Skip to main content

Настройка Active Directory

Шаг 0: Примите решение по именам (Прямо сейчас)

Вам нужно решить два вопроса, чтобы мы могли двигаться дальше:

  1. Имя домена: Как договорились, используем поддомен реального сайта.
    • Например, если ваш сайт mysite.ru, то внутренний домен назовем ad.mysite.ru (или corp.mysite.ru).
  2. IP-адресация: Какой у вас диапазон сети?
    • Например, 192.168.1.xxx или 10.0.0.xxx?
    • Совет: Под серверы лучше выделить диапазон в начале или в конце (например, с .10 по .20), исключив их из раздачи DHCP на роутере.

Шаг 1: Настройка первой ВМ (Будущий DC1)

Зайдите в первую машину.

  1. Имя компьютера (Hostname):
    • Нажмите Win + X -> Система -> Переименовать этот ПК.
    • Дайте понятное имя. Стандарт: SRV-DC01 (Server - Domain Controller 01).
    • Перезагрузитесь.
  2. Сетевые настройки (Static IP):
    • Зайдите в настройки адаптера (ncpa.cpl).
    • Установите Статический IP.
    • Пример (подставьте свои данные):
      • IP: 10.177.178.254 (или любой свободный)
      • Mask: 255.255.255.0
      • Gateway: 10.177.178.1 (ваш роутер)
      • DNS: Пока оставьте 8.8.8.8 (чтобы скачать обновления), перед поднятием роли мы поменяем его на 127.0.0.1.
  3. Обновления:
    • Запустите Windows Update и поставьте все обновления. Это важно сделать ДО поднятия контроллера домена.

Шаг 2: Настройка второй ВМ (Будущий DC2)

Зайдите во вторую машину.

  1. Имя компьютера:
    • Переименуйте в SRV-DC02.
    • Перезагрузитесь.
  2. Сетевые настройки:
    • Установите Статический IP.
    • Пример:
      • IP: 10.177.178.253 (следующий свободный)
      • Mask: 255.255.255.0
      • Gateway: 10.177.178.1
      • DNS: 8.8.8.8 (тоже пока внешний для обновлений).
  3. Обновления:
    • Аналогично, обновите систему.

Начинаем работу с первого сервера SRV-DC01. Второй сервер (SRV-DC02) пока не трогаем, он ждет своей очереди.

Шаг 3: Подготовка DNS на SRV-DC01

Перед установкой роли AD, сервер должен «смотреть на себя», чтобы корректно создать DNS-зоны.

  1. Зайдите в настройки сетевого адаптера на SRV-DC01.
  2. В свойствах IPv4 измените Предпочтительный DNS-сервер (Preferred DNS) на: 127.0.0.1
    • Почему: Мы сейчас сделаем этот сервер DNS-сервером. Он должен спрашивать сам себя.
  3. Нажмите ОК.

Шаг 4: Установка роли AD DS

  1. Откройте Server Manager (Диспетчер серверов).
  2. В центре нажмите Add roles and features (Добавить роли и компоненты).
  3. Жмите Next до раздела Server Roles (Роли сервера).
  4. Поставьте галочку напротив Active Directory Domain Services.
    • Выскочит окно с предложением добавить компоненты — жмите Add Features.
  5. Жмите Next до конца и затем Install.
  6. Ждите окончания установки (полоска заполнится, но перезагрузки пока не будет).

Шаг 5: Повышение до Контроллера Домена (Создание леса)

Это самый важный момент.

  1. В Server Manager сверху, возле флага уведомлений (желтый треугольник), нажмите на флаг.
  2. Нажмите ссылку Promote this server to a domain controller (Повысить роль этого сервера...).
  3. Откроется мастер настройки.

Вкладка Deployment Configuration:

  • Выберите пункт: Add a new forest (Добавить новый лес).
  • Root domain name: ad.mysite.ru
  • Жмите Next.

Вкладка Domain Controller Options:

  • Functional Level (Уровень леса и домена): Оставьте максимальный (Windows Server 2016 — это нормально, Microsoft не меняла название уровня функциональности).
  • Галочки DNS Server и Global Catalog (GC) должны стоять.
  • DSRM Password: Придумайте и запишите сложный пароль.
    • Важно: Этот пароль нужен для восстановления AD, если всё сломается. Это НЕ пароль администратора, это отдельный пароль. Запишите его в блокнот.
  • Жмите Next.

Вкладка DNS Options:

  • Появится предупреждение «A delegation for this DNS server cannot be created...».
  • Игнорируйте. Это нормально, так как родительская зона (mysite.ru) находится в интернете, и мы не имеем к ней прямого доступа отсюда.
  • Жмите Next.

