Разное

Windows 2020 r2 active directory server: Установка и настройка Active Directory в Windows Server 2019

Содержание

Установка и настройка Active Directory в Windows Server 2019

Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.

Перед тем как я покажу процесс установки AD в Windows Server 2019, я бы хотел вам напомнить, что ASctive Directory — это по сути создание централизованной базы данных в которой будут хранится и управляться компьютеры, пользователи, принтеры. Более подробно, что такое Active Directory читайте по ссылке слева.

Подготовительный этап

Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.

Установка и настройка Active Directory на 2019 сервере

Существует два метода выполнения нашей задачи:

  1. Классический метод с использованием оснастки «Диспетчер серверов»
  2. Использование утилиты Windows Admin Center
  3. Второй метод, это использование Power Shell

Установка AD через сервер менеджеров

Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».

Тип установки оставьте «Установка ролей и компонентов».

Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.

Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.

Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.

Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.

Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:

Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.

Выгруженная конфигурация, это XML файл с таким вот содержанием.

Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.

Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».

То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.

Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.

На следующем окне вы должны выбрать параметры:

  • Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
  • Режим работы домена, так же определяет какие функции будут доступны на уровне домена.

Хочу обратить внимание, что режимы работы леса и домена напрямую влияют на то, какие операционные системы могут быть на контроллерах домена, простой пример, если у вас режим работы домена Windows Server 2016, то вы в него уже не добавите контроллеры на ОС Windows Server 2012 R2

  • DNS-сервер, лучше всегда совмещать эти роли
  • Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
  • Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
  • Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора

Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.

Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.

Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:

  • Папка базы данных — C:\Windows\NTDS
  • Папка файлов журналов — C:\Windows\NTDS
  • Папка SYSVOL — C:\Windows\SYSVOL

Если у вас контроллер домена на виртуальной машине и ее виртуальные диски лежат на одном СХД, то смысл переносить на разные диски базу и папку SYSVOL нет

Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.

Выглядит сценарий вот так:

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:\Windows\NTDS» `
-DomainMode «WinThreshold» `
-DomainName «partner.pyatilistnik.info» `
-DomainNetbiosName «PARTNER» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:\Windows\NTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:\Windows\SYSVOL» `
-Force:$true

Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.

В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.

После установки вам сообщат:

Ваш сеанс будет завершен. Выполняется перезагрузка этого компьютера, так как были установлены или удалены доменные службы Active Directory

Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.

Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,

В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.

Установка контроллера домена Windows Server 2019 с помощью Powershell

Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.

# Импорт модуля ServerManager
Import-Module ServerManager
# Установка роли AD DS со всеми зависимыми компонентами
Add-WindowsFeature –Name AD-Domain-Services –IncludeAllSubFeature –IncludeManagementTools
# Импорт модуля ADDSDeployment
Import-Module ADDSDeployment
# Установка нового леса
Install-ADDSForest `
# Не включать делегирование
-CreateDnsDelegation:$false `
# Путь к базе данных AD
-DatabasePath «C:\Windows\NTDS» `
# Режим работы домена
-DomainMode «WinThreshold» `
# Задаем имя домена
-DomainName «partner.pyatilistnik.info» `
# Задаем короткое NetBIOS имя
-DomainNetbiosName «PARTNER» `
# Задаем режим работы леса
-ForestMode «WinThreshold» `
# Указываем, что будем устанавливать DNS-сервер
-InstallDns:$true `
# Задаем путь к NTDS
-LogPath «C:\Windows\NTDS» `
# Если требуется перезагрузка, то перезагружаемся
-NoRebootOnCompletion:$false `
# Задаем путь до папки SYSVOL
-SysvolPath «C:\Windows\SYSVOL» `
-Force:$true

Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.

Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.

Предварительная проверка.

Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.

Полезные команды при установке доменных служб

  • Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
  • Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
  • Просмотр подсетей — Get-ADReplicationSubnet -Filter *
  • Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
  • Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions

Полезные командлеты в модуле ADDSDeployment

  • Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
  • Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
  • Установка дополнительного контроллера домена — Install-ADDSDomainController
  • Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
  • Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation

Установка и настройка Active Directory Windows Admin Center

Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.

Появится мастер установки, если все верно, то нажмите да.

В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.

Процесс установки доменных служб.

Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.

На этом у меня все, если остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.

Разворачиваем контроллер домена на базе Windows Server 2012 R2. Настройка служб AD DS, DNS, DHCP.

Содержание статьи:

В статье подробно разберем процесс развертывания контроллер домена на базе Windows Server 2012 R2 и настройка служб AD DS, DNS, DHCP.

Наша задача:

  • Установить Windows Server 2012 R2 и подготовить систему к развертыванию служб.
  • Развернуть службы Active Directory + DNS, выполнить настройку служб.
  • Развернуть службу DHCP, выполнить настройку обслуживания подсети 192.168.0.0/24.

Проделываться все действия будут на виртуальной машине.

 

Установка Windows Server 2012 R2 и настройка

При выборе типа устанавливаемой системы, выбираем Windows Server 2012 R2 Standart with GUI. Далее саму установку я пропущу, т.к. она полностью тривиальная.

После установки системы, обязательно обновляем систему до актуального состояния. Изменяем имя ПК (прим. DC1).

 

В настройках TCP/IP указываем статические IP-адреса (прим. как на скриншоте ниже)

 

Изменяем временную зону, выбираем относящуюся к нам зону (+03:00 Moscow, St. Petersburg, Volgograd).

 

На этом базовая подготовка системы выполнена, можно приступать к развертыванию служб.

 

Разворачиваем службы Active Directory + DNS

Добавляем новую роль Server ManagerManageAdd Roles and Features. Отмечаем галочкой пункт Skip this page by default (чтобы в будущем не видеть эту страницу) и нажимаем Next.

 

Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен только для установки роли удаленных рабочих столов. Нажимаем Next.

 

Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Пункт Select a virtual hard disk позволяет указать сервер расположенный на VHD-диске. Нажимаем Next.

 

Отмечаем галочкой роль Active Directory Domain Services, в подтверждающем запросе добавления роли и компонентов, необходимых для установки AD нажимаем Add Features и после нажимаем Next.

 

В этом окне предлагается выбрать дополнительные компоненты, в моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.

 

Информационная страница на которой обращается внимание на то что желательно иметь несколько контроллеров домена, на случай выхода из строя основного. Служба AD DS требует установленного в сети DNS-сервера, если он не установлен, то будет предложено его установить, а так же AD DS требует установки дополнительных служб DFS Namesspases (пространства имен), DFS Replication (DFS репликации) и File Replication (Файловой репликации). Нажимаем Next

 

На завершающей странице мастера отображается информация по устанавливаемым компонентам. Так же здесь можно экспортировать конфигурацию в  xml-файл (Export configuration settings), на случай если нужно развернуть идентичный сервер. Нажимаем Install.

 

После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Promote this server to a domain controller (Повысить этот сервер до контроллера домена). Запустится мастер конфигурирования AD DS.

 

Необходимо выбрать вариант развертывания AD DS.

  • Add a domain controller to an existing domain — добавить дополнительный контроллер домена в существующем домене.
  • Add a new domain to an existing forest — добавить новый домен в существующем лесу:
  • Tree Domain —  корневой домен нового дерева в существующем лесу
  • Child Domain — дочерний домен в существующем лесу
  • Add New Forest — создать новый корневой домен в новом лесу.

Выбираем вариант Add New Forest, указываем корневое имя домена, нажимаем Next.

 

В параметрах контроллера домена оставляем по умолчанию функционал леса и домена, проверяем отмечен ли галочкой пункт Domain Name System (DNS), будет автоматически поднята роль DNS и задаем пароль для режима восстановления служб каталогов. Нажимаем Next.

 

Не обращаем внимание на предупреждение ошибки делегирования для этого DNS-сервера, т.к. роль DNS поднимается в процессе конфигурации AD DS. Нажимаем Next.

 

Оставляем подставленное мастером NetBIOS имя. Нажимаем Next.

 

Пути к каталогам оставляем по-умолчанию. Нажимаем Next.

 

Вывод сводной информации по настройке AD DS. Нажимаем Next.

 

Дожидаемся выполнения предварительной проверки и если проверка прошла успешно, то мастер нам сообщит об этом: All prerequisite checks are passed successfully. Click «install» to begin installation. (Все предварительные проверки пройдены успешно. Нажмите кнопку «установить», чтобы начать установку.). Нажимаем Install.

 

В ходе установки конфигурации AD DS, система будет перезагружена. После перезагрузки добавим зону обратного просмотра в DNS. Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств.

Запускаем Server Manager, выбираем роль DNS и на сервере жмем правой кнопкой мыши. Выбираем пункт DNS Manager (Диспетчер DNS).

 

Выделяем вкладку Reverse Lookup Zones, нажимаем правой кнопкой и выбираем New Zone.

 

Задаем тип добавляемой зоны:

  • Primary zone — Основная зона. Зона хранится на DNS-сервере, является основной. DNS-сервер становится основным источником сведений об этой зоне.
  • Secondary zone — Дополнительная зона. DNS-сервер становится дополнительным источником сведений о зоне. Зона на этом сервере должна быть получена от другого удаленного компьютера DNS-сервера, который также хранит зону.
  • Stub zone — Зона заглушка. DNS-сервер становится источником сведений только о полномочных серверах имен для этой зоны.

Выбираем Primary zone и нажимаем Next.

 

Предлагается выбрать как будет выполнятся репликация добавляемой зоны:

  • То all DNS servers running on domain controllers in this forest — Репликации во всем лесу AD включая все деревья доменов.
  • То all DNS servers running on domain controllers in this domain — Репликация внутри текущего домена и его дочерних доменов.
  • То all domain controllers in this domain — Репликация на все контроллеры домена внутри текущего домена и его дочерних доменов.
  • To all domain controllers specified in the scope of this directory partition — Репликация на все контроллеры домена, но DNS-зона располагается в специальном каталоге приложений. Поле будет доступно для выбора, после создания каталога.

Выбираем То all DNS servers running on domain controllers in this domain. Нажимаем Next.

 

Выбираем протокол заданный по умолчанию IPv4 Reverse Lookup Zone. Нажимаем Next.

 

Задаем параметр Network ID. В моем случае 192.168.0. В поле Reverse Lookup Zone Name автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

 

Выбор параметра динамического обновления:

  • Allow only secure dynamic updates (recommended for Active Directory) — Разрешить только безопасные динамические обновления.
  • Allow both nonsecure and secure dynamic updates — Разрешить любые динамические обновления, как безопасные так и нет.
  • Do not allow dynamic updates — Не разрешать динамические обновления.

Выбираем Allow both nonsecure and secure dynamic updates. Нажимаем Next.

 

В завершении добавлении зоны обратного просмотра нажимаем Finish.

 

Теперь укажем Forwarders (Серверы пересылки). Серверы пересылки служат для того чтобы кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет. Это нужно для того чтобы локальные компьютеры доменной сети смогли получить доступ в интернет.

В оснастке DNS Manage (Диспетчер DNS) выделяем наш сервер и нажимаем правой кнопкой мыши. Выбираем Properties. Переходим во вкладку Forwarders и нажимаем на Edit.

 

В поле <Click here to add an IP Address or DNS Name> вбиваем IP-адрес или DNS имя, например провайдера или можно 8.8.8.8 (DNS Google). Нажимаем OK.

 

Теперь локальные компьютеры состоящие в доменной сети, смогут выходить в интернет.

 

Поднимаем службу DHCP и выполняем настройку ее

Добавляем новую роль Server ManagerManageAdd Roles and Features. Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Нажимаем Next.

 

Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Нажимаем Next.

 

Отмечаем галочкой роль DHPC Server, в подтверждающем запросе добавления роли и компонентов, необходимых для установки DHCP Server нажимаем Add Features и после нажимаем Next.

 

В моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.

 

Информационная страница на которой обращается внимание на то что необходимо настроить на компьютере статический IP-адрес и перед установкой DHCP сервера нужно спланировать подсеть, области и исключения. Нажимаем Next.

 

На завершающем этапе установки, нажимаем Install.

 

После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Complete DHCP configuration (Завершить конфигурацию DHCP). Запустится мастер после установочной конфигурации DHCP.

 

Информационная страница, на которой сообщается что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.

 

На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.

