Wdrażanie kontrolerów domeny usług AD DS

  • 9 min

Kontrolery domeny uwierzytelniają wszystkich użytkowników i komputerów w domenie. W związku z tym kluczowe znaczenie ma zapewnienie optymalnej liczby i umieszczania kontrolerów domeny w dowolnym środowisku usług AD DS, zwłaszcza w większych środowiskach rozproszonych, takich jak ten, do którego przechodzi firma Contoso.

Wdrażanie kontrolerów domeny usług AD DS w środowisku lokalnym

Proces wdrażania kontrolera domeny obejmuje dwa kroki. Najpierw należy zainstalować pliki binarne niezbędne do zaimplementowania roli kontrolera domeny. W tym celu można użyć Centrum Administracja Windows lub Menedżer serwera. Na końcu początkowego procesu instalacji zainstalowano pliki usług AD DS, ale nie skonfigurowano jeszcze usług AD DS na serwerze. Drugim krokiem jest skonfigurowanie roli usług AD DS. Najprostszym sposobem wykonania tej konfiguracji jest użycie Kreatora konfiguracji usług domena usługi Active Directory. Kreator należy uruchomić, wybierając link usług AD DS w Menedżer serwera.

W ramach konfiguracji roli usług AD DS należy podać odpowiedzi na pytania w poniższej tabeli:

Pytanie

Komentarze

Czy instalujesz nowy las, nowe drzewo lub dodatkowy kontroler domeny dla istniejącej domeny?

Udzielenie odpowiedzi na to pytanie określa, jakie dodatkowe informacje mogą być potrzebne, takie jak nazwa domeny nadrzędnej.

Jaka jest nazwa systemu nazw domen (DNS) dla domeny usług AD DS?

Podczas tworzenia pierwszego kontrolera domeny dla domeny należy określić w pełni kwalifikowaną nazwę domeny (FQDN). Podczas dodawania kontrolera domeny do istniejącej domeny lub lasu należy użyć istniejącej nazwy domeny.

Który poziom zostanie wybrany dla poziomu funkcjonalności lasu?

Poziom funkcjonalności lasu określa dostępne funkcje lasu i obsługiwany system operacyjny kontrolera domeny. Spowoduje to również ustawienie minimalnego poziomu funkcjonalności domeny dla domen w lesie.

Który poziom zostanie wybrany dla poziomu funkcjonalności domeny?

Poziom funkcjonalności domeny określa funkcje domeny, które będą dostępne i obsługiwane systemy operacyjne kontrolera domeny.

Czy kontroler domeny będzie serwerem DNS?

Rolę DNS można zainstalować w ramach wdrożenia kontrolera domeny.

Czy kontroler domeny będzie hostować wykaz globalny?

Ta opcja jest domyślnie wybrana.

Czy kontroler domeny będzie kontrolerem domeny tylko do odczytu (RODC)?

Ta opcja nie jest dostępna dla pierwszego kontrolera domeny w lesie.

Jakie będzie hasło trybu przywracania usług katalogowych (DSRM)?

Jest to konieczne do przywrócenia obiektów bazy danych usług AD DS z kopii zapasowej.

Jaka jest nazwa NetBIOS domeny usług AD DS?

Podczas tworzenia pierwszego kontrolera domeny dla domeny należy określić nazwę NetBIOS dla domeny.

Gdzie zostaną utworzone bazy danych, pliki dziennika i foldery SYSVOL?

Domyślnie folder plików bazy danych i dziennika znajduje się w folderze C:\Windows\NTDS. Domyślnie folder SYSVOL znajduje się w folderze C:\Windows\SYSVOL.

A screenshot of the Active Directory Domain Services Configuration Wizard Deployment Configuration page is set to add a domain controller to an existing domain.

Instalowanie kontrolera domeny w instalacji Server Core systemu Windows Server

Komputer z systemem Windows Server z uruchomioną instalacją Server Core nie ma Menedżer serwera graficznego interfejsu użytkownika (GUI). W związku z tym należy użyć alternatywnych metod, aby zainstalować pliki roli kontrolera domeny i zainstalować samą rolę kontrolera domeny. Program Windows Administracja Center, Menedżer serwera, Windows PowerShell lub Remote Server Administracja istration Tools (RSAT) jest zainstalowany w dowolnej obsługiwanej wersji systemu Windows Server z funkcją Środowisko pulpitu lub obsługiwanym klientem systemu Windows, takim jak Windows 10.

Instalowanie kontrolera domeny z nośnika

Jeśli masz połączenie sieciowe między lokacjami, które są powolne, zawodne lub kosztowne, korzystne może być dodanie innego kontrolera domeny w lokalizacji zdalnej lub oddziale. W tym scenariuszu, aby znacznie zmniejszyć ilość ruchu przenoszonego przez łącze sieci rozległej (WAN), można utworzyć kopię zapasową usług AD DS (np. na dysku USB) i wykonać tę kopię zapasową w lokalizacji zdalnej. Gdy znajdujesz się w lokalizacji zdalnej i uruchom Menedżer serwera, aby zainstalować usługi AD DS, możesz wybrać opcję Zainstaluj z nośnika. Większość kopiowania odbywa się lokalnie. W tym scenariuszu łącze sieci WAN przesyła tylko ruch związany z zabezpieczeniami i zmiany usług AD DS po utworzeniu kopii zapasowej. Link sieci WAN pomaga również upewnić się, że nowy kontroler domeny otrzyma wszelkie zmiany wprowadzone w centralnych usługach AD DS po utworzeniu instalacji z kopii zapasowej nośnika.

