дерево (Create a new domain tree), жмем на кнопку Далее (Neхt)

5. В следующем окне устанавливается переключатель Создать новый лес доменных деревьев (Create a new forest of domain trees).

5. Затем вводится полное DNS-имя, выбранное для первого домена, например, mycompany.com. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя MYCOMPANY), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.

6. В следующих окнах мастера устанавливаются дополнительные параметры — местоположение базы данных Active Directory

журналов регистрации событий, реплицируемого системного тома.

7. Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение и предлагает установить и настроить DNS.

* Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки Active Directory) или соответствие этого сервера требованиям Active Directory.

* Если DNS-сервер отсутствует, то, установив в следующем окне переключатель Да, автоматически установить и настроить DNS (рекомендуется) (Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory.

Если же будет установлен переключатель Нет, установить и настроить DNS вручную (No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет вручную создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS. В нашем случае, мы позволим мастеру самому проделать эту работу.

8. В следующем окне выберите разрешения, определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT. Обратите внимание на это окно, и внимательно прочитайте информацию, которая представлена на нем, при выборе соответствующего типа разрешений по умолчанию.

9. Далее вводится и подтверждается пароль администратора, который будет использоваться при восстановлении службы каталогов (это один из дополнительных вариантов загрузки Windows 2000).

Внимание 3!

Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!

Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.

10. После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку Назад.

11. После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.

12. По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку Готово (Finish), и предлагает перезагрузить компьютер: нажмите кнопку Перезагрузить сейчас (Restart Now).

Итак, после перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory. Об этом мы поговорим немного позже, а сейчас рассмотрим, как происходит подключение рабочих станций.

Источник

Adblock
detector