Установка контроллера домена Windows Server 2008 R2
Windows Server 2008 R2
sitvladimir, Friday 14 January 2011 - 00:00:00
[newpage=Введение]
ВВЕДЕНИЕ
После установки диска и начала инсталяции вы увидите первую страницу мастера установки, на которой нужно будет определить языковые параметры, формат времени и валюты и способ ввода через клавиатуру или другое устройство.
Нажимаем Далее после выбора всех опций.
Нажимаем кнопку установить сейчас (Install now).
В инсталяционном диске содержатся все версии Windows Server 2008 R2, и мы можем выбрать версию, которую хотим установить. Обратите внимание, что можно даже установить версии Server Core. Но мы не будем устанавливать версию ядра сервера. Давайте выберем опцию Windows Server 2008 R2 Enterprise (полная установка (Full Installation)) и нажмем Далее.
В седующем окне принимаем условия лицензионного соглашения, поставив галочку и нажимаем Далее.
Нажимаем на опцию Выборочная (расширенная) - Custom (advanced). Обратите внимание, что на этой странице нет кнопки ‘Далее’.
В следующем окне определяем, куда установить системные файлы. Выбираем имеющийся жесткий диск размером 24 ГБ для ОС, этого места будет более чем достаточно.
Нажимаем Далее.
После этого - начинается непосредственно сама установка.
Во время первого входа в систему установщик попросит вас создать пароль. Нажмите OK, когда видите изображение, как показано ниже.
Введите пароль и подтверждение, но не нажимайте OK (поскольку здесь нет кнопки OK). Вместо этого нажмите на синий значок стрелки, который не имеет названия, и который расположен справа от текстового поля с подтверждением пароля.
Видим сообщение - пароль был изменен. Нажимаем OK.
Вы, возможно, помните страницы Задач первоначальной настройки (Initial Configuration Tasks), если использовали Windows Server 2008. Если вы не использовали Windows Server 2008, и сразу перешли от использования Windows Server 2003, то страница задач первоначальной конфигурации предоставляет вам доступ ко многим вещам, которые нужно сделать после установки файлов операционной системы. После просмотра этой страницы вы заметите, что многие опции, которые настраивались во время процесса установки в предыдущих версиях, теперь настраиваются здесь. Целью было обеспечить минимум вводимых данных во время установки ОС, и оставить все настройки на самый конец.
На странице Initial Configuration Tasks установливаем следующее:
Остальные настройки ыполним после того, как определим IP адрес в сети для этой машины. Назовем этот сервер FFWIN2008R2DC, поскольку это будет контроллер домена в домене FFLAB. FF. Информация IP адресации будет следующей:
Конечно, WINS может и не потребоваться, но никогда не знаешь все наверняка, а WINS не будет потреблять много ресурсов, пусть будет.
[newpage=Этап 2]
Поднимаем сервер до контроллера домена.
Если вы до этого обслуживали Windows Server 2003, вы заметите значительную разницу на этом шаге. Да, нам все еще нужно запустить dcpromo из команды Выполнить, но здесь есть небольшое изменение Вам также нужно установить роль Active Directory Domain Controller. Роли сервера являются довольно новым явлением в Windows Server 2008, где основные службы считаются «ролями». Роль контроллера домена Active Directory Domain Controller немного отличается, поскольку для установки этой роли требуется процесс из двух шагов: сначала вы устанавливаете роль, а затем запускаете dcpromo.
Входим в Диспетчер сервера (Server Manager) и переходим в узел Роли (Roles) в левой панели консоли. Затем нажимаем Добавить роли (Add Roles) в правой панели.
Открывается страница Before You Begin. Если вы впервые устанавливаете роли с помощью диспетчера сервера, то вам нужно прочитать информацию на этой странице. Если вы уже давно работаете с диспетчером сервера, то можете пропустить эту страницу и нажать Далее.
Выбираем роли сервера для установки. Мы установим другие роли сервера позже, но сначала нам нужно установить роль контроллера домена (DC). Выбираем Active Directory Domain Services, отмечая соответствующую опцию. Обратите внимание, что мастер отобразит вам ряд функций, которые будут установлены наряду с ролью Active Directory Server Role. Нажмите кнопку Добавить нужные функции (Add Required Features), чтобы установить эти функции во время установки роли Active Directory Server.
После выбора роли Active Directory DC Server, вы увидите информацию об этой роли сервера. Здесь есть некоторые интересные моменты:
Нажммаем Установить для установки файлов, необходимых для запуска dcpromo.
Установка завершена. Нажимаем Закрыть.
Далееследующий этап - переходим в меню Пуск и вводим dcpromo в текстовом поле Выполнить. Вы найдете его в списке, как показано на рисунке ниже. Нажимаем dcpromo.
