Служба удалённых РС и её настройка. Настройка сетевых параметров

Пользователь ESET подготовил руководство по развертыванию и администрированию сети на основе выделенного сервера.

Сегодня хочу рассказать о настройке Windows Server 2008 R2 в условиях, приближенных к боевым (то есть в виртуальной среде). Такой подход позволит в домашних условиях протестировать и изучить все возможности данной технологии.

В статье рассматриваются следующие вопросы:

• настройка DNS сервера;
• установка Active Directory;
• взаимодействия учетных записей в рабочей группе и в домене;
• подключение компьютеров к домену;
• создание доменных пользователей;
• управление доступом к ресурсам;
• настройка DHCP сервера;
• подключение сети к интернет;
• настройка групповой политики;

Для начала вам понадобится 64-разрядная операционная система Windows и программа управления виртуальными машинами (например, VMWare). Минимальные системные требования: 6 Гб ОЗУ и 70 Гб свободного места на жестком диске.

Требования к ресурсам вашего ПК зависят от того, сколько машин будет в виртуальной сети и какие на них установлены ОС.


Установка клиентских машин с ОС Windows 7, 8.1 и 10

В нашем примере будет 4 компьютера под управлением Windows Server 2008 R2, 7, 8.1 и 10. Таким образом, 4 Гб оперативной памяти понадобится только для работы виртуального полигона.

Начинаем с установки и настройки DNS-сервера. С помощью программы VMWare создаем серверную и клиентские виртуальные машины:

Файл \ Новая виртуальная машина \ Выборочный \ Указываем установочный образ системы \ Windows 2008 R2 \ Путь к виртуальной машине \ D:\VirtualMashin\Domain 2008R2\2008R2 \ 1Гб \ Использовать только сеть для узла \ Создать виртуальный диск: 40 Гб, хранить в одном файле \ Готово

Затем устанавливаем ОС Windows Server 2008 R2:

• Запускаем виртуальную машину
• Открываем BIOS (клавиша F2) и проверяем правильность настроек для загрузки с виртуального привода. Нужно убедиться, что у виртуального привода установлен высший приоритет. Если это не так, меняем соответствующие настройки в BIOS

Аналогичным образом создаем виртуальные машины для клиентских операционных систем.



Перед настройкой DNS-сервера, переименовываем его в server, чтобы назначение компьютера в сети было понятно:


Теперь назначаем сетевой карте статический IP-адрес, так как у сервера IP-адрес меняться не должен:

Центр управления сетями и общим доступом \ Подключение по локальной сети \ Свойства \ Протокол интернета версии 4

Устанавливаем значения:

IP: 192.168.0.1
Mask: 255.255.255.0

Теперь переходим настройке DNS-сервера:

Пуск \ Администрирование \ Диспетчер сервера \ Роли \ Добавить роли \ Далее \ DNS-сервер \ Далее \ Далее \ Установить \ Закрыть

Далее сконфигурируем DNS-сервер:

Пуск \ Администрирование \ Диспетчер сервера \ Роли \ DNS-сервер \ DNS \ Server \ ПКМ \ Настроить DNS \ Создать зоны прямого и обратного просмотра

Зона прямого просмотра - преобразование имени в адрес, зона обратного просмотра -– преобразование адреса в имя. Выбираем «Да, создать зону прямого просмотра», затем «Основная зона», то есть зона будет храниться и обновляться на сервере. Дополнительная зона создается в ситуации, когда основная хранится на другом сервере, а на текущем сервере сохраняется копия. Это нужно для распределения нагрузки на основной сервер:

Имя зоны: office.local \ Создать новый файл зоны \ Динамическое обновление зоны



Создание файла office.local

Записи в DNS необходимо регулярно обновлять. Если у компьютера изменится IP-адрес, он должен быть изменен в записи, относящийся к доменному имени этого ПК, чтобы другие компьютеры знали, к какому IP-адресу нужно обращаться. Если записи не соответствуют действительности, то компьютер просто не сможет получить доступ к сети.

