Як створити домен Windows Server

Як створити домен Windows Server: покроковий гайд для 2016 та 2019

Короткий опис: Детальна інструкція, як створити домен Windows Server (2016/2019): підготовка сервера, встановлення ролі Active Directory Domain Services, підняття контролера домену, типові помилки та практичні нюанси для адміністраторів-початківців.

Більшість невеликих компаній в Україні починають однаково: один-єдиний сервер, купа робочих станцій, окремі локальні користувачі на кожному комп’ютері, паролі записані в Excel або, ще гірше, в блокноті біля монітора. У якийсь момент все це перетворюється на хаос: люди забувають паролі, адміністратор бігає по кабінетах, комп’ютери «живуть своїм життям». І ось тоді з’являється логічне питання – як створити домен Windows Server і нарешті навести порядок.

На практиці домен – це не «страшна штука для ентерпрайзу», а нормальний базовий інструмент керування користувачами, паролями, правами доступу та комп’ютерами. Ви один раз піднімаєте домен на Windows Server 2016 чи 2019 – і потім керуєте всією інфраструктурою централізовано. Але якщо ви ніколи цього не робили, майстер «Add Roles and Features» та купа незрозумілих опцій можуть виглядати лячно.

Далі – практичний гайд без зайвої теорії: що підготувати перед створенням домену, як саме у Windows Server 2019 створити домен Windows Server, які відмінності є у Windows Server 2016, що часто ламається та як цього уникнути.

---

Коли виникає проблема або навіщо це потрібно

Потреба розібратися, як створити домен Windows Server, зазвичай з’являється у кількох типових сценаріях:

• В компанії вже 5–10+ комп’ютерів, і всіх «тягнути» на локальних облікових записах стає реально боляче.
• Потрібно централізовано керувати політиками безпеки (паролі, блокування, заборона флешок, доступ до спільних папок).
• Планується впровадження 1С, CRM, файлового сервера чи іншого сервісу, який «любить» Active Directory.
• Потрібен VPN-доступ співробітників у внутрішню мережу з доменною авторизацією.

Як це виглядає на практиці без домену:

• Користувач звільнився – його аккаунт залишився «жити» на всіх ПК, до файлів є доступ, паролі ніхто не змінює.
• Щоб змінити пароль користувачу, треба фізично піти до його комп’ютера (або підключатися віддалено до кожного окремо).
• Файловий сервер – це просто шарена папка, де «хто знайшов – той і молодець».

З доменом картина інша: один раз налаштували Domain Controller, створюєте в Active Directory користувачів і групи, приєднуєте комп’ютери до домену – і далі працюєте в нормальному режимі. Тому розуміння, як створити домен Windows Server 2019 або 2016, це фактично перший крок до нормальної корпоративної інфраструктури.

---

Найшвидший спосіб

Якщо дуже коротко, сам процес створення домену на Windows Server 2019/2016 складається з двох великих кроків:

1. Встановити роль Active Directory Domain Services (AD DS) через Server Manager.
2. Підвищити сервер до контролера домену (promote to domain controller) і створити новий ліс/домен.

Для більшості випадків (лабораторія, невеликий офіс, тестовий стенд) схема буде такою:

• Один сервер Windows Server 2016 чи 2019.
• Статична IP-адреса.
• На цьому ж сервері – роль AD DS та DNS.
• Новий домен типу company.local або corp.local.

Далі – клік-клік по майстру, задати пароль DSRM, підтвердити налаштування, дочекатися перезавантаження – і у вас є свій перший домен. Але у деталях є нюанси, які краще знати до того, як натиснете Install.

---

Покрокова інструкція

1. Підготовка та перевірка системи.

   1. Вибір версії: Windows Server 2016 чи 2019

   З погляду процесу створення домену обидві версії схожі: і в Windows Server 2019, і в Windows Server 2016 «як створити домен Windows Server» вирішується практично однаковими кроками. Різниця в інтерфейсі мінімальна, основний майстер – той самий Add Roles and Features, а потім – конфігурація AD DS.