 

Если процесс создания групп безопасности и авторизация в AD прошли успешно, то получим вывод Done. Нажимаем Close.

 

Запускаем Server Manager, выбираем роль DHCP и на сервере жмем правой кнопкой мыши. Выбираем пункт DHCP Manager (Диспетчер DHCP).

 

Выполним настройку DHCP. Создадим рабочий диапазон адресов из которого будут выдаваться адреса клиентам. Создавать диапазон будем в зоне IPv4. Выбираем протокол IPv4 и нажимаем ActionNew Scope… или на иконку отмеченную ниже.

 

Задаем имя области и ее описание. Нажимаем Next.

 

Определяем начальный и конечный адрес диапазона подсети. Нажимаем Next.

 

По желанию можно задать диапазон адресов которые не будут выдаваться клиентам. Для задания диапазона исключения указываем начальный адрес и конечный и нажимаем Add. По окончании нажимаем Next.

 

Задаем время аренды выданного IP-адреса. Нажимаем Next.

 

Указываем Yes, I want to configure these options now (Да, я хочу настроить опции сейчас). Нажимаем Next.

Указываем адрес шлюза. Нажимаем Next.

 

Параметры задания доменного имени, DNS сервера и WINS Servers пропускаем, оставляем указанных значения по-умолчанию. Нажимаем Next.

 

Соглашаемся с активацией заданной области, выбираем Yes, I want to activate thisscope now. Нажимаем Next.

 

На этом установка и настройка AD DS, DNS, DHCP завершена.

 

Сервер готов к работе, можно заводить компьютеры в домен.

 

Понравилась или оказалась полезной статья, поблагодари автора

 

Установка Active directory по быстрому и без мучений в windows server 2008R2

Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочется рассказать в данной статье как установить контроллер домена. Когда то я тоже начинал мечтать об админстве, и на первой же работе я увидел, что же такое AD, осознал всю мощь MS :). Шло время я немного вырос в своих глазах в профессиональном плане и решил сделать тестовый стенд, о том как его делать будет отдельная статья, и первое что я решил попробовать поставить свой домен.

Когда вы уже поставили windows server 2008R2 все обновили настроили статику назвали свой компьютер как нужно (об этом тут), у меня это будет для примера DC, то можно приступать.

Как установить active directory

Открываем Диспетчер сервера, это централизованный и краеугольный инструмент Microsoft по добавлению ролей, но все тоже самое можно сделать и через powershell. Нажимаем добавить роли

Откроется мастер со справочной информацией, жмем далее. Советую сразу поставить снизу галку, пропустить эту страницу, я сомневаюсь, что вы будите ее читать.

как установить active directory

Выбираем Доменные службы Active Directory.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-03

Дальше мастер скажет, что нужно поставить компоненты NET.Framework 3.5.1, жмем добавить

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-04

Жмем далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-05

В следующем окне нас подробно познакомят c Active directory, жмем ДАлее

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-06

Жмем установить. Процесс быстрый буквально пару минут.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-07

Видим, что Active Directory установилась успешно

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-08

После установки в диспетчере ролей мы видим ошибку и ее текст, мол введите в пуске dcpromo.exe и будут вам счастье, так и поступим.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-09

Открываем пуск и пишем dcpromo.exe

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-10

Дальше нас поприветствует мастер установки Active directory. Жмахаем Далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-11

Щелкаем далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-12

Создаем новый домен в новом лесу.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-13

Придумываем имя нашего домена, я выбрал contoso.com в целях тестового тестирования, вам же хочу посоветовать прочитать статью как правильно выбрать имя домена Active Directory,

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-14

Начнется проверка уникальности имени нового леса.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-15

 

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-16

Выбираем режим работы домена windows server 2003 , я выбрал этот режим для того чтобы показать как поднимается режим работы, вы же выбирайте сразу 2008R2, чтобы получить все его преимущества о которых позже.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-17

Выбираем уровень леса тоже windows server 2003 по тем же причинам.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-18

Дальше нам скажут, что вам еще поставят DNS сервер. Жмем далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-19

Спросят про делегирование, жмем ДА.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-20

В следующем окне, нам покажут и предложат папки размещения Базы данных.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-21

Попросят придумать и ввести пароль Администратор, пароль должен включать в себя большую букву, маленькую и цифру и быть не менее 6 символов.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-22

Дальше мы можем посмотреть настройки и экспортировать их, могут пригодиться для файла автоматической установки, ставим галку перезагрузиться после выполнения.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-24

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-25

После перезагрузки посмотрим в диспетчере сервера какие события произошли и нет ли там ошибок.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-26

Иногда может получиться что сеть видится не как доменная, а как неопознанная. Это происходит когда в настройках ip прописывается днс сервер вида 127.0.0.1. Его нужно сменить на нормальный вида 10.10.10.1.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-27

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-28

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-29

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-30

После чего выключим и включим интерфейс, увидим что все ок и сеть определилась как доменная.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-31

На этом роль можно считать полностью развернутой, простейшие вещи с Active directory мы разберем в следующей статье:) Так же если вы изначально задали неправильное имя контроллера домена и хотите его сменить то посмотрите Как переименовать контроллер домена в Windows Server 2008 R2-2 часть через утилиту netdom

Материал сайта Pyatilistnik.org

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP

Установка и настройка DNS-сервера и Active Directory, DHCP-сервера в Windows Server 2019 не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2016, 2012. Пройдя несколько шагов несложно устанавить следующие роли: DNS-сервер и Доменные службы Active Directory, DHCP-сервер.

 
 

 

Установка и настройка Active Directory, DNS, DHCP

Переименование сервера

1. Для изменения имени сервера нажимаем правой клавишей мыши на «Этот компьютер«, в появившемся меню выбираем «Свойства«. 

 

2. Далее нажимаем «Изменить параметры«. В открывшемся окне добавляем описание сервера, далее выбираем «Изменить«.

3. Задаём «Имя компьютера«, нажимаем «ОК«. Появится предупреждение о том, что изменения вступят в силу после перезагрузки компьютера. Подтверждаем — «ОК«

4. Нажимаем «Перезагрузить сейчас» и ожидаем перезагрузки сервера.

5. После перезагрузки компьютера проверяем имя сервера («Мой компьютер» — правой клавишей мыши — «Свойства«).

Настройка сетевого интерфейса

6. Для настройки сетевого интерфейса в поиске набираем ncpa.cpl, далее «Enter«. Снимаем чекбокс «IP версии 6«, далее выбираем «IP версии 4«, далее «Свойства«.

7. Выбираем «Использовать следующий IP-адрес» и задаём статический IP-адрес сервера, маску подсети, основной шлюз (если есть), и предпочитаемый DNS-сервер. Нажимаем «ОК«. На этом настройка сетевого интерфейса закончена. 

Установка на сервера ролей: DNS-сервер, Доменные службы Active Directory, DHCP-сервер

8. Нажимаем «Пуск«, далее «Диспетчер серверов«.

9. В новом окне выбираем «Добавить роли и компоненты«.

10. Читаем предупреждение сервера «Перед началом работы«, не забываем защитить учетную запись администратора надежным паролем, затем «Далее«.

11. Проверяем, что чекбокс стоит на «Установка ролей или компонентов«, затем «Далее«.

12. Выбираем сервер, на который будут установлены роли и компоненты. Снова «Далее«.

13. Устанавливаем чекбоксы напротив выбранных ролей сервера, в данном случае это DNS-сервер, Доменные службы Active Directory, DHCP-сервер. Нажимаем «Далее«.

14. При каждом выборе роли будет появляться «Мастер добавление ролей и компонентов«, который будет спрашивать о добавлении компонентов для выбранных ролей сервера. Нажимаем «Добавить компоненты«.

15. Нажимаем «Далее«, необходимые компоненты были выбраны в предыдущем шаге.

16. Читаем предупреждение DNS-сервера на что обратить внимание, затем «Далее«.

17. Читаем предупреждение AD DS, нажимаем «Далее«.

18. Читаем предупреждение DHCP-сервера, снова «Далее«.

19. Ставим «чекбокс» напротив «Автоматический перезапуск конечного сервера, если требуется«, нажимаем «Установить«.

В результате произойдет установка выбранных ролей сервера.

Повышение роли сервера до уровня контроллера домена

20. Нажимаем «Повысить роль этого сервера до уровня контроллера домена«.

21. Далее выбираем «Добавить новый лес» и задаем «Имя корневого домена«.

22. В следующем окне дважды вводим пароль для режима восстановления служб каталогов (DSRM), затем «Далее«.

23. В следующем окне снова «Далее«.

24. Проверяем NetBIOS-имя, присвоенное домену, и при необходимости меняем его. Затем «Далее«.

25. Оставляем по умолчанию расположение базы данных AD DS, файлов журналов и папки SYSVOL, снова «Далее«.

26. После просмотра выбранных параметров и их одобрения нажимаем «Далее«.

27. Если проверка готовности к установке выполнена успешна, то запускаем установку — «Установить«.

28. По завершению установки произойдет перезагрузка сервера.

29. После перезагрузки полное имя компьютера изменится, к имени сервера добавиться доменное имя. Active Directory можно использовать.

 

 

 

Настройка обратной зоны DNS

30. Для настройки обратной зоны DNS в Диспетчере серверов выбираем «Средства» — «DNS«

31. Раскрываем дерево DNS, нажимаем правой клавишей мыши на «Зоны обратного просмотра«, в появившемся меню «Создать новую зону…«.

32. В появившемся мастере создания новой зоны нажимаем «Далее«.

33. Выбираем «Основная зона«, затем «Далее«.

34. Оставляем по умолчанию область репликации зоны, интегрированной в Active Directory, нажимаем «Далее«.

35. Оставляем «Зона обратного просмотра IPv4», просто «Далее«.

36. В следующем окне задаем Зону обратного просмотра, которая преобразует IP-адреса в DNS-имена. В идентификатор сети забиваем три актета своей сети, затем «Далее«.

37. Разрешаем только безопасные динамические обновления, снова «Далее«.

38. Зона обратного просмотра создана.

 

 
 

 

Настройка DHCP-сервера

39. После установки роли DHCP-сервера в Диспетчере серверов нажимаем на желтый треугольник, в появившемся окне выбираем «Завершение настройки DHCP«.

40. В следующем окне читаем описание завершения настройки DHCP-сервера на конечном компьютере, затем «Далее«.

41. Оставляем по умолчанию учетные данные, которые будут использоваться для авторизации DHCP-сервера доменными службами Active Directory. Нажимаем «Фиксировать«.

42. В следующем окне нажимаем «Закрыть«.

43. В диспетчере серверов нажимаем «Средства» — «DHCP«.

44. В открывшемся окне открываем дерево DHCP. Правой клавишей мыши нажимаем на домен, в появившемся окне выбираем «Добавить или удалить привязки…«.

45. Проверяем сетевой интерфейс, который будет использовать DHCP-сервер для обслуживания клиентов. Далее «ОК«.

46. Затем правой клавишей нажимаем на IPv4, в появившемся меню выбираем «Создать область…«.

47. Откроется мастер создания область, который помогает создать область IP-адресов, распределяемых среди компьютеров вашей сети. Нажимаем «Далее«.

48. Задаем имя новой области, если необходимо, задаем также описание новой области. Снова «Далее«.

49. Вводим диапазон адресов, который описывает создаваемую область, маску подсети. Нажимаем «Далее«.

50. В следующем окне вводим с помощью кнопки «Добавить» один адрес или диапазон IP-адресов, который необходимо исключить. После ввода всех адресов или диапазонов нажимаем «Далее«.

51. Оставляем по умолчанию срок действия аренды адресов области, выдаваемых сервером. Снова «Далее«.

52. Для настройки других параметров DHCP выбираем «Да, настроить эти параметры сейчас«, затем «Далее«.

53. Добавляем с помощью кнопки «Добавить» IP-адрес маршрутизатора, снова «Далее«.

54. Оставляем по умолчанию родительский домен, который клиентские компьютеры в сести будут использовать для разрешения DNS-имен. Затем «Далее«.

55. Вводим IP-адреса WINS-сервера, или нажимаем просто «Далее«.

56. Выбираем «Да, я хочу активировать эту область сейчас«, затем «Далее«.

57. В следующем окне появится «Вы успешно завершили работу с мастером создания области», нажимаем «Готово».

