Пятница, 17.08.2018, 01:49
Приветствую Вас Гость | RSS

Я - за павсимесную и всиоблемущюю паддершку Аброзования!

Меню сайта
Форма входа
Категории раздела
Сети [14]
Сети
Windows сервер [14]
Сервера Windows. Администрирование
Active Directory [17]
Опрос
Как вы относетесь к порнографии
Всего ответов: 718
Облако тегов
апокриф библия история история религии маска сети настройка IP-адреса НОВЫЙ ЗАВЕТ Альбион гастарбайтер Гражданин и ты Брут Митридат политическая реклама Понт воскрешение гармония Дух плоть праведная плоть канон Аид гомер Мифология моментальность дружба женщина мужчина отношение VPN dns корневой домен DNS клиент FQDN HOSTS пространство имен разрешение имен MX зона DNS корневые Мастер установки Active Directory глобальный каталог раздел домена Раздел конфигурации Раздел схемы GUID.контроллер домена.Серверы плац Внутрисайтовая репликация межсайтовая репликация лес Домен Планирование Active Directory подразделение DNS-сервера DnsCmd DomainDnsZones ForestDnsZones SUPTOOLS.MSI настройка зоны DNS область распространения зоны DNS SOA Primary Name Server Start of Authority Transfer Zone зонная передача Начальная запись зоны DNS Основной сервер DNS передача зоны DNS nslookup дерево доверие доверительные отношения ADSL DMT ISP POTS xDSL Ntds.dit Active Directory.Зоны прямого просм Netlogon SVR Sysvol _msdcs _saites _tcp _udp Dcdiag Dcpromo.log Dcpromos.log Dcpromoui.log Netdiag Ntdsutil консоль ммс панель задач оснастка авторский параметры пользовательский расширение режим консоли
AdSense
Счетчики
PR-CY.ru Каталог@Mail.ru - каталог ресурсов интернет реклама в интернете, реклама сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей

Главная » Статьи » Active Directory

Установка DNS сервера интегрированного с Active Directory
Продолжение темы DNS. Начало смотрите здесь и здесь.

Когда наступает момент и необходимо развернуть службу DNS сетевой администратор должен уже знать о том что -
  • будет ли служба DNS установлена в сети до установки Active Directory или
  • установка DNS и Active Directory будет произведена одновременно.
При первом методе установки который описан в предыдущей статье (смотри здесь), как уже упоминалось, надо помнить что пока не установлена Active Directory файл зоны хранится в текстовом файле, что ограничивает часть функциональных возможностей DNS сервера на базе Windows Server 2003.

Поэтому рекомендуется устанавливать службу DNS и службу каталогов Active Directory одновременно.

Мы затронули вопрос о DNS в контексте изучения Active Directory так как служба DNS очень важна в работе Active Directory, и без ее правильной установки и настройки у нас будут проблемы и со службой DNS и с  Active Directory. 

В ситуации когда нам необходимо установить службу каталога Active Directory но в нашей сети уже существует DNS сервер, то сетевому администратору пройдется "ручками" сперва создать зону и настроить ее соответствующим образом. 

Итак 

Установка DNS интегрированного с Active Directory.

Я даже не знаю на что делать акцент потому как мы изучаем в принципе Active Directory, и DNS служба по сути в данном контексте есть механизм без которого служба каталогов Active Directory не сможет работать. Но так как мы продолжаем тему про службу DNS акцент сделаем на эту службу в данной теме.

Допустим у нас девственно чистая сеть и нам необходимо установить первый контроллер домена в этой сети. Последовательность наших действий будет такова:

  1. Установить операционную систему Windows Server 2003 и все необходимые драйверы. Как устанавливается Windows Server 2003 мы здесь не будем рассматривать и будем считать что вы это знаете. 
  2. Установить первый контроллера домена нашей сети.

Как мы уже говорили в прошлых темах, контроллер домена это компьютер с операционной системой Windows Server 2003 и установленной службой каталога Active Directory. То есть контроллер домена выступает в качестве носителя копии каталога.

Но перед повышением сервера с установленной операционной системой Windows Server 2003 до контроллера домена нам необходимо выполнить несколько требований. 

Рассмотрим эти требования.

Требования и ограничения по установке контроллера домена. 

1. Перед установкой надо убедится что на сервере установлен стек протоколов TCP/IP.

Для этого вы заходите в Пуск/Настройка/Сетевые подключения, смотрите рисунок 1.

Настройка DNS

Рисунок 1.

Открывается окно показанное на рисунке 2.

Настройка стека протоколов TCP/IP

Рисунок 2.

