Меню Рубрики

Установка контроллера домена server core

Установка Active Directory через Powershell на версию Core

Установку Active Directory я проводил на версии Sercer Core 2016 с Powershell 5.1. Все нужные командлеты должны быть c версии Windows Server 2012. В редакции 2008 командлет будет звучать как Add-WindowsFeature, вместо Install.

На мой взгляд отличный вариант использовать наш второй сервер AD в виде версии Core т.к. и обновлений существенно меньше, безопасность выше, нагрузка меньше. Единственный минус — это проблемы с ОС или ролью, которые достаточно сложно диагностировать в командной строке, но для этого есть второй сервер с GUI.

В версии Core у нас изначально запускается CMD, что бы запустить Powershell пишем:

Т.к. я провожу установку на новый сервер первое что я делаю — меняю IP на статику. Для этого получаем список адаптеров:

Нам нужно значение ifIndex:

Где:
-IPAddress — IP адрес для этого сервера
-DefaultGateway — шлюз
-PrefixLength — битовая длина маски, в моем случае соответствует 255.255.255.0
-InterfaceIndex — индификатор интерфейса (номер с рисунка выше)

Далее устанавливаем DNS сервер, если нужен (для существующего леса нужен):

Где:
-InterfaceIndex — тот же индефикатор, что и выше
-ServerAddresses — наши DNS, разделенные запятой.

Теперь нам нужно узнать имя роли для установки. Таким командлетом мы получим все роли и компоненты включающие в себя «AD»:

Нам нужно значение из колонки Name. Перейдем к установке роли:

Можно так же добавить ключ -IncludeManagementTools , который добавит компоненты графического интерфейса и средства командной строки. Я обычно добавляю т.к. стараюсь избежать вероятных проблем с RSAT со стороны клиента, но это маловероятно.

Вот чем эти варианты отличаются:

Ключ -WhatIF проверяет как пройдет процесс установки, но не делает ее. Ключ -Verbose проводит установку и показывает весь ход установки более детально.

После этого у нас появится ряд дополнительных команд для установки разных вариантов Active Directory:

Add-ADDSReadOnlyDomainControllerAccount — устанавливает домен контроллер только для чтения
Install-ADDSDomain — создает новы домен в лесу
Install-ADDSDomainController — создает домен контроллер
Команды с Test — проверяют пререквизиты перед установкой.

Установка домен контроллера

Далее у нас есть 2 варианта установки. Если мы устанавливаем домен контроллер в существующем лесу, то мы можем его ввести в домен (DNS прописывали выше) а затем выполнить команду от привилегированного пользователя. Вводим в домен этой командой:

Где:
-DomainName — имя существующего домена

Или мы можем ввести логин/пароль перед самой устновкой домен контроллера:

Где:
$Cred — переменная с привилегированными учетными данными (powershell сам запросит их). Она не нужна, если мы уже в домене и залогинены под нужной учеткой.
-InstallDNS — устанавливаем DNS
-Credential — переменная с учеткой
-DomainName — имя домена

После этого powershell попросит ввести пароль для восстановления AD и через несколько минут установка завершится.

Одни из дополнительных ключей, которые могут пригодиться:
-InstallationMediaPath — установка базы с флешки (когда база очень большая)
-ReplicationSourceDC — откуда релицировать данные
-SysvolPath — место для хранения sysvol
-DatabasePath — место для хранения базы
-LogPath — место для хранения логов домен контроллера
-MoveInfrastructureOperationMasterRoleIfNecessary — переносит мастера инфраструктуры. Если включен этот ключ, то мы добавить -NoGlobalCatalog соответственно

Установка леса

Если мы просто введем команду, то нас все спросят по сценарию. В случае выше запросят пароль для восстановления AD.

Одни из дополнительных ключей:
-DatabasePath — путь где будет храниться база NTDS
-ForestMode — уровень работы леса
-DomainMode — уровень работы
-LogPath — место хранения логов
-SysvolPath — место хранения sysvol

источник

Заметки по информационным технологиям

В предыдущей статье мы настроили Службу каталогов Active Directory на базе Windows Server 2012. Переходим к настройке второго дополнительного контроллера домена на базе Windows Server 2012 в режиме Core.