Вкладка Additional Options (NetBIOS):

  • Мастер предложит NetBIOS имя. Скорее всего, он предложит AD (берет первую часть от ad.mysite.ru).
  • Рекомендация: Имя AD слишком общее. Я рекомендую изменить его на MYSITE.
    • Тогда вход в систему будет выглядеть как MYSITE\Ivanov, а не AD\Ivanov. Это понятнее пользователям.
  • Жмите Next.

Вкладка Paths:

  • Оставьте всё по умолчанию (C:\Windows\NTDS и т.д.).
  • Жмите Next.

Вкладка Review Options:

  • Проверьте, всё ли верно. Жмите Next.

Вкладка Prerequisites Check:

  • Система проверит сервер. Должно появиться зеленая галочка "All prerequisite checks passed successfully".
  • Могут быть желтые восклицательные знаки (про криптографию NT 4.0 или DNS delegation) — это нормально.
  • Жмите Install.
  • Внимание: Логин теперь должен быть MYSITE\Administrator (или AD\Administrator, если вы оставили NetBIOS AD). Пароль тот же, что был у локального админа.


Супер. Лес создан. Теперь у нас есть «Голова».

Но сейчас система уязвима: если SRV-DC01 перезагружается или ломается, никто не войдет в сеть.
Поэтому сейчас мы поднимаем второй контроллер домена (SRV-DC02).

Переходим на вторую виртуальную машину — SRV-DC02.

Шаг 1: Настройка DNS на SRV-DC02 (Критично)

Чтобы второй сервер увидел первый и смог скачать настройки домена, он должен использовать первый сервер как DNS.

  1. На SRV-DC02 откройте сетевые настройки (ncpa.cpl).
  2. Свойства IPv4 -> Измените DNS:
    • Предпочтительный DNS (Preferred): 10.177.178.254 (IP первого сервера SRV-DC01).
    • Альтернативный: Оставьте пустым пока.
  3. Нажмите ОК.

Проверка связи:
Откройте командную строку (CMD) и напишите:
ping ad.mysite.ru
Должен пойти обмен пакетами с IP 10.177.178.254. Если пинг идет — всё отлично. Если пишет "не удалось обнаружить узел" — проверяйте настройки DNS или фаервол.

Шаг 2: Установка роли

Точно так же, как на первом сервере:

  1. Server Manager -> Add roles and features.
  2. Выбираем роль Active Directory Domain Services.
  3. Жмем Install и ждем окончания.

Шаг 3: Повышение роли (Promote)

  1. Нажимаем на желтый треугольник -> Promote this server to a domain controller.
  2. Вкладка Deployment Configuration:
    • ВЫБИРАЕМ ПЕРВЫЙ ПУНКТ: Add a domain controller to an existing domain (Добавить контроллер в существующий домен).
    • В поле Domain напишите: ad.mysite.ru (если не заполнилось само).
    • Внизу раздел Credentials (Учетные данные). Нажмите кнопку Change....
    • Введите логин/пароль администратора домена, который вы создали на первом сервере:
      • User: MYSITE\Administrator (или просто Administrator, он сам подставит домен).
      • Password: Ваш пароль.
    • Жмите Next.
  3. Вкладка Domain Controller Options:
    • Галочки DNS Server и Global Catalog (GC) должны стоять.
    • Введите пароль DSRM (для восстановления) — такой же, как на первом, чтобы не путаться.
    • Жмите Next.
  4. Вкладка DNS Options: Пропускаем (Next).
  5. Вкладка Additional Options:
    • Replicate from: Выберите SRV-DC01.ad.mysite.ru (или Any domain controller). Лучше выбрать явно первый сервер.
    • Жмите Next.
  6. Paths: Оставляем как есть. Next.
  7. Prerequisites Check: Ждем зеленую галочку. Жмем Install.

Сервер перезагрузится.

Шаг 4: Финальная настройка DNS (Кольцевая схема)

Когда SRV-DC02 перезагрузится и вы войдете в систему (уже под доменным админом MYSITE\Administrator), нам нужно настроить «перекрестное опыление» DNS, чтобы серверы страховали друг друга. Это Best Practice.

  1. Зайдите на SRV-DC01:
    • Сетевые настройки -> IPv4.
    • Preferred DNS: 127.0.0.1
    • Alternate DNS: 10.177.178.253 (Указываем на второй сервер).
  2. Зайдите на SRV-DC02:
    • Сетевые настройки -> IPv4.
    • Preferred DNS: 10.177.178.254 (Указываем на первый сервер).
    • Alternate DNS: 127.0.0.1 (Указываем на себя как запасной вариант).