58. Вновь созданный диапазон появится в «Пул адресов«.

 

Посмотреть видео можно здесь:

 

 

Windows server 2019 — установка и настройка WSUS, создание и настройка GPO

Windows server 2019 — добавление и удаление компьютера в домене

Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя

Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене

Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO 

Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей

 

 

Установка контроллера домена Active Directory в Windows Server 2012 R2

В данном руководстве подробно описан и продемонстрирован процесс установки роли Active Directory Domain Services (контроллер домена) на Windows Server 2012 R2.

Для установки роли Active Directory Domain Services на Windows Server 2012 R2 потребуется компьютер, под управлением Windows Server 2012 R2 (О том как установить Windows Server 2012 R2 можно прочитать в данной статье: «Установка и активация Windows Server 2012 R2 c USB флешки» ).

 

I. Настройка имени сервера и статического IP-адреса

1.Откройте Пуск > Компьютер (пр. кнопкой мыши) > Свойства (Рис.1).

Рис.1

.

2. В открывшемся окне выберите Изменить параметры (Рис.2).

Рис.2

.

3. В Свойствах системы выберите вкладку Имя компьютера и нажмите Изменить… . В появившемся окне укажите новое имя сервера в поле Имя компьютера (прим. в данном руководстве это SERVER2012R2), затем нажмите ОК (Рис.3).

Рис.3

.

4. Система предупредит о том, что для применения новых настроек необходимо перезагрузить сервер. Нажмите кнопку ОК (Рис.4).

Рис.4

.

5. После перезагрузки, в правом нижнем углу кликните (пр. кнопкой мыши) на иконке сетевого соединения. В открывшемся меню выберите Центр управления сетями и общим доступом (Рис.5).

Рис.5

.

6. В открывшемся окне выберите Изменение параметров адаптера (Рис.6).

Рис.6

.

7. В открывшемся окне Сетевые подключения нажмите правой кнопкой мыши на сетевом подключении и выберите пункт Свойства. В появившемся окне выделите Протокол Интернета версии 4 (TCP/IPv4) и нажмите Свойства (Рис.7).

Рис.7

.

8. В свойствах, на вкладке Общие выберите пункт Использовать следующий IP-адрес. В соответствующие поля введите свободный IP-адрес, маску подсети и основной шлюз. Затем выберите пункт Использовать следующие адреса DNS-серверов. В поле предпочитаемый DNS-сервер введите IP-адрес сервера, после чего нажмите ОК (Рис.8).


Примечание! В данном руководстве, в качестве примера, был выбран свободный IP-адрес 192.168.0.104, маска подсети установлена по умолчанию 255.255.255.0, а в качестве основного шлюза выступает Wi-Fi роутер с адресом 192.168.0.1. Помните, что предпочитаемый DNS-сервер должен совпадать с введённым выше IP-адресом сервера.

Рис.8

.

II. Установка роли Active Directory Domain Services

1. Откройте окно диспетчера сервера и выберите пункт Добавить роли и компоненты (Рис.9).

Рис.9

.

2. В появившемся окне нажмите Далее (Рис.10).

Рис.10

.

3. Выберите пункт Установка ролей и компонентов, затем нажмите Далее (Рис.11).

Рис.11

.

4. Выберите сервер на который будет производиться установка роли, затем нажмите Далее (Рис.12).

Рис.12

.

5. Выберите роль Доменные службы Active Directory, на следующем этапе Мастер установки ролей предупредит, что для установки роли Доменные службы Active Directory нужно установить несколько компонентов. Нажмите Добавить компоненты (Рис.13).

Рис.13

.

6. Убедитесь, что после установки необходимых компонентов напротив Доменные службы Active Directory стоит галочка, затем нажмите Далее (Рис.14).

Рис.14

.

7. На этапе добавления компонентов оставьте все значения по умолчанию и нажмите Далее (Рис.15).

Рис.15

.

8. Ознакомьтесь с дополнительной информацией касательно Доменных служб Active Directory, затем нажмите Далее (Рис.16).

Рис.16

.

9. Для начала установки роли нажмите Установить (Рис.17).

Рис.17

.

10. После окончания установки нажмите Повысить роль этого сервера до уровня контроллера домена (Рис.18).

Рис.18

.

11. Выберите пункт Добавить новый лес, затем в поле Имя корневого домена введите имя домена (прим. в данном руководстве это example.local, Вы можете выбрать любое другое), затем нажмите Далее (Рис.19).


ВАЖНО! Домен вида .local или аналогичный можно использовать в качестве тестового, однако, он имеет ряд недостатков, а именно: 1) Вы никак не сможете подтвердить владение им для получения публичного SSL-сертификата; 2) Такое имя невозможно использовать из внешней сети; 3) Данный способ именования вступает в противоречие с глобальным DNS, так как не гарантирует его уникальность что приводит к потенциальным коллизиям.
Рекомендуется создавать согласованное пространство имен. Например имея домен lyapidov.ru (который использует сайт), домен Active Directory делать суб-доменом, например: server.lyapidov.ru. Либо использовать разные домены например lyapidov.ru — для сайта, а lyapidov.net — для Active Directory.

Рис.19

.

12. На следующем шаге предлагается выбрать функциональный уровень нового леса и корневого домена. Если вы добавляете новый лес и планируете в дальнейшем использовать серверы на базе операционной системы Windows Server 2012 R2, то можете не менять функциональный уровень леса и корневого домена. Установите галочку напротив DNS-сервер, придумайте и введите пароль для режима восстановления служб каталогов в соответствующие поля, затем нажмите Далее (Рис.20).

Рис.20

.

13. Оставьте значение NetBIOS по умолчанию и нажмите Далее (Рис.21).

Рис.21

.

14. Оставьте настройки по умолчанию и нажмите Далее (Рис.22).

Рис.22

.

15. В окне со сводной информацией по настройке сервера нажмите Далее (Рис.23).

Рис.23

.

16. Далее Мастер настройки доменных служб Active Directory проверит все ли предварительные требования соблюдены и выведет отчет. Нажмите Установить (Рис.24).

Рис.24

.

17. После того как роль вашего сервера будет повышена до уровня контроллера домена, сервер автоматически перезагрузится. Перед тем как сервер начнет перезагружаться вы увидите предупреждение (Рис.25).

Рис.25

.

18. После повышения роли сервера до уровня контроллера домена и перезагрузки — зайдите в систему под учетной записью с правами администратора домена (Рис.26).

Рис.26

.

Установка контроллера домена Active Directory в Windows Server 2012 R2 завершена!
.

Поделиться ссылкой:

Похожее

Обновление контроллеров домена до Windows Server 2016



  • Чтение занимает 6 мин

В этой статье

Область применения. Windows ServerApplies To: Windows Server

В этом разделе содержатся фундаментальные сведения о службах домен Active Directory в Windows Server 2016 и объясняется процесс обновления контроллеров домена с Windows Server 2012 или Windows Server 2012 R2.This topic provides background information about Active Directory Domain Services in Windows Server 2016 and explains the process for upgrading domain controllers from Windows Server 2012 or Windows Server 2012 R2.

Предварительные требованияPre-requisites

Рекомендуемый способ обновления домена — повысить уровень контроллеров домена, на которых работают более новые версии Windows Server, и при необходимости понизить прежние контроллеры домена.The recommended way to upgrade a domain is to promote domain controllers that run newer versions of Windows Server and demote the older domain controllers as needed. Этот метод является предпочтительным для обновления операционной системы существующего контроллера домена.That method is preferable to upgrading the operating system of an existing domain controller. В этом списке описаны общие шаги, которые необходимо выполнить перед повышением уровня контроллера домена под управлением более новой версии Windows Server.This list covers general steps to follow before you promote a domain controller that runs a newer version of Windows Server:

  1. Убедитесь, что целевой сервер отвечает требованиям к системе.Verify the target server meets system requirements.
  2. Проверьте совместимость приложений.Verify Application compatibility.
  3. Ознакомьтесь с рекомендациями по переходу на Windows Server 2016Review Recommendations for moving to Windows Server 2016
  4. Проверьте параметры безопасности.Verify security settings. Дополнительные сведения см. в разделе устаревшие функции и изменения в работе, связанные с AD DS в Windows Server 2016.For more information, see Deprecated features and behavior changes related to AD DS in Windows Server 2016.
  5. Проверьте подключение к целевому серверу с компьютера, где планируется установка.Check connectivity to the target server from the computer where you plan to run the installation.
  6. Проверьте доступность необходимых ролей хозяина операций.Check for availability of necessary operation master roles:
    • Чтобы установить первый контроллер домена под управлением Windows Server 2016 в существующем домене и лесу, на компьютере, где выполняется установка, необходимо подключиться к хозяину схемы , чтобы запустить adprep/forestprep и хозяин инфраструктуры для запуска Adprep/домаинпреп.To install the first DC that runs Windows Server 2016 in an existing domain and forest, the machine where you run the installation needs connectivity to the schema master in order to run adprep /forestprep and the infrastructure master in order to run adprep /domainprep.
    • Чтобы установить первый контроллер домена в домене, где схема леса уже расширена, требуется подключение только к хозяину инфраструктуры.To install the first DC in a domain where the forest schema is already extended, you only need connectivity to the infrastructure master.
    • Для установки или удаления домена в существующем лесу необходимо подключение к хозяину именования доменов.To install or remove a domain in an existing forest, you need connectivity to the domain naming master.
    • Для установки контроллера домена также требуется подключение к хозяину RID.Any domain controller installation also requires connectivity to the RID master.
    • Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, вам потребуется подключение к хозяину инфраструктуры для каждого раздела каталога приложений, также известного как контекст именования не в ДОМЕНЕ или нднк.If you are installing the first read-only domain controller in an existing forest, you need connectivity to the infrastructure master for each application directory partition, also known as a non-domain naming context or NDNC.

Этапы установки и требуемые административные уровниInstallation steps and required administrative levels

В следующей таблице приведена сводка этапов обновления и требования к разрешениям для выполнения этих действий.The following table provides a summary of the upgrade steps and the permission requirements to accomplish these steps

Действие установкиInstallation actionТребования к учетным даннымCredential requirements
Установка нового лесаInstall a new forestЛокальный администратор на целевом сервереLocal Administrator on the target server
Установка нового домена в существующем лесуInstall a new domain in an existing forestАдминистраторы предприятияEnterprise Admins
Установка дополнительного контроллера домена в существующем доменеInstall an additional DC in an existing domainАдминистраторы доменаDomain Admins
Выполнение команды adprep /forestprepRun adprep /forestprepАдминистраторы схемы, администраторы предприятия и администраторы доменаSchema Admins, Enterprise Admins, and Domain Admins
Выполнение команды adprep /domainprepRun adprep /domainprepАдминистраторы доменаDomain Admins
Выполнение команды adprep /domainprep /gpprepRun adprep /domainprep /gpprepАдминистраторы доменаDomain Admins
Выполнение команды adprep /rodcprepRun adprep /rodcprepАдминистраторы предприятияEnterprise Admins

Дополнительные сведения о новых возможностях Windows Server 2016 см. в статье новые возможности Windows server 2016.For additional information on new features in Windows Server 2016, see What’s new in Windows Server 2016.

Поддерживаемые варианты обновления на местеSupported in-place upgrade paths

Контроллеры домена под управлением 64-разрядных версий Windows Server 2012 или Windows Server 2012 R2 можно обновить до Windows Server 2016.Domain controllers that run 64-bit versions of Windows Server 2012 or Windows Server 2012 R2 can be upgraded to Windows Server 2016. Поддерживаются только обновления 64-разрядных версий, так как Windows Server 2016 поставляется только в виде 64-разрядной версии.Only 64-bit version upgrades are supported because Windows Server 2016 only comes in a 64-bit version.

