Роль контроллера домена: настройка контроллера домена

Предварительная подготовка

Перед настройкой сервера в качестве контроллера домена, необходимо убедиться в следующем.

Правильно установлены параметры конфигурации TCP/IP для сервера, особенно использующиеся для сопоставления DNS-имен. Дополнительные сведения см. в разделе Чтобы настроить TCP/IP на использование DNS.
Все существующие тома диска используют файловую систему NTFS. Для службы Active Directory необходим, по меньшей мере, один том NTFS для размещения папок SYSVOL с их содержимым. Тома FAT32 не безопасны и не поддерживают сжатие файлов и папок, дисковые квоты, шифрование файлов и разрешения специального доступа к файлам.

Следующая таблица содержит сведения, необходимые для добавления дополнительного контроллера домена.

Перед добавлением роли дополнительного контроллера домена	Комментарии
Определите узлы, для которых требуется добавить контроллер домена.	Если сеть разделена на сайты, рекомендуется разместить по крайней мере один контроллер домена в каждом сайте для улучшения быстродействия сети. Необходимой частью процесса входа пользователей в сеть является установление связи с контроллером домена. Если клиенты подключаются к контроллеру домена, расположенному в другом сайте, процесс входа в систему может продолжаться длительное время.
Определите способ добавления дополнительного контроллера домена — через сеть или используя архив существующего контроллера домена на устройстве хранения данных.	В операционных системах Windows Server 2003 можно установить Active Directory на рядовой сервер с резервной копии, полученной с контроллера домена под управлением системы Windows Server 2003. Этот архив может храниться на любом носителе (магнитной ленте, DVD или компакт-диске) или на общем сетевом ресурсе. Но в последнем случае значительно уменьшается пропускная способность сети. Сетевое соединение по-прежнему необходимо для репликации новых объектов и недавних изменений существующих объектов на новый контроллер домена. Сведения о создании дополнительных контроллеров домена с резервной копии на носителе см. в разделе Создание дополнительных контроллеров домена.
Определите, будет ли глобальный каталог размещаться в новом контроллере домена.	В глобальном каталоге хранится полная копия всех объектов папки для его домена и частично копия всех объектов для всех других доменов леса. Для оптимизации производительности сети в среде нескольких сайтов рекомендуется добавить глобальные каталоги к выбранным сайтам. В среде одиночного сайта одного глобального каталога обычно достаточно для обработки запросов к Active Directory. Но в среде нескольких сайтов глобальные каталоги следует добавлять во все сайты. Дополнительные сведения о добавлении глобальных каталогов в среде нескольких сайтов см. в разделе Глобальные каталоги и сайты.
Доступны контроллеры домена, работающие под управлением Windows 2000 или Windows Server 2003.	Для добавления дополнительного контроллера домена необходимо, чтобы в домене был хотя бы один контроллер под управлением Windows 2000 или Windows Server 2003. Контроллеры домена Active Directory нельзя настроить как резервные контроллеры домена (BDC) для доменов Windows NT.
Для добавления контроллера домена получите учетную запись администратора.	Чтобы добавить контроллер домена в существующий домен, необходимо либо быть членом группы администраторов домена или группы администраторов предприятия в Active Directory, либо иметь соответствующие разрешения.
Определите DNS-имя домена Active Directory, в который требуется добавить дополнительный контроллер домена.	При использовании мастера установки Active Directory необходимо указывать DNS-имя домена.

Настройка контроллера домена

Для настройки дополнительного контроллера домена запустите мастер настройки сервера, выполнив следующие действия.

В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
XOX

На странице Роль сервера выберите Контроллер домена (Active Directory) и нажмите кнопку Далее.

В этом разделе описаны шаги данного процесса, возможные варианты и предполагаемые решения при настройке контроллера домена. В следующем разделе содержится описание этих этапов.

Сводка выбранных параметров

На странице Сводка выбранных параметров мастера настройки сервера просмотрите и подтвердите выбранные параметры. Если на предыдущей странице был выбран пункт Контроллер домена (Active Directory), будут отображены следующие параметры.

Запуск мастера установки Active Directory для настройки данного сервера в качестве контроллера домена

Для применения параметров, выбранных на странице Сводка выбранных параметров, нажмите кнопку Далее.

Использование мастера установки Active Directory

После нажатия кнопки Далее автоматически запускается мастер установки Active Directory. Если установка Active Directory на сервер выполняется первый раз, просмотрите дополнительные сведения в разделе Справка Active Directory.

После прочтения справки Active Directory нажмите кнопку Далее. К этой странице можно вернуться из любого места мастера, пока не нажата кнопка Готово на последней странице. Прочтите сведения, расположенные на странице Совместимость операционных систем, и нажмите кнопку Далее. Если установка Active Directory на сервер под управлением Windows Server 2003 выполняется первый раз, просмотрите дополнительные сведения в разделе Справка по совместимости.

В этом разделе описаны следующие шаги при работе с мастером установки Active Directory.

Дополнительный контроллер домена

Сетевые учетные данные

Лес можно использовать в качестве первого домена Active Directory в организации.

Тип контроллера домена

На странице Тип контроллера домена мастера установки Active Directory нажмите кнопку Добавочный контроллер домена в существующем домене.

В процессе создания и добавления контроллера домена мастер удаляет с сервера все локальные учетные записи, криптографические ключи и шифрованные данные, такие как зашифрованные файлы и сообщения электронной почты. Чтобы предотвратить потерю данных, выполните рекомендации на странице Тип контроллера домена, прежде чем перейти к следующей странице.