Существует несколько вариантов динамического обновления зоны DNS:

• Разрешить только безопасные динамические обновления. Рекомендуется использовать этот способ. Однако опция будет недоступна до создания домена, пока не установлена служба Active Directory.
• Разрешать любые динамические обновления - эту настройку лучше не использовать, так как данные могут быть недостоверны
• Запретить динамическое обновление - записи придется обновлять вручную. Выбираем этот способ, пока динамические обновления неактивны. После поднятия домена просто изменяем настройки

В нашем примере сервер будет всего один, поэтому пересылка запросов не потребуется:

Серверы пересылки \ Нет, не пересылать запросы \ Готово

Надеюсь, статья пригодилась. Пишите замечания в комментариях!

Антон Севостьянов
системный администратор,

На сегодняшний день большое количество специалистов в области администрирования информационных систем росло и обучалось во времена массового использования DOS режима. Разработчики Microsoft Windows Server 2008 учли данный факт и внедрили в свое детище удивительную опцию – установку одного ядра ОС или так называемую Core Installation.
Server Core представляет для администратора минимальную конфигурацию, здесь нет привычных окон, меню и кнопок, только командная строка, которая позволяет выполнять все необходимые серверные задачи. Таким образом, благодаря исключению из системы многих попусту не нужных элементов администратор получает высокопроизводительный сервер, которые будет более устойчив к серьезным нагрузкам и атакам хакеров.

Установка Server Core

Рассмотрим данный процесс на примере Windows Server 2008 R2 Enterprise Server Core. Инсталляция системы проходит в привычном режиме, ПК копирует файлы с установочного диска и перед нами появляется графический интерфейс. В списке доступных версий для установки выбираем Enterprise (Server Core Installation).

Копирование файлов и последующая перезагрузка ОС:

При первом входе вам будет предложено провести регистрацию пользователя. Имя должно быть - Administrator

Назначение пароля

Для надежной защиты сервера в ОС действую строгие правила на вариации паролей. Это должен быть сложная комбинация заглавных и маленьких букв с использованием разных цифр и символов, например – @. В противном случае Windows не примет ваш пароль.

После ввода логина и пароля мы попадаем на необычный рабочий стол, который содержит только командную строку, однако некоторые привычные элементы сохранены:

Для вызова Диспетчера задач можно использовать всем известные комбинации клавиш CTRL+Alt+Del или CTRL+Shift+Esc. Диспетчер поможет запустить случайно закрытую консоль командной строки, достаточно выполнить команду cmd (Файл-File –> Новая задача-New Task).

Немаловажный инструмент для администраторов – Блокнот. Вызывается из командной строки с помощью команды notepad

Настройка языковых параметров ОС

Утилита из всем привычной панели управления вызывается командой control intl.cpl

Установка системного времени

Настройку времени и даты можно осуществить с помощью команды control timedate.cpl

Настройка сетевых параметров

После установки ОС все сетевые настройки системы выставляются по умолчанию, IP-адрес запрашивается автоматически с DHCP-сервера, а если он отсутствует – «айпишник» задается с помощью службы Automatic Private IP Addressing, из числа свободных адресов с диапазоном 169.254.XXX.XXX и маской 255.255.0.0.
Также случайным образом генерируется имя вашего сервера - WIN-D3792F0B7BM

Проверить имя компьютера в Windows Server 2008 R2 Enterprise Server Core можно с помощью команды – hostname

А чтобы задать собственное имя нужно воспользоваться командой - netdom
Например - netdom renamecomputer WIN-D3792F0B7BM /NewName:сайт

Подтверждаем согласие буквой Y .

Команда успешно выполнена и после перезагрузки имя сервера будет обновлено.

Назначение IP-адреса

Если системой не назначился IP-адрес автоматически, то администратору придется сделать это самостоятельно, с помощью команды – netsh
Прежде чем начинать назначение адреса необходимо узнать индексный номер сетевого адаптера, для этого воспользуйтесь командой netsh interface ipv4 show interfaces

Затем можно задавать IP-адрес:

netsh interface ipv4 set address name="2" source=static address=192.168.86.130 mask=255.255.255.0

name="2" - номер подключения

Добавление DNS-сервера:

netsh interface ipv4 add dnsserver name="2" address=192.168.86.2 index=1

Все те же действия можно реализовать с помощью скрипта первичной настройки sconfig

Установка новых ролей сервера

Чтобы отобразить список доступных ролей введите команду - oclist
Список будет выведен в виде древовидной структуры с пояснениями к каждому пункту, установлен он или нет.