Теперь нужно сделать так, чтобы домен «дышал» (синхронизировал время) и видел внешний мир (интернет), а затем построим правильный скелет организации.

Шаг 1: Настройка DNS Forwarders (Чтобы работал интернет)

Сейчас ваши серверы знают только о себе. Если спросить у них google.com, они не ответят. Нужно настроить пересылку запросов.

Сделайте это на обоих серверах (сначала SRV-DC01, потом SRV-DC02), чтобы настройки были идентичны:

  1. Нажмите Win + R, введите dnsmgmt.msc (Диспетчер DNS).
  2. В дереве слева кликните правой кнопкой мыши по имени вашего сервера -> Properties (Свойства).
  3. Вкладка Forwarders (Серверы пересылки).
  4. Нажмите Edit....
  5. Добавьте туда надежные внешние DNS. Например:
    • 77.88.8.8 (Yandex)
    • 8.8.8.8 (Google)
  6. Нажмите OK, затем еще раз OK.

Проверка: Откройте командную строку (CMD) и введите

powershell Resolve-DnsName google.com

 Если вам вернулся IP-адрес гугла — всё настроено верно.

Шаг 2: Настройка Времени (NTP) — Критично для ВМ

Виртуальные машины очень любят «убегать» по времени. Если время уйдет на 5 минут, никто не сможет войти в домен (Kerberos заблокирует вход).

Настроим SRV-DC01 (так как он сейчас главный — PDC Emulator) как источник точного времени для всей сети.

  1. На SRV-DC01 запустите командную строку (CMD) или PowerShell от имени администратора.
  2. Выполните следующие команды по очереди (можно копировать):

codeCmd

w32tm /config /manualpeerlist:"0.ru.pool.ntp.org 1.ru.pool.ntp.org" /syncfromflags:manual /reliable:yes /update

(Эта команда говорит: бери время из интернета и скажи всем в сети, что твоему времени можно верить).

  1. Перезапустите службу времени:

codeCmd

net stop w32time && net start w32time
  1. Принудительная синхронизация:

codeCmd

w32tm /resync

На втором сервере (DC02) это делать не надо. Он сам по умолчанию будет тянуть время с DC01.

Шаг 3: Создание правильной структуры (OU)

Наводим порядок в иерархии.

  1. Нажмите Win + R, введите dsa.msc. Откроется оснастка «Пользователи и компьютеры Active Directory» (Active Directory Users and Computers).
  2. В верхнем меню нажмите Вид (View) -> Дополнительные компоненты (Advanced Features).
    • Это нужно, чтобы видеть системные вкладки.
  3. Нажмите правой кнопкой мыши (ПКМ) по вашему домену ad.mysite.ru -> Создать (New) -> Подразделение (Organizational Unit).
  4. Назовите его MYSITE_Corp.
    • Убедитесь, что стоит галочка «Защитить контейнер от случайного удаления» (Protect container from accidental deletion).
    • Нажмите ОК.

Теперь внутри MYSITE_Corp создайте структуру папок (ПКМ по MYSITE_Corp -> Создать -> Подразделение):

  1. Создайте подразделение _Admins (для админов).
  2. Создайте подразделение Groups (для групп).
  3. Создайте подразделение HeadOffice (Головной офис).
  4. Внутри папки HeadOffice создайте еще две:
    • Users (Пользователи)
    • Computers (Компьютеры)

Шаг 4: Создание вашего Супер-Админа

Работаем в папке MYSITE_Corp -> _Admins.

  1. ПКМ по пустому месту -> Создать (New) -> Пользователь (User).
  2. Поля:
    • Имя (First name): Ваше имя (например, Ivan).
    • Имя входа пользователя (User logon name): Рекомендую adm.ivanov.
    • Нажмите Далее (Next).
  3. Пароль:
    • Придумайте сложный пароль.
    • Поставьте галочку «Срок действия пароля не ограничен» (Password never expires).
    • Снимите галочку «Требовать смены пароля при следующем входе» (User must change password at next logon).
    • Нажмите Далее (Next) -> Готово (Finish).
  4. Выдача прав:
    • Нажмите ПКМ по созданному пользователю adm.ivanov -> Свойства (Properties).
    • Вкладка Член групп (Member Of).
    • Нажмите Добавить (Add).
    • В поле ввода пишите русские названия групп (можно по очереди):
      • Администраторы домена (Domain Admins) -> нажмите Проверить имена (Check Names) -> ОК.
      • Администраторы предприятия (Enterprise Admins) -> Проверить имена -> ОК.
      • Администраторы схемы (Schema Admins) -> Проверить имена -> ОК.
    • Нажмите ОК, чтобы сохранить.

Теперь у вас есть полные права.

Back to top