Windows Server Core ця хороша платформа для розміщення ролі контролера домену Active Directory через зменшених вимоги до ресурсів, підвищеної стабільності і безпеки (за рахунок меншої кількості коду і оновлень). У цій статті ми покажемо, як встановити контролер домену в новому або існуючому лісі Active Directory на Windows Server Core 2016 через консолі за допомогою команд PowerShell.

Установка контролера домену Active Directory за допомогою PowerShell

Встановіть Windows Server Core на новий хост (фізичний або віртуальний), виконайте базову настройку нового сервера: задайте ім’я сервера, мережеві настройки (статичний IP адреса, маску мережі, шлюз, DNS), дату / час, часовий пояс і т.д.

Rename-Computer -NewName spb-dc03
Get-NetAdapter
$ip = "192.168.113.11"
$gw="192.168.113.1"
$dns = "192.168.13.11"
New-NetIPAddress -InterfaceAlias Ethernet -IPAddress $ip -AddressFamily IPv4 -PrefixLength 24 –DefaultGateway $gw
Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses $dns

Наступний крок – установка ролі Active Directory Domain Services (ADDS). Для цього потрібно в консолі PowerShell виконати команду:

Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose

Установка ролі Active Directory Domain Services (ADDS) в Windows Server COre 2016 за допомогою PowerShell

Перевіримо, що роль AD-Domain-Services встановлена:

Get-WindowsFeature -Name *AD*

роль AD-Domain-Services встановлена

[/alert]

Після установки ролі ADDS можна використовувати командлети з модуля ДОДАТКИ Розгортання для розгортання нового домену, ліси або контролера домену:

Get-Command -Module ADDSDeployment

команндлети розгортання контролера домену з модуля ADDSDeployment

Є три можливих подальших сценарію:

  • установка нового лісу Active Directory (Приклад команди: Install-ADDSForest -DomainName winitpro.ru -ForestMode Win2012R2 -DomainMode Win2012R2 -DomainNetbiosName WINITPRO -InstallDns:$true
  • Командир Install-ADDSDomain дозволяє створити новий домен в існуючому лісі Active Directory;
  • Install-ADDSDomainController – дозволяє додати новий контролер домену в існуючий домен Активна Директорія

У більшості випадків ви будете використовувати 3 сценарій – додавання додаткового контролера домену в існуючий домен Active Directory

Перш ніж додавати новий контролер домену, перевірте, що ваш домен Active Directory працює коректно. Уважно вивчіть помилки на кожному DC, які повертає команди Dcdiag /v і перевірте реплікацію AD (repadmin /showrepl і repadmin /replsum). Переконайтеся, що у вас є актуальна резервна копія контролерів домену.

У найпростішому варіанті, коли вам потрібно додати новий додатковий DC в Default-First-Site-Name сайт, виконайте команду

Install-ADDSDomainController -DomainName "test.com" -InstallDns -Credential (get-credential TESTAdministrator) -DatabasePath "D:ADDSDB" -LogPath "D:ADDSLog" -SysvolPath "D:ADDSSYSVOL"

У цьому прикладі я додатково вказав, що база даних AD, логи і каталог Sysvol повинні зберігатися на окремому диску. За умовчанням вони зберігаються в %SYSTEMROOT%NTDS і %SYSTEMROOT%SYSVOL.

Можна відразу вказати потрібний сайт Active Directory, в який потрібно помістити новий контролер домену. Також зазначимо, що даний DC буде Global Catalog і поставимо пароль режиму відновлення DSRM (Directory Services Restore Mode) через ConvertTo-SecureString:

Install-ADDSDomainController -DomainName test.com -InstallDns:$true -NoGlobalCatalog:$false -SiteName 'SPB' -NoRebootOnCompletion:$true -Force:$true -SafeModeAdministratorPassword (ConvertTo-SecureString 'P@ssw0rd' -AsPlainText -Force) -Credential (get-credential TESTAdministrator) –verbose

установка додаткового контролера домену за допомогою PowerShell командлет Install-ADDSDomainController

Уважно досліджуйте результати команди, якщо все пройшло добре – перезавантажити сервер:

Перезавантажте комп’ютер

Діагностика стану нового контролера домену на Server Core

Після закінчення установки контролера домена виконаємо кілька базових перевірок, щоб переконається, що новий контролер домену успішно доданий в домен, і бере участь в реплікації.

Ви можете управляти контролером домену на Windows Server Core за допомогою стандартних графічних Active Directory (dsa.msc, gpmc.msc, dnsmgmt.msc, dssite.msc, adsiedit.msc, domain.msc) Оснасток з іншого сервера або комп’ютера Windows 10 з встановленим RSAT (Rsat.ActiveDirectory.DS-LDS.Tool).

На будь-якому комп’ютері відкрийте консоль ADUC і перевірте, що в OU Domain Controllers з’явився новий DC.

новий контроллре домену в OU Domain Controllers

Після перезавантаження сервера Windows Server Core вам потрібно авторизуватись на сервері під обліковим записом з правами адміністратора домену.

За допомогою комнадлета Get-ADDomainController перевірте, що контролер домену визначається в правильному сайті:

Get-ADDomainController -Discover

Get-ADDomainController -Discover визначення найближчого сайту AD

Перевірте, що служби Active Directory запущені:

Get-Service adws,kdc,netlogon,dns

перевірити, що служби active directory запущено

Крім прихованих адмінських куля повинні бути опубліковані мережеві каталоги SYSVOL і Netlogon:

get-smbshare

netlogon і sysvol на контролері домену

Перевірте, що в Event Viewer є події від служб ADDS:

Get-Eventlog "Directory Service" | Select-Object entrytype, source, eventid, message
Get-Eventlog "Active Directory Web Services" | Select-Object entrytype, source, eventid, message

Потім виконайте тест командою dcdiag (всі кроки повинні бути Passed), і перевірте реплікацію між DC командою:

repadmin /replsummary

або

Get-ADReplicationFailure -Target DC03

Установка контролера домену за допомогою Windows Admin Center

Для установки контролера домена на Windows Server Core також можна використовувати веб інтерфейс Windows Admin Center (WAC).

  1. Додайте свій хост з Windows Server Core в інтерфейс Центр адміністрування Windows;
  2. Для установки ролі ADDS перейдіть в розділ Roles and Features, у списку доступних ролей виберіть Active Directory Domain Services і виберіть Install;
  3. Погодьтеся встановити програмне забезпечення ролі і засобів адміністрування; установка Active Directory Domain Services через Windows Admin Center
  4. Для підвищення сервера до контролера домену потрібно відкрити веб консоль PowerShell і скористатися розглянутими вище Командлети для настройки DC; powershell консоль в Windows Admin center
  5. Після закінчення установки DC потрібно перезавантажити Server Core і перепідключити його в WAC під доменної обліковим записом;
  6. Для управління Active Directory з веб інтерфейсу можна встановити спеціальне розширення WAC (доступно поки в Preview режимі). В результаті у вас в Windows Admin Center з’явиться новий розділ, в якому можна переглядати і управляти деревом AD. перегляд Active Directory через веб інтерфейс Windows Admin Center

Leave a Reply

Your email address will not be published. Required fields are marked *