Для продолжения нажмите кнопку Далее.

Сетевые учетные данные

На странице Сетевые учетные данные введите имя пользователя, пароль и домен учетной записи пользователя, который предполагается использовать.

Параметр	Комментарии
Имя пользователя	Введите имя учетной записи пользователя, который имеет необходимые административные права. Учетная запись пользователя должна либо входить в группу администраторов конечного домена или в группу администраторов предприятия, либо иметь соответствующие разрешения.
Пароль	Введите пароль учетной записи пользователя. Это обязательно должен быть надежный пароль. Дополнительные сведения см. в разделе Надежные пароли.
Домен	Введите полное DNS-имя домена, в котором действительны данные имя пользователя и пароль (например, child.microsoft.com). Это тот домен, в который требуется добавить дополнительный контроллер домена.

Для продолжения нажмите кнопку Далее.

Дополнительный контроллер домена

На странице Добавочный контроллер домена введите полное DNS-имя домена, в который добавляется данный контроллер домена. Полное DNS-имя также называют полным доменным именем (FQDN). Домены Active Directory обозначаются с помощью DNS-имен и повторяют иерархическую структуру DNS.

Для продолжения нажмите кнопку Далее.

Папки базы данных и журналов

На странице Папки базы данных и журналов введите расположение, в которое нужно установить папки базы данных и журналов, или нажмите кнопку Обзор, чтобы указать расположение. Убедитесь, что на диске достаточно места для размещения базы данных каталога и файлов журналов, чтобы избежать проблем при установке или удалении Active Directory. Мастеру установки Active Directory необходимо 250 МБ дискового пространства для установки базы данных Active Directory и 50 МБ для файлов журналов. Рекомендуется размещать данные файлы в разделе NTFS.

Для продолжения нажмите кнопку Далее.

Общий доступ к системному тому

На странице Общий доступ к системному тому примите расположение по умолчанию, в которое требуется установить папку Sysvol, или нажмите кнопку Обзор, чтобы выбрать расположение. Папка Sysvol должна находиться в томе NTFS, так как в ней находятся файлы, реплицируемые между контроллерами домена в домене или лесу. Эти файлы содержат сценарии, системные политики для Windows NT 4.0 и более ранних версий, общие папки Netlogon и Sysvol и параметры групповой политики.

Для продолжения нажмите кнопку Далее.

Пароль администратора для режима восстановления

На странице Пароль администратора для режима восстановления введите и подтвердите пароль для учетной записи администратора режима восстановления для данного сервера. В качестве паролей режима восстановления каталогов необходимо использовать надежные пароли. Дополнительные сведения см. в разделе Надежные пароли.

Внимание!

Этот пароль необходимо знать для восстановления резервной копии состояния системы данного контроллера домена.

Используйте данный пароль при запуске контроллера домена в режиме восстановления служб каталогов. Если установка Active Directory на сервер выполняется первый раз, дополнительные сведения о пароле режима восстановления см. в разделе Справка Active Directory.

Для продолжения нажмите кнопку Далее.

Сводка

Просмотрите сведения на странице Сводка и нажмите кнопку Далее.

После завершения установки нажмите кнопку Готово. Для перезагрузки компьютера нажмите кнопку Перезагрузить сейчас, чтобы изменения вступили в силу.

Завершение работы мастера настройки сервера

После перезагрузки сервера мастер настройки сервера отобразит страницу Этот сервер теперь является контроллером домена. Для просмотра всех изменений, сделанных на сервере мастером настройки сервера, или для проверки успешной установки новой роли щелкните ссылку Просмотр сведений о настройке журнала сервера. Мастер настройки сервера находится в папке системный_корневой_каталог\Debug\Configure Your Server.log. Чтобы закрыть мастер настройки сервера, нажмите кнопку Готово.

Удаление роли контроллера домена

Если требуется перенастроить сервер для другой роли, можно удалить существующую роль. Вместе с удалением роли контроллера домена служба Active Directory также удаляется с сервера. После удаления Active Directory данный сервер не участвует в репликации объектов каталогов и запросов домена на проверку подлинности пользователей.

Для удаления роли контроллера домена необходимо перезапустить мастер настройки сервера, выполнив любое из следующих действий.

В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
XOX

На странице Роль сервера выберите Контроллер домена (Active Directory) и нажмите кнопку Далее. На странице Подтверждение удаления роли просмотрите список под заголовком Сводка, установите флажок Удалить роль контроллера доменов, нажмите кнопку Далее и следуйте указаниям мастера установки Active Directory.

Дальнейшие действия: выполнение дополнительных задач

После завершения установки Active Directory сервер настроен как контроллер домена. Его можно применять для хранения данных, управления объектами и предоставления сведений пользователям, компьютерам и приложениям. На данном этапе завершается создание дополнительного контроллера домена в существующем домене.

В следующей таблице перечислены дополнительные задачи, которые можно выполнять на контроллере домена.

Задача	Назначение задачи	Ссылка
Контроллер домена следует размещать в закрытом помещении.	Обеспечивается физическая защита контроллера домена.	Контроллеры домена; Защита Active Directory
Для защиты паролей используйте методы надежного шифрования.	Обеспечивается защита пароля учетной записи в новом контроллере домена.	Служебная программа системного ключа

Создание контроллера домена для нового леса

Контроллер домена для нового леса можно создавать, когда требуется обновить домен Windows NT, чтобы сделать его первым доменом в новом лесу, разделить сеть на сегменты для создания административной автономии, обеспечить защиту конфиденциальных данных, изолировать область репликации каталогов или использовать несвязанное пространство DNS-имен, отличающееся от существующего леса в сети. Как показано в следующем примере, лес microsoft.com является первым доменом Active Directory в организации.