Щелкаем по нужному нам подключению и открывается сперва  окно 1 (обведено черным) на рисунок 3, потом окно 2 на рисунке 3.
Настройка статического IP адреса

Рисунок 3. 

Если как видите из рисунка 3, "Протоколы интернета (TCP/IP)" не установлены нажимайте кнопку "Установить" и устанавливайте стек этих протоколов. Установите галочку напротив "Протоколы интернета (TCP/IP)", если она не стоит. Как правило, стек протоколов TCP/IP устанавливается по умолчанию при установки операционной системы.  
Так же в этом окне мы можем вывести значки подключений в область уведомлений (в правом нижнем углу экрана, возле показа времени) и получать уведомления об отсутствии подключения, поставив соответствующие галочки (на рисунке 3 отмечены светло голубым)

2. Настройка статистического IP адреса и основного DNS сервера.

После того как мы убедились что стек протоколов TCP/IP установлен и выбран, нам необходимо для нашего контроллера домена и службы DNS установить статический IP адрес. В окне на рисунке 3 становимся на "Протоколы интернета (TCP/IP)" и нажимаем кнопку "Свойства".  Откроется окно показанное на рисунке 4.
Настройка статистического IP адреса
Рисунок 4.

В этом окне выбираем опцию "Использовать следующий IP адрес" и вносим туда необходимый адрес. Как правильно выбирать адреса в сети и что это за IP адреса смотрите здесьздесь и здесь.  В качестве адреса "Предпочитаемого сервера DNS" укажите адрес этого же компьютера, или правильнее сказано - адрес этого же сетевого интерфейса. У нас к примеру пусть будут сеть  класса С (о классах сетей читайте здесь), адреса внутренние, и пусть  для этого компа IP будет 192.168.0.1.

Если у нас две или больше сетевых карт или скажем так - сетевых интерфейсов и мы хотим что бы они так же пользовались данным DNS сервером, и учитывались при настройки DNS сервера,  то в настройках IP этих сетевых интерфейсах так же указываем IP адрес "Предпочитаемого сервера DNS" в нашем случае это IP 192.168.0.1

3. Для сервера устанавливаем DNS суффикс, соответствующий имени домена для которого мы устанавливаем контроллер домена и службу DNS

Что бы это сделать необходимо стать на рабочем столе на "Мой компьютер", далее нажимаем правой кнопкой мыши и в открывшейся контекстном меню выбираем "Свойства". Открывается окно со вкладками показное на рисунке 5 под номером 1 (обведен черным кружком).
Суффикс DNS

Рисунок 5.

В открывшимся окне (на рисунке 5 отмечено цифрой 2)   выбираем вкладку "Имя компьютера", и нажимаем кнопку "Изменить".
Открывается окно отмеченное на рисунке 5 цифрой 3 обведенной черным, и в этом окне задаем имя нашему компу. В данном примере я, страдая от бурной фантазии назвал его "server1".   Далее... в этом же окне нажимаем на кнопку "Дополнительно" и открывается последнее окно отмеченное цифрой 4. В этом окне мы пишем наш DNS суффикс который соответствует имени нашего домена который мы хотим установит в нашей сети. В нашем случае это, для примера... домен фирмы "Рога и копыта" - rk.com. Так же здесь мы можем посмотреть NetBIOS имя компа.   
Но тут есть еще одна фишка -  требование на соответствии имени становится необязательным если выбран флажок - "Сменить основной DNS - суффикс при смене членства в домене". В этом случае система сама определяет DNS - суффикс при включении данного компа в состав некоторого домена. 

4. Определение местоположения файла базы данных и журнала Active Directory.

Этот пункт вообщем к DNS серверу не совсем относится а больше к Active Directory но так как мы собираемся устанавливать DNS сервер интегрированный с Active Directory то остановимся коротко на его обсуждение.

Мы знаем их предыдущих статьей на этом сайте посвященных Active Directory, то по сути как и файл зоны DNS, служба каталогов  Active Directory так же представляет собой базу данных. Если слегка отбросить все тонкости, то можно сказать так - DNS содержит базу данных которая содержит в себя IP - адреса и соответствующие этим IP - адресам имена. База данных Active Directory содержит информацию об объектах нашей сети.

База данных Active Directory хранится в файле Ntds.dit. По умолчанию этот файл вместе с файлами журнала размещается в папке  %SystemRoot% \Ntds, где %SystemRoot% это путь к папке где размещаются системные файлы Windows Server 2003, обычно это - С:\Windows. 