Запускается мастер Welcome to the Active Directory Domain Service Installation Wizard. Нам не нужны расширенные опции в этом сценарии, поэтому просто нажимаем Далее.
На странице Совместимость операционной системы (Operating System Compatibility) мастер предупреждает о том, что ваши NT и non-Microsoft SMB клиенты будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008 R2. Нажимаем Далее.
В следующем окне Выбор конфигурации установки (Choose a Deployment Configuration) выбираем опцию Создание нового домена в новом лесу (Create a new domain in a new forest). Мы делаем это по той простой причине, что это новый домен в новом лесу.
В окне Имя корневого домена в лесу (Name the Forest Root Domain) мы вводим название домена в текстовое поле FQDN корневого домена в лесу. В этом примере мы назовем домен fflab.net. Вы можете назвать свой домен, как вам нравится, но если вы используете имя, которые уже используется в интернете (имя, которое уже было зарегистрировано), то у вас могут возникнуть проблемы раздвоения имен. Нажимаем Далее.
В окнек Определение функционального уровня леса (Set Forest Functional Level) выбираем опцию Windows Server 2008 R2 (а не опцию Windows Server 2003, которая показана на рисунке ниже). Мы выбираем опцию Windows Server 2008 R2, чтобы воспользоваться всеми новыми удивительными возможностями, включенными в Windows Server 2008 R2. Нажимаем Далее.
В окне Дополнительные опции контроллера домена (Additional Domain Controller Options) у нас есть единственный выбор: DNS сервер. Опция глобального каталога выбрана и не является опцией по выбору, так как пока что это единственный DC в этом домене, поэтому он должен быть сервером глобального каталога. Опция контроллера домена с разрешением только чтения (Read-only domain controller - RODC) не отмечена, поскольку необходимо иметь другой не-RODC в сети, чтобы включить эту опцию. Выбираем опцию DNS сервер и нажимаем Далее.
Появится диалоговое окно, говорящее о том, что невозможно создать делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер. Причина в том, что это первый DC в сети. Не беспокойтесь об этом и нажмите Да, чтобы продолжить.
Оставляем все по умолчанию и нажимаем Далее.
В окне Directory Service Restore Mode Administrator Password вводим надежный пароль в текстовые поля Пароль (Password) и Подтверждение (Confirm password).
Проверяем информацию на странице Summary и нажимаем Далее.
Установка первого DC занимает немного времени. Отметьте опцию Перезагрузить по окончании (Reboot on completion), чтобы машина автоматически перезагрузилась после установки DC.
Произойдет перезагрузка сервера. Установка будет завершена после того, как вы войдете в систему.
Служба DNS была установлена во время установки Active Directory, поэтому нам не нужно об этом беспокоиться.
на основе : http://www.oszone.net/10457/Windows-Server-2008-R2
[newpage=Установка ключевых ролей и служб]
Ну, вот есть рабочий контроллер домена. Следующий момент – это установка ключевых ролей и служб, необходимых для создания базовой рабочей сети уровня предприятия.
Для этого мы воспользуемся Server Manager, чтобы установить две серверные роли: Certificate Services и DHCP. Опять же, если вы привыкли к Windows 2003, для вас все будет немного по-другому. Мне кажется, использование Server Manager имеет свои преимущества и недостатки, но вообще я думаю, что в Microsoft отлично поработали с интерфейсом Server Manager.
Чтобы установить роли DHCP и Certificate Services, щелкните на узле Roles в левой панели консоли, а затем щелкните Add Roles в правой панели.
Жмем Next, чтобы пропустить страницу Before You Begin. На странице Select Server Roles поставьте отметки в окошках Active Directory Certificate Services и DHCP Server. далее Next.
Сначала Server Manager установит DHCP-сервер, после чего выдаст вам некоторую информацию о службах DHCP. Пара вещей на заметку:
Server Manager обнаружил, что с данной машиной связан единственный статический IP-адрес. Мы воспользуемся этим адресом, поэтому оставьте отметку в соответстующем окошке.
Теперь Server Manager хочет знать, какое доменное имя нужно приписывать клиентам DHCP. В нашем эксперименте мы будем работать с доменом fflab.net - так и запишем в текстовом окне Parent domain. В окне Preferred DNS server IPv4 address вам нужно ввести IP-адрес DNS-сервера, который будет использоваться клиентами для разрешения имен. Обратите внимание: местный адрес хоста вводится по умолчанию. Мы не можем этим воспользоваться, так как клиенты будут пытаться использовать себя для DNS-служб, что неправильно. Введите 10.0.0.2 - IP-адрес контроллера домена и DNS-сервера. Если бы у нас был второй DNS-сервер в сети, мы могли бы добавить IP-адрес второго DNS-сервера в окошке Alternate DNS server IPv4 address. Возможно, в дальнейшем так и нужно будет делать, потому что неплохо всегда иметь два DNS-сервера (и, если уж на то пошло, два контроллера домена).