В этом разделе описаны основные шаги настройки контроллера домена для нового леса в организации.

В этом процессе для установки на сервер Active Directory используются мастер настройки сервера и мастер установки Active Directory. После установки контроллера домена можно выполнить дополнительную настройку.

В этом разделе:

Предварительная подготовка

Перед настройкой сервера в качестве контроллера домена нужно проверить следующие условия.

Правильно установлены параметры конфигурации TCP/IP для сервера, особенно использующиеся для сопоставления DNS-имен. Дополнительные сведения см. в разделе Чтобы настроить TCP/IP на использование DNS.
Все существующие тома диска используют файловую систему NTFS. Для службы Active Directory необходим, по меньшей мере, один том NTFS для размещения папок SYSVOL с их содержимым. Тома FAT32 не безопасны и не поддерживают сжатие файлов и папок, дисковые квоты, шифрование файлов и разрешения специального доступа к файлам.

Следующая таблица содержит сведения необходимые для добавления контроллера домена для нового леса.

Перед добавлением новой роли контроллера домена для нового леса	Комментарии
Убедитесь, что для организации служба DNS настроена правильно.	Необходимо убедиться, что служба DNS правильно настроена в сети и поддерживает динамическое обновление динамическое обновление и записи ресурса службы (SRV). Если на данном сервере не настроена инфраструктура DNS, во время первой установки Active Directory в организации мастер установки Active Directory устанавливает и настраивает службу DNS. Для функционирования Active Directory необходима служба DNS, имеющая ту же иерархическую структуру, что и Active Directory. Например, microsoft.com является доменом DNS и Active Directory.
Для создания леса необходимо получить учетную запись администратора.	Чтобы создать новый лес, необходимо быть членом группы администраторов на локальном компьютере или иметь соответствующие полномочия.

Перед добавлением новой роли контроллера домена для нового леса

Комментарии

Убедитесь, что для организации служба DNS настроена правильно.

Необходимо убедиться, что служба DNS правильно настроена в сети и поддерживает динамическое обновление динамическое обновление и записи ресурса службы (SRV). Если на данном сервере не настроена инфраструктура DNS, во время первой установки Active Directory в организации мастер установки Active Directory устанавливает и настраивает службу DNS. Для функционирования Active Directory необходима служба DNS, имеющая ту же иерархическую структуру, что и Active Directory. Например, microsoft.com является доменом DNS и Active Directory.

Для создания леса необходимо получить учетную запись администратора.

Чтобы создать новый лес, необходимо быть членом группы администраторов на локальном компьютере или иметь соответствующие полномочия.

Настройка контроллера домена

Для настройки контроллера домена запустите мастер настройки сервера, выполнив следующие действия.

В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
XOX

На странице Роль сервера выберите Контроллер домена (Active Directory) и нажмите кнопку Далее.

В этом разделе описаны шаги данного процесса, возможные варианты и предполагаемые решения при настройке контроллера домена. В разделах ниже содержится описание следующих шагов.

Сводка выбранных параметров

На странице Сводка выбранных параметров мастера настройки сервера просмотрите и подтвердите выбранные параметры. Если на предыдущей странице был выбран пункт Контроллер домена (Active Directory), будут отображены следующие параметры.

Запуск мастера установки Active Directory для настройки данного сервера в качестве контроллера домена

Для применения параметров, выбранных на странице Сводка выбранных параметров, нажмите кнопку Далее.

Использование мастера установки Active Directory

После нажатия кнопки Далее автоматически запускается мастер установки Active Directory. Если установка Active Directory на сервер выполняется первый раз, просмотрите дополнительные сведения в разделе Справка Active Directory.

После прочтения справки Active Directory нажмите кнопку Далее. К этой странице можно вернуться из любого места мастера, пока не нажата кнопка Готово на последней странице. Прочтите сведения, расположенные на странице Совместимость операционных систем, и нажмите кнопку Далее. Если установка Active Directory на сервер под управлением Windows Server 2003 выполняется первый раз, просмотрите дополнительные сведения в разделе Справка по совместимости.

В этом разделе описаны следующие шаги при работе с мастером установки Active Directory.

Создать новый домен

Новое имя домена

NetBIOS-имя домена

Диагностика регистрации DNS

Разрешения

Дочерний домен используется для формирования единого пространства имен с родительским доменом.

Тип контроллера домена

На странице Тип контроллера домена выберите вариант Контроллер домена в новом домене.

Для продолжения нажмите кнопку Далее.

Создание нового домена

На странице Создать новый домен выберите вариант Новый домен в новом лесу.

Для продолжения нажмите кнопку Далее.

Новое имя домена

На странице Новое имя домена введите полное DNS-имя нового домена. Введите полное DNS-имя для создаваемого нового леса Active Directory (например, headquarters.example.microsoft.com). Полное DNS-имя также называют полным доменным именем (FQDN). Домены Active Directory обозначаются с помощью DNS-имен и повторяют иерархическую структуру DNS. DNS-имена для леса Active Directory должны начинаться с зарегистрированного суффикса домена DNS, который зарезервирован организацией для использования в Интернете, например microsoft.com.

Для продолжения нажмите кнопку Далее.