Установка ролей осуществляется с помощью команды ocsetup , например:

при этом start /w указывает командной строке на ожидание для завершение команды.

Для удаления ролей сервера добавьте в конец вашей команды /uninstall

Настройка удаленного доступа к серверу

Чтобы разрешить использование доступа через удалённый рабочий стол (remote desktop) в Windows Server 2008, необходимо использовать следующую команду:

cscript c:\windows\system32\scregedit.wsf /ar 0

Или выбрать пункт 7 в sconfig

После этого можно подключаться к удаленному рабочему столу.

Командой winrm quickconfig (пункт 4 в sconfig ) открываем доступ к удаленной командной строке.

Теперь с помощью команды netsh разрешаем соединения протокола RDP в брандмауэре Windows:

netsh advfirewall firewall set rule group="remote administration" new enable=yes

После этого должен появиться доступ к диспетчеру сервера - compmgmt.msc

Активация Windows Server 2008 Core

Чтобы активировать свою копию введите команду slmgr.vbs –ato
Выполнять данную процедуру лучше через удаленный рабочий стол, если после ввода команды не появляется никаких сообщений об ошибках, то активация прошла успешно.

В противном случае появится окно с кодом и текстом ошибки. Вот список самих ошибок, которые могут появляться при активации:

0xC004C003 The activation server determined the specified product key is blocked
(Сервер активации определил, что указанный ключ продукта заблокирован)

0xC004B100 The activation server determined that the computer could not be activated.
(Сервер активации определил, что компьютер не может быть активирован)

0xC004C008 The activation server determined that the specified product key could not be used.
(Сервер активации определил, что указанный ключ продукта не может быть использована)

0xC004C020 The activation server reported that the Multiple Activation Key has exceeded its limit.
(Сервер активации сообщил, что ключ многократной активации превышен предел.)

0xC004C021 The activation server reported that the Multiple Activation Key extension limit has been exceeded.
(Сервер активации сообщил, что несколько Ключ активации расширения предел был превышен)

0xC004F009 The software Licensing Service reported that the grace period expired.
(Служба лицензирования программного обеспечения сообщила, что льготный период истек)

0xC004F00F The Software Licensing Service reported that the hardware ID binding is beyond level of tolerance.
(Служба лицензирования программного обеспечения сообщила, что обязательный идентификатор оборудования выходит за уровень толерантности)

0xC004F014 The Software Licensing Service reported that the product key is not available
(Служба лицензирования программного обеспечения сообщила, что ключ продукта не доступны)

0xC004F02C The software Licensing Service reported that the format for the offline activation data is incorrect.
(Служба лицензирования программного обеспечения сообщила, что формат данных автономной активации неверно)

0xC004F035 The software Licensing Service reported that the computer could not be activated with a Volume license product key. Volume licensed systems require upgrading from a qualified operating system. Please contact your system administrator or use a different type of key.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован с помощью ключа многократной установки. Объем лицензионных требуют обновления с квалифицированным операционной системы. Пожалуйста, обратитесь к системному администратору или использовать другой тип ключа)

0xC004F038 The software Licensing Service reported that the computer could not be activated. The count reported by your Key Management Service (KMS) is insufficient. Please contact your system administrator.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован. Количество сообщил вашего службы управления ключами (KMS) является недостаточным. Пожалуйста, обратитесь к системному администратору)

0xC004F039 The software Licensing Service reported that the computer could not be activated. The Key Management Service (KMS) is not enabled.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован. Служба управления ключами (KMS) не включен)

0xC004F041 The software Licensing Service determined that the Key Management Server (KMS) is not activated. KMS needs to be activated.
(Служба лицензирования программного обеспечения определила, что служба управления ключами (KMS) не активирована. KMS необходимо активировать)

0xC004F042 The software Licensing Service determined that the specified Key Management Service (KMS) cannot be used.
(Служба лицензирования программного обеспечения установлено, что указанные службы управления ключами (KMS) не могут быть использованы)

0xC004F050 The Software Licensing Service reported that the product key is invalid.
(Служба лицензирования программного обеспечения сообщила, что ключ продукта является недействительным)

0xC004F051 The software Licensing Service reported that the product key is blocked.
(Служба лицензирования программного обеспечения сообщила, что ключ продукта заблокирован)

0xC004F064 The software Licensing Service reported that the non-Genuine grace period expired
(Служба лицензирования программного обеспечения сообщила, что неподлинной истек срок)

0xC004F065 The software Licensing Service reported that the application is running within the valid non-genuine grace period .
(Служба лицензирования программного обеспечения сообщила, что приложение работает в рамках действующего неоригинальных льготного периода)

0xC004F066 The Software Licensing Service reported that the product SKU is not found.
(Служба лицензирования программного обеспечения сообщила, что продукт SKU не найдено)

0xC004F068 The software Licensing Service determined that it is running in a virtual machine. The Key Management Service (KMS) is not supported in this mode.
(Служба лицензирования программного обеспечения определила, что он работает в виртуальной машине. Служба управления ключами (KMS) не поддерживается в этом режиме)

0xC004F069

0xC004F06C The Software Licensing Service reported that the computer could not be activated. The Key Management Service (KMS) determined that the request timestamp is invalid.
(Служба лицензирования программного обеспечения сообщила, что компьютер не может быть активирован. Служба управления ключами (KMS) определила, что запрос временной метки является недействительным)

0x80070005 Access denied the requested action requires elevated privileges.
(Отказано в доступе запрошенное действие требует повышенных привилегий)

0x8007232A DNS server failure.
(Ошибка DNS сервера)

0x8007232B DNS name does not exist.
(DNS имя не существует)

0x800706BA The RPC server is unavailable.
(Сервер RPC недоступен)

0x8007251D No records found for DNS query
(DNS запрос не вернул записей)

0x80092328 DNS name does not exist
(DNS имя не существует)

Данная статья лишь вводная часть глубокого процесса установки в режиме Server Core.
В связи с малой популярностью данной версии операционной системы, сторонние разработчики предлагают нам эффективные инструменты для работы с ней. Например, бесплатная утилита

Здравствуйте!

В этой статье я хочу рассмотреть установку и настройку терминального сервера на базе Windows server 2008 R2. Необходимость такового сервера присутствует практически во всех среднестатистических конторах, где численность компьютеров составляет от сотни рабочих станций, особенно если они разбросаны по разным точкам города. Постараюсь описывать всё чётко, без воды. Итак, предположим, что у вас уже имеется машина со свежеустановленным Windows server 2008 R2. Также предположим, что эта машина уже введена в домен Active Directory.

Заходим в диспетчер сервера и слева в дереве консоли выбираем пункт «роли» :

Не обращайте внимания, что у меня там присутствуют роли Active directory и DNS-сервера. Я это все делал на тестовой машине.

Нажимаем «добавить роли» . Появляется мастер. На первом шаге читаем информацию и жмём «далее». На втором шаге ставим галочку напротив «Службы удалённых рабочих столов» и жмём «далее». Снова знакомимся с информацией и жмём «далее». На шаге выбора служб ролей ставим галочки следующим образом:

Этих компонентов достаточно, чтобы в локальной сети (или правильно построенной сети VPN) на сервере можно было работать. В правой части окна можно почитать описание каждого компонента, выделив его. Если требуется, чтобы на сервере терминалов можно было работать через web-доступ, то нужно устанавливать дополнительные компоненты, в том числе и веб-сервер IIS. В этой статье мы это рассматривать не будем. Жмём «далее». Снова читаем информацию и жмём «далее». На следующем шаге, для наилучшей совместимости выбираем «не требовать проверку подлинности на уровне сети» и жмём «далее» .

Следующий шаг – это режим лицензирования . Здесь вы должны указать, какие терминальные лицензии вы приобрели . Если у вас ещё нет терминальных лицензий, то это можно указать позже. Я же выбрал лицензирование на устройство. «Далее».

Дальше, надо указать пользователей или группу пользователей , которые будут иметь право подключаться к серверу. Я выбрал группу «пользователи домена», поскольку опубликованными приложениями будут пользоваться все сотрудники. «Далее».

