Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Новый домен в существующем лесу

Новый домен в существующем лесу

Предположим, что у нас имеется удалённый офис. Офис немаленький, следовательно мы можем туда поставить полноценный контроллер домена. Кроме этого, удалённый офис будет поддерживать местная команда IT-специалистов и для ограничения их доступа только локальными ресурсами удалённого офиса выделим им отдельный домен в общем лесу. Задача имеет несколько путей решения и решается в 2 стадии. Попробуем решить задачу используя графические средства Windows 2008 Server (задача так же может быть решена утилитами командной строки или средствами файлов автоответов). Сначала надо будет создать отдельный сайт для удалённого офиса, потом в удалённом офисе установить будущий контроллер домена, включить его в наш основной домен и повысить его до контроллера домена параллельно создав новый корневой домен.

1. Создаем новый сайт. Операции выполняются через оснастку “Active Directory Sites and Services”. Создаём новый сайт:

Вводим имя сайта и указываем линк, который он будет использовать:

Далее нас предупреждают, что сайт создан и надо теперь указать для него подсеть и установить в нём контроллер домена:

Действительно, если развернуть в оснастке наш новый сайт, в нём не окажется серверов:

Указываем адрес подсети и сайт к которой её привязываем:

Всё, сайт у нас создан. Осталось поместить в него новый контроллер домена.

2. Создаём новый корневой домен. Для начала нужно убедиться в правильных настройках сетевой карты будущего контроллера домена. Во-первых сервер должен в качестве основного dns-сервера в настройках сетевой карты использовать наш основной контроллер домена, во-вторых должен существовать маршрут с нашего офиса до контроллера домена. При этих условиях проблем с введением в домен нового сервера возникнуть не должно. Процедура это стандартная и останавливаться на ней смысла особого нет. После введения нового сервера в основной домен нужно его повысить до роли контроллера домена, создав при это новый корневой домен. До запуска процедуры повышени роли сервера до контроллера домена надо на него установить роль Active Directiry Domain Services:

Замечу, что при попытке установить одновременно роль DNS-сервера мы получим следующее предупреждение:

Что означает, что при необходимости, роль DNS-сервера будет автоматически установлена при провышении роли сервера до контроллера домена. Продолжаем установку – на следующем шаге получим предупреждение, что сервер возможно будет перегружен после установки роли:

После завершения установки прямо из окна визарда получаем доступ к запуску dcpromo и запускаем процесс установки контроллера домена:

Будем использовать расширенный режим установки:

При выборе конфигурации укажем, что ставить контроллер домена будем в существующем лесу в новый домен. Обязательно должна быть галка “Create a new domain tree root instead a new child domain”. Иначе мы запустим установку дочернего домена в существующем:

Указываем имя корневого домена и учётные данные пользователя с правами доменного администратора. Если на новый сервер мы залогинены под пользователем, являющимся доменным администратором, то нужно будет указать только имя существующего корневого домена:

Далее вводим имя будущего домена:

Его NetBIOS имя:

Указываем сайт, в который поместим будущий контроллер домена (мы его создали на предыдущем шаге):

У кажем дополнительные опции установки (установить на сервер роль DNS-сервера и сделать его глобальным каталогом в новом сайте):

Далее укажем контроллер домена, с которым будет реплицироваться при установке наш новый сервер (в принципе можно предоставить выбор контроллера домена для репликации визарду):

Далее указываем размещение базы AD, логов и директории SYSVOL:

Вводим пароль режима восстановления:

Запускаем процесс установки:

Процесс установки займёт некоторое время, в течение которого установится роль DNS-сервера, будут назначены все необходимые разрешения и создана необходимая база в которую скопируются все необходимые объекты AD. После завершения установки потребуется перезагрузка, после которой мы получим новый контроллер домена в новом домене в общем лесу ресурсов.

