Развертывание AD-DNS-01
Для развертывания компьютера AD-DNS-01, где запущены службы AD DS и DNS, нужно выполнить следующие шаги в порядке перечисления.
Выполнить шаги из раздела Настройка всех серверов.
Установить AD DS и DNS для нового леса
Создать учетную запись пользователя в консоли «Пользователи и компьютеры Active Directory»
Добавить группу
Назначить членство в группе
Настроить зону обратного просмотра DNS
Административные привилегии
Если создается небольшая сеть, в которой вы единственный администратор, рекомендуется создать учетную запись для себя и добавить ее в группы администраторов предприятия и администраторов домена. Это упростит административную деятельность в отношении всех ресурсов сети. Также рекомендуется входить в систему под этой учетной записью только при необходимости выполнения административных задач, для всех же остальных задач создать отдельную учетную запись.
Если речь о более крупной фирме с несколькими администраторами, обратитесь к документации по AD DS, чтобы определить наилучшее распределение сотрудников предприятия по группам.
Доменные учетные записи или учетные записи локального компьютера
Одно из преимуществ инфраструктуры на основе домена состоит в том, что нет нужды создавать учетные записи пользователей на каждом компьютере домена. Это распространяется и на клиентские компьютеры, и на серверы.
Поэтому создавать учетные записи на каждом компьютере домена не следует. Создайте все учетные записи в «Пользователи и компьютеры Active Directory» и распределите их по группам, как описано выше. По умолчанию все учетные записи входят в группу «Пользователи домена».
После присоединения компьютеров к домену члены этой группы смогут входить в домен с любого клиентского компьютера.
 Примечание
Члены группы «Пользователи домена» не могут осуществить вход в компьютер под управлением Windows Server® 2008.
Можно дополнительно настроить учетные записи, указав, в какие дни и часы пользователю разрешено входить в систему. Можно также определить, какие компьютеры какому пользователю разрешено использовать. Чтобы сделать все это, откройте «Пользователи и компьютеры Active Directory», найдите учетную запись, которую нужно изменить, и дважды щелкните ее. В диалоговом окне Properties перейдите на вкладку Account (учетная запись) и выберите Logon Hours (время входа) или Log On To (вход в).
Установка AD DS и DNS для нового леса
Описанным ниже способом можно установить службы AD DS и DNS, а также создать новый домен в новом лесу.
Для завершения этой процедуры требуется как минимум членство в группе Администраторы.
 Установка служб AD DS и DNS
-
|
1. Выполните одно из следующих действий.
a) Щелкните ссылку Add roles (добавить роли) секции Customize This Server (настроить этот сервер) окна Initial Configuration Tasks (задачи начальной настройки). Запустится Add Roles Wizard (мастер добавления ролей).
б) Нажмите кнопку Start и щелкните пункт Server Manager (диспетчер сервера). В окне Server Manager щелкните Roles (роли), после чего в области сведений в разделе Roles Summary (сводка по ролям) щелкните Add Roles. Запустится мастер добавления ролей.
2. На странице Before You Begin (перед началом работы) нажмите кнопку Next (далее).
Примечание
Страница Before You Begin мастера добавления ролей не отображается, если ранее при запуске этого мастера вы установили флажок Do not show this page again (не показывать эту страницу снова).
3. На странице Select Server Roles (выбор ролей сервера) в секции Roles выберите Active Directory Domain Services и нажмите кнопку Next.
4. На странице Active Directory Domain Services нажмите кнопку Next.
5. На странице Confirm Installation Selections (подтвердите выбранные элементы) нажмите кнопку Install (установить). Во время установки отображается страница Installation Progress (индикатор установки).
6. По завершении установки просмотрите ее результаты на странице Installation Results (результаты установки) и щелкните Close this wizard and launch the Active Directory Domain Services Installation Wizard (закрыть этот мастер и запустить мастер установки AD DS). Мастер добавления ролей будет закрыт, и его место займет мастер установки доменных служб Active Directory. Нажмите кнопку Next.
7. На странице Choose a Deployment Configuration (выберите конфигурацию развертывания) выберите Create a new domain in a new forest (создать новый домен в новом лесу). Нажмите кнопку Next.
8. На странице Name the Forest Root Domain (имя корневого домена леса) в поле FQDN of the forest root domain (полное доменное имя корневого домена леса) введите полное имя нового домена. Например, если это example.com, введите example.com. Нажмите кнопку Next.