На следующем шаге «настройка взаимодействия с пользователем» рекомендую ничего не ставить , поскольку в 90% случаев людям этого не нужно. Да и пропускную способность сетки всё это мультимедийное хозяйство забьёт. «Далее».

Настройка области обнаружения для лицензирования удалённых рабочих столов. Тут выбор зависит от того как у вас организована структура Active directory. Я выбрал «Этот домен», поскольку у меня сервер лицензирования и сервер удалённых рабочих столов находятся в одном домене. Более, того! Они находятся на одной машине:). «Далее».

Смотрим, чего мы навыбирали, ознакамливаемся с информацией и жмём «Установить». В конце система попросит перезагрузку.
После перезагрузки система покажет результат установки. У меня он выглядит так:

Система жалуется на отсутствие сервера лицензирования. И не мудрено, ведь у нас он ещё не настроен.

Приступим к его настройке. Запустим диспетчер сервера и в дереве консоли перейдём на службы удалённых рабочих столов, затем, скроллингом спустимся вниз:

Справа кликаем на ссылку «Диспетчер лицензирования удалённых рабочих столов» . Откроется соответствующая оснастка, в списке серверов которой мы должны увидеть нашу машину. Кликаем правой клавишей на нёй и выбираем свойства:

В открывшемся окне надо указать все необходимые сведения для активации, в частности метод установки и сведения об организации. Я свой сервер активировал через сайт https://activate.microsoft.com , поэтому метод установки выбрал «в браузер веб страниц».

После того, как внесли нужную информацию о компании и выбрали метод установки, снова жмём правой клавишей на нашем сервере (см. рисунок выше) и выбираем «Активировать сервер».

Необходимо успешно пройти активацию и установить клиентские лицензии сервера удаленных рабочих столов, чтобы продолжать дальше.

После успешной активации сервера и установки клиентских лицензий, в оснастке диспетчера лицензирования удалённых рабочих столов вы должны увидеть примерно вот это:

Теперь, укажем наш активированный сервер лицензирования в списке этих самых серверов лицензирования. Запустим диспетчер сервера и в дереве консоли перейдём на конфигурацию сервера узла сеансов удалённых рабочих столов :

По середине, в параметрах «Лицензирование» видим, что сервер лицензирования не указан. Жмём на этой строчке правой клавишей мыши и выбираем «свойства». Откроется окно свойств и предупреждение, что у нас не указан сервер лицензирования:

Закрываем это сообщение. Нажимаем «добавить» и выбираем свой сервер из списка доступных (в нашем случае, он там всего один). Теперь осталось только установить и опубликовать нужные нам приложения. У меня это пусть будут всеми любимая 1с и замечательная программа ДубльГИС.

Установка самих этих программ тут рассматриваться не будет. Перейдём к публикации этих программ.
Открываем диспетчер сервера и переходим на диспетчер удалённых приложений RemoreApp :

Сначала давайте посмотрим, что у нас в параметрах RDP (в винде оно почему-то RPD называется). Нажмём на ссылку «изменить»:

Выставим здесь оптимальные настройки для себя. «ОК».

Теперь добавляем приложения, нажав кнопку «Добавить удалённые приложения RemoteApp» . Запустится мастер, в котором мы увидим список программ, установленных в системе «правильно» через установщик Windows. Выбираем 1с и ДубльГИС. Если же желаемой программы нету в списке, то её можно выбрать, нажав кнопку «обзор». «Далее», «Готово». Теперь видим, что внизу в списке удалённых приложений RemoteApp появились наши программы.

Теперь щёлкаем правой клавишей на 1с и выбираем «Создать пакет установщика Windows» . Появится мастер, который вам задаст пару лёгких вопросов, и после того, как вы нажмёте кнопку «Готово», у вас откроется папка с готовым установочным файлом: C:\Program Files\Packaged Programs\1CV7s.msi. Для удобства, я просто расшарил эту папку, чтобы с рабочих станций удобно было забирать установочные пакеты. Аналогично же, создаём пакет и для ДубльГИСа.

Теперь, идём на рабочую станцию. Внимание! Рабочая станция должна быть не ниже Windows XP SP3! На XP со вторым сервис паком и ниже не заработает!

