Hackware.ru

Добавление ролей и компонентов

Установка самой оси Microsoft Windows Server 2016 в рамках данной статьи рассматриваться не будет, только отдельно сама установка терминального сервера. На будущем терминальном сервере открываем диспетчер сервера через Панель управления ( Win + R Control) — Администрирование — Диспетчер серверов (Server Manager) или через команду «Выполнить» ( Win + R ServerManager). После чего переходим по вкладке Локальный сервер (Local Server)

Открываем мастер добавления ролей и компонентов, жмём далее, в типе установки отмечаем радиокнопкой пункт Установка ролей или компонентов (Role-based or feature-based installation), выбираем сервер, жмём далее, чекбоксом отмечаем Службы удаленных рабочих столов. В службах ролей отмечаем для установки две службы: Лицензирование удаленных рабочих столов (Remote Desktop Licensing) и Узел сеансов удаленных рабочих столов (Remote Desktop Session Host), жмём далее и потом установить. Дожидаемся конца установки и перезагружаем сервер, если это не было сделано автоматически по завершению установки.

Настройте единый вход

Единый вход при развертывании в качестве службы в Windows Server

После установки Windows Admin Center в Windows 10 все готово к использованию единого входа. Однако если вы собираетесь использовать Windows Admin Center в Windows Server, то перед использованием единого входа необходимо настроить в среде некоторую форму делегирования Kerberos. Делегирование настраивает компьютер шлюза как доверенный для делегирования к целевому узлу.

Используйте следующий пример PowerShell, чтобы настроить ограниченное делегирование на основе ресурсов в вашей среде. В этом примере показано, как настроить Windows Server для принятия делегирования из шлюза Windows Admin Center в домене contoso.com.

Чтобы удалить эту связь, выполните следующий командлет:

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 10–15 минут или больше (без учета репликации Active Directory) в зависимости от размера организации и количества дочерних доменов.

  • Компьютер, который вы используете для выполнения этих процедур, должен соответствовать требованиям к системе для Exchange.

  • Сведения о том, как проверить, соответствует ли Active Directory требованиям для Exchange:

    • Exchange 2019: .

    • Exchange 2016: .

  • Если в вашей организации несколько доменов Active Directory, рекомендуем следующий подход:

    • Выполняйте эти процедуры на сайте Active Directory, содержащем сервер Active Directory с каждого домена.
    • Установите первый сервер Exchange Server на сайте Active Directory, содержащем доступный для записи сервер глобального каталога с каждого домена.
  • Компьютер, используемый для выполнения всех процедур из этой статьи, должен иметь доступ к установочному файлу Setup.exe для Exchange.

    1. Скачайте последнюю версию Exchange. Дополнительные сведения см. в статье Обновления для Exchange Server.
    2. В проводнике щелкните правой кнопкой мыши скачанный ISO-файл образа Exchange и выберите пункт Подключить. Запомните, какая буква диска будет назначена виртуальному DVD-дисководу.
    3. Откройте окно командной строки Windows. Это можно сделать несколькими способами:
      • Нажмите клавиши Windows + R, чтобы открыть диалоговое окно Выполнить, введите cmd.exe и нажмите кнопку ОК.
      • Нажмите кнопку Пуск. В поле Поиск введите командная строка, а затем в списке результатов выберите Командная строка.

Примечание

  • Предыдущий переключатель /IAcceptExchangeServerLicenseTerms не будет работать начиная с накопительных обновлений (CU) за сентябрь 2021 г. Теперь необходимо использовать /IAcceptExchangeServerLicenseTerms_DiagnosticDataON или /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF для автоматической установки и установки по сценариям.

  • В примерах ниже используется переключатель /IAcceptExchangeServerLicenseTerms_DiagnosticDataON. Вы можете изменить переключатель на /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.

Этап 2. Подготовка Active Directory

После расширения схемы Active Directory вы можете подготовить другие части Active Directory для Exchange. На этом этапе Exchange создаст контейнеры, объекты и другие элементы в Active Directory, используемые для хранения информации. Коллекцию контейнеров, объектов, атрибутов и других элементов Exchange также называют организацией Exchange.

