Установите RSAT для версий 1809 и выше
Выполните следующие действия, чтобы включить RSAT в Windows 10.
- Щелкните правой кнопкой мыши значок «Windows» в левом нижнем углу экрана.
- Выберите опцию «Настройки» из всплывающего меню.
- Когда откроется окно настроек, вы должны выбрать вкладку «Приложения» из списка.
- Затем нажмите на ссылку «Управление дополнительными функциями» в правой части окна настроек. Он находится в разделе «Приложения Особенности ».
- Нажмите на значок «+ Добавить функцию».
- Windows покажет список доступных дополнений. Прокрутите вниз и выберите из списка надстройку «RSAT: доменные службы Active Directory и облегченные инструменты каталога».
- Нажмите кнопку «Установить».
- После завершения установки RSAT должен появиться в разделе «Администрирование» меню «Пуск».
Для чего нужна Active Directory
Если в вашем офисе используется Active Directory, все машины будут подключены к домену, что означает, что вся информация хранится в централизованном месте, а не локально на жёстких дисках отдельных компьютеров. Домен управляется глобальным каталогом, который отслеживает все устройства, зарегистрированные в сети. В глобальном каталоге хранятся IP-адреса, имена компьютеров и пользователей, поэтому глобальный администратор может контролировать всё, что происходит в домене. Чтобы управлять компьютерами, администратору просто понадобится имя этого компьютера, потому что всё уже связано с серверной частью.
Когда вы используете Active Directory, все разрешения устанавливаются контроллером домена. Это означает, что сетевой администратор уже сообщил контроллеру домена, какие разрешения назначить каждому пользователю. Это делает всю цифровую коммуникацию более эффективной.
Подключение консоли ADUC к домену из рабочей группы
Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:
- Запустите командную строку и выполните команду запуска остастки от имени другого пользователя: runas /netonly /user:winitpro\aaivanov mmc
- В пустой консоли MMC выберите File->Add/Remove Snap-In
- Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите
- Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.
В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.
Мониторинг и диагностика репликации
Мониторинг репликации Active Directory, утилита REPADMIN, процесс KCC (Knowledge Consistency Checker), утилита DCDIAG, Replication Monitor
Задание:
·Установите диагностическое протоколирование для процесса Knowledge Consistency Checker (KCC) и запустите его при помощи утилиты REPADMIN. Прочитайте отчет о выполнении KCC.
·Проведите полное тестирование вашего контроллера домена при помощи утилиты DCDIAG с подробным выводом информации.
·Запустите при помощи утилиты Replication Monitor репликацию всех разделов вашего контроллера домена и сохраните отчет о репликации как C:\repl_rep1.txt.
Решение:
1. Чтобы включить диагностическое протоколирование KCC, откройте в редакторе реестра ключи
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\1 Knowledge Consistency Checker
и
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\9 Internal Processing
и установите для них значение, равное 3
Обратите внимание на другие ключи этого раздела — при помощи них можно включить диагностическое протоколирование других событий
2. Выполните в командной строке команду
REPADMIN /KCC
3. Откройте в Event Viewer журнал событий службы каталогов и прочитайте последние события с источнком (Source) NTDS KCC.
4. Команда на полное тестирование контроллера домена с подробным выводом сообщений может выглядеть так:
DCDIAG /E /V
5. Для запуска Replication Monitor необходимо выполнить в командной строке команду REPLMON (при установленных Support Tools). Затем щелкните правой кнопкой мыши по узлу Monitored Server и в контекстном меню выберите Add Monitored Server. Оставьте переключатель в положении Add the server explicitly by name и нажмите на кнопку Next. На следующем экране введите имя вашего контроллера домена и нажмите на нопку Finish.
6. Чтобы инициировать полную репликацию со всеми серверами, щелкните правой кнопкой мыши по объекту вашего сервера и в контесном меню выберите Synchronize Each Directory Partition with All Servers. Установите нужные флажки в открывшемся диалоговом окне (в нашем случае нужен только флажок Cross site boundaries и нажмите OK, а затем — Yes.
7. Чтобы создать отчет о репликации, в контекстном меню для вашего контроллера домена выберите Generate Status Report, введите имя файла отчета, установите/снимите нужные флажки в окне Report Options и нажмите OK. Просмотрите созданный отчет.
Описание
Для этого на контроллере домена необходимо проверить в редакторе реестра наличие ключа HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalState . Если ключ имеет значение отличное от 3 (ELIMINATED) используется FRS
Состояния миграции отображены в таблице ниже
State |
Transition Process for Job Responsibilities |
Migration Process for SYSVOL Replication |
Start (State 0) |
Before deciding to retire or leave, the employee handles all of the responsibilities of the job. |
Before SYSVOL migration begins, FRS replicates the SYSVOL shared folder. |
Prepared (State 1) |
The first employee continues working while the new employee shadows the first employee, learning how to perform the work. The new employee may become responsible for some minor tasks, but the first employee remains accountable for the primary responsibilities of the job. |
FRS continues to replicate the SYSVOL shared folder that the domain uses, while DFS Replication replicates a copy of the SYSVOL folder. This copy of the SYSVOL folder is not used to service requests from other domain controllers. |
Redirected (State 2) |
The new employee takes over most of the responsibilities of the job, but the first employee remains to assist the new employee if needed. |
The DFS Replication copy of the SYSVOL folder becomes responsible for servicing SYSVOL requests from other domain controllers. FRS continues to replicate the original SYSVOL folder, but DFS Replication now replicates the production SYSVOL folder that domain controllers in the Redirected state use. |
Eliminated (State 3) |
The first employee retires or leaves, and the new employee handles all of the responsibilities of the job. |
DFS Replication continues to handle all the SYSVOL replication. Windows deletes the original SYSVOL folder, and FRS no longer replicates SYSVOL data. |
Использование средства просмотра журнала Windows PowerShell в Центре администрирования Active Directory
Будущее управления Windows связано с Windows PowerShell. Благодаря размещению графических средств поверх платформы автоматизации задач управление сложнейшими распределенными системами стало последовательным и эффективным. Зная принципы работы Windows PowerShell, вы сможете полностью раскрыть свой потенциал и извлечь максимальную пользу из своих инвестиций в компьютерное оборудование.
Теперь Центр администрирования Active Directory позволяет просматривать историю выполнения всех командлетов Windows PowerShell, включая их аргументы и значения. При этом историю командлетов можно скопировать для дальнейшего изучения или изменения и повторного использования. Вы можете создавать примечания к задачам и описывать, какой результат команды Центра администрирования Active Directory дали в Windows PowerShell. Также можно фильтровать историю на предмет интересных моментов.
Средство просмотра журнала Windows PowerShell в Центре администрирования Active Directory позволяет учиться на основе практического опыта.
Чтобы открыть средство просмотра журнала Windows PowerShell, нажмите на шеврон (стрелку).
Затем создайте пользователя или измените членство в группе. Средство просмотра журнала постоянно обновляется — в нем появляется свернутое представление каждого командлета, выполненного Центром администрирования Active Directory, и указываются его аргументы.
Разверните любую интересующую вас строку, чтобы увидеть значения всех аргументов командлета:
Откройте меню Запустить задачу и создайте заметку, а затем воспользуйтесь Центром администрирования Active Directory для создания, изменения или удаления объекта. Укажите свои действия. Закончив внесение изменений, выберите команду Закончить задачу. В заметке к задаче все выполненные действия будут представлены в виде свернутого примечания, позволяющего лучше понять суть задачи.
Например, все команды Windows PowerShell, которые использовались для изменения пароля пользователя и удаления пользователя из группы, будут выглядеть следующим образом:
Если установить флажок «Показать все», в окне появятся также командлеты Windows PowerShell с глаголом Get-*, предназначенные только для извлечения данных.
В средстве просмотра журнала отображаются тексты всех команд, выполненных Центром администрирования Active Directory, и может показаться, что некоторые команды выполняются без причины. Например, создать нового пользователя можно с помощью команды:
и нет необходимости использовать команды:
Структура Центра администрирования Active Directory предусматривает минимальное использование кодов и модулей. Таким образом, вместо отдельных наборов функций для создания новых пользователей и изменения уже существующих он выполняет каждую задачу по минимуму, а затем соединяет их воедино с помощью командлетов. Помните об этом при изучении модуля Active Directory в Windows PowerShell. Эту особенность можно также использовать как способ изучения, показывающий, как просто выполнять отдельные задачи с помощью Windows PowerShell.
Повышаем сервер до контроллера домена
А для этого создаем новый лес.RSAT или локальный серверс GUI:
Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.
Powershell:
Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.