Если мы производим установку посредством "Мастера установки Active Directory" (что мы и буде делать) то этот мастер позволяет выбрать другое место хранения файлов Active Directory кроме вышеуказаное. Во избежании конкуренции ввода/вывода и получения максимальной производительности и отказоустойчивости рекомендуется размещать файлы базы данных и файлов журнала Active Directory на разных жестких дисках отформатированных под NTFS.

Вообще в принципе, мы можем размещать эти файлы и на FAT...Но тогда мы не получим требуемого уровня безопасности, требующего разграничения доступа к файлам непосредственно на уровне файловой системы. Так вот, файловая система FAT не может делать такое разграничение к доступу.  По поводу разграничения доступа к файлам мы поговорим позже, а пока просто запомните эти требования.

Еще здесь хочу добавить для любознательных что для установки Active Directory рекомендуется иметь не менее 1 Гбайт свободного пространства на диске, несмотря на то что  "Мастер установки Active Directory" не требует больше 200 Мбайт под файла базы данных (Ntds.dit) и 50 Мбайт под журнала.

5. Определение местоположения папки общего системного тома

В процессе установки Active Directory, как мы увидим здесь чуть ниже, создается общий системный том - структура папок присутствующая на всех контроллерах домена. В этом системном томе хранятся общедоступные файлы которые участвуют в процессе репликации между контролерами домена. 

По умолчанию общий системный том создается в папке %SystemRoot% \Sysvol. В процессе установки Active Directory мы можем так же поменять место размещения данного файла исходя из рекомендации описных выше. Системный том может размещаться только на файловой системе NTFS.

6. Права на установку.

Установка контролера домена требует наличие прав у администратора устанавливающий контроллер. 

Если админ устанавливает первый контроллер домена в лесе, то данная установка осуществляется на одиночном сервере который сам по себе и не является членом какого либо домена. В этом случае админ должен обладать правами локального администратора на этом сервере где идет установка.

Если устанавливается первый контролер домена в домене который будет частью уже существующего леса доменов то админ занимающейся установкой контроллера должен состоять в группе "Администраторы предприятия".

Если устанавливается дополнительный контроллер домена в уже существующим домене то админ должен обладать правами или  "Администраторы предприятия" или "Администратор домена"

Это и есть начальные требования которые мы должны выполнить что бы начать установку DNS сервера одновременно с Active Directory. Это предложение звучало бы равнозначно если мы написали бы так - установка Active Directory одновременно с DNS службой.

Установка Active Directory одновременно с DNS сервером.

Итак начнем....Но все же перед началом установки для любознательных хочется отметить что, существуют четыре способа установки Active Directory.... и в контексте с  DNS сервером упомянем и о нем. Некоторые мы только перечислим и не будем на них останавливается, но если будут вопросы пишите.

  1. Установка средствами - "Мастера установки Active Directory". Этот метод собираемся мы применять в нашем случае и вообще он подходит для установки Active Directory и DNS в большинстве случаев.
  2. Установка с помощью файла ответов методом необслуживаемой установки. Этот метод применяется для удаленной установки и мы не будем на нем останавливаться в данной теме.
  3. Установка с помощью носителя расположенного в сети или архивного носителя. Данный метод устанавливает Active Directory на дополнительные контроллеры домена в сети путем использования этих упомянутых носителей. Так же оставим этот метод пока в покое.
  4. Установка средствами - "Мастера настройки сервера". Данный метод применяется только при установке первого контроллера в сети. Нам для нашей темы подошел бы, но пока оставим и его в покое.

Еще раз акцентирую, что все эти методы установки позволяют назначить компьютер на роль контроллера домена, то есть установит Active Directory и если есть необходимость установит и настроить DNS сервер. Почему написано - "если есть необходимость"? ....Да потому что в реальной жиСтИ в необходимость в совмещение в "одном флаконе" и контроллера домена, то есть Active Directory и DNS сервера не всегда необходима...К примеру, допустим мы хотим поднять комп с установленной ОС Windows Server 2003, до уровня контролера домена, а в сети уже установлен DNS сервер и он хорошо выполняет свои функции, так что незачем его трогать...но причины могут быть и другие но пока их оставим в покое и начнем установку с помощью  - Мастера установки Active Directory.      

Установка Active Directory и DNS с помощью "Мастера установки Active Directory".

Итак давайте начнем установку. Нажимаем Пуск/Выполнить, смотрите рисунок 6. Откроется окно показанная на рисунке 7.

              Установка Active Directory       Установка Active Directory 

              Рисунок 6                                                                 Рисунок 7.
 
В поле "Открыть" что показано на рисунке 7 вводим команду "dcpromo" и нажимаем кнопку ОК. На экране появляется Мастер установки Active Directory показанный на рисунке 8.