NetBIOS-имя домена

Проверьте NetBIOS-имя на странице NetBIOS-имя домена. Хотя домены Active Directory обозначаются в соответствии со стандартами именования DNS, необходимо задать NetBIOS-имя при создании доменов Active Directory. NetBIOS-имена по возможности должны совпадать с первой меткой DNS-имени домена. Если первая метка DNS-имени домена Active Directory отличается от его NetBIOS-имени, в качестве полного доменного имени используется DNS-имя, а не NetBIOS-имя. Например, если первая метка полного DNS-имени домена — «child» (child.microsoft.com), а NetBIOS-имя домена — «sales», полным доменным именем будет «child.microsoft».com.

Для продолжения нажмите кнопку Далее.

Папки базы данных и журналов

На странице Папки базы данных и журналов введите расположение, в которое нужно установить папки базы данных и журналов, или нажмите кнопку Обзор, чтобы указать расположение. Убедитесь, что на диске достаточно места для размещения базы данных каталога и файлов журналов, чтобы избежать проблем при установке или удалении Active Directory. Мастеру установки Active Directory необходимо 250 МБ дискового пространства для установки базы данных Active Directory и 50 МБ для файлов журналов. Рекомендуется размещать данные файлы в разделе NTFS.

Для продолжения нажмите кнопку Далее.

Общий доступ к системному тому

На странице Общий доступ к системному тому укажите расположение, в которое следует установить папку Sysvol, или нажмите кнопку Обзор, чтобы выбрать расположение. Папка Sysvol должна находиться в томе NTFS, так как в ней находятся файлы, реплицируемые между контроллерами домена в домене или лесу. Эти файлы содержат сценарии, системные политики для Windows NT 4.0 и более ранних версий, общие ресурсы NETLOGON и SYSVOL и параметры групповой политики.

Для продолжения нажмите кнопку Далее.

Диагностика регистрации DNS

На странице Диагностика регистрации DNS проверьте правильность установки параметров.

Если в окне Результаты диагностики отображается сообщение об ошибках диагностики, нажмите кнопку Справка для получения дополнительных инструкций по устранению ошибки.

Для продолжения нажмите кнопку Далее.

Разрешения

На странице Разрешения выберите требуемый уровень совместимости приложений с операционными системами пред-Windows 2000, Windows 2000 или Windows Server 2003.

На серверах, работающих под управлением Windows NT 4.0 и более ранних версий, доступ на чтение сведений о пользователях и группах открыт для анонимных пользователей таким образом, что существующие приложения, в том числе Microsoft BackOffice, SQL Server и некоторые приложения других производителей, работают правильно. В Windows 2000 и системах семейства Windows Server 2003 члены группы «Анонимный вход» имеют доступ на чтение к этим сведениям только в случае, если они включены в группу «Пред-Windows 2000 доступ».

Параметр	Комментарий
Разрешения, совместимые с серверами пред-Windows 2000.	Выберите этот вариант, чтобы добавить группы «Анонимный вход» и «Все» в группу «Пред-Windows 2000 доступ».
Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003	Выберите этот вариант, чтобы запретить доступ на чтение сведений о пользователях и группах членам группы «Анонимный вход».

После выбора одного из вариантов можно вручную переключаться между обратной совместимостью и высоким уровнем безопасности объектов Active Directory. Для этого откройте оснастку «Active Directory - пользователи и компьютеры» и добавьте группу безопасности «Анонимный вход» в группу безопасности «Пред-Windows 2000 доступ».

Для продолжения нажмите кнопку Далее.

Пароль администратора для режима восстановления

На странице Пароль администратора для режима восстановления введите и подтвердите пароль для учетной записи администратора режима восстановления для данного сервера. В качестве паролей режима восстановления каталогов необходимо использовать надежные пароли. Дополнительные сведения см. в разделе Надежные пароли.

Внимание!

Этот пароль необходимо знать для восстановления резервной копии состояния системы данного контроллера домена.

Используйте данный пароль при запуске контроллера домена в режиме восстановления служб каталогов. Если установка Active Directory на сервер выполняется первый раз, дополнительные сведения о пароле режима восстановления см. в разделе Справка Active Directory.

Для продолжения нажмите кнопку Далее.

Сводка

Просмотрите сведения на странице Сводка и нажмите кнопку Далее.

После завершения установки нажмите кнопку Готово. Для перезагрузки компьютера нажмите кнопку Перезагрузить сейчас, чтобы изменения вступили в силу.

Завершение мастера настройки сервера

После перезагрузки сервера мастер настройки сервера отобразит страницу Этот сервер теперь является контроллером домена. Для просмотра всех изменений, сделанных на сервере мастером настройки сервера, или для проверки успешной установки новой роли щелкните ссылку Просмотр сведений о настройке журнала сервера. Мастер настройки сервера находится в папке системный_корневой_каталог\Debug\Configure Your Server.log. Чтобы закрыть мастер настройки сервера, нажмите кнопку Готово.

Удаление роли контроллера домена

Если требуется перенастроить сервер для другой роли, можно удалить существующую роль. Вместе с удалением роли контроллера домена служба Active Directory также удаляется с сервера. После удаления Active Directory данный сервер не участвует в репликации объектов каталогов и запросов домена на проверку подлинности пользователей.

Для удаления роли контроллера домена необходимо перезапустить мастер настройки сервера, выполнив любое из следующих действий.

