Η εγκατάσταση του Active Directory είναι μια αρκετά απλή διαδικασία και συζητείται σε πολλούς πόρους στο Διαδίκτυο, συμπεριλαμβανομένων των επίσημων. Ωστόσο, στο blog μου δεν μπορώ να μην αγγίξω αυτό το σημείο, καθώς τα περισσότερα από τα μελλοντικά άρθρα θα βασίζονται με τον ένα ή τον άλλο τρόπο στο περιβάλλον, το οποίο σκοπεύω να δημιουργήσω αυτή τη στιγμή.

Εάν ενδιαφέρεστε για θέματα Windows Server, προτείνω να ελέγξετε την ετικέτα στο ιστολόγιό μου. Σας συνιστώ επίσης να διαβάσετε το κύριο άρθρο για την υπηρεσία καταλόγου Active Directory -

Σκοπεύω να αναπτύξω τον ρόλο AD σε δύο εικονικούς διακομιστές (μελλοντικούς ελεγκτές τομέα) με τη σειρά.

1. Πρώτα απ 'όλα, πρέπει να ορίσετε το κατάλληλο ονόματα διακομιστών, για μένα θα είναι DC01 και DC02?
2. Στη συνέχεια, γράψτε στατικές ρυθμίσεις δικτύου(Θα συζητήσω αυτό το σημείο λεπτομερώς παρακάτω).
3. Εγκαθιστώ όλες τις ενημερώσεις συστήματος, ειδικά ενημερώσεις ασφαλείας (για CD αυτό είναι πιο σημαντικό από οποιονδήποτε άλλο ρόλο).

Σε αυτό το στάδιο πρέπει να αποφασίσετε τι όνομα τομέα θα έχετε;. Αυτό είναι εξαιρετικά σημαντικό, γιατί τότε η αλλαγή του ονόματος τομέα θα είναι πολύ μεγάλο πρόβλημα για εσάς, παρόλο που το σενάριο μετονομασίας υποστηρίζεται και εφαρμόζεται επίσημα εδώ και αρκετό καιρό.

Σημείωση: n Μερικές συζητήσεις, καθώς και πολλοί σύνδεσμοι προς χρήσιμο υλικό, μπορείτε να βρείτε στο άρθρο μου. Σας συνιστώ να το διαβάσετε, καθώς και τη λίστα των πηγών που χρησιμοποιήθηκαν.

Δεδομένου ότι θα χρησιμοποιώ εικονικούς ελεγκτές τομέα, πρέπει να αλλάξω ορισμένες ρυθμίσεις των εικονικών μηχανών, συγκεκριμένα απενεργοποιήστε το συγχρονισμό ώρας με τον hypervisor. Ο χρόνος στο AD θα πρέπει να συγχρονίζεται αποκλειστικά από εξωτερικές πηγές. Οι ενεργοποιημένες ρυθμίσεις συγχρονισμού ώρας με τον hypervisor μπορεί να έχουν ως αποτέλεσμα κυκλικό συγχρονισμό και, κατά συνέπεια, προβλήματα με τη λειτουργία ολόκληρου του τομέα.

Σημείωση:Η απενεργοποίηση του συγχρονισμού με τον κεντρικό υπολογιστή εικονικοποίησης είναι η πιο εύκολη και γρήγορη επιλογή. Ωστόσο, αυτή δεν είναι η βέλτιστη πρακτική. Σύμφωνα με τις συστάσεις της Microsoft, θα πρέπει να απενεργοποιήσετε μόνο εν μέρει το συγχρονισμό με τον κεντρικό υπολογιστή. Για να κατανοήσετε την αρχή λειτουργίας, διαβάστε την επίσημη τεκμηρίωση, η οποία τα τελευταία χρόνια έχει ανέβει ριζικά ως προς το επίπεδο παρουσίασης του υλικού .

Γενικά, η προσέγγιση για τη διαχείριση εικονικών ελεγκτών τομέα διαφέρει λόγω ορισμένων χαρακτηριστικών της λειτουργίας του AD DS:

Τα εικονικά περιβάλλοντα είναι ιδιαίτερα απαιτητικά για κατανεμημένους φόρτους εργασίας που βασίζονται στη λογική αναπαραγωγής που βασίζεται στον χρόνο. Για παράδειγμα, η αναπαραγωγή AD DS χρησιμοποιεί μια ομοιόμορφα αυξανόμενη τιμή (που ονομάζεται USN ή σειριακός αριθμός ενημέρωσης) που εκχωρείται σε συναλλαγές σε κάθε ελεγκτή τομέα. Κάθε στιγμιότυπο βάσης δεδομένων ελεγκτή τομέα λαμβάνει επίσης ένα αναγνωριστικό που ονομάζεται InvocationID. Το InvocationID ενός ελεγκτή τομέα και ο αριθμός κυλιόμενης ενημέρωσης του λειτουργούν ως μοναδικό αναγνωριστικό που συσχετίζεται με κάθε συναλλαγή εγγραφής που εκτελείται σε κάθε ελεγκτή τομέα και πρέπει να είναι μοναδικό μέσα στο σύμπλεγμα δομών.

Τώρα που ολοκληρώθηκαν τα βασικά βήματα για την προετοιμασία του περιβάλλοντος, περνάμε στο στάδιο της εγκατάστασης.

Εγκατάσταση της υπηρεσίας καταλόγου Active Directory

Η εγκατάσταση γίνεται μέσω του Server Manager και δεν υπάρχει τίποτα περίπλοκο σε αυτό, μπορείτε να δείτε όλα τα βήματα εγκατάστασης αναλυτικά παρακάτω:

Η ίδια η διαδικασία εγκατάστασης έχει υποστεί κάποιες αλλαγές σε σύγκριση με προηγούμενες εκδόσεις του λειτουργικού συστήματος:

Η ανάπτυξη των υπηρεσιών τομέα Active Directory (AD DS) στον Windows Server 2012 είναι ευκολότερη και ταχύτερη από τις προηγούμενες εκδόσεις του Windows Server. Η εγκατάσταση του AD DS βασίζεται πλέον στο Windows PowerShell και είναι ενσωματωμένη στη Διαχείριση Διακομιστών. Ο αριθμός των βημάτων που απαιτούνται για την εφαρμογή ελεγκτών τομέα σε ένα υπάρχον περιβάλλον Active Directory έχει μειωθεί.

Χρειάζεται μόνο να επιλέξετε έναν ρόλο Υπηρεσίες τομέα Active Directory, δεν χρειάζεται να εγκατασταθούν πρόσθετα εξαρτήματα. Η διαδικασία εγκατάστασης απαιτεί λίγο χρόνο και μπορείτε να προχωρήσετε αμέσως στη διαμόρφωση.

Όταν εγκατασταθεί ο ρόλος, θα δείτε ένα θαυμαστικό στην επάνω δεξιά γωνία της Διαχείρισης Διακομιστών που υποδεικνύει ότι απαιτείται διαμόρφωση μετά την ανάπτυξη. Κάντε κλικ Προωθήστε αυτόν τον διακομιστή σε έναν ελεγκτή τομέα.

Προωθήστε έναν διακομιστή σε έναν ελεγκτή τομέα

Τα βήματα εργασίας του οδηγού περιγράφονται λεπτομερώς στην τεκμηρίωση. Ωστόσο, ας περάσουμε από τα βασικά βήματα.

Εφόσον αναπτύσσουμε το AD από την αρχή, πρέπει να προσθέσουμε ένα νέο δάσος. Βεβαιωθείτε ότι έχετε αποθηκεύσει με ασφάλεια τον κωδικό πρόσβασης λειτουργίας επαναφοράς υπηρεσιών καταλόγου (DSRM). Μπορείτε να αφήσετε τη θέση της βάσης δεδομένων AD DS στην προεπιλογή (που είναι αυτό που συνιστάται. Ωστόσο, για ποικιλία, καθόρισα διαφορετικό κατάλογο στο περιβάλλον δοκιμής μου).

Περιμένουμε την εγκατάσταση.

Μετά από αυτό, ο διακομιστής θα επανεκκινήσει μόνος του.

Δημιουργία λογαριασμών διαχειριστή τομέα/επιχειρήσεων

Θα χρειαστεί να συνδεθείτε χρησιμοποιώντας έναν τοπικό λογαριασμό διαχειριστή, όπως πριν. Πηγαίνετε στο snap Χρήστες και υπολογιστές Active Directory, δημιουργήστε τους απαραίτητους λογαριασμούς - σε αυτό το στάδιο αυτός είναι ο διαχειριστής τομέα.

Ρύθμιση DNS σε ένα μόνο DC σε έναν τομέα

Κατά την εγκατάσταση του AD, εγκαταστάθηκε και ο ρόλος AD DNS, καθώς δεν είχα άλλους διακομιστές DNS στην υποδομή μου. Για να λειτουργήσει σωστά η υπηρεσία, πρέπει να αλλάξετε ορισμένες ρυθμίσεις. Αρχικά, πρέπει να ελέγξετε τους διακομιστές DNS που προτιμάτε στις ρυθμίσεις του προσαρμογέα δικτύου σας. Χρειάζεται μόνο να χρησιμοποιήσετε έναν διακομιστή DNS με τη διεύθυνση 127.0.0.1. Ναι, ακριβώς localhost. Από προεπιλογή, θα πρέπει να εγγραφεί μόνο του.

Αφού βεβαιωθείτε ότι οι ρυθμίσεις είναι σωστές, ανοίξτε το συμπληρωματικό πρόγραμμα DNS. Κάντε δεξί κλικ στο όνομα του διακομιστή και ανοίξτε τις ιδιότητές του, μεταβείτε στην καρτέλα "Προώθηση διακομιστή". Η διεύθυνση διακομιστή DNS που καθορίστηκε στις ρυθμίσεις δικτύου πριν από την εγκατάσταση του ρόλου AD DS καταχωρήθηκε αυτόματα ως ο μοναδικός προωθητής:

Είναι απαραίτητο να το διαγράψετε και να δημιουργήσετε ένα νέο, και είναι πολύ επιθυμητό να είναι ο διακομιστής του παρόχου, αλλά όχι μια δημόσια διεύθυνση όπως οι γνωστές 8.8.8.8 και 8.8.4.4. Για ανοχή σφαλμάτων, καταχωρήστε τουλάχιστον δύο διακομιστές. Αφήστε το πλαίσιο ελέγχου για να χρησιμοποιήσετε συνδέσμους root εάν δεν υπάρχουν διαθέσιμοι προωθητές. Οι σύνδεσμοι ρίζας είναι μια γνωστή δεξαμενή διακομιστών DNS ανώτατου επιπέδου.

Προσθήκη δεύτερου DC στον τομέα

Δεδομένου ότι αρχικά μίλησα για την ύπαρξη δύο ελεγκτών τομέα, ήρθε η ώρα να ξεκινήσετε τη ρύθμιση του δεύτερου. Περνάμε επίσης τον οδηγό εγκατάστασης, προωθούμε τον ρόλο στον ελεγκτή τομέα, απλώς επιλέγουμε Προσθέστε έναν ελεγκτή τομέα σε έναν υπάρχοντα τομέα:

Λάβετε υπόψη ότι στις ρυθμίσεις δικτύου αυτού του διακομιστή, το κύριο Ο πρώτος ελεγκτής τομέα που έχει ρυθμιστεί προηγουμένως πρέπει να επιλεγεί ως διακομιστής DNS! Αυτό απαιτείται, διαφορετικά θα εμφανιστεί ένα σφάλμα.

Μετά τις απαραίτητες ρυθμίσεις, συνδεθείτε στο διακομιστή χρησιμοποιώντας τον λογαριασμό διαχειριστή τομέα που δημιουργήθηκε νωρίτερα.

Ρύθμιση DNS σε πολλαπλούς DC σε έναν τομέα

Για να αποφύγετε προβλήματα με την αναπαραγωγή, πρέπει να αλλάξετε ξανά τις ρυθμίσεις δικτύου και αυτό πρέπει να γίνεται σε κάθε ελεγκτή τομέα (και σε προϋπάρχοντες επίσης) και κάθε φορά που προσθέτετε ένα νέο DC:

Εάν έχετε περισσότερα από τρία DC σε έναν τομέα, πρέπει να καταχωρίσετε διακομιστές DNS μέσω πρόσθετων ρυθμίσεων με αυτήν τη σειρά. Μπορείτε να διαβάσετε περισσότερα για το DNS στο άρθρο μου.

Ρύθμιση της ώρας

Αυτό το βήμα πρέπει να ολοκληρωθεί, ειδικά εάν δημιουργείτε ένα πραγματικό περιβάλλον στην παραγωγή. Όπως θυμάστε, είχα απενεργοποιήσει προηγουμένως τον συγχρονισμό χρόνου μέσω του hypervisor και τώρα πρέπει να τον ρυθμίσω σωστά. Ένας ελεγκτής με ρόλο εξομοιωτή FSMO PDC είναι υπεύθυνος για τη διανομή της σωστής ώρας σε ολόκληρο τον τομέα (Δεν ξέρετε ποιος είναι αυτός ο ρόλος; Διαβάστε το άρθρο). Στην περίπτωσή μου, αυτός είναι, φυσικά, ο πρώτος ελεγκτής τομέα, ο οποίος είναι ο φορέας όλων των ρόλων FSMO αρχικά.

Θα διαμορφώσουμε την ώρα στους ελεγκτές τομέα χρησιμοποιώντας πολιτικές ομάδας. Επιτρέψτε μου να σας υπενθυμίσω ότι οι λογαριασμοί υπολογιστή των ελεγκτών τομέα βρίσκονται σε ξεχωριστό κοντέινερ και έχουν μια ξεχωριστή προεπιλεγμένη πολιτική ομάδας. Δεν χρειάζεται να αλλάξετε αυτήν την πολιτική, αλλά να δημιουργήσετε μια νέα.

Ονομάστε το όπως σας ταιριάζει και πώς θα δημιουργηθεί το αντικείμενο, κάντε δεξί κλικ - Αλλαγή. Ας πάμε στο Computer Configuration\Policies\Administrative Templates\System\Windows Time Service\Time Providers. Ενεργοποίηση πολιτικών Ενεργοποιήστε το Windows NTP ClientΚαι Ενεργοποιήστε τον διακομιστή NTP των Windows, μεταβείτε στις ιδιότητες πολιτικής Ρύθμιση προγράμματος-πελάτη Windows NTPκαι ορίστε τον τύπο πρωτοκόλλου - NTP, δεν αγγίζουμε τις άλλες ρυθμίσεις:

Περιμένουμε να εφαρμοστούν οι πολιτικές (μου πήρε περίπου 5-8 λεπτά, παρά την εκτέλεση του gpupdate /force και μερικές επανεκκινήσεις), μετά από τις οποίες παίρνουμε:

Γενικά, πρέπει να βεβαιωθείτε ότι μόνο ο εξομοιωτής PDC συγχρονίζει τον χρόνο από εξωτερικές πηγές και όχι όλους τους ελεγκτές τομέα στη σειρά, αλλά αυτό θα ισχύει, καθώς η πολιτική ομάδας ισχύει για όλα τα αντικείμενα στο κοντέινερ. Πρέπει να ανακατευθυνθεί σε ένα συγκεκριμένο αντικείμενο του λογαριασμού υπολογιστή που κατέχει τον ρόλο του εξομοιωτή PDC. Αυτό γίνεται επίσης μέσω πολιτικών ομάδας - στην κονσόλα gpmc.msc, κάντε αριστερό κλικ στην πολιτική που θέλετε και οι ρυθμίσεις της θα εμφανιστούν στα δεξιά. Στα φίλτρα ασφαλείας πρέπει να προσθέσετε τον λογαριασμό του απαιτούμενου ελεγκτή τομέα:

Διαβάστε περισσότερα σχετικά με την αρχή λειτουργίας και τη διαμόρφωση της υπηρεσίας ώρας στην επίσημη τεκμηρίωση.

Αυτό ολοκληρώνει τη ρύθμιση ώρας και μαζί με αυτήν την αρχική ρύθμιση της υπηρεσίας καταλόγου Active Directory.

Ο Windows Server 2016 συνοδεύεται από μερικές πολύ ενδιαφέρουσες νέες δυνατότητες, όπως η προσωρινή συνδρομή στην ομάδα AD, η διαχείριση προνομιακής πρόσβασης κ.λπ. Θα προσπαθήσω να τα περιγράψω πιο αναλυτικά στα επόμενα άρθρα. Σε αυτό το άρθρο, θα σας δείξω πώς να εγκαταστήσετε έναν τομέα Active Directory στον Windows Server 2016. Για να εγκαταστήσετε το AD, ο διακομιστής πρέπει να πληροί τις ακόλουθες ελάχιστες απαιτήσεις:

ΕΠΕΞΕΡΓΑΣΤΗΣ:

• Επεξεργαστής 64 bit με συχνότητα τουλάχιστον 1,4 GHz
• υποστήριξη NX, DEP, CMPXCHG16b, LAHF/SAHF, PrefetchW, Μετάφραση διεύθυνσης δεύτερου επιπέδου (EPT ή NPT)

Μνήμη

• τουλάχιστον 512 MB (για τις εκδόσεις Server Core και Nano), 2 GB για την έκδοση Windows Server με GUI
• υποστήριξη για ECC (Error Correcting Code) ή ανάλογα

Απαιτήσεις ελεγκτή δίσκου και χώρου:

Ο ελεγκτής δίσκου για την εγκατάσταση του Windows Server 2016 πρέπει να είναι συμβατός με την προδιαγραφή PCI Express. Ο Windows Server 2016 δεν επιτρέπει τη χρήση μονάδων δίσκου ATA/PATA/IDE/EIDE για εκκίνηση, αποθήκευση αρχείων σελίδας ή μονάδες δεδομένων

Ελάχιστο μέγεθος διαμερίσματος ανά σύστημα: 32 GB

Προσαρμογέας δικτύου:

• Προσαρμογέας δικτύου Ethernet με εύρος ζώνης τουλάχιστον 1 Gb/s
• Συμβατό με αρχιτεκτονική PCI Express
• Υποστήριξη PXE (-boot Execution Environment)
• Η υποστήριξη για εντοπισμό σφαλμάτων δικτύου (KDNet) είναι επιθυμητή (αλλά δεν απαιτείται)

Σε αυτό το παράδειγμα, χρησιμοποιώ μια εικονική μηχανή που εκτελείται σε διακομιστή VMWare ESXi με εγκατεστημένο τον Windows Server 2016 σε αυτόν.

1) Συνδεθείτε στον διακομιστή ως τοπικοί διαχειριστές. Εκτός από το ρόλο, θα εγκατασταθεί και μια υπηρεσία στον διακομιστή DNS. Ας αλλάξουμε τις ρυθμίσεις διεπαφής δικτύου καθορίζοντας τη διεύθυνση IP του διακομιστή ή τη διεύθυνση 127.0.0.1 ως τον κύριο διακομιστή DNS.

2) Στη συνέχεια ανοίξτε το Server Manager κάνοντας κλικ στο αντίστοιχο εικονίδιο ή εκτελώντας την εντολή στην κονσόλα PowerShell.

3) Στο παράθυρο Διαχειριστής διακομιστή, κάντε κλικ

4) Στο παράθυρο Add Roles and Features Wizard, κάντε κλικ Επόμενο.

5) Στο επόμενο παράθυρο, κάντε κλικ Επόμενο

6) Επειδή Η εγκατάσταση πραγματοποιείται σε έναν τοπικό διακομιστή, στο επόμενο παράθυρο αφήστε τον διακόπτη στην αρχική του θέση και κάντε κλικ στο Επόμενο

7) Στο επόμενο παράθυρο, στη λίστα ρόλων, επιλέξτε Υπηρεσίες τομέα Active Directory. Το παράθυρο που ανοίγει θα εμφανίσει μια λίστα συσχετισμένων στοιχείων που πρέπει να εγκατασταθούν μαζί με τον ρόλο ADDS. Κάντε κλικ στο κουμπί Προσθέστε χαρακτηριστικά, και μετά Επόμενο.

8) Η λίστα των εξαρτημάτων θα πρέπει ήδη να αναφέρει τα εξαρτήματα που απαιτούνται για την εγκατάσταση. Κάντε κλικ Επόμενο.

9) Το επόμενο παράθυρο παρέχει μια σύντομη περιγραφή του ρόλου AD DS. Κάντε κλικ στο Επόμενο.

10) Ελέγξτε τη λίστα των ρόλων και των στοιχείων που επιλέχθηκαν για εγκατάσταση. Για να ξεκινήσετε την εγκατάσταση, κάντε κλικ στο κουμπί Εγκαθιστώ.

11) Στην οθόνη θα εμφανιστεί η τρέχουσα κατάσταση της διαδικασίας εγκατάστασης

12) Αφού ολοκληρωθεί η εγκατάσταση, κάντε κλικ στον σύνδεσμο

13) Εκτελέστε τον Οδηγό εγκατάστασης Active Directory. Στην περίπτωσή μου εγκαθιστώ ένα νέο δάσος AD. Εάν προσθέτετε έναν επιπλέον ελεγκτή τομέα σε έναν υπάρχοντα τομέα, επιλέξτε την κατάλληλη επιλογή. Επιλέγω την επιλογή Προσθέστε ένα νέο δάσοςκαι καθορίστε το όνομα τομέα FQDN (test.net).

14) Στο επόμενο παράθυρο πρέπει να καθορίσετε το λειτουργικό επίπεδο του τομέα AD και του δάσους. Έχω επιλέξει την πιο πρόσφατη έκδοση του σχήματος AD − Windows Server 2016. Επιπλέον, αυτός ο διακομιστής θα λειτουργεί ως διακομιστής DNS και θα είναι ένας Παγκόσμιος Κατάλογος. Πρέπει επίσης να καθορίσετε τον κωδικό πρόσβασης διαχειριστή για να εισέλθετε στη λειτουργία DSRM.

15) Επειδή Ο διακομιστής μου θα είναι ο πρώτος διακομιστής DNS στο δάσος, δεν χρειάζεται να διαμορφώσετε την αντιπροσωπεία DNS. Απλά κάντε κλικ λοιπόν Επόμενο.

16) Το όνομα τομέα NETBIOS θα παραμείνει αμετάβλητο (TEST)

17) Στην επόμενη οθόνη πρέπει να καθορίσετε τη διαδρομή προς τους καταλόγους NTDS, SYSVOLΚαι ΚΟΥΤΣΟΥΡΟ. Θα αφήσουμε όλες τις διαδρομές ως προεπιλογή, υποθέτοντας ότι όλοι οι φάκελοι θα αποθηκευτούν στον κατάλογο μονάδας δίσκου συστήματος C:\Windows.

18) Στην επόμενη οθόνη μπορείτε να δείτε τη λίστα με τις επιλεγμένες ρυθμίσεις. Εάν όλα είναι εντάξει, κάντε κλικ στο Επόμενο, εάν όχι, επιστρέψτε και κάντε αλλαγές.

20) Θα ξεκινήσει η διαδικασία εγκατάστασης του ελεγκτή τομέα

21) Αφού ολοκληρωθεί η εγκατάσταση, ο διακομιστής θα επανεκκινήσει αυτόματα. Συνδεθείτε στο διακομιστή ως διαχειριστής τομέα.

22) Αφού συνδεθείτε, ξεκινήστε μια προνομιακή συνεδρία powershell και εκτελέστε την εντολή. Ανοίγει το παράθυρο του Active Directory Administrative Center. Μπορείτε να ξεκινήσετε τη διαχείριση πόρων τομέα

23) Χρησιμοποιώντας την ακόλουθη εντολή, μπορείτε να μάθετε το τρέχον λειτουργικό επίπεδο των εντολών τομέα και δάσους Get-ADDomain | fl Name, DomainMode και Get-ADForest | fl Όνομα, ForestMode

Εδώ και καιρό περιλαμβάνεται στην κατηγορία των συντηρητικών αρχών για τη λογική κατασκευή δικτυακών υποδομών. Ωστόσο, πολλοί διαχειριστές συνεχίζουν να χρησιμοποιούν ομάδες εργασίας και τομείς των Windows NT στην εργασία τους. Η εφαρμογή μιας υπηρεσίας καταλόγου θα είναι ενδιαφέρουσα και χρήσιμη τόσο για αρχάριους όσο και για έμπειρους διαχειριστές για να συγκεντρώσουν τη διαχείριση του δικτύου και να εξασφαλίσουν το κατάλληλο επίπεδο ασφάλειας.

Η Active Directory, μια τεχνολογία που εμφανίστηκε στη σειρά συστημάτων Win2K πριν από έξι χρόνια, θα μπορούσε να χαρακτηριστεί επαναστατική. Όσον αφορά την ευελιξία και την επεκτασιμότητα, είναι μια τάξη μεγέθους ανώτερη από τους τομείς NT 4, για να μην αναφέρουμε τα δίκτυα που αποτελούνται από ομάδες εργασίας.

Χωρίζονται κατά εύρος:

• Οι καθολικές ομάδες μπορούν να περιλαμβάνουν χρήστες μέσα σε ένα δάσος, καθώς και άλλες καθολικές ομάδες ή καθολικές ομάδες οποιουδήποτε τομέα στο δάσος.
• Οι παγκόσμιες ομάδες τομέα μπορεί να περιλαμβάνουν χρήστες τομέα και άλλες παγκόσμιες ομάδες του ίδιου τομέα.
• Οι ομάδες τοπικού τομέα χρησιμοποιούνται για τη διαφοροποίηση των δικαιωμάτων πρόσβασης, μπορούν να περιλαμβάνουν χρήστες τομέα, καθώς και καθολικές ομάδες και καθολικές ομάδες οποιουδήποτε τομέα στο δάσος.
• ομάδες τοπικών υπολογιστών – ομάδες που περιέχουν το SAM (διαχείριση λογαριασμού ασφαλείας) του τοπικού μηχανήματος. Το εύρος τους περιορίζεται μόνο σε ένα δεδομένο μηχάνημα, αλλά μπορούν να περιλαμβάνουν τοπικές ομάδες του τομέα στον οποίο βρίσκεται ο υπολογιστής, καθώς και καθολικές και καθολικές ομάδες του δικού τους τομέα ή άλλου τομέα που εμπιστεύονται. Για παράδειγμα, μπορείτε να συμπεριλάβετε έναν χρήστη από την ομάδα τοπικών χρηστών τομέα στην ομάδα Διαχειριστές του τοπικού μηχανήματος, δίνοντάς του έτσι δικαιώματα διαχειριστή, αλλά μόνο για αυτόν τον υπολογιστή.

Ιστοσελίδες

Αυτός είναι ένας τρόπος για να διαχωρίσετε φυσικά μια υπηρεσία καταλόγου. Εξ ορισμού, ένας ιστότοπος είναι μια ομάδα υπολογιστών που συνδέονται με κανάλια γρήγορης μεταφοράς δεδομένων.

Για παράδειγμα, εάν έχετε πολλά υποκαταστήματα σε διάφορες περιοχές της χώρας, που συνδέονται με γραμμές επικοινωνίας χαμηλής ταχύτητας, τότε για κάθε υποκατάστημα μπορείτε να δημιουργήσετε τη δική σας ιστοσελίδα. Αυτό γίνεται για να αυξηθεί η αξιοπιστία της αναπαραγωγής καταλόγου.

Αυτή η διαίρεση του AD δεν επηρεάζει τις αρχές της λογικής κατασκευής, επομένως, όπως ένας ιστότοπος μπορεί να περιέχει πολλούς τομείς, και αντίστροφα, ένας τομέας μπορεί να περιέχει πολλές τοποθεσίες. Αλλά υπάρχει μια παγίδα σε αυτήν την τοπολογία υπηρεσίας καταλόγου. Κατά κανόνα, το Διαδίκτυο χρησιμοποιείται για την επικοινωνία με υποκαταστήματα - ένα πολύ ανασφαλές περιβάλλον. Πολλές εταιρείες χρησιμοποιούν μέτρα ασφαλείας όπως τείχη προστασίας. Η υπηρεσία καταλόγου χρησιμοποιεί περίπου μιάμιση ντουζίνα θύρες και υπηρεσίες στην εργασία της, το άνοιγμα των οποίων για τη διέλευση της κυκλοφορίας AD μέσω του τείχους προστασίας θα την εκθέσει στην πραγματικότητα "εξωτερικά". Η λύση στο πρόβλημα είναι η χρήση της τεχνολογίας tunneling, καθώς και η παρουσία ενός ελεγκτή τομέα σε κάθε τοποθεσία για την επιτάχυνση της επεξεργασίας των αιτημάτων πελατών AD.

Οντότητα υπηρεσίας καταλόγου

Για να παρέχει κάποιο επίπεδο ασφάλειας, κάθε λειτουργικό σύστημα πρέπει να έχει αρχεία που να περιέχουν βάση δεδομένων χρήστη. Σε παλαιότερες εκδόσεις των Windows NT, χρησιμοποιήθηκε ένα αρχείο SAM (Security Accounts Manager) για αυτό. Περιείχε διαπιστευτήρια χρήστη και ήταν κρυπτογραφημένο. Σήμερα, το SAM χρησιμοποιείται επίσης σε λειτουργικά συστήματα της οικογένειας NT 5 (Windows 2000 και νεότερη έκδοση).

Όταν προωθείτε έναν διακομιστή μέλους σε έναν ελεγκτή τομέα χρησιμοποιώντας την εντολή DCPROMO (η οποία εκτελεί πραγματικά τον Οδηγό εγκατάστασης υπηρεσιών καταλόγου), η μηχανή ασφαλείας Windows Server 2000/2003 ξεκινά χρησιμοποιώντας την κεντρική βάση δεδομένων AD. Αυτό μπορεί να ελεγχθεί εύκολα - αφού δημιουργήσετε έναν τομέα, δοκιμάστε να ανοίξετε το συμπληρωματικό πρόγραμμα Computer Management στον ελεγκτή και βρείτε εκεί "Τοπικοί χρήστες και ομάδες". Επιπλέον, δοκιμάστε να συνδεθείτε σε αυτόν τον διακομιστή χρησιμοποιώντας έναν τοπικό λογαριασμό. Είναι απίθανο να τα καταφέρεις.

Τα περισσότερα δεδομένα χρήστη αποθηκεύονται στο αρχείο NTDS.DIT ​​(Directory Information Tree). Το NTDS.DIT ​​είναι μια τροποποιημένη βάση δεδομένων. Δημιουργείται χρησιμοποιώντας την ίδια τεχνολογία με τη βάση δεδομένων της Microsoft Access. Οι αλγόριθμοι για τη λειτουργία ελεγκτών τομέα περιέχουν μια παραλλαγή της μηχανής JET βάσης δεδομένων Access, η οποία ονομάστηκε ESE (Extensible Storage Engine). Το NTDS.DIT ​​και οι υπηρεσίες που αλληλεπιδρούν με αυτό το αρχείο είναι στην πραγματικότητα μια υπηρεσία καταλόγου.

Η δομή της αλληλεπίδρασης μεταξύ των πελατών AD και του κύριου χώρου αποθήκευσης δεδομένων, παρόμοια με τον χώρο ονομάτων της υπηρεσίας καταλόγου, παρουσιάζεται στο άρθρο. Για να ολοκληρωθεί η περιγραφή, θα πρέπει να γίνει αναφορά στη χρήση καθολικών αναγνωριστικών. Ένα καθολικό μοναδικό αναγνωριστικό (GUID) είναι ένας αριθμός 128-bit που συσχετίζεται με κάθε αντικείμενο όταν δημιουργείται για να διασφαλίσει τη μοναδικότητα. Το όνομα του αντικειμένου AD μπορεί να αλλάξει, αλλά το GUID θα παραμείνει αμετάβλητο.

Παγκόσμιος κατάλογος

Πιθανότατα έχετε ήδη παρατηρήσει ότι η δομή AD μπορεί να είναι πολύ περίπλοκη και να περιέχει μεγάλο αριθμό αντικειμένων. Απλώς σκεφτείτε το γεγονός ότι ένας τομέας AD μπορεί να περιλαμβάνει έως και 1,5 εκατομμύρια αντικείμενα. Αλλά αυτό μπορεί να προκαλέσει προβλήματα απόδοσης κατά την εκτέλεση λειτουργιών. Αυτό το πρόβλημα επιλύεται χρησιμοποιώντας τον Παγκόσμιο Κατάλογο ( , ). Περιέχει μια συντομευμένη έκδοση ολόκληρου του δάσους AD, η οποία βοηθά στην επιτάχυνση των αναζητήσεων αντικειμένων. Ο κάτοχος του καθολικού καταλόγου μπορεί να είναι ελεγκτές τομέα που έχουν καθοριστεί ειδικά για το σκοπό αυτό.

Ρόλοι

Στο AD, υπάρχει μια ορισμένη λίστα λειτουργιών, η εκτέλεση των οποίων μπορεί να ανατεθεί μόνο σε έναν ελεγκτή. Λέγονται ρόλοι FSMO (Flexible Single-Master Operations). Υπάρχουν συνολικά 5 ρόλοι FSMO στο AD. Ας τα δούμε πιο αναλυτικά.

Μέσα στο δάσος, πρέπει να υπάρχει εγγύηση ότι τα ονόματα τομέα είναι μοναδικά κατά την προσθήκη ενός νέου τομέα στο σύμπλεγμα τομέων. Αυτή η εγγύηση εκτελείται από τον εκτελεστή του ρόλου του κατόχου της λειτουργίας ονομασίας τομέα ( Domain Naming Master) Εκτέλεση του ρόλου του κατόχου σχήματος ( Master Schema) κάνει όλες τις αλλαγές στο σχήμα καταλόγου. Οι ρόλοι Κάτοχος ονόματος τομέα και κάτοχος σχήματος πρέπει να είναι μοναδικοί στο σύμπλεγμα δομών τομέα.

Όπως είπα ήδη, όταν δημιουργείται ένα αντικείμενο, συνδέεται με ένα καθολικό αναγνωριστικό, το οποίο εγγυάται τη μοναδικότητά του. Αυτός είναι ο λόγος για τον οποίο ο υπεύθυνος επεξεργασίας που είναι υπεύθυνος για τη δημιουργία GUID και ενεργεί ως κάτοχος των σχετικών αναγνωριστικών ( Συγγενής ID Master), πρέπει να υπάρχει ένα και μόνο εντός του τομέα.

Σε αντίθεση με τους τομείς NT, το AD δεν έχει την έννοια του PDC και του BDC (κύριοι και εφεδρικοί ελεγκτές τομέα). Ένας από τους ρόλους του FSMO είναι Εξομοιωτής PDC(Εξομοιωτής Primary Domain Controller). Ένας διακομιστής που εκτελεί Windows NT Server μπορεί να λειτουργήσει ως εφεδρικός ελεγκτής τομέα στο AD. Αλλά είναι γνωστό ότι οι τομείς NT μπορούν να χρησιμοποιούν μόνο έναν κύριο ελεγκτή. Αυτός είναι ο λόγος για τον οποίο η Microsoft έχει κάνει έτσι ώστε σε έναν τομέα AD να μπορούμε να ορίσουμε έναν μεμονωμένο διακομιστή για να φέρει τον ρόλο του PDC Emulator. Έτσι, ξεφεύγοντας από την ορολογία, μπορούμε να μιλήσουμε για την παρουσία ελεγκτών κύριου και εφεδρικού τομέα, δηλαδή τον κάτοχο του ρόλου FSMO.

Όταν τα αντικείμενα διαγράφονται ή μετακινούνται, ένας από τους ελεγκτές πρέπει να διατηρεί μια αναφορά σε αυτό το αντικείμενο μέχρι να ολοκληρωθεί η αναπαραγωγή. Αυτός ο ρόλος διαδραματίζεται από τον κάτοχο της υποδομής καταλόγου ( Πλοίαρχος Υποδομής).

Οι τρεις τελευταίοι ρόλοι απαιτούν από τον ερμηνευτή να είναι μοναδικός στον τομέα. Όλοι οι ρόλοι εκχωρούνται στον πρώτο ελεγκτή που δημιουργήθηκε στο δάσος. Όταν δημιουργείτε μια εκτεταμένη υποδομή AD, μπορείτε να αναθέσετε αυτούς τους ρόλους σε άλλους ελεγκτές. Μπορεί επίσης να προκύψουν καταστάσεις όταν ο κάτοχος ενός από τους ρόλους δεν είναι διαθέσιμος (ο διακομιστής έχει αποτύχει). Σε αυτήν την περίπτωση, πρέπει να εκτελέσετε τη λειτουργία καταγραφής ρόλων FSMO χρησιμοποιώντας το βοηθητικό πρόγραμμα NTDSUTIL(για τη χρήση του θα μιλήσουμε στα επόμενα άρθρα). Θα πρέπει όμως να είστε προσεκτικοί, γιατί όταν δεσμεύεται ένας ρόλος, η υπηρεσία καταλόγου υποθέτει ότι δεν υπάρχει προηγούμενος ιδιοκτήτης και δεν επικοινωνεί καθόλου μαζί του. Η επιστροφή του προηγούμενου κατόχου ρόλου στο δίκτυο μπορεί να οδηγήσει σε διακοπή της λειτουργίας του. Αυτό είναι ιδιαίτερα σημαντικό για τον κάτοχο του σχήματος, τον κάτοχο ονόματος τομέα και τον κάτοχο ταυτότητας.

Όσον αφορά την απόδοση: ο ρόλος του εξομοιωτή του κύριου ελεγκτή τομέα είναι ο πιο απαιτητικός στους πόρους του υπολογιστή, επομένως μπορεί να εκχωρηθεί σε άλλον ελεγκτή. Οι υπόλοιποι ρόλοι δεν είναι τόσο απαιτητικοί, επομένως κατά τη διανομή τους, μπορείτε να καθοδηγηθείτε από τις αποχρώσεις του λογικού σχεδιασμού του AD σας.
Το τελευταίο βήμα του θεωρητικού

Η ανάγνωση του άρθρου δεν πρέπει καθόλου να σας μεταφέρει από θεωρητικούς σε επαγγελματίες. Επειδή μέχρι να λάβετε υπόψη όλους τους παράγοντες από τη φυσική τοποθέτηση των κόμβων δικτύου έως τη λογική κατασκευή ολόκληρου του καταλόγου, δεν θα πρέπει να ασχοληθείτε και να δημιουργήσετε έναν τομέα με απλές απαντήσεις στις ερωτήσεις του οδηγού εγκατάστασης AD. Σκεφτείτε πώς θα ονομάζεται ο τομέας σας και, εάν πρόκειται να δημιουργήσετε θυγατρικούς για αυτόν, πώς θα ονομαστούν. Εάν υπάρχουν πολλά τμήματα στο δίκτυο που συνδέονται με αναξιόπιστα κανάλια επικοινωνίας, σκεφτείτε να χρησιμοποιήσετε τοποθεσίες.

Ως οδηγός για την εγκατάσταση του AD, μπορώ να προτείνω τη χρήση άρθρων και, καθώς και της βάσης γνώσεων της Microsoft.

Τέλος, μερικές συμβουλές:

• Προσπαθήστε, αν είναι δυνατόν, να μην συνδυάσετε τους ρόλους του εξομοιωτή PDC και του διακομιστή μεσολάβησης στον ίδιο υπολογιστή. Πρώτον, με μεγάλο αριθμό μηχανών στο δίκτυο και χρήστες Διαδικτύου, το φορτίο στον διακομιστή αυξάνεται και, δεύτερον, με μια επιτυχημένη επίθεση στον διακομιστή μεσολάβησής σας, δεν θα πέσει μόνο το Διαδίκτυο, αλλά και ο κύριος ελεγκτής τομέα και αυτό μπορεί οδηγούν σε λανθασμένη λειτουργία ολόκληρου του δικτύου.
• Εάν διαχειρίζεστε συνεχώς ένα τοπικό δίκτυο και δεν πρόκειται να εφαρμόσετε την υπηρεσία καταλόγου Active Directory για πελάτες, προσθέστε μηχανήματα στον τομέα σταδιακά, ας πούμε, τέσσερις έως πέντε την ημέρα. Γιατί αν έχεις μεγάλο αριθμό μηχανημάτων στο δίκτυό σου (50 ή περισσότερα) και το διαχειρίζεσαι μόνος σου, τότε είναι απίθανο να το διαχειριστείς ούτε το Σαββατοκύριακο, και ακόμα κι αν το διαχειριστείς, είναι άγνωστο πόσο σωστά θα είναι όλα. . Επιπλέον, για να ανταλλάξετε τεκμηρίωση εντός του δικτύου, μπορείτε να χρησιμοποιήσετε ένα αρχείο ή έναν εσωτερικό διακομιστή αλληλογραφίας (το περιέγραψα στο Νο. 11, 2006). Το μόνο πράγμα σε αυτήν την περίπτωση είναι να κατανοήσετε σωστά πώς να ρυθμίσετε τα δικαιώματα χρήστη για πρόσβαση στον διακομιστή αρχείων. Διότι εάν, για παράδειγμα, δεν περιλαμβάνεται στον τομέα, ο έλεγχος ταυτότητας χρήστη θα πραγματοποιηθεί βάσει εγγραφών στην τοπική βάση δεδομένων SAM. Δεν υπάρχουν δεδομένα σχετικά με τους χρήστες του τομέα. Ωστόσο, εάν ο διακομιστής αρχείων σας είναι ένα από τα πρώτα μηχανήματα που περιλαμβάνονται στο AD και δεν είναι ελεγκτής τομέα, τότε θα είναι δυνατός ο έλεγχος ταυτότητας τόσο μέσω της τοπικής βάσης δεδομένων SAM όσο και της βάσης δεδομένων του λογαριασμού AD. Αλλά για την τελευταία επιλογή, θα χρειαστεί να επιτρέψετε στις τοπικές ρυθμίσεις ασφαλείας (αν αυτό δεν έχει ήδη γίνει) την πρόσβαση στον διακομιστή αρχείων μέσω του δικτύου τόσο για μέλη τομέα όσο και για τοπικούς λογαριασμούς.

Για περαιτέρω διαμόρφωση της υπηρεσίας καταλόγου (δημιουργία και διαχείριση λογαριασμών, εκχώρηση πολιτικών ομάδας κ.λπ.), διαβάστε το ακόλουθο άρθρο.

Εφαρμογή

Τι νέο υπάρχει στην υπηρεσία καταλόγου Active Directory στον Windows Server 2003

Με την κυκλοφορία του Windows Server 2003, εμφανίστηκαν οι ακόλουθες αλλαγές στην υπηρεσία καταλόγου Active Directory:

• Κατέστη δυνατή η μετονομασία ενός τομέα μετά τη δημιουργία του.
• Η διεπαφή χρήστη ελέγχου έχει βελτιωθεί. Για παράδειγμα, μπορείτε να αλλάξετε τις ιδιότητες πολλών αντικειμένων ταυτόχρονα.
• Εμφανίστηκε ένα καλό εργαλείο για τη διαχείριση πολιτικών ομάδας - Κονσόλα διαχείρισης πολιτικής ομάδας (gpmc.msc, πρέπει να το κατεβάσετε από τον ιστότοπο της Microsoft).
• Τα λειτουργικά επίπεδα τομέα και δασών έχουν αλλάξει.

Η τελευταία αλλαγή πρέπει να ειπωθεί με περισσότερες λεπτομέρειες. Ένας τομέας AD στον Windows Server 2003 μπορεί να βρίσκεται σε ένα από τα ακόλουθα επίπεδα, που παρατίθενται κατά σειρά αυξανόμενης λειτουργικότητας:

• Windows 2000 Mixed (μικτά Windows 2000). Επιτρέπεται η ύπαρξη ελεγκτών διαφορετικών εκδόσεων - Windows NT και Windows 2000/2003. Επιπλέον, εάν οι διακομιστές Windows 2000/2003 είναι ίσοι, τότε ο διακομιστής NT, όπως ήδη αναφέρθηκε, μπορεί να λειτουργήσει μόνο ως εφεδρικός ελεγκτής τομέα.
• Windows 2000 Native (φυσικά Windows 2000). Επιτρέπεται η ύπαρξη ελεγκτών με Windows Server 2000/2003. Αυτό το επίπεδο είναι πιο λειτουργικό, αλλά έχει τους περιορισμούς του. Για παράδειγμα, δεν θα μπορείτε να μετονομάσετε ελεγκτές τομέα.
• Windows Server 2003 Interim (ενδιάμεσος Windows Server 2003). Είναι αποδεκτό να υπάρχουν ελεγκτές που εκτελούν Windows NT καθώς και Windows Server 2003. Χρησιμοποιείται, για παράδειγμα, όταν ένας κύριος ελεγκτής τομέα που εκτελεί διακομιστή Windows NT έχει αναβαθμιστεί σε W2K3. Το επίπεδο έχει ελαφρώς περισσότερη λειτουργικότητα από το επίπεδο των Windows 2000 Native.
• Windows Server 2003: Μόνο ελεγκτές που εκτελούν Windows Server 2003 επιτρέπονται στον τομέα Σε αυτό το επίπεδο, μπορείτε να επωφεληθείτε από όλες τις δυνατότητες της υπηρεσίας καταλόγου Windows Server 2003.

Τα λειτουργικά επίπεδα ενός δάσους τομέα είναι ουσιαστικά τα ίδια με αυτά των τομέων. Η μόνη εξαίρεση είναι ότι υπάρχει μόνο ένα επίπεδο των Windows 2000 στο οποίο είναι δυνατή η χρήση ελεγκτών με Windows NT, καθώς και Windows Server 2000/2003, στο δάσος.

Αξίζει να σημειωθεί ότι η αλλαγή του λειτουργικού επιπέδου ενός domain και forest είναι μια μη αναστρέψιμη λειτουργία. Δηλαδή, δεν υπάρχει συμβατότητα προς τα πίσω.

1. Korobko I. Active Directory - θεωρία κατασκευής. //«Διαχειριστής συστήματος», αρ. 1, 2004 – σελ. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

2. Markov R. Domains Windows 2000/2003 - εγκατάλειψη της ομάδας εργασίας. //"Διαχειριστής συστήματος", Αρ. 9, 2005 – σελ. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a=01).

3. Markov R. Εγκατάσταση και ρύθμιση παραμέτρων του Windows 2K Server. //"Διαχειριστής συστήματος", Αρ. 10, 2004 - σελ. 88-94. (http://www.samag.ru/cgi-bin/go.pl? q=articles;n=10.2004;a=12).

Αλεξάντερ Εμελιάνοφ

χάλυβας, βιζόν, μοσχάρι, χαρτί 5 Ιανουαρίου 2011 στις 01:22

Εγκατάσταση ενός ελεγκτή τομέα Active Directory στον Windows Server 2008 R2 για αρχάριους

• Δωμάτιο ξυλείας *

Καλωσορίζω όλους και φέρνω στην προσοχή σας αυτό το άρθρο. Ελπίζω ότι θα είναι χρήσιμο στους αρχάριους διαχειριστές συστήματος των Windows. Θα μάθουμε τα βασικά της Active Directory και θα ρυθμίσουμε έναν ελεγκτή τομέα.

Τα πλεονεκτήματα της χρήσης ενός τομέα σε τοπικά δίκτυα είναι αρκετά προφανή: είναι ένα κεντρικό σύστημα εξουσιοδότησης χρήστη, μια βολική ισχυρή συσκευή διαχείρισης (διαχείριση λογαριασμών χρηστών, οριοθέτηση δικαιωμάτων κ.λπ.) και μια σειρά από άλλες χρήσιμες λειτουργίες. Επιπλέον, ένας τομέας ενώνει λογικά όλους τους πόρους του δικτύου και παρέχει πρόσβαση σε εξουσιοδοτημένους χρήστες. Και αυτό μπορεί να κλιμακωθεί από ένα μικρό τοπικό δίκτυο για δώδεκα και μισή μηχανήματα σε ένα πολύ εντυπωσιακό και γεωγραφικά εκτεταμένο.

Ρύθμιση διακομιστή DNS

Επομένως, πρέπει να εγκαταστήσουμε και να διαμορφώσουμε έναν διακομιστή DNS και έναν ελεγκτή τομέα. Σημειώνω ότι η ρύθμιση του DNS και η σωστή λειτουργία του στο δίκτυο είναι ζωτικής σημασίας για την επιτυχή λειτουργία του τομέα. Θα εγκαταστήσουμε και τους δύο ρόλους στον ίδιο διακομιστή, αν και αυτό δεν απαιτείται. Δεν θα εξετάσουμε τη ρύθμιση του DNS λεπτομερώς εδώ και θα εστιάσουμε μόνο στα κύρια σημεία. Το δίκτυό μας χρησιμοποιεί DHCP, αλλά ο διακομιστής DNS πρέπει να εκχωρηθεί μη αυτόματα μια στατική διεύθυνση.

Μετά από αυτό, ας προχωρήσουμε στην ανάθεση του ρόλου:

Μετά την εγκατάσταση, θα χρησιμοποιήσουμε τον διαχειριστή DNS για τη διαμόρφωση. Θα δημιουργήσουμε ζώνες αναζήτησης προς τα εμπρός και αντίστροφα. Το πρώτο χρησιμεύει για τη μετατροπή ονομάτων DNS σε διευθύνσεις IP και το δεύτερο κάνει το αντίθετο.

Δεδομένου ότι αυτός είναι ο πρώτος και μοναδικός διακομιστής DNS που έχουμε στο δίκτυό μας, θα δημιουργήσουμε μια κύρια ζώνη.

Στη συνέχεια πρέπει να καθορίσουμε το όνομα της ζώνης. Χρησιμοποίησα το testnet.local, αν και τώρα συνιστάται να μην χρησιμοποιούνται ανύπαρκτα ονόματα τομέα πρώτου επιπέδου, ακόμη και για ιδιωτικά δίκτυα. Αλλά στο παράδειγμά μας αυτό δεν είναι σημαντικό.

Πρέπει να επιτρέψουμε τις δυναμικές ενημερώσεις για την επιτυχή εκτέλεση του τομέα.
Κάνοντας κλικ στο επόμενο και διαβάζοντας το μήνυμα επιτυχίας, θα συνεχίσουμε με τη ρύθμιση.
Ας εισαγάγουμε το πλήρες όνομα τομέα για τον διακομιστή μας και τη διεύθυνση email για να επικοινωνήσουμε με τον υπεύθυνο (προσέξτε τη σημασία του να έχετε μια τελεία στο τέλος - τη ρίζα. Επίσης, αντί για το εικονίδιο @, χρησιμοποιείται μια τελεία.)

Επειδή έχουμε τον μοναδικό διακομιστή ονομάτων, θα απενεργοποιήσουμε τη μεταφορά ζώνης για λόγους ασφαλείας.

Και ας κάνουμε εγγραφή του διακομιστή μας:

Ολα. Η ρύθμιση της περιοχής ζωντανής προβολής έχει ολοκληρωθεί.

Τώρα ας δημιουργήσουμε μια ζώνη αντίστροφης αναζήτησης, αν και αυτό δεν είναι απαραίτητο.
Παρόμοιες ενέργειες:

Ας υποδείξουμε το αναγνωριστικό δικτύου:

Προσοχή στο όνομα της ζώνης: οι οκτάδες του δικτύου μας γράφονται από δεξιά προς τα αριστερά. Έτσι πρέπει να είναι.
Δημιουργήστε ένα νέο αρχείο, ενεργοποιήστε τις δυναμικές ενημερώσεις και κάντε κλικ στο «Τέλος». Περαιτέρω ρυθμίσεις είναι πανομοιότυπες με τους χειρισμούς που εκτελούνται για τη ζώνη άμεσης προβολής. Υπάρχει μια εγγραφή τύπου Α στην κύρια ζώνη για τον διακομιστή μας, επομένως θα τη χρησιμοποιήσουμε για να δημιουργήσουμε αυτόματα μια εγγραφή PTR εδώ:

Η ρύθμιση του διακομιστή DNS έχει ολοκληρωθεί.

Εγκατάσταση ελεγκτή τομέα

Τώρα ας εγκαταστήσουμε τον ρόλο του ελεγκτή τομέα Active Directory. Για να το κάνετε αυτό, πρέπει να εκτελέσετε την εντολή dcpromo.

Ο οδηγός θα ξεκινήσει:

Εμφανίζονται πολλές προειδοποιήσεις και η επιλογή να συμπεριλάβουμε τον ελεγκτή τομέα μας σε έναν υπάρχοντα τομέα, να προσθέσουμε έναν νέο τομέα σε ένα υπάρχον σύμπλεγμα δομών ή να δημιουργήσουμε έναν νέο τομέα σε ένα νέο σύμπλεγμα δομών. Μας ενδιαφέρει η τελευταία επιλογή και θα την επιλέξουμε.
Μετά από κάποιους ελέγχους, θα μας ζητηθεί ένα όνομα τομέα NetBIOS, το οποίο μπορούμε εύκολα να αφήσουμε.

Στη συνέχεια έχουμε την επιλογή του τρόπου λειτουργίας του δάσους. Όπως πολλές άλλες λεπτές λεπτομέρειες, παραλείπω τις επεξηγήσεις και καλώ τους ενδιαφερόμενους να διαβάσουν την τεκμηρίωση. Θα μας αρκεί να επιλέξουμε τον Windows Server 2008 R2 (φυσικά, αν δεν σκοπεύουμε να χρησιμοποιήσουμε προηγούμενες εκδόσεις λειτουργικών συστημάτων Microsoft ως ελεγκτές τομέα στο δάσος μας) και να προχωρήσουμε.

Έχουμε ήδη διαμορφώσει έναν διακομιστή DNS και θα δημιουργήσουμε μια αντιπροσωπεία καθορίζοντας τη σύνδεση και τον κωδικό πρόσβασης του λογαριασμού διαχειριστή.

Στο επόμενο βήμα, θα καθορίσουμε τη θέση των καταλόγων στους οποίους θα αποθηκεύονται η βάση δεδομένων, τα αρχεία καταγραφής και ο φάκελος SYSVOL. Στη συνέχεια, καθορίστε τον κωδικό πρόσβασης ανάκτησης και είμαστε σχεδόν εκεί.

Ετικέτες: διαχείριση συστήματος

Πάει καιρός από τότε που έγραψα ένα από τα άρθρα "παλιάς σχολής" που ξεκινά από την αρχή και δεν προϋποθέτει ότι είστε ήδη επαγγελματίας του Windows Server. Τα τελευταία χρόνια, έχω γράψει εκατοντάδες άρθρα σχετικά με τα μυστήρια της υπολογιστικής τεχνολογίας των Windows. Στα περισσότερα από αυτά τα άρθρα θεωρούσα πολλά δεδομένα σχετικά με αυτά που νόμιζα ότι ήδη γνωρίζατε. Έγραψα αυτά τα άρθρα επειδή υπήρχαν ορισμένες πολυπλοκότητες, δύσκολα στη ρύθμιση χαρακτηριστικά και άλλα ζητήματα που ήθελα να σας δείξω. Αν και όλα αυτά ήταν ενδιαφέροντα για έναν μικρό αριθμό ανθρώπων, αυτά τα άρθρα φαινόταν να αφήνουν όλους τους άλλους έξω από τα όριά τους.

Μια φορά κι έναν καιρό, αυτός ο ιστότοπος ονομαζόταν «World of Windows Networking» ή WOWN. Τότε, ο ιστότοπος ήταν γεμάτος με πολλά άρθρα που δίδασκαν πώς να εκτελείτε κοινές εργασίες δικτύωσης των Windows. Τότε, αυτά τα άρθρα περιείχαν πολύ λιγότερες πληροφορίες σχετικά με την υπηρεσία καταλόγου Active Directory, τις πολιτικές ομάδας, την εγκατάσταση και άλλες δυσκολίες μη δικτύωσης. Και ενώ ο ιστότοπος έχει ωριμάσει αυτές τις μέρες και απευθύνεται περισσότερο σε έμπειρους επαγγελματίες πληροφορικής, υπάρχει κάποια αξία στην παροχή περιεχομένου για όσους είναι νέοι στον τομέα και όσους θέλουν να μάθουν μερικά από τα βασικά.

Όλα αυτά με έκαναν να σκεφτώ να γράψω ένα άρθρο, ή ίσως μια σειρά άρθρων, που θα κάλυπτε τις πληροφορίες από την αρχή. Και η καλύτερη στιγμή συγγραφής αυτού του άρθρου ήταν η πρόσφατη έκδοση του Windows Server 2008 R2. Έτσι αποφάσισα να γράψω ένα βασικό άρθρο "Ας εγκαταστήσουμε τον Windows Server 2008 R2", αλλά μετά σκέφτηκα αυτό το άρθρο ως "ένα σημείο εκκίνησης για τη σύνταξη μιας ευρύτερης σειράς άρθρων". Όσο το σκεφτόμουν τόσο περισσότερο μου άρεσε. Εφόσον ο Windows Server 2008 R2 συνοδεύεται από ένα σωρό νέες δυνατότητες και δυνατότητες δικτύωσης και ασφάλειας, γιατί να μην ξεκινήσετε δημιουργώντας ένα δοκιμαστικό δίκτυο και μετά να σας καθοδηγήσουμε σε όλες τις εκπληκτικές δυνατότητες; Έτσι θα δουλέψουμε με τα βασικά του δικτύου και θα περάσουμε μαζί αυτό το μακρύ ταξίδι.

Ας ξεκινήσουμε λοιπόν. Το πρώτο βήμα είναι να επιλέξετε λογισμικό εικονικοποίησης. Για αυτόν τον τύπο δοκιμαστικού δικτύου, προτίμησα το VMware Workstation. Δεν έχω σοβαρούς τεχνικούς λόγους για την προτίμησή μου για το VMware Workstation, απλώς προτιμώ να το χρησιμοποιώ γιατί το χρησιμοποιώ σχεδόν δέκα χρόνια και ξέρω πώς λειτουργεί πολύ καλά. Δεν χρειάζεται να μάθω μια νέα γλώσσα όπως έπρεπε με το Hyper-V και αυτή η εφαρμογή λειτουργεί τέλεια κατά τη γνώμη μου. Ωστόσο, εάν θέλετε να χρησιμοποιήσετε το Hyper-V ή το ESX, αυτές είναι επίσης καλές επιλογές.

Καθώς γράφουμε τη σειρά, θα χρησιμοποιήσουμε έως και 8 εικονικές μηχανές ταυτόχρονα. Για το λόγο αυτό, προτείνω τη χρήση υπολογιστή με τουλάχιστον 8 GB μνήμης RAM και τετραπύρηνο επεξεργαστή. Καθ' όλη τη διάρκεια της εκτέλεσης, θα χρησιμοποιώ έναν σταθμό εργασίας με 12 GB μνήμης DDR3 τριών καναλιών και τετραπύρηνο επεξεργαστή Core i7. Εάν χρησιμοποιείτε οποιονδήποτε τετραπύρηνο επεξεργαστή Xeon ή Core 2, αυτό θα είναι αρκετά. Φυσικά, τα ισοδύναμα AMD θα λειτουργήσουν μια χαρά επίσης.

Θα ξεκινήσουμε ρυθμίζοντας το πρώτο μηχάνημα στο δοκιμαστικό μας δίκτυο. Αυτό θα είναι ένα μηχάνημα Windows Server 2008 R2 που θα χρησιμοποιεί έναν εικονικό επεξεργαστή και 512 MB εικονικής μνήμης. Κατά την εγκατάσταση, πρόκειται να χρησιμοποιήσω μια γεφυρωμένη σύνδεση δικτύου στην εικονική κάρτα δικτύου μου. Μερικοί άνθρωποι προτιμούν να χρησιμοποιούν NAT, και αυτό είναι επίσης εντάξει. Η ουσία είναι ότι θα χρειαστεί να συνδεθείτε σε ένα λειτουργικό δίκτυο για να έχετε πρόσβαση σε ενημερώσεις κατά την αρχική εγκατάσταση. Μόλις ολοκληρωθεί η αρχική εγκατάσταση, θα μετακινήσουμε αυτήν την εικονική μηχανή σε άλλο εικονικό δίκτυο γιατί θα χρειαστεί να την τοποθετήσουμε πίσω από το εικονικό τείχος προστασίας TMG. Η εικονική μηχανή του τείχους προστασίας TMG θα έχει σύνδεση με το φυσικό δίκτυο και όλες οι άλλες εικονικές μηχανές (VM) θα βρίσκονται πίσω από το τείχος προστασίας.

Στο VMware Workstation 6.5, θα δημιουργήσω μια νέα εικονική μηχανή και θα συνδέσω το αρχείο .iso του Windows Server 2008 R2 στη μονάδα CD, έτσι ώστε να φορτώσει αυτήν την εικόνα .iso. Όταν ξεκινάτε το μηχάνημα για πρώτη φορά, θα δείτε την πρώτη σελίδα του οδηγού εγκατάστασης, όπου θα πρέπει να ορίσετε Επιλογές Γλώσσας, μορφή ώρας και νομίσματοςΚαι μέθοδο εισαγωγής μέσω πληκτρολογίου ή άλλης συσκευής.

Ολοκληρώθηκε, λοιπόν, το εισαγωγικό μέρος! Ο εγκαταστάτης σας δίνει την ευκαιρία Εγκατάσταση τώρα. Ας κάνουμε ακριβώς αυτό.

Το αρχείο .iso περιέχει όλες τις εκδόσεις του Windows Server 2008 R2 και εδώ μπορούμε να επιλέξουμε την έκδοση που θέλουμε να εγκαταστήσουμε. Σημειώστε ότι μπορείτε ακόμη και να εγκαταστήσετε εκδόσεις Server Core. Αλλά δεν θα εγκαταστήσουμε την έκδοση του βασικού διακομιστή. Ας επιλέξουμε την επιλογή Windows Server 2008 R2 Enterprise (Πλήρης εγκατάσταση)και πατήστε Περαιτέρω.

Τοποθετήστε ένα σημάδι επιλογής δίπλα στην επιλογή Αποδέχομαι τους όρους της άδειας χρήσηςστη σελίδα της άδειας χρήσης και κάντε κλικ Περαιτέρω.

Τι είδους εγκατάσταση προτιμάτε;Ειλικρινά, προτιμώ έναν τύπο εγκατάστασης που λειτουργεί και κάνει αυτό που του λέω να κάνει, αλλά αυτό δεν είναι επιλογή εδώ. Αυτή είναι μια καθαρή εγκατάσταση, επομένως οι επιλογές αναβάθμισης δεν έχουν νόημα. Κάντε κλικ στην επιλογή Προσαρμοσμένο (για προχωρημένους). Λάβετε υπόψη ότι δεν υπάρχει κουμπί "Επόμενο" σε αυτήν τη σελίδα.

Εδώ καθορίζετε πού θα εγκαταστήσετε τα αρχεία συστήματος (τα οποία παλαιότερα ονομάζονταν αρχεία εκκίνησης, αλλά η νέα ομάδα σχεδιασμού της Microsoft δεν παρακολούθησε μάθημα για τα Windows NT 4 MCSE, επομένως δεν γνωρίζει ότι στα Windows NT και παλαιότερα συστήματα εκκίνησης αρχείων συστήματος και «συστηματοποίησης» αρχείων εκκίνησης). Δημιούργησα έναν δυναμικό εικονικό σκληρό δίσκο 24 GB για το λειτουργικό σύστημα και αυτός ο χώρος θα είναι υπεραρκετός. Να θυμάστε ότι τα δυναμικά αρχεία εικονικού σκληρού δίσκου καταλαμβάνουν μόνο τον χώρο που χρειάζονται και δεν καταλαμβάνουν όλο τον χώρο που τους έχει διατεθεί εκτός και αν το απαιτεί η διαμόρφωση.

Ζήτω! Η εγκατάσταση έχει ξεκινήσει και θα πάρει πολύ χρόνο. Μπορείτε να αφήσετε τον υπολογιστή σας για μία ή δύο ώρες και μετά να επιστρέψετε και να δείτε τι συνέβη.

Την πρώτη φορά που θα συνδεθείτε, το πρόγραμμα εγκατάστασης θα σας ζητήσει να δημιουργήσετε έναν κωδικό πρόσβασης. Κάντε κλικ Εντάξειόταν βλέπετε την εικόνα όπως παρακάτω.

Εικόνα 8

Εισαγάγετε τον κωδικό πρόσβασης και την επιβεβαίωσή σας, αλλά μην κάνετε κλικ στο OK (καθώς δεν υπάρχει κουμπί ΟΚ). Αντίθετα, κάντε κλικ στο εικονίδιο βέλους χωρίς τίτλο που βρίσκεται στα δεξιά του πεδίου κειμένου επιβεβαίωσης κωδικού πρόσβασης.

Εικόνα 9

Πολύ καλά! Ο κωδικός πρόσβασης έχει αλλάξει. Κάντε κλικ Εντάξει.

Εικόνα 10

Μπορεί να θυμάστε τις σελίδες Εργασίες αρχικής διαμόρφωσης, εάν χρησιμοποιούσατε Windows Server 2008. Εάν δεν έχετε χρησιμοποιήσει τον Windows Server 2008 και μετακινείστε απευθείας από τη χρήση του Windows Server 2003, τότε η σελίδα Initial Configuration Tasks σάς δίνει πρόσβαση σε πολλά πράγματα που πρέπει να κάνετε μετά την εγκατάσταση των αρχείων του λειτουργικού συστήματος . Μετά την προβολή αυτής της σελίδας, θα παρατηρήσετε ότι πολλές από τις επιλογές που διαμορφώθηκαν κατά τη διαδικασία εγκατάστασης σε προηγούμενες εκδόσεις έχουν πλέον διαμορφωθεί εδώ. Ο στόχος ήταν να διασφαλιστεί η ελάχιστη είσοδος κατά την εγκατάσταση του λειτουργικού συστήματος και να αφεθούν όλες οι ρυθμίσεις για το τέλος. Πολύ άνετα!

Εικόνα 11

Στη σελίδα Εργασίες αρχικής διαμόρφωσηςΘα εγκαταστήσω τα εξής:

Ζώνη ώρας

Ρυθμίσεις δικτύου

Όνομα υπολογιστή και τομέας

Θα εκτελέσω τις υπόλοιπες ρυθμίσεις αφού προσδιορίσω τη διεύθυνση IP στο δίκτυο για αυτό το μηχάνημα. Θα καλέσω αυτόν τον υπολογιστή FFWIN2008R2DCκαθώς αυτός θα είναι ελεγκτής τομέα στον τομέα μου FFLAB. Το FF είναι συντομογραφία του «Forefront», καθώς θα εκτελούμε πολλές δοκιμές Forefront σε αυτό το στενό δίκτυο. Οι πληροφορίες διεύθυνσης IP θα είναι οι εξής:

Διεύθυνση IP ' 10.0.0.2

Προεπιλεγμένη πύλη ' 10.0.0.1

DNS '10.0.0.2

WINS '10.0.0.2

Φυσικά, μπορεί να μην χρειαζόμαστε WINS, αλλά ποτέ δεν ξέρεις, και το WINS δεν θα καταναλώσει πολλούς πόρους στο περιβάλλον δοκιμής μας. Η κύρια πύλη θα είναι το τείχος προστασίας TMG 2010, το οποίο θα εγκαταστήσουμε σε ένα από τα παρακάτω μέρη.

Κάνοντας μια εικονική μηχανή Windows Server 2008 R2 ελεγκτή τομέα

Στη συνέχεια, πρέπει να κάνουμε αυτό το μηχάνημα ελεγκτή τομέα. Εάν προέρχεστε από τον κόσμο του Windows Server 2003, θα παρατηρήσετε μια σημαντική διαφορά σε αυτό το βήμα. Ναι, πρέπει ακόμα να τρέξουμε dcpromoαπό την ομάδα Εκτέλεσηαλλά υπάρχει μια μικρή αλλαγή εδώ «πρέπει να ορίσετε και τον ρόλο Ελεγκτής τομέα Active Directory. Οι ρόλοι διακομιστή είναι ένα αρκετά νέο φαινόμενο στον Windows Server 2008, όπου οι βασικές υπηρεσίες θεωρούνται "ρόλοι". Ο ρόλος του Active Directory Domain Controller είναι λίγο διαφορετικός επειδή η εγκατάσταση αυτού του ρόλου απαιτεί μια διαδικασία δύο βημάτων: πρώτα εγκαθιστάτε τον ρόλο και μετά εκτελείτε dcpromo.

Μπαίνουμε Διαχειριστής διακομιστήκαι πηγαίνετε στον κόμβο Ρόλοιστο αριστερό παράθυρο της κονσόλας. Στη συνέχεια κάντε κλικ Προσθήκη ρόλωνστον δεξιό πίνακα.

Εικόνα 12

Η σελίδα μας θα ανοίξει Πριν ξεκινήσεις. Εάν αυτή είναι η πρώτη φορά που εγκαθιστάτε ρόλους χρησιμοποιώντας τη Διαχείριση διακομιστή, τότε πρέπει να διαβάσετε τις πληροφορίες σε αυτήν τη σελίδα. Εάν εργάζεστε με τη Διαχείριση Διακομιστών για μεγάλο χρονικό διάστημα, μπορείτε να παραλείψετε αυτήν τη σελίδα και να κάνετε κλικ Περαιτέρω.

Εικόνα 13

Εδώ επιλέγετε τους ρόλους διακομιστή προς εγκατάσταση. Θα εγκαταστήσουμε άλλους ρόλους διακομιστή αργότερα, αλλά πρώτα πρέπει να εγκαταστήσουμε τον ρόλο του Ελεγκτή τομέα (DC). Επιλέγω Υπηρεσίες τομέα Active Directoryτσεκάροντας την κατάλληλη επιλογή. Σημειώστε ότι ο οδηγός θα σας δείξει μια σειρά από δυνατότητες που θα εγκατασταθούν μαζί με τον ρόλο διακομιστή Active Directory. Κάντε κλικ στο κουμπί Προσθήκη απαιτούμενων δυνατοτήτωνγια να εγκαταστήσετε αυτές τις δυνατότητες κατά την εγκατάσταση του ρόλου διακομιστή Active Directory.

Εικόνα 14

Αφού επιλέξετε τον ρόλο διακομιστή DC της Active Directory, θα δείτε πληροφορίες σχετικά με αυτόν τον ρόλο διακομιστή. Υπάρχουν μερικά ενδιαφέροντα σημεία εδώ:

Πρέπει να εγκαταστήσετε τουλάχιστον δύο DC στο δίκτυό σας για ανοχή σφαλμάτων. Η εγκατάσταση ενός DC στο δίκτυο είναι απαραίτητη προϋπόθεση για την αποτυχία. Ωστόσο, δεδομένου ότι αυτό είναι ένα δοκιμαστικό δίκτυο και μπορούμε να τραβήξουμε στιγμιότυπα των DC μας, δεν μας απασχολεί πολύ αυτή η απαίτηση.

Απαιτείται DNS. Ωστόσο, όταν τρέχουμε dcpromo, θα εγκαταστήσουμε τον ρόλο διακομιστή DNS που υποστηρίζει υπηρεσίες Active Directory.

Ανάγκη για τρέξιμο dcpromoμετά την εγκατάσταση του ρόλου. Δεν θα χρειαστεί να ακολουθήσετε πρόσθετα βήματα κατά την εγκατάσταση άλλων ρόλων διακομιστή, επειδή ολόκληρη η διαδικασία εγκατάστασης ρόλων μπορεί να ολοκληρωθεί χρησιμοποιώντας τη Διαχείριση διακομιστή. Ο ρόλος Active Directory Domain Services είναι ο μόνος ρόλος που απαιτεί δύο βήματα για εγκατάσταση.

Λάβετε υπόψη ότι κατά την εγκατάσταση του ρόλου Active Directory Domain Services, εγκαθίστανται επίσης οι υπηρεσίες DFS Namespace, DFS Replication και File Replication – όλες αυτές οι υπηρεσίες χρησιμοποιούνται από τις υπηρεσίες τομέα Active Directory και επομένως εγκαθίστανται αυτόματα.

Εικόνα 15

Κάντε κλικ Εγκαθιστώγια να εγκαταστήσετε τα αρχεία που απαιτούνται για εκτέλεση dcpromo.

Εικόνα 16

Ζήτω! Η εγκατάσταση ήταν επιτυχής. Κάντε κλικ Κλείσε.

Εικόνα 17

Τώρα πάμε στο μενού Αρχήκαι μπείτε dcpromoστο πλαίσιο κειμένου Εκτέλεση. Θα το βρείτε σε λίστα όπως φαίνεται στην παρακάτω εικόνα. Κάντε κλικ dcpromo.

Εικόνα 18

Ως αποτέλεσμα, ο οδηγός θα ξεκινήσει Καλώς ορίσατε στον Οδηγό εγκατάστασης υπηρεσίας τομέα Active Directory. Δεν χρειαζόμαστε σύνθετες επιλογές σε αυτό το σενάριο, επομένως απλώς κάνουμε κλικ Περαιτέρω.

Εικόνα 19

Στη σελίδα Συμβατότητα λειτουργικού συστήματοςΟ οδηγός προειδοποιεί ότι οι πελάτες NT και οι πελάτες SMB που δεν ανήκουν στη Microsoft θα αντιμετωπίσουν προβλήματα με ορισμένους από τους κρυπτογραφικούς αλγόριθμους που χρησιμοποιούνται στον Windows Server 2008 R2. Δεν έχουμε τέτοια προβλήματα στο περιβάλλον δοκιμής μας, γι' αυτό απλώς κάνουμε κλικ Περαιτέρω.

Εικόνα 20

Στη σελίδα Επιλέξτε μια ρύθμιση παραμέτρων ανάπτυξηςεπιλέξτε την επιλογή Δημιουργήστε έναν νέο τομέα σε ένα νέο δάσος. Το κάνουμε αυτό για τον απλό λόγο ότι πρόκειται για έναν νέο τομέα σε ένα νέο δάσος :)

Εικόνα 21

Στη σελίδα Ονομάστε το Forest Root Domainεισάγουμε το όνομα τομέα στο πεδίο κειμένου FQDN του ριζικού τομέα στο δάσος. Σε αυτό το παράδειγμα θα ονομάσουμε τον τομέα fflab.net. Είναι συντομογραφία του «Forefront Lab». Μπορείτε να ονομάσετε τον τομέα σας ό,τι θέλετε, αλλά εάν χρησιμοποιείτε ένα όνομα που χρησιμοποιείται ήδη στο Διαδίκτυο (ένα όνομα που έχει ήδη καταχωρηθεί), τότε μπορεί να έχετε προβλήματα με διαχωρισμό ονομάτων. Κάντε κλικ Περαιτέρω.

Εικόνα 22

Στη σελίδα Ρυθμίστε το Λειτουργικό Επίπεδο Δάσουςεπιλέξτε την επιλογή Windows Server 2008 R2(όχι την επιλογή Windows Server 2003 που φαίνεται στην παρακάτω εικόνα). Επιλέγουμε την επιλογή Windows Server 2008 R2 για να εκμεταλλευτούμε όλες τις εκπληκτικές νέες δυνατότητες που περιλαμβάνονται στον Windows Server 2008 R2. Κάντε κλικ Περαιτέρω.

Εικόνα 23

Στη σελίδα Πρόσθετες επιλογές ελεγκτή τομέαέχουμε μόνο μία επιλογή: Διακομιστής DNS. Η επιλογή Καθολικός κατάλογος είναι επιλεγμένη και δεν είναι προαιρετική, επειδή αυτή είναι η μόνη DC σε αυτόν τον τομέα προς το παρόν, επομένως πρέπει να είναι διακομιστής καθολικού καταλόγου. Η επιλογή Ελεγκτής τομέα μόνο για ανάγνωση (RODC) δεν είναι επιλεγμένη επειδή πρέπει να έχετε άλλο μη RODC στο δίκτυο για να ενεργοποιήσετε αυτήν την επιλογή. Επιλέξτε μια επιλογή Διακομιστής DNSκαι πατήστε Περαιτέρω.

Εικόνα 24

Εμφανίζεται ένα παράθυρο διαλόγου που λέει ότι δεν μπορεί να δημιουργηθεί ανάθεση για αυτόν τον διακομιστή DNS, επειδή δεν μπορεί να βρεθεί η έγκυρη γονική ζώνη ή δεν χρησιμοποιεί διακομιστή DNS των Windows. Ο λόγος είναι ότι είναι το πρώτο DC στο δίκτυο. Μην ανησυχείτε για αυτό και κάντε κλικ Ναί, να συνεχίσει.

Εικόνα 25

Αφήστε τους φακέλους για Database, Log Files και SYSVOL στις προεπιλεγμένες θέσεις τους και κάντε κλικ Περαιτέρω.

Εικόνα 26

Στη σελίδα Κωδικός πρόσβασης διαχειριστή λειτουργίας επαναφοράς υπηρεσίας καταλόγουεισάγετε έναν ισχυρό κωδικό πρόσβασης στα πεδία κειμένου Κωδικός πρόσβασηςΚαι Επιβεβαίωση Κωδικού.

Εικόνα 27

Έλεγχος των πληροφοριών στη σελίδα Περίληψηκαι πατήστε Περαιτέρω.

Εικόνα 28

Η υπηρεσία καταλόγου Active Directory θα εγκατασταθεί. Η εγκατάσταση του πρώτου σας DC απαιτεί λίγο χρόνο. Ελέγξτε την επιλογή Επανεκκίνηση με την ολοκλήρωσηέτσι ώστε το μηχάνημα να επανεκκινήσει αυτόματα μετά την εγκατάσταση του DC.

Εικόνα 29

Το μηχάνημα θα επανεκκινήσει αυτόματα αφού επιλέξαμε αυτήν την επιλογή. Η εγκατάσταση θα ολοκληρωθεί μόλις συνδεθείτε. Αν θυμάμαι καλά, στον Windows Server 2008 υπήρχαν πρόσθετες ρυθμίσεις που έπρεπε να γίνουν μετά την επανεκκίνηση και τη σύνδεση, αλλά στον Windows Server 2008 R2 αυτό δεν ισχύει πλέον.

Η υπηρεσία DNS εγκαταστάθηκε κατά την εγκατάσταση του Active Directory, επομένως δεν χρειάζεται να ανησυχούμε για αυτό. Υπάρχουν μερικές ακόμη υπηρεσίες που πρέπει να εγκαταστήσουμε σε αυτόν τον ελεγκτή τομέα. Αυτά περιλαμβάνουν τα ακόλουθα:

• Υπηρεσίες Πιστοποιητικών Επιχειρήσεων

Δυστυχώς, μόνο οι υπηρεσίες DHCP και πιστοποιητικών θεωρούνται "ρόλοι". Το WINS θεωρείται χαρακτηριστικό. Υποθέτω ότι οι προγραμματιστές είχαν τους λόγους τους για αυτό, αλλά δεν ήμουν παρών στη συνάντηση και δεν ξέρω γιατί συμβαίνει αυτό.