$pass = Read-Host -AsSecureString Любой командлет который использует чей угодно пароль нужно вводит таким образом. Сначала записываем пароль в SecureString, а затем указываем эту переменную в командлет.
Install-ADDSForest -DomainName test.domain -SafeModeAdministratorPassword $pass Как и в установке через GUI, даже вывод в консоль один и тот же. В отличие от сервера с GUI, как установка роли, так и установка сервера в качестве контроллера домена не требует перезагрузки.
Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.
Основные принципы работы
Инструмент Active Directory является главным узлом инфраструктуры, выполняющим управление объектами в сети и контролирующим доступ к ним. В случае отказа AD все устройства и серверы будут недоступны. Обезопасить систему от подобной проблемы можно с помощью одного или нескольких дублирующих контроллеров доменов.
Принципы Active Directory:
- работает бесперебойно и круглосуточно;
- вся информация хранится в каталогах на контроллере доменов и их дубликатах;
- позволяет осуществлять резервное копирование для восстановления работоспособности сервера;
- обеспечивает взаимодействие объектов одной сети;
- контролирует доступ к объектам (защищает информацию).
Video Tutorial
If you don’t like video tutorials or want more details, then continue reading the instructions below.
Example 1: Use /s to run against a remote server
This will run all the DC tests against the remote server DC1.
To run this on a local server just leave off the /s:servername
Example 2: Using /v to display more details
The verbose switch will display additional details. It does the same tests as the first example it just displays more details about each test.
Example 3: Using /f to save to a log file
By using the /f you can save the results to a text file. This is great for logging the results and reviewing them at a later time.
Example 4: Using /a to run against all domain controllers
If you have multiple domain controllers and want to test them all at once, then use this command. If you have many domain controllers this will be a lot of information displayed, this is where using the /f option would come in handy.
Example 6: Use multiple switches (My favorite)
Here are the commands I like to run. It will run all tests, displays all the details, and outputs its to a file.
Now that you know how to test your domain controllers I’ll move on to testing DNS. By the way, if you use the last example that includes the /c that switch will run all tests including DNS.
Версии Windows 10
Чтобы включить Active Directory-пользователи и компьютеры на ПК с Windows 10, сначала необходимо установить RSAT — средства удаленного администрирования сервера. Если вы используете более старую версию Windows 10, то есть 1803 или ниже, вам нужно будет загрузить файлы RSAT из центра загрузки Microsoft.
С другой стороны, во всех версиях Windows 10, начиная с выпуска 10 октября 2020 года, RSAT включен как «Функция по требованию». Вам не нужно загружать инструменты, а только устанавливать и включать их
Обратите внимание, что только выпуски Enterprise и Professional поддерживают RSAT и Active Directory
ID события 1388
Это событие указывает на то, что контроллер домена назначения, не включенный строгой последовательностью репликации, получил запрос на обновление объекта, не расположенного в локальной копии базы данных Active Directory. В ответ диспетчер домена назначения запросил полный объект у партнера репликации источника. Таким образом, затяжной объект был реплицирован в контроллер домена назначения. Таким образом, затяжной объект был повторно в каталог.
Важно!
Когда происходит код события 1388, если либо исходный контроллер домена (партнер репликации, который воспроизводит затяжной объект) или контроллер домена назначения (партнер репликации входящие, который сообщает event ID 1388) работает Windows 2000 Server, вы не можете использовать средство Repadmin для удаления затянутых объектов. Сведения о том, как удалить устаревшие объекты в этом случае, см. в примере Lingering objects may remain after you bring an out-of-date global catalog server back online. Процедуры и сведения в этой статье применяются к удалению сохраняющихся объектов с серверов глобального каталога, а также с контроллеров доменов, которые не являются глобальными серверами каталогов.
Текст события идентифицирует контроллер исходных доменов и устаревший (устаревший) объект. Ниже приводится пример текста события:
Включение устройств Windows нижнего уровня.
Если некоторые из присоединенных к домену устройств являются устройствами Windows нижнего уровня, выполните указанные ниже действия.
- Настройте в Azure AD политику, разрешающую пользователям регистрировать устройства.
- Настройте локальную службу федерации, чтобы она выдавала утверждения встроенной проверки подлинности Windows (IWA), необходимые для регистрации устройств.
- В локальные зоны интрасети добавьте конечную точку проверки подлинности устройств в Azure AD, чтобы избежать запросов сертификатов при проверке подлинности устройств.