В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
XOX

На странице Роль сервера выберите Контроллер домена (Active Directory) и нажмите кнопку Далее. На странице Подтверждение удаления роли просмотрите список под заголовком Сводка, установите флажок Удалить роль контроллера доменов, нажмите кнопку Далее и следуйте указаниям мастера установки Active Directory.

Дальнейшие действия: выполнение дополнительных задач

После завершения установки Active Directory сервер настроен как контроллер домена. Его можно применять для хранения данных, управления объектами и предоставления сведений пользователям, компьютерам и приложениям. На этом этапе заканчивается создание контроллера домена для нового леса.

В следующей таблице перечислены дополнительные задачи, которые можно выполнять на контроллере домена.

Задача	Назначение задачи	Ссылка
Контроллер домена следует размещать в закрытом помещении.	Обеспечивается физическая защита контроллера домена.	Контроллеры домена; Защита Active Directory
Используйте надежные методы шифрования.	Обеспечивается защита пароля учетной записи в новом контроллере домена.	Служебная программа системного ключа
Проверяйте подлинность и действительность каждого пользователя.	Для усиления безопасности леса с помощью криптографии открытого ключа.	Инфраструктура открытого ключа
Требование ко всем пользователям использовать надежные пароли.	Для предотвращения несанкционированного доступа в сеть организации.	Надежные пароли
Включение политик аудита.	Позволяет получать уведомления о действиях, представляющих риск для системы безопасности.	Политика аудита
Включите блокировку учетных записей для учетных записей пользователей.	Применение политики блокировки учетных записей снижает вероятность проникновения злоумышленника в домен путем повторяющихся попыток.	Учетные записи пользователей и компьютеров
Требовать неповторяемости паролей учетной записи пользователя.	Снижает вероятность проникновения злоумышленника в домен.	Требовать неповторяемости паролей
Указывать минимальный и максимальный срок действия пароля учетной записи пользователя.	Снижает вероятность проникновения злоумышленника в домен.	Минимальный срок действия пароля; Максимальный срок действия пароля
Проводить фильтрацию SID.	Предотвращает атаки злоумышленников, пытающихся назначить учетной записи повышенные привилегии.	«Использование фильтрации SID для предотвращения атак с целью повышения привилегий» на веб-узле Майкрософт.(http://www.microsoft.com/)
Применение смарт-карт.	Предоставляет безопасную проверку подлинности пользователя и защиту электронной почты.	Общие сведения о смарт-картах
Ограничение доступа к общим ресурсам и параметрам фильтра групповой политики для пользователей, групп и компьютеров.	Обеспечивает защиту ресурсов.	Группы безопасности
Создание доверия лесов (при необходимости).	Устанавливает безопасные отношения между двумя лесами и упрощает безопасное администрирование и проверку подлинности в лесах.	Доверие лесов
Назначение пользовательских прав новым группам безопасности.	Используется для задания административных ролей отдельных членов домена.	Пользовательские права, назначенные группам безопасности в Active Directory.

Создание контроллера домена для нового дочернего домена

C помощью контроллера домена для нового дочернего домена можно создать домен, имеющий общее связанное пространство имен, в котором существует один или несколько доменов. Это означает, что имя нового дочернего домена содержит полное имя родительского домена. Например, домен child.microsoft.com является дочерним по отношению к домену microsoft.com, как показано в следующем примере. Рекомендуется создавать новые домены как дочерние по отношению к корневому домену леса.

В этом разделе описаны основные шаги настройки контроллера домена для нового дочернего домена в организации.

В этом процессе для установки на сервер Active Directory используются мастер настройки сервера и мастер установки Active Directory. После установки контроллера домена можно выполнить дополнительную настройку.

В этом разделе:

Предварительная подготовка

Перед настройкой сервера в качестве контроллера домена нужно проверить следующие условия.

Правильно установлены параметры конфигурации TCP/IP для сервера, особенно использующиеся для сопоставления DNS-имен. Дополнительные сведения см. в разделе Чтобы настроить TCP/IP на использование DNS.
Все существующие тома диска используют файловую систему NTFS. Для службы Active Directory необходим, по меньшей мере, один том NTFS для размещения папок SYSVOL с их содержимым. Тома FAT32 не безопасны и не поддерживают сжатие файлов и папок, дисковые квоты, шифрование файлов и разрешения специального доступа к файлам.

Следующая таблица содержит сведения, необходимые для добавления контроллера домена.

Действия перед добавлением роли контроллера домена	Комментарии
Определите DNS-имя домена Active Directory, в который требуется добавить контроллер домена.	Укажите DNS-имя домена для родительского домена нового дочернего домена.
Убедитесь, что скорость сети достаточна для установки Active Directory.	Сервер, на котором требуется установить Active Directory и создать дочерний домен, должен иметь высокоскоростное подключение к сети.
Определите узлы, для которых требуется добавить контроллер домена.	Если сеть разделена на сайты, рекомендуется разместить по крайней мере один контроллер домена в каждом сайте для улучшения быстродействия сети. Необходимой частью процесса входа пользователей в сеть является установление связи с контроллером домена. Если клиенты подключаются к контроллеру домена, расположенному в другом сайте, процесс входа в систему может продолжаться длительное время.
Определите, будет ли глобальный каталог размещаться в новом контроллере домена.	Глобальный каталог содержит копии всех объектов Active Directory в лесу на контроллере домена. В глобальном каталоге хранится полная копия всех объектов папки для его домена и частично копия всех объектов для всех других доменов леса. Для оптимизации производительности сети в среде нескольких сайтов рекомендуется добавить глобальные каталоги к выбранным сайтам. В среде одиночного сайта одного глобального каталога обычно достаточно для обработки запросов к Active Directory. Но в среде нескольких сайтов глобальные каталоги следует добавлять во все сайты. Дополнительные сведения о добавлении глобальных каталогов в среде нескольких сайтов см. в разделе Глобальные каталоги и сайты.
Для создания дочернего домена необходимо получить учетную запись администратора.	Чтобы добавить новый дочерний домен, необходимо либо быть членом группы администраторов домена (в родительском домене) или группы администраторов предприятия в Active Directory, либо иметь соответствующие разрешения.