При подготовке Active Directory для Exchange действуют следующие требования:

  • Ваша учетная запись должна состоять в группе безопасности «Администраторы предприятия». Если вы пропустили этап 1, чтобы расширить схему с помощью команды /PrepareAD, используемая учетная запись также должна состоять в группе безопасности «Администраторы схемы».
  • Компьютер должен находиться на том же сайте и домене Active Directory, что и хозяин схемы, а также должен быть на связи со всеми доменами в лесу через TCP-порт 389.
  • Подождите, пока Active Directory завершит репликацию изменений схемы этапа 1 на все контроллеры доменов, прежде чем подготавливать Active Directory.
  • Вам нужно выбрать название организации Exchange. Оно используется в Exchange, обычно не видно пользователям, не влияет на функции Exchange и не ограничивает доступные электронные адреса.
    • Название организации не должно быть длиннее 64 символов и не может быть пустым.
    • Допустимые символы — от A до Z, от a до z, от 0 до 9, дефис или тире (-) и пробел, но пробелов не должно быть в начале и конце названия.
    • Указанное название организации невозможно изменить.

Чтобы подготовить Active Directory для Exchange, выполните следующую команду в окне командной строки Windows:

В этом примере используются установочные файлы Exchange на диске E:, а для организации Exchange задано название «Contoso Corporation».

Важно!

Если между вашей локальной организацией и Exchange Online настроено гибридное развертывание, добавьте к команде параметр /TenantOrganizationConfig.

Как и на этапе 1, вам придется подождать, пока Active Directory реплицирует изменения с этого этапа на все контроллеры доменов, а с помощью инструмента можно проверять ход выполнения репликации.

Миграция Вторых Контроллеров Домена

Теперь, когда первый DC обновлен, я собираюсь перенести роль FSMO на этот последний. Чтобы передать роль, я запускаю следующий сценарий из DC:

1
2
3

$Server=Get-ADDomainController-Identity» VMADS02″

Move-AddirectoryserverOperationmasterrole-Identity$Server-OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

Затем установите ISO на DC и запустите программу установки.exe. Выполните ту же процедуру, что и для первого контроллера домена.

После завершения миграции вы можете снова передать роль FSMO первоначальному владельцу:

1
2
3

$Server=Get-ADDomainController-Identity» VMADS01″

Move-AddirectoryserverOperationmasterrole-Identity$Server-OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

Не забудьте удалить свою учетную запись из групп администраторов предприятия и администраторов схемы.

Как убедиться, что все получилось?

Чтобы убедиться, что вы успешно подготовили Active Directory и домены для Exchange, воспользуйтесь одним из следующих способов:

Используйте редактор ADSI и сведения из таблиц, представленных в следующем разделе, чтобы убедиться, что указанные объекты содержат правильные значения для устанавливаемого выпуска Exchange. Дополнительные сведения о редакторе ADSI см

в статье Редактор ADSI (adsiedit.msc).

Внимание!
Никогда не меняйте значения в редакторе ADSI, если об этом вас не попросит специалист службы поддержки пользователей Майкрософт. Это может нанести вред организации Exchange и Active Directory.

Проверьте журнал установки Exchange, чтобы убедиться, что подготовка Active Directory успешно завершена

Дополнительные сведения см. в статье Проверка установки Exchange. Обратите внимание, что командлет Get-ExchangeServer невозможно использовать, пока на сайте Active Directory не будет установлен по крайней мере один сервер почтовых ящиков Exchange.

Оглавление

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory

В этой части мы установим Windows Server 2022 (Desktop Experience) (с графическим интерфейсом) и Windows Server Core 2022 (без графического интерфейса). В этой части мы ограничимся установкой, а уже в следующей части также познакомимся с относительно новым программным обеспечением Windows Admin Center, которое позволяет без труда подключаться и настраивать компьютеры (как серверы, так и рабочие станции). Особенно актуален Windows Admin Center при настройки сервера без графического интерфейса. Ещё мы познакомимся с командами PowerShell для первоначальной настройки Windows Server. Преимуществом PowerShell является возможность автоматизировать процесс настройки, используя скрипты PowerShell.

