Важно: Данный раздел актуален для Платформы данных On-Premise.
¶ 1. Введение
¶ 1.1 Область применения
Active Directory (AD) – это служба каталогов, разработанная Microsoft для доменных сетей Windows. Она включена в большинство операционных систем Windows Server как набор процессов и служб. Первоначально Active Directory использовался только для централизованного управления доменом. Однако в конечном итоге Active Directory стала общим названием для широкого спектра служб, связанных с идентификацией, на основе каталогов.
¶ 2. Цель выполнения операций
Целью выполнения операций, представленных в данном документе является выполнение установки службы каталогов Active Directory на отдельном сервере.
¶ 2.1 Термины, определения и сокращения
В настоящем документе использованы и определены следующие термины и сокращения:
|
Термин/Сокращение |
Определение |
|---|---|
| DHCP-сервер | DHCP – это клиент-серверный протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol), с помощью которого в ИТ-инфраструктуре сетевые параметры каждого нового устройства присваиваются DHCP-сервером. Новое сетевое устройство, подключенное в сеть делает запрос DHCP-серверу, в ответ получает сетевые настройки (IP-адрес, маску подсети, адрес шлюза, адреса DNS-серверов, синхронизацию времени (NTP)), заранее заданные на сервере. |
| DNS-сервер | Domain name server — приложение, предназначенное для ответов на DNS-запросы по соответствующему протоколу. Также DNS-сервером могут называть хост, на котором запущено соответствующее приложение. |
| OU | (расш. с англ. Organizational Unit) – Подразделение. это субконтейнер в Active Directory, в который можно помещать пользователей, группы, компьютеры и другие объекты AD. |
| Домен контроллер, контроллер домена (DC) |
Контроллер домена в компьютерных сетях, построенных на Microsoft Server, — сервер, управляющий областью компьютерной сети (доменом). Запускает службы Active Directory, в частности, Центр распространения ключей Kerberos (Kerberos Key Distribution Center, KDC). |
| Контекстное меню | Меню, которое появляется в результате нажатия на объект (файл/папку/кнопку и т.д.) правой кнопкой мыши. |
| ПКМ | Нажатие на правую кнопку мыши. |
| Статический IP | Это фиксированный адрес отдельной линии в интернете. Он позволяет зафиксировать один адрес за одним компьютером на длительное время. В начале развития интернета такой тип адресов закреплялся за всеми устройствами. Со временем количество устройств в сети увеличилось в десятки тысяч раз и уникальных адресов перестало хватать на всех, и провайдеры стали использовать динамические адреса присваиваемые клиентам при входе в сеть интернета. |
| УЗ | Учётная запись – хранимая в компьютерной системе совокупность данных о пользователе (или специальному сервису/службе), необходимая для его опознавания (аутентификации) и предоставления доступа к его личным данным и настройкам. |
¶ 3. Подготовка к работе
Для выполнения операций, представленных в данной инструкции, на аппаратном или виртуальном сервере должен быть установлен Windows Server 2016.
¶ 4. Установка Active Directory
Установка службы каталогов подразумевает обязательную установку на этой же машине сервера доменных имён (DNS) и повышение до контроллера домена. Установка DNS сервера предполагает использование статического IP адреса.
¶ 4.1 Настройка статического IP адреса
Во избежание потери связи с сервером, в связи с истечением срока аренды адреса, настоятельно рекомендуется назначить статический IP адрес сетевому интерфейсу, через который клиенты будут обращаться к серверу.
Сделать это можно несколькими способами. Например, зарезервировав адрес на вышестоящем DHCP-сервере или сделать статическим полученный от DHCP-сервера адрес (этот вариант рассмотрим подробнее ниже).
Для настройки статического IP адреса выполните следующие действия:
1. Нажмите ПКМ на кнопке «Start», в открывшемся меню выберите «System»:
2. Вызовите “Network and Sharing Center”:
3. В открывшемся окне выберите «Change adapter settings»:
4. Выберите соединение Ethernet:
5. Нажмите двойной клик, откроется окно:
6. Нажмите на «Properties»:
7. В открывшемся окне, если он не нужен, отключите «Internet Protocol Version 6 (TCP/IPv6)» сняв галочку;
8. Выделите «Internet Protocol Version 4 (TCP/IPv4)», нажмите кнопку «Properties»:
9. В открывшемся окне, выберите «Use the following IP address»:
10. Для определения необходимых сетевых настроек (в том числе IP адреса), вызовите командную строку. В командной строке наберите:
ipconfig /all
11. На экране появятся данные. Скопируйте и вставьте в окно настроек сети (Internet Protocol Version 4 (TCP/IPv4)) IP адрес из строки "IPv4 Address":
12. Заполните по аналогии необходимые поля (Subnet Mask, Default Gateway, Preffered и Alternate DNS servers):
13. Нажмите «ОК» для сохранения в текущем и предшествующем окнах.