Установка Active Directory
Рисунок 8.

Щелкаем кнопку Далее. Открывается страница Мастера установки Active Directory касающаяся совместимости систем. Вы читаете что там написано внимательно, и нажимаете кнопку Далее. Эту страницу Мастера установки Active Directory я не привожу так как там нет никаких настроек, а что на ней написано мы уже обсуждали.  

Далее открывается страница "Тип контроллера домена", смотрите рисунок 9.

Установка Active Directory

Рисунок 9.

На этой странице мы чуть остановимся и порассуждаем. Так как мы договорились что устанавливаем контроллер домена в сети где нет никаких доменов, деревьев и лесов,  то автоматически этот домен который будет создаваться будет и началом дерева и начало леса. Ну как сказать проще?.... К примеру так. Новый устанавливающийся  контроллер домена по умолчанию считается и новым доменом и новом деревом и новым лесом (хотя он и один пока).

При создании нового домена в новом лесу возможны два варианта а именно - либо этот оказывается первым доменом нашей фирмы, либо его собираемся сделать абсолютно несвязным (независимым) от остального леса или лесов. 

Если в существующие дерево доменов добавляется новый домен то он автоматически (по другому невозможно) становится дочерним по отношению к другому какому ту домену (ну на то оно и дерево). Получается это потому, что все домены в дереве связаны общим пространством имен и иерархической структурой именования (на то оно и дерево). И естественно что при создании нового дерева начальный домен дерева не попадает в состав существующих доменов.

То что написано выше, хотя и содержит много слов, желательно хорошо понимать.

Здесь хочется упомянуть и ситуацию когда мы в существующий домен добавляем новый контролер домена.

При таком добавлении нового контроллера домена в существующий домен добавленный контроллер домена становится одноранговым контроллером по отношению к другим контроллерам того же домена. Такое добавление однорангового контроллера домена в существующем домене есть хорошо, и рекомендуется Микросовтом, так как это повышает отказоустойчивость нашего домена в целом и снижает нагрузку на контроллеры домена. На практике, в целях уменьшения трафика доступа к  Active Directory одноранговые контроллеры размещают исходя из географического расположения нашей сети. Более подробную информацию насчет сайтов и расположению контроллеров домена вы можете посмотреть тут. 

Примечание: Микрософт рекомендует что бы в каждом домене Active Directory было минимум два контроллера домена. Это как уже сказано связанно с отказоустойчивостью. Если один контроллер сдох, то наличие второго контроллера обеспечит работоспособность пользователей. В случае с одним контроллером домена, да еще учитывая то что админы ленятся делать архивные копии домена, вы можете потерять весь домен вместе со всеми учетными записями.

Вернемся к нашему мастеру и продолжим....

Итак.... мы оказались на странице мастера предлагающая выбор типа контролера домена показанное не рисунке 9. Так как у нас сеть девственна, как мы говорили выше, мы выбираем пункт меню "Контроллер домена в новом домене", и жмем Далее.

Открывается страница мастера предлагающая создать новый домен, смотрите рисунок 10.
Установка Active Directory

Рисунок 10

Мы готовы к выбору необходимой нам конфигурации предлагаемой этой страничкой мастера так как по этому поводу уже говорили выше. Здесь мы исходя из того что у нас в сети пока что ничего нет выбираем пункт "Новый домен в новом лесу" и нажимаем Далее...

Открывается страница мастера которая предлагает нам дать имя домену, смотрите рисунок 11.

Установка Active Directory

Рисунок 11.

ЕстесСссственно что у нас имя домена и все что нужно было подготовлено еще на этапе планирования Active Directory (о планировании смотрите здесь) и поэтому мы смело пишем имя домена в поле "Полное DNS - нового домена". В нашем случае фирма "Рога and Копыта" решила на этапе планирования окрестить домен RK.COM. Жмем Далее...

После небольшой задержки на экране появится страничка NetBIOS - имя домена, смотрите рисунок 12. 

Установка Active Directory

Рисунок 12.

Зачем нужно это имя вы можете прочитать на этой же странице, к NetBIOS мы еще вернемся позже. А пока мы можем поменять предлагаемое NetBIOS имя, но лучше ее оставить таким как предлагает мастер...Жмем Далее.

Открывается страница мастера "Папки базы данных и журнала", смотрите рисунок 13.

Установка Active Directory

Рисунок 13.

И эта страница нас не страшит так как мы все уже про нее знаем и обсуждали ее в разделе данной стати "Требования и ограничения по установке контроллера домена", а именно в пунктах 4 и 5. Если забыли прочтите еще раз так как это важные требования. В данном примере мы менять ничего не будем, но вам советую если сеть возможность воспользоватся советами приведенных в пунктах требований.

Это касается и требований к общему доступу к системному тому показанное на рисунке 14. 

Установка Active Directory

Рисунок 14.
 
Кликаем Далее.....После небольшого раздумья открывается страница мастера которая проводит диагностику регистрации DNS. Так как в нашей сети ни контроллеров домена ни DNS серверов нет пока, то сообщение на данной странице будет такое что показано на рисунке 15.

Установка Active Directory

Рисунок 15.

Если прочтем текст что написан на данной странице то видим что мастер пытался определить DNS сервер но не смог и это понятно почему так как в сети нет DNS серверов, а информацию о DNS он берет из настроек IP адреса, то что мы делали в самом начале. На странице нам предлагают три выбора, а именно:
  • Мы можем отвлечься временно от установки контроллера домена и если в сети есть DNS сервер попытаться решить проблемы связанные с ним, а потом снова вернутся к установки и выбрать пункт "Проблема решена. запустить диагностический тест DNS снова."
  • Если в нашей сети нет ни одного DNS сервера и хотим поручить задачу по установки и настройке DNS сервер мастеру установки то выбираем пункт "Установить и настроить DNS сервер на этом компьютере и выбрать этот DNS сервер в качестве предпочитаемого DNS сервера", что мы и сделаем в нашем случае.
  • И третий пункт выбора связан с тем что если после конфигурации DNS появилась проблема, и мы по тем или иным причинам решили отложить ее на потом, то выбираем пункт "Проблема будет решена позже ручной настройкой DNS. (расширенная настройка).
Щелкаем на кнопку Далее...

Открывается окно мастера установки Active Directory под названием "Разрешения", смотрите рисунок 16.

Установка Active Directory

Рисунок 16. 

Читаем внимательно что написано на этой страничке, думаю что вам все понятно что там написано и в зависимости от того что есть у нас в сети и выбираем разрешения для объектов пользователей и групп, после чего нажимаем....Далее...

Следующая страница мастера которая появляется перед нами это страница под названием "Пароль администратора для режима восстановления", смотрите рисунок 17.

Установка Active Directory

Рисунок 17.

В поле "Пароль режима восстановления" вводим пароль и подтверждаем его. Зачем этот пароль? - можете вы спросить. А нужен он сетевому администратору тогда когда Active Directory по тем или иным причинам перестает работать, и тогда с обычным паролем администратора мы не сможем войти на контроллер домена, так как база с паролями что хранилась в Active Directory сломаласЯ, и нас не пустят на контроллер обладая паролем администратора, и поэтому что бы попасть на контроллер и там что либо покрутить что бы восстановить работоспособность контроллера нам нужен этот пароль. Желательно его не забывать .... 

Далее появляется страничка "Сводка" показанная на рисунке 18

Установка Active Directory

Рисунок 18.

На этой странице показаны все проделанные нами настройки. Читаем их и если что не устраивает можем вернутся назад и перенастроить. После того как мы нажимаем кнопку Далее мастер установки начинает "колдовать". Как ведите в процессе работы мастера, мы можем пропустить установку DNS, но мы этого не сделаем и подождем пока на экране пе появится страница завершения мастера установки показанная на  рисунке 19.

Установка Active Directory

Рисунок 19.

После чего нажимаем кнопку "Готово", и наш тернистый путь к контроллеру домена закончен....Но не совсем....Комп попросит перезагрузку, что мы и сделаем.

Если мы сейчас войдем в Пуск/Программы/Администрирование то увидим что появились новые  оснастки которые до сих пор небыли а именно DNS, Active Directory - пользователи и компьютеры, Active Directory - сайты и службы, Active Directory - домены и доверие.

Нас в данном случае больше будет интересовать оснастка DNS пока....но это в следующей статье. 

Продолжение смотрите здесь.

Категория: Active Directory | Добавил: AlterEgo25 (15.12.2010)
Просмотров: 38779 | Рейтинг: 5.0/8
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Подписатся
Подписаться на рассылку
"Active Directory - от простого к сложному."


 
Mail.Ru
Подписатся
Подписаться на:
Active Directory от простого к сложному | RSS
Имя:
E-mail

Посетите Каталог Maillist.ru.
Maillist.ru: Active Directory от простого к сложному
Поделись с другом
Поиск
Loading
Рейтинг чатов Поисковый каталог Эхо Ру счетчик посещений
счетчик посещений

Copyright MyCorp © 2018
Используются технологии uCoz