Active Directory tartományvezérlő beállításai

Active Directory tartományvezérlő hardverkövetelményei

1,4 GHz 64 bites processzor vagy gyorsabb

512 MB RAM vagy nagyobb

32 GB szabad lemezterület vagy annál nagyobb

Ethernet hálózati adapter

Szóval tudnánk egy új tartományvezérlőt felépíteni, és csak ezeket a minimumokat használni?Természetesen, de ez valóban attól függ, hogy mit keres a tartományvezérlőn, és mennyire nagy a szervezet, amely támogatja. Ha egy fizikai tartományvezérlőt építünk, akkor minden jelenlegi szervernek meg kell felelnie a fentiekben leírt szemüvegeknek. Ha virtuális kiszolgálót építünk, akkor ajánlom a tartományvezérlők számára ajánlott minimumot:

2-mag CPU

8 GB RAM

60 GB-os, vékony rendelkezésre álló lemez

VMXNET3 hálózati adapter

Számos olyan forgatókönyv létezik, amelyekben szükség lehet több magra, memóriára vagy lemezterületre, de a legtöbb esetben a fentieknek elég jó kezdetnek kell lenniük.

Windows Server 2016 Alap konfiguráció és beállítások

Hagyja el a 4 vagy 5 kattintást a Windows Server 2016 virtuális gépként történő telepítéséhez, és mi megyünk a szükséges alapvető Windows beállítások konfigurálásához, mielőtt ténylegesen telepítenénk az Active Directory szerepkörét. Már telepítettem a VMware eszközöket is.

Először meg kell nyitnunk a Start Menüt , majd kattintsunk a Server Manager megnyitásához .

A kiszolgálókezelőből kattintsunk a helyi kiszolgáló konfigurálása lehetőségre .

A Helyi kiszolgáló tulajdonságai oldalon elérhető linkek találhatók a legtöbb dologgal, amire szükségünk van. Minden egyes elem konfigurálása után ugorhatunk vissza erre az oldalra a következő konfigurációs elemre lépéshez.

A számítógép nevére vagy munkacsoportjára kattintva megjelenik a Rendszer tulajdonságaipárbeszédablak.

A Módosítás gombra kattintva megkapjuk a Számítógépnév / Domain módosításapárbeszédpanelt. Itt megváltoztatjuk a Számítógép nevét arra, amit meg akarunk adni a tartományvezérlőnek, és kattintsunk az OK gombra . Ebben az esetben a VILAB-DC01. A Munkacsoportot azóta hagyjuk, hiszen ebben a forgatókönyvben új tartományt / erdőt hozunk létre.

Miután rákattintott az OK gombra , egy másik párbeszédablakot jelezünk, amely szerint újra kell indítanunk az alkalmazandó változtatásokat.

Ezután kapunk egy második párbeszédablakot, amely megkérdezi, hogy újra szeretnénk-e indítani vagy újraindítani később . Most újraindíthatja, vagy várhatja, amíg befejeztük az újraindításhoz szükséges módosításokat.

A Helyi rendszer tulajdonságai a Kiszolgálókezelőben a Távoli asztalra kattintanak .

Ezzel eljut a Távoli fülre a Rendszer tulajdonságai alatt, és a Távoli kapcsolatok engedélyezése gombra kattintva engedélyezzük a Távoli asztal engedélyezését .

A Kiszolgálókezelő Helyi Rendszer Tulajdonságai között kattintson az Ethernet Adapterre, amely a Hálózati kapcsolatok ablakhoz vezet.

Kattintson jobb gombbal az Ethernet-adapterre, majd kattintson a Tulajdonságok parancsra .

Innen az IPv4 tulajdonságokra kattintunk, ahol beállítjuk az IP címet , az alhálózati maszkot és az alapértelmezett átjárót . A Preferált és Alternatív DNS-t is beállítjuk, de mivel ez az első Active Directory tartományvezérlő és ez az első DNS-kiszolgálónk, el kell indítanunk a Preferált DNS- t a kiszolgálók saját IP-címéhez és az Alternatív DNS- hez egy külső DNS-forráshoz.

