Данная статья описывает процедуру установки и настройки DHCP сервера на базе Windows Server 2019. В статье описаны особенности установки и настройки DHCP роли, создания областей DHCP, настройки их параметров и резервации статических адресов. Мы рассмотрим как привычный способ настройки параметров DHCP сервера через графическую консоль, так и настройку DHCP из командной строки PowerShell.
Протокол DHCP (Dynamic Host Configuration Protocol) используется для автоматического назначения сетевых настроек (IP адрес, маска подсети, шлюз, DNS сервера и т.д.) устройствам в вашей сети (компьютеры, ноутбуки, сканеры, принтеры и т.д.). Также DHCP сервер позволяет более эффективно использовать адресное пространство, избегать конфликта IP адресов в сети и централизованно управлять сетевыми параметрами на клиентских устройствах.
Содержание:
- Установка роли DHCP сервера в Windows Server 2019/2016
- Настройка DHCP областей в Windows Server
- Резервация IP адресов на DHCP сервере
- Настройка и управление DHCP сервером с помощью PowerShell
Установка роли DHCP сервера в Windows Server 2019/2016
В этом примере мы установим DHCP сервер на хосте с Windows Server 2019 и IP адресом 192.168.13.4. Вы можете использовать как Server Core версию, так и Full GUI. В маленькой инфраструктуре допустимо устанавливать DHCP сервер на сервер с ролью контроллера домена Active Directory.
Обязательно назначьте статический IP адрес серверу с ролью DHCP сервер. При установке роли DHCP из консоли PowerShell на сервере с автоматическим получением IP адреса появляется предупреждение:
Configure at least one static IP address on your computer before installing DHCP. WARNING: The following recommended condition is not met for DHCP: No static IP addresses were found on this computer. If the IP address changes, clients might not be able to contact this server. Please configure a static IP address before installing DHCP Server.
Установить роль DHCP Server можно из консоли Server Manager (Add Roles and Features -> Server Roles).
После установки роли DHCP роли нужно выполнить Post-Deployment Configuration. Для этого в консоли Server Manager щелкните по уведомлению и выберите Complete DHCP configuration.
Вам будет предложено аутентифицировать новый DHCP сервер в Active Directory (экран Authorization). Для авторизации DHCP сервера в AD учетная запись должна состоять в доменной группе Enterprise Admins.
Если у вас нет прав на авторизацию DHCP в AD, вы можете указать, чтобы ваш DHCP сервер запускался без проверки авторизации в домене:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters" -Name DisableRogueDetection -Value 1 -Force
Также вы можете установить и настроить DHCP роль в Windows Server из консоли PowerShell.
Установка роли DHCP:
Install-WindowsFeature DHCP –IncludeManagementTools
Проверьте, что роль и инструменты управления RSAT-DHCP установлены:
Get-WindowsFeature -Name *DHCP*| Where Installed
Авторизуйте DHCP сервер в Active Directory (укажите DNS имя сервера и IP адрес, который будет использоваться DHCP клиентами):
Add-DhcpServerInDC -DnsName hq-dc01.contoso.com -IPAddress 192.168.13.4
Создайте локальные группы безопасности DHCP сервера:
Add-DhcpServerSecurityGroup
Чтобы Server Manager перестал показывать уведомление о том, что DHCP роль требует настройки, выполните команду:
Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ServerManager\Roles\12 -Name ConfigurationState -Value 2
Перезапустите службу DHCPServer:
Restart-Service -Name DHCPServer -Force
База данных и логи DHCP сервера находятся в каталоге
%systemroot%\system32\dhcp
.
- dhcp.mdb — файл базы данных сервера DHCP’;
- j50.log – транзакционный журнал (используется при восстановлении конфигурации DHCP);
- j50.chk — файл контрольной точки;
- tmp.edb — временный рабочий файл DHCP-сервера.
Настройка DHCP областей в Windows Server
После установки роли DHCP вам нужно создать DHCP области (Scopes), которые описывают диапазоны IP адресов и другие настройки, выдающиеся сервером клиентам.