- Управляйте устройствами Windows нижнего уровня.
Настройте политику регистрации устройств в Azure AD.
Чтобы поддерживать регистрацию устройств Windows нижнего уровня, необходимо установить параметр, разрешающий пользователям регистрировать устройства в Azure AD. Чтобы найти этот параметр, на портале Azure выберите Azure Active DirectoryПользователи и группыПараметры устройства.
Для следующей политики нужно установить значение Все: Пользователи могут регистрировать устройства в Azure AD.
Настройка локальной службы федерации
Локальная служба федерации должна поддерживать выдачу утверждений authenticationmehod и wiaormultiauthn при получении запросов на аутентификацию к проверяющей стороне Azure AD, содержащих параметр resource_params со следующим закодированным значением:
При поступлении такого запроса локальная служба федерации должна выполнить проверку подлинности пользователя, используя встроенную проверку подлинности Windows. При успешной проверке подлинности служба федерации должна выдать следующие два утверждения:
В AD FS следует добавить правило преобразования выдачи, пропускающее метод проверки подлинности. Чтобы добавить это правило, сделайте следующее:
-
В консоли управления служб федерации Active Directory выберите AD FSОтношения доверияОтношения доверия проверяющей стороны.
-
Щелкните правой кнопкой мыши объект отношений доверия с проверяющей стороной платформы удостоверений Microsoft Office 365 и выберите Edit Claim Rules (Изменить правила для утверждений).
-
На вкладке Правила преобразования выдачи выберите Добавить правило.
-
Из списка шаблонов Claim rule (Правило для утверждений) выберите Отправка утверждений с помощью настраиваемого правила.
-
Выберите Далее.
-
В поле Claim rule name (Имя правила утверждения) введите Auth Method Claim Rule (Правило для утверждений метода проверки подлинности).
-
В поле Claim rule (Правило для утверждения) введите такое правило:
-
На сервере федерации введите следующую команду PowerShell. Замените RPObjectName> именем объекта проверяющей стороны для объекта отношений доверия с проверяющей стороной Azure AD. Как правило, этот объект называется платформой удостоверений Microsoft Office 365.
Добавление конечной точки для аутентификации устройств Azure AD в локальные зоны интрасети
Чтобы избежать запросов сертификатов при проверке подлинности в Azure AD пользователей с зарегистрированных устройств, можно отправить политику на присоединенные к домену устройства, добавив следующий URL-адрес в зону локальной интрасети в Internet Explorer:
Управление устройствами Windows нижнего уровня
Чтобы регистрировать устройства Windows нижнего уровня, необходимо скачать из Центра загрузки Майкрософт и установить пакет установщика Windows (MSI-файл). Дополнительные сведения см. в разделе об .
Симптомы
Рассмотрим следующий сценарий.
Администрирование среды AD. Может быть смесь Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Сервер 2008 R2.
При запуске (или) Windows Server 2008 или Windows Server 2008 R2 (включен в операционные системы) вы видите следующие ошибки во всех Windows DCs Server 2003:
При запуске (или) Windows Server 2008 или Windows Server 2008 R2 (включен в операционные системы) вы видите следующие ошибки во всех DC Win2008 и Win2008 R2:
При запуске (или /A или /C) на Windows Server 2003 (включено с установкой вне диапазона средств поддержки):
Никакие ошибки не регистрируются ни для одного из компьютеров, независимо от оси.
При запуске (который включает) на Windows Server 2008 или Windows Server 2008 R2, а функциональный режим домена — Windows Server 2008 или выше, а FRSS по-прежнему используется для репликации SYSVOL, вы увидите следующие ошибки:
При запуске (который включает) и указан на Windows Server 2008 или на Windows Server 2008 R2 вы видите следующие ошибки:
Устранение неполадок, связанных с выдачей RID
Общие сведения об устранении неполадок
Устранение неполадок с выдачей RID требует логического линейного подхода. Если вы не проверяете журналы событий тщательно на наличие предупреждений и ошибок, вызванных относительными идентификаторами, то первым признаком проблемы, скорее всего, будут сбои при создании учетных записей. Самым важным при устранении неполадок с выдачей RID является понимание того, когда тот или иной симптом является ожидаемым, а когда нет. Многие проблемы с выдачей RID могут затрагивать только один контроллер домена и не имеют отношения к улучшению компонентов. Приведенная ниже простая схема может помочь прояснить процесс принятия решений.
