Введение
Развертывание инфраструктуры на базе Active Directory начинается с создания первого контроллера домена. Это фундаментальный этап, определяющий безопасность, аутентификацию и управление политиками в корпоративной сети. Процесс требует точного соблюдения архитектуры DNS и прав локального администратора.
Подготовка и требования
Перед тем как приступить к установке контроллера домена, убедитесь, что сервер работает на актуальной версии Windows Server. Рекомендуется статический IP-адрес, корректное имя хоста и настроенный реестр DNS. Сервер не должен быть членом другой рабочей группы или домена. Отключите фаервол на этапе инсталляции для предотвращения блокировки RPC-портов.
| Компонент | Требование | Примечание |
|---|---|---|
| ОС | Windows Server 2019/2022 | Поддержка продлится до 2029 г. |
| Сеть | Статический IPv4 | Шлюз и DNS указывают на сам сервер |
| Права | Администратор домена | Требуется для поднятия FSMO |
| Роли | AD DS + DNS | Устанавливаются пакетно |
Методы развёртывания
Существует два основных пути: графический интерфейс (Server Manager) и PowerShell. GUI подходит для разовых инсталляций и визуального контроля этапов мастера. PowerShell обеспечивает воспроизводимость, автоматизацию и подходит для CI/CD-пайплайнов инфраструктуры.
При использовании диспетчера серверов после добавления роли AD DS откроется уведомление. Запустите мастер настройки, укажите «Добавить новый лес», введите имя домена (например, corp.local), задайте пароль режима восстановления служб домена (DSRM) и подтвердите выбор DNS-сервера. Мастер автоматически создаст базу NTDS.dit, папку SYSVOL и зарегистрирует сервисы.
Install-ADDSForest `
-DomainName "corp.local" `
-DomainNetbiosName "CORP" `
-InstallDns:$true `
-Force:$true
Данная команда выполняет установку контроллера домена в один клик. Параметр -Force подавляет предупреждения о смене корневого домена, а -InstallDns гарантирует корректное связывание зон. После завершения сервер перезагрузится и перейдёт в режим DC.
Верификация и подключение клиентов
После перезагрузки проверьте статус служб через Get-Service ADWS,NTDS,Dns. Убедитесь, что в Event Viewer отсутствуют критические ошибки (Event ID 1988, 2042). Для подключения рабочих станций Windows 10/11 перейдите в параметры системы, смените тип подключения на «Домен» и введите учётные данные администратора. При успешном входе проверьте репликацию и доступ к групповым политикам.
Вопрос-ответ (FAQ)
Можно ли установить контроллер домена на виртуальную машину?
Да, это стандартная практика. Рекомендуется использовать Generation 2 с UEFI и отключить контрольные точки сохранения во время работы мастера AD DS во избежание рассинхронизации базы.
Что делать, если DNS не резолвит внутренние зоны?
Проверьте, что на сетевом адаптере первым сервером DNS указан localhost (127.0.0.1). Убедитесь, что служба DNS запущена и в журнале событий нет ошибок привязки портов.
Как понизить уровень контроллера домена?
Используйте Uninstall-ADDSDomainController или мастер Server Manager. Перед удалением убедитесь, что перенесены роли FSMO и репликация завершена.
Comments are closed.