При установке службы AD DS (Active Directory Domain Services) можно выбрать одну из следующих возможных конфигураций развертывания:
- Добавление в домен нового контроллера
домена
- Добавление нового дочернего домена в лес или,
как вариант, добавление нового дерева домена
Примечание Возможность установить новое дерево домена появляется, только если на странице Мастер установки доменных служб Active Directory мастера установки службы AD DS установлен флажок Использовать расширенный режим установки.
- Создание нового леса
В следующих разделах подробно описываются каждая из этих конфигураций развертывания.
Добавление в домен нового контроллера домена
Если в домене уже есть один контроллер домена, можно добавить в домен дополнительные контроллеры домена, чтобы повысить доступность и надежность сетевых служб. Добавление контроллеров домена может помочь обеспечить отказоустойчивость, сбалансировать загрузку существующих контроллеров домена и обеспечить поддержку дополнительной инфраструктуры для сайтов.
Наличие нескольких контроллеров в домене позволяет домену продолжать работу в случае отказа или отключения от сети одного из контроллеров домена. Использование нескольких контроллеров также может повысить производительность, облегчая для клиентов подключение к контроллеру домена при входе в сеть.
Подготовка существующего домена
Перед добавлением контроллера домена с операционной системой Windows Server 2008 R2 в существующий домен Active Directory необходимо подготовить лес и домен с помощью программы Adprep.exe. Убедитесь, что используется версия программы Adprep.exe, находящаяся на установочном диске Windows Server 2008 R2. Эта версия добавляет объекты и атрибуты схемы, необходимые контроллерам домена с операционной системой Windows Server 2008 R2, а также изменяет разрешения для новых и существующих объектов.
Выполните программу adprep с параметрами, необходимыми для среды организации.
- Перед добавлением контроллера домена с
операционной системой Windows Server 2008 R2 выполните
команду adprep /forestprep один раз на контроллере домена в
лесу, для которого определена роль хозяина операций со схемой
(хозяин схемы). Для выполнения этой команды необходимо быть членом
группы «Администраторы предприятия», группы «Администраторы схемы»
и группы «Администраторы домена» для домена, в который входит
хозяин схемы.
- Кроме того, выполните один раз команду
adprep /domainprep /gpprep на контроллере домена, для
которого определена роль хозяина операций с инфраструктурой (хозяин
инфраструктуры), в каждом домене, в который планируется добавить
контроллер домена с операционной системой Windows
Server 2008 R2. Для выполнения этой команды необходимо
быть членом группы «Администраторы домена».
- Если в каком-либо из доменов леса планируется
развернуть контроллер домена только для чтения (RODC), в лесу
необходимо также выполнить один раз команду adprep
/rodcprep. Эту команду можно выполнить на любом компьютере
леса. Для ее выполнения необходимо быть членом группы
«Администраторы предприятия». Для получения дополнительных сведений
см. описание подготовки леса к установке контроллера домена только
для чтения (http://go.microsoft.com/fwlink/?LinkId=93244).
Установка с носителя
При установке нового контроллера домена в существующем домене можно выбрать установку с носителя, при которой база данных домена копируется с носителя, а не по сети. Эта возможность доступна в мастере установки службы AD DS, только если на странице Приветствие установлен флажок Использовать расширенный режим установки. Для создания установочного носителя рекомендуется использовать подкоманду ntdsutil ifm. Для получения дополнительных сведений об использовании установки с носителя см. Установка с носителя.
Добавление нового домена в лес
По умолчанию в новом создаваемом лесу будет один домен, называемый корневым доменом леса. Один домен может вмещать тысячи пользователей, даже если для репликации Active Directory доступна лишь небольшая часть пропускной способности сети. Следовательно, одного домена обычно достаточно для большинства небольших организаций и организаций среднего размера. Добавление дополнительных доменов в лес заметно повышает требования к администрированию леса.
Но организации большего размера могут добавить в лес дочерние домены, чтобы данные домена реплицировались только в нужных местах. Дочерний домен разделяет непрерывное пространство имен со своим родительским доменом. Например, sales.contoso.com - это дочерний домен contoso.com. Для дочернего домена автоматически устанавливается двустороннее транзитивное доверие с родительским доменом.
Новый домен, который не разделяет единое пространство имен с родительским доменом, называется новым деревом доменов. Для получения дополнительных сведений о создании нового дерева доменов см. далее в этой статье раздел Создание нового дерева доменов.
При добавлении доменов в лес служба AD DS разделяется, что позволяет реплицировать данные только там, где это необходимо. Таким образом, обеспечивается глобальное масштабирование отдельного леса Active Directory с поддержкой сотен тысяч и даже миллионов пользователей в сети с ограниченной пропускной способностью.
Требования к созданию нового домена
Для выполнения процедуры создания нового дочернего домена нужно быть членом группы «Администраторы домена» родительского домена или группы «Администраторы предприятия». При создании дерева доменов необходимо быть членом группы «Администраторы предприятия».
Мастер установки службы AD DS позволяет использовать имена доменов Active Directory длиной до 64 символов или 155 байт. Хотя ограничение в 64 символа обычно достигается раньше ограничения в 155 байт, последнее может сработать, если имя содержит символы Unicode, поглощающие по три байта каждый. Эти ограничения не применяются к именам компьютеров.