Затем Server Manager спрашивает об адресе WINS-сервера. Мы еще не установили WINS-сервер, но чуть позже займемся этим. Мы не устанавливаем WINS-сервер сейчас потому, что Microsoft считает WINS скорее функцией, а не ролью, поэтому устанавливать WINS надо через процедуру установки функций. Однако мы ведь знаем, что DC будет у нас WINS-сервером, поэтому мы выберем опцию WINS is required for applications on this network, а затем введем IP-адрес DC в текстовом окошке Preferred WINS server IP address.
DHCP выдает адреса из своей области. Необходима как минимум одна область, чтобы выдавать IP-адреса клиентам DHCP. В диалоговом окне Add Scope введите название области (Scope Name - можно вводить любое, лишь бы вы знали, что это за область и для чего она используется), начальный IP-адрес (Starting IP address), конечный IP-адрес (Ending IP address), тип подсети (Subnet type), маску подсети (Subnet mask) и шлюз по умолчанию (опционально) (Default gateway). В нашем примере вводим следующее:
Шлюзом по умолчанию будет IP-адрес, предназначенный для брандмауэра TMG, который мы будем устанавливать позже.
Server Manager показывает диапазон IP-адресов, выбранных вами для DCHP-области.
В следующем окне идет запрос об IPv6-адресах. Поскольку мы, вероятно, будем пользоваться IPv6 в дальнейших статьях, нужно подумать о том, что делать с IPv6-адресами. Однако в данный момент мы не будем использовать DHCP для распределения адресов для клиентов IPv6. Из-за этого мы выберем Enable DHCPv6 stateless mode for this server. Позже, быть может, мы и поменяем эту опцию, но так как нам не нужно немедленное использование DHCP для IPv6, сейчас включать не будем.
Далее запрос об опциях DHCP для клиентов IPv6. Эти настройки не будут использоваться, ведь мы не собираемся сейчас использовать DHCP для клиентов IPv6, поэтому можно спокойно щелкнуть Next.
В Active Directory хранится список DHCP-серверов, авторизированных для обслуживания клиентов сети. Чтобы DHCP-серверы функционировали в сети Active Directory, их нужно авторизовать в Active Directory. На этой странице вы выбираете авторизационные данные, которые вы хотите использовать для авторизации DHCP-сервера в Active Directory. Поскольку мы являемся администратором домена, мы можем выбрать опцию Use current credentials (Использовать текущие данные). Если бы мы не были администратором, мы могли бы выбрать Use alternate credentials(Использовать альтернативные данные), и затем ввести данные. Или, в случае если бы мы не хотели использовать DHCP-сервер в сети совсем, можно было бы выбрать Skip authorization of this DHCP server in Active Directory DS(Пропустить авторизацию этого DHCP-сервера в Active Directory).
На этом установка DHCP-сервера закончена. Теперь у Server Manager есть вся необходимая информация. Далее Server Manager задаст вас серию вопросов о Certificate Services в Active Directory. Как и для всех центров сертификации, помните, что имя и настройки домена компьютера не могут быть изменены после установки ЦС. Поскольку мы устанавливаем ЦС на DC, проблемы тут нет.
В следующем окне убеждаемся в наличии отметок в окошках Certification Authority и Certification Authority Web Enrollment. Обратите внимание, что мастер Add Roles Wizard вызывает диалоговое окно, оповещающее о том, что ему потребуется добавить число служб, связанных с web, чтобы сайт Web enrollment site заработал. Щелкните Add Required Role Services в знак подтверждения, что так и должно быть.
Теперь нам нужно выбрать тип устанавливаемого ЦС - Enterprise или Standalone. Так как мы хотим воспользоваться преимуществами авторегисрации для машинного сертификата и, возможно, пользовательских сертификатов в данном цикле статей, будем устанавливать ЦС Enterprise.
В производственной среде в вашей инфраструктура PKI будет, скорее всего, несколько ЦС: корневой ЦС и подчиненные ЦС, получающие свои сертификаты от корневого ЦС. Однако у нас в сети будет только один ЦС, корневой, то есть ЦС самого верхнего уровня. Выберите опцию Root CA.
Теперь нам нужно выделить личный ключ ЦС, который будет генерировать и выдавать сертификаты клиентам. Для этого есть пара способов: Создать новый личный ключ или воспользоваться существующим ключом, который уже был выписан другому ЦС. Так как это новая PKI для новой сети, лучший вариант здесь - Create a new private key (Создать новый личный ключ). Выберите эту опцию и перейдите к следующей странице.
Чтобы создать новый личный ключ, вам нужно принять несколько решений. Во-первых, вам нужно выбрать провайдера криптографических служб (cryptographic service provider - CSP). Во-вторых, вам нужно выбрать длину ключа, после чего нужно выбрать алгоритм хэширования для подписи сертификатов. Это может оказаться довольно сложной темой, существуют аргументы в пользу выбора различных CSP, длин ключей и алгоритмов хэширования. Не будем влезать в эти сложности прямо сейчас, поэтому оставим все по умолчанию:
Примите настройки по умолчанию и перейдите к следующей странице.
Теперь нужно вписать имя для ЦС. Это может быть имя самого сервера, но обычно это имя немного меняется, чтобы было понятно, что это ЦС. В нашем примере назовем ЦС FFWIN2008R2-CA. Distinguished name suffix для данного ЦС - DC=fflab, DC=net, что отражает имена доменов ЦС. Будем довольствоваться этими значениями - щелкните Next.
Теперь выбераем, как долго должны быть годны сертификаты ЦС. Значение по умолчанию - 5 лет, что лучше, чем двухлетний период в предыдущих версиях Microsoft CA. По окончании этого периода вам понадобится обновить сертификат. Если вы этого не сделаете, ни один из сертификатов, подписанных данным ЦС, не будет принят, что будет для вас очень мучительно. Оставьте себе заметку о дате истечения срока ЦС и положите себе в календарь, чтобы вы вспомнили обновить сертификат ЦС заранее, до истечения срока.
Примите пути по умолчанию для Certificate database location и Certificate database log location и щелкните Next.
Это все, что касается настройки ЦС. Теперь Server Manager хочет задать вам несколько вопросов об установке IIS. Причина, по которой Server Manager спрашивает о службах IIS, заключается в том, что мы выбрали установку сайта Web enrollment site. Мы не собираемся использовать этот механизм для других Web-служб, поэтому вопросы, освещенные на этой информационной странице, нас не сильно волнуют сейчас.
Ролевые службы, требующиеся для сайта Web enrollment site, выбираются автоматически. Никакой необходимости разбираться самостоятельно. Что просто прекрасно. Щелкните Next.
Теперь у Server Manager есть вся необходимая информация для установки DHCP и служб Certificate services. Подтвердите это в диалоговом окне, в котором подводятся итоги вашей настройки; щелкните Install.
В конце процесса установки вы должны увидеть Installation succeeded в зеленом цвете.
Последняя ключевая сетевая функция, которую мы должны установить, - это WINS. Хотя роль WINS и уменьшена на данном этапе, некоторым службам он будет полезен, возможно даже, некоторым службам в нашей тестовой среде он будет необходим (хотя это и маловероятно, так как мы сконцентрируемся на новинках Windows Server 2008 R2). Исходя из того, что WINS потерял свой блеск, в Microsoft решили сделать его функцией, а не серверной ролью. Но это не проблема, его все равно можно установить через Server Manager.
Откройте Server Manager и щелкните на узле Features в левой панели консоли. Затем щелкните на ссылку Add Features в правой панели.
Поставьте отметку в окошке WINS Server и нажмите Next
Информационное окно сообщает вам о том, что будет установлен WINS. Щелкните Install.
Установка WINS-сервера успешно завершена.
Итак, наш DC теперь полностью установлен и готов выполнять обязанности DC, WINS, DHCP и сервера сертификации.
на основе http://www.oszone.net/11000/Windows-Server-2008-R2-2
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.218 )
Windows Server 2008 R2
sitvladimir, Friday 14 January 2011 - 00:00:00
[newpage=Введение]
ВВЕДЕНИЕ
После установки диска и начала инсталяции вы увидите первую страницу мастера установки, на которой нужно будет определить языковые параметры, формат времени и валюты и способ ввода через клавиатуру или другое устройство.
Нажимаем Далее после выбора всех опций.
Нажимаем кнопку установить сейчас (Install now).
В инсталяционном диске содержатся все версии Windows Server 2008 R2, и мы можем выбрать версию, которую хотим установить. Обратите внимание, что можно даже установить версии Server Core. Но мы не будем устанавливать версию ядра сервера. Давайте выберем опцию Windows Server 2008 R2 Enterprise (полная установка (Full Installation)) и нажмем Далее.
В седующем окне принимаем условия лицензионного соглашения, поставив галочку и нажимаем Далее.
Нажимаем на опцию Выборочная (расширенная) - Custom (advanced). Обратите внимание, что на этой странице нет кнопки ‘Далее’.
В следующем окне определяем, куда установить системные файлы. Выбираем имеющийся жесткий диск размером 24 ГБ для ОС, этого места будет более чем достаточно.
Нажимаем Далее.
После этого - начинается непосредственно сама установка.
Во время первого входа в систему установщик попросит вас создать пароль. Нажмите OK, когда видите изображение, как показано ниже.
Введите пароль и подтверждение, но не нажимайте OK (поскольку здесь нет кнопки OK). Вместо этого нажмите на синий значок стрелки, который не имеет названия, и который расположен справа от текстового поля с подтверждением пароля.
Видим сообщение - пароль был изменен. Нажимаем OK.
Вы, возможно, помните страницы Задач первоначальной настройки (Initial Configuration Tasks), если использовали Windows Server 2008. Если вы не использовали Windows Server 2008, и сразу перешли от использования Windows Server 2003, то страница задач первоначальной конфигурации предоставляет вам доступ ко многим вещам, которые нужно сделать после установки файлов операционной системы. После просмотра этой страницы вы заметите, что многие опции, которые настраивались во время процесса установки в предыдущих версиях, теперь настраиваются здесь. Целью было обеспечить минимум вводимых данных во время установки ОС, и оставить все настройки на самый конец.
На странице Initial Configuration Tasks установливаем следующее:
- Часовой пояс
- Настройки сети
- Имя компьютера и домен
Остальные настройки ыполним после того, как определим IP адрес в сети для этой машины. Назовем этот сервер FFWIN2008R2DC, поскольку это будет контроллер домена в домене FFLAB. FF. Информация IP адресации будет следующей:
- IP адрес : 10.0.0.2
- Основной шлюз:‘ 10.0.0.1
- DNS: 10.0.0.2
- WINS: 10.0.0.2
Конечно, WINS может и не потребоваться, но никогда не знаешь все наверняка, а WINS не будет потреблять много ресурсов, пусть будет.
[newpage=Этап 2]
Поднимаем сервер до контроллера домена.
Если вы до этого обслуживали Windows Server 2003, вы заметите значительную разницу на этом шаге. Да, нам все еще нужно запустить dcpromo из команды Выполнить, но здесь есть небольшое изменение Вам также нужно установить роль Active Directory Domain Controller. Роли сервера являются довольно новым явлением в Windows Server 2008, где основные службы считаются «ролями». Роль контроллера домена Active Directory Domain Controller немного отличается, поскольку для установки этой роли требуется процесс из двух шагов: сначала вы устанавливаете роль, а затем запускаете dcpromo.
Входим в Диспетчер сервера (Server Manager) и переходим в узел Роли (Roles) в левой панели консоли. Затем нажимаем Добавить роли (Add Roles) в правой панели.
Открывается страница Before You Begin. Если вы впервые устанавливаете роли с помощью диспетчера сервера, то вам нужно прочитать информацию на этой странице. Если вы уже давно работаете с диспетчером сервера, то можете пропустить эту страницу и нажать Далее.
Выбираем роли сервера для установки. Мы установим другие роли сервера позже, но сначала нам нужно установить роль контроллера домена (DC). Выбираем Active Directory Domain Services, отмечая соответствующую опцию. Обратите внимание, что мастер отобразит вам ряд функций, которые будут установлены наряду с ролью Active Directory Server Role. Нажмите кнопку Добавить нужные функции (Add Required Features), чтобы установить эти функции во время установки роли Active Directory Server.
После выбора роли Active Directory DC Server, вы увидите информацию об этой роли сервера. Здесь есть некоторые интересные моменты:
- Нужно установить как минимум два DC в своей сети для отказоустойчивости. Установка одного DC в сети является предпосылкой сбоя.
- Требуется DNS. Однако когда мы запустим dcpromo, мы установим роль сервера DNS, поддерживающего службы Active Directory.
- Необходимо запустить dcpromo после установки роли. Вам не придется выполнять дополнительные шаги во время установки других ролей сервера, поскольку весь процесс установки ролей можно выполнить с помощью диспетчера сервера. Роль Active Directory Domain Services является единственной ролью, требующей использования двух шагов для установки.
- Обратите внимание, что во время установки роли Active Directory Domain Services также устанавливаются службы DFS пространства имен, DFS репликации и репликации файлов - все эти службы используются службами Active Directory Domain Services, поэтому устанавливаются автоматически.
Нажммаем Установить для установки файлов, необходимых для запуска dcpromo.
Установка завершена. Нажимаем Закрыть.
Далееследующий этап - переходим в меню Пуск и вводим dcpromo в текстовом поле Выполнить. Вы найдете его в списке, как показано на рисунке ниже. Нажимаем dcpromo.
Запускается мастер Welcome to the Active Directory Domain Service Installation Wizard. Нам не нужны расширенные опции в этом сценарии, поэтому просто нажимаем Далее.
На странице Совместимость операционной системы (Operating System Compatibility) мастер предупреждает о том, что ваши NT и non-Microsoft SMB клиенты будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008 R2. Нажимаем Далее.
В следующем окне Выбор конфигурации установки (Choose a Deployment Configuration) выбираем опцию Создание нового домена в новом лесу (Create a new domain in a new forest). Мы делаем это по той простой причине, что это новый домен в новом лесу.
В окне Имя корневого домена в лесу (Name the Forest Root Domain) мы вводим название домена в текстовое поле FQDN корневого домена в лесу. В этом примере мы назовем домен fflab.net. Вы можете назвать свой домен, как вам нравится, но если вы используете имя, которые уже используется в интернете (имя, которое уже было зарегистрировано), то у вас могут возникнуть проблемы раздвоения имен. Нажимаем Далее.
В окнек Определение функционального уровня леса (Set Forest Functional Level) выбираем опцию Windows Server 2008 R2 (а не опцию Windows Server 2003, которая показана на рисунке ниже). Мы выбираем опцию Windows Server 2008 R2, чтобы воспользоваться всеми новыми удивительными возможностями, включенными в Windows Server 2008 R2. Нажимаем Далее.
В окне Дополнительные опции контроллера домена (Additional Domain Controller Options) у нас есть единственный выбор: DNS сервер. Опция глобального каталога выбрана и не является опцией по выбору, так как пока что это единственный DC в этом домене, поэтому он должен быть сервером глобального каталога. Опция контроллера домена с разрешением только чтения (Read-only domain controller - RODC) не отмечена, поскольку необходимо иметь другой не-RODC в сети, чтобы включить эту опцию. Выбираем опцию DNS сервер и нажимаем Далее.
Появится диалоговое окно, говорящее о том, что невозможно создать делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер. Причина в том, что это первый DC в сети. Не беспокойтесь об этом и нажмите Да, чтобы продолжить.
Оставляем все по умолчанию и нажимаем Далее.
В окне Directory Service Restore Mode Administrator Password вводим надежный пароль в текстовые поля Пароль (Password) и Подтверждение (Confirm password).
Проверяем информацию на странице Summary и нажимаем Далее.
Установка первого DC занимает немного времени. Отметьте опцию Перезагрузить по окончании (Reboot on completion), чтобы машина автоматически перезагрузилась после установки DC.
Произойдет перезагрузка сервера. Установка будет завершена после того, как вы войдете в систему.
Служба DNS была установлена во время установки Active Directory, поэтому нам не нужно об этом беспокоиться.
на основе : http://www.oszone.net/10457/Windows-Server-2008-R2
[newpage=Установка ключевых ролей и служб]
Ну, вот есть рабочий контроллер домена. Следующий момент – это установка ключевых ролей и служб, необходимых для создания базовой рабочей сети уровня предприятия.
Для этого мы воспользуемся Server Manager, чтобы установить две серверные роли: Certificate Services и DHCP. Опять же, если вы привыкли к Windows 2003, для вас все будет немного по-другому. Мне кажется, использование Server Manager имеет свои преимущества и недостатки, но вообще я думаю, что в Microsoft отлично поработали с интерфейсом Server Manager.
Чтобы установить роли DHCP и Certificate Services, щелкните на узле Roles в левой панели консоли, а затем щелкните Add Roles в правой панели.
Жмем Next, чтобы пропустить страницу Before You Begin. На странице Select Server Roles поставьте отметки в окошках Active Directory Certificate Services и DHCP Server. далее Next.
Сначала Server Manager установит DHCP-сервер, после чего выдаст вам некоторую информацию о службах DHCP. Пара вещей на заметку:
- Вам необходимо настроить как минимум один статический IP-адрес на компьютере с DHCP. Для нас это не проблема, так как машина - DC, поэтому у нее уже есть статический IP-адрес.
- Перед установкой DHCP-сервера вам стоит спланировать подсети, области и исключения. До сих пор у нас была только одна подсеть, поэтому мы не слишком много занимались подобными вещами. Однако по мере роста вашей сети нам, вероятно, потребуются дополнительные DHCP-области. Но сейчас мы создадим только одну DHCP-область.
Server Manager обнаружил, что с данной машиной связан единственный статический IP-адрес. Мы воспользуемся этим адресом, поэтому оставьте отметку в соответстующем окошке.
Теперь Server Manager хочет знать, какое доменное имя нужно приписывать клиентам DHCP. В нашем эксперименте мы будем работать с доменом fflab.net - так и запишем в текстовом окне Parent domain. В окне Preferred DNS server IPv4 address вам нужно ввести IP-адрес DNS-сервера, который будет использоваться клиентами для разрешения имен. Обратите внимание: местный адрес хоста вводится по умолчанию. Мы не можем этим воспользоваться, так как клиенты будут пытаться использовать себя для DNS-служб, что неправильно. Введите 10.0.0.2 - IP-адрес контроллера домена и DNS-сервера. Если бы у нас был второй DNS-сервер в сети, мы могли бы добавить IP-адрес второго DNS-сервера в окошке Alternate DNS server IPv4 address. Возможно, в дальнейшем так и нужно будет делать, потому что неплохо всегда иметь два DNS-сервера (и, если уж на то пошло, два контроллера домена).
Затем Server Manager спрашивает об адресе WINS-сервера. Мы еще не установили WINS-сервер, но чуть позже займемся этим. Мы не устанавливаем WINS-сервер сейчас потому, что Microsoft считает WINS скорее функцией, а не ролью, поэтому устанавливать WINS надо через процедуру установки функций. Однако мы ведь знаем, что DC будет у нас WINS-сервером, поэтому мы выберем опцию WINS is required for applications on this network, а затем введем IP-адрес DC в текстовом окошке Preferred WINS server IP address.
DHCP выдает адреса из своей области. Необходима как минимум одна область, чтобы выдавать IP-адреса клиентам DHCP. В диалоговом окне Add Scope введите название области (Scope Name - можно вводить любое, лишь бы вы знали, что это за область и для чего она используется), начальный IP-адрес (Starting IP address), конечный IP-адрес (Ending IP address), тип подсети (Subnet type), маску подсети (Subnet mask) и шлюз по умолчанию (опционально) (Default gateway). В нашем примере вводим следующее:
- Scope name Corpnet
- Starting IP address 10.0.0.201
- Ending IP address 10.0.0.225
- Subnet type Wired (least duration will be 8 days)
- Activate this scope enabled
- Subnet mask 255.255.255.0
- Default gateway (optional) 10.0.0.1
Шлюзом по умолчанию будет IP-адрес, предназначенный для брандмауэра TMG, который мы будем устанавливать позже.
Server Manager показывает диапазон IP-адресов, выбранных вами для DCHP-области.
В следующем окне идет запрос об IPv6-адресах. Поскольку мы, вероятно, будем пользоваться IPv6 в дальнейших статьях, нужно подумать о том, что делать с IPv6-адресами. Однако в данный момент мы не будем использовать DHCP для распределения адресов для клиентов IPv6. Из-за этого мы выберем Enable DHCPv6 stateless mode for this server. Позже, быть может, мы и поменяем эту опцию, но так как нам не нужно немедленное использование DHCP для IPv6, сейчас включать не будем.
Далее запрос об опциях DHCP для клиентов IPv6. Эти настройки не будут использоваться, ведь мы не собираемся сейчас использовать DHCP для клиентов IPv6, поэтому можно спокойно щелкнуть Next.
В Active Directory хранится список DHCP-серверов, авторизированных для обслуживания клиентов сети. Чтобы DHCP-серверы функционировали в сети Active Directory, их нужно авторизовать в Active Directory. На этой странице вы выбираете авторизационные данные, которые вы хотите использовать для авторизации DHCP-сервера в Active Directory. Поскольку мы являемся администратором домена, мы можем выбрать опцию Use current credentials (Использовать текущие данные). Если бы мы не были администратором, мы могли бы выбрать Use alternate credentials(Использовать альтернативные данные), и затем ввести данные. Или, в случае если бы мы не хотели использовать DHCP-сервер в сети совсем, можно было бы выбрать Skip authorization of this DHCP server in Active Directory DS(Пропустить авторизацию этого DHCP-сервера в Active Directory).
На этом установка DHCP-сервера закончена. Теперь у Server Manager есть вся необходимая информация. Далее Server Manager задаст вас серию вопросов о Certificate Services в Active Directory. Как и для всех центров сертификации, помните, что имя и настройки домена компьютера не могут быть изменены после установки ЦС. Поскольку мы устанавливаем ЦС на DC, проблемы тут нет.
В следующем окне убеждаемся в наличии отметок в окошках Certification Authority и Certification Authority Web Enrollment. Обратите внимание, что мастер Add Roles Wizard вызывает диалоговое окно, оповещающее о том, что ему потребуется добавить число служб, связанных с web, чтобы сайт Web enrollment site заработал. Щелкните Add Required Role Services в знак подтверждения, что так и должно быть.
Теперь нам нужно выбрать тип устанавливаемого ЦС - Enterprise или Standalone. Так как мы хотим воспользоваться преимуществами авторегисрации для машинного сертификата и, возможно, пользовательских сертификатов в данном цикле статей, будем устанавливать ЦС Enterprise.
В производственной среде в вашей инфраструктура PKI будет, скорее всего, несколько ЦС: корневой ЦС и подчиненные ЦС, получающие свои сертификаты от корневого ЦС. Однако у нас в сети будет только один ЦС, корневой, то есть ЦС самого верхнего уровня. Выберите опцию Root CA.
Теперь нам нужно выделить личный ключ ЦС, который будет генерировать и выдавать сертификаты клиентам. Для этого есть пара способов: Создать новый личный ключ или воспользоваться существующим ключом, который уже был выписан другому ЦС. Так как это новая PKI для новой сети, лучший вариант здесь - Create a new private key (Создать новый личный ключ). Выберите эту опцию и перейдите к следующей странице.
Чтобы создать новый личный ключ, вам нужно принять несколько решений. Во-первых, вам нужно выбрать провайдера криптографических служб (cryptographic service provider - CSP). Во-вторых, вам нужно выбрать длину ключа, после чего нужно выбрать алгоритм хэширования для подписи сертификатов. Это может оказаться довольно сложной темой, существуют аргументы в пользу выбора различных CSP, длин ключей и алгоритмов хэширования. Не будем влезать в эти сложности прямо сейчас, поэтому оставим все по умолчанию:
- RAS Microsoft Software Key Storage Provider
- 2048 key length
- SHA1 hash algorithm
Примите настройки по умолчанию и перейдите к следующей странице.
Теперь нужно вписать имя для ЦС. Это может быть имя самого сервера, но обычно это имя немного меняется, чтобы было понятно, что это ЦС. В нашем примере назовем ЦС FFWIN2008R2-CA. Distinguished name suffix для данного ЦС - DC=fflab, DC=net, что отражает имена доменов ЦС. Будем довольствоваться этими значениями - щелкните Next.
Теперь выбераем, как долго должны быть годны сертификаты ЦС. Значение по умолчанию - 5 лет, что лучше, чем двухлетний период в предыдущих версиях Microsoft CA. По окончании этого периода вам понадобится обновить сертификат. Если вы этого не сделаете, ни один из сертификатов, подписанных данным ЦС, не будет принят, что будет для вас очень мучительно. Оставьте себе заметку о дате истечения срока ЦС и положите себе в календарь, чтобы вы вспомнили обновить сертификат ЦС заранее, до истечения срока.
Примите пути по умолчанию для Certificate database location и Certificate database log location и щелкните Next.
Это все, что касается настройки ЦС. Теперь Server Manager хочет задать вам несколько вопросов об установке IIS. Причина, по которой Server Manager спрашивает о службах IIS, заключается в том, что мы выбрали установку сайта Web enrollment site. Мы не собираемся использовать этот механизм для других Web-служб, поэтому вопросы, освещенные на этой информационной странице, нас не сильно волнуют сейчас.
Ролевые службы, требующиеся для сайта Web enrollment site, выбираются автоматически. Никакой необходимости разбираться самостоятельно. Что просто прекрасно. Щелкните Next.
Теперь у Server Manager есть вся необходимая информация для установки DHCP и служб Certificate services. Подтвердите это в диалоговом окне, в котором подводятся итоги вашей настройки; щелкните Install.
В конце процесса установки вы должны увидеть Installation succeeded в зеленом цвете.
Последняя ключевая сетевая функция, которую мы должны установить, - это WINS. Хотя роль WINS и уменьшена на данном этапе, некоторым службам он будет полезен, возможно даже, некоторым службам в нашей тестовой среде он будет необходим (хотя это и маловероятно, так как мы сконцентрируемся на новинках Windows Server 2008 R2). Исходя из того, что WINS потерял свой блеск, в Microsoft решили сделать его функцией, а не серверной ролью. Но это не проблема, его все равно можно установить через Server Manager.
Откройте Server Manager и щелкните на узле Features в левой панели консоли. Затем щелкните на ссылку Add Features в правой панели.
Поставьте отметку в окошке WINS Server и нажмите Next
Информационное окно сообщает вам о том, что будет установлен WINS. Щелкните Install.
Установка WINS-сервера успешно завершена.
Итак, наш DC теперь полностью установлен и готов выполнять обязанности DC, WINS, DHCP и сервера сертификации.
на основе http://www.oszone.net/11000/Windows-Server-2008-R2-2
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.218 )