Как настроить DC в Windows 10

Обновлено: 18.05.2024

В этой статье я проведу вас через пошаговое руководство по установке и настройке доменных служб Active Directory в Windows Server 2022. Прежде чем мы углубимся в практическое занятие этой статьи , давайте взглянем на некоторые удивительные новые функции, которые предлагает Windows Server 2022. Краткий обзор того, когда была выпущена Windows Server 2022, поскольку программа предварительного просмотра началась в марте 2021 года. Об общедоступности Windows Server 2022 было объявлено 1 сентября 2021 года, а запуск состоялся в рамках саммита Windows Server 16 сентября. Пожалуйста, обратитесь к некоторым из этих связанных руководств: Как удалять и восстанавливать объекты с помощью Центра администрирования Active Directory, Порты Active Directory: требования к служебным и сетевым портам для Windows, Как найти отключенные учетные записи пользователей Active Directory, Что такое леса Active Directory, деревья, домен и сайты, а также как настроить контроллер домена.

Windows Server 2022 построен на прочном фундаменте Windows Server 2019 и предлагает новые возможности безопасности в сочетании с другими возможностями безопасности Windows Server в различных областях для обеспечения всесторонней защиты от современных угроз. Расширенная многоуровневая система безопасности в Windows Server 2022 обеспечивает всестороннюю защиту, в которой сегодня нуждаются серверы.

Кроме того, он содержит множество инноваций по трем ключевым темам: безопасность, гибридная интеграция и управление Azure, а также платформа приложений. Кроме того, Windows Server 2022 Datacenter: Azure Edition поможет вам использовать преимущества облака, чтобы поддерживать виртуальные машины в актуальном состоянии и минимизировать время простоя. Вы можете получить ознакомительную копию, которая действительна в течение 180 дней Windows Server 2022, здесь.

Что такое доменные службы Active Directory?

Доменные службы Active Directory — это технология, которая позволяет нам создавать и централизованно управлять масштабируемой сетью Microsoft Enterprise. Глядя на обзор лабораторного занятия, которое мы собираемся провести в этом посте, мы собираемся сделать следующее:

После того, как мы успешно установили и настроили службы доменных имен Active Directory, сервер станет контроллером домена, обычно известным под кодовым названием DC.😀

Итак, приступим.

Все, что вам нужно, чтобы начать работу со мной в демонстрационном сеансе, — это копия Windows Server 2022, установленная на вашем ПК. Чтобы загрузить файл ISO в ознакомительной копии, нажмите здесь. Не забывайте, что вы также можете попробовать скопировать его прямо в Azure (см. снимок экрана ниже). Чтобы начать работу с Azure, оформите бесплатную 30-дневную подписку здесь.

Вы также можете установить копию Windows Server 2022 через Oracle VirtualBox или VMWare. Чтобы узнать, как это сделать, пожалуйста, обратитесь к этим связанным сообщениям, как установить Windows 11 в Oracle VirtualBox без поддержки TPM. Если вы столкнулись с ошибкой «Не удалось открыть сеанс» при попытке запустить образ виртуальной машины в VirtualBox, пожалуйста, обратитесь к этому сообщению о том, как исправить «Не удалось открыть сеанс в VirtualBox для установки образа Windows 11». Вы можете прочитать о других моих предыдущих темах, представляющих интерес, например, как заблокировать обновление до Windows 11 с помощью локальной групповой политики или редактора реестра из Windows 10, как сделать резервную копию виртуальной машины Azure из настроек виртуальной машины, виртуальные сети Azure: как подготовить Azure и локальные виртуальные сети с использованием команд Azure CLI и сетевой файловой системы: установка NFS Server на Windows Server.

Установка служб доменных имен Active Directory на Windows Server 2022.

Как видно из приведенного ниже снимка экрана, у нас полностью настроена Windows Server 2022 на нашем ПК.

Теперь давайте выполним следующие шаги, чтобы установить доменные службы Active Directory (ADDS).

Шаг 1. Откройте диспетчер серверов. Чтобы открыть диспетчер серверов, нажмите клавишу Windows на клавиатуре и введите «Диспетчер серверов» для поиска приложения. Как только он откроется, как показано на рисунке ниже, мы перейдем к следующему шагу установки доменных служб Active Directory.