5 Responses to “Windows 2008: создание нового корневого домена в лесу”

Огромное спасибо! Настолько подробное руководство, подключил новый филиал (orel.konsib.local) без проблем!
Хотел спросить кое что. Недавно установили новый сервер в главном офисе, на нем подняли домен konsib.local, до этого был домен basedomain (TLD так сказать:))), учетные записи еще не мигрировали, но вопрос в другом:
У нас имеется 3 филиала (office.konsib.local, izhevsk.konsib.local, novgorod.konsib.local), которые создавались как отдельные леса, можно ли их загнать в этот новый лес konsib.local?
Заранее благодарю за ответ.
С уважением, Станислав!

Рад, что темка оказалась полезной. Утилит для миграции учётных записей пользователей между лесами существует достаточно много. Из бесплатных могу посоветовать Active Directory Migration Tool (ADMT). Ссылку можно найти на сайте Майкрософта.

Статья очень интересная, полезная и графически – понятна! Вот только не затронута тема делегирования в DNS, о котором желательно позаботиться заранее, до развертывания нового доменного дерева в лесу.

Спасибо. Целью написать развёрнутую статью про планирование AD я не задавался.

После добавления перестали обнаруживаться оба домена машинами

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

Читать еще:  Установка домен контроллера на server 2020

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Как поднять домен на Windows Server 2008

Итак, поднимаем домен на Windows Server 2008 r2 sp1. Всё standalone, новый лес. Заодно и DNS прикрутим.

Исходная позиция — установленный Windows Server 2008 r2 Standart with sp1. Втыкаем все необходимые обновления.

Пуск — Командная строка (win+r => cmd), запуск от имени администратора.
Вбиваем dcpromo.exe.
Запускается утилита dcpromo.
Поехали.

Нас приветствует мастер установки доменных служб AD и бла-бла-бла.

Если нам нужен новый лес, новый домен в существующем лесу, субдомен, RODC или связать сервер с учеткой для установки RODC, ставим галку на «расширенный режим». Для скромной установки галку не ставим.

Далее. Изучаем инфу про совместимость.

Создаём новый домен в новом лесу. Далее.

Вводим полное доменное имя.
Обычно стандартно оно будет вида DOMENNAME.local или DOMENNAME.lan, но в зависимости от вашей фантазии можете хоть DOMENNAME.mur. Единственное что не рекомендуется использовать имена типа DOMENNAME.com (т.е. игнорируем приведённый пример с com), так как имена вроде com, ru, org и т.п. реально существующие в интернете домены первого уровня. Если, конечно, вы не их владелец. Хотя если вы читаете этот текст. вы явно не владелец домена первого уровня.
Также учтите, что даже если вы создаете новый лес, а имя совпадает с именем чего-то уже существующего в вашей инфраструктуре, волшебства не получится. Имена должны быть уникальными.
Далее.

Выбираем режим работы леса. Для данной задачи это будет windows server 2008 r2.
Если вам необходимо в дальнейшем добавлять в свежесозданный лес контроллеры домена ниже 2008 r2, режим работы леса надо выбирать соответствующее. Короче говоря, будущие контроллеры домена должны быть не ниже режима работы леса.
Далее.

Выбираем дополнительные параметры контроллера домена. Я выбираю DNS, т.к. вся новая структура будет отдельно стоящая.
Далее.

Выбираем расположение для баз данных. Это уже по своему усмотрению и религиозным соображениям.
Далее.

Задаём пароль для учетной записи администратора домена. После этого действия учетная запись локального администратора больше не действует.
Далее.

Смотрим сводку. Убеждаемся, что всё в порядке.
Далее.

Запускается настройка доменных служб AD. Можно поставить налку на перезагрузку, т.к. она нам всё равно понадобится.
Сидим, курим, ждём.

Домен создан, остаётся только настроить.

Настраиваем DNS (при условии, что мы проигнорировали эту возможность в dcpromo).

