Компьютер-Центр

Установка контроллера домена Windows Server 2003

Процедура установки контроллера домена (также называемая повышением роли сервера до контроллера домена) выполняется при помощи мастера Active Directory Installation Wizard (Мастер установки Active Directory). Этот мастер запускается утилитой командной строки Dcpromo.exe.

В процессе установки контроллера домена происходит наполнение каталога. В случае установки первого контроллера домена в лесе все содержимое каталога создается непосредственно мастером установки. Если в лесе создается новый домен, то мастер установки создает исключительно доменный раздел. Раздел схемы и каталога копируется с уже существующих контроллеров домена. В ситуации, когда администратор создает дополнительный контроллер в уже существующем домене, имеется два варианта наполнения каталога:

все содержимое каталога копируется с уже существующего контроллера домена;

содержимое каталога воссоздается из резервной копии каталога.

Каждый из предложенных вариантов имеет свои плюсы и минусы. Мы рассмотрим оба варианта.

Мастер установки Active Directory может быть вызван из утилиты Configure Your Server, которая располагается в меню Administrative Tools.

 Выполнение установки

В ходе использования мастера установки Active
Directory возможны четыре сценария (рис. 3):

•  создание
  нового леса доменов;
•  создание нового дерева доменов
  в рамках существующего леса доменов;
•  создание нового
  домена в рамках существующего дерева доменов;
•  установка
  дополнительного контроллера домена в уже существующем домене.

Рис. 3. Сценарии создания контроллера
домена

Администратор осуществляет выбор одного из этих сценариев
на первых страницах мастера. Если сценарий предполагает создание нового домена,
мастер предложит ввести доменное и NetBIOS-имя будущего домена. В сценарии, предполагающем
установку дополнительного контроллера, администратору будет необходимо ввести
имя существующего домена.
Независимо от избранного сценария мастер предложит
выбрать место расположения файлов хранилища и журналов. Вы можете разместить их
в одной папке (по умолчанию предлагается %SystemRoot%\NTDS), либо разнести в разные
(например, на разные физические диски). Напомним, что эти файлы могут размещаться
только в NTFS-разделах. Кроме того, потребуется выбрать место расположения системного
тома SYSVOL, используемого службой репликации файлов. Эта папка также может быть
размещена только в NTFS-разделе.
На следующем этапе мастер, учитывая информацию
о выбранном администратором доменном имени, обратится с запросом к службе DNS.
Для взаимодействия со службой DNS используется информация о предпочитаемом DNS-сервере.
Версия мастера установки Active Directory, реализованная в рамках Windows Server
2003, позволяет выполнить диагностику имеющейся конфигурации службы DNS в случае
возникновения проблем. На рис. 4 изображено окно мастера в ситуации, когда
предпочитаемый DNS-сервер не содержит зоны для создаваемого домена Active Directory.
При этом администратору будет предложено несколько вариантов дальнейших действий.

•  I have corrected the problem.
  Perform the DNS diagnostic test again. Выбор этого переключателя предписывает
  мастеру произвести повторную диагностику службы DNS. Предполагается, что администратор
  вмешался и устранил возникшую проблему. Применительно к рассматриваемой ситуации,
  администратор может выполнить создание необходимой зоны.

Рис. 4. Мастер установки обнаружил
проблемы с разрешением имени будущего домена

•  Install
  and configure the DNS server on this computer, and set this computer to use this
  DNS server as its preferred DNS server. Выбор этого переключателя перекладывает
  все обязанности по конфигурированию DNS-сервера на мастера установки Active Directory.
  В случае установки первого контроллера домена в лесу доменов этот режим конфигурирования
  службы DNS является предпочтительным. Мастер сам выполнит установку службы DNS
  и создаст все необходимые зоны (за исключением зон обратного разрешения, которые
  администратор должен создать самостоятельно после окончания процедуры установки).
•  I will correct the problem later
  by configuring DNS manually (Advanced). Эта опция означает, что мастер
  должен продолжить свою работу, несмотря на обнаруженные ошибки. Администратор
  в этом случае берет на себя все обязанности по конфигурированию службы DNS после
  окончания процедуры установки. Фактически администратору нужно будет создать две
  зоны для создаваемого домена и зарегистрировать в них все необходимые ресурсные
  записи.

Мастер также выдаст сообщение
об ошибке, если предпочтительный DNS-сервер не содержит информацию о домене, для
которого предполагается установить дополнительный контроллер домена.

Если процесс тестирования структуры DNS закончился успешно, мастер выдаст соответствующую
информацию (рис. 5).

Рис. 5.
Процедура тестирования службы DNS окончилась успешно

На заключительном
этапе работы мастера администратору необходимо будет определить уровень совместимости
разрешений с подсистемой безопасности Windows NT. Если в среде Windows Server
2003 планируется существование серверов под управлением Windows NT (не обязательно
контроллеров домена) с установленными на них серверными приложениями, необходимо
выбрать уровень совместимости разрешений с платформой Windows NT (переключатель
Permissions compatible with pre-Windows 2000 operating system).
Этот же уровень совместимости разрешений следует избрать в ситуации, когда контроллер
домена Windows Server 2003 устанавливается в среде Windows NT. На этом уровне
совместимости разрешается анонимный доступ к информации в доменном разделе каталога.
Если изначально администратор уверен, что в сети будут использоваться только серверы
Windows 2000 и Windows Server 2003, вопросами совместимости разрешений с архитектурой
Windows NT можно пренебречь.

Необходимо понимать, что уровень
совместимости разрешений влияет только на серверные приложения, установленные
на Windows NT-серверах. На работу обычных клиентов (в том числе находящихся под
управлением операционных систем Windows 9x/ME/NT) выбранный уровень совместимости
не влияет.
Если в процессе создания домена не был выбран необходимый уровень
совместимости разрешений, администратор может впоследствии исправить ситуацию
посредством команды net localgroup “Pre-Windows 2000 Compatible Access”
everyone /add.

По окончании установки контроллера домена
потребуется перезагрузить систему. В процессе загрузки будет зарегистрировано
доменное имя в базе данных предпочитаемого DNS-сервера. Если установленный контроллер
домена является первым в лесу, то учетная запись локального администратора, в
контексте которого производилась установка, преобразуется в учетную запись Administrator
(Администратор созданного домена). Эта учетная запись автоматически включается
в состав следующих групп:

•  Administrators. Встроенная
  локальная группа;
•  Domain Admins. Группа с глобальной
  областью действия. Члены этой группы обладают необходимыми полномочиями для управления
  доменом. По умолчанию включается в состав группы Administrators;
•  Domain
  Users. Группа с глобальной областью действия. В состав этой группы включаются
  все создаваемые в контексте домена пользователи. По умолчанию группа включается
  в состав встроенной локальной группы Users;
•  Enterprise
  Admins. Группа с глобальной областью действия. Члены этой группы обладают полномочиями
  на управление инфраструктурой службы каталога. По умолчанию группа включается
  в состав группы Administrators;
•  Group Policy Creator
  Owners. Группа с глобальной областью действия. Члены этой группы могут редактировать
  параметры объектов групповой политики в рамках данного домена;
•  Schema
  Admins. Группа с глобальной областью действия. Члены группы обладают полномочиями,
  необходимыми для изменения схемы каталога.

Источник http://dvoika.net/win/Glava19/Index0.htm