Шаг 2. Добавьте роли и функции

Щелкните правой кнопкой мыши «Управление» в окне «Диспетчер серверов» и выберите «Добавить роли и компоненты». Это откроет «Мастер добавления ролей и компонентов», который приведет нас к той части, где мы устанавливаем доменные службы Active Directory. Нажмите «Далее».

Шаг 3. Тип установки

В разделе «Тип установки» оставьте выбранным переключатель «Установка на основе ролей или функций» и нажмите «Далее» (см. снимок экрана ниже).

Шаг 4. Выбор сервера

В этом интерфейсе под названием «Выбор целевого сервера» выберите сервер, на который вы хотите установить AD DS, и нажмите «Далее». Я собираюсь выбрать свой локальный сервер.

Шаг 5. Роли сервера

Предыдущий шаг приведет вас к следующей странице, как показано ниже. Здесь вы увидите множество опций с квадратным контрольным списком рядом с ними. Как видите, мы выбираем «Доменные службы Active Directory».

Шаг 6. Добавьте функции

Сразу же, когда вы выбираете эту опцию, появляется новая часть. На странице просто нажмите на вкладку «Добавить функции» и нажмите «Далее».

Шаг 7. Выберите функции

На следующей странице после шага 6 под названием "Выберите функции" просто нажмите "Далее", чтобы перейти к установке AD DS.

Шаг 8. AD DS

Как показано ниже, вам будет представлена следующая страница под названием «Доменные службы Active Directory». Здесь нажмите «Далее»

Шаг 9. Подтвердите свой выбор

Следующая страница посвящена подтверждению того, что вы хотите установить AD DS, перед его фактической установкой. Здесь, если вы уверены в установке, нажмите «Установить». При желании вы можете выбрать вариант, который перезапускает сервер всякий раз, когда это необходимо, что мы не выбираем в нашем собственном случае. Нажмите «Закрыть», как только это будет сделано.

Закройте мастер установки экрана конкуренции или перейдите к следующей настройке повышения роли сервера до контроллера домена, что будет нашим следующим шагом, как показано на снимке экрана ниже

Настройка AD DS

Теперь установка успешно завершена. Мы продолжим настройку AD DS, выполнив следующие шаги:

Шаг 1. Повышение роли до контроллера домена и добавление леса

После завершения установки доменных служб Active Directory следующим шагом будет повышение их роли до контроллера домена (DC). В том же окне «Завершение установки», как показано на снимке экрана выше, нажмите «Повысить уровень этого сервера до контроллера домена». Поскольку это совершенно новая служба доменных имен Active Directory, мы собираемся выбрать «Добавить новый лес» (см. снимок экрана ниже).

На этом этапе вы должны указать функциональные уровни леса и домена. Это определяет возможности AD DS и леса, а также определяет, какая операционная система может работать на контроллере.

Шаг 2. Параметры DNS

На следующей странице ( Параметры DNS ) вы, вероятно, увидите ошибку сверху со словами «Невозможно создать делегацию для этого DNS-сервера, поскольку не удается найти полномочный сервер имен родительской зоны» (см. снимок экрана ниже). Не обращайте внимания и нажмите «Далее».

Шаг 3. Имя домена NetBIOS

На следующей странице оставьте имя домена NetBIOS по умолчанию или вы можете изменить его, если оно не длиннее 15 символов. После этого нажмите «Далее».

Шаг 4. Пути

Оставьте пути по умолчанию и нажмите «Далее», как показано ниже.

Шаг 5. Просмотрите выбор

На этом этапе сервер позволяет вам просмотреть, что вы уже сделали. Если вы согласны с выбором, который вы сделали, нажмите «Далее», чтобы перейти к следующему этапу.

Шаг 6. Проверка предварительных условий

На этапе предварительных требований система будет проверена перед установкой доменных служб Active Directory. Если у вас есть какие-либо ошибки здесь, пожалуйста, посмотрите и исправьте что-нибудь в предыдущих шагах. Если все в порядке, нажмите «Установить». В нашем собственном случае, как показано на снимке экрана ниже, все предварительные проверки были пройдены.

После этого сервер перезагрузится, и вы сможете войти в домен с учетными данными, которые вы установили на шаге 1, как показано ниже:

Наконец, если мы проверим через Диспетчер серверов и нажмем «Инструменты», затем выберем «Пользователи и компьютеры Active Directory», вы увидите, что наше доменное имя есть. В нашем случае мы создали организационную единицу (OU), которая служит отделом, и создали учетную запись для себя как пользователя (см. скриншот ниже).