Используемый выпускIf you are running this edition:Доступно обновление до следующих выпусковYou can upgrade to these editions:
Windows Server 2012 StandardWindows Server 2012 StandardWindows Server 2016 Standard или DatacenterWindows Server 2016 Standard or Datacenter
Windows Server 2012 DatacenterWindows Server 2012 DatacenterWindows Server 2016 DatacenterWindows Server 2016 Datacenter
Windows Server 2012 R2 StandardWindows Server 2012 R2 StandardWindows Server 2016 Standard или DatacenterWindows Server 2016 Standard or Datacenter
Windows Server 2012 R2 DatacenterWindows Server 2012 R2 DatacenterWindows Server 2016 DatacenterWindows Server 2016 Datacenter
Windows Server 2012 R2 EssentialsWindows Server 2012 R2 EssentialsWindows Server 2016 EssentialsWindows Server 2016 Essentials
Windows Storage Server 2012 StandardWindows Storage Server 2012 StandardWindows Storage Server 2016 StandardWindows Storage Server 2016 Standard
Windows Storage Server 2012 WorkgroupWindows Storage Server 2012 WorkgroupWindows Storage Server 2016 WorkgroupWindows Storage Server 2016 Workgroup
Windows Storage Server 2012 R2 StandardWindows Storage Server 2012 R2 StandardWindows Storage Server 2016 StandardWindows Storage Server 2016 Standard
Windows Storage Server 2012 R2 WorkgroupWindows Storage Server 2012 R2 WorkgroupWindows Storage Server 2016 WorkgroupWindows Storage Server 2016 Workgroup

Дополнительные сведения о поддерживаемых путях обновления см. в разделе Поддерживаемые варианты обновления .For more information about supported upgrade paths, see Supported Upgrade Paths

Adprep и domainprepAdprep and Domainprep

При выполнении обновления на месте существующего контроллера домена до операционной системы Windows Server 2016 необходимо выполнить adprep/forestprep и adprep/domainprep вручную.If you are doing an in-place upgrade of an existing domain controller to the Windows Server 2016 operating system, you will need to run adprep /forestprep and adprep /domainprep manually. Adprep/forestprep необходимо запустить в лесу только один раз.Adprep /forestprep needs to be run only once in the forest. Программа adprep/domainprep должна запускаться один раз в каждом домене, в котором имеются контроллеры домена, обновляемые до Windows Server 2016.Adprep /domainprep needs to be run once in each domain in which you have domain controllers that you are upgrading to Windows Server 2016.

При повышении уровня нового сервера Windows Server 2016 вам не нужно запускать их вручную.If you are promoting a new Windows Server 2016 server you do not need to run these manually. Они встроены в PowerShell и диспетчер сервера возможности.These are integrated into the PowerShell and Server Manager experiences.

Дополнительные сведения о запуске Adprep см. в разделе Выполнение Adprep .For more information on running adprep see Running Adprep

Возможности режимов работы и требованияFunctional level features and requirements

Для Windows Server 2016 требуется функциональный уровень леса Windows Server 2003.Windows Server 2016 requires a Windows Server 2003 forest functional level. Это значит, что перед добавлением контроллера домена под управлением Windows Server 2016 в существующий лес Active Directory в качестве функционального уровня леса необходимо использовать Windows Server 2003 или более поздней версии.That is, before you can add a domain controller that runs Windows Server 2016 to an existing Active Directory forest, the forest functional level must be Windows Server 2003 or higher. Если в лесу есть контроллеры домена под управлением Windows Server 2003 или новее, но режим работы леса соответствует Windows 2000, то установка также блокируется.If the forest contains domain controllers running Windows Server 2003 or later but the forest functional level is still Windows 2000, the installation is also blocked.

Перед добавлением контроллеров домена Windows Server 2016 в лес необходимо удалить контроллеры домена Windows 2000.Windows 2000 domain controllers must be removed prior to adding Windows Server 2016 domain controllers to your forest. В этом случае порядок действий будет следующим.In this case, consider the following workflow:

  1. Установите контроллеры домена под управлением Windows Server 2003 или более поздней версии.Install domain controllers that run Windows Server 2003 or later. Эти контроллеры домена можно развертывать в ознакомительной версии Windows Server.These domain controllers can be deployed on an evaluation version of Windows Server. Для этого шага нужно также запустить программу adprep.exe для соответствующей операционной системы.This step also requires running adprep.exe for that operating system release as a prerequisite.
  2. Удалите контроллеры домена под управлением Windows 2000.Remove the Windows 2000 domain controllers. В частности, надлежащим образом понизьте уровень контроллеров домена под управлением Windows Server 2000 или принудительно удалите их из домена и при помощи компонента «Пользователи и компьютеры Active Directory» удалите учетные записи для всех удаленных контроллеров домена.Specifically, gracefully demote or forcibly remove Windows Server 2000 domain controllers from the domain and used Active Directory Users and Computers to remove the domain controller accounts for all removed domain controllers.
  3. Повысьте режим работы леса до Windows Server 2003 или выше.Raise the forest functional level to Windows Server 2003 or higher.
  4. Установите контроллеры домена под управлением Windows Server 2016.Install domain controllers that run Windows Server 2016.
  5. Удалите контроллеры домена под управлением более ранних версий Windows Server.Remove domain controllers that run earlier versions of Windows Server.

Откат функциональных уровнейRolling back functional levels

После настройки режима работы леса (FFL) на определенное значение невозможно выполнить откат или понижение режима работы леса, за исключением следующих:After you set the forest functional level (FFL) to a certain value, you cannot roll back or lower the forest functional level, with the following exceptions:

  • При обновлении с Windows Server 2012 R2 FFL можно уменьшить его до Windows Server 2012 R2.If you are upgrading from Windows Server 2012 R2 FFL, you can lower it back to Windows Server 2012 R2.
  • При обновлении с Windows Server 2008 R2 FFL можно уменьшить его до Windows Server 2008 R2.If you are upgrading from Windows Server 2008 R2 FFL, you can lower it back to Windows Server 2008 R2.

После того как для режима работы домена задано определенное значение, откат или понижение режима работы домена невозможно, за исключением следующих:After you set the domain functional level to a certain value, you cannot roll back or lower the domain functional level, with the following exceptions:

  • При повышении режима работы домена до Windows Server 2016, если режим работы леса — Windows Server 2012 или более ранняя, у вас есть возможность изменить режим работы домена на Windows Server 2012 или Windows Server 2012 R2.When you raise the domain functional level to Windows Server 2016 and if the forest functional level is Windows Server 2012 or lower, you have the option of rolling the domain functional level back to Windows Server 2012 or Windows Server 2012 R2.

Дополнительные сведения о возможностях, доступных при более низких режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).For more information about features that are available at lower functional levels, see Understanding Active Directory Domain Services (AD DS) Functional Levels.

Взаимодействие доменных служб Active Directory с другими ролями сервера и операционными системами WindowsAD DS interoperability with other server roles and Windows operating systems

Доменные службы Active Directory не поддерживаются в следующих операционных системах Windows:AD DS is not supported on the following Windows operating systems:

  • Windows MultiPoint ServerWindows MultiPoint Server
  • Windows Server 2016 EssentialsWindows Server 2016 Essentials

Доменные службы Active Directory нельзя установить на сервере, на котором выполняются следующие роли или службы ролей:AD DS cannot be installed on a server that also runs the following server roles or role services:

  • Microsoft Hyper-V Server 2016Microsoft Hyper-V Server 2016
  • Посредник подключений к удаленному рабочему столуRemote Desktop Connection Broker

Администрирование серверов Windows Server 2016Administration of Windows Server 2016 servers

Используйте средства удаленного администрирования сервера для Windows 10, чтобы управлять контроллерами домена и другими серверами под управлением Windows Server 2016.Use the Remote Server Administration Tools for Windows 10 to manage domain controllers and other servers that run Windows Server 2016. Средства удаленного администрирования сервера Windows Server 2016 можно запустить на компьютере под управлением Windows 10.You can run the Windows Server 2016 Remote Server Administration Tools on a computer that runs Windows 10.

Пошаговые инструкции по обновлению до Windows Server 2016Step-by-Step for Upgrading to Windows Server 2016

Ниже приведен простой пример обновления леса contoso с Windows Server 2012 R2 до Windows Server 2016.The following is a simple example of upgrading the Contoso forest from Windows Server 2012 R2 to Windows Server 2016.

  1. Присоедините новый сервер Windows Server 2016 к лесу.Join the new Windows Server 2016 to your forest. При появлении запроса перезагрузите компьютер.Restart when prompted.

  2. Войдите на новый сервер Windows Server 2016 с учетной записью администратора домена.Sign in to the new Windows Server 2016 with a domain admin account.

  3. В Диспетчер серверав разделе Добавление ролей и компонентовустановите службы домен Active Directory на новом сервере Windows Server 2016.In Server Manager, under Add Roles and Features, install Active Directory Domain Services on the new Windows Server 2016. Программа Adprep будет автоматически запущена в лесу и домене 2012 R2.This will automatically run adprep on the 2012 R2 forest and domain.

  4. В Диспетчер серверащелкните желтый треугольник и в раскрывающемся списке выберите повысить уровень сервера до контроллера домена.In Server Manager, click the yellow triangle, and from the drop-down click Promote the server to a domain controller.

  5. На экране Конфигурация развертывания выберите Добавить контроллер домена в существующий лес и нажмите кнопку Далее.On the Deployment Configuration screen, select Add a domain controller to an existing forest and click next.

  6. На экране параметры контроллера домена введите пароль в режиме восстановления служб каталогов (DSRM) и нажмите кнопку Далее.On the Domain Controller options screen, enter the Directory Services Restore Mode (DSRM) password and click next.

  7. В оставшейся части экрана нажмите кнопку Далее.For the remainder of the screens click Next.

  8. На экране Проверка готовности нажмите кнопку установить.On the Prerequisite Check screen, click install. После завершения перезагрузки можно снова войти в систему.Once the restart has completed you can sign back in.

  9. На сервере Windows Server 2012 R2 в Диспетчер серверав разделе средства выберите Active Directory модуль для Windows PowerShell.On the Windows Server 2012 R2 server, in Server Manager, under tools, select Active Directory Module for Windows PowerShell.

  10. В Windows PowerShell используйте Move-Аддиректорисервероператионмастерроле для перемещения ролей FSMO.In the PowerShell windows use the Move-ADDirectoryServerOperationMasterRole to move the FSMO roles. Можно ввести имя каждого параметра-Оператионмастерроле или использовать числа, чтобы указать роли.You can type the name of each -OperationMasterRole or use numbers to specify the roles. Дополнительные сведения см. в разделе Move-аддиректорисервероператионмастерроле .For more information see Move-ADDirectoryServerOperationMasterRole

    Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
    

  11. Убедитесь, что роли перемещены, перейдя на сервер Windows Server 2016, в Диспетчер серверав разделе средствавыберите Active Directory модуль для Windows PowerShell.Verify the roles have been moved by going to the Windows Server 2016 server, in Server Manager, under tools, select Active Directory Module for Windows PowerShell. Используйте Get-ADDomain Get-ADForest командлеты и для просмотра владельцев ролей FSMO.Use the Get-ADDomain and Get-ADForest cmdlets to view the FSMO role holders.

  12. Понизьте и удалите контроллер домена Windows Server 2012 R2.Demote and remove the Windows Server 2012 R2 domain controller. Сведения о понижении роли контроллера домена см. в статье понижение роли контроллеров доменов и доменов .For information on demoting a dc, see Demoting Domain Controllers and Domains

  13. После понижения и удаления сервера можно повысить функциональные уровни леса и функциональных уровней домена до Windows Server 2016.Once the server is demoted and removed you can raise the forest functional and domain functional levels to Windows Server 2016.

