Быстрое рыазвертывание отказоустойчивой инфраструктуры AD DS, DNS и DHCP

Данная статья расскажет о том, как быстро “поднять” новую инфраструктуру AD DS, DNS и DHCP без грубых ошибок и единственной точки отказа. Разумеется я рекомендую пройти соответствующее обучение и в полной мере понимать теорию, перед переходом к практике. Но если все горит и делать нужно, а обучение отложено, то данный материал вполне сгодится.

 

На сервера установлен Windows Server 2012 R2 с ролью Hyper-V, ОС будут в виртуальных машинах.

В качестве шлюза развернут Kerio Control 8.1.1, и созданы два сервера:  d-DC1 и d-DC2 в виде Generation 2 Virtual Machines.

Установим сервер D-DC1, откроем Server Manager, настроим сеть (ip 192.168.27.2/24), укажем имя и запустим счетчики производительности;

Затем установим роль DNS, включим автоочистку:

001

Запустим BPA, убедимся что проблем у нас не обнаружено и перейдем к настройке AD DS: добавим роль, создадим новый лес и домен (demo.mars.in.ua – IANA необходимо для того, чтобы наши коммерческие сертификаты работали правильно).

Конфигурирование делегации DNS на данном этапе не выполняется, т.к. никакой DNS инфраструктуры еще не существует.

Создадим зону обратного просмотра:

010

Нам выдадут предупреждение о том, что по-умолчанию включена опция “Allow cryptography algorithms compatible windows NT 4.0″. Можем выключить это дело (описание есть как в настройках, так и в интернете):

002

Т.к. наш новый сервер являеться PDC эмулятором укажем его в качестве источника NTP.

По-умолчанию OU Domain Controllers не защищен от удаления, и это не есть хорошо. Для начала посмотрим какие OU не защищены от удаления:

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false}

Затем включим эту защиту:

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

Также нелишним будет сделать резервную копию на внешний диск, для этого подключим диск, установим фичу Windows Server Backup и создадим такую копию:

wbadmin start systemstatebackup -backuptarget:D:

004

Что ж, один контроллер домена хорошо, но два лучше – даже на одной физической железке. Так что установим виртуальную машину d-DC2 и сделаем ее вторичным КД, введем в домен и будем управлять с помощью Server Manager на d-DC1:

005

Затем настроим DNS на сетевых интерфейсах обоих КД таким образом, чтобы в качестве основного был указан “сосед”, а в качестве вторичного “сам”.

Убедимся что репликация на d-DC2 прошла успешно:

repadmin /showrepl d-dc2

006

Установим DHCP на d-DC1, создадим новый пул адресов, активируем его, затем укажем учетные данные для обновления DNS записей:

007

Теперь установим роль DHCP на d-DC2, выберем Configure Failover для IPv4, распределим нагрузку 70/30, и получим такой результат:

009

Теперь можно еще раз запустить BPA и убедится что к ролям AD DS, DNS и DHCP на обоих серверах работает без нареканий