¶ 4.2 Задание имени сервера
Для удобства дальнейшей работы с сервером рекомендуется присвоить понятное и удобное сетевое имя (hostname).
1. Нажмите правую кнопку мыши на кнопке «Start», в открывшемся меню выберите «System».
2. Откроется окно «System» с данными о компьютере. Нажмите на кнопку «Change settings»:
3. На вкладке «Computer name» нажмите кнопку «Change…» и измените данные в поле «Computer name»: например, «srv-dc01» (текущий сервер будет в группе серверов и это будет первый домен контроллер (обычная практика подразумевает использование двух контроллеров домена)). Нажмите кнопку «OK» для сохранения. Домен пока не задается, он будет создан при повышении сервера до контроллера домена:
4. По запросу перезагрузите сервер.
¶ 4.3 Добавление роли в Active Directory
- При загрузке сервера автоматически запускается Server Manager, для добавления роли в Active Directory воспользуемся им.
- На главном экране, слева в меню будет активен пункт «Dashboard», нажмите в меню в правой части на «Add roles and features»:
3. В открывшемся окне нажмите кнопку «Next >»:
4. В окне Installation Type оставьте выбор на «Role-based or feature-based installation», нажмите кнопку «Next >»:
5. В окне Server Selection, оставьте выбор на «Select a server from the server pool», (можно подключить виртуальный диск, переключив на «Select a virtual hard disk») в списке указан единственный наш сервер, нажмите кнопку «Next >»:
6. В окне Server Roles:
- Поставьте галочку на саму роль «Active Directory Domain Services», в открывшемся окне на просьбу подключить нужные компоненты, нажмите кнопку «Add Features»:
- Поставьте галочку на «DNS Server», в открывшемся окне нажмите «Add Features»:
- Нажмите кнопку «Next >»:
7. В окне Features ничего не меняя нажмите кнопку «Next >»:
8. В окне AD DS нажмите кнопку «Next >»:
9. В окне DNS Server нажмите кнопку «Next >»:
10. В окне Confirmation:
- При необходимости можно сразу установить галочку на пункте «Restart the destination server automatically if required» для автоматической перезагрузки после завершения инсталляции, в этом случае в появившемся окне нажмите кнопку «Yes»:
- Нажмите кнопку «Install», при этом начнётся процесс инсталляции.
11. После факта завершения инсталляции, который будет выражен в соответствующей записи, что «Installation succeeded on srv-dс01» (под линией прогресса инсталляции) нажмите кнопку «Close»:
¶ 4.4 Настройка домен контроллера
1. После завершения инсталляции при добавлении роли в Active Directory должен появится восклицательный знак в Notifications, нажмите на него, в открывшемся окне нажмите на «Promote this server to a domain controller»:
2. В открывшемся окне Deployment Configuration, установите переключатель на «Add a new forest», в поле «Root domain name» введите имя домена, например: «corp.rtest», нажмите кнопку «Next >»:
3. Откроется окно Domain Controller Options, где задайте DSRM password (пароль, который используется для восстановления Active Directory из резервных копий, исправления различных ситуаций и проблем с AD, а также для сброса забытых паролей пользователей и администраторов)и его подтверждение, а затем нажмите кнопку «Next >»Сложность пароля должна отвечать требованиям, заданным групповыми политиками: длина не меньше 8 символов, а также 3 из 4 требований, таких как: большие и маленькие буквы, цифры и спецсимволы):
4. В окне DNS Options нажмите кнопку «Next >»:
5. В окне Additions Options в поле «The NetBIOS domain name» с небольшой задержкой автоматически появится значение (домен низшего уровня из строчки «Root domain name» в первоначальном окне «Deployment Configuration»). Затем нажмите кнопку «Next >»:
6. В окне Paths оставьте переменные по умолчанию, нажмите кнопку «Next >»:
7. В окне Review Options можно посмотреть выбранные настройки сдвигая движок скролинга. Нажмите кнопку «Next >»:
8. В окне Prerequisites Check выполняется проверка конфигурации и выводятся предупреждения. Для подтверждения запуска инсталляции нажмите «Install»:
9. После завершения установки потребуется перезагрузка, которая начнётся автоматически:
10. При последующем запуске сервера, в процессе которого будут устанавливаться соответствующие службы, сервер уже будет введён в домен:
¶ 4.5 Добавление зоны обратного просмотра DNS (опционально)
Добавление обратной зоны и, в целом, настройка DNS-сервера необходима только в случае дальнейшего использования этого сервера как основного DNS-севера, в противном случае можно опустить этот раздел.