Возможности режимов работы и требования

для Windows Server 2016 требуется функциональный уровень леса Windows Server 2003. это значит, что перед добавлением контроллера домена, выполняющего Windows Server 2016 к существующему Active Directory лесу, режим работы леса должен быть Windows Server 2003 или более поздней версии. Если в лесу есть контроллеры домена под управлением Windows Server 2003 или новее, но режим работы леса соответствует Windows 2000, то установка также блокируется.

перед добавлением контроллеров домена Windows Server 2016 в лес необходимо удалить контроллеры домена Windows 2000. В этом случае порядок действий будет следующим.

  1. Установите контроллеры домена под управлением Windows Server 2003 или более поздней версии. Эти контроллеры домена можно развертывать в ознакомительной версии Windows Server. Для этого шага нужно также запустить программу adprep.exe для соответствующей операционной системы.
  2. Удалите контроллеры домена под управлением Windows 2000. В частности, надлежащим образом понизьте уровень контроллеров домена под управлением Windows Server 2000 или принудительно удалите их из домена и при помощи компонента «Пользователи и компьютеры Active Directory» удалите учетные записи для всех удаленных контроллеров домена.
  3. Повысьте режим работы леса до Windows Server 2003 или выше.
  4. Установите контроллеры домена, на которых выполняется Windows Server 2016.
  5. Удалите контроллеры домена под управлением более ранних версий Windows Server.

Откат функциональных уровней

После настройки режима работы леса (FFL) на определенное значение невозможно выполнить откат или понижение режима работы леса, за исключением следующих:

  • при обновлении с Windows Server 2012 R2 FFL можно уменьшить до Windows Server 2012 R2.
  • при обновлении с Windows server 2008 R2 FFL можно уменьшить его до Windows Server 2008 R2.

После того как для режима работы домена задано определенное значение, откат или понижение режима работы домена невозможно, за исключением следующих:

при повышении режима работы домена до Windows Server 2016 а также в том случае, если режим работы леса Windows Server 2012 или ниже, вы можете вернуть функциональный уровень домена к Windows Server 2012 или Windows Server 2012 R2.

Дополнительные сведения о возможностях, доступных при более низких режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).

Различие версий Windows Server 2022

Различные издания Windows Server различаются по набору функций, по установленным лимитам и блокировкам.

Имеются следующие издания:

  • Windows Server 2022 Standard (Стандартная)
  • Windows Server 2022 Datacenter (Центр обработки данных)

Полное сравнение вы найдёте на этой странице: https://docs.microsoft.com/ru-ru/windows-server/windows-server-2022/get-started/editions-comparison

Блокировки и ограничения

Блокировки и ограничения Windows Server 2022 Standard Windows Server 2022 Datacenter
Можно использовать как гостевую службу виртуализации Да; 2 виртуальные машины и один узел Hyper-V на лицензию Да; неограниченное количество виртуальных машин и один узел Hyper-V на лицензию.

Роли сервера

Доступны роли Windows Server Windows Server 2022 Standard Windows Server 2022 Datacenter
Hyper-V Да Да; в том числе экранированные виртуальные машины
Сетевой контроллер Нет Да

Возможности

Компоненты Windows Server, доступные для установки с помощью диспетчера серверов (или PowerShell) Windows Server 2022 Standard Windows Server 2022 Datacenter
Контейнеры Да (контейнеры Windows — без ограничений; контейнеры Hyper-V — до двух) Да (контейнеры Windows и контейнеры Hyper-V — без ограничений)
Поддержка защиты узла Hyper-V Нет Да

Как можно увидеть, издания различаются всего по нескольким пунктам. Цена Стандартного издания около тысячи долларов, цена Центра обработки данных около шести тысяч долларов.