A Helyi rendszer tulajdonságai a Kiszolgálókezelőben a Time Zone ( Dátum és idő)párbeszédablakra kattintva kattintsunk rá.

Itt adjuk meg a helyi dátumot, időt és időzónát, és kattintsunk az OK gombra.

A Helyi rendszer tulajdonságai a Kiszolgálókezelőben kattintson az IE továbbfejlesztett biztonsági konfigurációra

Be kell állítani a Rendszergazdák opciót Ki értékre . Ez lehetővé teszi az Internet Explorer számára, hogy weboldalakat nyitjon meg anélkül, hogy rengeteg őrült kérést tenne be a rendszergazdák számára.

A Helyi rendszer tulajdonságai a Kiszolgálókezelőben kattintson a Visszajelzés és diagnosztika beállításokra.

Itt be kell állítania a Feedback Frequency ( Visszajelzés frekvencia) opciót Never (Soha) értékre, és a diagnosztikai és használati adatokat az Basic (Alap) értékre . A Windows 10 és a Windows Server 2016 alapértelmezés szerint túl sok adatot küld a Microsoftnak, amelyek közül néhányat még nem lehet letiltani. Ez egy egész cikk. Most ez a két beállítás jó kezdet.

A Helyi rendszer tulajdonságai a Kiszolgálókezelőben kattintson a Windows Defenderopcióra.

Az anti-vírus, az anti-malware és az anti-behatolás szoftverek mindenképpen ajánlottak, és hagyom, hogy meghatározzam, mi a legjobb megoldás az Ön számára. A legtöbb esetben javaslom a Bitdefendert . Most javaslom kikapcsolni a valós idejű védelmet és a felhőalapú védelmet, bár ez nem feltétlenül szükséges ebben a helyzetben.

Végül a Kiszolgálókezelő Helyi Rendszer Tulajdonságai között a Windows Update opcióra kattintunk.

A Frissítések keresése gombra kattintva megtalálja az összes szükséges frissítést. Telepítse a felsorolt ​​frissítéseket, és szükség szerint indítsa újra a kiszolgálót. Észre fogod venni, hogy egy szép beszéd elmondja, hogy a Windows 10 Creators frissítése elérhető lesz. Ez meglehetősen furcsa, hiszen a Windows Server 2016-on és nem a Windows 10 rendszeren vagyunk, és természetesen nem létezik a Windows Server 2016-ra vonatkozó létrehozói frissítés. Ha az Igengombra kattintasz , mutasd meg, hogyan fog semmit csinálni. Mi történt, a Microsoft két kiemelt operációs rendszere jelentős mennyiségű kódbázissal rendelkezik, és ez nyilvánvalóan csak átlépett. Ha ugyanakkor bosszant, akkor a rendszerleíró adatbázis szerkesztésével könnyen letilthatja a Windows 10 Creators Update értesítést .

Ezen a ponton meg kell adnunk a Windows Server 2016 összes szükséges előfeltételét. Kérjük, nézze meg a sorozat következő cikkét az Active Directory Forest / Domain létrehozásához szükséges szerepek telepítésének elindításához.

Active Directory tartományi szerepkörök hozzáadása

A sorozat 1. részében lefedtem a hardverkövetelményeket és néhány ajánlott kiszolgáló-konfigurációs beállítást a Windows Server 2016 Active Directory tartományvezérlőjének kiépítésére. A következő lépés az Active Directory tartományi szolgáltatásokhoz szükséges szerepkörök telepítése, majd a kiszolgáló új erdőben lévő első tartományvezérlőjének támogatása.

Mivel biztosan ismeri, visszatérünk a Kiszolgálókezelőhöz a folyamat elindításához. Először rákattintunk a szerepek és funkciók hozzáadása lehetőségre .

A Szerepkörök és szolgáltatások hozzáadása varázsló első oldala leírja, mit csinál ez a varázsló, és néhány előfeltételes feladatot ajánl. A folytatáshoz kattintson a Tovább gombra.

