Podczas instalacji usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) można wybrać jedną spośród konfiguracji wdrażania podanych poniżej:

  • Dodawanie nowego kontrolera domeny do domeny

  • Dodawanie domeny podrzędnej do lasu lub (opcjonalnie) dodawanie nowego drzewa domen

    Uwaga

    Opcja instalacji nowego drzewa domen jest wyświetlana tylko w przypadku zaznaczenia pola wyboru Użyj instalacji w trybie zaawansowanym na stronie Kreator instalacji usług domenowych w usłudze Active Directory - Zapraszamy! Kreatora instalacji usług domenowych w usłudze Active Directory.

  • Tworzenie nowego lasu

W poniższych sekcjach znajduje się szczegółowy opis każdej konfiguracji wdrażania.

Dodawanie nowego kontrolera domeny do domeny

Jeśli w danej domenie jest już jeden kontroler domeny, można dodać do niej dodatkowe kontrolery domeny, aby poprawić dostępność i niezawodność usług sieciowych. Dodanie dodatkowych kontrolerów domeny może przyczynić się do zapewnienia odporności na uszkodzenia, wyrównania obciążenia istniejących kontrolerów domeny oraz zapewnienia obsługi dodatkowej infrastruktury w lokacjach.

Jeśli kontrolerów domeny jest więcej niż jeden, możliwe jest dalsze działanie domeny w przypadku awarii jednego kontrolera domeny lub konieczności jego odłączenia. Wiele kontrolerów domeny może również poprawić wydajność, ułatwiając klientom łączenie się z kontrolerem domeny podczas logowania do sieci.

Przygotowanie istniejącej domeny

Przed dodaniem kontrolera domeny z systemem Windows Server 2008 R2 do istniejącej domeny usługi Active Directory należy przygotować las i domenę, uruchamiając narzędzie Adprep.exe. Należy koniecznie uruchomić wersję narzędzia Adprep dostępną na nośniku instalacyjnym z systemem Windows Server 2008 R2. Ta wersja narzędzia Adprep dodaje obiekty schematu i atrybuty wymagane przez kontrolery domeny z systemem Windows Server 2008 R2 oraz modyfikuje uprawnienia nowych i istniejących obiektów.

Narzędzie adprep należy uruchomić z parametrami niezbędnymi w danym środowisku:

  • Przed dodaniem kontrolera domeny z systemem Windows Server 2008 R2 należy jednorazowo wykonać polecenie adprep /forestprep na kontrolerze domeny w lesie z rolą wzorca operacji schematu (wzorca schematu). Aby wykonać to polecenie, użytkownik musi być członkiem grupy Administratorzy przedsiębiorstwa, grupy Administratorzy schematu oraz grupy Administratorzy domeny w domenie obejmującej wzorzec schematu.

  • Ponadto należy jednorazowo wykonać polecenie adprep /domainprep /gpprep na kontrolerze domeny z rolą wzorca operacji infrastruktury (wzorca infrastruktury) w każdej domenie, do której planuje się dodać kontroler domeny z systemem Windows Server 2008 R2. Aby wykonać to polecenie, użytkownik musi być członkiem grupy Administratorzy domeny.

  • Jeśli jest planowane wdrożenie kontrolera domeny tylko do odczytu (RODC) w dowolnej domenie lasu, należy także jednorazowo wykonać polecenie adprep /rodcprep w lesie. Polecenie to można wykonać na dowolnym komputerze w lesie. Aby je wykonać, użytkownik musi być członkiem grupy Administratorzy przedsiębiorstwa. Aby uzyskać więcej informacji, zobacz artykuł dotyczący przygotowania lasu dla kontrolera domeny tylko do odczytu (https://go.microsoft.com/fwlink/?LinkId=93244) (strona może zostać wyświetlona w języku angielskim).

Instalowanie z nośnika

Podczas instalowania nowego kontrolera domeny w istniejącej domenie można wybrać instalację z nośnika (IFM), w której baza danych domeny jest kopiowana z nośnika, a nie przez sieć. Ta opcja jest dostępna w Kreatorze instalacji usług domenowych w usłudze Active Directory tylko po zaznaczeniu pola wyboru Użyj instalacji w trybie zaawansowanym na stronie Zapraszamy!. Zalecanym narzędziem do tworzenia nośnika instalacyjnego jest podpolecenie ntdsutil ifm. Aby uzyskać więcej informacji na temat instalacji z nośnika, zobacz Instalowanie z nośnika.

Dodawanie nowej domeny do lasu

Domyślnie nowo utworzony las będzie zawierać jedną domenę, nazywaną domeną główną lasu. Domena ta może obejmować tysiące użytkowników, nawet jeśli dla replikacji usługi Active Directory będzie dostępna tylko niewielka przepustowość. Dlatego jedna domena zwykle wystarcza w większości małych i średnich organizacji. Dodanie większej liczby domen do lasu znacznie zwiększa wymagania w zakresie administracji lasem.

Jednak większe organizacje mogą dodać domeny podrzędne do lasu, a dane domeny będą replikowane tylko tam, gdzie będzie to konieczne. Domena podrzędna współużytkuje obszar nazw ze swoją domeną nadrzędną. Na przykład domena sales.contoso.com jest domeną podrzędną domeny contoso.com. Domena podrzędna automatycznie uzyskuje dwukierunkowe, przechodnie zaufanie przypisane do jej domeny nadrzędnej.

Nowa domena, która nie współużytkuje obszaru nazw ze swoją domeną nadrzędną, jest nazywana nowym drzewem domen. Aby uzyskać więcej informacji na temat tworzenia nowego drzewa domen, zobacz Tworzenie nowego drzewa domen w dalszej części tego tematu.

Dodanie domeny do lasu powoduje partycjonowanie danych usług AD DS, co pozwala na replikowanie danych tylko tam, gdzie jest to konieczne. W ten sposób jeden las usługi Active Directory może być skalowany globalnie, tak aby obejmował setki tysięcy - nawet miliony - użytkowników w sieci o ograniczonej przepustowości.

Wymagania dotyczące tworzenia nowej domeny

Tworząc nową domenę podrzędną, użytkownik musi być członkiem grupy Administratorzy domeny w domenie nadrzędnej lub grupy Administratorzy przedsiębiorstwa, aby operacja zakończyła się powodzeniem. Tworząc nowe drzewo domen, użytkownik musi być członkiem grupy Administratorzy przedsiębiorstwa.

Kreator instalacji usług domenowych w usłudze Active Directory dopuszcza nazwy domen usługi Active Directory o maksymalnej długości 64 znaków lub 155 bajtów. Limit 64 znaków zwykle jest osiągany wcześniej niż limit 155 bajtów, o ile nazwa nie zawiera znaków Unicode, na które przypadają po 3 bajty. Limity te nie dotyczą nazw komputerów.

Narzędzie Dcpromo.exe tworzy podczas instalacji delegowanie strefy systemu nazw domen (DNS, Domain Name System). Jeśli utworzenie delegowania strefy DNS nie powiedzie się lub jeśli użytkownik zrezygnuje z jej utworzenia (co nie jest zalecane), należy utworzyć delegowanie strefy ręcznie. Aby uzyskać więcej informacji na temat tworzenia delegowania strefy, zobacz Tworzenie lub aktualizowanie delegowania DNS.

Przed dodaniem domeny do lasu należy utworzyć delegowanie usługi DNS dla strefy DNS, która odpowiada nazwie dodawanej domeny usługi Active Directory. Kreator instalacji usług domenowych w usłudze Active Directory sprawdza istnienie delegowania usługi DNS. Jeśli takie delegowanie nie istnieje, kreator udostępnia opcję automatycznego tworzenia delegowania usługi DNS podczas tworzenia nowej domeny.

Tworzenie nowego drzewa domen

Nowe drzewo domen należy utworzyć tylko wtedy, gdy jest potrzebna domena, której obszar nazw DNS nie będzie powiązany z innymi domenami w lesie. Oznacza to, że nazwa domeny katalogu głównego drzewa (i wszystkich domen podrzędnych) nie musi zawierać pełnej nazwy domeny nadrzędnej.

Na przykład domena treyresearch.net może być drzewem domen w lesie contoso.com. Nowe drzewa domen są najczęściej tworzone jako element przejmowania przedsiębiorstwa lub fuzji kilku organizacji. Las może się składać z jednego lub większej liczby drzew domen.

Jeśli jest potrzebny inny obszar nazw DNS, przed utworzeniem nowego drzewa domen warto rozważyć utworzenie nowego lasu. Utworzenie wielu lasów zapewnia autonomię administracyjną, izolację schematu i konfiguracji partycji katalogu, osobne granice zabezpieczeń oraz możliwość niezależnego projektowania obszaru nazw dla każdego lasu.

Tworzenie nowego lasu

Aby utworzyć nowy las, użytkownik musi być członkiem grupy Administratorzy na serwerze, na którym są instalowane usługi AD DS.

Nazwy DNS i nazwy NetBIOS

Przed utworzeniem nowego lasu należy się upewnić, czy infrastruktura DNS została w pełni zaplanowana. Aby utworzyć nowy las, użytkownik musi znać jego pełną nazwę DNS. Przed zainstalowaniem usług AD DS można zainstalować usługę serwera DNS, ale najlepiej zainstalować usługę serwera DNS za pomocą Kreatora instalacji usług domenowych w usłudze Active Directory.

Jeśli wybrano instalację usługi serwera DNS za pomocą kreatora, użyje on podanej nazwy DNS w celu automatycznego wygenerowania nazwy NetBIOS dla pierwszej domeny w lesie. Przed kontynuowaniem kreator sprawdza, czy nazwy DNS i NetBIOS są unikatowe w sieci. Aby określić inną nazwę NetBIOS niż nazwa wygenerowana automatycznie przez kreatora, należy zaznaczyć pole wyboru Użyj instalacji w trybie zaawansowanym na stronie Kreator instalacji usług domenowych w usłudze Active Directory - Zapraszamy!.

Uwaga

Strona kreatora Nazwa NetBIOS domeny zostanie także wyświetlona w przypadku wystąpienia konfliktu nazwy NetBIOS wygenerowanej automatycznie z istniejącą nazwą.

Domyślnie usługa serwera DNS jest instalowana na pierwszym kontrolerze domeny w lesie. Jeśli infrastrukturę DNS już skonfigurowano do obsługi rozpoznawania nazw w nowym lesie, można wyczyścić pole wyboru Serwer DNS na stronie Opcje dodatkowe kreatora. Jeśli jednak nie przygotowano jeszcze pomocniczej infrastruktury DNS, należy zaakceptować ustawienie domyślnie, aby kreator mógł zainstalować usługę serwera DNS na pierwszym kontrolerze domeny w lesie.

Gdy zostanie kliknięty przycisk Dalej w celu kontynuowania, Kreator instalacji usług domenowych w usłudze Active Directory sprawdzi istniejącą infrastrukturę DNS. Jeśli pole wyboru Serwer DNS zostało wyczyszczone, kreator wykona testy diagnostyczne w celu sprawdzenia przygotowania pomocniczej infrastruktury DNS. W przypadku zakończenia testów diagnostycznych niepowodzeniem opcja instalacji usługi serwera DNS za pomocą kreatora będzie ponownie dostępna.

Poziomy funkcjonalności

Domyślnym poziomem funkcjonalności nowego lasu jest poziom systemu Windows 2000, a poziomem funkcjonalności domeny jest poziom systemu Windows 2000 macierzystego. Są to najniższe możliwe poziomy funkcjonalności. Dzięki nim na kontrolerach domeny może działać system Windows Server 2003, Windows® 2000 Server, Windows Server 2008 lub Windows Server 2008 R2.

Jeśli nie planuje się dodania kontrolerów domeny z tymi starszymi wersjami systemu Windows Server, należy wybrać wyższe poziomy funkcjonalności w celu włączenia funkcji zaawansowanych. Gdy dla lasu zostanie wybrany poziom funkcjonalności systemu Windows Server 2008 R2, wszystkie domeny, które zostaną dodane do lasu, zostaną utworzone na poziomie funkcjonalności systemu Windows Server 2008 R2. Dlatego strona Ustawianie poziomu funkcjonalności domeny nie jest wyświetlana w Kreatorze instalacji usług domenowych w usłudze Active Directory. Jeśli zostanie wybrany inny poziom funkcjonalności lasu, można niezależnie ustawiać poziom funkcjonalności dla każdej domeny w lesie. Aby uzyskać więcej informacji na temat poziomów funkcjonalności, zobacz Ustawianie poziomu funkcjonalności domeny lub lasu.

Role wzorca operacji

Pierwszy kontroler domeny dla tej domeny obsługuje wszystkie role wzorca operacji (znane również jako elastyczne operacje wzorca jednokrotnego lub operacje FSMO) lasu.

W celu poprawienia dostępności i odporności usług AD DS w domenie zaleca się zastosowanie dodatkowych kontrolerów domeny. Po utworzeniu dodatkowych kontrolerów domeny można przetransferować kilka ról wzorca operacji, które są obsługiwane na pierwszym kontrolerze domeny, do innych kontrolerów domeny. Jeśli jest planowane utworzenie lasu o wielu domenach, a żaden kontroler domeny w domenie głównej lasu nie będzie serwerem wykazu globalnego, należy przetransferować przynajmniej rolę wzorca infrastruktury domeny głównej lasu do innego kontrolera domeny w domenie, który nie jest serwerem wykazu globalnego.

Aby uzyskać więcej informacji na temat zarządzania rolami wzorca operacji, zobacz Zapewnianie prawidłowego działania usługi Active Directory przez zarządzanie rolami wzorca operacji.


Spis treści