Directастройка Active Directory-Domänendienste


Active Directory konfigurierenDas Konfigurieren von Active Directory ist ein ziemlich einfacher Vorgang und wird in vielen Ressourcen im Internet berücksichtigt, einschließlich offizieller Ressourcen… Trotzdem kann ich in meinem Blog nicht anders, als auf diesen Punkt einzugehen, da die meisten weiteren Artikel irgendwie auf der Umgebung basieren werden, mit deren Konfiguration ich jetzt beginnen möchte.


Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, das Windows Server-Tag in meinem Blog zu lesen. Ich empfehle außerdem, den Hauptartikel zu Active Directory – Active Directory-Domänendienste zu lesen


Umwelt vorbereiten

Ich plane, die AD-Rolle nacheinander auf zwei virtuellen Servern (zukünftigen Domänencontrollern) bereitzustellen.

  1. Der erste Schritt besteht darin, die entsprechende Einstellung vorzunehmen Servernamenfür mich wird es DC01 und DC02 sein;
  2. Als nächstes registrieren statische Netzwerkeinstellungen (Ich werde diesen Moment unten im Detail betrachten);
  3. Installieren alle Systemupdates, insbesondere Sicherheitsupdates (dies ist für CD wichtiger als für jede andere Rolle).

ad ds Konfiguration 01

In diesem Stadium müssen Sie sich entscheiden Welchen Domainnamen wirst du haben?… Dies ist äußerst wichtig, da eine spätere Änderung des Domainnamens ein sehr großes Problem für Sie darstellt, obwohl das Umbenennungsskript seit langem offiziell unterstützt und implementiert wird.

Hinweis: nEinige Überlegungen sowie viele Links zu nützlichem Material finden Sie in meinem Artikel Ein paar Worte zur Active Directory-Domänenbenennung. Ich empfehle Ihnen, sich damit sowie mit der Liste der verwendeten Quellen vertraut zu machen.

Da ich virtualisierte Domänencontroller verwenden werde, müssen einige Einstellungen der virtuellen Maschinen geändert werden, nämlich Deaktivieren Sie die Zeitsynchronisation mit dem Hypervisor… Die Zeit in AD sollte ausschließlich von externen Quellen synchronisiert werden. Die aktivierten Einstellungen für die Zeitsynchronisation mit dem Hypervisor können zu einer zyklischen Synchronisation und damit zu Problemen beim Betrieb der gesamten Domäne führen.

ad ds Konfiguration 02

Hinweis: Das Deaktivieren der Synchronisation mit dem Virtualisierungshost ist die einfachste und schnellste Option. Dies ist jedoch nicht die beste Vorgehensweise. Gemäß den Empfehlungen von Microsoft müssen Sie die Synchronisierung mit dem Host nur teilweise deaktivieren. … Lesen Sie die offizielle Dokumentation, um zu verstehen, wie es funktioniert. , die in den letzten Jahren in der Präsentationsstufe des Materials dramatisch gestiegen ist.

Im Allgemeinen unterscheidet sich der Ansatz zur Verwaltung virtualisierter Domänencontroller im Hinblick auf einige der Funktionsmerkmale von AD DS ::

Virtuelle Umgebungen sind besonders schwierig für verteilte Workflows, die auf einer logischen Replikation im Laufe der Zeit beruhen. Beispielsweise verwendet die AD DS-Replikation einen gleichmäßig ansteigenden Wert (USN oder Serial Update Number genannt), der Transaktionen auf jedem Domänencontroller zugewiesen wird. Jeder Domänencontroller-Datenbankinstanz wird außerdem eine Kennung mit dem Namen InvocationID zugewiesen. Die InvocationID eines Domänencontrollers und seine fortlaufende Aktualisierungsnummer dienen zusammen als eindeutige Kennung, die jeder Schreibtransaktion zugeordnet ist, die auf jedem Domänencontroller ausgeführt wird und innerhalb der Gesamtstruktur eindeutig sein muss.

Damit sind die Hauptschritte zur Vorbereitung der Umgebung abgeschlossen. Wir fahren mit der Installationsphase fort.