A telepítési típus oldal két lehetőséget kínál, bár csak az egyikre vonatkozik. Hagyja a rádiógombot a szerepkör-alapú vagy funkcióalapú telepítés opcióján, majd kattintson az N ext parancsra.

A Szerver kiválasztása oldal ahol kiválaszthat egy vagy több szervert a szerepek és funkciók telepítéséhez. Az alapértelmezett beállítás a helyi szerver, ezért hagyjuk úgy, ahogy van, és kattintsunk a Tovább gombra.

A Szerver szerepköre lapon számos lehetséges szerep telepíthető. Az Active Directory tartományi szolgáltatások és a DNS-kiszolgáló szerepkörét mindkettővel ellenőrizni kell.

Amikor ellenőrizze az Active Directory tartományi szolgáltatások szerepét, megnyílik egy másik párbeszédpanel, amely értesítést küld a további szolgáltatásokról, amelyek automatikusan települnek az AD DS szerepkörökkel együtt. Ezek a szolgáltatások az AD DS szerepének kezeléséhez szükségesek a PowerShell, a GUI és a parancssor segítségével. Amikor rákattint a Funkciók hozzáadása gombra, az AD DS szerepkör jelezve lesz.

A DNS-kiszolgáló szerepének ellenőrzésekor megnyílik egy másik párbeszédpanel, amely értesíti a további szolgáltatásokat, amelyek automatikusan települnek a DNS-kiszolgáló szerepkörökkel együtt. Ez a szolgáltatás a DNS-kiszolgáló parancssora és grafikus felhasználói eszköze. Amikor rákattint a Funkciók hozzáadása gombra, a DNS-kiszolgáló szerepkörének ellenőrzött lesz.

Mindkét szerepkör kiválasztásával most kattintsunk a Tovább gombra.

A Jellemzők oldalon általában hozzáadom a .NET Framework 3.5 szolgáltatásokat, mert mindig úgy tűnik, valami szüksége van rá. Ezektől eltekintve semmit sem kell hozzáadni, így kattintsunk a Tovább gombra.

Az AD DS oldal leírja a telepíteni kívánt szerepet, és azt jelzi, hogy telepítenie kell a DNS-kiszolgálót. Kattintson a Tovább gombra a folytatáshoz.

A DNS-kiszolgáló lap leírja a DNS-kiszolgáló szerepét. Kattintson a Tovább gombra is.

A Megerősítés oldal megjeleníti a korábban kiválasztott szerepeket és funkciókat, és lehetővé teszi számunkra, hogy ellenőrizzük választásainkat. A tetején egy figyelmeztetés található, amely a hiányzó forrásfájlokat tárgyalja. Miután kiválasztottuk a .NET keretrendszer 3.5 szolgáltatását , megköveteljük, hogy megadjuk az alternatív forrásútvonalat .

Ez egyszerűen azt jelenti, hogy a Windows Server 2016 ISO könyvtárába kell mutatni. Az Alternatív forráspálya párbeszédpanel megadja, hogy ez miért szükséges, és még azt is elmagyarázza, hogy a .NET-keretrendszer 3.5-s jellemzői esetében meg kell adnunk egy elérési utat. Van egy olyan példa is, amelyen alapul a belépésünk. A CD / DVD meghajtó D: ebben az összefüggésben, így a D: \ Sources \ SxS \ mappába be kell lépnünk a Path: mezőbe, és kattintsunk az OK gombra .

Miután rákattintott a Telepítés telepítése gombra, a kiválasztott szerepek és funkciók megkezdődnek.

Amikor a folyamat befejeződik, bemutatunk egy linket, amely ezt a kiszolgálót támogatja egy tartományvezérlőnek . A hivatkozásra kattintva megnyílik az Active Directory tartományi szolgáltatás konfigurációs varázslója .