Пуск — администрирование — диспетчер DNS.

В открывшемся окне кликаем правой мышкой по имени нашего сервера и выбираем пункт «Настроить DNS-сервер».

Запускается мастер настройки DNS.
Далее.

Выбираем необходимое нам действие: создать зону прямого просмотра, создать зоны прямого и обратного просмотра или настроить только корневые ссылки.

Предположим, что наш DNS-сервер у нас один-единственный и выберем пункт два, настроить обе зоны.
Далее.

Создать зону прямого просмотра сейчас? Да, создаём.
Далее.

Выбираем тип зоны. Так как мы уже определились с тем, что мы standalone, выбираем создание основной зоны. Мы контроллер домена, в связи с этим оставляем галку на сохранение зоны в AD.
Далее.

Выбираем область репликации.
Под мои задачи для standalone требуется первый пункт, «Для всех DNS-серверов, работающих на контроллерах домена в этом лесу».
Далее.

Имя зоны — вводим имя.
Далее.

Динамические обновления. Я выставляю «разрешать только безопасные динамические обновления».
Далее.

Создаём зону обратного просмотра, далее, выставляем как основную с сохранением в AD.
Далее.

Репликация на весь лес.
Далее.

Имя зоны обратного просмотра. Я старательно уверяю себя, что ipv6 не существует и выбираю ipv4.
Далее.

Мастер создания новой зоны. Выбираем идентификатор сети, логично что это первые три октета.
Далее.

Динамическое обновление. У меня опять первый пункт, разрешить только безопасные динамические обновления.
Далее.

серверы пересылки. Мы standalone, не знаем ничего и никого, посему — «Нет, не пересылать запросы».
Далее.

Active Directory — трудности перевода. Часть 3

К концу второй части наша организации доросла до двух офисов, и вы познакомились с понятием сайтов. Вполне может быть, что на этом ваша сеть и остановится в росте, но мы пойдем дальше.

К вам опять подходит Шеф, но теперь сообщает другую новость о том что сегодня за завтраком он купил еще одну фирму . И теперь очень хочет от вас услышать, как вы видите дальнейшую организацию вашей сети. Прежде чем делать какие-то выводы, вы обязаны задать несколько ключевых вопросов.

Первый из которых: Какая схема администрирования будет использоваться?

Вариант А – Централизованная. Это значит, что мы будем иметь один отдел Ай-Ти, пусть и разнесенный территориально. В новой фирме будет сидеть системный администратор, функции и задачи которого будут целиком диктоваться из центрального офиса.

Вариант Б – Децентрализованная. Что в свою очередь определяет наличие двух отделов Ай-Ти, каждый из которых живет по своим правилам с соблюдением партнерских отношений между отделами.

Второй ключевой вопрос: Будет ли связана работа пользователей этих двух компаний?

Вариант А – Совместная работа. Это значит, сотрудники обеих компаний используют общие сервера, общие приложения, базы данных и вдобавок часто ездят друг к другу «в гости» с ноутбуками.

Вариант Б – Самостоятельные фирмы. Как правило, такая схема будет использоваться, если области действия юридических лиц никак не пересекаются. Каждый участник имен свою самостоятельную ай-ти инфраструктуру.

Естественно в жизни возможны не столь четко выраженные ситуации и где-то вы встретите, то что называется «Смешанной схемой» – вроде и не А, но и не Б. В такой ситуации нужен более глубокий анализ, я же буду основываться на комбинации вышеописанных вариантов.

Читать еще:  Домен на виртуальной машине

Сценарий 1. Самостоятельные фирмы с Децентрализованным управлением.

Получается, что наши фирмы мало, что объединяет, поэтому введение «новичков» в существующий домен Active Directory будет неправильно как с точки зрения безопасности, так и с точки зрения администрирования. Водитель в машине всегда должен быть один и AD здесь не исключение. Будет правильным создание второй отдельной организации Active Directory, но в документации такое понятие как «организация AD» просто не существует, вместо него используется «Лес Active Directory». Что вкладывается в это понятие?