Копируем установочный пакет на рабочую станцию и устанавливаем его под администратором. На рабочем столе появится ярлык (если при создании пакеты была поставлена соответствующая галка) и в меню «Пуск» появится соответствующий пункт:

Если посмотрим в свойства ярлыка, то увидим, что он ссылается на папку C:\Program Files\RemotePackages, в которой лежат файлики 1CV7s.rdp и 1CV7s.ico. На эту папку надо дать права на изменение обычным пользователям. Это пригодится для того, если потом под обычным юзером нужно будет изменить какие-либо параметры подключения. Итак, всё, хорошо, ярлыки появились... Но это мы сделали под администратором. Для того, чтобы те же самые ярлычки появилось под пользователем, надо этот установочный пакет запустить ещё раз, но уже из-под пользователя. Такой вот нюанс. Думаю, что это просто небольшая такая недоработка, потому как, если сразу пытаться установить пакет 1CV7s.msi из-под пользователя, то ничего не получится.

Ну да ладно, ещё раз запустили установку пакета из-под пользователя, получили свои ярлыки. Пробуем запустить 1с. И сразу же система нас предупреждает, что не может определить издателя этого удалённого приложения. Ставим галочку «больше не спрашивать» и жмём «подключить». Далее, система у нас просит имя пользователя и пароль. Внимание! Имя пользователя вводим вот в таком виде: yourdomain\user , затем вводим пароль и ставим галочку «запомнить пароль». Далее, у нас снова вылазит предупреждение о сертификате. И снова успокаиваем нашу систему, поставив галочку «не выводить данное предупреждение при подключении к этому удалённому компьютеру» и нажав «да». После чего наблюдаем, что окно подключения всё равно таки висит. Жмём кнопку «Сведения» и видим следующую картину:

Сервер нас не пускает, поскольку это запрещено групповыми политиками. Идём на сервер, жмём «Пуск» → «Выполнить» и вводим gpedit.msc. Нам откроется оснастка с настройками групповых политик на сервере. В ней ищем: Конфигурация компьютера → Конфигурация программ → Параметры безопасности → Локальные политики → Назначение прав пользователя → Разрешить вход в систему через службу удалённых рабочих столов .

Двойной щелчок – добавляем группу «пользователи домена». Вот теперь хорошо. Идём обратно на рабочую станцию и снова пробуем запустить 1с. Подключение чуток призадумается. Это из-за того, что на сервере, при первом подключении пользователя, создаётся профиль этого самого пользователя. И вот спустя несколько секунд мы видим долгожданную картинку:

Ну вот и всё! Таким образом мы настроили сервер терминалов на Windows server 2008 R2. Дальнейший тюнинг и более тонкую настройку оставляю вам делать самостоятельно.

" Какие необходимо произвести дальнейшие действия по настройке, чтобы наш сервер был полноценно готов работать в качестве файл-сервера, контролера домена или сервера DNS?! Здесь все очень просто, после установки, мы получаем окно помощи с названием "Задачи первоначальной настройки". Все дальнейшие действия будем производить из него, хотя это можно сделать например из панели управления, но усложнять не будем.

Если вы успели заменить, в отличии от других версий операционной системы Windows, версия 2008 при установке на запросила у нас настройки времени и часового пояса, поэтому это будет первым, что мы сделаем. Итак, открываем пункт "Установить часовой пояс" и проверяем временные настройки. Если в Вашей сети уже есть работающий NTP-сервер, то настраивать ничего не придется, т.к. настройки подхватятся автоматически, в обратном случае, время придется ставить вручную. Правильная установка времени очень важна при работе в домене.

Далее мы переходим к настройке сети, нажав пункт "Настроить сеть". Если мы поставили серверную ОС, то она должна исполнять серверные роли, а не быть десктопом. Поэтому мы выделяем для него свободный статический ip-адрес и вбиваем его в свойствах протокла IPv4. IPv6 пока распространен мало, поэтому его можно отключить вообще. Также вводим адрес нашего шлюза и ДНС-серверов.