9. На странице Set Forest Functional Level (задание режима работы леса) выберите режим работы леса, который собираетесь использовать, и нажмите кнопку Next.
10. На странице Additional Domain Controller Options (дополнительные параметры контроллера домена) убедитесь, что отмечен пункт DNS server раздела Select additional options for this domain controller (укажите дополнительные параметры этого контроллера домена), после чего нажмите кнопку Next. Появится предупреждение мастера установки AD DS.
11. Предупреждение информирует, что можно вручную создать делегирование этому DNS-серверу в родительской зоне. Нажмите кнопку Yes, чтобы продолжить установку AD DS.
12. На странице Location for Database, Log Files, and SYSVOL (расположение для базы данных, файлов журнала и папки SYSVOL) выполните одно из следующих действий.
Примите значения по умолчанию.
Укажите расположения, которые хотите использовать для папок базы данных, файлов журнала и папки SYSVOL.
13. Нажмите кнопку Next.
14. На странице Directory Services Restore Mode Administrator Password (пароль администратора для режима восстановления) в поле Password введите пароль. В поле Confirm password повторно введите пароль, после чего нажмите кнопку Next.
15. На странице Summary (сводка) просмотрите сделанные выборы.
16. Если нужно экспортировать настройки в файл ответов, щелкните Export settings и укажите имя файла ответов. Нажмите кнопку Next.
17. На странице Completing the Active Directory Domain Services Installation Wizard (завершение мастера установки доменных служб Active Directory) нажмите кнопку Finish, а потом кнопку Restart Now.
|
Создание учетной записи пользователя в консоли «Пользователи и компьютеры Active Directory»
Описанным ниже способом можно создать новые доменные учетные записи консоли MMC «Пользователи и компьютеры Active Directory».
Для завершения этой процедуры требуется как минимум членство в группе Администраторы домена или ее эквивалента.
Создание учетной записи пользователя
-
|
1. Нажмите кнопку Start, щелкните Administrative Tools (администрирование), а затем щелкните Active Directory Users and Computers (компьютеры и пользователи Active Directory). Запустится консоль MMC «Пользователи и компьютеры Active Directory». Выберите узел, соответствующий вашему домену, если он еще не выбран. Например, если домен называется example.com, щелкните узел example.com.
2. В области сведений щелкните правой кнопкой папку, в которую требуется добавить учетную запись пользователя.
Где она?
Пользователи и компьютеры Active Directory/узел домена/папка
3. Укажите пункт New и щелкните User.
4. В поле First name (имя) введите имя пользователя.
5. В поле Initials (инициалы) введите его инициалы.
6. В поле Last name (фамилия) введите фамилию пользователя.
7. Отредактируйте Full name (полное имя), чтобы оно отображало инициалы или чтобы изменить порядок следования имени и фамилии.
8. В поле User logon name (имя входа пользователя) введите его имя входа. Нажмите кнопку Next.
9. На странице New Object – User (новый объект – пользователь) в поля Password и Confirm password введите пароль пользователя и укажите подходящие параметры пароля.
10. Нажмите кнопку Next, просмотрите параметры создаваемой учетной записи и нажмите кнопку Finish.
|
Добавление группы
Описанным ниже способом можно создать новую группу в консоли MMC «Пользователи и компьютеры Active Directory».
Для завершения этой процедуры требуется как минимум членство в группе Администраторы домена или ее эквивалента.
Добавление группы
-
|
1. Нажмите кнопку Start, щелкните Administrative Tools, а затем щелкните Active Directory Users and Computers. Запустится консоль MMC «Пользователи и компьютеры Active Directory». Выберите узел, соответствующий вашему домену, если он еще не выбран. Например, если домен называется example.com, щелкните узел example.com.
2. В области сведений щелкните правой кнопкой папку, в которую требуется добавить новую группу.
Где она?
Пользователи и компьютеры Active Directory/узел домена/папка
3. Укажите пункт New и щелкните Group (группа).
4. На странице New Object – Group (новый объект – группа) в поле Group name (имя группы) введите имя новой группы.
По умолчанию это имя также используется в качестве имени для систем, предшествующих Windows 2000.
5. В качестве Group scope (область действия группы) выберите один из следующих вариантов:
Domain local (локальная в домене);
Global (глобальная);
Universal (универсальная).
6. В качестве Group type (тип группы) выберите один из следующих вариантов:
Security (безопасность);
Distribution (распространение).