Способы устранения неполадок
Параметры ведения журнала
Все записи, связанные с выдачей RID, регистрируются в журнале системных событий, а источником их является Directory-Services-SAM. По умолчанию ведение журнала включено, и для него настроена максимальная степень подробности. Если в журнале нет записей, которые связанны с изменениями в компонентах, реализованными в Windows Server 2012, проблемы следует решать как классические (то есть до выпуска Windows Server 2012) неполадки с выдачей RID, возникавшие в Windows 2008 R2 или более ранних версиях.
Служебные программы и команды для устранения неполадок
Для устранения неполадок, объяснения которым нет в упомянутых выше журналах, в особенности проблем выдачи RID в предыдущих версиях ОС, используйте в качестве отправной точки средства из следующего списка:
-
Dcdiag.exe
-
Repadmin.exe
-
Network Monitor 3.4
Общая методика устранения неполадок, связанных с конфигурацией контроллеров домена
-
Вызвана ли ошибка очевидной проблемой с разрешениями или доступностью контроллера домена?
-
Пытаетесь ли вы создать субъект безопасности, не имея необходимых разрешений? Проверьте в выходных данных наличие ошибок отказа в доступе.
-
Доступен ли контроллер домена? Изучите полученную ошибку либо сообщения о доступности LDAP или контроллеров домена.
-
-
Упоминаются ли в полученном сообщении об ошибке относительные идентификаторы и достаточно ли это сообщение конкретно, чтобы его можно было использовать в качестве инструкции? Если да, то следуйте этой инструкции.
-
Упоминаются ли в полученном сообщении об ошибке относительные идентификаторы, но при этом оно является недостаточно конкретным? Пример: «Не удается создать объект, так как службе каталогов не удалось выделить относительный идентификатор».
-
изучите журнал системных событий на контроллере домена о событиях rid «legacy» (Windows Server 2012), описанных в запросе к пулу rid (16642, 16643, 16644, 16645, 16656).
-
Проверьте журнал системных событий в контроллере домена и хозяине RID на наличие новых событий, связанных с блокировкой, которые описаны ниже в этом разделе (16655, 16656, 16657).
-
Проверьте работоспособность репликации Active Directory с помощью средства Repadmin.exe и доступность хозяина RID с помощью команды Dcdiag.exe /test:ridmanager /v. Включите запись двухстороннего сетевого мониторинга между контроллером домена и хозяином RID, если этих проверок оказалось недостаточно.
-
В журнале системных событий контроллера домена Windows Server 2012 регистрируются указанные ниже новые сообщения. Системы автоматического отслеживания работоспособности Active Directory, такие как System Center Operations Manager, должны вести наблюдение за этими событиями, так как все они важны, а некоторые являются признаком серьезных проблем с доменом.
How to use Dcdiag (examples)
DCDiag is very easy to use.
There are several different command line switches that can be used with Dcdiag, to view them all just use this command dcdiag /?
Here is an overview of the switches I’ll be using in the examples below.
/s: dcname switch is used to run Dcdiag against a remote server
/v: switch prints more detailed information about each test
/c: switch means comprehensive, this will run all tests including the dns test.
/q: switch will only print errors. This is useful as dcdiag can display a lot of information, if you want to see just the errors then use this switch.
/f: switch is used to redirect the results to a file.
TIP: When running dcdiag it will probably report some errors but this doesn’t necessarily mean you have issues with your domain controllers. For example, the command will query the system logs on the DC and display errors logs, but they could be errors from a computer or another server. Again this may not be a DC issue. You will just have to review and determine if it’s related or not.
Поиск проблемы
В большинстве случаев установка RSAT проходит без проблем. Однако есть две проблемы, с которыми вы можете столкнуться.
Первый — невозможность установить RSAT. Если это произойдет, убедитесь, что брандмауэр Windows включен. RSAT использует стандартный бэкэнд Windows Update и требует, чтобы брандмауэр был запущен и работал. Если он выключен, включите его и попробуйте снова установить RSAT.
Вторая проблема может возникнуть после установки. Некоторые пользователи пропускают вкладки или испытывают другие проблемы. Единственное решение проблем после установки — удалить и установить RSAT заново.
Если у вас есть проблемы с ADUC, вы должны проверить, правильно ли подключен его ярлык. Это должно привести к% SystemRoot% \ system32 \ dsa.msc. Если это не так, переустановите программу.