При установке по умолчанию мы получили очень некрасивое имя сервера и рабочую группу по умолчанию - "workgroup", поэтому открываем пункт "Укажите имя компьютера и домена" и вводим понравившееся нам имя, естественно на английском языке. Также вводим имя домена, если таковой существует, если нет, то исправляем имя рабочей группы. Без перезагрузки данные параметры применены не будут.

Ну и последнее что мы сделаем в рамках первоначальной настройки, это произведем обновление системы, т.к. количество дыр в программном обеспечение растет в геометрической прогрессии, а закрывают они их очееень медленно, то установим хотя бы то, что предлагается, дабы уменьшить риски утери информации или незаконного проникновения. Идем в пункт "Загрузить и установить обновления" и нажимаем "Включить сейчас"

После чего будет предложено установить сначала обновления для Центра обновления Windows, а после перезапуска и обновления для всей системы.

После окончания обновления, Вам будет предложено перезагрузиться. На этом первоначальная настройка закончена, далее переходим к настройке ролей сервера.

В этой статье мы пошагово разберем процесс установки роли контролера домена на Windows Server 2008/ 2008 R2. В прошлой статье мы уже установили Windows Server 2008 R2 на виртуальную машину и сделали начальные настройки Windows Server 2008 R2 сегодня мы присвоим этой тестовой машине роль контролера домена (Domain Controller) или сокращенно DC. Контроллер домена это первый сервер который должен появиться в доменной сети.

Контроллер домена (Domain Controller) – это сервер, который контролирует область компьютерной сети (домен). Domain Controller позволяет централизованно администрировать все сетевые ресурсы, включая пользователей, файлы, периферийные устройства, доступ к службам, сетевым ресурсам, веб-узлам, базам данных и так далее.

Что понадобится

1. Установочный DVD диск Microsoft Windows 2008 R2 или ios образ установочного диска.
2. Сервер с установленной операционной системой Microsoft Windows 2008 R2 .

Подготовка к установке контроллера домена

Перед установкой DC нам необходимо будет подготовить сервер, а именно:

• Активировать Windows
• Изменить имя компьютера
• Установить все обновления на сервер
• Установить часовой пояс и время
• Настроить сетевую конфигурацию для контроллера домена
• Подготовить имя домена и DNS-имя

Большенство этих настроек мы уже сделали при установке (см. предыдущую ) остальные можно сделать при помощи окна «Задач начальной настройки » (Initial Configuration Tasks ), но на последних двух пунктах хочется поговорить подробнее:

Настройка сетевой конфигурации для контроллера домена.

Для контролера домена необходимо использовать статический IP адрес и маску подсети . Заходим в Панель управления > Центр управления сетями и общим доступом > Управление сетевыми подключениями, щелкаем правой кнопкой мышки на подключению по локальной сети, переходим в Свойства:

Имя домена и DNS-имя

Домен должен иметь уникальное DNS-имя, вы можете подобрать его самостоятельно или опираясь на корпоративные политики компании.

Установка роли контролера домена

Вот мы и добрались до нашей главной цели Установка роли контроллера домена, если вы ранее выполняли эту процедуру на Windows Server 2003, вы заметите значительную разницу в этом шаге. Итак давайте приступать:

Первым делом необходимо установить роль «». Для этого запускаем «Диспетчер сервера- Роли » , нажимаем «Добавить роль ».

Ознакомьтесь с информационным окном и нажимаем «Далее ».

В следующем окне выбираете роли сервера для установки. Мы установим другие роли сервера позже, но сначала нам нужно установить роль контроллера домена (DC). Выбираем Active Directory Domain Services , отмечая соответствующую опцию. Обратите внимание, что мастер отобразит вам ряд функций, которые будут установлены наряду с ролью Active Directory Server Role. Нажмите кнопку Добавить нужные функции (Add Required Features) , чтобы установить эти функции во время установки роли Active Directory Server.

После этого появляется галочка напротив «Доменные службы Active Directory », нажимаем «Далее ».

После выбора роли Active Directory DC Server, вы увидите информационное окно об этой роли сервера. Здесь есть некоторые интересные моменты:

Вам нужно установить как минимум два DC в своей сети для отказоустойчивости. Установка одного DC в сети является предпосылкой сбоя. Однако, поскольку это тестовая сеть, и мы можем создавать снимки наших DC, нас не очень беспокоит это требование.