Active Directory installieren

Die Installation erfolgt über den Server-Manager und es gibt nichts Kompliziertes. Sie können alle Installationsphasen unten detailliert anzeigen:

ad ds configuring 03 60% ad ds configuring 04 60%

Der Installationsprozess selbst hat einige Änderungen erfahren im Vergleich zu früheren Betriebssystemversionen:

Die Bereitstellung von Active Directory-Domänendiensten (AD DS) in Windows Server 2012 ist einfacher und schneller als in früheren Versionen von Windows Server. Die AD DS-Installation basiert jetzt auf Windows PowerShell und ist in den Server-Manager integriert. Die Anzahl der Schritte, die zum Integrieren von Domänencontrollern in eine vorhandene Active Directory-Umgebung erforderlich sind, wurde reduziert.

Es muss nur die Rolle ausgewählt werden Active Directory-DomänendiensteEs müssen keine zusätzlichen Komponenten installiert werden. Der Installationsvorgang dauert wenig und Sie können direkt zum Setup gehen.

Active Directory konfigurieren

Wenn die Rolle installiert ist, wird oben rechts im Server-Manager ein Ausrufezeichen angezeigt. Sie müssen sie nach der Bereitstellung konfigurieren. drücken Heraufstufen dieses Servers zu einem Domänencontroller.

ad ds Konfiguration 05

Außerdem findet der gesamte Vorgang im Setup-Assistenten statt.

Server-Heraufstufung zum Domänencontroller

Die Schritte des Assistenten werden in der Dokumentation ausführlich beschrieben … Lassen Sie uns jedoch durch die Hauptschritte gehen.

Da wir AD von Grund auf neu bereitstellen, müssen wir eine neue Gesamtstruktur hinzufügen. Stellen Sie sicher, dass Sie das DSRM-Kennwort (Directory Services Restore Mode) sicher speichern. Der Speicherort der AD DS-Datenbank kann am Standardspeicherort belassen werden (was empfohlen wird, aber für eine Änderung habe ich in meiner Testumgebung ein anderes Verzeichnis angegeben).

ad ds configuring 06 60%

Wir warten auf die Installation.

ad ds Konfiguration 07

Danach startet sich der Server neu.

Erstellen Sie Domänen- / Unternehmensadministratorkonten

Sie müssen sich wie zuvor unter dem lokalen Administratorkonto anmelden. Gehe zum Schnappen Aktive Verzeichnisse Benutzer und ComputerErstellen Sie die erforderlichen Konten. Zu diesem Zeitpunkt ist dies der Domänenadministrator.

ad ds Konfiguration 08

Ich empfehle sofort, die Hierarchie der Organisation einzurichten (verwenden Sie nur keine russischen Symbole!).

Konfigurieren von DNS auf einem einzelnen Domänencontroller in der Domäne

Während der Installation von AD wurde auch die AD-DNS-Rolle installiert, da ich keine anderen DNS-Server in der Infrastruktur hatte. Damit der Dienst ordnungsgemäß funktioniert, müssen Sie einige Einstellungen ändern. Zuerst müssen Sie Ihre bevorzugten DNS-Server in Ihren Netzwerkadaptereinstellungen überprüfen. Sie müssen nur einen DNS-Server mit der Adresse 127.0.0.1 verwenden. Ja, es ist localhost. Standardmäßig muss es sich selbst registrieren.

ad ds Konfiguration 09

Öffnen Sie das DNS-Snap-In, nachdem Sie sichergestellt haben, dass die Einstellungen korrekt sind. Klicken Sie mit der rechten Maustaste auf den Servernamen und öffnen Sie dessen Eigenschaften. Wechseln Sie zur Registerkarte “Weiterleitung”. Die DNS-Serveradresse, die in den Netzwerkeinstellungen vor der Installation der AD DS-Rolle angegeben wurde, wurde automatisch als einzige Weiterleitung registriert:

ad ds Konfiguration 10

Es ist notwendig, es zu löschen und ein neues zu erstellen, und es ist äußerst wünschenswert, dass es sich um den Server des Anbieters handelt, jedoch nicht um eine öffentliche Adresse wie die bekannten 8.8.8.8 und 8.8.4.4. Registrieren Sie zur Fehlertoleranz mindestens zwei Server. Deaktivieren Sie das Kontrollkästchen nicht, um Root-Hinweise zu verwenden, wenn keine Weiterleitungen verfügbar sind. Root-Links sind ein bekannter Pool von DNS-Servern der obersten Ebene.

