4. AD DS: DC sustapena eta DNS (AWS)¶
Helburua: AD DS + DNS instalatu eta zerbitzaria Domeinu Kontrolatzaile (DC) bihurtzea laborategiko baso berri batean (corp.local).
Aurrebaldintzak (AWS)¶
- Windows Server 2022/2019 EC2. SG: RDP 3389 ikasgelako IPetara mugatua.
- Hostname egonkorra (adib.:
SRV-AD-01). EBS diskoa ≥ 60 GB. - Ordua: Amazon Time Sync
169.254.169.123. - Administratzaile baimenak dituen erabiltzailea.
1) Instalazioa GUI bidez (Server Manager)¶
- Server Manager → Add roles and features → Role-based.
- Roles → hautatu “Active Directory Domain Services” eta “DNS Server”.
- Include management tools → Next → Install.
- Itxaron “Promote this server to a domain controller” mezuara arte.
2) DCra sustapena (baso berria)¶
- Promote this server to a domain controller.
- Deployment Configuration → Add a new forest → Root domain name:
corp.local. - Domain Controller Options → DNS eta GC markatuta. Ezarri DSRM pasahitza.
- DNS Options → delegazio abisua ez ikusi.
- Paths (NTDS, SYSVOL) → lehenetsia.
- Review → Install (amaitzean berrabiaraziko da).
Alternatiba PowerShellez¶
Rolen instalazioa:
Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools
DCra sustapena basoa sortuz:
$secure = Read-Host -AsSecureString 'DSRM Password'
Install-ADDSForest `
-DomainName 'corp.local' `
-DomainNetbiosName 'CORP' `
-CreateDnsDelegation:$false `
-InstallDns:$true `
-DatabasePath 'C:\\Windows\\NTDS' `
-LogPath 'C:\\Windows\\NTDS' `
-SysvolPath 'C:\\Windows\\SYSVOL' `
-SafeModeAdministratorPassword $secure `
-Force:$true
3) Ondorengo atazak¶
- NTP (gomendatua):
w32tm /config /manualpeerlist:"169.254.169.123" /syncfromflags:manual /update
w32tm /resync
- Egiaztatu NICek DC bera erabiltzen duela DNS nagusi gisa (127.0.0.1 edo DCren IP pribatua).
- SG eta etiketak (Project, Owner) eguneratu behar bada.
4) Egiaztapen zehatza¶
Komandoak:
Get-WindowsFeature AD-Domain-Services, DNS
Get-Service DNS,NTDS
Get-ADForest | Format-List *
Get-ADDomain | Format-List *
dcdiag /v | Out-Host
repadmin /replsummary
MMC kontsolak:
- Active Directory Users and Computers (ADUC).
- DNS Manager (corp.local eta _msdcs.corp.local SRVekin).
- Active Directory Sites and Services.
DNS proba azkarra:
Resolve-DnsName _ldap._tcp.dc._msdcs.corp.local
Resolve-DnsName dc1.corp.local -Server 127.0.0.1
5) Arazo arruntak (Troubleshooting)¶
- DNS ez du ebazten
- NICeko DNS nagusia (127.0.0.1/DC IPa) egiaztatu.
- Zerbitzua berrabiarazi:
Restart-Service DNS. - Zonal eta SRVak ikuskatzea DNS Managerren.
- Denbora/Kerberos akatsak
w32tm /query /statuseta < 5 min desfasea.- Amazon Time Sync iturria bermatu.
- “Access is denied”/elevazio arazoak
- PowerShell Administratzaile gisa abiarazi.
- SGren arauak berrikusi; saihestu politikak blokeatzaileak.
- Gaitasun mugak/Learner Lab
- Memoria/zerbitzuak doitzea, rol ez-beharrezkoak saihestu, Server Core baloratzea.
6) Entregagarriak¶
- ADUC-eko capturea
corp.localagertuz. - DNS Manager-eko capturea
corp.localeta_msdcs.corp.localzonak ikusiz. dcdiagemaitza kritikorik gabe (testu/irudi).- Konfigurazio oharrak (NTP eta NICeko DNS).
7) Ebaluazio-rubrika¶
- Rolen instalazio zuzena eta DC sustapena (40%).
- Egiaztapen osoa (dcdiag, DNS, zerbitzuak) (35%).
- NTP/DNS praktika onak (15%).
- Entregagarrien argitasuna (10%).
Denbora estimatua¶
- 60–75 minutu.
AWS Academy oharrak¶
- RDP IPz mugatu SGn; ez ireki LDAP/LDAPS/WinRM Internetera.
- Ez bada erabiltzen, gelditu instantzia kredituak aurrezteko.
Hurrengoa¶
- Jarraitu: 5. ADren oinarrizko kudeaketa.
- Aurrekoa: 3. AD diseinua eta plangintza AWSn
- Hurrengoa: 5. ADren oinarrizko kudeaketa