Mini-ats102.ru

ООО “Мультилайн”
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Windows Server 2019 — установка контроллера домена

Windows Server 2019 — установка контроллера домена

Profile picture for user Олег

Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.

AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.

Подготовительные работы

Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:

После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:

Хочется отметить обязательные пункты, которые нужно выполнить.

Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.

win

Укажите имя сервера.

win

Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.

Установка роли Active Directory Domain Services

Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.

Дополнительно будет установлена роль DNS.

Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.

win

Запускается мастер добавления ролей.

win

Раздел Before You Begin нас не интересует. Next.

win

В разделе Installation Type выбираем Role-based or feature-based installation. Next.

win

В разделе Server Selection выделяем текущий сервер. Next.

win

В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.

win

Для роли контроллера домена нам предлагают установить дополнительные опции:

  • [Tools] Group Policy Management
  • Active Directory module for Windows PowerShell
  • [Tools] Active Directory Administrative Center
  • [Tools] AD DS Snap-Ins and Command-Line Tools

Всё это не помешает. Add Features.

win

Теперь роль Active Directory Domain Services отмечена галкой. Next.

win

В разделе Features нам не нужно отмечать дополнительные опции. Next.

win

У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.

win

Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.

win

Начинается установка компонентов, ждём.

win

Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.

win

Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.

win

Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:

  • Add a domain controller to an existing domain
  • Add a new domain to an existing forest
  • Add a new forest
Читайте так же:
Зачем артистам наушники в ушах

win

Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.

Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.

win

Попадаем в раздел Doman Controller Options.

В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.

win

У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.

В Domain functional level также выбираю Windows Server 2012.

Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.

Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.

win

Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found. «. Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.

win

В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.

win

В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:

  • Database folder: C:WindowsNTDS
  • Log files folder: C:WindowsNTDS
  • SYSVOL folder: C:WindowsSYSVOL

win

В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.

win

Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.

win

Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.

win

Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.

Для начала установки роли контроллера домена нажимаем Install.

win

Начинается процесс установки.

win

Сервер будет перезагружен, о чём нас и предупреждают. Close.

win

Дожидаемся загрузки сервера.

Первоначальная настройка контроллера домена

win

Наша учётная запись Administrator теперь стала доменной — ILABAdministrator. Выполняем вход.

win

Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.

Читайте так же:
Мобильные версии компьютерных игр

win

На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.

win

Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.

win

Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.

win

Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.

win

Правой кнопкой на корень каталога, New > Organizational Unit.

win

Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.

win

Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.

Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.

Запиши доменное имя компьютера, зарегистрированного в домене первого уровня коммерческие организации, в домене второго уровня flowers и имеющего собственное имя www.

На этой странице сайта вы найдете ответы на вопрос Записать доменное имя компьютера?, относящийся к категории Информатика. Сложность вопроса соответствует базовым знаниям учеников 5 — 9 классов. Для получения дополнительной информации найдите другие вопросы, относящимися к данной тематике, с помощью поисковой системы. Или сформулируйте новый вопрос: нажмите кнопку вверху страницы, и задайте нужный запрос с помощью ключевых слов, отвечающих вашим критериям. Общайтесь с посетителями страницы, обсуждайте тему. Возможно, их ответы помогут найти нужную информацию.

Const n = 4 ; var a : array[1. N, 1. N] of integer ; i, j, k : integer ; begin Randomize ; writeln('Исходный массив : ') ; for i : = 1 to n do begin for j : = 1 to n do begin a[i, j] : = random(40) — 20 ; write(a[i, j] : 4) ; end ; writeln ; end ; ..

Общее количество символов для записи номеров = 22 + 22 + 10 = 54 Для кодирования одного символа необходимо log(2)54≈ 6 бит (2 ^ 6 = 64). Для записи одного номера требуется 7 * 6 бит = 42 бита = 42 / 8 байт≈ 6 байтДля хранения 50 номеров потребуется ..

Жил был Бит и у него была жена Гигабайт. И тд так.

1кб * 1024 * 8 = 8192 бита 8192 / 1024 = 8 бит (один символ) Мощность = 2⁸ = 256 бит.

Блок — схема — в прилагаемом файле. Программа : #include int main() < int s ; for (int i = 10 ; i.

В годном гигабайте 1 073 741 824 байт т. Е. * 8 бит. 234 бита / 8 = 30 байт, т. Е. до гигабайта ещё как до Альдебарана! = )) С 233 сообщениями по 1 биту, если вы это имели ввиду, дело обстоит сложнее, т. К. это смотря где они лежат (если каждое ..

Читайте так же:
Модернизация системного блока компьютера

? Ээээ. Аммм. Ээх! Всё равно НЕ ПОНЯТНО.