В заключение отметим, что Active Directory — одна из лучших функций, благодаря которым Windows Server получил широкое распространение в корпоративных средах. Эта функция единого входа в систему, которая плавно и легко интегрируется с большинством продуктов Microsoft, делает управление пользователями среди других задач довольно простым и увлекательным. Поздравляем, в этих статьях вы узнали, как настроить его от начала до конца в Windows Server 2022.

Конфигурация 2-DC1 состоит из следующего:

Установите операционную систему на 2-DC1

Настроить свойства TCP/IP

Настройте 2-DC1 в качестве контроллера домена и DNS-сервера

Предоставить разрешения групповой политики CORP\User1

Разрешить компьютерам CORP2 получать сертификаты компьютеров

Принудительная репликация между DC1 и 2-DC1

Установите операционную систему на 2-DC1

Сначала установите Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

Чтобы установить операционную систему на 2-DC1

Запустите установку Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

Следуйте инструкциям для завершения установки, указав Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 (полная установка) и надежный пароль для локальной учетной записи администратора. Войдите в систему, используя учетную запись локального администратора.

Подключите 2-DC1 к сети с доступом в Интернет и запустите Центр обновления Windows, чтобы установить последние обновления для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, а затем отключитесь от Интернета.

Подключите 2-DC1 к подсети 2-Corpnet.

Настроить свойства TCP/IP

Настройте протокол TCP/IP со статическими IP-адресами.

Чтобы настроить TCP/IP на 2-DC1

В консоли диспетчера серверов щелкните Локальный сервер, а затем в области Свойства рядом с пунктом Проводное соединение Ethernet щелкните ссылку.

В разделе «Сетевые подключения» щелкните правой кнопкой мыши «Проводное подключение Ethernet» и выберите «Свойства».

Нажмите "Протокол Интернета версии 4 (TCP/IPv4)", а затем нажмите "Свойства".

Нажмите Использовать следующий IP-адрес. В IP-адресе введите 10.2.0.1. В маске подсети введите 255.255.255.0. В поле Шлюз по умолчанию введите 10.2.0.254. Нажмите Использовать следующие адреса DNS-серверов, в поле Предпочитаемый DNS-сервер введите 10.2.0.1, а в поле Альтернативный DNS-сервер введите 10.0.0.1.

Нажмите "Дополнительно" и перейдите на вкладку "DNS".

Нажмите "Протокол Интернета версии 6 (TCP/IPv6)", а затем нажмите "Свойства".

Нажмите Использовать следующий IPv6-адрес. В адресе IPv6 введите 2001:db8:2::1. В поле Длина префикса подсети введите 64. В поле Шлюз по умолчанию введите 2001:db8:2::fe. Нажмите Использовать следующие адреса DNS-серверов, в поле Предпочтительный DNS-сервер введите 2001:db8:2::1, а в поле Альтернативный DNS-сервер введите 2001:db8:1::1.

Нажмите "Дополнительно" и перейдите на вкладку "DNS".

В диалоговом окне "Свойства проводного подключения Ethernet" нажмите "Закрыть".

Закройте окно "Сетевые подключения".

В консоли диспетчера серверов в разделе «Локальный сервер» в области «Свойства» рядом с «Имя компьютера» щелкните ссылку.

В диалоговом окне "Свойства системы" на вкладке "Имя компьютера" нажмите "Изменить".

В диалоговом окне "Изменение имени компьютера/домена" в поле "Имя компьютера" введите 2-DC1 и нажмите кнопку "ОК".

Когда вам будет предложено перезагрузить компьютер, нажмите OK.

В диалоговом окне "Свойства системы" нажмите "Закрыть".

Когда вам будет предложено перезагрузить компьютер, нажмите «Перезагрузить сейчас».

После перезапуска войдите в систему, используя учетную запись локального администратора.

Настройте 2-DC1 в качестве контроллера домена и DNS-сервера

Настройка 2-DC1 в качестве контроллера домена и DNS-сервера

В консоли диспетчера серверов на панели инструментов нажмите Добавить роли и компоненты.

Нажмите "Далее" три раза, чтобы перейти к экрану выбора роли сервера.