Új Active Directory tartomány / erdő hozzáadása

Az Active Directory tartományi szolgáltatás konfigurációs varázslójában az első tényleges lépéseket kapjuk az új tartományvezérlő kiépítéséhez. Több lehetőséggel bemutatjuk az új erdő hozzáadása menüpontot. A root domain névben meg kell adnunk az új tartomány nevét. Mivel ez az otthoni laborom számára a VILAB.local domain nevet adom.

A Tartományvezérlő opciók oldalon kiválaszthatjuk az erdő funkcionális szintjét és a tartományi funkcionális szintet . Mivel ez egy új erdő, nincs oka annak, hogy ezeket meg kell változtatni. Azt akarom, hogy a laboromat a Windows Server 2016 szintjén futtassa, így ezt hagyom. A Domainvezérlő tulajdonságainak megadása jelölőnégyzetek 3 lehetőség közül választhatnak, amelyek szürkén láthatók. A DNS és a globális katalógus beállításai automatikusan kiválasztásra kerülnek, mivel ez az első tartományvezérlő. Ezenkívül meg kell adnunk a Directory Services Restore Mode (DSRM) jelszót . A DSRM lényegében biztonságos mód a tartományvezérlő számára, amely lehetővé teszi az adminisztrátor számára az Active Directory adatbázis javítását vagy helyreállítását.

A DNS beállítások allapjára lépéshez figyelmeztetés jelenik meg, jelezve, hogy a varázsló nem hozhat létre küldöttséget az Ön számára. Ez a hiba jóindulatú és figyelmen kívül hagyható.Megpróbál kapcsolatba lépni egy olyan DNS-kiszolgálóval, amely hiteles a nem létező tartomány számára. Kattintson a Tovább gombra.

A További beállítások oldalon a NetBIOS tartománynév kér. Nem akarok diszjunktív névteret vagy valami őrültet létrehozni a tartományvezérlő számára, ezért VILAB-ot fogok létrehozni, ami az elsődleges DNS-utótag-meccs a VILAB.local számára. Kattintson ismét a Next gombra.

Sokan azt ajánlották, hogy változtassák meg az Active Directory adatbázisát, a naplókat és a SYSVOL elérési útvonalát, de ezekben a napokban csak szükségtelen szövődéseket okoz. A jelenleg rendelkezésre álló összes flash-tömb és virtualizált tárhely egyszerűen nincs értelme.Kattintson ismét a Next gombra.

Ez eléggé magától értetődő. Győződjön meg róla, hogy kiválasztotta a megfelelő opciókat, majd kattintson a Tovább gombra.

Az Előfeltételek ellenőrzése biztosítja, hogy a kiszolgáló készen áll, és a zölden ellenőrizze a tetején azt jelenti, hogy egyértelműen kattintsunk a Telepítés gombra. Észre fogod venni, hogy vannak néhány figyelmeztetés, amelyek közül az egyiket már tárgyaltuk (a DNS-küldöttség kérdését), a másik az NT 4.0 titkosítási algoritmusait említi. Mivel nem vagyok NT 4.0 környezetben ebben a környezetben (vagy újra), biztonságosan figyelmen kívül hagyhatjuk mindkét figyelmeztetést.

Az Install gombra kattintva elindítja a szerver promócióját egy Active Directory tartományvezérlőhöz, és általában csak néhány percet vesz igénybe.

Amikor a varázsló befejeződött, megjelenik egy zöld ellenőrzési értesítés a párbeszédablakban, amely megállapítja, hogy a kiszolgáló sikeresen konfigurálva volt tartományvezérlőként. Értesítést fog kapni arról is, hogy ki van jelentkezve, mert a kiszolgáló újraindul.

A Windows újraindítja és elkezdi alkalmazni a beállítási változtatásokat, amelyek ahhoz szükségesek, hogy a kiszolgáló Active Directory tartományvezérlőt létesítsen.

Amikor újraindítja a telepítést, a telepítés befejeződött, és a domain hitelesítő adatai segítségével bejelentkezhet. Hozzáadottunk szerepeket és szolgáltatásokat ehhez a kiszolgálóhoz. A kiszolgálót először reklámoztuk és újraindítottuk. A következő cikkben érvényesítjük az Active Directoryot, és készen állunk rá, hogy felkészüljünk a legfontosabb időre.