Next StepsNext Steps

Samba DC в качестве второго контроллера в домене AD Windows 2012R2 и перемещаемые папки для клиентов на Windows и Linux

Finding a writeable DC for domain 'test.local'
Found DC DC1.TEST.LOCAL
Password for [TEST\administrator]:
Reconnecting to naming master e31d7da6-8f56-4420-8473-80f2b3a31338._msdcs.TEST.                           LOCAL
DNS name of new naming master is DC1.TEST.LOCAL
workgroup is TEST
realm is TEST.LOCAL
Adding CN=DC2,OU=Domain Controllers,DC=TEST,DC=LOCAL
Adding CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC                           =TEST,DC=LOCAL
Adding CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN                           =Configuration,DC=TEST,DC=LOCAL
Adding SPNs to CN=DC2,OU=Domain Controllers,DC=TEST,DC=LOCAL
Setting account password for DC2$
Enabling account
Calling bare provision
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/sa                           mba/private/krb5.conf
Provision OK for domain DN DC=TEST,DC=LOCAL
Starting replication
Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[402/1426] linked                           _values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[804/1426] linked                           _values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[1206/1426] linke                           d_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[1608/1426] linke                           d_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=TEST,DC=LOCAL] objects[1743/1426] linke                           d_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[402/2240] linked_values[0/                           24]
Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[804/2240] linked_values[0/                           24]
Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[1206/2240] linked_values[0                           /24]
Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[1608/2240] linked_values[0                           /24]
Partition[CN=Configuration,DC=TEST,DC=LOCAL] objects[1772/2240] linked_values[2                           4/24]
Replicating critical objects from the base DN of the domain
Partition[DC=TEST,DC=LOCAL] objects[109/110] linked_values[26/29]
Partition[DC=TEST,DC=LOCAL] objects[394/5008] linked_values[29/29]
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=TEST,DC=LOCAL
Partition[DC=DomainDnsZones,DC=TEST,DC=LOCAL] objects[42/42] linked_values[0/0]
Replicating DC=ForestDnsZones,DC=TEST,DC=LOCAL
Partition[DC=ForestDnsZones,DC=TEST,DC=LOCAL] objects[20/20] linked_values[0/0]
Exop on[CN=RID Manager$,CN=System,DC=TEST,DC=LOCAL] objects[3] linked_values[0]
Committing SAM database
Adding 1 remote DNS records for DC2.TEST.LOCAL
Adding DNS A record DC2.TEST.LOCAL for IPv4 IP: 192.168.90.201
Adding DNS CNAME record 6ff1df40-cbb5-41f0-b7b3-53a27dde8edf._msdcs.TEST.LOCAL                            for DC2.TEST.LOCAL
All other DNS records (like _ldap SRV records) will be created samba_dnsupdate o                           n first startup
Replicating new DNS records in DC=DomainDnsZones,DC=TEST,DC=LOCAL
Partition[DC=DomainDnsZones,DC=TEST,DC=LOCAL] objects[1/42] linked_values[0/0]
Replicating new DNS records in DC=ForestDnsZones,DC=TEST,DC=LOCAL
Partition[DC=ForestDnsZones,DC=TEST,DC=LOCAL] objects[1/20] linked_values[0/0]
Sending DsReplicaUpdateRefs for all the replicated partitions
Setting isSynchronized and dsServiceName
Setting up secrets database
Joined domain TEST (SID S-1-5-21-3959064270-1572045903-2556826204) as a DC

Функциональные уровни Windows Server 2016

  • 10 минут на чтение

В этой статье

Применимо к: Windows Server

Функциональные уровни определяют доступные возможности домена или леса доменных служб Active Directory (AD DS). Они также определяют, какие операционные системы Windows Server можно запускать на контроллерах домена в домене или лесу.Однако функциональные уровни не влияют на то, какие операционные системы можно запускать на рабочих станциях и рядовых серверах, которые присоединены к домену или лесу.

При развертывании AD DS установите для функциональных уровней домена и леса максимальное значение, которое может поддерживать ваша среда. Таким образом, вы можете использовать как можно больше функций AD DS. При развертывании нового леса вам будет предложено установить функциональный уровень леса, а затем установить функциональный уровень домена. Вы можете установить функциональный уровень домена на значение, превышающее функциональный уровень леса, но вы не можете установить функциональный уровень домена на значение ниже функционального уровня леса.

С окончанием срока службы Windows Server 2003, 2008 и 2008 R2 эти контроллеры домена (DC) необходимо обновить до Windows Server 2012, 2012 R2, 2016 или 2019. В результате любой контроллер домена, работающий под управлением Windows Server 2008 R2 и старше следует удалить из домена.

На функциональных уровнях домена Windows Server 2008 и выше репликация распределенной файловой службы (DFS) используется для репликации содержимого папки SYSVOL между контроллерами домена. Если вы создаете новый домен на функциональном уровне домена Windows Server 2008 или выше, репликация DFS автоматически используется для репликации SYSVOL.Если вы создали домен на более низком функциональном уровне, вам потребуется перейти от использования FRS к репликации DFS для SYSVOL. Для шагов миграции вы можете либо следовать процедурам на TechNet, либо обратиться к упрощенному набору шагов в блоге Storage Team File Cabinet. Windows Server 2016 RS1 — это последний выпуск Windows Server, который включает FRS.

Windows Server 2019

В этом выпуске не добавлены новые функциональные уровни леса или домена.

Минимальное требование для добавления контроллера домена Windows Server 2019 — это функциональный уровень Windows Server 2008.Домен также должен использовать DFS-R в качестве механизма для репликации SYSVOL.

Windows Server 2016

Поддерживаемая операционная система контроллера домена:

  • Windows Server 2019
  • Windows Server 2016

Функции функционального уровня леса Windows Server 2016

  • Доступны все функции, доступные на функциональном уровне леса Windows Server 2012 R2, а также следующие функции:

Функции функционального уровня домена Windows Server 2016

  • Все функции Active Directory по умолчанию, все функции функционального уровня домена Windows Server 2012R2, а также следующие функции:
    • Контроллеры домена могут поддерживать автоматическое развертывание NTLM и других секретных данных на основе паролей для учетной записи пользователя, настроенной на требование аутентификации PKI.Эта конфигурация также известна как «Смарт-карта, необходимая для интерактивного входа в систему» ​​

    • Контроллеры домена могут поддерживать разрешение сетевого NTLM, когда пользователь ограничен определенными устройствами, присоединенных к домену.

    • Клиенты Kerberos, успешно прошедшие аутентификацию с помощью расширения PKInit Freshness Extension, получат идентификатор SID нового открытого ключа.

      Дополнительные сведения см. В разделах «Что нового в аутентификации Kerberos» и «Что нового в Credential Protection».

Windows Server 2012R2

Поддерживаемая операционная система контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Функции функционального уровня леса Windows Server 2012R2

  • Все функции, доступные на функциональном уровне леса Windows Server 2012, но без дополнительных функций.

Функции функционального уровня домена Windows Server 2012R2

  • Все функции Active Directory по умолчанию, все функции функционального уровня домена Windows Server 2012, а также следующие функции:
    • Защита от постоянного тока для защищенных пользователей. Защищенные пользователи, проходящие аутентификацию в домене Windows Server 2012 R2, больше не могут:
      • Аутентификация с аутентификацией NTLM
      • Использовать комплекты шифров DES или RC4 в предварительной аутентификации Kerberos
      • Делегировать с неограниченным или ограниченным делегированием
      • Продление пользовательских билетов (TGT) сверх первоначального 4-часового срока службы
    • Политики аутентификации
      • Новые политики Active Directory на основе леса, которые можно применять к учетным записям в доменах Windows Server 2012 R2, чтобы контролировать, на каких хостах учетная запись может входить в систему, и применять условия контроля доступа для проверки подлинности к службам, работающим как учетная запись.
    • Бункеры политик аутентификации
      • Новый объект Active Directory на основе леса, который может создавать отношения между пользователем, управляемой службой и компьютером, учетными записями, которые будут использоваться для классификации учетных записей для политик проверки подлинности или для изоляции проверки подлинности.

Windows Server 2012

Поддерживаемая операционная система контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

Функции функционального уровня леса Windows Server 2012

  • Все функции, доступные на функциональном уровне леса Windows Server 2008 R2, но без дополнительных функций.

Функции функционального уровня домена Windows Server 2012

  • Все функции Active Directory по умолчанию, все функции функционального уровня домена Windows Server 2008R2, а также следующие функции:
    • Поддержка KDC для утверждений, комплексной аутентификации и защиты Kerberos. Политика административных шаблонов KDC имеет два параметра (Всегда предоставлять утверждения и Не выполнять запросы незащищенной аутентификации), которые требуют функционального уровня домена Windows Server 2012. Дополнительные сведения см. В разделе Что нового в проверке подлинности Kerberos
    • .

Windows Server 2008R2

Поддерживаемая операционная система контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Функции функционального уровня леса Windows Server 2008R2

  • Все функции, доступные на функциональном уровне леса Windows Server 2003, а также следующие функции:
    • Корзина Active Directory, которая позволяет полностью восстанавливать удаленные объекты во время работы AD DS.

Функции функционального уровня домена Windows Server 2008R2

  • Все функции Active Directory по умолчанию, все функции функционального уровня домена Windows Server 2008, а также следующие функции:
    • Обеспечение механизма аутентификации, которое упаковывает информацию о типе метода входа в систему (смарт-карта или имя пользователя / пароль), который используется для аутентификации пользователей домена внутри токена Kerberos каждого пользователя. Когда эта функция включена в сетевой среде, в которой развернута инфраструктура управления федеративной идентификацией, такая как службы федерации Active Directory (AD FS), информация в токене может быть извлечена всякий раз, когда пользователь пытается получить доступ к любому приложению, поддерживающему утверждения, которое был разработан для определения авторизации на основе метода входа пользователя в систему.
    • Автоматическое управление SPN для служб, работающих на определенном компьютере в контексте управляемой учетной записи службы, при изменении имени или имени узла DNS учетной записи компьютера. Для получения дополнительных сведений об управляемых учетных записях служб см. Пошаговое руководство по учетным записям служб.

Windows Server 2008

Поддерживаемая операционная система контроллера домена:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

Функции функционального уровня леса Windows Server 2008

  • Все функции, доступные на функциональном уровне леса Windows Server 2003, но никакие дополнительные функции недоступны.

Функции функционального уровня домена Windows Server 2008

  • Доступны все функции AD DS по умолчанию, все функции функционального уровня домена Windows Server 2003, а также следующие функции:
    • Поддержка репликации распределенной файловой системы (DFS) для системного тома Windows Server 2003 (SYSVOL)

    • Доменные пространства имен DFS, работающие в режиме Windows Server 2008, который включает поддержку перечисления на основе доступа и повышенную масштабируемость.Доменные пространства имен в режиме Windows Server 2008 также требуют, чтобы лес использовал функциональный уровень леса Windows Server 2003. Дополнительные сведения см. В разделе Выбор типа пространства имен.

    • Поддержка Advanced Encryption Standard (AES 128 и AES 256) для протокола Kerberos. Для выдачи TGT с использованием AES функциональный уровень домена должен быть Windows Server 2008 или выше, а пароль домена должен быть изменен.

    • Информация о последнем интерактивном входе в систему отображает следующую информацию:

      • Общее количество неудачных попыток входа в систему на сервере Windows Server 2008, присоединенном к домену, или на рабочей станции Windows Vista
      • Общее количество неудачных попыток входа в систему после успешного входа на сервер Windows Server 2008 или рабочую станцию ​​Windows Vista
      • Время последней неудачной попытки входа в систему на Windows Server 2008 или рабочей станции Windows Vista
      • Время последней успешной попытки входа в систему на сервере Windows Server 2008 или рабочей станции Windows Vista
    • Детализированные политики паролей позволяют вам определять пароли и политики блокировки учетных записей для пользователей и глобальных групп безопасности в домене.Для получения дополнительной информации см. Пошаговое руководство по настройке детального пароля и политики блокировки учетной записи.

    • Персональные виртуальные рабочие столы

Windows Server 2003

Поддерживаемая операционная система контроллера домена:

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003

Функции функционального уровня леса Windows Server 2003

  • Доступны все функции AD DS по умолчанию, а также следующие функции:
    • Лесной трест
    • Переименование домена
    • Репликация связанных значений
      • Репликация связанных значений позволяет изменять членство в группе для хранения и репликации значений для отдельных членов вместо репликации всего членства как единой единицы.При хранении и репликации значений отдельных членов используется меньшая пропускная способность сети и меньшее количество циклов процессора во время репликации, а также предотвращается потеря обновлений при одновременном добавлении или удалении нескольких членов на разных контроллерах домена.
    • Возможность развертывания контроллера домена только для чтения (RODC)
    • Улучшенные алгоритмы проверки согласованности знаний (KCC) и масштабируемость
      • Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, которые масштабируются для поддержки лесов с большим количеством сайтов, чем AD DS может поддерживать на функциональном уровне леса Windows 2000.Улучшенный алгоритм выбора ISTG — это менее навязчивый механизм выбора ISTG на функциональном уровне леса Windows 2000.
    • Возможность создавать экземпляры динамического вспомогательного класса с именем dynamicObject в разделе каталога домена
    • Возможность преобразовать экземпляр объекта inetOrgPerson в экземпляр объекта User и завершить преобразование в обратном направлении
    • Возможность создавать экземпляры новых типов групп для поддержки авторизации на основе ролей.
      • Эти типы называются основными группами приложений и группами запросов LDAP.
    • Деактивация и переопределение атрибутов и классов в схеме. Следующие атрибуты могут быть использованы повторно: ldapDisplayName, schemaIdGuid, OID и mapiID.
    • Доменные пространства имен DFS, работающие в режиме Windows Server 2008, который включает поддержку перечисления на основе доступа и повышенную масштабируемость. Дополнительные сведения см. В разделе Выбор типа пространства имен.