Лес Active Directory – это самостоятельная организация, использующая Active Directory для аутентификации своих клиентов. В рамках леса любой созданный объект будет нести одинаковый набор атрибут. Создавая, например объект пользователя вы получаете его с несколькими десятками параметров (таких как имя, фамилия, путь к профилю, членство в группах). Если вдруг вы добавите к создаваемым атрибутам еще один, он будет появится для каждого пользователя вне зависимости от того в какой части вашего леса он создан.

В документации это называется схемой Active Directory, если перевести на русский язык получается что схема это концепция, которая определяет какие объекты, мы сможем создать в Active Directory, и как они будут выглядеть. Схема для всего леса едина.

Создав новый лес Active Directory для купленной компании, мы обеспечим максимальную изолированность этих сетей, поскольку лес является границей безопасности. Т.е аутентифицировавшись в своем лесу получить доступ к ресурсам за его пределами по-умолчанию нельзя. Точно также никто не сможет получить доступ к вам.

Рис 1. Схема использования двух лесов

Сценарий 2. Централизованное администрирование связанных компаний.

При таком сценарии с точки зрения налоговой инспекции это разные юридические лица, а если смотреть на айти-инфраструктуру , то компания одна. (общие сервера и общие администраторы). Будет вполне логично ввести компьютеры новой фирмы в существующий домен в нашей организации Active Directory (а правильней лес Active Directory).

Что же произойдет при объединении компьютеров в рамках одного домена?

Во-первых, все будут использовать общие контроллеры домена. Каждый кон
троллер домена будет знать обо всех учетных записях нашего леса Active Directory. Вдобавок к этому члены группы Администраторы домена будут иметь административные привилегии над всеми членами нашего домена. Также все участники получат общие групповые политики (настройки), которые прописаны для всего домена.

Рис 1. Схема использования одного леса и одного домена.

Сценарий 3. Децентрализованное администрирование связанных компаний.

Если же получается сценарий двух разных фирм с разными Ай-Ти отделами (пусть и с высокой степенью доверия) но общими элементами Ай-Ти инфраструктуры (ими могут быть Exchange сервера, сервера с порталами SharePoint и многое другое) то вводить все в один домен очень рискованно. Рано или поздно начнется борьба за звание того «Кто Главнее» между техническими специалистами, а в случае проблем в работе сети перевод стрелок между администраторами будет неизбежен.

Поскольку создание еще одного леса приведет к массе неудобств, нам ничего не остается, как создать еще один самостоятельный домен в уже существующем лесу Active Directory.В одном лесу доменов Active Directory может несколько.

Разбивая нашу сеть на несколько доменов, мы получаем:

  • – Четкое разделение полномочий отделов ай-ти. Каждый отвечает за свой домен.
  • – Спокойствие и уверенность в том, что эксперименты администраторов другово домена не приведут к неработоспособности вашей сети.
  • – Применение разных политик для каждого домена.
  • – Хранения учетных записей вашего домена только на ваших контроллерах домена.
  • – Возможность легко открыть доступ к ресурсам вашего домена для пользователей домена другой фирмы.

Создание нескольких доменов в рамках одного леса подразумевает очень высокую степень доверия между администраторами и связано это с возможностью получить неправомерные привилегии в соседнем домене у всех доменных администраторов леса.

Каждый домен Active Directory имеет собственное имя, базирующееся на системе имен DNS и если представить, что ваш первый домен назывался itband.ru, то возникает вопрос: «Как будет называться новый домен?»

Вариантов несколько:

Первый. Использовать новое уникальное имя домена, например itcommunity.ru. Такой вариант развертывания называется построением нового дерева Active Directory.

Второй. Создать домен, используя существующее пространство имен itband.ru, пример имени нового домена corp.itband.ru. Вариант установки называется “добавить домен в существующее дерево”.