Active Directory konfiguráció és érvényesítés

A sorozat 1. és 2. részében lefedtem a hardverkövetelményeket, az ajánlott kiszolgáló konfigurációs beállításokat, telepítettem az Active Directory tartományi szolgáltatásokhoz szükséges szerepköröket, majd előmozdítottuk a kiszolgálót az új erdőben az első tartományvezérlőre. Tehát végeztünk? Nem, nem pontosan. Néhány dolog, amire rámutattam, hogy sok cikk foglalkozik ezzel a témával, nem arról van szó, hogy meg kell győződnünk arról, hogy a dolgok működnek, és további konfigurációra van szükség ahhoz, hogy minél közelebb kerüljön a legjobb gyakorlatokhoz.

Az első bejelentkezésünk, miután a szervert egy domainvezérlőre bátorítottuk, kicsit más lesz.Korábban helyi rendszergazdai fiókként jelentkeztünk be. Mivel ezt a szervert egy domainvezérlőhöz vezettük, a helyi rendszergazdai fiók már nem létezik. A VILAB \ Adminisztrátori fiók a domain adminisztrátori fiókja, és ugyanaz az előző jelszó, mint a korábbi helyi rendszergazdai fiókunk. Amikor megpróbálok bejelentkezni, azt jelzi, hogy lejárt a jelszavam, ezért módosítani kell, hogy kattints az OK gombra .

A Windows most kéri az aktuális jelszót, és kétszer beírja az új jelszót , így megadom a jelszót, és az OK gombra kattintva megváltoztathatom a VILAB \ Administrator jelszót valami másra.

A jelszó módosítása után a Windows továbbra is bejelentkezik az asztalra. Innen kell megnyitnunk a Kiszolgálókezelőt .

A Kiszolgálókezelő Eszközök menüjére kattintva számos további lehetőséget kínál. Csak az Active Directory webhelyeket és szolgáltatásokat , az Active Directory-felhasználókat, a számítógépeket és a DNS-t érintenénk, így mind a 3-ot kattinthatjuk és felnyithatjuk őket.

Az Active Directory-felhasználók és számítógépek esetében mostantól láthatjuk a tartománymappákat és az OU-kat. Látjuk, hogy a VILAB-DC01 helyi kiszolgálóhoz csatlakozunk, és az alapértelmezett konténerek pontosan megjelennek. Az AD struktúrába tovább mélyedhet, de tipikusan, ha eddig tette, a várt módon működik.

Átkerülünk az Active Directory webhelyeire és szolgáltatásainkba , és ásunk le, és nézzük meg a Default-First-Site-Name nevet, és győződjünk meg róla, hogy szerverünk globális katalógusként szerepel, és ebben az esetben. Figyeljük meg, hogy az Alhálózati mappák üresek ezen a ponton.

Hálózatunk és Active Directory infrastruktúránk kiépítésénél fontosabb lesz, hogy a webhelyekhez meghatározott és csatolt alhálózatokat, valamint a megfelelő helyekhez csatolt szervereket hozzanak létre a replikációhoz, a hitelesítéshez és a szervizhelyhez. A helyes konfiguráció itt meghatározza, hogy a számítógépek és szerverek hogyan hitelesítik a domainjét a helyi és a távoli helyekről, hogyan történik a replikáció a tartományvezérlők között és a szolgáltatások a domainen keresztül. Az alhálózatok megfelelő beállításához jobb gombbal kattintsunk az Alhálózatimappára, és kattintsunk az Új alhálózat elemre.

Mivel csak az egyik webhelyem van, hozzátesznek minden alhálózatot, hogy azok az eszközök / számítógépek / kiszolgálók, amelyek kommunikálni fognak az Active Directory tartományomban.

Amint itt látható, a 10.10.10.0./24 és 10.10.11.0/24 alhálózatokat az Alhálózati mappába helyeztem. 10.10.10.0/24 az én kezelési alhálózatom és a 10.10.11.0/24 az én Virtual Server alhálózatom. Ezek a Default-First-Site-Namehez vannak csatolva, de csatolhatók egy másik webhelyhez, ha létrehoztam egyet.

Végül a DNS- kezelőn vagyunk. Innentől meggyőződöm róla, hogy a VILAB.local Forward Lookup Zone létrejön és nyilvántartást tartalmaz.

Az egyik dolog, ami nem automatikusan történik meg, amikor telepíti a DNS szerepet az új tartományvezérlőn, a Reverse Lookup Zones . Ezek egyre fontosabbá válnak, különösen a VMware és más gyártókból érkező egyre több Linux-eszköz esetében, mert bizonyos esetekben a fordított kereséseknek helyes működéséhez van szükségük. Csakúgy, mint az AD-helyek és szolgáltatások alhálózatai, meg kell adnunk azokat a hálózatokat, amelyeket fordított keresési zónákként használunk a DNS-kezelőben .

Kattintson a Tovább gombra a folytatáshoz.

Ezek Primary zónák lesznek, ami azt jelenti, hogy ez a szerver a zóna tulajdonosa. Elhagyjuk a jelölőnégyzetet a Zóna tárolása az Active Directoryban, majd a Tovább gombra.

Bár ez egy új erdő, és ez jelenleg az egyetlen tartományvezérlő, szeretnénk beállítani ezt az erdőben lévő tartományvezérlőkön futó To All DNS kiszolgálókat: VILAB.local és kattintsunk a Next gombra. Ez azt jelenti, hogy ez a zóna automatikusan átmegy az erdő más DNS-kiszolgálóira, miután új tartományvezérlőket adunk hozzá.

Ez persze egy IPv4-hálózat, így hagyjuk az IPv4 Névlekérdezési Zóna alapértelmezett értékét, majd kattintsunk a Next gombra.

Alhálózatunk első három oktettét csak a Hálózati azonosító mezőben kell megadnunk, és kattintsunk a Tovább gombra. Ez bonyolultabbá válik, ha csak 24 hálózaton kívüli eszközt használ.Itt van egy szórakoztató olvasás, hogy megtudja, hogyan kell konfigurálni egy alhálózott névkeresési zónát .

A dinamikus frissítés megkérdezi, hogy engedélyezni kívánja-e a DNS biztonságos vagy nem biztonságos frissítését a hálózaton lévő entitásokból. Szinte minden esetben a válasz csak a Csak dinamikus dinamikus frissítések engedélyezése, és ebben az esetben hagyjuk ezt az opciót kiválasztani, és kattintsunk a Tovább gombra. Ez a beállítás azt jelenti, hogy minden hitelesített eszköz frissítheti a DNS-rekordokat, de az Active Directoryhoz nem hitelesített eszközök nem frissíthetik a rekordokat. Számos olyan felhasználási eset fordulhat elő, amely lehetővé teszi mindkét nem biztonságos és dinamikus frissítés engedélyezését, de azt állítja, hogy ez jelentős biztonsági rés.

Az alábbiakban röviden áttekintjük az új fordított keresési zónát , amelyet létrehozunk, és a feladat befejezéséhez kattintsunk a Befejezés gombra.

Ugyanazt a két alhálózatot hoztam létre korábbi DNS- névkeresési zónákként .

Innen számos további elem is ellenőrizhető, de a fentiek a legfontosabb elemek, amelyeket figyelembe kell venni. Néhány további szerepkör, amelyekre szükség lehet, a DHCP, a tanúsítványszolgáltatások, a hálózati házirend-szolgáltatások és a WSUS.

Következtetésképpen

Ebben a sorozatban egy alapszintű Windows Server 2016 telepítőt telepítettünk át egészen egy új tartományvezérlő új tartomány létrehozására. Bár a lépések nem olyan nehézek, remélem, hogy a folyamat során elvégzett döntések mindegyikéhez hozzáadtam néhány kontextust. Köszönöm, hogy elolvasta!