Настройка контроллера домена

Для настройки контроллера домена запустите мастер настройки сервера, выполнив следующие действия.

В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
XOX

На странице Роль сервера выберите Контроллер домена (Active Directory) и нажмите кнопку Далее.

В этом разделе описаны шаги данного процесса, возможные варианты и предполагаемые решения при настройке контроллера домена. В разделах ниже содержится описание следующих шагов.

Сводка выбранных параметров

На странице Сводка выбранных параметров мастера настройки сервера просмотрите и подтвердите выбранные параметры. Если на предыдущей странице был выбран пункт Контроллер домена (Active Directory), будут отображены следующие параметры.

Запуск мастера установки Active Directory для настройки данного сервера в качестве контроллера домена

Для применения параметров, выбранных на странице Сводка выбранных параметров, нажмите кнопку Далее.

Использование мастера установки Active Directory

После нажатия кнопки Далее автоматически запускается мастер установки Active Directory. Если установка Active Directory на сервер выполняется первый раз, просмотрите дополнительные сведения в разделе Справка Active Directory.

После прочтения справки Active Directory нажмите кнопку Далее. К этой странице можно вернуться из любого места мастера, пока не нажата кнопка Готово на последней странице. Прочтите сведения, расположенные на странице Совместимость операционных систем, и нажмите кнопку Далее. Если установка Active Directory на сервер под управлением Windows Server 2003 выполняется первый раз, просмотрите дополнительные сведения в разделе Справка по совместимости.

В этом разделе описаны следующие шаги при работе с мастером установки Active Directory.

Установка дочернего домена

Создать новый домен

Сетевые учетные данные

NetBIOS-имя домена

Диагностика регистрации DNS

Разрешения

Дерево домена используется для формирования несвязанного пространства имен в пределах леса

Тип контроллера домена

На странице Тип контроллера домена выберите вариант Контроллер домена в новом домене.

Для продолжения нажмите кнопку Далее.

Создание нового домена

На странице Создать новый домен выберите вариант Новый дочерний домен в существующем доменном дереве.

Для продолжения нажмите кнопку Далее.

Сетевые учетные данные

На странице Сетевые учетные данные введите имя пользователя, пароль и домен учетной записи пользователя, которые предполагается использовать.

Параметр	Комментарии
Имя пользователя	Введите имя учетной записи пользователя, который имеет необходимые административные права. Учетная запись пользователя должна либо входить в группу администраторов (в родительском домене) или в группу администраторов предприятия, либо иметь соответствующие разрешения.
Пароль	Введите пароль учетной записи пользователя. Это обязательно должен быть надежный пароль. Дополнительные сведения см. в разделе Надежные пароли.
Домен	Введите полное DNS-имя домена, в котором действительны данное имя пользователя и пароль.

Для продолжения нажмите кнопку Далее.

Установка дочернего домена

На странице Установка дочернего домена проверьте родительский домен и введите имя нового дочернего домена. Домены Active Directory обозначаются с помощью DNS-имен и повторяют иерархическую структуру DNS. Имена дочерним домена рекомендуется подбирать с учетом либо географического положения, либо области деятельности внутри организации (например, newyork.microsoft.com или sales.microsoft.com).

Доменные имена удовлетворяют стандартам DNS и являются полными доменными именами (FQDN), состоящими из имени домена, которое добавляется к именам родительских доменов и корневых доменов, разделенных символом точки (.). Например, если имя домена Active Directory — «child», а имя родительского домена — «microsoft.com», полным доменным именем (или полным DNS-именем) такого домена будет «child.microsoft.com».

Для продолжения нажмите кнопку Далее.

NetBIOS-имя домена

Проверьте NetBIOS-имя на странице NetBIOS-имя домена. Хотя домены Active Directory обозначаются в соответствии со стандартами именования DNS, необходимо задать NetBIOS-имя при создании доменов Active Directory. NetBIOS-имена по возможности должны совпадать с первой меткой DNS-имени домена. Если первая метка DNS-имени домена Active Directory отличается от его NetBIOS-имени, в качестве полного доменного имени используется DNS-имя, а не NetBIOS-имя. Например, если первая метка полного DNS-имени домена — «child» (child.microsoft.com), а NetBIOS-имя домена — «sales», полным доменным именем будет «child.microsoft».com.

Папки базы данных и журналов

На странице Папки базы данных и журналов введите расположение, в которое необходимо установить папки базы данных и журналов, либо выберите команду Обзор, чтобы выбрать расположение, и нажмите кнопку Далее. Убедитесь, что на диске достаточно места для размещения базы данных каталога и файлов журналов, чтобы избежать проблем при установке или удалении Active Directory. Мастеру установки Active Directory необходимо 250 МБ дискового пространства для установки базы данных Active Directory и 50 МБ для файлов журналов. Рекомендуется размещать данные файлы в разделе NTFS.

Для продолжения нажмите кнопку Далее.

Общий доступ к системному тому

На странице Общий доступ к системному тому укажите расположение, в которое следует установить папку Sysvol, или нажмите кнопку Обзор, чтобы выбрать расположение. Папка Sysvol должна находиться в томе NTFS, так как в ней находятся файлы, реплицируемые между контроллерами домена в домене или лесу. Эти файлы содержат сценарии, системные политики для Windows NT 4.0 и более ранних версий, общие ресурсы NETLOGON и SYSVOL и параметры групповой политики.

Для продолжения нажмите кнопку Далее.

Диагностика регистрации DNS

На странице Диагностика регистрации DNS проверьте правильность установки параметров.

Если в окне Результаты диагностики отображается сообщение об ошибках диагностики, нажмите кнопку Справка для получения дополнительных инструкций по устранению ошибки.

Для продолжения нажмите кнопку Далее.

Разрешения

На Разрешения выберите требуемый уровень совместимости приложений с операционными системами пред-Windows 2000, Windows 2000 или Windows Server 2003.

На серверах, работающих под управлением Windows NT 4.0 и более ранних версий, доступ на чтение сведений о пользователях и группах открыт для анонимных пользователей таким образом, что существующие приложения, в том числе Microsoft BackOffice, SQL Server и некоторые приложения других производителей, работают правильно. В Windows 2000 и системах семейства Windows Server 2003 члены группы «Анонимный вход» имеют доступ на чтение к этим сведениям только в случае, если они включены в группу «Пред-Windows 2000 доступ».

Параметр	Комментарий
Разрешения, совместимые с серверами пред-Windows 2000.	Выберите этот вариант, чтобы добавить группы «Анонимный вход» и «Все» в группу «Пред-Windows 2000 доступ».
Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003	Выберите этот вариант, чтобы запретить доступ на чтение сведений о пользователях и группах членам группы «Анонимный вход».

После выбора одного из вариантов можно вручную переключаться между обратной совместимостью и высоким уровнем безопасности объектов Active Directory. Для этого откройте оснастку «Active Directory - пользователи и компьютеры» и добавьте группу безопасности «Анонимный вход» в группу безопасности «Пред-Windows 2000 доступ».

Для продолжения нажмите кнопку Далее.

Пароль администратора для режима восстановления

На странице Пароль администратора для режима восстановления введите и подтвердите пароль для учетной записи администратора режима восстановления для данного сервера. В качестве паролей режима восстановления каталогов необходимо использовать надежные пароли. Дополнительные сведения см. в разделе Надежные пароли.

Внимание!

Этот пароль необходимо знать для восстановления резервной копии состояния системы данного контроллера домена.

Используйте данный пароль при запуске контроллера домена в режиме восстановления служб каталогов. Если установка Active Directory на сервер выполняется первый раз, дополнительные сведения о пароле режима восстановления см. в разделе Справка Active Directory.

Для продолжения нажмите кнопку Далее.

Сводка

Просмотрите сведения на странице Сводка и нажмите кнопку Далее.

После завершения установки нажмите кнопку Готово. Для перезагрузки компьютера нажмите кнопку Перезагрузить сейчас, чтобы изменения вступили в силу.

Завершение мастера настройки сервера

После перезагрузки сервера мастер настройки сервера отобразит страницу Этот сервер теперь является контроллером домена. Для просмотра всех изменений, сделанных на сервере мастером настройки сервера, или для проверки успешной установки новой роли щелкните ссылку Просмотр сведений о настройке журнала сервера. Мастер настройки сервера находится в папке системный_корневой_каталог\Debug\Configure Your Server.log. Чтобы закрыть мастер настройки сервера, нажмите кнопку Готово.

Удаление роли контроллера домена

Если требуется перенастроить сервер для другой роли, можно удалить существующую роль. Вместе с удалением роли контроллера домена служба Active Directory также удаляется с сервера. После удаления Active Directory данный сервер не участвует в репликации объектов каталогов и запросов домена на проверку подлинности пользователей.

Для удаления роли контроллера домена необходимо перезапустить мастер настройки сервера, выполнив любое из следующих действий.

В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
XOX

На странице Роль сервера выберите Контроллер домена (Active Directory) и нажмите кнопку Далее. На странице Подтверждение удаления роли просмотрите список под заголовком Сводка, установите флажок Удалить роль контроллера доменов, нажмите кнопку Далее и следуйте указаниям мастера установки Active Directory.

Дальнейшие действия: выполнение дополнительных задач

После завершения установки Active Directory сервер настроен как контроллер домена. Его можно применять для хранения данных, управления объектами и предоставления сведений пользователям, компьютерам и приложениям. На данном этапе завершается создание нового домена или дополнительного контроллера домена в существующем домене.

В следующей таблице перечислены дополнительные задачи, которые можно выполнять на контроллере домена.

Задача	Назначение задачи	Ссылка
Контроллер домена следует размещать в закрытом помещении.	Обеспечивается физическая защита контроллера домена.	Контроллеры домена; Защита Active Directory
Используйте надежные методы шифрования.	Обеспечивается защита пароля учетной записи в новом контроллере домена.	Служебная программа системного ключа
Требование ко всем пользователям использовать надежные пароли.	Для предотвращения несанкционированного доступа в сеть организации.	Надежные пароли
Включение политик аудита.	Позволяет получать уведомления о действиях, представляющих риск для системы безопасности.	Политика аудита
Включите блокировку учетных записей для учетных записей пользователей.	Применение политики блокировки учетных записей снижает вероятность проникновения злоумышленника в домен путем повторяющихся попыток.	Учетные записи пользователей и компьютеров
Требовать неповторяемости паролей учетной записи пользователя.	Снижает вероятность проникновения злоумышленника в домен.	Требовать неповторяемости паролей
Указывать минимальный и максимальный срок действия пароля учетной записи пользователя.	Снижает вероятность проникновения злоумышленника в домен.	Минимальный срок действия пароля; Максимальный срок действия пароля
Проводить фильтрацию SID.	Предотвращает атаки злоумышленников, пытающихся назначить учетной записи повышенные привилегии.	«Использование фильтрации SID для предотвращения атак с целью повышения привилегий» на веб-узле Майкрософт.(http://www.microsoft.com/)
Применение смарт-карт.	Предоставляет безопасную проверку подлинности пользователя и защиту электронной почты.	Общие сведения о смарт-картах
Ограничение доступа к общим ресурсам и параметрам фильтра групповой политики для пользователей, групп и компьютеров.	Обеспечивает защиту ресурсов.	Группы безопасности
Назначение пользовательских прав новым группам безопасности.	Используется для задания административных ролей отдельных членов домена.	Пользовательские права, назначенные группам безопасности в Active Directory.

Создание контроллера домена для нового дерева домена

С помощью контроллера домена для нового дерева домена можно создать домен с пространством имен DNS, не связанным с другим доменом в лесу. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов. Например, как показано на рисунке, msn.com является новым деревом домена в лесу microsoft.com.

В этом разделе описаны основные шаги настройки контроллера домена для нового доменного дерева в организации.

В этом процессе для установки на сервер Active Directory используются мастер настройки сервера и мастер установки Active Directory. После установки контроллера домена можно выполнить дополнительную настройку.

В этом разделе:

Предварительная подготовка

Перед настройкой сервера в качестве контроллера домена нужно проверить следующие условия.

Правильно установлены параметры конфигурации TCP/IP для сервера, особенно использующиеся для сопоставления DNS-имен. Дополнительные сведения см. в разделе Чтобы настроить TCP/IP на использование DNS.
Все существующие тома диска используют файловую систему NTFS. Для службы Active Directory необходим, по меньшей мере, один том NTFS для размещения папок SYSVOL с их содержимым. Тома FAT32 не безопасны и не поддерживают сжатие файлов и папок, дисковые квоты, шифрование файлов и разрешения специального доступа к файлам.

Следующая таблица содержит сведения, необходимые для добавления контроллера домена.

Действия перед добавлением роли контроллера домена	Комментарии
Убедитесь, что скорость сети достаточна для установки Active Directory.	Сервер, на котором требуется установить Active Directory, должен иметь высокоскоростное подключение к сети.
Определите, будет ли глобальный каталог размещаться в новом контроллере домена.	Глобальный каталог содержит копии всех объектов Active Directory в лесу на контроллере домена. В глобальном каталоге хранится полная копия всех объектов папки для его домена и частично копия всех объектов для всех других доменов леса. Для оптимизации производительности сети в среде нескольких сайтов рекомендуется добавить глобальные каталоги к выбранным сайтам. В среде одиночного сайта одного глобального каталога обычно достаточно для обработки запросов к Active Directory. Но в среде нескольких сайтов глобальные каталоги следует добавлять во все сайты. Дополнительные сведения о добавлении глобальных каталогов в среде нескольких сайтов см. в разделе Глобальные каталоги и сайты.
Для добавления нового доменного дерева получите учетную запись администратора.	Чтобы создать новое доменное дерево, необходимо либо быть членом группы администраторов домена (в корневом домене леса) или группы администраторов предприятия в Active Directory, либо иметь соответствующие разрешения.

Настройка контроллера домена

Для настройки контроллера домена запустите мастер настройки сервера, выполнив следующие действия.

В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
XOX

На странице Роль сервера выберите Контроллер домена (Active Directory) и нажмите кнопку Далее.

В этом разделе описаны шаги данного процесса, возможные варианты и предполагаемые решения при настройке контроллера домена. В разделах ниже содержится описание следующих шагов.

Сводка выбранных параметров

На странице Сводка выбранных параметров мастера настройки сервера просмотрите и подтвердите выбранные параметры. Если на предыдущей странице был выбран пункт Контроллер домена (Active Directory), будут отображены следующие параметры.

Запуск мастера установки Active Directory для настройки данного сервера в качестве контроллера домена

Для применения параметров, выбранных на странице Сводка выбранных параметров, нажмите кнопку Далее.

Использование мастера установки Active Directory

После нажатия кнопки Далее автоматически запускается мастер установки Active Directory. Если установка Active Directory на сервер выполняется первый раз, просмотрите дополнительные сведения в разделе Справка Active Directory.

После прочтения справки Active Directory нажмите кнопку Далее. К этой странице можно вернуться из любого места мастера, пока не нажата кнопка Готово на последней странице. Прочтите сведения, расположенные на странице Совместимость операционных систем, и нажмите кнопку Далее. Если установка Active Directory на сервер под управлением Windows Server 2003 выполняется первый раз, просмотрите дополнительные сведения в разделе Справка по совместимости.

В этом разделе описаны следующие шаги при работе с мастером установки Active Directory.

Создать новый домен

Сетевые учетные данные

Новое доменное дерево

NetBIOS-имя домена

Диагностика регистрации DNS

Разрешения