Какой вариант использовать полностью зависит от вас, особой разницы с точки зрения дальнейшей работы Active Directory нет.

Рис 3. Варианты добавления второго домена в лес Active Directory

Резюмируя можно сделать вывод:

Когда вы разворачиваете Active Directory в вашей организации, создается лес, в котором все работают. Лес может состоять из одного или нескольких доменов. Если в лесу только один домен, значит, лес состоит из одного дерева, которое в свою очередь состоит из одного домена. Добавляя новые домены, вы либо расширяете существующее дерево, либо создаете новое.

Рис 4. Диалоговое окно при установке Active Directory

При запуске установки контроллера домена одно из первых диалоговых окон предлагает выбрать какой вариант развертывания Active Directory вы планируете. На Рис.4 производится установка контроллера домена в существующем лесу с созданием нового дерева. В зависимости от выбора на администратора в этом окне строится дальнейший диалог развертывания.

Выбор конфигурации развертывания службы AD DS

При установке службы AD DS (Active Directory Domain Services) можно выбрать одну из следующих возможных конфигураций развертывания:

    Добавление в домен нового контроллера домена

Добавление нового дочернего домена в лес или, как вариант, добавление нового дерева домена

Возможность установить новое дерево домена появляется, только если на странице Мастер установки доменных служб Active Directory мастера установки службы AD DS установлен флажок Использовать расширенный режим установки.

Создание нового леса

В следующих разделах подробно описываются каждая из этих конфигураций развертывания.

Добавление в домен нового контроллера домена

Если в домене уже есть один контроллер домена, можно добавить в домен дополнительные контроллеры домена, чтобы повысить доступность и надежность сетевых служб. Добавление контроллеров домена может помочь обеспечить отказоустойчивость, сбалансировать загрузку существующих контроллеров домена и обеспечить поддержку дополнительной инфраструктуры для сайтов.

Наличие нескольких контроллеров в домене позволяет домену продолжать работу в случае отказа или отключения от сети одного из контроллеров домена. Использование нескольких контроллеров также может повысить производительность, облегчая для клиентов подключение к контроллеру домена при входе в сеть.

Подготовка существующего домена

Перед добавлением контроллера домена с операционной системой Windows Server 2008 R2 в существующий домен Active Directory необходимо подготовить лес и домен с помощью программы Adprep.exe. Убедитесь, что используется версия программы Adprep.exe, находящаяся на установочном диске Windows Server 2008 R2. Эта версия добавляет объекты и атрибуты схемы, необходимые контроллерам домена с операционной системой Windows Server 2008 R2, а также изменяет разрешения для новых и существующих объектов.

Выполните программу adprep с параметрами, необходимыми для среды организации.

    Перед добавлением контроллера домена с операционной системой Windows Server 2008 R2 выполните команду adprep /forestprep один раз на контроллере домена в лесу, для которого определена роль хозяина операций со схемой (хозяин схемы). Для выполнения этой команды необходимо быть членом группы «Администраторы предприятия», группы «Администраторы схемы» и группы «Администраторы домена» для домена, в который входит хозяин схемы.

Кроме того, выполните один раз команду adprep /domainprep /gpprep на контроллере домена, для которого определена роль хозяина операций с инфраструктурой (хозяин инфраструктуры), в каждом домене, в который планируется добавить контроллер домена с операционной системой Windows Server 2008 R2. Для выполнения этой команды необходимо быть членом группы «Администраторы домена».

Читать еще:  Управление доменом с помощью групповых политик
  • Если в каком-либо из доменов леса планируется развернуть контроллер домена только для чтения (RODC), в лесу необходимо также выполнить один раз команду adprep /rodcprep. Эту команду можно выполнить на любом компьютере леса. Для ее выполнения необходимо быть членом группы «Администраторы предприятия». Для получения дополнительных сведений см. описание подготовки леса к установке контроллера домена только для чтения (
  • https://go.microsoft.com/fwlink/?LinkId=93244 ).