Для управления сервером DHCP используется консоль dhcpmgmt.msc (вы можете управлять DHCP сервером локально или с удаленного компьютера с установленным RSAT). Запустите консоль DHCP, разверните ваш сервер -> IPv4.
Чтобы создать новую область выберите New Scope.
Укажите название DHCP области.
Укажите диапазон IP адресов, который будет выдаваться этой областью и маску сети. В этом примере я хочу использовать эту DHCP область для обслуживания подсети 192.168.100.0/24. В рамках этой сети DHCP сервером будет назначаться динамические IP адреса из диапазона 192.168.100.50 — 192.168.100.250. В следующем окне можно добавить исключения в этот диапазон (Add Exclusions and Delay).
Далее нужно указать длительность аренды (Lease Duration) IP адреса DHCP клиентом (по умолчанию 8 дней, менять без особой необходимости не нужно).
Укажите, что вы хотите настроить дополнительный параметры DHCP области.
.
Укажите IP адрес шлюза в подсети, который должен назначаться клиентам (в нашем примере это 192.168.100.1).
Затем укажите имя домена и адреса DNS серверов, которые будут назначены клиентам DHCP.
Осталось активировать DHCP область (разрешить ей обслуживать клиентов).
DHCP сервер может выдавать клиентам различный настройки (кроме IP адреса). Для этого используются Scope Options.
В Windows Server DHCP можно настроить глобальные настройки области или Scope Options для каждой области.
Ранее мы уже настроили три опции области:
-
003 Router -
006 DNS Server -
015 DNS Domain Name
Можно добавить и другие опции (NTP сервера, PXE и т.д.).
В разделе Server Options DHCP сервера можно настроить глобальные опции, которые будут наследуются всеми областями. Но вы можете переопределить глобальные настройки в настройках каждой области (опции области имеют приоритет над опциями сервера).
Один DHCP сервер может обслуживать сотни удаленных подсетей и VLAN. Поэтому вы можете создать на нем несколько областей. Главное, чтобы в каждой из подсетей был настроен ретранслятор (DHCP relay agent), который пересылает широковещательные DHCP-запросы на указанный DHCP сервер. В терминах Cisco DHCP ретранслятор называется ip helper. Вы можете настроить DHCP Relay даже на Windows Server.
Протокол DHCP в качестве транспорта использует протокол UDP. Пакеты от клиента к серверу передаются по порту 67 UDP, обратно через UDP 68
Резервация IP адресов на DHCP сервере
По умолчанию DCHP сервер выдает клиентам динамические адреса. Это означает что IP адрес у любого клиента может меняться. Если вы хотите, чтобы определенные устройства всегда получали от DHCP сервера один и тот же адрес, вы можете его зарезервировать (например, для сетевых принтеров, которые настроены у пользователей).
Для DHCP резервации выберите область и перейдите в секции Reservation. В меню выберите New Reservation.
При создании резервации нужно указать IP адрес, который нужно сохранить за клиентом и его MAC адрес (уникальное значение). MAC адрес в Windows можно получить из результатов команды
ipconfig /all
или с помощью PowerShell
get-netadapter|select name,macaddress
). Опционально можно указать имя и описание устройства.
Также вы можете зарезервировать текущий динамический адрес за устройством, найдя его в разделе Address Leases. Щелкните по устройству и выберите Add to Reservation.