7. Нажмите кнопку ОК.
|
Назначение членства в группах
Описанным ниже способом можно добавить пользователя, компьютера или группу в группу с помощью консоли MMC «Пользователи и компьютеры Active Directory».
Примечание
Администрируя домен, на вкладке Member Of (членство в группах) свойств пользователя домена вы не увидите участников безопасности, принадлежащих родительскому домену или другим доверенным доменам. Добавлять или просматривать можно только имеющиеся группы текущего домена. Показываются только они, даже в том случае, когда участник входит в группы других доверенных доменов.
Для завершения этой процедуры требуется как минимум членство в группе Администраторы домена или ее эквивалента.
Назначение членства в группах
-
|
1. Нажмите кнопку Start, щелкните Administrative Tools, а затем щелкните Active Directory Users and Computers. Запустится консоль MMC «Пользователи и компьютеры Active Directory». Выберите узел, соответствующий вашему домену, если он еще не выбран. Например, если домен называется example.com, щелкните узел example.com.
2. В области сведений дважды щелкните папку, содержащую группу, в которую требуется добавить участника.
Где она?
Пользователи и компьютеры Active Directory/узел домена/папка, содержащая группу
3. В области сведений щелкните правой кнопкой группу, в которую требуется добавить участника, и выберите пункт Properties. Появится диалоговое окно Properties группы. Перейдите на вкладку Members (члены группы).
4. Нажмите кнопку Add (добавить).
5. В окне Enter the object names to select (введите имена выбираемых объектов) введите имя пользователя, группы или компьютера, который нужно добавить, и нажмите кнопку OK.
6. Для назначения членства в этой группе другим пользователям, группам или компьютерам повторяйте шаги 4 и 5.
|
Настройка зоны обратного просмотра DNS
Описанным ниже способом можно настроить зону обратного просмотра в DNS.
Для завершения этой процедуры требуется как минимум членство в группе Администраторы домена.
Настройка зоны обратного просмотра DNS
-
|
1. Нажмите кнопку Start, щелкните Administrative Tools, а затем щелкните DNS. Запустится диспетчер DNS.
2. В диспетчере DNS дважды щелкните узел, представляющий сервер, если он еще не раскрыт. Например, если DNS-сервер имеет имя AD-DNS-01, дважды щелкните узел AD-DNS-01.
3. Выберите узел Reverse Lookup Zones (зоны обратного просмотра), щелкните его правой кнопкой мыши и выберите команду New Zone (создать зону). Запустится мастер создания зоны.
4. На начальной странице мастера нажмите кнопку Next.
5. На странице Zone Type (тип зоны) выберите один из следующих вариантов:
Primary zone (первичная зона);
Secondary zone (вторичная зона);
Stub zone (зона-заглушка).
6. Если DNS-сервер является также контроллером домена с возможностью записи, установите флажок Store the zone in Active Directory.
7. Нажмите кнопку Next.
8. На странице Active Directory Zone Replication Scope (область репликации зоны, интегрированной в Active Directory) выберите один из следующих вариантов:
To all DNS servers in this domain (на все DNS-серверы в этом лесу);
To all DNS servers in this domain (на все DNS-серверы в этом домене);
To all domain controllers in this domain (на все контроллеры домена в этом домене);
To all domain controllers specified in the scope of this directory partition (на все контроллеры домена, указанные в области видимости следующего раздела каталога).
9. Нажмите кнопку Next.
10. На первой странице Reverse Lookup Zone Name (имя зоны обратного просмотра) выберите один из следующих вариантов:
IPv4 Reverse Lookup Zone (зона обратного просмотра IPv4);
IPv6 Reverse Lookup Zone (зона обратного просмотра IPv6).
11. Нажмите кнопку Next.
12. На второй странице Reverse Lookup Zone Name предпримите одно из следующих действий:
a) в поле Network ID введите идентификатор сети вашего диапазона IP-адресов. Например, если диапазон 192.168.0.1, введите 192.168.0;
б) В поле Reverse lookup zone name введите имя вашей зоны обратного просмотра IPv4.
13. Нажмите кнопку Next.
14. На странице Dynamic Update (динамическое обновление) выберите тип разрешенных динамических обновлений. Нажмите кнопку Next.
15. На странице Completing the New Zone Wizard (завершение мастера добавления зоны) проверьте правильность сделанных выборов и нажмите кнопку Finish.
|
|