    Установка с носителя

    При установке нового контроллера домена в существующем домене можно выбрать установку с носителя, при которой база данных домена копируется с носителя, а не по сети. Эта возможность доступна в мастере установки службы AD DS, только если на странице Приветствие установлен флажок Использовать расширенный режим установки. Для создания установочного носителя рекомендуется использовать подкоманду ntdsutil ifm. Для получения дополнительных сведений об использовании установки с носителя см. Установка с носителя.

    Добавление нового домена в лес

    По умолчанию в новом создаваемом лесу будет один домен, называемый корневым доменом леса. Один домен может вмещать тысячи пользователей, даже если для репликации Active Directory доступна лишь небольшая часть пропускной способности сети. Следовательно, одного домена обычно достаточно для большинства небольших организаций и организаций среднего размера. Добавление дополнительных доменов в лес заметно повышает требования к администрированию леса.

    Но организации большего размера могут добавить в лес дочерние домены, чтобы данные домена реплицировались только в нужных местах. Дочерний домен разделяет непрерывное пространство имен со своим родительским доменом. Например, sales.contoso.com — это дочерний домен contoso.com. Для дочернего домена автоматически устанавливается двустороннее транзитивное доверие с родительским доменом.

    Новый домен, который не разделяет единое пространство имен с родительским доменом, называется новым деревом доменов. Для получения дополнительных сведений о создании нового дерева доменов см. далее в этой статье раздел Создание нового дерева доменов.

    При добавлении доменов в лес служба AD DS разделяется, что позволяет реплицировать данные только там, где это необходимо. Таким образом, обеспечивается глобальное масштабирование отдельного леса Active Directory с поддержкой сотен тысяч и даже миллионов пользователей в сети с ограниченной пропускной способностью.

    Требования к созданию нового домена

    Для выполнения процедуры создания нового дочернего домена нужно быть членом группы «Администраторы домена» родительского домена или группы «Администраторы предприятия». При создании дерева доменов необходимо быть членом группы «Администраторы предприятия».

    Мастер установки службы AD DS позволяет использовать имена доменов Active Directory длиной до 64 символов или 155 байт. Хотя ограничение в 64 символа обычно достигается раньше ограничения в 155 байт, последнее может сработать, если имя содержит символы Unicode, поглощающие по три байта каждый. Эти ограничения не применяются к именам компьютеров.

    В процессе установки программа Dcpromo.exe создает делегирование зоны DNS. Если создание зоны не удается или решено ее не создавать (что не рекомендуется), необходимо создать делегирование зоны вручную. Для получения дополнительных сведений о создании делегирования зоны см. Создание или изменение делегирования DNS.

    Перед добавлением домена в лес должно быть создано делегирование DNS для зоны DNS, соответствующей имени добавляемого домена Active Directory. Мастер установки доменных служб Active Directory проверяет существование делегирования DNS. Если делегирование отсутствует, мастер во время создания нового домена предоставляет возможность автоматического создания делегирования DNS.

    Создание нового дерева домена

    Новое дерево доменов следует создавать, только если нужно создать домен, пространство имен DNS которого не связано с другими доменами в лесу. Это означает, что имя корневого домена дерева (и любого его дочернего домена) не должно содержать полное имя родительского домена.

    Например, treyresearch.net может быть деревом доменов в лесу contoso.com. Новые деревья доменов обычно создаются в процессе поглощения или слияния нескольких организаций. Лес может содержать одно или несколько деревьев доменов.

    Перед созданием нового дерева доменов, если необходимо другое пространство имен DNS, подумайте о создании другого леса. Несколько лесов обеспечивают автономное администрирование, изоляцию разделов каталогов схемы и конфигурации, отдельные области защиты и гибкое использование независимых схем пространства имен для каждого леса.

    Создание нового леса

    Чтобы создать новый лес, необходимо быть членом локальной группы «Администраторы» на сервере, где устанавливается служба AD DS.

    Имена DNS и NetBIOS

    Перед созданием нового леса убедитесь, что инфраструктура DNS спланирована полностью. Для создания нового леса необходимо знать его полное DNS-имя. Службу сервера DNS можно установить до установки службы AD DS, либо, что предпочтительней, можно выбрать, чтобы мастер установки службы AD DS сам установил службу сервера DNS.

    Если служба сервера DNS устанавливается мастером, мастер использует предоставленное администратором DNS-имя, чтобы автоматически создать NetBIOS-имя для первого домена в лесу. Перед продолжением установки мастер проверяет, что DNS-имя и NetBIOS-имя уникальны в сети. Чтобы вместо имени, автоматически созданного мастером, определить другое NetBIOS-имя, необходимо установить флажок Использовать расширенный режим установки на странице Мастер установки доменных служб Active Directory.

    Страница мастера NetBIOS-имя домена также появляется, если автоматически созданное NetBIOS-имя конфликтует с существующим именем.

    По умолчанию служба сервера DNS устанавливается на первом контроллере домена в лесу. Если уже инфраструктура DNS, поддерживающая разрешение имен для нового леса, уже создана, можно снять флажок DNS-сервер на странице мастера Дополнительные параметры. Но если поддерживающая инфраструктура DNS еще отсутствует, примите значение по умолчанию, чтобы мастер установил службу сервера DNS на первом контроллере домена в лесу.

    После нажатия для продолжения кнопки Далее мастер установки службы AD DS проверит существующую инфраструктуру DNS. Если флажок DNS-сервер снят, мастер выполнит диагностические проверки, чтобы убедиться в наличии поддерживающей инфраструктуры DNS. Если диагностические проверки заканчиваются неудачей, мастер повторно предоставляет возможность установить службу DNS-сервера.

    Функциональные уровни

    Для нового леса функциональным уровнем леса по умолчанию является режим Windows 2000, а функциональным уровнем домена — основной режим Windows 2000. Это наименьшие из возможных режимов работы, которые позволяют контроллерам домена работать под управлением операционных систем Windows Server 2003, Windows® 2000 Server, Windows Server 2008 или Windows Server 2008 R2.

    Если не планируется добавлять контроллеры домена, работающие под управлением ранних версий Windows Server, выберите более высокие функциональные уровни, чтобы включить расширенный набор функций. Если выбран режим работы леса Windows Server 2008 R2, все домены, впоследствии добавляемые в лес, будут создаваться с режимом работы домена Windows Server 2008 R2. Поэтому страница Задание режима работы домена не будет появляться в мастере установки доменных служб Active Directory. Если выбран другой функциональный уровень домена, можно определить функциональный уровень домена независимо для каждого домена в лесу. Для получения дополнительных сведений о функциональных уровнях см. Определение функционального уровня домена или леса.

    Роли хозяев операций

    На первый контроллер домена для этого домена устанавливаются все роли хозяев операций (также называемых операциями с единым гибким хозяином или FSMO) для леса.

    Для повышения доступности и отказоустойчивости службы AD DS в домене рекомендуется создавать дополнительные контроллеры домена. После создания дополнительных контроллеров домена может понадобиться перенести на эти другие контроллеры домена некоторые из ролей хозяев операций, размещавшихся на первом контроллере домена. Если планируется создать лес с несколькими доменами, и любой контроллер домена в корневом домене леса не будет сервером глобального каталога, следует перенести на другой контроллер домена, не являющийся сервером глобального каталога, по крайней мере, роль хозяина инфраструктуры в корневом домене леса.

  • Ссылка на основную публикацию
    ВсеИнструменты 220 Вольт
    Adblock
    detector
    ×
    ×