Hinzufügen eines zweiten DC zur Domäne

Da ich ursprünglich über zwei Domänencontroller gesprochen habe, ist es Zeit, einen zweiten einzurichten. Wir gehen auch den Installationsassistenten durch, erhöhen die Rolle auf einen Domänencontroller und wählen einfach aus Fügen Sie einer vorhandenen Domäne einen Domänencontroller hinzu::

ad ds configuring 11

Bitte beachten Sie, dass in den Netzwerkeinstellungen dieses Servers die Haupt Der erste zuvor konfigurierte Domänencontroller muss als DNS-Server ausgewählt werden! Dies ist erforderlich, andernfalls wird eine Fehlermeldung angezeigt.

Melden Sie sich nach den erforderlichen Einstellungen unter dem zuvor erstellten Domänenadministratorkonto beim Server an.

Konfigurieren von DNS auf mehreren Domänencontrollern in einer Domäne

Um Replikationsprobleme zu vermeiden, müssen Sie die Netzwerkeinstellungen erneut ändern. Dies muss auf jedem Domänencontroller (und auch auf den zuvor vorhandenen) und bei jedem Hinzufügen eines neuen Domänencontrollers erfolgen:

ad ds Konfiguration 12

Wenn Sie mehr als drei Domänencontroller in einer Domäne haben, müssen Sie DNS-Server über zusätzliche Einstellungen in dieser Reihenfolge registrieren. Weitere Informationen zu DNS finden Sie in meinem Artikel DNS-Spickzettel.

Zeiteinstellung

Dieser Schritt ist ein Muss, insbesondere wenn Sie eine reale Umgebung in der Produktion einrichten. Wie Sie sich erinnern, habe ich früher die Zeitsynchronisation über den Hypervisor deaktiviert und muss sie jetzt richtig konfigurieren. Ein Controller mit der FSMO-PDC-Emulatorrolle ist für die Verteilung der korrekten Zeit auf die gesamte Domäne verantwortlich (Wissen Sie, was diese Rolle ist? Lesen Sie den Artikel zum PDC-Emulator – Primärer Domänencontroller-Emulator). In meinem Fall ist dies natürlich der erste Domänencontroller, der der ursprüngliche Träger aller FSMO-Rollen ist.ad ds konfigurieren 13

Wir werden die Zeit auf Domänencontrollern mithilfe von Gruppenrichtlinien konfigurieren. Zur Erinnerung: Die Domänencontrollerkomponenten befinden sich in einem separaten Container und verfügen über eine separate Standardgruppenrichtlinie. Es ist nicht erforderlich, Änderungen an dieser Richtlinie vorzunehmen. Es ist besser, eine neue zu erstellen.

ad ds konfigurieren 14

Benennen Sie es nach Belieben und wie das Objekt erstellt wird. Klicken Sie mit der rechten Maustaste auf – Bearbeiten… Gehe zu Computerkonfiguration Richtlinien Administrative Vorlagen System Windows-Zeitdienst Zeitanbieter… Richtlinien aktivieren Aktivieren Sie den Windows NTP-Client und Aktivieren Windows NTP-ServerGehen Sie zu den Eigenschaften der Richtlinie Konfigurieren Sie den Windows NTP-Client und stellen Sie den Protokolltyp ein – NTPBerühren Sie nicht die restlichen Einstellungen:

ad ds konfigurieren 15

Wir warten auf die Anwendung der Richtlinien (es dauerte ungefähr 5-8 Minuten, obwohl ich gpupdate / force und ein paar Neustarts ausgeführt habe). Danach erhalten wir:

ad ds konfigurieren 16

Im Allgemeinen muss sichergestellt werden, dass nur der PDC-Emulator die Zeit von externen Quellen und nicht alle Domänencontroller hintereinander synchronisiert. Dies ist jedoch der Fall, da Gruppenrichtlinien auf alle Objekte im Container angewendet werden. Es ist erforderlich, es erneut auf ein bestimmtes Objekt des Computerkontos auszurichten, dem die PDC-Emulator-Rolle gehört. Dies erfolgt auch über Gruppenrichtlinien. Klicken Sie in der gpmc.msc-Konsole mit der linken Maustaste auf die gewünschte Richtlinie, und rechts werden deren Einstellungen angezeigt. In den Sicherheitsfiltern müssen Sie das Konto des erforderlichen Domänencontrollers hinzufügen:

ad ds konfigurieren 18

Weitere Informationen zum Funktionsprinzip und zur Einrichtung des Zeitdienstes finden Sie in der offiziellen Dokumentation .

Damit ist die Zeiteinstellung und damit die Erstkonfiguration von Active Directory abgeschlossen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *