Настройка Active Directory Domain Services

Вот мы и добрались до корпоративного сектора. Начнем цикл статей по настройке сетевой инфраструктуры для небольшого сети, скажем 50 устройств. И центром всего этого будет сервер на Windows Server 2019.

Принцип работы

Можно сравнить DNS-сервер с контактной книгой у вас в телефоне. Есть номер телефона, который вы не помните. Он записан на имя человека или организацию, которую вы знаете. Не открывая номер телефона, нажав на функцию звонка рядом с контактом, можно ему дозвониться.

То же самое с DNS-сервером. IP-адрес никто помнить не обязан, а вот по домену информация хорошо запоминается. Сервер преображает введенную информацию по буквам в числа.

Принцип работы

О том, что такое DNS сервер и тонкостях его настройки писал Ботан тут.

Active Directory.

В сокращение AD или просто домен. Я постараюсь объяснить своими словами что это такое.

Active Directory.

Это служба которая управляет Доменом. И позволяет управлять всеми компьютерами входящими в этот домен. Фактически с сервера вы можете полностью настраивать, управлять и т.д. всей группой ПК в сети. Так называемы групповые политики. Вообщем это просто мега служба с кучей наворотов для администрирования сети. Устанавливаем:

Active Directory.

Запускаем Диспетчер серверов — Управление — Добавить роли и компоненты

Active Directory.

Выбираем все нужные нам роли ( Active Directory, DNS, DHCP — сервер ), включаем галочку перезагрузки если требуется.

Active Directory.

Теперь переходим к настройке, нажимаем повысить роль этого сервера. Пишем название домена, и пароль для восстановления :

Active Directory.

Оставляем все остальное по у молчанию, перезагружаем сервер.

Active Directory.

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

  1. Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
  2. Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
  3. Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет. Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно.

Примечание: некоторые рассуждения, а также множество ссылок на полезный материал, вы можете найти в моей статье Пара слов про именование доменов Active Directory. Рекомендую ознакомиться с ней, а также со списком использованных источников.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Примечание: отключение синхронизации с хостом виртуализации — самый простой и быстрый вариант. Тем не менее, это не best practic. Согласно рекомендациям Microsoft, нужно отключать синхронизацию с хостом лишь частично 1. Для понимания принципа работы читайте официальную документацию 2 3, которая в последние годы радикально подскочила вверх по уровню изложения материала.

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS 4 5:

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Как исправить ошибку DNS-сервера, не являющегося полномочным для зоны?

1. Запустите проверку системных файлов.

Как исправить ошибку DNS-сервера, не являющегося полномочным для зоны?
  1. Некоторые пользователи подтвердили, что запуск проверки средства проверки системных файлов в командной строке исправил ошибку для них. Для этого в Win 10 нажмите клавишу Windows + горячую клавишу X.
  2. Нажмите Командная строка (Администратор) , чтобы открыть окно CP.
  3. Перед запуском сканирования SFC введите «-image/Restorehealth» в приглашении и нажмите «Return».
  4. Затем введите «sfc/scannow» в подсказке и нажмите клавишу ввода Enter.
  5. Дождитесь окончания сканирования SFC, что может занять около 30 минут или дольше. Если в результатах сканирования говорится, что Windows Resource Protection что-то исправило, перезагрузите компьютер или ноутбук.

2. Откройте командную строку из ее папки

Как исправить ошибку DNS-сервера, не являющегося полномочным для зоны?
  1. Ошибка «DNS-сервер не является полномочным для зоны» может быть вызвана тем, что пользователи запускают его из нестандартных расположений ярлыков, таких как панель быстрого запуска. Итак, попробуйте открыть командную строку из ее папки, нажав клавишу Windows + горячую клавишу S.
  2. Введите «cmd» в открывшемся окне поиска.
  3. Нажмите правой кнопкой мыши в командной строке, чтобы выбрать Открыть местоположение файла , и откроется папка, показанная ниже.
  4. Щелкните правой кнопкой мыши командную строку в системной папке Windows и выберите Запуск от имени администратора .

3. Установите новый ярлык командной строки

Как исправить ошибку DNS-сервера, не являющегося полномочным для зоны?
  1. Некоторые пользователи также исправили ошибку «DNS-сервер не является полномочным для зоны», установив новые ярлыки командной строки. Для этого нажмите правой кнопкой мыши на рабочем столе и выберите Новый > Ярлык .
  2. Затем введите «% COMSPEC%» в текстовое поле Введите местоположение .
  3. Нажмите кнопку Далее .
  4. Введите «Командная строка» в текстовом поле «Введите имя».
  5. Выберите параметр Готово , чтобы добавить ярлык на рабочий стол, как показано на снимке ниже.
Читайте также:  Браузер Opera

4. Кому нужна командная строка?

Как исправить ошибку DNS-сервера, не являющегося полномочным для зоны?

Помните, что существует множество альтернатив командной строке. Для начала пользователи могут использовать PowerShell в Windows 10. Введите «PowerShell» в поле поиска Cortana и щелкните Windows PowerShell, чтобы открыть эту утилиту командной строки.

Кроме того, существуют также многочисленные альтернативы командной строки сторонних производителей. Console 2, PowerCMD и Terminal Windows – это всего лишь три известные альтернативные программные альтернативы. Эти сторонние утилиты командной строки содержат вкладки и больше параметров настройки, чем встроенная командная строка.

Как исправить ошибку DNS-сервера, не являющегося полномочным для зоны?

