Здравствуйте, товарищи! Помогите не наделать глупых ошибок. Мне надо поднять контроллер домена с его резервом то есть дополнительный контроллер в существующем домене.
1. Я ставлю на два железных сервака ОС полностью ее обновляю.
2. В DNS DC1 пишу 127.0.0.1, альтернативный оставляю пустым, прописываю IP, MASK, Gate.
3. Вырубаю Firewall (сеть будет защищаться другими средствами)
4. Поднимаю роль домменных служб, запуская DСPROMO, создаю новый контроллер домена в новом лесу.
5. После поднятия перезагружаюсь, вырубаю firewall доменный профиль.
6. Редактирую политики Domain Controller policy (вырубаю там firewall) - что бы на всех будущих КД он сразу выключался, не вижу смысла только для этого создавать отдельную политику.
7. Увеличиваю безопасность сервера путем отклонения простых привязок при помощи GPO. В GPO Domain controller policy в соответствующем разделе в параметре "Контроллер домена: требовать цифровой подписи для LDAP сервра -
ставлю требуется цифровая подпись;
Закрываю политику;
Открываю GPO Domain policy в соответствующем разделе в параметре "Сетевая безопасность: требовать цифровую подпись для LDAP клиента" ставлю требуется цифровая подпись.
ПРАВИЛЬНО ЛИ Я ЭТО СДЕЛАЛ?
8. В ДНС создаю зону обратного просмотра (сеть у меня из множества подсетей суммарно такая 10.8.0.0/16) создаю идентификатор сети 10.8 остальное пустым.
9. Меняю имя сайта на приглядное мне и в подсетях добавляю все свои подсети.
C DC1 все!
Теперь BDC1
1. поднимаю роль AD
2. Назначаю IP,MASK,GATE DNS ставлю в основном адрес DC1
3. в DCPROMO выбираю дополнительный контроллер в существующем домене.
3. Дожидаюсь завершения, перезагружаюсь!
4. После перезагрузки в свойствах DNS меняю основной на 127.0.0.1 а альтернативной адрес DC1
5. На DC1 в альтернативном ДНС прописываю адрес BDC1
ПРАВИЛЬНО ЛИ Я ДЕЛАЮ?