На странице "Выбор ролей сервера" выберите доменные службы Active Directory. Нажмите «Добавить компоненты», когда появится запрос, а затем нажмите «Далее» три раза.

На странице "Подтверждение выбора установки" нажмите "Установить".

После успешного завершения установки нажмите Повысить уровень этого сервера до контроллера домена.

В мастере настройки доменных служб Active Directory на странице конфигурации развертывания щелкните Добавить новый домен в существующий лес.

На странице "Параметры контроллера домена" убедитесь, что для имени сайта указано значение "Второй сайт". В разделе «Введите пароль режима восстановления служб каталогов» (DSRM) в полях «Пароль» и «Подтверждение пароля» дважды введите надежный пароль, а затем пять раз нажмите «Далее».

На странице "Проверка предварительных требований" после проверки предварительных требований нажмите "Установить".

Подождите, пока мастер завершит настройку Active Directory и служб DNS, а затем нажмите кнопку "Закрыть".

После перезагрузки компьютера войдите в домен CORP2, используя учетную запись администратора.

Предоставить разрешения групповой политики CORP\User1

Используйте эту процедуру, чтобы предоставить пользователю CORP\User1 полные права на создание и изменение объектов групповой политики corp2.

Чтобы предоставить разрешения групповой политики

На начальном экране введите gpmc.msc и нажмите клавишу ВВОД.

На панели сведений нажмите вкладку Делегирование. В раскрывающемся списке Разрешение нажмите Связать объекты групповой политики.

Нажмите "Добавить" и в новом диалоговом окне "Выбор пользователя, компьютера или группы" нажмите "Расположения".

В поле "Введите имя объекта для выбора типа User1" нажмите "ОК", а в диалоговом окне "Добавить группу или пользователя" нажмите "ОК".

В консоли управления групповыми политиками в дереве щелкните Объекты групповой политики, а в области сведений щелкните вкладку Делегирование.

В поле "Введите имя объекта" выберите тип "Пользователь1" и нажмите "ОК".

В консоли управления групповыми политиками в дереве щелкните Фильтры WMI, а в области сведений щелкните вкладку Делегирование.

В поле "Введите имя объекта" выберите тип "Пользователь1" и нажмите "ОК". В диалоговом окне "Добавить группу или пользователя" убедитесь, что для параметра "Разрешения" установлено значение "Полный доступ", а затем нажмите "ОК".

Закройте консоль управления групповыми политиками.

Разрешить компьютерам CORP2 получать сертификаты компьютеров

Компьютеры в домене CORP2 должны получить сертификаты компьютеров от центра сертификации в APP1. Выполните эту процедуру на APP1.

Чтобы разрешить компьютерам CORP2 автоматически получать сертификаты компьютеров

В приложении APP1 нажмите "Пуск", введите certtmpl.msc и нажмите клавишу ВВОД.

В средней панели консоли шаблонов сертификатов дважды нажмите "Аутентификация клиент-сервер".

В диалоговом окне "Свойства аутентификации клиент-сервер" перейдите на вкладку "Безопасность".

Нажмите "Добавить" и в диалоговом окне "Выбор пользователей, компьютеров, учетных записей служб или групп" нажмите "Местоположения".

В поле Введите имена объектов для выбора введите Администраторы домена; Компьютеры домена и нажмите кнопку ОК.

В диалоговом окне "Свойства проверки подлинности клиент-сервер" в разделе "Имена групп или пользователей" нажмите "Администраторы домена" (CORP2\Администраторы домена), а в разделе "Разрешения для администраторов домена" в столбце "Разрешить" выберите "Запись и регистрация".

В разделе Имена групп или пользователей щелкните Компьютеры домена (CORP2\Компьютеры домена), а в разделе Разрешения для компьютеров домена в столбце Разрешить выберите Зарегистрировать и автоматически подать заявку, а затем нажмите кнопку ОК.

Закройте консоль шаблонов сертификатов.

Принудительная репликация между DC1 и 2-DC1

Прежде чем вы сможете подать заявку на сертификаты на 2-EDGE1, вы должны принудительно выполнить репликацию настроек с DC1 на 2-DC1. Эту операцию следует выполнять на DC1.

Для принудительной репликации

На DC1 нажмите «Пуск», а затем — «Сайты и службы Active Directory».

В консоли Active Directory Sites and Services в дереве разверните Межсайтовый транспорт и нажмите IP.

В области сведений дважды щелкните DEFAULTIPSITELINK.