Функции функционального уровня домена Windows Server 2003

  • Доступны все функции AD DS по умолчанию, все функции, доступные на функциональном уровне собственного домена Windows 2000, а также следующие функции:
    • Инструмент управления доменом Netdom.exe, что позволяет переименовывать контроллеры домена
    • Обновления метки времени входа в систему
      • Атрибут lastLogonTimestamp обновляется с учетом времени последнего входа в систему пользователя или компьютера. Этот атрибут реплицируется внутри домена.
    • Возможность установить атрибут userPassword в качестве эффективного пароля на inetOrgPerson и пользовательских объектах
    • Возможность перенаправления контейнеров пользователей и компьютеров
      • По умолчанию для размещения учетных записей компьютеров и пользователей предусмотрены два хорошо известных контейнера, а именно cn = Computers и cn = Users ,.Эта функция позволяет определять новое, хорошо известное местоположение для этих учетных записей.
    • Возможность диспетчера авторизации хранить свои политики авторизации в AD DS
    • Ограниченное делегирование
      • Ограниченное делегирование позволяет приложениям использовать преимущества безопасного делегирования учетных данных пользователя посредством аутентификации на основе Kerberos.
      • Вы можете ограничить делегирование только определенными службами назначения.
    • Выборочная аутентификация
      • Выборочная проверка подлинности позволяет указать пользователей и группы из доверенного леса, которым разрешено проходить проверку подлинности на серверах ресурсов в доверяющем лесу.

Окна 2000

Поддерживаемая операционная система контроллера домена:

  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2003
  • Windows 2000

Функции функционального уровня собственного леса Windows 2000

  • Доступны все функции AD DS по умолчанию.

Функции функционального уровня собственного домена Windows 2000

  • Доступны все функции AD DS по умолчанию и следующие функции каталогов, включая:
    • Универсальные группы для групп рассылки и безопасности.
    • Групповое размещение
    • Групповое преобразование, позволяющее преобразовать группу безопасности и группу рассылки
    • История идентификатора безопасности (SID)

Следующие шаги

.

Обновление контроллеров домена до Windows Server 2016

  • 7 минут на чтение

В этой статье

Применимо к: Windows Server

В этом разделе представлена ​​справочная информация о домене Active Directory.
Services в Windows Server 2016 и объясняет процесс обновления контроллеров домена с Windows Server 2012 или Windows Server 2012 R2.

Предварительные требования

Рекомендуемый способ обновления домена — повысить уровень контроллеров домена, на которых работают более новые версии Windows Server, и понизить уровень старых контроллеров домена по мере необходимости. Этот метод предпочтительнее обновления операционной системы существующего контроллера домена. В этом списке перечислены общие шаги, которые необходимо выполнить перед повышением уровня контроллера домена, на котором работает более новая версия Windows Server:

  1. Убедитесь, что целевой сервер соответствует системным требованиям.
  2. Проверьте совместимость приложения.
  3. Ознакомьтесь с рекомендациями по переходу на Windows Server 2016
  4. Проверьте настройки безопасности. Дополнительные сведения см. В разделе Устаревшие функции и изменения поведения, связанные с AD DS в Windows Server 2016.
  5. Проверьте возможность подключения к целевому серверу с компьютера, на котором вы планируете запустить установку.
  6. Проверить наличие необходимых ролей хозяина операций:
    • Чтобы установить первый контроллер домена, на котором работает Windows Server 2016 в существующем домене и лесу, компьютер, на котором вы запускаете установку, должен быть подключен к хозяину схемы для запуска adprep / forestprep и хозяину инфраструктуры для запуска adprep / domainprep.
    • Чтобы установить первый контроллер домена в домене, в котором схема леса уже расширена, необходимо только подключение к хозяину инфраструктуры .
    • Чтобы установить или удалить домен в существующем лесу, необходимо подключение к хозяину именования домена .
    • Для любой установки контроллера домена также требуется подключение к хозяину RID .
    • Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, вам необходимо подключение к хозяину инфраструктуры для каждого раздела каталога приложений, также известного как контекст именования вне домена или NDNC.

Этапы установки и требуемые уровни администрирования

В следующей таблице приведены краткие сведения об этапах обновления и требования к разрешениям для выполнения этих действий.

Действие по установке Требования к учетным данным
Установить новый лес Локальный администратор на целевом сервере
Установить новый домен в существующем лесу Администраторы предприятия
Установить дополнительный DC в существующем домене Администраторы домена
Запустить adprep / forestprep Администраторы схемы, администраторы предприятия и администраторы домена
Запустить adprep / domainprep Администраторы домена
Запустить adprep / domainprep / gpprep Администраторы домена
Запустить adprep / rodcprep Администраторы предприятия

Дополнительные сведения о новых функциях в Windows Server 2016 см. В разделе Что нового в Windows Server 2016.

Поддерживаемые способы обновления на месте

Контроллеры домена, на которых работают 64-разрядные версии Windows Server 2012 или Windows Server 2012 R2, можно обновить до Windows Server 2016. Поддерживаются только обновления 64-разрядной версии, поскольку Windows Server 2016 поставляется только в 64-разрядной версии.

Если вы используете эту версию: Вы можете обновить до следующих выпусков:
Windows Server 2012 Standard Windows Server 2016 Standard или Datacenter
Windows Server 2012 Datacenter Windows Server 2016 Центр обработки данных
Windows Server 2012 R2 стандартный Windows Server 2016 Standard или Datacenter
Windows Server 2012 R2 Datacenter Windows Server 2016 Центр обработки данных
Windows Server 2012 R2 Essentials Windows Server 2016 Essentials
Windows Storage Server 2012 стандартный Windows Storage Server 2016 стандартный
Windows Storage Server 2012 Рабочая группа Windows Storage Server 2016 Рабочая группа
Windows Storage Server 2012 R2 стандартный Windows Storage Server 2016 стандартный
Windows Storage Server 2012 R2 Рабочая группа Windows Storage Server 2016 Рабочая группа

Для получения дополнительной информации о поддерживаемых путях обновления см. Поддерживаемые пути обновления

Adprep и Domainprep

Если вы выполняете обновление существующего контроллера домена до операционной системы Windows Server 2016 на месте, вам нужно будет запустить adprep / forestprep и adprep / domainprep вручную.Adprep / forestprep нужно запускать только один раз в лесу. Adprep / domainprep необходимо запускать один раз в каждом домене, в котором есть контроллеры домена, которые вы обновляете до Windows Server 2016.

Если вы продвигаете новый сервер Windows Server 2016, вам не нужно запускать его вручную. Они интегрированы в PowerShell и Server Manager.

Для получения дополнительной информации о запуске adprep см. Запуск Adprep

Характеристики и требования функционального уровня

Windows Server 2016 требует функционального уровня леса Windows Server 2003.То есть, прежде чем вы сможете добавить контроллер домена, на котором работает Windows Server 2016, в существующий лес Active Directory, функциональный уровень леса должен быть Windows Server 2003 или выше. Если лес содержит контроллеры домена под управлением Windows Server 2003 или более поздней версии, но функциональным уровнем леса по-прежнему является Windows 2000, установка также блокируется.

Контроллеры домена Windows 2000 необходимо удалить перед добавлением контроллеров домена Windows Server 2016 в лес. В этом случае рассмотрите следующий рабочий процесс:

  1. Установите контроллеры домена под управлением Windows Server 2003 или новее.Эти контроллеры домена можно развернуть в ознакомительной версии Windows Server. Этот шаг также требует запуска adprep.exe для этой версии операционной системы в качестве предварительного условия.
  2. Удалите контроллеры домена Windows 2000. В частности, изящно понизить или принудительно удалить контроллеры домена Windows Server 2000 из домена и использовать Active Directory Users and Computers для удаления учетных записей контроллера домена для всех удаленных контроллеров домена.
  3. Повысьте функциональный уровень леса до Windows Server 2003 или выше.
  4. Установите контроллеры домена под управлением Windows Server 2016.
  5. Удалите контроллеры домена, работающие под управлением более ранних версий Windows Server.

Откат функциональных уровней

После установки определенного значения функционального уровня леса (FFL) нельзя откатить или понизить функциональный уровень леса, за следующими исключениями:

  • Если вы обновляетесь с Windows Server 2012 R2 FFL, вы можете вернуться к Windows Server 2012 R2.
  • Если вы обновляетесь с Windows Server 2008 R2 FFL, вы можете вернуться к Windows Server 2008 R2.

После установки определенного значения функционального уровня домена нельзя откатить или понизить функциональный уровень домена, за следующими исключениями:

  • Когда вы повышаете функциональный уровень домена до Windows Server 2016 и если функциональный уровень леса равен Windows Server 2012 или ниже, у вас есть возможность откатить функциональный уровень домена до Windows Server 2012 или Windows Server 2012 R2.

Дополнительные сведения о функциях, доступных на более низких функциональных уровнях, см. В разделе Общие сведения о функциональных уровнях доменных служб Active Directory (AD DS).

Взаимодействие AD DS с другими ролями сервера и операционными системами Windows

AD DS не поддерживается в следующих операционных системах Windows:

  • Windows MultiPoint Server
  • Windows Server 2016 Essentials

AD DS нельзя установить на сервере, на котором также выполняются следующие роли сервера или службы ролей:

  • Microsoft Hyper-V Server 2016
  • Посредник подключений к удаленному рабочему столу

Администрирование серверов Windows Server 2016

Используйте средства удаленного администрирования сервера для Windows 10 для управления контроллерами домена и другими серверами под управлением Windows Server 2016.Вы можете запустить средства удаленного администрирования сервера Windows Server 2016 на компьютере под управлением Windows 10.

Пошаговое руководство по обновлению до Windows Server 2016

Ниже приведен простой пример обновления леса Contoso с Windows Server 2012 R2 до Windows Server 2016.

  1. Присоединяйтесь к новому Windows Server 2016 в своем лесу. При появлении запроса перезапустите.

  2. Войдите в новый Windows Server 2016 с учетной записью администратора домена.

  3. В Server Manager в разделе Добавить роли и компоненты установите доменные службы Active Directory на новом Windows Server 2016. Это автоматически запустит adprep в лесу и домене 2012 R2.

  4. В Server Manager щелкните желтый треугольник, а в раскрывающемся списке щелкните Повысить уровень сервера до контроллера домена .

  5. На экране «Конфигурация развертывания » выберите «Добавить контроллер домена в существующий лес » и нажмите «Далее».

  6. На экране параметров контроллера домена введите пароль режима восстановления служб каталогов (DSRM) и нажмите «Далее».

  7. Для остальных экранов щелкните Далее .

  8. На экране Prerequisite Check щелкните install . После перезапуска вы можете снова войти в систему.

  9. На сервере Windows Server 2012 R2 в Server Manager в разделе «Инструменты» выберите модуль Active Directory для Windows PowerShell .

  10. В окнах PowerShell используйте Move-ADDirectoryServerOperationMasterRole для перемещения ролей FSMO. Вы можете ввести имя каждой -OperationMasterRole или использовать числа для указания ролей. Для получения дополнительной информации см. Move-ADDirectoryServerOperationMasterRole

    .

      Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
      

  11. Убедитесь, что роли были перемещены, перейдя на сервер Windows Server 2016, в Server Manager в разделе инструментов выберите модуль Active Directory для Windows PowerShell .Используйте командлеты Get-ADDomain и Get-ADForest для просмотра владельцев ролей FSMO.

  12. Понизьте и удалите контроллер домена Windows Server 2012 R2. Для получения информации о понижении уровня DC см. Понижение уровня контроллеров домена и доменов

    .