Требуется DNS. Однако когда мы запустим dcpromo , мы установим роль сервера DNS, поддерживающего службы Active Directory.

Необходимо запустить dcpromo после установки роли. Вам не придется выполнять дополнительные шаги во время установки других ролей сервера, поскольку весь процесс установки ролей можно выполнить с помощью диспетчера сервера. Роль Active Directory Domain Services является единственной ролью, требующей использования двух шагов для установки.

Обратите внимание, что во время установки роли Active Directory Domain Services также устанавливаются службы DFS пространства имен, DFS репликации и репликации файлов ‘ все эти службы используются службами Active Directory Domain Services, поэтому устанавливаются автоматически.

В окне Подтверждения, утверждаем свой выбор и нажимаем «Установить ».

После этого будет происходить установка ролей. По окончании, если все прошло успешно, увидите окно с подтверждением успешной установки, нажимаете «Закрыть ».

Теперь необходимо запустить команду DCPROMO . Для этого нажимаем «Пуск» и в строке поиска пишем DCPROMO и нажимаем «Enter» .

В результате у нас запустится мастер Welcome to the Active Directory Domain Service Installation Wizard . Нам не нужны расширенные опции в этом сценарии, поэтому просто нажимаем Далее .

На странице Совместимость операционной системы (Operating System Compatibility) мастер предупреждает о том, что ваши NT и non-Microsoft SMB клиенты будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008 R2. В нашей тестовой среде нет таких проблем, поэтому просто нажимаем Далее .

Поскольку мы настраиваем первый домен в лесу, в окне выбора конфигурации развертывания, выбираем «Создать новый домен в новом лесу »(Create a new domain in a new forest) .

После этого указываем имя корневого домена леса. Вы можете назвать свой домен, как вам нравится, но если вы используете имя, которые уже используется в интернете (имя, которое уже было зарегистрировано), то у вас могут возникнуть проблемы раздвоения имен.

На странице Определение функционального уровня леса (Set Forest Functional Level) для того, что бы использовать все преимущества нового контроллера домена выбираем опцию Windows Server 2008 R2 и жмем Далее .

По умолчанию будет выбран DNS- сервер. Мастер установки доменных служб AD создаст инфраструктуру DNS в процессе установки контролера домена. Первый контроллер домена в лесу должен быть сервером глобального каталога и не может быть контроллером домена только для чтения RODC.

Думаю, многие знают что такое DNS-сервер, но все же поясню в двух словах для тех кто еще не в курсе.

DNS (Domain Name System) это такая служба, которая превращает IP-адреса в доменные имена, а доменные имена в IP-адреса. Например, Вы набираете в браузере адрес “https://google.com”, на следующей стадии данного процесса браузер спрашивает у DNS-сервера какой IP-адрес у этого сайта, DNS по средством не хитрых обработок возвращает ответ о том, что у домена IP-адрес 91.201.116.240, и т.д.

Появится диалоговое окно, говорящее о том, что невозможно создать делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер. Причина в том, что это первый DC в сети. Не беспокойтесь об этом и нажмитеДа , чтобы продолжить.

В следующем окне можно изменить расположение баз данных, файлов журнала и папки Sysvol. Эти файлы лучше всего хранить в трех отдельных папках, где нет приложений и других файлов, которые не связанны с AD, благодаря этому повыситься производительность, а также эффективность архивации и восстановления. Поэтому не рекомендую менять пути, оставить все как есть и нажать кнопку «Далее ».

На странице Directory Service Restore Mode Administrator Password вводим надежный пароль в текстовые поля Пароль (Password) иПодтверждение (Confirm password) .

В следующем окне проверяем все настройки и если все указано верно нажимаем «Далее ».

Начнется установка первого контроллера домена в лесу. Процесс может занять 10-20 мин. Рекомендую установить галочку “Перезагрузить ” по окончании, чтобы машина автоматически перезагрузилась после установки DC.

После перезагрузки сервера, процесс настройки первого контроллера домена можно считать оконченной.

Служба DNS была установлена во время установки Active Directory, поэтому нам не нужно об этом беспокоиться. Есть еще несколько служб, которые нам нужно установить на этот контроллер домена. В следующей