Предположим, что у нас имеется удалённый офис. Офис немаленький, следовательно мы можем туда поставить полноценный контроллер домена. Кроме этого, удалённый офис будет поддерживать местная команда IT-специалистов и для ограничения их доступа только локальными ресурсами удалённого офиса выделим им отдельный домен в общем лесу. Задача имеет несколько путей решения и решается в 2 стадии. Попробуем решить задачу используя графические средства Windows 2008 Server (задача так же может быть решена утилитами командной строки или средствами файлов автоответов). Сначала надо будет создать отдельный сайт для удалённого офиса, потом в удалённом офисе установить будущий контроллер домена, включить его в наш основной домен и повысить его до контроллера домена параллельно создав новый корневой домен.
1. Создаем новый сайт. Операции выполняются через оснастку “Active Directory Sites and Services”. Создаём новый сайт:
Вводим имя сайта и указываем линк, который он будет использовать:
Далее нас предупреждают, что сайт создан и надо теперь указать для него подсеть и установить в нём контроллер домена:
Действительно, если развернуть в оснастке наш новый сайт, в нём не окажется серверов:
Добавляем подсеть:
Указываем адрес подсети и сайт к которой её привязываем:
Всё, сайт у нас создан. Осталось поместить в него новый контроллер домена.
2. Создаём новый корневой домен. Для начала нужно убедиться в правильных настройках сетевой карты будущего контроллера домена. Во-первых сервер должен в качестве основного dns-сервера в настройках сетевой карты использовать наш основной контроллер домена, во-вторых должен существовать маршрут с нашего офиса до контроллера домена. При этих условиях проблем с введением в домен нового сервера возникнуть не должно. Процедура это стандартная и останавливаться на ней смысла особого нет. После введения нового сервера в основной домен нужно его повысить до роли контроллера домена, создав при это новый корневой домен. До запуска процедуры повышени роли сервера до контроллера домена надо на него установить роль Active Directiry Domain Services:
Замечу, что при попытке установить одновременно роль DNS-сервера мы получим следующее предупреждение:
Что означает, что при необходимости, роль DNS-сервера будет автоматически установлена при провышении роли сервера до контроллера домена. Продолжаем установку – на следующем шаге получим предупреждение, что сервер возможно будет перегружен после установки роли:
После завершения установки прямо из окна визарда получаем доступ к запуску dcpromo и запускаем процесс установки контроллера домена:
Будем использовать расширенный режим установки:
При выборе конфигурации укажем, что ставить контроллер домена будем в существующем лесу в новый домен. Обязательно должна быть галка “Create a new domain tree root instead a new child domain”. Иначе мы запустим установку дочернего домена в существующем:
Указываем имя корневого домена и учётные данные пользователя с правами доменного администратора. Если на новый сервер мы залогинены под пользователем, являющимся доменным администратором, то нужно будет указать только имя существующего корневого домена:
Далее вводим имя будущего домена:
Его NetBIOS имя:
Указываем сайт, в который поместим будущий контроллер домена (мы его создали на предыдущем шаге):
У кажем дополнительные опции установки (установить на сервер роль DNS-сервера и сделать его глобальным каталогом в новом сайте):
Далее укажем контроллер домена, с которым будет реплицироваться при установке наш новый сервер (в принципе можно предоставить выбор контроллера домена для репликации визарду):
Далее указываем размещение базы AD, логов и директории SYSVOL:
Вводим пароль режима восстановления:
Запускаем процесс установки:
Процесс установки займёт некоторое время, в течение которого установится роль DNS-сервера, будут назначены все необходимые разрешения и создана необходимая база в которую скопируются все необходимые объекты AD. После завершения установки потребуется перезагрузка, после которой мы получим новый контроллер домена в новом домене в общем лесу ресурсов.
Огромное спасибо! Настолько подробное руководство, подключил новый филиал (orel.konsib.local) без проблем!
Хотел спросить кое что. Недавно установили новый сервер в главном офисе, на нем подняли домен konsib.local, до этого был домен basedomain (TLD так сказать:))), учетные записи еще не мигрировали, но вопрос в другом:
У нас имеется 3 филиала (office.konsib.local, izhevsk.konsib.local, novgorod.konsib.local), которые создавались как отдельные леса, можно ли их загнать в этот новый лес konsib.local?
Заранее благодарю за ответ.
С уважением, Станислав!
Рад, что темка оказалась полезной. Утилит для миграции учётных записей пользователей между лесами существует достаточно много. Из бесплатных могу посоветовать Active Directory Migration Tool (ADMT). Ссылку можно найти на сайте Майкрософта.
Статья очень интересная, полезная и графически – понятна! Вот только не затронута тема делегирования в DNS, о котором желательно позаботиться заранее, до развертывания нового доменного дерева в лесу.
Спасибо. Целью написать развёрнутую статью про планирование AD я не задавался.
После добавления перестали обнаруживаться оба домена машинами