Конечно же, мы можем настроить сервер в режиме GUI, а потом перевести его в режим Core. Но, с практической стороны, гораздо быстрей по времени и трудозатратам произвести настройку второго контроллера Active Directory сразу в режиме Core.

Настройку будем проводить в консоли Powershell. Для этого мы её запустим: Crl+Alt+Delele -> Task Manager -> More details -> File -> Run new task -> powershell -> OK.

Читайте также:  Установка приора мотора на 2114

Ряд настроек можно произвести через команду sconfig, но имея набор заготовленных Powershell команд, настройка будет быстрей. Итак, приступим…

Предварительная настройка сервера

Для того, чтобы произвести установку роли службы каталогов Active Directory на сервер, необходимо задать на интерфейсе статический IP адрес и переименовать компьютер.

С помощью команды get-netadapter -physical узнаем какие интерфейсы присутствуют в системе.

В нашем примере сетевой адаптер Ethernet 2 принадлежит внутренней корпоративной сети, поэтому будем настраивать именно его.

Первым делом, переименуем интерфейс, чтобы знать в будущем какой сети он принадлежит.

Назначим данному интерфейсу статический IP адрес. В нашем примере у нас сеть с префиксом 24 (255.255.255.0), поэтому задаем prefixlength.

Назначим DNS серверы для внутреннего интерфейса Int

Настроим DNS суффикс, чтобы сервер увидел домен ithz.ru

Переименуем компьютер как DC2 и перезагрузим его.

Настройка доменных служб Active Directory

После перезагрузки сервера установим роль Active Directory Domain Services. Также добавим в команду параметр IncludeManagementTools для управления локальным сервером.

Пока перезагрузка сервера не требуется. Перейдем к настройке службы Active Directory.

Поскольку в нашем примере домен уже имеется, команда по настройке службы каталогов Active Directory будет очень простой:

Данная команда настроит дополнительный (Replica) контроллер в домене ithz.ru, создаст делегирование DNS в домене ithz.ru. Скрипт запросит пароль администратора домена, который задается в параметре Credential. Если компьютер уже находится в домене и консоль Powershell запущена от имени доменного администратора, то параметр Credential не является обязательным.

Параметр Force позволяет избежать отображения лишних вопросов.

После этого запрашивается пароль (SafeModeAdministratorPassword) и его подтверждение для DSRM (Directory Service Restore Mode — режима восстановления службы каталога).

После выполнения команды, будет отображено уведомление, что операция прошла успешно и требуется перезагрузка.

После перезагрузки будет предложен вход под администратором домена.

В общем-то, на этом настройка дополнительного контроллера домена завершена.

Дополнительная информация по статье

Командлет Install-AddsDomainController может запускать со следующими параметрами:
-SkipPreChecks
-DomainName
-SafeModeAdministratorPassword
-SiteName
-ADPrepCredential
-ApplicationPartitionsToReplicate
-AllowDomainControllerReinstall
-Confirm
-CreateDNSDelegation
-Credential
-CriticalReplicationOnly
-DatabasePath
-DNSDelegationCredential
-Force
-InstallationMediaPath
-InstallDNS
-LogPath
-MoveInfrastructureOperationMasterRoleIfNecessary
-NoDnsOnNetwork
-NoGlobalCatalog
-Norebootoncompletion
-ReplicationSourceDC
-SkipAutoConfigureDNS
-SiteName
-SystemKey
-SYSVOLPath
-UseExistingAccount
-Whatif

Жирным шрифтом помечены параметры, которые обязательны. Курсивом помечены параметры, которые можно задать и через Powershell, и через оснастку AD DS Configuration Wizard. Соответственен, простым шрифтом отображаются параметры, которые используются только через Powershell. Более подробно про все параметры можно на сайте technet.microsoft.com — Install a Replica Windows Server 2012 Domain Controller in an Existing Domain.

