Как установить роль Active Directory (контроллера домена) на Windows Server
Обновлено:
Опубликовано:
Используемые термины: Active Directory, Windows.
Подготовка системы
Установка роли AD
Повышение сервера до контроллера домена
Дополнительные настройки
Поиск ошибок в работе AD
Дополнительная информация
1. Подготовка системы
Для контроллера домена необходимо заранее задать имя компьютера и настроить статический IP-адрес. Это важно, так как смена этих настроек на рабочем активном каталоге может привести к потери работоспособности системы.
Проверяем настройку системного времени и часового пояса. Данный параметр также важен для устанавливаемой роли.
2. Установка роли AD DS
Открываем Диспетчер серверов
Нажимаем Управление - Добавить роли и компоненты:
Если откроется окно с приветствием, просто нажимаем Далее. В следующем окне оставляем Установка ролей и компонентов и нажимаем Далее:
Выбираем сервер, на который будет установлена роль контроллера домена (по умолчанию выбран локальный сервер) и нажимаем Далее:
Среди всех ролей выбираем следующие:
- DNS-сервер.
- Доменные службы Active Directory.
- DHCP-сервер (чаще всего используется, но не обязательно).
* на самом деле, для работы роли контроллера домена не обязательна установка первых двух. Они могут быть настроены на других серверах.
В следующем окне Выбор компонентов просто нажимаем Далее.
Досчелкиваем Далее до конца и нажимаем Установить:
Те же действия можно выполнить командой Powershell:
Install-WindowsFeature -Name DNS, DHCP, AD-Domain-Services -IncludeManagementTools
Или без DHCP:
Install-WindowsFeature -Name DNS, AD-Domain-Services -IncludeManagementTools
3. Повышение сервера до контроллера домена
После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:
* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.
В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:
В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:
В окне Параметры DNS нажимаем Далее.
В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:
В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.
Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.
Настройка после развертывания сервиса
После развертывания контроллера домера, выполняем следующие действия.
Синхронизация времени
На контроллере домена с ролью PDC Emulator необходимо настроить источник синхронизации времени. Для этого открываем командную строку от администратора и вводим команду:
w32tm /config /manualpeerlist:"time.nist.gov,0x8 time.windows.com,0x8" /syncfromflags:manual /reliable:yes /update
* данная команда задаст в качестве источника времени 2 сервера — time.nist.gov и time.windows.com.
* если мы не знаем, на каком контроллере у нас роль PDC Emulator, воспользуемся инструкцией Управление FSMO через powershell.
Соответствие рекомендациям Best Practice
В консоли управления сервером мы можем запустить Best Practices Analyzer (BPA). Для этого откройте Server Manager (если не открыт автоматически, нажмите Win + X → «Диспетчер серверов»). В левом меню выберите Local Server (Локальный сервер). В правой части окна найдите раздел Best Practices Analyzer и нажмите Tasks → Start BPA Scan.
На основе результатов можно сделать выводы о корректной настройке сервера. Мы приведем примеры решений некоторых возможных недочетов.
1. Создание коротких имен файлов должно быть отключено
Ранее в DOS все файлы называли в формате 8.3 — 8 символов под имя, 3 для расширения. Необходимость такого подхода сильно устарело, однако по умолчанию для обеспечения совместимости может быть включено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Готово — поддержка создания коротких имен отключено.
2. Некоторые сетевые адаптеры поддерживают RSS, но эта возможность отключена.
Необходимо для сетевого адаптера, который используется для подключения к сети, включить RSS.
Вводим команду в Powershell:
Enable-NetAdapterRss -Name *
3. Некоторые сетевые адаптеры поддерживают IPsec TOv2, но эта возможность отключена.
Вводим команду в Powershell:
Enable-NetAdapterIPsecOffload -Name *
4. Некоторые сетевые адаптеры поддерживают LSO, но эта возможность отключена.
Вводим команду в Powershell:
Enable-NetAdapterLso -Name *
5. Значение ... не соответствует рекомендуемому на этом сервере.
Система может предложить более оптимальные параметры для опций:
- Smb2CreditsMin — 512.
- Smb2CreditsMax — 8192.
- DurableHandleV2TimeoutInSeconds — 180.
- AutoDisconnectTimeout — 15.
- CachedOpenLimit — 10.
- AsynchronousCredits — 512.
Данные значения могут различаться в разных версиях Windows. Правильные величины можно будет увидеть в результатах BPA.
Выставить данные опции можно командой Set-SmbServerConfiguration:
Set-SmbServerConfiguration -Smb2CreditsMin 512 -Smb2CreditsMax 8192 -DurableHandleV2TimeoutInSeconds 180 -AutoDisconnectTimeout 15 -CachedOpenLimit 10 -AsynchronousCredits 512 -Confirm:$false
6. Для повышения производительности SmbDirect отключите подписывание и шифрование.
Вводим команду в Powershell:
Set-NetOffloadGlobalSetting -NetworkDirect Disabled
Система запросит перезагрузку. Подтверждаем.
Настройка DNS
Как правило, на один сервер с ролью контроллера домена устанавливается DNS. В этом случае необходимо выполнить ряд действий.
1. Настройка перенаправления.
Если наш сервер DNS не может ответить на запрос, он должен передавать его на внешний сервер. Для настройки перенаправления открываем консоль управления сервером имен и кликаем правой кнопкой по названию сервера - выбираем Свойства:
Переходим на вкладку Сервер пересылки:
Кликаем по кнопке Изменить:
Вводим адреса серверов, на которые хотим переводить запросы:
* это могут быть любые DNS, например, глобальные от Google или Яндекса, а также серверы от Интернет-провайдера.
2. Удаление корневых ссылок
Если наш сервер не работает по Ipv6, стоит удалить корневые ссылки, которые работают по этой адресации. Для этого заходим в свойства нашего сервера DNS:
Переходим во вкладку Корневые ссылки:
Мы увидим список серверов имен — удаляем все с адресами IPv6.
3. Включение очистки
Чтобы в DNS не хранилось много ненужных записей, настраиваем автоматическую читску. Для этого открываем настройки сервера имен:
Переходим на вкладку Дополнительно:
Ставим галочку Разрешить автоматическое удаление устаревших записей и ставим количество дней, по прошествию которых считать запись устаревшей:
Готово.
Проверка корректности работы AD
После выполнения всех процедур по настройке сервера, ждем около 15 минут. После открываем командную строку от администратора и вводим:
dcdiag /a /q
Данная команда выполнит диагностику работы контроллера домена и отобразит все замечания. Если такие будут, необходимо самостоятельно найти решение в сети.
Читайте также
Дополнительные сведения по работе с контроллерами домена:
1. Как добавить компьютер с Windows к домену.
2. Понижение контроллера домена и удаление роли AD DS.
3. Как перенести групповые политики на новый контроллер домена.