В диалоговом окне "Свойства: DEFAULTIPSITELINK" в поле "Стоимость" введите 1, в поле "Реплицировать каждые" введите 15 и нажмите кнопку "ОК". Подождите 15 минут, пока завершится репликация.

Чтобы принудительно выполнить репликацию сейчас, в дереве консоли разверните Sites\Default-First-Site-name\Servers\DC1\NTDS Settings, в области сведений щелкните правой кнопкой мыши , выберите Replicate Now, а затем в диалоговом окне Replicate Now. нажмите "ОК".

Чтобы убедиться, что репликация успешно завершена, выполните следующие действия:

На начальном экране введите cmd.exe и нажмите клавишу ВВОД.

Введите следующую команду и нажмите клавишу ВВОД.

Убедитесь, что все разделы синхронизированы без ошибок. Если нет, повторите команду, пока не будет сообщено об ошибках, прежде чем продолжить.

У меня 10 pro, и вообще нет опции "присоединиться к домену"

Перейдите к нижней части страницы О ПРОГРАММЕ и нажмите ПЕРЕИМЕНОВАТЬ ЭТОТ КОМПЬЮТЕР (ДОПОЛНИТЕЛЬНО)

Вы попадете на исходную страницу СВОЙСТВ СИСТЕМЫ

Нажмите кнопку ИЗМЕНИТЬ и введите домен > перезапустить > и т. д.

В разделе «Связанные настройки» есть ссылка «Информация о системе». Нажмите, чтобы перейти к старому экрану информации о системе Windows 7. Третья группа внизу озаглавлена «Имя компьютера, настройки домена и рабочей группы», рядом с которой находится ссылка «Изменить настройки». Это приведет вас к старому мастеру домена Windows 7. Не знаю, сработает ли это — по моему опыту, работа в сети Windows всегда проблематична

для тех, кто не видит «Присоединиться к домену», описанного в этой статье, я нашел «Дополнительные параметры системы» в разделе «Связанные параметры»… это вернуло старый интерфейс Windows.

Я согласен, Майкл Маст, на моем компьютере нет кнопки присоединения к домену, им нужно добавить кнопку или что-то еще.

под управлением Win10 Pro. Домен не отображается в сетях в проводнике. ПК не может подключиться к домену при попытке присоединиться. Сервер под управлением Server2008 с функциональным уровнем 2003. Требуются ли какие-либо изменения в брандмауэре? ПК под управлением XP без проблем подключаются к домену. Есть идеи?

измените настройки DNS на клиентском компьютере, чтобы они указывали на сервер. После подключения вы можете изменить их снова, если это необходимо.

К сожалению, не удалось подключиться к домену, но это предложение сработало для меня, я зашел в настройки сети, щелкнул соединение ipv4 и щелкнул свойства, изменил автоматический прием DNS-адреса и ввел DNS-адрес серверов вручную. После обновления ноутбук сразу подключился. После подключения и входа в систему я вернул настройки DNS в автоматический режим. Большое спасибо за это предложение @Mark.

У меня есть доступ к домену, и я могу получить доступ к общим ресурсам сервера, но каждый раз, когда я вхожу в домен, я вхожу с временным профилем.
В реестре Windows нет записи .bak. Пробовал удалять пользователей, создавать заново, удалять записи в реестре, но всегда одна и та же проблема.
Есть идеи, как это решить?

Есть идеи, почему моя зарегистрированная рабочая станция с Windows 10 зарегистрирована как операционная система MAC OS в моей консоли Active Directory? Даже в моем сетевом ресурсе инструмент инвентаризации зарегистрирован как операционная система MAC OS.

Я ценю любую помощь.

Как удалить другой выбор пользователя на экране блокировки?

В тот момент, когда я подключаюсь к домену своей организации, мои приложения win 10, меню «Пуск» и панель задач больше не открываются. Есть идеи, как это решить?

Возможно, Администратор домена реализует какие-то политики. Эти политики определяют Ваши разрешения на хосте. Я не уверен, что это причина, но может быть и так.

