3.2. AD DS instalazioa¶

Helburua: AD DS rola instalatu eta zerbitzaria Domeinu Kontrolatzaile (DC) bihurtzea.

Aurretiko baldintzak¶

Eguneratuta dagoen Windows Server
Ekipo-izen egonkorra
IP estatikoa eszenatokiaren arabera (AWSn normalean DHCP + barneko DNS)

Urratsak (laburtuta)¶

Rolen instalazioa: AD DS (+ DNS).
DCra sustatu: baso berria corp.local (adina).
Berrabiarazi eta zerbitzuen egiaztapena.

AWS Academy oharrak¶

EC2 instantzia nahikoa baliabideekin (gomendatua ≥ 4 vCPU, 8–16 GB RAM GUIrekin).
Security Group: RDP 3389 klaseko IPetara mugatua.

Egiaztapena¶

dcdiag, Get-ADForest, Get-ADDomain.
Kontsolak: ADUC, DNS, Sites and Services.

Aurretiko baldintza zehatzak (AWS Academy)¶

Windows Server 2022/2019 duen EC2 instantzia IP pribatu finkoarekin (subnet-eko DHCP erreserbarik gabe; erabili hostname egonkorra).
Security Group: RDP 3389 irakasgelako IPetara mugatua. Ez ireki LDAP/LDAPS/WinRM publikoki.
Ordua/NTP: erabili 169.254.169.123 (Amazon Time Sync Service) edo sinkronizatu gero DC nagusiarekin.
DNS: DC sustatu ondoren, zerbitzariak berak hartuko du DNS rola. Domeinuko bezeroek DCren IPa erabili behar dute DNS nagusi gisa.

Prozedura GUI bidez (Server Manager)¶

Add roles and features → Roles → hautatu “Active Directory Domain Services” eta “DNS Server”.
Asistentzia amaitu eta instalatu. Puntu honetan normalean ez da beharrezkoa berrabiaraztea.
Server Manager → “Promote this server to a domain controller” jakinarazpena.
Deployment Configuration → “Add a new forest” → Root domain name: corp.local (laborategia).
Domain Controller Options → DSRM pasahitza. Eutsi lehenetsiei (DNS, GC). Functional level: lehenetsia (Windows Server 2016+).
DNS Options → delegazio abisua ez ikusi.
Paths → lehenetsiak utzi (NTDS, SYSVOL).
Review → Install. Automatikoki berrabiaraziko da.

Prozedura PowerShell bidez¶

Rolak instalatzea:

Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools

DCra sustapena baso berri batekin:

$secure = Read-Host -AsSecureString 'DSRM Password'
Install-ADDSForest `
  -DomainName 'corp.local' `
  -DomainNetbiosName 'CORP' `
  -CreateDnsDelegation:$false `
  -InstallDns:$true `
  -DatabasePath 'C:\\Windows\\NTDS' `
  -LogPath 'C:\\Windows\\NTDS' `
  -SysvolPath 'C:\\Windows\\SYSVOL' `
  -SafeModeAdministratorPassword $secure `
  -Force:$true

Berrabiarazi ondoren, NTP doitzea (laborategian gomendatua):

w32tm /config /manualpeerlist:"169.254.169.123" /syncfromflags:manual /update
w32tm /resync

Egiaztapen zehatza¶

Komandoak:

whoami /groups
Get-ADForest | Format-List *
Get-ADDomain | Format-List *
Get-Service DNS,NTDS
repadmin /replsummary
Dcdiag /v | Out-Host

MMC kontsolak: - Active Directory Users and Computers (ADUC) - DNS Manager (egiaztatu corp.local eta _msdcs.corp.local SRV erregistroak) - Active Directory Sites and Services

Bezero-probak (geroago): VM bat domeinura batu eta dc1.corp.local ebaztea DNS bidez.

Arazoak konpontzea (FAQ)¶

Promozioaren ondoren DNS ez dabilela: egiaztatu NICek 127.0.0.1 edo DCren IPa dutela DNS nagusi; berrabiarazi DNS zerbitzua (Restart-Service DNS).
Denbora/Kerberos erroreak: egiaztatu w32tm /query /status; sinkronizatu 169.254.169.123 erabiliz eta ziurtatu desfasea < 5 min.
Baliabide/gaitasun mugak (Learner Lab): erabili footprint txikiagoko AMI edo gelditu ez funtsezko zerbitzuak; kontuan hartu Server Core ahal bada.
“Access is denied” promozioan: exekutatu PowerShell administratzaile gisa; berrikusi SG/RDP eta politikak.

Amaierako egiaztapen-zerrenda¶

AD DS eta DNS rolak instalatuta
corp.local basoa sortuta eta DC berrabiarazia
DNS zonak eta SRV erregistroak sortuta
dcdiag gabezia kritikorik gabe
Ordua (NTP) eta hostname egokiak
RDP SG IPz mugatuta

Baliabideen garbiketa (praktika amaitzean)¶

Gelditu instantzia erabiliko ez bada kreditua aurrezteko.
Dokumentatu domeinua, DSRM eta SG aldaketak.

Erlazionatutako AWS praktika

Praktikan jarri AD DS + DNS instalazioa eta DCra sustapena AWSn gida honekin: 4. AD DS: DC sustapena eta DNS