Настройка и управление DHCP сервером с помощью PowerShell
Все операции по настройке и управлению DHCP сервером на Windows Server 2019/2016 можно выполнять из консоли PowerShell. Рассмотрим основные команды управления DHCP. Для этого используется модуль DHCPServer. Импортируйте модуль в сессию:
Import-Module DHCPServer
Вывести полный список командлетов в моделе DHCP можно так:
Get-Command -Module DHCPServer
Следующая команда выведет список авторизованных DHCP серверов в Active Directory:
Get-DhcpServerInDC
Вывести список DHCP областей на указанном сервере:
Get-DhcpServerv4Scope –ComputerName msk-dhcp1
Если нужно показать все параметры области (Delay, Description, Name и т.д.):
Get-DhcpServerv4Scope –ComputerName msk-dhcp1| FL *
Если нужно отобразить данные о IPv6 областях:
Get-DHCPServerv6Scope
Получить настройки для конкретной области:
Get-DhcpServerv4Scope –ComputerName msk-dhcp1 –ScopeID 10.10.1.0
Создадим новую (неактивную) область с диапазоном адресов с 192.168.113.50 до 192.168.113.250:
Add-DhcpServerv4Scope -Name “Brahch1 192.168.113.0” -StartRange 192.168.113.50 -EndRange 192.168.113.250 -SubnetMask 255.255.255.0 -State InActive
Настроить следующие параметры DHCP сервера: DNS сервер, домен и адрес шлюза по-умолчанию:
Set-DhcpServerv4OptionValue -ScopeID 192.168.113.0 -DnsDomain contoso.com -DnsServer 192.168.13.4 -Router 192.168.113.1
Добавить исключения в DHCP область:
Add-DhcpServerv4ExclusionRange -ScopeID 192.168.113.0 -StartRange 192.168.113.90 -EndRange 192.168.113.100
Активировать DHCP область:
Set-DhcpServerv4Scope -ScopeID 192.168.113.0 -State Active
Для удобства можно использовать такую команду PowerShell при создании новой области:
$HashArgs = @{
'Name' = 'EKB Office Scope';
'Description' = 'workstations';
'StartRange' = '192.168.140.10';
'EndRange' = '192.168.140.200';
'SubnetMask' = '255.255.255.0';
'State' = 'Active';
'LeaseDuration' = '1.00:00:00';
}
Add-DhcpServerv4Scope @HashArgs
Опции для DHCP сервера добавляется так (к примеру, WPAD):
Add-DhcpServerv4OptionDefinition -ComputerName msk-dhcp1 -Name WPAD -OptionId 252 -Type String
Вывести список настроенных опций DHCP сервера можно так:
Get-DHCPServerv4OptionValue -ComputerName msk-dhcp1 | Format-List
Выведем список настроенных параметров зоны:
Get-DHCPServerv4OptionValue -ComputerName msk-dhcp1 -ScopeId 10.10.1.0 | Format-List
Показать текущий список арендованных адресов для области 10.10.1.0:
Get-DHCPServerv4Lease -ScopeId 10.10.1.0 -ComputerName msk-dhcp1
Создать DHCP резервацию для клиента, которому назначен динамический IP адрес 10.10.1.88 (конвертировать выданный адрес в зарезервированный):
Get-DhcpServerv4Lease -ComputerName msk-dhcp1 -IPAddress 10.10.1.88| Add-DhcpServerv4Reservation -ComputerName msk-dhcp1
Можно массово зарезервировать IP адреса для компьютеров по списку из csv файла. Для этого создайте текстовый файл в формате:
ScopeId,IPAddress,Name,ClientId,Description 10.10.1.0,10.10.1.88,Client1,ba-ab-5c-3d-4e-6f,Reservation PC-msk-s1 10.10.1.0,10.10.1.89,Client2,ba-ab-5c-5d-2e-3f,Reservation PC-msk-s2
Сохраните файл с именем
c:\dhcp\DHCPReservations.csv
и запустите следующую команду, которая импортирует данные из csv файла и создаст DHCP резервации для клиентов:
Import-Csv –Path c:\dhcp\DHCPReservations.csv | Add-DhcpServerv4Reservation -ComputerName msk-dhcp1
Отключить область на DHCP сервере:
Set-DhcpServerv4Scope -ComputerName msk-dhcp1-ScopeId 10.10.1.0-State InActive
Удалить область с DHCP сервера:
Remove-DHCPServerv4Scope -ComputerName msk-dhcp1-ScopeId 10.10.1.0 -Force
Возможно получить статистику DHCP сервера (количество областей, резерваций, процент использования адресов и пр.).
Get-DhcpServerv4Statistics -ComputerName msk-dhcp1
Аналогичная информация для конкретной области может быть получена с помощью командлета Get-DhcpServerv4ScopeStatistics.
Конфигурацию DHCP сервера можно экспортировать в указанный XML файл с помощью команды:
Export-DHCPServer -ComputerName msk-dhcp1 -File C:\dhcp\dhcp-export.xml
Совет. Заданием с такой командой в планировщике задач можно реализовать регулярное резервное копирование конфигурации DHCP сервера.
В дальнейшем эти настройки DHCP сервера можно импортировать (перенести) на другой DHCP сервер:
Import-DHCPServer -ComputerName msk-dhcp2 -File C:\dhcp\dhcp-export.xml -BackupPath C:\dhcpbackup\
В прошлой статье мы подробно рассмотрели процесс создания контроллеров домена для вашей структуры AD. Сегодня мы хотим поговорить о правильной настройке службы DHCP, которой обычно не придают особого внимания. А зря, от правильной работы этой службы во многом зависит бесперебойная работа вашей локальной сети.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
«DHCP? Да что там настраивать?» — скажет иной администратор — и будет неправ. При всей кажущейся простоте данная служба является одной из ключевых и будет очень плохо если об ее отказе вы узнаете от пользователей.
В отличии от DNS или AD, DHCP не позволяет создать два полноценных сервера и реплицировать данные между ними (данная возможность появилась в Windows Server 2012). Как же быть? Единственный DHCP-сервер способен доставить немало головной боли администратору, сервер с данной ролью даже на профилактику вывести проблемно, не говоря уже о сбоях.
Но не стоит впадать в уныние. Следуя нашим рекомендациям вы сможете без труда создать отказоустойчивую сетевую инфраструктуру.
Обычно DHCP-сервер совмещают с роутером, в простых сетях данный подход оправдан, в структуре AD мы рекомендуем совместить роли контроллера домена и DHCP-сервера. Для создания отказоустойчивой схемы нам понадобится два DHCP-сервера, между которыми следует разделить пул адресов области. Рекомендуется соотношение 80/20, хотя никто не мешает вам разделить область согласно собственным предпочтениям.
Однако перед тем как нарезать пул адресов, стоит сесть и задуматься над схемой распределения адресов в вашей сети. Стоит раз и навсегда выработать определенные правила присвоения адресов и придерживаться их в дальнейшем, это позволит значительно упростить администрирование сети и сократит до минимума глупые вопросы: «а что это за хост с адресом 192.168.51.51 ???»
Мы, например, придерживаемся следующей схемы:
Данная схема не претендует на оригинальность и приведена исключительно в качестве примера. Вы можете составить собственные схемы и придерживаться их. Основным достоинством данного подхода является то, что встретив IP-адрес 192.168.51.203 администратор точно знает, что это один из сетевых принтеров, а 192.168.51.51 — Wi-Fi оборудование.
С учетом данной схемы выделите пул DHCP-адресов и поделите его в соотношении 80/20 (или как вам больше нравится). В нашем случае это будут диапазоны до и после адреса (включительно) 192.168.51.210.
Отдельно стоит упомянуть почему мы не используем блок адресов 1-10, как правило многие сетевые устройства настроены на использование адреса 192.168.x.1 по умолчанию и всякие сетевые «умельцы» при попытке подключиться к сети используют адреса из этого диапазона. Особенно это актуально для сетей диапазонов 192.168.0.0 и 192.168.1.0, поэтому мы советуем выбрать для своей корпоративной сети иной диапазон, в самом деле, от 2 до 254 весьма много цифр.
Итак, с теорией закончили, переходим к практике. На первом КД запускаем Диспетчер сервера и добавляем роль DHCP-сервера:
В качестве родительского домена указываем наш домен AD, в качестве DNS-серверов адреса наших КД.
Следующим шагом добавляем область, в настройках указываем полный диапазон адресов: 192.168.51.10-.192.168.51.253, исключения настроим позже.
Затем наш DHCP-сервер требуется авторизовать в AD, если вы вошли в систему как администратор домена, то дополнительных действий не потребуется, иначе нужно будет указать учетные данные доменного администратора.
После этого еще раз проверьте все введенные данные и установите роль DHCP-сервера. После чего перейдите в оснастку управления данной ролью и задайте диапазоны исключения:
В итоге у вас должна получиться примерно аналогичная настройка (согласно вашей схеме распределения адресов):
Теперь аналогичным образом добавляем и настраиваем роль DHCP на втором КД. Настройкам области особого внимания не уделяем, все равно ее придется удалить:
Да, на втором КД удаляем созданную область и снова переходим на первый КД. Щелкаем правой кнопкой мыши по DHCP-области и выбираем Дополнительно — Разделенные области.
В открывшемся мастере выбираем второй DHCP-сервер:
И укажите пропорции в которых следует раздеть область. Можете сильно не вникать в опции, разделив зону «на глаз», более точные настройки позже можно задать вручную.
Следующим шагом укажите задержки ответа серверов, так как первый сервер будет являться основным, то укажем для второго сервера задержку в 10 мс, это позволит выдавать все адреса первым сервером, используя второй только при отказе первого или заполнении его пула адресов.
По окончании работы мастера область будет разделена и на первом сервере она примет вид:
На втором сервере, скорее всего, придется «доработать напильником» и удалить лишний диапазон исключения:
Теперь, убедившись что оба сервера обслуживают непересекающиеся части области, можно активировать область на втором сервере:
Теперь в случае отказа или вывода на профилактику основного DHCP-сервера, второй сервер обработает запросы клиентов с истекшей арендой адреса (по умолчанию 8 дней), если основной сервер выбыл на больший срок, то на дополнительном DHCP-сервере стоит расширить пул адресов, в последующем сделав данный сервер основным, а другой сервер дополнительным.
В любом случае данный подход позволяет обеспечить бесперебойное функционирование вашей сетевой инфраструктуры вне зависимости от работоспособности отдельных узлов.
Дополнительные материалы:
- Службы каталогов. Часть 1 — Общие понятия
- Службы каталогов. Часть 2 — Реализации служб каталогов
- Службы каталогов. Часть 3 — Структура Active Directory
- Active Directory — от теории к практике. Часть 1 — общие вопросы
- Active Directory — от теории к практике. Часть 2 — разворачиваем доменную структуру
- Active Directory — от теории к практике. Часть 3 — настройка DHCP
- Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен
- Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
- Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
- Синхронизация времени Active Directory с внешним источником
- Обновление схемы Active Directory
- Управление ролями FSMO при помощи Ntdsutil
- Управление ролями FSMO с помощью PowerShell
- Восстанавливаем доверительные отношения в домене
- Очистка метаданных контроллера домена в Active Directory
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Since Windows Server 2016 Insider Build is free with full licenses, why not using it? But it’s only available in Server Core, which means I will have to use PowerShell to do all the work. I am setting up one that is the first server in a test environment and I need it to be the AD server as well as DHCP. DNS will be added automatically during the AD installation.
Here are the basic steps to get started.
Get the server ready
That includes
- Setting up network settings with a static IP for the server;
- Assigning a meaningful NetBIOS name (ComputerName);
- Install all updates to keep the system up-to-date;
- Activate the Windows Server installation;
You can use either the PowerShell cmdlets such as New-NetIPAddress and Set-DNSClientServerAddress to make these changes or the Server Core built-in tool sconfig.exe if you would like something easier.
Install Active Directory service
Start with
Install-WindowsFeature -Name AD-Domain-Services
to install the Active Directory server role. No restart needed.
And then
Install-ADDSForest -DomainName test.local
to install the first Forest with the name test.local. You will need to provide the safemodeadministratopassword and confirm the server to be configured and rebooted afterward along the way. Note that the DNS server will be installed and properly configured automatically during the process.
Once rebooted, use DCDiag to verify the new Domain Controller and make sure the AD and DNS services are running and sysvol and netlogon shares are properly configured.
Now let’s add a first user account using
New-ADUser -Name kent -AccountPassword(Read-Host -AsSecureString "AccountPassword") -PassThru | Enable-ADAccount
Type in the password twice and it’s all set. And then use
ADD-ADGroupMember
to add the newly created user to the group you would like, such as Administrators group.
Install DHCP service
Start with
Install-WindowsFeature -Name DHCP -IncludeManagementTools
And then use
Add-DHCPServerv4Scope -Name "Internal" -StartRange 192.168.30.51 -EndRange 192.168.30.100 -SubnetMasking 255.255.255.0 -State Active
to add a new DHCP scope and use
Set-DHCPServerv4OptionValue -ScopeID 192.168.30.0 -DnsDomain test.local -DnsServer AD-IP -Router IP-of-Router
to set up the DHCP options.
Final step, use
Add-DHCPServerInDC -DnsName test.local -IPAddress IP-of-DC
to authorize the DHCP server to operate in the specified domain.
To verify, use Get-DHCPServerInDC.
That’s about it, enough to get a working Domain powered environment.
0
We have published a step by step guide on how to install and configure DHCP in Server 2022 using Server Manager. This article, in turn, covers an easy and step by step guide on how to install and configure DHCP in Server 2022 using Windows PowerShell. Using PowerShell to perform such technical tasks is always a preferred alternative for IT pros. Besides other benefits, using Powershell takes us less time to complete the tasks. It is, of course, a professional way to accomplish almost any task in Windows Server operating systems.
Steps to Install and Configure DHCP Using PowerShell
Generally, the process of DHCP installation and configuration in Windows Server encompasses three tasks: installing the DHCP capability and its management tools, adding security groups, and authorizing DHCP in Active Directory. Let’s dive into the steps.
- Open the PowerShell from the Start Menu. See the picture below. You can also open it from Run using
powershellcommand in the Run dialogue box.
- Before straightly going to the DHCP installation command, run the
Get-WindowsFeaturecommand. This command lists all the features available in Windows Server 2022. It shows the name and installation state of those features. As the picture below shows, we have the DHCP feature available to install.
- To install DHCP and its management tools, run the command
Install-WindowsFeature DHCP -IncludeManagementTools.Wait for a while till it finishes the installation, and you will see the details upon successful installation.
- Now, run the
netsh DHCP add SecurityGroupscommand to add the DHCP local security groups.
- The next step is to authorize the DHCP server to the Active Directory. To do so, use the command
Add-DhcpServerInDC -DnsName ServerName.DomainName.Use your DHCP server name instead of the ServerName and your domain name instead of the DomainName in the above command. In my case, technigDC is the DHCP server name, and Technig.com is the domain name, as shown in the below picture.
- At this point, we are all done with our DHCP installation and configuration. We can view the authorized DHCP servers in Active Directory using
Get-DhcpServerInDCcommand.
That is all with DHCP installation and configuration using Windows PowerShell. That simple, it is installed and authorized.
Summary
Using Windows PowerShell is a professional way of completing configuration tasks on Windows OSs, including Windows Server 2022. Throughout this article, we explained how we can install and configure DHCP on Windows Server 2022 using the PowerShell tool. We saw that we can easily do it using a few simple command lines.
In the end, I hope you found this article helpful. Feel free to put your related questions in the comment section below.
A BS-CS holder, tech enthusiast with a high interest in writing, generally, and in technical writing, especially, here is the platform on which I share my tech knowledge and experiences. I hope you find my content helpful.
00:39 05.05.2020
Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
Довольно часто коллеги и читатели обращаются к нам с просьбой создать руководство по быстрому практическому развертыванию минимально работоспособной конфигурации Active Directory и сопутствующих служб. Хотя у нас на сайте уже есть цикл по развертыванию AD, вполне актуальный, несмотря на дату написания, он рассчитан прежде всего на пошаговое изучение вопроса как в теоретической, так и практической областях. Поэтому создание именно руководства нацеленного на быстрое получение результата имеет смысл и дает хороший повод еще раз обобщить и обновить информацию по этому вопросу.
Для полноценного функционирования Active Directory вам потребуется не менее двух контроллеров домена, это не обязательно должны быть именно физические компьютеры, вполне подойдут и виртуальные машины, но мы советуем иметь хотя бы один «физический» контроллер. В качестве операционной системы будет использоваться Windows Server 2019, но все сказанное будет справедливо для серверных ОС Microsoft начиная от Server 2012.
Прежде чем приступать к настройке следует выполнить некоторые подготовительные действия: переименуем компьютеры и присвоим им статические IP-адреса. Мы категорически не рекомендуем использовать сети 192.168.0.0/24, 192.168.1.0/24 и т.п., потому что они используются по умолчанию в массовом оборудовании и впоследствии, при соединении офисов, либо подключении удаленных клиентов вы можете столкнуться с серьезными затруднениями из-за пересечения адресного пространства.
Закончив с подготовкой, приступим к настройке первого контроллера. Откроем Диспетчер серверов и перейдем в Управление — Добавить роли и компоненты, где выберем Доменные службы Active Directory и добавим предлагаемые дополнительные компоненты.
После чего завершаем установку выбранных компонентов и нажимаем на ссылку Повысить роль этого сервера до уровня контроллера домена.
В открывшемся мастере укажем Добавить новый лес и введем корневое имя нашего домена. Обратите внимание, что не следует использовать в качестве корневого домена доменное имя, которое используется для внешних ресурсов, например, сайта. Допустим у вас есть доменное имя example.com, правильным решением будет создание отдельного домена в данном пространстве имен, например, office.example.com. Либо используйте несуществующие доменные зоны, такие как local или office. И, конечно, не допускайте наиболее грубой ошибки — выбора имени в существующей зоне, даже если оно в текущий момент никем не зарегистрировано.
Следующим шагом выберите режим работы леса и домена, максимальный уровень на текущий момент — Server 2016, если у вас подразумевается использование контроллеров домена на Server 2012, то режим работы следует понизить. Далее введите пароль для режима восстановления служб каталогов, остальные параметры оставляем по умолчанию. Текущая практика подразумевает, что каждый контроллер дополнительно несет роль DNS-сервера и становится глобальным каталогом.
Игнорируем предупреждение на следующем шаге:
Остальные параметры оставляем по умолчанию, затем дожидаемся итогов проверки предварительных требований, по итогам которого вы получите два предупреждения, которые являются информационными и не мешают продолжить установку. После чего нажмите Установить.
По окончании работы мастера сервер будет перезагружен.
После перезагрузки перейдем в оснастку Active Directory — пользователи и компьютеры в которой создадим нового пользователя, для которого укажем членство в группах: Администраторы, Администраторы домена, Администраторы предприятия, Администраторы схемы, Владельцы-создатели групповой политики, Пользователи домена.
Выйдем из системы и войдем созданным пользователем, проверим что мы можем выполнять все административные задачи. После чего учетную запись встроенного Администратора следует отключить. Указанный выше набор прав обеспечивает полноценное управление всей структурой Active Directory и для других администраторов может быть избыточна, большинству из которых для повседневных задач будет вполне достаточно: Администраторы, Администраторы домена и Пользователи домена.
Затем откроем оснастку Диспетчер DNS и откроем пункт Серверы пересылки, это список вышестоящих DNS-серверов, которым будет отправлен запрос на разрешение имен, которые локальный сервер разрешить не в состоянии, здесь следует указать DNS провайдера или публичные DNS. Так как все члены домена должны использовать только доменные DNS функцию DNS-сервера на роутере (если была включена) следует отключить.
Затем следует создать Зону обратного просмотра, в большинстве случаев это необязательно, но некоторые службы могут требовать ее наличия, либо работать некорректно в ее отсутствие, поэтому лучше потратить немного времени на создание зоны, чем потом потратить гораздо больше времени на диагностику некорректной работы. Для создания новой зоны щелкните правой кнопкой на папке Зоны обратного просмотра и выберите Создать новую зону. В открывшемся мастере укажите Тип зоны — Основная зона.
Область репликации — Для всех DNS-серверов, работающих на контроллерах домена в этом домене:
И наконец укажем идентификатор сети — первые несколько октетов IP-адреса в зависимости от размера маски:
Остальные параметры оставляем по умолчанию. На этом настройка первого контроллера завершена и уже можно заводить новых пользователей и вводит в домен компьютеры. Мы же, тем временем, перейдем к настройке второго контроллера.
Сразу коснемся одного популярного мифа. В Active Directory все контроллеры равнозначны, нет ни «основных», ни «резервных» контроллеров. За исключением глобального каталога и FSMO-ролей. Глобальный каталог требуется некоторым службам, таким как Exchange и его недоступность может привести к неработоспособности последнего, но современные практики рекомендуют включать роль глобального каталога на каждом контроллере домена.
FSMO-роли или хозяева операций могут существовать только в единственном числе, два на уровне леса и три на уровне домена. По умолчанию владельцем всех FSMO-ролей является первый контроллер, но это не делает его каким-то особенным, для повседневного функционирования домена наличие хозяев в подавляющем большинстве случаев не требуется, а становится важно только при выполнении административных процедур.
На втором сервере снова переходим в настройки сетевого адаптера и указываем в качестве DNS-сервера первый контроллер домена:
После чего вводим компьютер в домен и входим в систему под учетной записью доменного администратора. Точно также устанавливаем роль Доменные службы Active Directory и повышаем компьютер до контроллера домена. Никаких существенных отличий от первого контроллера здесь нет, разве что отвечать придется на меньшее число вопросов. Точно также включаем роли DNS-сервера и глобального каталога.
По завершении установки сервер будет перезагружен. После чего еще раз обратимся к сетевым настройкам и приведем список DNS-серверов к следующему виду: основной DNS-сервер — адрес другого контроллера, вторичный DNS-сервер — адрес петлевого интерфейса 127.0.0.1. Данный вариант на текущий момент времени является официально рекомендуемым.
После всех указанных манипуляций контроллеры домена желательно перезагрузить.
Убедившись, что Active Directory функционирует нормально перейдем к настройке следующего по важности сервиса — DHCP, начиная с Server 2012 имеется возможность создавать отказоустойчивую конфигурацию DHCP из двух узлов, в качестве которых вполне логично использовать наши контроллеры домена.
Снова откроем Диспетчер серверов и установим роль DHCP-сервер на каждом из контроллеров.
По окончании установки роли перейдите по ссылке Завершение настройки DHCP.
После чего выполните авторизацию DHCP-сервера в домене при помощи простейшего мастера, если вы вошли в систему как доменный администратор, то никаких данных вводить не требуется, просто пройдите все шаги с настройками по умолчанию, в противном случае потребуется указать учетную запись администратора и ввести пароль от нее.
Данные действия следует выполнить на обоих контроллерах домена.
Затем на одном из них приступим к настройке DHCP-сервера, в качестве минимальной конфигурации следует указать диапазон адресов к выдаче:
Шлюз сети:
И DNS-сервера, в качестве которых указываем адреса наших контроллеров домена:
После того как DHCP-сервер настроен следует отключить DHCP на роутере или иных узлах сети. Убеждаемся, что все работает нормально и переходим к созданию отказоустойчивой конфигурации. Для этого щелкаем правой кнопкой мыши на области и выбираем Настройка обработки отказа.
В открывшемся мастере выбираем сервер-партнер:
И настраиваем режим работы. В пределах одной локальной сети имеет смысл выбрать Балансировку нагрузки и распределить ее процент, в большинстве случаев 50/50 будет вполне оптимальной настройкой. Для дополнительной безопасности включим проверку подлинности и укажем Общий секрет в виде парольной фразы.
Настройка второго сервера не требуется, она будет выполнена автоматически при завершении работы мастера.
При этом помните, что между серверами реплицируются только сведения о выданных IP-адресах, при изменении настроек сервера или создании резервирования следует выполнить репликацию вручную, для этого снова щелкните правой кнопкой мыши по области и выберите Репликация области.
На этом базовую настройку инфраструктуры Active Directory можно считать законченной, мы получили рабочую конфигурацию с базовой отказоустойчивостью, которая допускает временное отключение любого из узлов.
read more at Записки IT специалиста