   2. Базові вимоги до сервера

   • Сервер має бути в робочій мережі (доступ до інших ПК, стабільний IP).
   • Рекомендовано не ставити роль контролера домену на «битий» старий залізячний хост, якщо плануєте робоче середовище.
   • Краще встановити всі оновлення Windows перед початком, щоб потім не ловити дивні баги.

   3. Налаштування статичної IP-адреси

   Домений контролер не повинен отримувати IP по DHCP. Поставте статичну адресу:

   • IP: щось зі статичного діапазону (наприклад, 192.168.1.10).
   • Маска: 255.255.255.0 (або ваша).
   • Шлюз: IP вашого маршрутизатора.
   • DNS: IP цього ж сервера (очікується, що DNS буде на доменному контролері).

   Це критичний момент. Якщо залишити DNS зовнішній (типу 8.8.8.8), потім клієнти будуть погано знаходити домен.

   4. Ім’я сервера

   Перед тим, як створювати домен, змініть ім’я сервера на адекватне. Наприклад:

   • DC01
   • SRV-AD-01

   Змінювати ім’я вже після створення домену – погана ідея, можна наробити собі зайвих проблем з реплікацією та записами DNS.

2. Основні дії та налаштування.

   1. Встановлення ролі Active Directory Domain Services

   У Windows Server 2019 як створити домен Windows Server починається з Server Manager:

   • Відкрийте Server Manager (зазвичай запускається автоматично).
   • Натисніть Manage → Add Roles and Features.
   • У майстрі оберіть Role-based or feature-based installation.
   • На екрані вибору сервера залиште ваш поточний сервер (за замовчуванням).
   • У списку ролей поставте галочку на Active Directory Domain Services.
   • Погодьтеся на додаткові компоненти (Add Features).
   • Можна залишити інші галочки за замовчуванням, натискайте Next аж до Install.

   Аналогічно це працює і в Windows Server 2016 – різниця лише в дрібних текстах, логіка однакова.

   2. Підвищення сервера до контролера домену (Promote)

   Після установки ролі вгорі в Server Manager з’явиться жовтий трикутник з попередженням. Там буде посилання Promote this server to a domain controller.

   Основні кроки майстра:

   • Deployment Configuration – обираємо Add a new forest.
   • У полі Root domain name прописуємо ім’я домену, наприклад: corp.local або office.local.

   Не плутайте з вашим реальним публічним доменом (типу company.com), особливо якщо в компанії є зовнішній сайт або планується інтеграція з зовнішніми сервісами. Для внутрішньої мережі зручно використовувати .local або піддомен (corp.company.com).

   3. Domain Controller Options

   • Обираємо Forest functional level та Domain functional level – для чисто нової інфраструктури беріть рівень не нижче версії вашого сервера (наприклад, Windows Server 2016 або 2019).
   • Переконайтеся, що увімкнено DNS server – це дозволить одразу розгорнути DNS на тому ж сервері.
   • Встановіть Directory Services Restore Mode (DSRM) password – окремий пароль для режиму відновлення AD. Не робіть його «123456a», збережіть у менеджері паролів чи принаймні в зашифрованому файлі.

   4. DNS Options та NetBIOS

   Зазвичай на екрані DNS вилазять попередження, їх часто можна пропустити, якщо у вас простий стенд. NetBIOS-ім’я домену майстер згенерує сам (наприклад, для corp.local буде CORP).

   5. Шляхи до бази, логів та SYSVOL

   Якщо це невелика організація і один сервер, зазвичай залишають значення за замовчуванням:

   • Database folder – C:\Windows\NTDS
   • Log files folder – C:\Windows\NTDS
   • SYSVOL folder – C:\Windows\SYSVOL

   На великих інфраструктурах їх часто виносять на окремі диски, але для старту стандартні шляхи – окей.

   6. Перевірка налаштувань та встановлення

   Наприкінці майстер покаже список усіх вибраних опцій і запустить Prerequisites Check. Якщо там лише warnings – у більшості випадків можна сміливо тиснути Install. Сервер:

   • встановить AD DS;
   • налаштує DNS;
   • перезавантажиться;
   • і після рестарту ви вже будете логінитися в домен.
3. Перевірка результату та безпеки.

   1. Логін у новий домен

   Після перезавантаження на екрані логіну ви повинні побачити опцію входу під доменним користувачем. Спочатку це буде:

   • користувач: DOMAIN\Administrator
   • або: Administrator@domain.local

   де DOMAIN – NetBIOS-ім’я домену (наприклад, CORP).

   2. Перевірка консолей AD

   Після входу відкрийте:

   • Active Directory Users and Computers – для роботи з користувачами та групами.
   • DNS Manager – щоб перевірити, що створилися зони домену.

   Якщо все створилося, помилок немає – домен працює.

   3. Приєднання робочих станцій до домену

   Коротко алгоритм:

   • На кожному клієнтському ПК прописати DNS вашого доменного контролера (IP сервера).
   • Властивості системи → Computer Name → Change → обрати Domain → ввести ім’я домену.
   • Ввести облікові дані доменного адміністратора.
   • Погодитися на перезавантаження.

   Або через PowerShell (особливо зручно на серверах і при автоматизації), наприклад у Windows Server 2016:

   • add-computer -domainname ваш_домен
   • потім restart-computer

   Після цього в Active Directory можна буде побачити комп’ютер у відповідному контейнері.

   4. Базова безпека домену

   • Змініть пароль доменного Administrator на складний.
   • Створіть окремий доменний акаунт для щоденної адміністрації, не працюйте завжди під вбудованим Administrator.
   • Налаштуйте базову політику паролів (мінімальна довжина, історія паролів) через Group Policy.

   Це прості речі, але вони сильно зменшують ризики компрометації домену.

---

Корисні поради

• Не ставте перший домен-контролер на ту саму машину, де у вас одночасно і файлопомийка, і SQL, і все інше. Для навчання – можна, для продакшну – краще хоча б віртуалізувати ролі та рознести навантаження.
• Продумайте ім’я домену заздалегідь. Потім його зміна – болюча операція. Добре працюють варіанти corp.local, office.local або corp.company.com.
• У Windows Server 2019 як створити домен Windows Server з GUI – найзручніший варіант для початку. Але з часом варто перейти на PowerShell-скрипти, щоб розгортати стенди повторювано.
• Після створення домену одразу зробіть експорт системного стану (System State backup) – це мінімальний «план Б», якщо щось піде зовсім не так.
• Маловідомий лайфхак: якщо ви граєтесь у віртуалці (Hyper‑V, VMware, VirtualBox), перед запуском майстра підняття домену зробіть snapshot. Якщо раптом щось налаштуєте криво – повернетеся одним кліком, не витрачаючи час на перевстановлення.

---

Поширені помилки

Типові фейли при спробі розібратися, як створити домен Windows Server, дуже схожі у всіх:

1. Неправильний DNS на сервері та клієнтах

Симптоми:

• Клієнт не може приєднатися до домену, пише, що домен не знайдено.
• Active Directory встановилося, але щось дивно довго «думає» при логіні.

Причина – на сервері або на робочій станції DNS вказаний зовнішній (8.8.8.8) чи роутер, а не IP доменного контролера.

Як виправити:

• На DC: у налаштуваннях мережі прописати DNS = власний IP.
• На клієнтах: також першим DNS вказати IP доменного контролера.

2. Створення домену з «дивним» іменем

Наприклад, назвали домен просто LOCAL або TEST, а потім з’являється потреба інтегруватися з іншими сервісами, VPN, хмарою. Такі «короткі» домени потім створюють купу незручностей.

Рішення: вибирати домен у форматі:

• corp.local
• office.local
• corp.company.com

3. Ігнорування DSRM-пароля

Багато хто вводить «що-небудь аби пропустило» – і забуває. А потім, коли треба відновити каталог, виникає дуже неприємний сюрприз.

Рішення: генеруйте нормальний пароль, збережіть його відразу у ваш менеджер паролів. Не покладайтеся на пам’ять.

4. Зміна імені сервера після створення домену

Симптом:

• Після перейменування сервер починає поводитися дивно: помилки в AD, проблеми з реплікацією, клієнти не завжди знаходять домен.