Zagadnienia dotyczące biura oddziału

Podczas wdrażania kontrolera domeny w oddziale, który nie może zagwarantować bezpieczeństwa fizycznego, można użyć dodatkowych środków w celu zmniejszenia wpływu naruszenia zabezpieczeń. Jedną z opcji jest wdrożenie kontrolera RODC. Kontroler RODC zawiera kopię bazy danych usług AD DS tylko do odczytu i domyślnie nie buforuje żadnych haseł użytkownika. Można jednak skonfigurować kontroler RODC w celu buforowania haseł dla użytkowników w oddziale. W przypadku naruszenia zabezpieczeń kontrolera RODC potencjalna utrata informacji jest znacznie niższa niż w przypadku pełnego kontrolera domeny odczytu/zapisu.

Uaktualnianie kontrolerów domeny z poprzedniej wersji

Proces uaktualniania kontrolera domeny jest taki sam w przypadku dowolnej wersji systemu Windows Server, począwszy od systemu Windows Server 2012 R2 do systemu Windows Server 2022. Możesz przeprowadzić uaktualnienie do domeny systemu Windows Server 2022 przy użyciu jednej z następujących metod:

  • Uaktualnij system operacyjny na istniejących kontrolerach domeny z systemem Windows Server 2012 R2 lub nowszym.
  • Dodaj serwery z systemem Windows Server 2022 jako kontrolery domeny w domenie, która ma już kontrolery domeny z wcześniejszymi wersjami systemu Windows Server.

Zalecamy tę drugą metodę, ponieważ po zakończeniu będziesz mieć czystą instalację systemu operacyjnego Windows Server 2022 i bazy danych usług AD DS. Za każdym razem, gdy dodasz nowy kontroler domeny, system Windows Server automatycznie aktualizuje rekordy DNS domeny, aby klienci mogli zlokalizować ten kontroler domeny i korzystać z niego.

Wdrażanie kontrolerów domeny usług AD DS na maszynach wirtualnych platformy Azure

Platforma Azure udostępnia infrastrukturę jako usługę (IaaS), która jest platformą wirtualizacji opartą na chmurze. Podczas wdrażania usług AD DS na platformie Azure IaaS instalujesz kontroler domeny na maszynie wirtualnej, więc wszystkie reguły dotyczące wirtualizacji kontrolera domeny mają zastosowanie do wdrażania usług AD DS na platformie Azure.

Podczas implementowania usług AD DS na platformie Azure należy wziąć pod uwagę następujące kwestie:

  • Topologia sieci. Aby spełnić wymagania usług AD DS, należy utworzyć sieć wirtualną platformy Azure i dołączyć do niej maszyny wirtualne. Jeśli zamierzasz dołączyć do istniejącej lokalnej infrastruktury usług AD DS, możesz rozszerzyć łączność sieciową do środowiska lokalnego. Można to osiągnąć za pomocą metod łączności hybrydowej, takich jak połączenie wirtualnej sieci prywatnej (VPN) lub obwód usługi Azure ExpressRoute, w zależności od szybkości, niezawodności i bezpieczeństwa wymaganego przez organizację.
  • Topologia lokacji. Podobnie jak w przypadku lokacji fizycznej, należy zdefiniować i skonfigurować lokację usług AD DS odpowiadającą przestrzeni adresowej IP sieci wirtualnej platformy Azure.
  • Adresowanie IP. Wszystkie maszyny wirtualne platformy Azure domyślnie otrzymują adresy DHCP (Dynamic Host Configuration Protocol), ale można skonfigurować adresy statyczne, które będą utrwalane podczas ponownego uruchamiania i zamykania.
  • DNS. Wbudowany system DNS platformy Azure nie spełnia wymagań usług AD DS, takich jak dynamiczne rekordy zasobów DNS i usługi (SRV). Aby zapewnić funkcje DNS dla środowiska usług AD DS na platformie Azure, można użyć roli serwera DNS systemu Windows Server lub innych rozwiązań DNS dostępnych na platformie Azure, takich jak prywatne strefy DNS platformy Azure.
  • Dyski. Masz kontrolę nad buforowaniem konfiguracji dysków maszyny wirtualnej platformy Azure. Podczas instalowania usług AD DS na maszynie wirtualnej platformy Azure należy umieścić ntDS. Pliki DIT i SYSVOL na jednym z dysków danych i ustaw ustawienie Preferencja pamięci podręcznej hosta dla tego dysku na NONE.