Last Updated on 14/12/2020 by administrator
Windows Server 2016 – Instalace Active Directory a vytvoření DC
Motivace:
Článek se zaměřuje na vytvoření Domain Controlleru (DC) a instalací role Active Directory Domain Services (AD DS).
OS:
Implementace byla prováděna na Windows Server 2016 Standard.
Implementace:
Níže bude popsán krok za krokem.
Otevřít Server Manager:
Nahoře vpravo kliknout na Manage > Add Roles and Features:
Před konfigurací každé role nás Windows upozorňuje, že:
- je dobré používat silné heslo pro administrátora
- používat statickou IP adresu
- mít instalované nejaktuálnější bezpečnostní aktualizace
Kliknout na Next:
Nechat defaultní možnost Role-based or feature-based installation a kliknout Next:
Zvolit Select a server from the server pool a vybrat náš server. V tomto případě je jen jeden server v nabídce se jménem WIN-SERVER16-Vi:
Zaškrtnout roli Active Directory Domain Services (AD DS) a objeví se okno:
Okno informuje, že nelze nainstalovat AD DS bez příslušných služeb nebo funkcí rolí uvedených níže. Kliknutím na Add Features se tyto služby přidají:
Kliknout na Next:
Žádné další funkce (features) nejsou potřebné, protože všechny již byly instalovány. Kliknout na Next:
Další okno upozorňuje, že k poskytování AD DS je potřeba nainstalovat roli DNS. DNS bude automaticky zvolen a instalován později. Kliknout na Next:
Kliknout na Install:
Jakmile je instalace hotova, kliknout na Close:
Povýšení serveru na Domain Controller:
V okně Server Manager, kliknout na “vlajku” a následně na Promote this server to a domain controller, čímž povýšíme server na DC:
Objeví se okno AD DS konfigurace, které dá na výběr tři možnosti. První možnost “Add a domain controller to an existing domain” je pro přidání dalšího DC k doméně, která již byla přiřazena. Ta není v tomto okamžiku vhodná, protože doména nebyla vytvořena. Druhá možnost “Add a new domain to an existing forest” slouží pro subdomény (child domény). Ta se také nehodí, jelikož nebylo vytvořeno root doménové jméno. Čili vybrána bude třetí možnost Add a new forest, což vytvoří a specifikuje novou doménu. Jako root domain name vytvářím martinuvzivot.cz pro příklad. Kliknutím na Next se provede deployment konfigurace, což bude chvíli trvat:
První dvě možnosti Forest functional level a Domain functional level specifikuje, který operační systém DC použije. V poslední verzi Windows Server 2016 je bug, kde developeři nenakonfigurovali vybrat možnost Windows Server 2016, a tak místo toho zvolit Windows Server Technical Preview (jinak Windows Server 2016). Ujistit se, že je zaškrtnutá možnost Domain Name System (DNS) server. Global Catalog znamená, že server zobrazí všechny aktivní objekty Active Directory, což je požadavek pro primární DC, nebo pokud vytváříme “new domain forest”. Pokud bychom měli i na výběr “Read only domain controller (RODC), tak by DC nemohl provádět na doméně změny, ale to chceme. Proto by toto mělo být odškrtnuté (což v tomto případě je). DSRM (Directory Services Restore Mode) heslo umožňuje správci odebrat instanci služby AD offline jako je údržba, nebo troubleshooting. Lze zvolit stejné heslo jako má administrátor. Kliknout na Next:
V sekci DNS Options dostaneme varovnou hlášku, že stanice z internetu nemůžou přeložit naše lokální DNS záznamy na našem vytvořeném lokálním DNS serveru. To je v pohodě, protože nechceme, aby stanice z internetu měli přístup na tento server z bezpečnostních důvodů a další věcí je, že nebudeme používat námi vytvořenou doménu martinuvzivot.cz, protože se jedná o webovou stránku, a to by způsobilo problémy.
Kliknout na Next:
NetBIOS domain name se automaticky vyplní podle přiřazené domény. NetBIOS name je zkratkou pro FQDN (Full Qualified Domain Name), což je v tomto případě martinuvzivot.cz. Kliknout na Next:
V dalším okně lze vidět defaultní cesty složek, vyžadované pro AD DS. Doporučuji je nechat v defaultním umístění:
Všechna provedená nastavení jsou vidět v dalším okně. Užitečné tlačítko je View Script, což otevře powershell script, který lze exportovat a spustit v případě vytvoření stejného AD DS nastavení, které bylo použito výše:
Kliknout na Next:
Další okno kontroluje předvolby. Dochází k ověření, zda je server připraven k povýšení na Domain Controller. To může chvíli trvat:
Jakmile je kontrola dokončena v horní části se objeví, že všechny prerekvizity úspěšně prošly. Pokud se objeví chyby, doporučuji zabrouzdat na internetu. Po opravení chyb pak stačí kliknout na “Rerun prerequisites check”. V tomto případě se ale objevila různá varování (žluté ikonky). Žádné z nich není kritické. První uvádí, že cokoliv z kryptografií, která není kompatibilní s Windows NT 4.0, bude blokována. To není problém, protože nepoužíváme staré servery ani technologii. Druhá se týká delegování DNS a jak již bylo zmíněno výše nechceme, aby stanice z internetu překládaly naše lokální DNS záznamy. Kliknout na Install:
Průběh instalace trvá v závislosti na rychlosti Vašeho serveru:
Server by se měl následně automaticky restartovat:
Ověření:
Po restartu se objeví NetBIOS název v nastavené doméně před uživatelským jménem. Přihlásit se stejným heslem pro Administrátora:
Pozn. Pokud je k dispozici více doménových jmen (což v tomto případě neplatí), kliknout na Other User a obecný formát je [Název domény]\[Uživatelské jméno domény].
V okně Server Manager lze vidět nové role serveru AD DS a DNS:
Hotovo. Tímto byl vytvořen Domain Controller (DC).
Pozn. 1: Každý server na kterém běží role Active Directory Domain Services (AD DS) je považován za Domain Controller (DC).
Pozn. 2: Domain Controller se stal díky instalací role AD DS také DNS serverem (resolverem). Díky tomu si v síťovém nastavení adaptéru přiřadil DNS IP adresu jako 127.0.0.1 (localhost IP).
Spuštění administrace pro Active Directory:
Otevřít vyhledávání kliknutím na WIN+S
Vepsat cmd (příkazový řádek) a otevřít jej jako administrátor:
Příkazem dsac.exe otevřeme Centrum administrace pro Active Directory:
Pokračování:
Navazující článek pojednává jak provést Přidání počítače do domény (Join a Computer to a Domain).