  13. После понижения уровня сервера и его удаления вы можете поднять функциональный уровень леса и функциональный уровень домена до Windows Server 2016.

Следующие шаги

.

Как перейти с Active Directory Server 2003 на Active Directory Server 2016, шаг за шагом. — wintips.org

Последнее обновление: 20 августа 2018 г.

В этом руководстве я покажу вам, как перенести Windows Server 2003 Active Directory на Windows Server 2016 AD. Как вы, возможно, знаете, поддержка и обновления Windows Server 2003 закончились еще в июле 2015 года, и многие компании уже осуществили миграцию или планируют обновить свои серверы Windows Server 2003 до Windows Server 2012R2 или Windows Server 2016.

Миграция Active Directory — важная и серьезная процедура, потому что, как вы, возможно, знаете, сервер AD предоставляет все необходимые службы аутентификации и политики безопасности, которые влияют на всех пользователей и компьютеры в сети.

Как перенести Active Directory Server 2003 на Active Directory Server 2016

Шаг 1. Установите Windows Server 2016.
Шаг 2. Настройте IP-адрес в Server 2016.
Шаг 3. Присоедините Windows Server 2016 к домену AD 2003.
Шаг 4. Войдите в Server 2016 с учетной записью администратора домена.
Шаг 5. Повышение функциональных уровней домена и леса на сервере AD 2003.
Шаг 6. Добавьте доменные службы Active Directory на сервер 2016.
Шаг 7. Сделайте Server 2016 контроллером домена.
Шаг 8. Перенесите роль хозяев операций на сервер 2016.
Шаг 9. Измените контроллер домена Active Directory на Server 2016.
Шаг 10. Измените Мастер именования доменов на Сервер 2016.
Шаг 11. Измените хозяина схемы на Server 2016.
Шаг 12. Убедитесь, что все роли FSMO перенесены на Server 2016.
Шаг 13. Удалите Server 2003 из глобального каталога.
Шаг 14. Измените предпочтительный DNS-адрес на сервере 2003, чтобы он соответствовал IP-адресу сервера 2016.
Шаг 15. Отключите сервер 2003 от контроллера домена.
Шаг 16. Измените статические IP-адреса на Server 2003 и Server 2016.
Шаг 17. Войдите в Active Directory 2016 с рабочих станций.
Шаг 18. (Необязательно) Удалите Server 2003 из домена и сети.

Шаг 1. Установите Windows Server 2016.

Перед тем как приступить к миграции Active Directory с Windows Server 2003 на Server 2016, необходимо сначала установить Windows Server 2016 на новом компьютере, который затем будет повышен до Active Directory Server 2016. Для выполнения этой задачи прочтите инструкции ниже гид:

Шаг 2.Настройте IP-адреса в Server 2016.

Следующим шагом является настройка IP и DNS-адресов на новом сервере, как показано ниже:

1. IP-адрес должен принадлежать той же подсети, что и существующий домен.
2. DNS-адрес должен быть таким же, как в существующем Домене.

Предположим для этого примера (руководства), что:

а. Существующий сервер AD 2003 (который также является DNS-сервером) для домена «wintips.local» называется «Server2K3» и имеет IP-адрес «192.168.1.10 «.

г. Новый Сервер 2016 называется «Server2k16».

Согласно приведенной выше информации, вы можете увидеть в таблице ниже текущие IP-настройки Server 2003 и IP-настройки, которые я применил на новом Server 2016, прежде чем перейти к процессу миграции Active Directory.

ОС Windows Server 2003 ОС Windows Server 2016
Имя компьютера: Сервер2K3 Сервер2k16
Доменное имя: WINTIPS.МЕСТНОЕ
NetBIOS-имя домена: WINTIPS
IP-адрес (статический): 192.168.1.10 192.168.1.20
Маска подсети: 255.255.255.0 255.255.255.0
Шлюз по умолчанию: 192.168.1.1 192.168.1.1
Предпочитаемый DNS-сервер: 192.168.1.10 192.168.1.10

Шаг 3. Присоедините Windows Server 2016 к домену AD 2003.

После применения необходимых настроек IP перейдите к новому серверу 2016 в существующем домене 2003.

1. Откройте Диспетчер серверов (на сервере 2016) и щелкните Локальный компьютер на левой панели.
2. Нажмите РАБОЧАЯ ГРУППА

3. Щелкните Изменить.

4. В разделе «Участник» выберите домен . Затем введите доменное имя существующего домена (например, «WINTIPS.LOCAL» в этом примере) или имя домена NETBIOS (например, «WINTIPS» в этом примере) и нажмите OK .

5. Введите «Администратор» в поле имени пользователя, а затем введите пароль для учетной записи администратора домена. Когда закончите, нажмите ОК .

6. Нажмите ОК в сообщении «Добро пожаловать в домен», закройте все открытые окна и перезагрузите компьютер.

Шаг 4. Войдите в Server 2016 с учетной записью администратора домена.

После перезапуска нового Сервера 2016 нажмите Ctrl + Alt + Del и войдите, используя учетную запись администратора домена и пароль. Для этого:

1. На экране входа в систему щелкните Другой пользователь
2.
В поле имени пользователя введите: « DomainName \ Administrator» (например, «wintips \ Administrator»).
3. Введите пароль для администратора домена.
4. Нажмите Введите для входа в систему.

5. Выйдите из Windows, чтобы создать новый профиль пользователя для новой учетной записи, и перейдите к следующему шагу.

Шаг 5. Повысьте функциональные уровни домена и леса на сервере AD 2003.

1. В Windows Server 2003 откройте Пользователи и компьютеры Active Directory.
2.
Щелкните правой кнопкой мыши на доменном имени (например, «wintips.local») и выберите Повысить функциональный уровень домена.

3. Используя стрелку раскрывающегося списка, установите функциональный уровень Windows Server 2003 и щелкните Поднять .

4. Нажмите OK при предупреждающем сообщении о повышении функционального уровня.

5. Когда «Поднять» завершится, нажмите OK еще раз в информационном сообщении.

6. Затем откройте Домен Active Directory и доверие .
7. Щелкните правой кнопкой мыши Домен Active Directory и доверие и выберите Повысить функциональный уровень леса.

8. Убедитесь, что выбран Windows Server 2003 , и нажмите Поднять .

9. Дважды щелкните OK и перейдите к следующему шагу.

Шаг 6. Добавьте доменные службы Active Directory на сервер 2016 и продвиньте сервер 2016 на контроллер домена

Следующим шагом является добавление «Служб Active Directory» в Server 2016 и продвижение его в качестве контроллера домена.

1. Откройте Server Manager на новом сервере 2016.
2. Щелкните Добавить роли и функции .

3. Щелкните Далее в информационном окне «Прежде чем начать».

4. Убедитесь, что выбрана установка на основе ролей или функций , и нажмите Далее .

5. На целевом сервере снова нажмите Далее (по умолчанию выбран новый компьютер с сервером 2016).

6. Щелкните Доменные службы Active Directory , а затем щелкните Добавить функции .

7. Когда закончите, снова нажмите Далее , чтобы продолжить.

8. Щелкните Далее на экране Features и AD DS (доменные службы Active Directory).
9. Отметьте При необходимости автоматически перезапустите целевой сервер , а затем щелкните Да во всплывающем сообщении.

10. Наконец, нажмите Установить , чтобы добавить выбранные роли и функции на новый сервер.
11. После завершения установки компонента не закрывайте это окно и переходите к следующему шагу.

Шаг 7. Сделайте Server 2016 контроллером домена.

После установки служб AD на Server 2016:

1. Щелкните Повысить уровень этого сервера до контроллера домена.

2. На экране «Конфигурация развертывания» примените следующие настройки и нажмите Далее :

1. Выберите Добавить контроллер домена к существующему домену .
2. Убедитесь, что существующее доменное имя уже выбрано. (Если нет, нажмите кнопку Select и выберите правильный домен.)

3. В Опции контроллера домена :

1.Оставьте настройки по умолчанию как есть (с выбранным DNS-сервером и глобальным каталогом ).
2. Введите пароль администратора домена для «режима восстановления служб каталогов».
3. Щелкните Далее .

4. В Параметры DNS щелкните Далее .

5. На экране Дополнительные параметры выберите репликацию со старого сервера Active Directory 2003 (например.г. «server2k3.wintips.local») и щелкните Далее .

6. Оставьте пути по умолчанию для папок Database , Log Files и SYSVOL и нажмите Next .

7. Нажмите Далее еще раз на экранах Параметры подготовки и Просмотр параметров .

8. Когда «Проверка предварительных требований» завершится успешно, нажмите кнопку Установить .

9. Процесс установки должен занять некоторое время. Так что подождите, пока сервер не перезагрузится *, а затем переходите к следующему шагу.

* Примечание. После перезапуска Server 2016, если вы перейдете на свой старый сервер 2003 по адресу Active Directory Users and Computers -> Domain Controllers , вы должны увидеть, что новый сервер 2016 уже указан как контроллер домена.

Шаг 8.Перенести роль хозяев операций на сервер 2016.

1. На сервере 2016: откройте Server Manager .
2. В меню Инструменты выберите Пользователи и компьютеры Active Directory .

3. Щелкните правой кнопкой мыши имя домена и выберите Operations Masters .

4. На вкладке RID щелкните Изменить .

5. Щелкните Да , чтобы передать роль хозяина операций.

6. Нажмите OK для сообщения, информирующего вас об успешной передаче роли хозяев операций.

7. Затем выберите вкладку PDC и нажмите Изменить .

8. Щелкните Да еще раз, чтобы передать роль, а затем щелкните ОК .
9. Затем выберите вкладку Инфраструктура и нажмите Изменить .

10. Щелкните Да еще раз, чтобы передать роль, а затем щелкните ОК .

11. Убедитесь, что роль хозяев операций передана новому серверу на всех вкладках ( RID и PDC и Инфраструктура ), а затем щелкните Close .

Шаг 9.Измените контроллер домена Active Directory на Server 2016.

1. В меню Инструменты в «Диспетчере сервера» выберите Домены и доверие Active Directory .

2. Щелкните правой кнопкой мыши «Active Directory Domains and Trusts» и выберите Change Active Directory Domain Controller.

3. Убедитесь, что Current Directory Server — это новый Server 2016 (e.г. «server2k16.wintips.local») и щелкните ОК . *

* Уведомление. Если текущий сервер каталогов — старый сервер 2003 (например, «server2k3.wintips.local»), то:

1. Выберите (Изменить на 🙂 Этот контроллер домена или экземпляр AD LDS .
2. Выберите новый сервер 2016 из списка и нажмите ОК .
3. Щелкните Да , чтобы применить изменения, а затем щелкните ОК .

Шаг 10.Измените хозяина именования доменов на Server 2016.

1. Откройте доменов Active Directory и доверительные отношения.
2.
Щелкните правой кнопкой мыши «Active Directory Domains and Trusts» и выберите Operations Master.


3. Щелкните Изменить и передать роль хозяина именования доменов на новый Сервер 2016.

4. Щелкните Да , чтобы передать роль, затем щелкните ОК , а затем Закройте окно .

Шаг 11. Измените хозяина схемы на Server 2016.

1. На новом сервере 2016: откройте командную строку от имени администратора .
2. Введите следующую команду и нажмите Enter:

3. Нажмите OK в сообщении «DllRegisterServer в schmmgmt.dll выполнено успешно».

4. Затем введите mmc и нажмите Введите .

5. На консоли MMC щелкните Файл и выберите Добавить / удалить оснастку…

6. Выберите Active Directory Schema слева, нажмите Добавить , а затем нажмите ОК.

7. Теперь в консоли MMC щелкните правой кнопкой мыши «Схема Active Directory» и выберите Изменить контроллер домена Active Directory.

8. В окне «Изменить сервер каталогов»:

1. Выберите (Изменить на 🙂 Этот контроллер домена или экземпляр AD LDS .
2. Выберите новый сервер 2016 из списка (например, «server2k16.wintips.local») и нажмите OK .
3. Щелкните Да , чтобы применить изменения, а затем щелкните ОК

9. Нажмите ОК при предупреждающем сообщении: «Оснастка схемы Active Directory не подключена к хозяину операций схемы…».

10 . Снова щелкните правой кнопкой мыши «Схема Active Directory» и выберите Мастер операций .

