Установка контроллера доменов

Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, которая называется - повышение роли сервера (promotion) .

Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется понижением роли сервера (denotion) .

При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.

НО, категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: вы уничтожите все дерево!!!

Подготовка к созданию контроллера домена

Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server.

Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.

Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard) . Эта же утилита запускается с помощью оснастки "Настройка сервера" в меню Администрирование.

Мы рассмотрим несколько вариантов установки контроллера домена в зависимости то сложности структуры сети.

Создание первого контроллера домена

Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве bhv.com, то DNS-имена всех доменов в этом дереве будут иметь окончание bhv.com (sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена.

Отметим еще одну важную особенность на подготовительном этапе установки контроллера домена - наличие DNS сервера.

Стоит отметить, что служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2).

DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную.

Итак, для создания первого контроллера в домене необходимо:

1. Установить Microsoft DNS-сервер. 2. Запустить мастер установки Active Directory

Внимание 1!
Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды ping DNS_имя или утилиты NetDiag)

Внимание 2!
Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!

Запуск мастера установки Active Directory

Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.

1. Запуск мастера установки выполнять нужно только пользователю с правами Администратор (Administrator).

2. Для запуска мастера можно воспользоваться командой dcpromo, которую запустить из меню Пуск|Выполнить (Start|Run). Альтернативный вариант - выбрать команду Пуск|Программы|Администрирование|Настройка сервера (Start|Programs|Administrative Tools|Configure Your Server), в открывшемся окне последовательно нажать кнопки Active Directory и Запустить (Start).

3. В появившемся окне мастера установки для данного варианта установки контроллера домена выбирается переключатель Контроллер домена в новом домене (Domain controller for a new domain) и нажимаем кнопку Далее.

4. В следующем окне в данном случае устанавливается переключатель Создать новое доменное дерево (Create a new domain tree), жмем на кнопку Далее (Neхt)

5. В следующем окне устанавливается переключатель Создать новый лес доменных деревьев (Create a new forest of domain trees).

5. Затем вводится полное DNS-имя, выбранное для первого домена, например, mycompany.com. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя MYCOMPANY), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.

6. В следующих окнах мастера устанавливаются дополнительные параметры - местоположение базы данных Active Directory

журналов регистрации событий, реплицируемого системного тома.

7. Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение и предлагает установить и настроить DNS.

* Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки Active Directory) или соответствие этого сервера требованиям Active Directory.

* Если DNS-сервер отсутствует, то, установив в следующем окне переключатель Да, автоматически установить и настроить DNS (рекомендуется) (Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory.

Если же будет установлен переключатель Нет, установить и настроить DNS вручную (No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет вручную создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS. В нашем случае, мы позволим мастеру самому проделать эту работу.

8. В следующем окне выберите разрешения, определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT. Обратите внимание на это окно, и внимательно прочитайте информацию, которая представлена на нем, при выборе соответствующего типа разрешений по умолчанию.

9. Далее вводится и подтверждается пароль администратора, который будет использоваться при восстановлении службы каталогов (это один из дополнительных вариантов загрузки Windows 2000).

Внимание 3!
Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!

Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.

10. После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку Назад.

11. После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.

12. По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку Готово (Finish), и предлагает перезагрузить компьютер: нажмите кнопку Перезагрузить сейчас (Restart Now).

Итак, после перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory. Об этом мы поговорим немного позже, а сейчас рассмотрим, как происходит подключение рабочих станций.

Подключение рабочих станций и рядовых серверов

Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2000 аналогично тому, как это делается в Windows NT 4.0. При этом используется оснастка Active Directory пользователи я компьютеры. Практически это мы увидим позже.

Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (подробно о DHCP мы говорили на предыдущих уроках) или задаваться вручную.

Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.

Учетные записи для компьютеров можно создавать заранее (с помощью оснастки Active Directory пользователи и компьютеры) или в процессе подключения компьютера к домену.

Для подключения компьютера с Windows 2000 к домену необходимо осуществить следующие действия:

• В оснастке Система (System) на панели управления или по нажатию правой кнопкой мыши на значке Мой компьютер (My Computer) на рабочем столе выбрать команду Свойства (Properties) контекстного меню.
• Перейти на вкладку Сетевая идентификация (Network Identification) и нажать кнопку Свойства
• В ставшем доступном текстовом поле ввести полное DNS-имя домена, к которому следует подключиться, например, mycopany.com и нажать кнопку ОК.
• Ввести имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, ввести соответствующие значения. Если нужно создать учетную запись "на лету", ввести данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена.
• В случае успешного выполнения операции подключения компьютера к домену появляется соответствующее сообщение.
• нажав кнопку Да (Yes) в ответ на появляющееся сообщение, перезагрузить компьютер.