Таким образом, пользователи, которые по-прежнему не могут исправить DNS-сервер, не являющийся полномочным для зоны , могут воспользоваться некоторыми из этих альтернатив командной строки.

Смена DNS-сервера на macOS

Зайдите в системные настройки и кликните на иконку «Сеть». Далее выберите карточку вашей сети слева — в большинстве случаев это будет Wi-Fi. Нажмите на кнопку «Дополнительно».

Смена DNS-сервера на macOS

Когда вы попадёте в дополнительные настройки, откройте мини-вкладку DNS. Там вы сможете добавить новый адрес сервера в список. Если увидите запись, выделенную серым цветом, просто не обращайте на неё внимания и кликните по кнопке «+» в колонке DNS-серверы, чтобы добавить новую запись.

Смена DNS-сервера на macOS

Если вы хотите использовать серверы Google Public DNS, нужно добавить две новые записи в список DNS-серверов: 8.8.8.8 и 8.8.4.4. Если вам больше нравится OpenDNS, используйте эти два адреса: и

Смена DNS-сервера на macOS

Настройка системы

Этот процесс несколько отличается на разных версиях обеспечения, поэтому мы рассмотрим его отдельно на Windows Server 2008 и 2012.

Итак, начальная настройка версии 2008 R2 делается так:

  1. После первой загрузки перед вами появится меню «Задач первоначальной настройки».
  2. Задайте часовой пояс.
  3. Укажите имя для компьютера.
  4. Введите настройки сети VPN — IP и DNS адреса, данные шлюза и WINS.

Как сделать этот компьютер контроллером домена? Для этого вам потребуется следующее:

  • Откройте Диспетчер Сервера.
  • В меню слева выберите вкладку Roles.
  • Нажмите Add roles («Добавить роли»).
  • Появится ознакомительная информация — если вы впервые делаете установку подобных компонентов, вам стоит её прочесть.
  • Далее, выберите роль Active Directory Domain Services.
  • Вам отобразятся функции, которые будут загружены вместе с ролью, после следует выбрать их установку кнопкой Add required features.
  • Теперь вы увидите ещё немного сопровождающей информации о том, что нужно ставить как минимум два контроллера, задать настройки DNS и запустить dcpromo после загрузки роли — это мы и сделаем позже.
  • После прочтения жмите «Далее» и «Установить» (Next, Install).
  • По окончании установки закройте окно и откройте Пуск.
  • Введите в поле «Выполнить» значение dcpromo.
  • Запустится мастер, после информации о совместимости нажмите Next.
  • В окне выбора конфигурации остановитесь на Create a new domain in a new forest.
  • Введите название домена, следуйте дальше.
  • Выберите действующую версию Windows Server 2008 R
  • В окне дополнительных функций отметьте DNS сервер, на предупреждение нажмите Yes.
  • В следующем меню измените адреса директорий — но только если вам действительно это нужно.
  • Установите пароль, жмите «Далее».
  • Проверьте в Summary список устанавливаемых компонентов, если всё нормально, жмите Next.
Читайте также:  Заставить Windows запомнить отображение файлов в папке.

После перезагрузки компьютера изменения вступят в силу.

Настройка системы

Давайте теперь остановимся на том, как происходит первоначальная настройка VPN и прочих параметров на операционной системе 2012 года.

А выполняется она таким образом:

  1. После первого запуска перед вами появится Диспетчер серверов, выберите вкладку Локальный сервер.
  2. Первым делом можно изменить имя этого компьютера — кликните правой клавишей на текущее название, выберите Свойства.
  3. В открывшемся окне на вкладке «Имя компьютера» выберите «Изменить».
  4. Введите новое имя для ПК, кликните ОК, в основном окне — «Применить».
  5. Установите дату и время — соответствующая строка есть в том же меню локального сервера.
  6. Как настроить VPN на Windows Server 2012? Для этого нажмите на строку напротив Ethernet и впишите необходимые данные сети.
  7. В появившемся окне выберите адаптер сети, в контекстном меню — «Свойства».
  8. В свойствах подключения из списка выберите «Протокол интернета 4».
  9. В настройках протокола введите нужные данные — DNS-адрес, маску подсети и шлюз, сохраните изменения.

И последнее, что стоит сделать при первоначальной настройке — разрешить доступ к этому компьютеру с других устройств. Для этого в меню Диспетчера серверов снова выберите Локальный сервер, найдите строку «Удалённый рабочий стол».

Кликните по ссылке этой строки, в открывшемся окне отметьте «Разрешить удалённые подключения к компьютеру…» и поставьте галочку напротив пункта ниже — последнее действие выполняется по желанию.

Тестирование сервера bind

Для тестирования новой конфигурации сервера имен bind нам пригодится команда dig из пакета dnsutils. Эту команду можно запустить на любом компьютере с сетевым доступом к вашему DNS-серверу, но лучше всего начать тестирование с локального узла. В рассматриваемом нами примере IP-адрес сервера имен Сначала проверим прямое разрешение имени (получение IP-адреса по доменному имени):

dig @

Теперь проверим обратную зону:

Тестирование сервера bind

dig @ -x

Если вы получили аналогичные результаты, то зона DNS настроена правильно. Вместо команды dig для тестирования можно также использовать команду nslookup.

nslookup

nslookup

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Тестирование сервера bind

Похожие посты:

  1. Firewalld, установка и настройка, зоны, NAT, проброс портов
  2. Пользователи и группы в linux. Добавление удаление редактирование пользователей
  3. Команда cat в Linux
  4. Система контроля версий GIT