Выбираем сервер под контроллер домена

Настройка сервера контроллер домена

Контроллер домена на основе AD играет ключевую роль в контроле доступа и защите информации внутри корпоративной сети. Поэтому, чтобы элементы IT-структуры организации работали без сбоев, необходимо правильно настроить функционал и контроллера домена, и всей Active Directory — установить правила доступа к ресурсам, распространения групповых политик и т. д. Корректно настроенная система позволит предприятию уделять больше времени экономической составляющей, а не отвлекаться на постоянные сбои в ИТ-структуре.

Видео

Начинаем

Вы установили Windows Server 2016 и (надеюсь) видите следующий экран:

Эта панель — основное (графическое) средство администрирования Windows Server 2016. Здесь вы можете управлять компонентами и сервисами на вашем сервере (проще говоря, настраивать то, что умеет делать сервер). Эту же панель можно использовать и для базовых сетевых настроек Windows Server, для чего есть вкладка «Локальный сервер».

Базовые настройки Windows Server

Первое, что нужно сделать — это поменять сетевое имя сервера.

Сетевое имя (hostname) — это удобный способ идентификации узла в сети. Сетевое имя используется как альтернатива IP-адресу и позволяет не запоминать IP-адрес компьютера (при том, что этот адрес может меняться время от времени), а связываться с этим компьютером по его логическому названию.

Проблема в том, что по-умолчанию для Windows Server генерируется совершенно нечитаемое и неинформативное сетевое имя (я выделил его красным цветом на скриншоте).

Рабочие станции ещё могут позволить себе иметь нечитаемый Hostname, но никак не сервер. Поэтому я предлагаю поменять эту абракадабру его на что-то более разумное (например, на ADController), благо делается это быстро.

Смена сетевого имени

Нужно кликнуть на текущее имя сервера (отмечено красным цветом), затем во вкладке «Имя компьютера» нажать на кнопку «Изменить…», после чего ввести что-то более благоразумное:

После смены имени машину нужно будет перезагрузить.

Теперь зададим статический IP-адрес для сервера. В принципе это делать не обязательно, раз мы всё равно собрались поднимать DHCP службу, но на самом деле это хорошая практика, когда все ключевые элементы корпоративной сети имеют фиксированные адреса. Открыть меню по настройке сетевого адаптера можно из вкладки «Локальный сервер», кликнув на текущие настройки Ethernet-адаптера (тоже выделены красным цветом).

Настройки IP для интерфейса windows_server

Роли контроллера домена FSMO

Для удобного управления каждому контроллеру домена возможно назначить одну или несколько ролей из 5 существующих.

Мастер схемы Schema master

Роль, назначаемая в пределах одного леса. В рамках ответственности мастера находятся все изменения и обновления, происходящие в схеме Active Directory. В лесу может быть только один Schema master — автоматически им назначается первый установленный в инфраструктуре контроллер домена.

Мастер именования домена Domain naming master

Эта роль также назначается в пределах леса. Мастер разрешает добавить в лес домены либо удалить их или отклоняет предложенные пользователем изменения. В лесу используют только один Domain naming master. Но, так как новые домены создают и удаляют быстро и редко, то на контроллер, исполняющий эту роль, возможно возложить и другие обязанности.

Мастер относительных идентификаторов RID

Роль назначается на уровне домена. RID-мастер присваивает каждому вновь созданному на контроллере доменов объекту SID, состоящий из двух типов идентификаторов — общего (относящегося к конкретному домену) и уникального относительного RID (связанного с новым объектом). Мастер не создает объекты, а лишь при необходимости выдает каждому DC наборы по 500 RID. Т. к. исполнение данной функции не требует много ресурсов и времени, то этому контроллеру доменов возможно назначить дополнительную роль или роли.

Эмулятор PDC

Тоже доменная роль. В зоне ответственности эмулятора PDC — изменение паролей и их мгновенная репликация, внесение корректив в групповую политику, синхронизация времени в лесу, обеспечение совместимости с другими версиями Windows. Так как в этом качестве контроллер домена выполняет множество обязанностей, то не стоит его дополнительно «нагружать» другими ролями. Каждый DC может иметь только единственный эмулятор PDC.

Мастер инфраструктуры Infrastructure master

Также роль на уровне домена. Infrastructure master предоставляет данные об объектах своего домена остальным DC. Эта хранимая мастером информация называется доменным каталогом.

Структура Active Directory

Как связаны между собой домен, лес, дерево доменов и дочерний домен

Домен — это логическая группа пользователей, компьютеров, периферийных устройств и сетевых служб. С точки зрения сетевой архитектуры, как правило, домены представляют собой централизованные сетевые среды, в которых аутентификацией управляет контроллер домена. В сетях на базе Windows Server домен обслуживается ролью AD DS.

Вы можете вспомнить, что на этапе повышения сервера до уровня контроллера домена, мы выбрали опцию добавить новый лес.

Лес, условно говоря, это оболочка, которая разграничивает домены. Домены в разных лесах являются полностью отграниченными друг от друга (если иное не настроено с помощью траста). На практике обычно один лес содержит один домен — эта самая простая и распространённая конфигурация.

Кроме одиночных доменов, лес может содержать деревья доменов. Такие домены автоматически доверяют друг другу, но могут использовать разное пространство имён, например, один домен может использовать имя ad-dom.loc, а другой mydomain.com.

У домена может быть дочерний домен, который, соответственно, включается в тот же лес. От деревьев доменов дочерние домены отличаются тем, что используют одно пространство имён, например, если родительский домен имеет имя ad-dom.loc, то дочерний должен иметь имя вида *.ad-dom.loc, например, train.ad-dom.loc.

На практике системные администраторы редко используют деревья и дочерние домены, поскольку в современной Active Directory в этом нет необходимости — всё, что надо, можно настроить в рамках одного домена через организационные подразделения.

Теги