11. Щелкните Изменить , чтобы перенести роль мастера схемы на новый сервер 2016,

12. Щелкните Да , затем щелкните ОК , а затем Закройте окно.
13. Наконец, закройте консоль MMC (без сохранения изменений) и перейдите к следующему шагу.

Шаг 12. Убедитесь, что все роли FSMO перенесены на Server 2016.

1. На новом сервере 2016: откройте командную строку от имени администратора .
2. Введите следующую команду и нажмите Введите :

3. Убедитесь, что все роли FSMO перенесены на ваш новый Server 2016 (например, на «Server2k16.wintips.local»)

4. Если все роли FSMO (Flexible Single Master Operation) были перенесены на Server 2016, значит, вы успешно обновили свой Server 2003 Active Directory до Server 2016 Active Directory. Еще несколько шагов, и вы готовы к работе…

Шаг 13. Удалите Server 2003 из глобального каталога.

1. На сервере 2016: откройте пользователей и компьютеров Active Directory.
2.
Дважды щелкните свой домен (например, «wintips.local») и щелкните Контроллеры домена.
3. Щелкните правой кнопкой мыши на старом сервере (например, «Server2k3») и выберите Properties .

4. Щелкните Настройки NTDS .

5. Снимите отметку с поля Global Catalog и дважды щелкните OK , чтобы закрыть все окна .

6. Подождите несколько минут, чтобы реплицировать новую конфигурацию на старый сервер 2003, и переходите к следующему шагу.

Шаг 14. Измените предпочтительный DNS-адрес на сервере 2003, чтобы он соответствовал IP-адресу сервера 2016.

1. На сервере 2003: откройте центр управления сетями и общим доступом .
2. Щелкните правой кнопкой мыши Подключение по локальной сети и выберите Свойства .
3. Дважды щелкните Internet Protocol TCP / IP .
4. Измените адрес
предпочитаемого DNS-сервера в соответствии с IP-адресом сервера 2016.
5. Измените адрес альтернативного DNS-сервера на IP-адрес сервера 2003.
6. Нажмите ОК и закройте все окна.

Шаг 15. Отключите сервер 2003 от контроллера домена.

Теперь давайте удалим службы Active Directory из Server 2003.

1. На старом сервере 2003 откройте командную строку.
2. Введите следующую команду и нажмите Enter.

3. Нажмите Далее в разделе «Добро пожаловать в мастер установки Active Directory».

4. Нажмите Далее , чтобы удалить Active Directory со старого сервера.

5. Введите новый пароль для учетной записи локального администратора и нажмите Далее .

6. Нажмите Далее еще раз, чтобы удалить Active Directory со старого сервера 2003.

7. Подождите, пока Active Directory не перенесет оставшиеся данные на новый сервер 2016.

8. По завершении операции нажмите Готово .

9. Перезагрузите компьютер.

10 . После перезагрузки войдите на сервер 2003, используя учетную запись локального администратора.

Шаг 16. Измените статический IP-адрес на Server 2003 и Server 2016.

До сих пор вы успешно обновили свой Active Directory Server 2003 до Server 2016 и удалили службы AD со своего старого Server 2003.

Но, прежде чем пытаться войти с сетевых рабочих станций в новый домен Active Directory 2016, вы должны изменить IP-адреса обоих серверов, чтобы они соответствовали уже настроенным настройкам DNS в вашей сети.

Фактически, вам нужно назначить IP-адрес Server 2003 в Server 2016 и наоборот (или назначить новый IP-адрес в Server2003). Для этого:

1. Временно отключите Server 2003 от сети (отсоедините кабель LAN)

2. Примените следующие изменения IP-адресов к обоим серверам:

  • На Server 2003 сторона:
    • а. Измените текущий IP-адрес (например, «192.168.1.10 «), чтобы соответствовать IP-адресу Сервера 2016 (например,» 192.168.1.20 «) или назначить новый (доступный) IP-адрес.
  • На сервере 2016 Сторона :
    • а. Измените текущий IP-адрес (например, «192.168.1.20») на IP-адрес старого сервера 2003 года (например, «192.168.1.10»)
    • б. Установите в качестве предпочтительного DNS-сервера тот же IP-адрес (например, «192.168.1.10»)
    • с. (Необязательно): если ваш старый контроллер домена (сервер 2003) действует также как WINS-сервер, нажмите кнопку Advanced и на вкладке WINS введите тот же IP-адрес (например,г. 192.168.1.10)

* В качестве справки в таблице ниже вы можете увидеть конфигурацию IP, которую я применил для этого примера.

Windows Server 2003 AD Windows Server 2016 (новая)
Имя компьютера Сервер2K3 Сервер2k16
Доменное имя WINTIPS.LOCAL
NetBIOS-имя домена WINTIPS
IP-адрес 192.168.1.20 192.168.1.10
Подсеть 255.255.255.0 255.255.255.0
Шлюз 192.168.1.1 192.168.1.1
Предпочитаемый DNS-сервер 192.168.1.10 192.168.1.10
192.168.1.20

3. Наконец, чтобы применить изменения, с компьютера Server 2016 откройте командную строку от имени администратора и выполните следующие команды в указанном порядке:

  • ipconfig / flushdns
  • ipconfig / registerdns
  • dcdiag / исправить

4.Повторно подключите Server 2003 к сети (снова подключите кабель LAN).
5. Перезагрузите оба сервера.

Шаг 17. Войдите в Active Directory 2016 с рабочих станций.

1. Включите (или перезагрузите) сетевые рабочие станции и посмотрите, сможете ли вы войти в новый сервер Active Directory Server 2016.
2. Если вы можете войти и все выглядит хорошо, значит, вы закончили с Active Directory. Обновление / миграция каталога.

Шаг 18.(Необязательно) Удалите Server 2003 из домена и сети.

Последний шаг — удалить старый Сервер 2003 из Сети (если хотите). Но перед этим убедитесь, что вы перенесли любые другие данные, которые могут вам понадобиться (например, файлы, базы данных и т. Д.), На другой компьютер (или на новый сервер). *

* Предложение перед удалением Server 2003 из сети: выключите старый сервер 2003 и оставьте его выключенным на время, необходимое для передачи всей его информации на новый сервер.

Чтобы удалить Server 2003 из домена и сети:

1. Щелкните правой кнопкой мыши Мой компьютер и выберите Свойства .
2. На вкладке Имя компьютера щелкните Изменить .

3. Выберите Workgroup , введите имя рабочей группы и нажмите OK .

4. Закройте все открытые окна и перезапустите компьютер.
5. Отключите Server 2003 от сети.

Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.

Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным:

Смотрите лучшие предложения на Woot! Компания-амазонка доступна только сегодня.Бесплатная доставка для членов Prime!

Если вы хотите, чтобы постоянно защищались от вредоносных программ, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы
действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без дополнительных затрат для вас. У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, потому что оно полезно и полезно):

Полная защита домашнего ПК — Защитите до 3 ПК с помощью НОВОГО ПО Malwarebytes Anti-Malware Premium!

.

Добавить дополнительный контроллер домена Windows Server 2012 R2

Не рекомендуется использовать один контроллер домена, поскольку он создает единую точку отказа. Если единственный контроллер домена выйдет из строя в организации, произойдут большие перебои в работе, что приведет к потере операций. Чтобы избежать этой единой точки отказа, вам понадобится дополнительный контроллер домена. Второй DC будет балансировать нагрузку на сервисы и минимизировать риск отказа критически важных сервисов. В этой статье я расскажу, как добавить второй контроллер домена в домен Windows Server 2012 R2.

Инструкции по добавлению первого контроллера домена см. В статье Добавление контроллера домена Windows 2012 R2 в новый лес.

1. Первый шаг — войти в диспетчер сервера и выбрать «Добавить роли и компоненты».

2. Щелкните «Далее» на экране «Перед началом».

3. В поле «Тип установки» выберите «Установка на основе ролей или функций» и нажмите «Далее».

4. В разделе «Выбор сервера» выберите сервер, на котором вы хотите установить роль, по умолчанию он должен быть локальным сервером.Нажмите «Далее».

5. В разделе «Роли сервера» выберите «Серверы домена Active Directory». Вы получите всплывающее окно, чтобы добавить функции, необходимые для доменных служб Active Directory, нажмите «Добавить функции», а затем «Далее».

6. На странице функций нажмите «Далее».

7. На странице AD DS нажмите «Далее».

8. На странице подтверждения нажмите «Далее». При необходимости можно настроить автоматическую перезагрузку сервера, установив флажок «При необходимости автоматически перезапускать целевой сервер».

На этом этапе должны быть установлены доменные службы Active Directory. Это займет несколько минут.

Вам нужно будет заглянуть под индикатор выполнения, чтобы узнать, когда он будет завершен. Маленькими буквами будет написано «установка выполнена успешно».

9. Теперь, когда роль установлена, мы можем повысить уровень сервера до контроллера домена. Вернувшись в диспетчер сервера, вы увидите желтый треугольник в правом верхнем углу, который нужно щелкнуть. В деталях сообщения нажмите «Сделать этот сервер контроллером домена».

10. На странице конфигурации развертывания выберите «Добавить контроллер домена в существующий домен». Введите существующее доменное имя или выберите его в поле домена. Вам будет предложено ввести учетные данные администратора. Нажмите «Далее».

11. На странице параметров контроллера домена должны быть отмечены сервер системы доменных имен (DNS) и глобальный каталог (GC). В качестве имени сайта следует выбрать имя первого сайта по умолчанию, если вы не создали новый.Я бы рекомендовал оставить это значение по умолчанию. Введите пароль для режима восстановления служб каталогов и нажмите «Далее».

ПРИМЕЧАНИЕ. РЕЖИМ восстановления служб каталогов (DSRM) позволяет администратору восстанавливать или восстанавливать базу данных Active Directory.

12. Параметры DNS

Скорее всего, вы получите сообщение об ошибке ниже: «Невозможно создать делегирование для этого DNS-сервера…». Это обычное дело. Мастер пытается связаться с серверами имен для домена, который я ввел в winadpro.com и не может создать делегирование для субдомена ad.winadpro.com. Это сообщение можно проигнорировать, если вам не нужны компьютеры вне сети для разрешения имен в вашем домене. Подробнее об этой ошибке https://technet.microsoft.com/en-us/library/cc754463(WS.10).aspx

13. На странице «Дополнительные параметры» выберите место для репликации этого сервера. В моей среде я хочу, чтобы он мог реплицироваться с любого контроллера домена. Репликация зависит от того, как вы установили первый DC и где он находится.Если все контроллеры домена находятся на одном сайте, репликация с любого будет работать. Если у вас несколько сайтов, у вас будет другая стратегия репликации. В моей организации у нас есть 4 контроллера домена на одном сайте, поэтому я настроил их для репликации с любого.

14. На странице путей введите нужные настройки папки и нажмите «Далее». Я бы оставил для них настройки по умолчанию.

15. Просмотрите параметры и нажмите «Далее».

16.Теперь будет запущена проверка предварительных требований, которая подтвердит настройки. Вы должны получить зеленую галочку, что все проверки прошли успешно. Щелкните «Установить».

17. Перезагрузитесь и проверьте.

После завершения установки и настройки доменных служб Active Directory вам потребуется перезагрузка. Если вы хотите проверить установку и работоспособность контроллера домена, запустите dcdiag / v из командной строки. Вы также можете зайти в «Администрирование», «Сайты и службы Active Directory» и убедиться, что новый контроллер домена указан на вашем сайте.

и

В заключение, настоятельно рекомендуется иметь несколько контроллеров домена в вашей организации. Преимущество этого заключается в том, что он балансирует нагрузку на службы и сводит к минимуму риск полного отключения сети. Не стесняйтесь оставлять свои комментарии или вопросы в разделе комментариев.

Рекомендуемый инструмент: SolarWinds Server & Application Monitor

Эта утилита была разработана для мониторинга Active Directory и других важных служб, таких как DNS и DHCP.Он быстро обнаруживает проблемы с контроллером домена, предотвращает сбои репликации, отслеживает неудачные попытки входа в систему и многое другое.

Что мне больше всего нравится в SAM, так это простая в использовании панель управления и функции оповещения. Он также имеет возможность контролировать виртуальные машины и хранилище.

Загрузите бесплатную пробную версию здесь

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *