Domain Controller Options – co naprawdę się tu dzieje

Nieukończona

Postępy nie są zapisywane. Zarejestruj się lub zaloguj, aby śledzić postępy w kursach.

Co wnosi ta lekcja

Zrozumiesz ekran Domain Controller Options: Forest/Domain functional level, DNS, Global Catalog, RODC, hasło DSRM – co każda opcja oznacza i jakie ma konsekwencje (np. poziom 2016 = brak starszych DC, brak DNS = brak logowania do domeny).

Domain Controller Options – co naprawdę się tu dzieje

Na tym ekranie kreator pyta o parametry, które zdefiniują całą domenę: poziomy funkcjonalne, DNS, Global Catalog i hasło awaryjne. To nie jest lista „odhacz i dalej” – każda opcja ma konsekwencje na lata.

Scenariusz z życia

Właśnie wybrałeś Add a new forest i nazwę domeny. Kreator pokazuje ekran Domain Controller Options. Musisz ustawić: Forest functional level, Domain functional level, zaznaczyć (lub nie) DNS server i Global Catalog, ewentualnie RODC oraz wpisać hasło DSRM. W firmie te decyzje ustala się z planem migracji i bezpieczeństwa – w labie przyjmujemy sensowne domyślności, ale rozumiemy, co one oznaczają.

Co dzieje się w systemie

Z list rozwijanych wybierasz Forest functional level i Domain functional level (np. Windows Server 2016) – system zapisze to w schemacie AD i od tej chwili wszystkie przyszłe DC w lesie/domenie muszą spełniać ten minimalny poziom. Zaznaczenie Domain Name System (DNS) server powoduje, że na tym serwerze zostanie zainstalowany DNS zintegrowany z AD (strefa, rekordy SRV) – bez tego klienci nie znajdą kontrolera. Global Catalog – pierwszy DC jest zawsze GC; indeks całego forestu, potrzebny m.in. do logowania. Pole DSRM password: hasło używane tylko w trybie odzyskiwania (Directory Services Restore Mode), np. po awarii bazy. Po kliknięciu Next kreator przechodzi do tworzenia NTDS.dit, SYSVOL, usług Kerberos i DNS – czyli do faktycznej promocji w DC.

Nazwy i definicje

Forest functional level

Określa minimalną wersję Windows Server dla wszystkich kontrolerów w lesie oraz zestaw funkcji AD (np. nowe atrybuty, zachowania replikacji). Wybór Windows Server 2016 oznacza: nie dołączysz już starszego DC z 2008/2012 – musiałbyś najpierw podnieść poziom po upgrade’ach. W labie zwykle zostawiasz 2016.

Domain functional level

To samo, ale w zakresie jednej domeny. W praktyce poziom domeny nie może być wyższy niż poziom lasu. Zostaw 2016.

Domain Name System (DNS) server

AD opiera się na DNS: klienci szukają DC po rekordach SRV w strefie DNS. Zaznaczenie = na tym DC zostanie zainstalowana rola DNS z strefą zintegrowaną z AD (AD-integrated zone). Zostaw zaznaczone – w pierwszym DC to standard.

Global Catalog (GC)

Global Catalog to indeks obiektów z całego forestu (częściowy zestaw atrybutów). Używany przy wyszukiwaniu i logowaniu w środowiskach wielodomenowych. Pierwszy DC w lesie jest zawsze GC. Zostaw zaznaczone.

Read Only Domain Controller (RODC)

Kontroler tylko do odczytu – stosowany w oddziałach lub miejscach o słabej fizycznej ochronie; nie przechowuje haseł użytkowników (oprócz wybranych). W labie z jednym DC: nie zaznaczaj.

DSRM (Directory Services Restore Mode)

To nie jest hasło konta Administrator domeny. DSRM to hasło do specjalnego trybu startu Windows (F8 → Directory Services Restore Mode), w którym AD jest wyłączone i można m.in. przywracać bazę z kopii. Wpisz silne hasło i zapisz je w bezpiecznym miejscu – bez niego odzyskiwanie AD po awarii jest utrudnione.

Konsekwencje administracyjne

Po wyborze poziomu 2016 nie dołączysz starszego DC bez wcześniejszego upgrade’u – planowanie migracji musi to uwzględniać. Brak DNS na DC oznacza brak poprawnego logowania do domeny (brak rekordów SRV). Brak zapisanego hasła DSRM to ryzyko przy odzyskiwaniu po awarii bazy AD. Ten ekran definiuje „minimalne wymagania” i możliwości całej domeny na lata – warto udokumentować wybór poziomu i powód.

Myślenie administratora

W labie: Forest i Domain level 2016, DNS i Global Catalog włączone, RODC wyłączony, hasło DSRM zapisane w notatkach. W produkcji: poziom dopasowany do najstarszego planowanego DC; hasło DSRM w sejfie lub menedżerze haseł; dokumentacja, dlaczego wybrano dany level i kiedy planowany jest ewentualny podbicie poziomu.

Zapamiętaj – 4 fakty egzaminowe

Forest functional level i Domain functional level określają minimalną wersję Windows Server dla kontrolerów domeny oraz dostępne funkcje AD; po podniesieniu poziomu starszych DC nie da się już dodać.
DNS na DC jest konieczny – AD używa rekordów SRV do wyszukiwania kontrolerów; bez DNS klienci nie zalogują się do domeny.
Global Catalog = indeks forestu (wyszukiwanie, logowanie w wielu domenach); pierwszy DC w lesie jest zawsze GC.
Hasło DSRM to hasło do trybu odzyskiwania AD (Directory Services Restore Mode), nie hasło administratora domeny – używane przy odzyskiwaniu bazy.

Następny ekran: DNS Options – ostrzeżenie o delegacji; wyjaśnimy w kolejnej lekcji.

Zapamiętaj

Forest/Domain functional level określa minimalną wersję Windows Server dla DC i dostępne funkcje AD; po podniesieniu poziomu starszych DC nie da się już dodać.
DNS na DC jest konieczny – AD używa rekordów SRV do wyszukiwania kontrolerów; bez DNS klienci nie zalogują się do domeny.
Global Catalog = indeks forestu; pierwszy DC w lesie jest zawsze GC.
Hasło DSRM to hasło do trybu odzyskiwania AD (Directory Services Restore Mode), nie hasło administratora domeny.

Pytanie testowe ABCD

Pytanie 1

Co określa Forest functional level w Active Directory?

Wybierz.

Pytanie testowe ABCD

Pytanie 2

Dlaczego na kontrolerze domeny musi być zainstalowany DNS?

Wybierz.

Pytanie testowe ABCD

Pytanie 3

Hasło DSRM (Directory Services Restore Mode) służy do:

Wybierz.

Pytanie testowe ABCD

Pytanie 4

Pierwszy kontroler domeny w nowym lesie jest zawsze:

Wybierz.

Sprawdź się

Co określa Forest functional level i jakie ma konsekwencje?Dlaczego na pierwszym DC trzeba zaznaczyć DNS server?Do czego służy hasło DSRM i czym różni się od hasła administratora domeny?Kiedy zaznaczasz RODC, a kiedy zostawiasz odznaczone?

Notatki (opcjonalnie)