В процессе установки программа Dcpromo.exe создает делегирование зоны DNS. Если создание зоны не удается или решено ее не создавать (что не рекомендуется), необходимо создать делегирование зоны вручную. Для получения дополнительных сведений о создании делегирования зоны см. Создание или изменение делегирования DNS.
Перед добавлением домена в лес должно быть создано делегирование DNS для зоны DNS, соответствующей имени добавляемого домена Active Directory. Мастер установки доменных служб Active Directory проверяет существование делегирования DNS. Если делегирование отсутствует, мастер во время создания нового домена предоставляет возможность автоматического создания делегирования DNS.
Создание нового дерева домена
Новое дерево доменов следует создавать, только если нужно создать домен, пространство имен DNS которого не связано с другими доменами в лесу. Это означает, что имя корневого домена дерева (и любого его дочернего домена) не должно содержать полное имя родительского домена.
Например, treyresearch.net может быть деревом доменов в лесу contoso.com. Новые деревья доменов обычно создаются в процессе поглощения или слияния нескольких организаций. Лес может содержать одно или несколько деревьев доменов.
Перед созданием нового дерева доменов, если необходимо другое пространство имен DNS, подумайте о создании другого леса. Несколько лесов обеспечивают автономное администрирование, изоляцию разделов каталогов схемы и конфигурации, отдельные области защиты и гибкое использование независимых схем пространства имен для каждого леса.
Создание нового леса
Чтобы создать новый лес, необходимо быть членом локальной группы «Администраторы» на сервере, где устанавливается служба AD DS.
Имена DNS и NetBIOS
Перед созданием нового леса убедитесь, что инфраструктура DNS спланирована полностью. Для создания нового леса необходимо знать его полное DNS-имя. Службу сервера DNS можно установить до установки службы AD DS, либо, что предпочтительней, можно выбрать, чтобы мастер установки службы AD DS сам установил службу сервера DNS.
Если служба сервера DNS устанавливается мастером, мастер использует предоставленное администратором DNS-имя, чтобы автоматически создать NetBIOS-имя для первого домена в лесу. Перед продолжением установки мастер проверяет, что DNS-имя и NetBIOS-имя уникальны в сети. Чтобы вместо имени, автоматически созданного мастером, определить другое NetBIOS-имя, необходимо установить флажок Использовать расширенный режим установки на странице Мастер установки доменных служб Active Directory.
Примечание | |
Страница мастера NetBIOS-имя домена также появляется, если автоматически созданное NetBIOS-имя конфликтует с существующим именем. |
По умолчанию служба сервера DNS устанавливается на первом контроллере домена в лесу. Если уже инфраструктура DNS, поддерживающая разрешение имен для нового леса, уже создана, можно снять флажок DNS-сервер на странице мастера Дополнительные параметры. Но если поддерживающая инфраструктура DNS еще отсутствует, примите значение по умолчанию, чтобы мастер установил службу сервера DNS на первом контроллере домена в лесу.
После нажатия для продолжения кнопки Далее мастер установки службы AD DS проверит существующую инфраструктуру DNS. Если флажок DNS-сервер снят, мастер выполнит диагностические проверки, чтобы убедиться в наличии поддерживающей инфраструктуры DNS. Если диагностические проверки заканчиваются неудачей, мастер повторно предоставляет возможность установить службу DNS-сервера.
Функциональные уровни
Для нового леса функциональным уровнем леса по умолчанию является режим Windows 2000, а функциональным уровнем домена - основной режим Windows 2000. Это наименьшие из возможных режимов работы, которые позволяют контроллерам домена работать под управлением операционных систем Windows Server 2003, Windows® 2000 Server, Windows Server 2008 или Windows Server 2008 R2.
Если не планируется добавлять контроллеры домена, работающие под управлением ранних версий Windows Server, выберите более высокие функциональные уровни, чтобы включить расширенный набор функций. Если выбран режим работы леса Windows Server 2008 R2, все домены, впоследствии добавляемые в лес, будут создаваться с режимом работы домена Windows Server 2008 R2. Поэтому страница Задание режима работы домена не будет появляться в мастере установки доменных служб Active Directory. Если выбран другой функциональный уровень домена, можно определить функциональный уровень домена независимо для каждого домена в лесу. Для получения дополнительных сведений о функциональных уровнях см. Определение функционального уровня домена или леса.
Роли хозяев операций
На первый контроллер домена для этого домена устанавливаются все роли хозяев операций (также называемых операциями с единым гибким хозяином или FSMO) для леса.
Для повышения доступности и отказоустойчивости службы AD DS в домене рекомендуется создавать дополнительные контроллеры домена. После создания дополнительных контроллеров домена может понадобиться перенести на эти другие контроллеры домена некоторые из ролей хозяев операций, размещавшихся на первом контроллере домена. Если планируется создать лес с несколькими доменами, и любой контроллер домена в корневом домене леса не будет сервером глобального каталога, следует перенести на другой контроллер домена, не являющийся сервером глобального каталога, по крайней мере, роль хозяина инфраструктуры в корневом домене леса.
Для получения дополнительных сведений об управлении ролями хозяев операций см. Обеспечение успешной работы с Active Directory с помощью управления ролями хозяев операций.