Я пробую советы, данные выше, но ничего не меняется. После того, как я отформатировал свою систему, это была win 7 b4, когда я установил win 10, в финальном процессе установки у меня разрядилась батарея. Когда я включил систему, она попросила меня войти в
Как мне войти в другой домен?
И варианты входа: пароль локальной или доменной учетной записи и учетная запись Microsoft.
Кто-нибудь может мне помочь, но у меня нет учетной записи Microsoft

Я обновился до Windows 10 Pro, но опция присоединения к домену по-прежнему не отображается. Технология Microsoft переустановлена, но без изменений. Есть идеи?

Далее упоминается, что W10pro не предлагает «Присоединиться к домену», нужна версия W10home.
SurfacePro4 — это шутка. Сколько десятилетий существует ноутбук? А простая домашняя сеть? И MicroSoft не может сделать все правильно со своим новейшим и лучшим портативным оборудованием?
Давайте посмотрим - проблемы с зарядкой батареи на самом базовом уровне, SP4 часами зависают на "подготовке Windows", обе эти проблемы прошли через SP2, 3 и теперь 4, и теперь могут не подключаюсь к домашней сети - в первый день я использовал адаптер USB / ETH, потому что дома нет микроволновки (я имею в виду Wi-Fi) и можно подключаться везде, день 2 то же самое соединение не будет пинговать другие, не говоря уже о подключении к Интернету , Ничего не изменилось. Спасибо БГ/МС.

У меня есть один ноутбук с Windows 10 Pro, я не могу подключить этот ноутбук к домену. У меня есть веб-домен, зарегистрированный в godaddy.

Я нажимаю 1)Этот компьютер 2)Переходит на страницу Панель управления->Система и безопасность->Система, 3)Показывает страницу Просмотр основной информации о вашем компьютере 4)Я нажимаю на ссылку Изменить настройки 5)Открывается Система Страница свойств 6) Я нажимаю кнопку «Изменить», которая показывает мне имя моего компьютера и позволяет стать членом домена. 7) Я выбираю переключатель для домена. 8) Введите имя моего домена, которое я зарегистрировал в godaddy, и нажмите «ОК». Если вы не являетесь администратором вашей сети, сообщите администратору, что вы получили эту информацию, которая была записана в файле C:\WINDOWS\debug\dcdiag.txt.

Ошибка: «DNS-имя не существует».
(код ошибки 0x0000232B RCODE_NAME_ERROR)

Можете ли вы рассказать мне точную процедуру присоединения моего компьютера к домену? и как я могу настроить свой DNS.

Вам необходим сетевой доступ к компьютеру под управлением Windows Server Edition, и мы говорим о доменах Active Directory, а не о веб-доменах.

Win 10 pro нет места для присоединения к домену, я пытаюсь перейти от свойств на моем компьютере до запроса имени пользователя и пароля для домена, после ввода не могу подключиться к ошибке домена. совет

Я нашел присоединение к домену в разделе "Настройки", "Учетные записи", "Доступ к работе или учебе", "Подключение", "Присоединение этого устройства к локальному домену Active Directory".

не могу найти свой домен, но, по крайней мере, у меня есть место, чтобы продолжить попытку

вам нужно нажать на текст «изменить ключ», чтобы перейти на нужную страницу. Это боль в крупе. или просто нажав «Win + Pause/Break»

Я рассматриваю возможность сделать это вместо VPN. Позволяет ли подключение управлять ПК-сервером, как VPN, или оно просто позволяет получить доступ к файлам?

Начиная с версии 4.0, Samba может работать как контроллер домена (DC) Active Directory (AD). Если вы устанавливаете Samba в производственной среде, рекомендуется запустить два или более контроллера домена для аварийного переключения.

В этой документации описывается, как настроить Samba в качестве первого контроллера домена для создания нового леса AD. Кроме того, используйте эту документацию при переносе домена Samba NT4 в Samba AD. Чтобы присоединить Samba в качестве дополнительного контроллера домена к существующему лесу AD, см. раздел Присоединение контроллера домена Samba к существующей Active Directory.

Samba как AD DC поддерживает только:

интегрированный сервер LDAP в качестве серверной части AD. Подробнее см. в часто задаваемых вопросах (FAQ) Поддерживают ли контроллеры домена Samba AD OpenLDAP или другие серверы LDAP в качестве серверной части?
Центр распространения ключей Kerberos (KDC) Heimdal.

Выберите имя хоста для AD DC.

Выберите домен DNS для своего леса AD. Это имя также будет использоваться в качестве области AD Kerberos.

Используйте статический IP-адрес на контроллере домена.

Отключите инструменты, такие как resolvconf , которые автоматически обновляют файл конфигурации преобразователя DNS /etc/resolv.conf. Контроллеры домена AD и члены домена должны использовать DNS-сервер, способный разрешать зоны AD DNS.

Убедитесь, что процессы Samba не запущены:

Убедитесь, что файл /etc/hosts на контроллере домена правильно разрешает полное доменное имя (FQDN) и короткое имя хоста в IP-адрес контроллера домена в локальной сети. Например:

Если вы ранее запускали установку Samba на этом хосте:

Удалите существующий файл smb.conf. Чтобы указать путь к файлу:

Удалите все файлы базы данных Samba, например файлы *.tdb и *.ldb. Чтобы просмотреть папки, содержащие базы данных Samba:

Удалите существующий файл /etc/krb5.conf:

Установите поддерживаемую версию Samba. Подробнее см. в разделе Планирование выпуска Samba.

В процессе подготовки Samba AD создаются базы данных AD и добавляются начальные записи, такие как учетная запись администратора домена и необходимые записи DNS.

Если вы переносите домен Samba NT4 в AD, пропустите этот шаг и запустите классическое обновление Samba. Дополнительные сведения см. в разделе «Миграция домена Samba NT4 в Samba AD (классическое обновление)».

Команда предоставления домена samba-tool предоставляет несколько параметров для использования с интерактивной и неинтерактивной настройкой. Подробнее см.:

Пояснение параметра

Установите следующие параметры во время подготовки:

Другие параметры, часто используемые с командой предоставления домена samba-tool:

--option="interfaces=lo eth0" --option="bind interfaces only=yes" : если ваш сервер имеет несколько сетевых интерфейсов, используйте эти параметры для привязки Samba к указанным интерфейсам. Это позволяет команде samba-tool зарегистрировать правильный IP-адрес локальной сети в каталоге во время присоединения.

Для подготовки AD требуются права root для создания файлов и установки разрешений.

НЕ ИСПОЛЬЗУЙТЕ NONE в качестве серверной части DNS, он не поддерживается и будет удален в будущей версии Samba.

Если в качестве серверной части DNS используется Bind, НЕ используйте BIND9_FLATFILE , он не поддерживается и будет удален в будущей версии Samba.

После инициализации первого контроллера домена в домене AD не предоставляйте никаких дополнительных контроллеров домена в том же домене, присоединяйтесь к любым другим контроллерам домена.

Инициализация Samba AD в интерактивном режиме

Чтобы подготовить Samba AD в интерактивном режиме, запустите:

Интерактивный режим подготовки поддерживает передачу дополнительных параметров команде подготовки домена samba-tool. Это позволяет изменять параметры, не являющиеся частью интерактивной настройки.

Инициализация Samba AD в неинтерактивном режиме

Например, для неинтерактивной подготовки Samba AD со следующими настройками:

Пропустите этот шаг, если вы подготовили контроллер домена с помощью серверной части SAMBA_INTERNAL DNS.

Настройте DNS-сервер BIND и модуль BIND9_DLZ. Подробнее см. в разделе Настройка DNS-сервера BIND.

Запустите DNS-сервер BIND. Например:

Члены домена в AD используют DNS для поиска служб, таких как LDAP и Kerberos. Для этого им необходимо использовать DNS-сервер, способный разрешать зону AD DNS.

На своем контроллере домена задайте домен AD DNS в поиске и IP-адрес вашего контроллера домена в параметре nameserver файла /etc/resolv.conf. Например:

При желании можно добавить зону обратного просмотра.

Если вам нужно более одной обратной зоны (несколько подсетей), просто запустите указанную выше команду еще раз, но с данными для другой подсети.

Обратная зона работает напрямую без перезапуска Samba или BIND.

В AD Kerberos используется для аутентификации пользователей, компьютеров и служб.

Во время подготовки Samba создала файл конфигурации Kerberos для вашего контроллера домена. Скопируйте этот файл в конфигурацию Kerberos вашей операционной системы. Например:

Вы должны запустить Samba AD DC, прежде чем сможете добавить обратную зону.

Не создавайте символическую ссылку на сгенерированный файл krb5.conf. В Samba 4.7 и более поздних версиях каталог /usr/local/samba/private/ больше недоступен для других пользователей, кроме пользователя root. Если файл представляет собой символическую ссылку, другие пользователи не смогут прочитать файл, и, например, динамические обновления DNS завершатся ошибкой, если вы используете серверную часть DNS BIND_DLZ.

Предварительно созданная конфигурация Kerberos использует записи ресурсов службы DNS (SRV) для поиска KDC.

Чтобы запустить службу samba вручную, введите:

Samba не предоставляет сценарии инициализации System V, systemd , upstart или файлы конфигурации других служб.

Если вы установили Samba с помощью пакетов, используйте сценарий или файл конфигурации службы, включенный в пакет, для запуска Samba.
Если вы построили Samba, см. раздел Управление службой Samba AD DC.

Проверка файлового сервера

Чтобы перечислить все общие ресурсы, предоставленные контроллером домена:

До Samba 4.11.0:

Из Samba 4.11.0:

Общие ресурсы netlogon и sysvol были автоматически созданы во время подготовки и должны существовать на контроллере домена.

Для проверки подлинности подключитесь к общему ресурсу netlogon, используя учетную запись администратора домена:

Если один или несколько тестов не пройдены, см. раздел Устранение неполадок.

Подтверждение DNS

Чтобы убедиться, что ваша конфигурация AD DNS работает правильно, запросите некоторые записи DNS:

Запись _ldap SRV на основе TCP в домене:

Запись ресурса _kerberos SRV на основе udp в домене:

Запись A контроллера домена:

Если один или несколько тестов не пройдены, см. раздел Устранение неполадок.

Проверка Kerberos

Запросите билет Kerberos для учетной записи администратора домена:

Список кэшированных билетов Kerberos:

Если один или несколько тестов не пройдены, см. раздел Устранение неполадок.

Kerberos требует синхронизированного времени на всех членах домена. Дополнительные сведения и инструкции по настройке службы ntpd или chrony см. в разделе Синхронизация времени.

Несмотря на то, что Samba AD DC может предоставлять общий доступ к файлам, как и все другие режимы установки, команда Samba не рекомендует использовать DC в качестве файлового сервера по следующим причинам:

Для любых организаций, кроме самых маленьких, наличие более одного контроллера домена является хорошей резервной мерой и делает обновления более безопасными.
Рекомендуется, чтобы при обновлении контроллера домена каждый год или два также обновлялась ОС хоста, потому что нет сложных данных для перехода или других задействованных служб.
Это означает, что обновления можно выполнять, устанавливая новую версию и повторяя изменения, которые лучше тестируются в Samba, получают новые функции и позволяют избежать ряда сохраняющихся рисков повреждения данных.
Контроллер домена и файловый сервер имеют разные точки, в которых организация хотела бы выполнить обновление. Потребность в новых функциях контроллера домена и файлового сервера возникает в разное время. В настоящее время AD DC быстро развивается, приобретая новые функции, в то время как файловый сервер по прошествии более 20 лет совершенно справедливо стал более консервативным.
обязательное подписание smb применяется на контроллере домена.

Если вы решите использовать контроллер домена Samba в качестве файлового сервера, рассмотрите возможность запуска виртуальной машины на контроллере домена, содержащей отдельный член домена Samba Unix, и используйте его вместо этого.

Если вы должны использовать Samba DC в качестве файлового сервера, вы должны знать, что автоматически активируемый объект виртуальной файловой системы (VFS) acl_xattr позволяет настраивать общие ресурсы только со списками управления доступом Windows (ACL). Использование списков контроля доступа POSIX с общими ресурсами на контроллере домена Samba не работает.

Вы должны знать, что если вы хотите использовать объект vfs на общем ресурсе DC, например. recycle, вы не должны просто устанавливать объекты vfs = recycle в общем ресурсе. Это отключит объекты vfs по умолчанию dfs_samba4 и acl_xattr. Вы должны установить объекты vfs = dfs_samba4 acl_xattr recycle .

Чтобы предоставить сетевым ресурсам все возможности Samba, настройте члена домена Samba с файловыми ресурсами общего доступа. Подробнее см.:

Если у вас есть только небольшой домен (маленький офис, домашняя сеть) и вы не хотите следовать рекомендации команды Samba и дополнительно использовать DC в качестве файлового сервера, настройте Winbindd до того, как вы начнете настраивать общие ресурсы. Дополнительные сведения см. в разделе Настройка Winbindd на контроллере домена Samba AD.

Читайте также: