Как добавить или удалить компьютер в домене с помощью графического интерфейса или с помощью Powershell
1. Перед добавлением компьютера в домен, необходимо настроить сетевой интерфейс. Набираем ncpa.cpl в поле поиска.
2. Нажимаем правой клавишей на выбранный сетевой интерфейс, далее «Свойства«.
3. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем IPv6. Выделяем «IP версии 4 (TCP/IPv4)«, далее «Свойства«.
4. Если в сети нет DHCP-сервера, то в интерфейсе указываем IP-адрес, маску подсети, основной шлюз, предпочитаемый DNC-сервер. Нажимаем «ОК«.
5. Если в сети имеется DHCP-сервер, то параметры IP можно назначить автоматически. Для этого выставляем «Получить IP-адрес автоматически«, «Получить адрес DNS-сервера автоматически«, далее «ОК«.
Добавление компьютера в домен с помощью графического интерфейса
1. Для ввода компьютера в домен нажимаем правой клавишей мыши на «Этот компьютер«, далее «Свойства«.
2. В новом окне нажимаем «Изменить параметры«.
3. В следующем окне в «Описание» указываем описание компьютера (можно ничего не указывать). Затем «Изменить«.
4. В новом окне задаём «Имя компьютера«, далее «ОК«.
5. После появления предупреждения, нажимаем «ОК» и перезагружаем компьютер.
6. После перезагрузки компьютера, имя компьютера изменится. Далее снова открываем окно «Система«, затем «Изменить параметры«.
7. Далее нажимаем «Изменить«, устанавливаем чекбокс «Является членом домена:» и указываем имя домена.
8. В новом окне «Безопасность Windows» указываем имя и пароль учетной записи с правами на присоединение к домену. Далее «ОК«.
9. Если добавление в компьютер прошло успешно, то появится предупреждение «Добро пожаловать в домен . «. Затем перезагружаем компьютер.
Добавление компьютера в домен с помощью PowerShell
1. Нажимаем кнопку поиск, пишем букву p (по-английски), далее правой клавишей мыши на «Windows PowerShell» — «Запуск от имени администратора«.
2. В открывшемся окне PowerShell набираем команды:
$env:computername — определяем текущее имя компьютера;
rename-computer -newname cl1 — изменяем текущее имя компьютера на cl1;
restart-computer — перезагружаем компьютер.
3. После перезагрузки компьютера снова открываем PowerShell. Для добавления компьютера в домен с помощью PowerShell выполняем команду:
add-computer -domainname sigro.ru — sigro.ru — имя домена.
При появлении запроса, вводим учетные данные пользователя (пользователь и пароль), который имеет право выполнять добавление компьютера в домен.
4. Для того, чтобы изменения вступили в силу, необходима перезагрузка компьютера. Выполняем команду:
restart-computer
5. После перезагрузки компьютера можно использовать для входа в компьютер доменные учетные записи.
6. В окне «Система» изменится информация о компьютере в поле «Полное имя» и появится информация о домене в поле «Домен«.
Удаление компьютера из домена с помощью графического интерфейса
1. Для удаления компьютера из домена нажимаем правой клавишей мыши на «Этот компьютер«, далее «Свойства«. В открывшемся окне нажимаем «Изменить параметры«.
2. В следующем окне выбираем «Изменить«.
3. В новом окне переключаем чекбокс на «Является членом рабочей группы«, указываем имя рабочей группы, например, «WORKGROUP«. Далее нажимаем «ОК«.
4. Читаем предупреждение о том, что после отсоединения от домена для входа на данный компьютер потребуется пароль локального администратора. Нажимаем «ОК«.
5. Вводим учетные данные пользователя (пользователь и пароль), имеющего разрешение удалить компьютер из домена. Далее «ОК«.
6. Если все прошло успешно, то появится сообщение — «Добро пожаловать в рабочую группу WORKGROUP«. Перезагружаем компьютер и заходим под обычной учетной записью этого компьютера.
Удаление компьютера из домена с помощью PowerShell
1. Нажимаем кнопку поиск, пишем букву p (по-английски), далее правой клавишей мыши на «Windows PowerShell» — «Запуск от имени администратора«.
2. В открывшемся окне PowerShell выполняем следующие команды:
$env:computername — узнаем имя компьютера;
remove-computer -computername cl1 — удаляем компьютер с именем, который узнали командой выше, из домена.
В появившемся окне вводим учетные данные (пользователь и пароль) пользователя, имеющего право удалять компьютер из домена.
2. Читаем предупреждение системы о том, что «Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального администратора. Вы хотите продолжить?» Нажимаем «y«. Для перезагрузки компьютера выполняем команду:
restart-computer
3. После перезагрузки компьютера заходим под обычным (не доменным) пользователем этого компьютера. В окне «Система» видим, что поле «Полное имя компьютера» изменилось, вместо поля «Домен«, появилось поле «Рабочая группа«.
Посмотреть видео можно здесь:
Добавление сервера в существующий домен Active Directory
Пошаговый процесс подключения сервера к существующему домену Active Directory T2M44S
Что это такое?
Доменные службы Active Directory (AD DS) — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации. AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам. Active Directory Domain Services используется для организации локальных вычислительных сетей.
Подготовка Windows Server и настройка сети
Создание и настройка сети
Для работы с Active Directory необходимо создать необходимые для сети серверы и контроллер домена. Важно: для работы с Active Directory необходимо при заказе vds в панели управления отметить галочкой поле “выполнить системную подготовку Windows”. После того как серверы сформированы необходимо объединить все машины в единую частную сеть разделе “Частные сети”, в результате чего они получат локальные IP-адреса и дополнительный сетевой адаптер.
Настройка сетевого адаптера сервера
Для начала подключитесь к vds по протоколу RDP. О том как настроить сетевой адаптер написано в нашей инструкции. Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес контроллера домена
Предварительные требования
Для выполнения дальнейших действий у вас должен быть настроен контроллер домена и создан пользователь.
Добавления сервера в домен
Чтобы добавить сервер в домен откройте в панели управления информацию о вашей системе Control Panel -> System and Security -> System и нажмите Change settings. 
В открывшемся окне введите краткое описание сервера в поле Computer description. Нажмите на кнопку Change для изменения рабочей группы на домен. 
Введите понятное имя компьютера в поле Computer name и выберете участие в домене, в поле Domain введите ваш домен. Нажмите Ok. 
В открывшемся окне введите имя пользователя, созданного при настройке контроллера, и пароль. Нажмите Ok. 
В результате успеха появится следующее сообщение. 
Чтобы изменения вступили в силу, перезагрузите компьютер средствами операционной системы. 
Кликните Restart Now для немедленной перезагрузки. 
После перезагрузки в панели управления вы увидите новые данные. 
Подключение к серверу
Подключитесь по протоколу RDP используя учетные данные созданного пользователя. Примечание: не забудьте указать ваш домен. 
Сервер успешно добавлен в домен. Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей — отключен. 
- Создание контроллера домена Active Directory Domain Services
- Структура хранилища Active Directory
- Настройка сетевого адаптера в Windows
- Изменение пароля в RDP-сессии Windows Server 2008, 2012
- Брандмауэр: добавление правила
Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.
Развертывание и эксплуатация доменов Active Directory, настроенных с помощью DNS-имен с одной меткой
Эта статья содержит сведения о развертывании и работе доменов Active Directory (AD), настроенных с помощью DNS-имен с одной меткой.
Применимо к: Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, версия 1809
Исходный номер базы знаний: 300684
Сводка
Желание удалить конфигурацию домена с одной меткой является частой причиной переименования домена. Сведения о совместимости приложений, приведенные в этой статье, относятся ко всем сценариям, в которых можно рассмотреть вопрос о переименовании домена.
По следующим причинам рекомендуется создать новые домены Active Directory с полными DNS-именами.
- Dns-имена с одной меткой нельзя зарегистрировать с помощью интернет-регистратора.
- Клиентские компьютеры и контроллеры домена, присоединенные к доменам с одной меткой, требуют дополнительной настройки для динамической регистрации записей DNS в зонах DNS с одной меткой.
- Клиентским компьютерам и контроллерам домена может потребоваться дополнительная настройка для разрешения запросов DNS в зонах DNS с одной меткой.
- Некоторые серверные приложения несовместимы с однокомпонентными доменными именами. Поддержка приложений может не существовать в первоначальном выпуске приложения, или поддержка может быть прекращена в будущем выпуске.
- Переход с доменного имени DNS с одной меткой на полное DNS-имя не является тривиальным и состоит из двух вариантов. Перенос пользователей, компьютеров, групп и других состояний в новый лес. Или переименуйте существующий домен. Некоторые серверные приложения несовместимы с функцией переименования домена, поддерживаемой в Windows Server 2003 и более новых контроллерах домена. Эти несовместимости либо блокируют функцию переименования домена, либо затрудняют использование функции переименования домена при попытке переименовать DNS-имя с одной меткой в полное доменное имя.
- Мастер установки Active Directory (Dcpromo.exe) в Windows Server 2008 предостерегает от создания новых доменов с DNS-именами с одной меткой. Так как нет никаких бизнес-или технических причин для создания новых доменов с DNS-именами с одной меткой, мастер установки Active Directory в Windows Server 2008 R2 явно блокирует создание таких доменов.
Примеры приложений, несовместимых с переименованием домена, включают, помимо прочего, следующие продукты:
- Microsoft Exchange 2000 Server
- Microsoft Exchange Server 2007
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Internet Security and Acceleration (ISA) Server 2004
- Microsoft Live Communications Server 2005
- Microsoft Operations Manager 2005
- Microsoft SharePoint Portal Server 2003
- Microsoft Systems Management Server (SMS) 2003
- Microsoft Office Communications Server 2007
- Microsoft Office Communications Server 2007 R2
- Microsoft System Center Operations Manager 2007 с пакетом обновления 1 (SP1)
- Microsoft System Center Operations Manager 2007 R2
- Microsoft Lync Server 2010
- Microsoft Lync Server 2013
Дополнительные сведения
Рекомендуется, чтобы доменные имена Active Directory состояли из одного или нескольких поддоменов, объединенных с доменом верхнего уровня, разделенным символом точки («.»). Ниже приведены некоторые примеры.
- contoso.com
- corp.contoso.com
Имена с одной меткой состоят из одного слова, например contoso.
Домен верхнего уровня занимает самую правую метку в доменном имени. К общим доменам верхнего уровня относятся следующие:
- .Com
- .Чистая
- .Org
- Двухбуквенный код страны доменов верхнего уровня (ccTLD), таких как .nz
Доменные имена Active Directory должны состоять из двух или более меток для текущей и будущей операционной системы, а также для взаимодействия с приложениями и надежности.
Недопустимые запросы к домену верхнего уровня, о чем сообщает консультативный комитет по безопасности и стабильности в СЛУЖБЕ безопасности и стабильности, можно найти в разделе Недопустимые запросы домена верхнего уровня на корневом уровне системы доменных имен.
Регистрация DNS-имени с помощью интернет-регистратора
Рекомендуется регистрировать DNS-имена для самых популярных внутренних и внешних пространств имен DNS с помощью интернет-регистратора. К ним относится корневой домен леса любых лесов Active Directory, если только такие имена не являются поддоменами DNS-имен, зарегистрированных именем вашей организации (например, корневой домен леса «corp.example.com» является поддоменом внутреннего пространства имен «example.com».) При регистрации DNS-имен в интернет-регистраторе это позволяет DNS-серверам Интернета разрешать домен сейчас или в какой-то момент на протяжении всего срока жизни леса Active Directory. Кроме того, эта регистрация помогает предотвратить возможные столкновения имен в других организациях.
Возможные симптомы, когда клиенты не могут динамически регистрировать записи DNS в зоне прямого просмотра с одной меткой
Если в вашей среде используется DNS-имя с одной меткой, клиенты могут не иметь возможности динамически регистрировать записи DNS в зоне прямого просмотра с одной меткой. Конкретные симптомы зависят от установленной версии Microsoft Windows.
В следующем списке описаны симптомы, которые могут возникнуть:
-
После настройки Microsoft Windows для доменного имени с одной меткой все серверы с ролью контроллера домена могут не регистрировать записи DNS. Системный журнал контроллера домена может последовательно записывать в журнал предупреждения NETLOGON 5781, похожие на следующий пример:
Примечание. Код состояния 0000232a сопоставляется со следующим кодом ошибки:
DNS_ERROR_RCODE_SERVER_FAILURE
Код ошибки DNS: 0x0000251D = DNS_INFO_NO_RECORDS
DNS_ERROR_RCODE_ERROR
RCODE_SERVER_FAILURE
Как разрешить клиентам под управлением Windows выполнять запросы и динамические обновления с зонами DNS с одной меткой
По умолчанию Windows не отправляет обновления в домены верхнего уровня. Однако это поведение можно изменить с помощью одного из методов, описанных в этом разделе. Используйте один из следующих методов, чтобы клиенты под управлением Windows могли выполнять динамическое обновление зон DNS с одной меткой.
Кроме того, без изменений член домена Active Directory в лесу, который не содержит домены с dns-именами с одной меткой, не использует службу DNS-сервера для поиска контроллеров домена в доменах с dns-именами с одной меткой, которые находятся в других лесах. Клиентский доступ к доменам с dns-именами с одной меткой завершается ошибкой, если разрешение имен NetBIOS настроено неправильно.
Способ 1. Использование редактора реестра
- Конфигурация указателя контроллера домена для Windows XP Professional и более поздних версий Windows
Важно! В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.
- Нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.
- Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- В области сведений найдите запись AllowSingleLabelDnsDomain . Если запись AllowSingleLabelDnsDomain не существует, выполните следующие действия:
- В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
- Введите AllowSingleLabelDnsDomain в качестве имени записи и нажмите клавишу ВВОД.
Важно! В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.
- Нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.
- Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
- В области сведений найдите запись UpdateTopLevelDomainZones . Если запись UpdateTopLevelDomainZones не существует, выполните следующие действия:
- В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
- Введите UpdateTopLevelDomainZones в качестве имени записи и нажмите клавишу ВВОД.
Эти изменения конфигурации должны применяться ко всем контроллерам домена и членам домена с DNS-именами с одной меткой. Если домен с однозначным доменным именем является корнем леса, эти изменения конфигурации должны применяться ко всем контроллерам домена в лесу, если отдельные зоны не _msdcs. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestName делегируются из зоны ForestName .
Чтобы изменения вступили в силу, перезагрузите компьютеры, на которых были изменены записи реестра.
- Для Windows Server 2003 и более поздних версий запись UpdateTopLevelDomainZones перемещена в следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient - На контроллере домена под управлением Microsoft Windows 2000 с пакетом обновления 4 (SP4) компьютер сообщит о следующей ошибке регистрации имени в журнале системных событий, если параметр UpdateTopLevelDomainZones не включен:
- На контроллере домена под управлением Windows 2000 с пакетом обновления 4 (SP4) компьютер необходимо перезагрузить после добавления параметра UpdateTopLevelDomainZones.
Способ 2. Использование групповая политика
Используйте групповая политика, чтобы включить политику Обновления доменных зон верхнего уровня и расположение контроллеров домена, в которых размещен домен с одной меткой, политику DNS-имени, как указано в следующей таблице в папке расположение в корневом контейнере домена в разделе Пользователи и компьютеры или во всех подразделениях, в которых размещаются компьютеры, учетные записи для компьютеров-членов. и для контроллеров домена в домене.
Политика Расположение папки Обновление доменных зон верхнего уровня Конфигурация компьютера\Административные шаблоны\Сеть\DNS-клиент Расположение контроллеров домена, в котором размещается домен с DNS-именем с одной меткой Конфигурация компьютера\Административные шаблоны\System\Net Logon\DC Locator DNS Records Эти политики поддерживаются только на компьютерах под управлением Windows Server 2003 и на компьютерах под управлением Windows XP.
Чтобы включить эти политики, выполните следующие действия в контейнере корневого домена:
- Нажмите кнопку Пуск, выберите Выполнить, введите gpedit.msc, а затем нажмите кнопку ОК.
- В разделе Политика локального компьютера разверните узел Конфигурация компьютера.
- Разверните узел Административные шаблоны.
- Включите политику Обновления доменных зон верхнего уровня. Для этого выполните следующие действия:
- Разверните узел Сеть.
- Выберите DNS-клиент.
- В области сведений дважды щелкните Обновить доменные зоны верхнего уровня.
- Щелкните Включено.
- Нажмите кнопку Применить, а затем нажмите кнопку ОК.
- Разверните узел Система.
- Разверните узел Сетевой вход.
- Выберите Dc Locator DNS Records (Записи DNS указателя контроллера домена).
- В области сведений дважды щелкните Расположение контроллеров домена, в котором размещен домен с DNS-именем с одной меткой.
- Щелкните Включено.
- Нажмите кнопку Применить, а затем нажмите кнопку ОК.