Более подробно о самом протоколе можно прочитать в первоисточнике: RFC 1034, RFC 1035 / STD 13.
1. В Server Manager, в меню, открывающемся при нажатии кнопки «Tools», расположенной в правом верхнем углу, вызовите Tools -> DNS:
2. В левом окне открывшейся формы, откройте DNS -> SRV-DC01 - > Forward Lookup Zones -> corp.rtest:
3. В правом окне нажмите на имя сервера srv-dc01, откроется окно Properties, скопируйте адрес подсети (первые 3 октета) из поля IP address.
4. Закройте окно Properties нажав на кнопку «Cancel».
5. В левом окне откройте DNS -> SRV-DC01 - > Reverse Lookup Zones, нажмите правой кнопкой мыши, в открывшемся меню выберите пункт «New Zone…»:
6. Откроется мастер создания зоны «New Zone Wizard», нажмите кнопку «Next >»:
7. В окне Zone Type уже отмечено «Primary zone», нажмите кнопку «Next >»:
8. В следующем окне выбор должен стоять на «To all DNS servers running on domain controllers in this domains: corp.rtest», нажмите кнопку «Next >»:
9. В следующем окне выбор должен стоять на «IPv4 Reverse Lookup Zone», нажмите кнопку «Next >»:
10 В следующем окне выбор должен стоять на «Network ID», в поле введите скопированную подсеть (первые 3 октета IP адреса сетевого интерфейса сервера), нажмите кнопку «Next >»:
11. В следующем окне выбор должен стоять на «Allow only secure dynamic updates», нажмите кнопку «Next >»:
12. В открывшемся окне нажмите кнопку «Finish»:
13. Появится зона обратного просмотра:
¶ 4.6 Пример настройки структуры отображения в Tools-> Active Directory Users and Computers.
Данный пример структуры приведен исключительно для ознакомительной цели. В каждой организации осуществляется индивидуальная настройка службы каталогов.
Единственное, что будет необходимо сделать для керберизации кластера: завести учётную запись с правами администратора домена и указать УЗ, в котором будут создаваться УЗ, необходимые для работы керберезированного кластера.
1. В Server Manager, в меню расположенном в правом верхнем углу, вызовите Tools -> Active Directory Users and Computers:
2. В левом окне открывшейся формы «Active Directory Users and Computers» откройте структуру своего домена (в нашем примере corp.rtest):
3. Нажмите правой кнопкой мыши на corp.rtest, в открывшемся меню выберите New. В открывшемся подменю выберите Organizational Unit:
4. В открывшемся окне, в поле «Name», введите название организации, например, Rtest:
5. Для сохранения нажмите кнопку «OK».
6. Нажмите правой кнопкой мыши на Rtest в правом окне. В открывшемся меню выберите New, в открывшемся подменю выберите Organizational Unit:
7. В открывшемся окне, в поле «Name» введите «Users», для сохранения нажмите кнопку «OK»:
8. Аналогично в Rtest создаем: Computers, Servers, Services, Groups, Printers, Distribution Groups:
9. Внутри Services создаём «RTCM» – данное подразделение можно будет выделить под создание необходимых УЗ для корректной работы, установленного в дальнейшем керберезированного кластера.
10. Теперь осталось завести УЗ с правами администратора домена. Для этого необходимо в необходимом подразделении, например, Users (внутри Rtest) создать нового пользователя, используя контекстное меню нужного подразделения (строчка «New->User»):
11. В открывшемся окне необходимо ввести необходимые данные:
12. Задать пароль, выбрать необходимые чекбоксы:
13. Заходим в настройки пользователя, во вкладку «Member Of» -> кликаем на «Add…»:
14. Находим группу «Account Operators» («Операторы учёта»), добавляем туда нашего пользователя. Везде применяем и выходим:
15. В дальнейшем керберезированный кластер будет создавать необходимые УЗ в указанном подразделении (OU).