С помощью команды Get-command -module ADDSDeployment можно узнать все возможные командлеты по настройке ролей Activ Directory.

Install-ADDSDomain
Install-ADDSDomainController
Install-ADDSForest
Test-ADDSDomainControllerInstallation
Test-ADDSDomainControllerUninstallation
Test-ADDSDomainInstallation
Test-ADDSForestInstallation
Test-ADDSReadOnlyDomainControllerAccountCreation
Uninstall-ADDSDomainController

Дополнительные ссылки

Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200) — Установка второго контроллера в существующем домене на базе Windows Server 2012.

Troubleshooting Domain Controller Deployment — Поиск и устранение неисправностей при установке контроллера домена.

источник

Системное администрирование Linux

Установка контроллера домена на Windows 2016 core

Установку будем проводить на операционной сисетме Windows 2016 core. Установку контроллера будем производить с созданием нового леса Active Directory и установкой DNS-севрера на самом контроллере домена. В качестве домена будем использоть имя test.un.

После установки операционной системы, логинемся и получаем доступ к командной строке windows.

Первым делом произведем предварительные настройки системы (сеть, имя компьютера, дата и время). Для этого воспользуемся утилитой sconfig

Производим настройку сети, для этого переходим в подраздел 8) Network Settings

Выбираем настройку какого интерфейса мы будем производить

Попадаем в меню настройки сети

Выбираем настройку ip-адреса и указываем что хотим выбрать статический ip-адрес

Далее вводим ip-адрес, маску подсети, шлюз по-умолчанию

Указываем DNS-сервер, мы укажем 127.0.0.1, так как DNS-сервер будет располагаться на контроллере домена

Для возврата в основное меню используем пункт меню 4) Return to Main Menu

Далее проведем настройку Даты и времени, для этого переходим в меню 9) Date and Time

Читайте также:  Установка абс на грузовиках

И теперь произведем настройку имени компьютера, переходим в меню 2) Computer Name

После установки нового имени компьютера, производим перезагрузку компьютера

теперь все готово к установке контроллера домена в новом лесу Active Directory

Устанавливаем Службу Active Directory

Вводим командлет Powerhell

Теперь создаем лес и контроллер домена

  • -ForestMode — Указываем функциональный уровень леса Active Directory;
  • -DomainMode — Указываем функциональный уровень домена ACtive Directory;
  • DomainName — Указываем имя домена;
  • DomainNetbiosName — Указываем NetBios-имя для домена;
  • -InstallDns — $true/$false устанавливать DNS-сервер на контроллер или нет;
  • -CreateDnsDelegation — $true/$false делигировать ли полномочия по управлению зоной стороннему DNS-серверу;
  • -Force — $true/$false автомотически принимать все предепреждения и напоминания

Указываем пароль администратора для режима восстановления

Будет произведена проверка возможности установки леса и домена, если все ок, то начнется установка

После успешного окончания установки, компьютер будет перезагружен

Все установка контроллера домена в новом лесу прошла успешно.

Далее для управления доменом можно использовать командлеты powershell или производить управление с удаленного коапьютера посредством RSAT.

источник

Установка нового контроллера домена Active Directory

Ранее разговор был о том, как нельзя проектировать службы каталогов. Сейчас же, мы поговорим о практической составляющей и применим ранее полученное знание на практике. В этой статье будут рассмотрены вопросы подготовки свежего сервера под новый лес Active Directory. Задачи не сложные, но критически важные! Именно сейчас закладывается фундамент будущей инфраструктуры.

Инсталляция операционной системы

В качестве платформы виртуализации будет использоваться инфраструктура VMWare, VSphere 6.7 с гипервизором той же версии.

Сама же виртуальная машина должна обладать следующими минимальными техническими характеристиками — 1 Core, 2 RAM, 30 GB SSD.

При проектировании инфраструктуры возникает вопрос именования как виртуальных машин, так и самих хостов. В этом вопросе моя позиция состоит в жестком соблюдении конвенции именования. Например, виртуальная машина будет иметь следующее имя: kv-dc01.corp.norvato.pp.ua, где

  • Обязательный географический признак, например, kv – Kyiv;
  • Сокращение dc будет означать domain controller;
  • 01, порядковый номер сервера. Если планируется несколько серверов с развертываемым сервисом, номер обязателен;
  • corp.norvato.pp.ua – внутренняя DNS зона организации.

Описанный способ удобен ввиду явной однозначности интерпретирования. Можно с уверенностью понять, что за сервис и где его расположение.

В качестве операционной системы будет использоваться Windows Server 2019 Standard Core. В конфигурации виртуальной машины обязательное наличие UEFI и включенным Secure Boot. Сервер устанавливается стандартно и после завершения процесса необходимо задать пароль встроенной учетной записи Administrator:

Окно задания пароля administrator установленного Windows Server Core

После описанных шагов, сервер готов для предварительной конфигурации перед установкой первого контроллера домена.

Пост конфигурация

Средства интеграции VMWare Tools

Как ранее я писал, моя лаба будет построена на технологии виртуализации VMWare. Это означает, что самым первым обязательным шагом будет инсталляция средств интеграции VMWare Tools. Установка происходит вызовом этого действия консоли VMRC или веб клиента.

Инсталляция в VMRC средств интеграции VMWare Tools

Инсталляция в веб клиенте средств интеграции VMWare Tools

Как только ISO файл будет примонтирован к виртуальной машине, необходимо выполнить D:\setup64.exe, тем самым запустив установку средств интеграции. В конце выполнения мастер попросит о перезагрузке:

Перезагрузка после установки средств интеграции VMWare Tools

Утилита sconfig

После перезагрузки, для дальнейшей конфигурации сервера, будет использована утилита sconfig. Она появилась с Windows Server 2008 R2 Core в качестве штатной утилиты для быстрой начальной настройки. Вызвать ее можно выполнив sconfig в окне cmd:

утилита sconfig

С помощью нее выпонняем следующую настройку:

  1. Имени сервера (опция 2), в моем случае kv-dc01;
  2. Устанавливаем все необходимые обновления (опция 6);
  3. Задаем сетевые настройки (опция 2). Устанавливаем статический IP адрес;
  4. Указываем корректный часовой пояс (опция 9);
  5. Активируем сервер (опция 11).

Отключение IPv6

В дефолтном состоянии сетевого интерфейса автоматически сконфигурирован link-local IPv6 адрес. Интерфейс будет ждать любого анонса от IPv6 роутера, который даст динамический адрес. Если в вашей сетевой инфраструктуре не используется протокол IPv6, рекомендую отключить его поддержку. Делается это так:

источник

Windows Server Core: Установка роли ADDS

Windows Server Core является отличной технологией для применения на контроллерах домена. Ведь контроллеры домена редко используются для чего-либо кроме обеспечения функционирования инфраструктуры Active Directory, и совсем нечасто используются для интерактивного входа. Однако превращение сервера в контроллер домена при помощи командной строки, не такая уж простая и интуитивная операция, как могла бы должны быть.

Читайте также:  Установка газа 4 поколения на приору

Эта статья написана с целью облегчения превращения сервера в контроллер домена при помощи командной строки.

DCPROMO.exe

Как и в полноценной версии Server 2008, в Server Core перевод сервера из разряда рядовых в разряд контроллеров домена осуществляется с помощью команды dcpromo.exe. Мы уже познакомились с основами управления Server Core из командной строки. Еще одной приятной особенностью dcpromo.exe, является то, что если роль Active Directory Domain Services (ADDS) не установлена, dcpromo.exe сама установит ее для вас.

Однако вы можете установить роли ADDS и DNS самостоятельно из командной строки:

dism /online /enable-feature /featurename:NetFx2-ServerCore

dism /online /enable-feature /featurename:NetFx3-ServerCore

dism /online /enable-feature /featurename:DirectoryServices-DomainController-ServerFoundation

dism /online /enable-feature /featurename:DNS-Server-Core-Role

Далее приведены аргументы dcpromo.exe. Общие аргументы используются для указания того, создается ли новый домен, или выполняется добавление контролера в существующий домен.

unattend Указывает, что графический мастер не будет использоваться (обязательно в Server Core). Также можно указать местоположение файла с ответами, необходимых для установки контроллера домена.
replicaOrNewDomain Указывает, куда нужно добавить контроллер: в новый или существующий домен.

Replica – Добавить в существующий домен (по умолчанию)

ReadOnlyReplica – Добавить RODC в существующий домен
Domain – Создать новый домен

safeModeAdminPassword Пароль для Directory Services Restore Mode (режима восстановления служб каталогов).

Создание нового леса AD

Минимальный набор команд для создания нового леса AD:

dcpromo.exe /unattend /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:winitpro.ru /domainNetbiosName:winitpro /safeModeAdminPassword: /

Запомните, что при создании нового леса вы в действительности создаете новый корневой домен, так что многие команды будут напоминать процедуру создания нового домена.

При создании нового леса AD используются следующие команды:

newDomain Указывает, создаете новый лес, новый дочерний домен или новое дерево:
Tree –Создает новое дерево
Child –Создает новый дочерний домена
Forest –Создает новый лес
newDomainDnsName Указывается DNS имя нового домена.
domainNetbiosName Задаем Netbios имя нового домена.
domainLevel (опционально) Указывает уровень домена для установки в новом домене:
0 — Windows 2000 (используется по дефолту)
2 – Windows 2003
3 – Windows 2008
4 – Windows 2008 R2
forestLevel (опционально) Указываем уровень леса для создаваемого леса AD:
0 – Windows 2000 (используется в Windows 2008 если не указано иное)
2 – Windows 2003 (используется в Windows 2008 R2 если не указано иное)
3 – Windows 2008
4 – Windows 2008 R2

Forest Создание нового домена в существующем лесу

Минимальная команда для создания нового домена в существующем лесу может выглядеть так:

dcpromo.exe /unattend /replicaOrNewDomain:domain /newDomain:child /newDomainDnsName:child.winitpro.ru /parentDomainDNSName:winitpro.ru /domainNetbiosName:CHILD-WINITPRO /childName:child /userDomain:winitpro.ru /username:administrator /password:* /safeModeAdminPassword:

Команда для создания нового дерева в существующем лесу:

dcpromo.exe /unattend /replicaOrNewDomain:domain /newDomain:tree /newDomainDnsName:tree.ru /parentDomainDNSName:winitpro.ru /domainNetbiosName:TREE /userDomain:winitpro.ru /username:administrator /password:* /safeModeAdminPassword:

При создании нового домена в существующем лесу используют следующие параметры:

newDomain Указывает, что вы создаете: новый лес, новый дочерний домен или новое дерево:
Tree – Создает новое дерево
Child –Создает новый дочерний домен
Forest –Создает новый лес
newDomainDnsName Указывает DNS имя нового домена.
parentDomainDNSName Указывает DNS-имя родительского домена.
domainNetbiosName Указывает Netbios имя нового домена.
username Имя пользователя, для создания домена в лесу. Эта учетная запись должна входить в группу enterprise admins (администраторов предприятия).
userDomain Домен учетной записи, указанной в параметре /username
password Пароль учетной записи, указанной в параметре /username. Вы можете указать текстовый пароль, или *, которая означает запросить пароль во время выполнения.
domainLevel (опционально) Задает уровень домена для нового домена
0 – Windows 2000 (по умолчанию)
2 – Windows 2003
3 – Windows 2008
4 – Windows 2008 R2

Добавление контроллера домена в существующий домен

Команда для добавления дополнительного контроллер домена в существующий домен может выглядеть так:

dcpromo.exe /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:winitpro.ru /userDomain=winitpro.ru /username=administrator /password:* /safeModeAdminPassword:

При добавлении нового контроллера домена в существующий домен используют следующие параметры:

источник

Добавить комментарий