На DNS-серверах под управлением Windows Server 2003 и более поздних версий убедитесь, что корневые серверы не создаются случайно.
На DNS-серверах под управлением Windows 2000 может потребоваться удалить корневую зону «.» для правильного объявления записей DNS. Корневая зона автоматически создается при установке службы DNS-сервера, так как служба DNS-сервера не может связаться с корневыми указаниями. Эта проблема была исправлена в более поздних версиях Windows.
Корневые серверы могут быть созданы мастером DCpromo. Если зона «.» существует, был создан корневой сервер. Чтобы разрешение имен работало правильно, может потребоваться удалить эту зону.
Новые и измененные параметры политики DNS для Windows Server 2003 и более поздних версий
- Политика обновления доменных зон верхнего уровня Если указана эта политика, создается REG_DWORD UpdateTopLevelDomainZones запись в следующем подразделе реестра: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
Ниже приведены значения записей для UpdateTopLevelDomainZones : — Enabled (0x1). Параметр 0x1 означает, что компьютеры могут попытаться обновить зоны TopLevelDomain. То есть, если UpdateTopLevelDomainZones параметр включен, компьютеры, к которым применяется эта политика, отправляют динамические обновления в любую зону, которая является авторитетной для записей ресурсов, которые компьютер должен обновить, за исключением корневой зоны. — отключено (0x0). Параметр 0x0 означает, что компьютеры не могут пытаться обновить зоны TopLevelDomain. То есть, если этот параметр отключен, компьютеры, к которым применяется эта политика, не будут отправлять динамические обновления в корневую зону или в доменные зоны верхнего уровня, которые являются полномочными для записей ресурсов, которые компьютер должен обновить. Если этот параметр не настроен, политика не применяется ни к одному компьютеру, а компьютеры используют локальную конфигурацию. - Политика «Регистрация записей PTR» В следующем подразделе реестра было добавлено новое возможное REG_DWORD RegisterReverseLookup значение 0x2 записи:
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient Ниже приведены входные значения для RegisterReverseLookup : — 0x2. Регистрация только в том случае, если регистрация записи «A» выполнена успешно. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR только в том случае, если они успешно зарегистрировали соответствующие записи ресурсов A. — 0x1. Зарегистрировать. Компьютеры пытаются реализовать регистрацию записей ресурсов PTR независимо от успешной регистрации записей «A». — 0x0. Не регистрируйтесь. Компьютеры никогда не пытаются реализовать регистрацию записей ресурсов PTR.
Ссылки
- Планирование пространства имен DNS
- Не удается выбрать роль DNS-сервера при добавлении контроллера домена в существующий домен Active Directory
- Руководство ADMT. Миграция и реструктуризация доменов Active Directory
- Руководство по средству миграции Active Directory (ADMT): миграция и реструктуризация доменов Active Directory
Обратная связь
Были ли сведения на этой странице полезными?
Установка и настройка Active Directory в Windows Server 2019
Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.
Подготовительный этап
Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.
Установка и настройка Active Directory на 2019 сервере
Существует два метода выполнения нашей задачи:
- Классический метод с использованием оснастки «Диспетчер серверов»
- Использование утилиты Windows Admin Center
- Второй метод, это использование Power Shell
Установка AD через сервер менеджеров
Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».
Тип установки оставьте «Установка ролей и компонентов».
Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.
Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.
Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.
Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.
Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:
- Средства удаленного администрирования сервера
- Средства администрирования ролей
- Средства AD DS и AD LDS
- Модуль Active Directory для PowerShell
- Центр администрирования Active Directory
- Оснастки и программы командной строки AD DS
- Управление групповой политикой
Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.
Выгруженная конфигурация, это XML файл с таким вот содержанием.
Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.
Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».
То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.
На следующем окне вы должны выбрать параметры:
- Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
- Режим работы домена, так же определяет какие функции будут доступны на уровне домена.
Хочу обратить внимание, что режимы работы леса и домена напрямую влияют на то, какие операционные системы могут быть на контроллерах домена, простой пример, если у вас режим работы домена Windows Server 2016, то вы в него уже не добавите контроллеры на ОС Windows Server 2012 R2
- DNS-сервер, лучше всегда совмещать эти роли
- Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
- Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
- Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора
Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.
Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.
Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:
- Папка базы данных — C:\Windows\NTDS
- Папка файлов журналов — C:\Windows\NTDS
- Папка SYSVOL — C:\Windows\SYSVOL
Если у вас контроллер домена на виртуальной машине и ее виртуальные диски лежат на одном СХД, то смысл переносить на разные диски базу и папку SYSVOL нет
Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.
Выглядит сценарий вот так:
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:\Windows\NTDS» `
-DomainMode «WinThreshold» `
-DomainName «partner.pyatilistnik.info» `
-DomainNetbiosName «PARTNER» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:\Windows\NTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:\Windows\SYSVOL» `
-Force:$trueЕще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.
В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.
После установки вам сообщат:
Ваш сеанс будет завершен. Выполняется перезагрузка этого компьютера, так как были установлены или удалены доменные службы Active Directory
Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.
Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,
В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.
Установка контроллера домена Windows Server 2019 с помощью Powershell
Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.
# Импорт модуля ServerManager
Import-Module ServerManager
# Установка роли AD DS со всеми зависимыми компонентами
Add-WindowsFeature –Name AD-Domain-Services –IncludeAllSubFeature –IncludeManagementTools
# Импорт модуля ADDSDeployment
Import-Module ADDSDeployment
# Установка нового леса
Install-ADDSForest `
# Не включать делегирование
-CreateDnsDelegation:$false `
# Путь к базе данных AD
-DatabasePath «C:\Windows\NTDS» `
# Режим работы домена
-DomainMode «WinThreshold» `
# Задаем имя домена
-DomainName «partner.pyatilistnik.info» `
# Задаем короткое NetBIOS имя
-DomainNetbiosName «PARTNER» `
# Задаем режим работы леса
-ForestMode «WinThreshold» `
# Указываем, что будем устанавливать DNS-сервер
-InstallDns:$true `
# Задаем путь к NTDS
-LogPath «C:\Windows\NTDS» `
# Если требуется перезагрузка, то перезагружаемся
-NoRebootOnCompletion:$false `
# Задаем путь до папки SYSVOL
-SysvolPath «C:\Windows\SYSVOL» `
-Force:$trueКогда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.
Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.
Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.
Полезные команды при установке доменных служб
- Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
- Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
- Просмотр подсетей — Get-ADReplicationSubnet -Filter *
- Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
- Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions
Полезные командлеты в модуле ADDSDeployment
- Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
- Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
- Установка дополнительного контроллера домена — Install-ADDSDomainController
- Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
- Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation
Установка и настройка Active Directory Windows Admin Center
Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.
Появится мастер установки, если все верно, то нажмите да.
В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.
Процесс установки доменных служб.
Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.
На этом у меня все, если остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Популярные Похожие записи:
Не удалось назначить SPN учетной записи, ошибка 0x21c7/8647
Get-ADComputer: примеры вывода данных о компьютерах Active Directory
Исправляем Error issuing replication: 8452 (0x2104)
Ошибка репликации 8524 в Active Directory- Ошибка NETLOGON 5719: Перестал отвечать дочерний домен
Как дать права на Deleted Objects в Active Directory
Янв 22, 2019 22:58 Автор — Сёмин Иван
7 Responses to Установка и настройка Active Directory в Windows Server 2019
подскажите пожалуйста
если сервер с ад будет использоваться только для настройки пользователей и удалённому доступу, можно ли не настраивать днс роли и все что с ним связано? он же (днс) по сути нужен только для компьютеров которые по идеи могут/должны подключаться к серверу ад?
Спасибо!А можно не устанавливать active directory? Сервер просто будет файловым, vpn и сервером терминалов
Иван Семин :Перехожу по ссылке чтобы скачать скрипт установки доменных служб Active Directory, а там всего сколько,что и не найти что нужно. Можно ссылку именно на скрипт установки доменных служб Active Directory. надеюсь на вашу помощь. Спасибо.
Иван Семин :
Добрый день. Раздел «Скрипты Microsoft Exchange Server и Powershell», можно легко найти поиском браузера нажав Ctrl+F
При выборе компонента доменных служб, выдается предупреждение что нужно еще установить DNS сервер. Насколько плохо держать DNS сервер на контроллере домена? DNS сервер лучше выносить с сервера AD или не имеет значения где он будет?
Иван Семин :
DNS лучше держать с AD, это лучшая практика в домене. Лучше меньше плодить сущностей. 3 контроллера AD+DNS, нормальная отказоустойчивость, меньше лицензий и ресурсов.