Почему ничего не понятно что ты написал.

Человек воспринимает информацию через органы чувств с последующей обработкой мозгом. Информация может быть представлена, буквами, числами, словами, картинками, звуками, запахами и. Т. д. Есть теория, известная на пост советском пространстве, что в..

Предоставление разрешений на подключение к домену

Принцип предоставления минимальных прав в применении к Active Directory (AD) означает, что пользователям следует назначать только те разрешения, которые необходимы для выполнения их профессиональных обязанностей. Чем крупнее компания, тем больше вероятность, что разрешения AD даются различным группам. Типичный пример — предоставление разрешений группе службы поддержки для сброса паролей и разблокирования учетных записей пользователей. Дополнительные сведения о делегировании AD можно найти в тематическом разделе Delegating administra­tion («Делегирование админи­стри­рования») документации по продукту по адресу: https://technet.microsoft.com/en-us/library/cc778807.aspx.

Принцип предоставления минимальных прав также применяется для управления учетными записями компьютеров. По умолчанию пользователи домена могут создать и присоединить к домену до 10 компьютеров. Это значение в домене можно изменить с помощью атрибута ms-DS-MachineAccountQuota, как отмечается в статье базы знаний Microsoft Default limit to number of workstations a user can join to the domain (https://support.microsoft.com/en-us/kb/243327). Многие администраторы доменов устанавливают значение этого параметра равным нулю, чтобы обеспечить соответствие процессам и стандартам компании (например, запретить пользователям назначать компьютерам произвольные имена). В результате во многих компаниях требуется делегировать права для присоединения компьютеров к домену.

Предоставление разрешения на присоединение компьютеров к домену

Вы можете назначить разрешения на присоединение компьютера при создании учетной записи компьютера, нажав кнопку Change («Изменить») в обычном графическом интерфейсе Microsoft (см. метку 1 на экранах 1 и 2).

Создание новой учетной записи компьютера в оснастке Active Directory Users and Computers (ADUC)
Экран 1. Создание новой учетной записи компьютера в оснастке Active Directory Users and Computers (ADUC)
Создание новой учетной записи компьютера с помощью Active Directory Administrative Center (ADAC)
Экран 2. Создание новой учетной записи компьютера с помощью Active Directory Administrative Center (ADAC)

С помощью кнопки Change в средствах ADUC и ADAC графического интерфейса вы предоставляете набор разрешений на объект-компьютер. Далее я покажу, каким образом можно назначить разрешения вручную, а затем мы рассмотрим сценарий PowerShell для автоматизации процесса.

Предоставление разрешения на присоединение вручную с помощью графического интерфейса

Ниже последовательно описан процесс предоставления разрешений на присоединение учетной записи компьютера с консоли ADUC вручную.

  1. В меню View («Вид») выберите режим Advanced Features («Дополнительные параметры»). В противном случае вкладка Security («Безопасность») для объектов AD не будет видна.
  2. Дважды щелкните объект-компьютер, чтобы увидеть его свойства, а затем выберите вкладку Security.
  3. Нажмите кнопку Add («Добавить»), выберите пользователя или группу, которые смогут присоединить компьютер, а затем установите в столбце Allow («Разрешить») флажки Reset password («Сбросить пароль»), Validated write to DNS host name («Удостоверенная запись на узел с DNS-именем»), Validated write to service principal name («Удостоверенная запись на узел с именем участника службы») и Write account restrictions («Ограничения учетной записи для записи»), как показано на экране 3. Нажмите кнопку Apply («Применить»).
Читайте так же:
Можно ли зайти в инстаграм через компьютер
Назначение разрешений на подсоединение компьютера к домену в графическом интерфейсе
Экран 3. Назначение разрешений на подсоединение компьютера к домену в графическом интерфейсе

Ручное назначение разрешений на присоединение компьютера с помощью кнопки Change или вкладки Security — медленный процесс с высокой вероятностью ошибок. Поэтому давайте посмотрим, как можно его автоматизировать с помощью сценария PowerShell.

Сценарий Grant-ComputerJoinPermission.ps1

Я подготовил сценарий Grant-ComputerJoinPermission.ps1 (см. листинг), чтобы предоставить четыре необходимых разрешения (см. экран 3) для одной или нескольких учетных записей компьютеров. Синтаксис сценария следующий:

Параметр -Identity указывает, кто сможет присоединять компьютеры к домену. Вы можете ввести этот параметр в формате username (например, kendyer), domainusername (например, fabrikamkendyer) или username@domain (например, kendyer@fabrikam.com). Имя параметра (-Identity) вводить не обязательно, если вы указываете его первым в командной строке. Этот параметр не поддерживает подстановочные знаки.

Параметр -Name задает имена одной или нескольких учетных записей компьютеров. Имя параметра (-Name) можно опустить, если разместить имена учетных записей компьютеров на второй позиции в командной строке сценария. Этот параметр принимает входные данные конвейера, поэтому имя параметра тоже следует опустить, если имена компьютеров передаются в сценарий через конвейер. Данный параметр не поддерживает подстановочные знаки.

Параметр -Domain указывает имя домена, в котором размещаются учетные записи компьютеров (например, fabrikam или fabrikam.com).

Параметр -Credential указывает учетные данные, имеющие право назначать разрешения учетным записям компьютеров. Вы можете использовать этот параметр, если выполнили вход с учетной записью, не имеющей достаточных прав для предоставления разрешений учетным записям компьютеров.

Поведение параметров -WhatIf и -Confirm — такое же, как у команд PowerShell: -WhatIf указывает, какие действия выполняет сценарий, в то время как эти действия не совершаются, а -Confirm запрашивает подтверждение перед выполнением любого действия.

Примеры команд

1. Предоставить учетной записи kendyer разрешение для присоединения компьютера pc1 к домену:

2. Предоставить учетной записи kendyer разрешение для присоединения списка компьютеров к домену:

В этом примере файл Computers.txt содержит список имен компьютеров (по одному на строку). PowerShell покажет вносимые изменения из-за параметра -Verbose.

3. Предоставить учетной записи kendyer разрешение для присоединения компьютера pc1 к домену с использованием альтернативных учетных данных:

В этом примере команда Get-Credential запрашивает учетные данные, и PowerShell использует учетные данные, введенные в параметре -Credential (скобки вокруг Get-Credential обязательны).

Читайте так же:
Может ли ноутбук раздавать интернет

4. Создать новую учетную запись компьютера и предоставить учетной записи kendyer разрешение для присоединения к домену:

В этом примере команда New-ADComputer создает объект-компьютер и выводит его с использованием параметра -PassThru. Затем объект-компьютер выводится в сценарий Grant-ComputerJoinPermission.ps1, который предоставляет учетной записи kendyer разрешение для присоединения компьютера к домену.

5. Создать список учетных записей компьютеров в подразделении и предоставить учетной записи lynndyer разрешение на их присоединение к домену:

Почему лучше регистрировать домен на себя

Представим ситуацию: кто-то открыл свой бизнес. Бизнес оказался успешным, и компания решила сделать себе сайт, чтобы увеличить количество клиентов.

Предприниматель пошёл в веб-студию за сайтом, они сделали ему классный дизайн и подобрали красивое доменное имя. А через год, когда сайт стал популярным, предпринимателю позвонили из студии и сказали, что продление на год стоит миллион рублей, иначе домен продадут конкурентам. Как оказалось, студия зарегистрировала доменное имя на себя — по документам именно студия, а не предприниматель была владельцем сайта.

Чтобы такого не происходило, лучше всего регистрировать домен на себя — так у вас будет полный контроль над всем, что с ним происходит.

Особенности DNS

При создании системы DNS было решено что это принципиально децентрализованная система. Децентрализованная как на техническом уровне, то есть нет одного сервера на котором хранятся все имена всех компьютеров в сети, так и на административном уровне. Название компьютеров делится на отдельные части, домены, и за имена компьютеров в разных доменах отвечают разные организации. Также для системы DNS очень важна надёжность, поэтому серверы DNS дублируются.

p, blockquote 16,0,0,0,0 —>

Сгенерировать автоматически или придумать самому

Большая часть красивых и коротких доменных имен уже занята. Если у вас совсем нет свежих идей, воспользуйтесь сервисом автогенерации имен. Например, этим. Просто вводим ключевые слова (только латиницей) и получаем результат:

Как выбрать доменное имя в 2021 году: полезные лайфхаки

Есть и генераторы доменных имен, полноценно работающие с кириллицей, например, этот. Такие сервисы не дадут действительно хороших вариантов, но все же могут натолкнуть на неплохие идеи.

Подводим итоги

Вы уже поняли, что домен – это имя сайта, которое придумали для людей, чтобы им было удобно искать веб-ресурсы в браузере. У него есть разные уровни, позволяющие определить тематику сайта, а также его национальную и региональную принадлежность. В свою очередь, компьютеры, работающие с цифрами, идентифицируют сайты по IP-адресам серверов, на которых они находятся. А чтобы наладить весь этот процесс, были созданы DNS-сервера.

Оцените эту статью. Чтобы мы могли делать лучший контент! Напишите в комментариях, что вам понравилось и не понравилось!

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector