Введение

В средних и крупных компаниях для управления инфраструктурой корпоративной сети принято использовать доменные службы с одним или несколькими контроллерами домена Active Directory, которые формируют сайты и леса. Доменные службы, о которых пойдет речь в этой статье, позволяют проверять подлинность пользователей и клиентских компьютеров, централизованно управлять инфраструктурными единицами предприятия при помощи групповых политик, предоставлять доступ к общим ресурсам и многое другое. Структура идентификации и доступа корпоративных сетей Active Directory включает в себя пять технологий:

  • Доменные службы Active Directory (Active Directory Domain Services — AD DS);
  • Службы сертификации Active Directory (Active Directory Certificate Services — AD CS);
  • Службы управления правами Active Directory (Active Directory Rights Management Services — AD RDS);
  • Службы федерации Active Directory (Active Directory Federation Services — AD FS);
  • Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services — AD LDS).

Основной технологией Active Directory считаются доменные службы (AD DS). Именно при помощи данной службы вы можете развернуть контроллер домена, без которой в основных службах просто нет необходимости. Серверную роль доменных служб Active Directory можно устанавливать как при помощи графического интерфейса, так и средствами командной строки в полной редакции Windows Server 2008/2008 R2, а также в редакциях ядра сервера Windows Server 2008/2008 R2 средствами командной строки. В этой статье речь пойдет именно об установке роли AD DS при помощи командной строки (как в полной версии, так и в режиме ядра доменные службы Active Directory средствами командной строки устанавливаются одинаково). Но перед командами установки данной роли рекомендую ознакомиться с некоторыми терминами, которые используются в данной технологии:

Контроллер домена. Контроллером домена называется сервер, выполняющий роль доменных служб, или служб каталогов, как называлось ранее, на нем также располагается хранилище данных каталогов и протокол распределения ключей Kerberos (Kerberos Key Distribution Center — KDC). Этот протокол обеспечивает проверку подлинности объектов идентификации в домене Active Directory.

Домен. Домен – это административная единица, внутри которой расположены компьютеры, группы безопасности и пользователи одной сети, управляемые контроллером домена, использующие единые определенные возможности. Контроллер домена реплицирует раздел хранилища данных, который содержит данные идентификации пользователей, групп и компьютеров домена. Причем, учетные записи пользователей и компьютеров расположены не локально на клиентских компьютерах, а на контроллере домена, то есть используется сетевой вход в системы на всех рабочих местах. Помимо этого, домен является областью действия административных политик разного характера.

Лес. Совокупность доменов, использующих единую схему каталога, называется лесом доменов. По сути, лес представляет собой самую внешнюю границу службы каталогов, где первый установленный домен называется корневым. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Лес может состоять из одного или нескольких доменов. Внутри леса домены связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена.

Дерево. Внутри леса домена, пространство доменных имен содержит деревья леса. Домены интерпретируются как деревья в том случае, если один домен является дочерним для другого. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов.

Сайт. Сайтом называется такой объект Active Directory, как контейнер, предоставляющий часть предприятия с хорошей сетевой коммуникацией. Сайты обычно используются предприятиями, у которых филиалы разбросаны по всей стране или по разным странам и даже континентам. Сайт создает периметр репликации и использования служб Active Directory. Основные задачи сайтов – управление трафиком репликации и локализации служб. Репликацией называется перенос изменений с одного контроллера домена на другой, а локализация служб позволяет пользователям проходить проверку подлинности на любом контроллере домена во всем сайте.

Установка роли доменных служб Active Directory

Как в случае с установкой при помощи графического интерфейса, так и средствами командной строки для создания контроллера домена, вам нужно сначала установить роль доменных служб Active Directory, а затем запустить мастер установки доменных служб, который открывается с помощью команды Dcpromo.exe. На примере, приведенном в данной статье, будет происходить установка контроллера домена под Windows Server 2008 R2 в режиме полной установки, хотя сам процесс ничем не отличается от установки в режиме ядра.

Для установки роли доменных служб Active Directory при помощи командной строки, следует воспользоваться средством для управления конфигурацией сервера ServerManagerCmd. Перед установкой роли доменных служб Active Directory убедитесь в том, что ваш сервер переименован и у вас настроен IPv4 адрес компьютера. Выполните следующие действия:

  1. Запустите командную строку в режиме администратора. Для этого в поиске меню «Пуск» введите cmd, в найденных результатах нажмите правой кнопкой на программе и из контекстного меню выберите команду «Запуск от имени администратора»;
  2. Просмотрите список установленных ролей на вашем сервере, используя команду ServerManagerCmd –query (краткая форма -q). Данная команда выводит текущее состояние сервера, где вы можете увидеть полный список служб ролей или компонентов, установленных или доступных для установки на сервере. В том случае, если вам трудно разбираться с выводом команды в командной строке, вы можете экспортировать полученный результат в файл XML, указав путь и имя файла после параметра. Данные будут сохранены в XML формате. Помимо этого вы можете использовать параметр –LogPath, при помощи которого указывается имя и расположение файла журнала в обычном текстовом формате. Пример вы можете увидеть на следующей иллюстрации:ad-inst-01

    Рис. 1. Вывод состояния сервера

    Аналогичную команду можно выполнить, используя командлет PowerShell для Диспетчера сервера. Командлет Get-WindowsFeature позволяет получать сведения о ролях, службах ролей и компонентах, установленных на компьютере с операционной системой Windows Server 2008 R2. Командлет отображает список компонентов Windows, установленных на компьютере, и компонентов, доступных для установки, где уже установленные роли или компоненты отмечены [X]. В этом случае вы также можете воспользоваться параметром –LogPath.

  3. На следующем шаге мы установим роль доменных служб Active Directory при помощи командной строки или PowerShell.
    • Для того чтобы установить роль AD DS при помощи командной строки, выполните следующие действия:В командной строке с повышенными правами введите команду ServerManagerCmd –install ADDS-Domain-Controller. В этой команде самое главное – ввести правильный идентификатор роли или компонента. Все идентификаторы можно было увидеть при выводе предыдущей команды. Вы также можете использовать параметр –LogPath, о котором говорилось выше, параметр –settings, используя который указываются необходимые параметры для установки, а также –allSubFeatures, указывающий установку всех зависимых служб и компонентов вместе с родительской ролью, службой роли или компонентом, заданным параметром «идентификатор» команды –install. Пример установки вы можете увидеть на следующей иллюстрации:

      ad-inst-02

      Рис. 2. Установка роли доменных служб средствами команды ServerManagerCmd

    • Для того чтобы установить роль AD DS при помощи PowerShell, выполните следующие действияЗапустите командную оболочку PowerShell с импортированными системными модулями. Устанавливать на компьютер указанные роли, службы ролей и функции можно при помощи командлета Add-WindowsFeature. Для установки роли доменных служб введите команду Add-WindowsFeature –Name ADDS-Domain-Controller –IncludeAllSubFeature. Параметр –IncludeAllSubFeature задает установку всех зависимых служб и компонентов вместе с родительской ролью, службой роли или компонентом, заданным параметром -Name. Пример установки вы можете увидеть на следующей иллюстрации:

ad-inst-03

Рис. 3. Установка роли доменных служб средствами PowerShell

Повышение роли доменных служб контроллера домена

Для автоматической установки контроллера домена средствами командной строки используется команда Dcporomo с определенными параметрами автоматической установки. Для автоматической установки доступно порядка сорока параметров. В нашем случае мы не будет использовать параметры. Поэтому, если вы хотите узнать все параметры, выполните команду Dcpromo /?:Promotion. Рассмотрим те параметры, которые нам пригодятся при установке контроллера домена:

/NewDomain – этот параметр определяет тип создаваемого домена. Доступные параметры: Forest – корневой домен нового леса, Tree – корневой домен нового дерева в существующем лесу, Child – дочерний домен в существующем лесу;

/NewDomainDNSName – при помощи этого параметра указывается полное имя нового домена (FQDN);

/DomainNetBiosName – при помощи этого параметра вы можете присвоить NetBIOS-имя для нового домена;

/ForestLevel – при помощи этого параметра вы можете указать режим работы леса при создании нового домена в новом лесу. Доступные параметры: 0 – основной режим Windows 2000 Server, 2 – основной режим Windows Server 2003, 3 – основной режим Windows Server 2008, 4 – основной режим Windows Server 2008 R2;

/ReplicaOrNewDomain – указывает, следует ли устанавливать дополнительный контроллер домена или первый контроллер в домене. Доступные параметры: Replica — дополнительный контроллер домена в существующем домене, ReadOnlyReplica — контроллер домена только для чтения в существующем домене, Domain — первый контроллер домена в домене;

/DomainLevel — указывает режим работы домена при создании нового домена в существующем лесу, причем режим работы домена не может быть ниже режима работы леса. По умолчанию устанавливается значение идентичное значению /ForestLevel;

/InstallDNS – при помощи этого параметра вы можете указать, будет ли для данного домена установлена система доменных имен;

/dnsOnNetwork – при помощи этого параметра определяется, имеется ли в сети служба DNS. Этот параметр используется только в том случае, если для сетевого адаптера этого компьютера не настроено имя DNS-сервера для разрешения имен. Значение No означает, что на этом компьютере будет установлен DNS-сервер для разрешения имен. В противном случае нужно сначала настроить имя DNS-сервера для сетевого адаптера.

/DatabasePath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, на котором хранится база данных домена. Например, C:WindowsNTDS;

/LogPath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, содержащего файлы журнала домена. Например, C:WindowsNTDS;

/SysVolPath — при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, например C:WindowsSYSVOL;

/safeModeAdminPassword – при помощи этого параметра указывается пароль, соответствующий имени администратора, который используется для повышения роли контроллера домена;

/RebootOnCompletion – этот параметр указывает, перезагружать ли компьютер независимо от успешности завершения операции. Доступны параметры: Yes и No.

В итоге, для установки контроллера домена, воспользуемся следующей командой:

Dcpromo /unattend /InstallDNS:Yes /dnsOnNetwork:Yes /ReplicaOrNewDomain:Domain /NewDomain:Forest 
/NewDomainDNSName:testdomain.com /DomainNetBiosName:testdomain /DatabasePath:"C:WindowsNTDS" 
/LogPath:"C:WindowsNTDS" /SysvolPath:"C:WindowsSYSVOL” /safeModeAdminPassword:P@ssw0rd /ForestLevel:4 
/DomainLevel:4 /RebootOnCompletion:No

ad-inst-04

Рис. 4. Установка контроллера домена

Заключение

В этой статье вы ознакомились с технологией доменных служб Active Directory, узнали о значении таких терминов, как контроллер домена, домен, лес, дерево и сайт. В статье подробно описан процесс установки роли доменных служб и контроллера домена при помощи утилит командной строки ServerManagerCmd и Dcpromo.exe. Даны пошаговые рекомендации для установки роли доменных служб Active Directory средством управления конфигурацией сервера ServerManagerCmd и командлетом PowerShell.

Реклама