Як уникнути:

• Завжди задавайте правильне ім’я сервера до запуску майстра створення домену.

5. Відсутність резервної копії

Типова історія: домен завівся, все працює, але резервної копії немає. Через рік диск «помер» – і доводиться піднімати все з нуля, створювати користувачів, групи, політики, права доступу.

Як уникнути:

• Після налаштування домену відразу налаштуйте хоча б System State backup на окремий диск/сховище.

---

Часті запитання

1. Як створити домен Windows Server 2019 з нуля для невеликого офісу?

Потрібен один сервер з Windows Server 2019, статична IP-адреса, встановлення ролі Active Directory Domain Services через Server Manager і подальше підвищення сервера до контролера домену з опцією «Add a new forest». Потім приєднуєте робочі станції до домену, прописавши DNS на IP сервера.

2. Чим відрізняється процес: Windows Server 2019 і Windows Server 2016 як створити домен Windows Server?

Алгоритм однаковий: Add Roles and Features → AD DS → Promote this server to a domain controller → Add a new forest. Відмінності косметичні (тексти, дрібні елементи інтерфейсу), тому інструкція для Windows Server 2019 майже повністю підходить і для Windows Server 2016.

3. Яке ім’я домену обрати – .local чи реальний інтернет-домен?

Для невеликих внутрішніх мереж простіше використовувати щось на кшталт corp.local або office.local. Якщо планується тісна інтеграція з хмарними сервісами та публічними DNS-записами – можна використати піддомен від вашого публічного домену, наприклад corp.company.com.

4. Чи можна створити домен на віртуальній машині?

Так, це нормальна практика. Більшість сучасних інфраструктур тримають контролери домену як віртуальні машини (Hyper‑V, VMware, Proxmox). Для тестів це взагалі найзручніший варіант – зробили snapshot, поекспериментували, повернулися назад.

5. Чому клієнтський комп’ютер не бачить домен при приєднанні?

Найчастіше причина в DNS. Перевірте, що на клієнті в налаштуваннях мережі як DNS вказано IP адреса доменного контролера, а сам контролер працює як DNS-сервер і має зону вашого домену.

6. Як створити домен Windows Server за допомогою PowerShell, а не через майстер?

Можна використовувати командлети Install-WindowsFeature AD-Domain-Services для установки ролі та Install-ADDSForest для створення нового лісу/домена. Такий підхід зручний для автоматизації розгортання стендів і повторюваних конфігурацій.

7. Що робити, якщо вже є робоча група з локальними користувачами, а тепер хочу домен?

Після створення домену ви приєднуєте комп’ютери до нього, створюєте доменні акаунти користувачів і налаштовуєте нові профілі. Часто доводиться мігрувати дані зі старих локальних профілів у нові доменні (переносити документи, робочі файли, налаштування програм).

8. Чи обов’язково доменний контролер має бути також DNS-сервером?

Для типової невеликої інфраструктури – так, це найпростіший і найстабільніший варіант. AD сильно опирається на DNS, тому тримати DNS окремо без потреби – зайва складність для невеликої команди.

9. Чи можна мати лише один домен-контролер?

Можна, для маленького офісу це нормальний старт. Але з точки зору відмовостійкості бажано з часом додати другий контролер домену, щоб у разі збою першого не втратити авторизацію для всієї компанії.

10. Чи потрібно купувати окрему ліцензію саме для домена?

Ні, домен – це роль Windows Server (AD DS). Потрібна ліцензія на сам Windows Server та клієнтські CAL-и, якщо ви будуєте легальну комерційну інфраструктуру. Окремої «ліцензії на домен» не існує.

---

Читайте також

Якщо ви тільки починаєте будувати інфраструктуру з доменами, вам можуть бути корисні й інші матеріали з нашого блогу:

• WINDOWS
• Комп’ютер
• Програми
• Інтернет безпека
• VPN

---

Закладки

Якщо вам була корисна ця інструкція, додайте наш блог про інтернет безпеку у закладки – так буде простіше знайти відповіді, коли дійдете до наступних кроків: групові політики, VPN, захист облікових записів.

Натисніть Ctrl + D