Доменные службы Active Directory.

---

22.05.2017

РОЛЬ: Доменные службы Active Directory

Для контроллера домена мы создадим новую виртуальную машину "DC". После установки не забываем сделать стандартные вещи - часовой пояс, имя компьютера, разрешить RDP подключение, назначить статический адрес (в нашем случае "192.168.1.2").

Устанавливаем роль "Доменные службы Active Directory" на наш сервер "DC".

После установки роли нам предлагается "Повысить роль этого сервера до уровня контроллера домена".

Обратите внимание что вместе с ролью "AD DS" ставиться роль доменного "DNS-сервера"

Далее приступаем к настройкам: Самый первый пункт "Добавить контроллер домена в существующий домен" служит для того чтобы настроить синхронный (резервный) домен для уже существующего домена. Мы выбираем пункт "Добавить новый лес" так как создаём новый свежий домен. Вводим имя нашего домена "mrstudio.local":

На следующем диалоге оставляем всё как есть и вводим 2 раза пароль для восстановления:

На следующем окне жмём просто далее и далее вводим "NetBIOS" имя нашего сервера - не более 15 символов, без спецзнаков, и оно должно быть уникальным в сети!

Далее выбираем расположение баз данных, логирования и настроек групповых политик (SYSVOL). Жмём далее, ждём проверку предварительных требований и жмём "Установить". После перезагрузки сервер станет контролером домена!

Вводим пароль и заходим в компьютер мы уже не с локальной учётной записи, а с преобразованной доменной записью! В свойствах нашего сервера мы теперь наблюдаем новое имя с новым DNS-суффиксом - "DC.mrstudio.local".

При управлении доменом наиболее часто конечно же используется вкладка "Средства" - "Пользователи и компьютеры Active Directory":

И в разделе "Domain Controllers" видим наш "mrstduio.local". Обратите внимание, что значок папки отличается от остальных значков в дереве. Это потому что эта оснастка является "Подразделением" "Organization Unit" или просто "OU", а остальные просто контейнеры. В отличие от простых контейнеров, на "OU" можно применять групповые политики. Оснастка "Users" содержит объекты в виде доменных пользователей и доменных групп. Давайте создадим "подразделение" (OU) и назовём его "mrstudio". Внутри этого подразделения создадим ещё 2 "OU" - "Users" и "Computers"

Введём в домен нашу предыдущую виртуальную машину "Gateway". Важный момент при вводе клиентов в домен то что на них должен быть указан DNS-сервер, который знает об этом домене! Заходим в настройки сети и прописываем наш DNS-сервер "192.168.1.2". В диспетчере сервера кликаем по имени компьютера - затем жмём кнопку "изменить". В разделе "Является членом" переключаем чек на "домена:" и прописываем наш "mrstudio.local"

Далее вводим данные администратора домена и успешно регистрируемся в домене. Вернувшись на наш "контроллер домена / DNS-сервер", зайдём в "Средства" - "Пользователи и компьютеры Active Directory" - и в контейнере "Computers" мы видим наш только что введённый в домен сервер "Gateway"

Чтобы на этот объект распространялось влияние подразделения "mrstudio" мы просто перетащим его туда в раздел "Computers". На предупреждающее окно жмём "да", потому что на объекте ещё не применялись ранее групповые политики и перенос пройдёт без сюрпризов.

Далее перейдём к рассмотрению доменного "DNS-сервера" машины "DC". Напоминаю, что на данном этапе на обоих машинах "Gateway" (только на карте, которая смотрит в локальную сеть) и "DC" в сетевых картах прописан один и тот же DNS сервер - "192.168.1.2". Мы видим что были автоматически созданы 2 зоны прямого просмотра: "_msdcs.mrstudio.local" и "mrstudio.local", в свойствах которых указано что они "Интегрированный в Active Directory"

А также в зоне "mrstudio.local" уже есть "A" записи обоих наших машин:

При этом зону "_msdcs.mrstudio.local" сервер создал чтобы машины-клиенты других семейств операционных систем смогли обнаружить сервисы нашего домена. А зона "mrstudio.local" соответственно для ориентира доменных сервисов для Windows машин. И как мы можем наблюдать зона "mrstudio.local" общается с зоной "_msdcs.mrstudio.local" через делегирование, о котором написано ниже. Если мы зайдём в свойства обеих, автоматически созданных доменных зон, то увидим то, чего нет в не доменном DNS-сервере созданном нами ранее на машине "Gateway" - это метод динамического обновления зоны - "Только безопасные".

Для начала нужно сказать, что означает - динамическое обновление зоны. А это означает возможность клиента (компьютера в сети, которому наш DHCP-сервер раздал адрес и другие параметры сети) самому прописывать в DNS-зоне записи типа "A", т.е. клиент сам учит DNS-сервер что его IP-адресу соответствует то или иное "имя", при этом если тип обновления "Только безопасные", то изменить эту запись сможет только сам клиент, который эту запись изначально создал. И как мы вспомним, когда мы создавали зоны на нашем "самостоятельном" DNS-сервере на машине "Gateway", мы выключали динамические обновления зоны, и сделано было это потому что этот днс-сервер обрабатывает внешние запросы, и нам не надо чтобы клиенты извне могли учить наши зоны своим "A" записям!

Управлять доменными зонами мы можем даже с нашего отдельного DNS-сервера на машине "gateway". Для этого на самой верхней вкладке "DNS" жмём правой кнопкой и выбираем "Подключение к DNS-серверу":

В появившемся диалоге переставляем чек на "Другой компьютер" прописываем полное доменное имя нашего контроллера домена и по совместительству доменного DNS-сервера "DC.mrstduio.local"

Теперь обоими DNS-серверами можно управлять из одной оснастки:

Рассмотрим вариант когда нам нужно внутри нашего домена "mrstudio.local" разрешить (имя в IP-адрес) какое-то имя из зоны не доменной. И мы можем сделать это через "Делегирование зон"! Для примера в нашем отдельном DNS-сервере создадим новую зону "buh.mrstudio.local", в которой создадим новую "A" запись с именем "buhgalter003" и IP-адресом "192.168.1.120"

Жмём правой кнопкой по доменной зоне "mrstudio.local" и выбираем "Создать делегирование..."

В разделе "Делегируемый домен" приписываем название зоны "buh.mrstudio.local"

В следующем окне "Серверы имён" мы добавляем наш "Gateway" и жмём разрешить в адрес:

Так как у нас планируется роутер, на машине "gateway" два сетевых интерфейса, в этом диалоге нам нужно оставить только локальный:

Наша делегируемая зона "buh" появилась в нашей доменной зоне "mrstudio.local":

Теперь запросы со всех машин в сети, у которых в качестве DNS-сервера прописана машина "DC", смогут разрешить имя "buhgalter003" в IP-адрес "192.168.1.120". С помощью команды "nslookup" проверить это можно даже из машины "gateway". В консоли набираем команду принудительного разрешения имени через DNS-сервер "DC":

Хотя, так как, на машине "Gateway" и так прописан DNS-сервер "192.168.1.2" по умолчанию, это имя разрешится и без форсирования в команде на "DC".