Также различают

  • Windows Server (Desktop Experience) – сервер с графическим рабочим столом
  • Windows Server – сервер без графического рабочего стола стола (ещё называют Core)

Windows Server Core требует меньше места на установку и в четыре раза менее требователен к минимальному количеству оперативной памяти. Этот вариант предназначен для управления с помощью командной строки, PowerShell и Windows Admin Center. На самом деле, в Windows Server Core можно установить некоторую оснастку и делать настройку через графический интерфейс этих утилит.

Как и настольные ОС, существует локализованные версии Windows Server. Во время работы с моей переведённой на русский язык версией я столкнулся с несколькими проблемами. Критической стала невозможность установить Active Directory Domain Services из-за ошибки — данная ошибка будет приведена в одной из следующих частей. Я так и не смог решить эту проблему и перешёл на сервер на английском языке.

Вторая проблема также связана с ошибками и проблемами, но заключается в поиске информации. Если у вас что-то не работает, то скорее всего вы сможете найти решение своей проблемы на английском языке. Зачастую в инструкциях по исправлению проблем требуется запустить/остановить те или иные службы — вам непросто будет понять, во что переводчики превратили исходные названия служб.

Поэтому в данном цикле статей используется Windows Server на английском языке (в разделе по установке Active Directory Domain Services будет показано как установить эти службы ещё на русскоязычный сервер — по крайней мере, до того момента, когда у меня всё сломалось…).

Требования к базе данных конфигурации

В этом разделе описаны требования и ограничения для ферм AD FS, которые используют в качестве базы данных внутреннюю базу данных Windows (WID) или SQL Server соответственно.

WID

  • Профиль разрешения артефактов SAML 2.0 в ферме WID не поддерживается.

  • Обнаружение воспроизведения маркеров в ферме WID не поддерживается. (Эта функция используется только в сценариях, где AD FS выступает в качестве поставщика федерации и использует маркеры безопасности внешних поставщиков утверждений.)

В следующей таблице приведены сведения о количестве серверов AD FS, поддерживаемом для ферм WID и SQL Server.

От 1 до 100 отношений доверия с проверяющей стороной Более 100 отношений доверия с проверяющей стороной
1–30 узлов AD FS: поддерживается для WID 1–30 узлов AD FS: не поддерживается для WID — требуется SQL
Более 30 узлов AD FS: не поддерживается для WID — требуется SQL Более 30 узлов AD FS: не поддерживается для WID — требуется SQL

SQL Server

  • Для AD FS в Windows Server 2016 поддерживается SQL Server 2008 и более поздних версий.

  • В ферме SQL Server поддерживается как разрешение артефактов SAML, так и обнаружение воспроизведения маркеров.

Повышение сервера до контроллера домена

После завершения установки роли, если вы не закроете окно, вам будет предложено повысить сервер до контроллера домена (DC). Ссылка будет выделена синим текстом.

В качестве альтернативы можно открыть то же окно через сервер менеджер, как показано на рисунке ниже.

Нажмите на «Повысить роль этого сервера до уровня контроллера домена» (Promote server to domain controller). По сути, это мастер конфигурации развертывания Active Directory, который поможет вам создать первый лес в Active Directory.

В разделе «Конфигурация развертывания» (Deployment Configuration), включите опцию «Добавить новый лес» “Add a new forest”, а затем введите желаемое имя домена. В моем случае это office.local, и нажмите Next.

В разделе «Параметры контроллера домена» (Domain Controller Options) выберите функциональный уровень леса и домена. Если это ваш первый лес на Windows Server 2016, оставьте значения по умолчанию. В противном случае, если в вашей бизнес-инфраструктуре есть другие контроллеры домена, вам следует узнать их функциональный уровень, прежде чем приступать к необходимым действиям.

Включите опцию сервера системы доменных имен (DNS), чтобы также установить роль DNS на том же сервере, если вы не сделали этого раньше.

Также введите (дважды) пароль Directory Services Restore Mode (DSRM), обязательно запишите его в документации и нажмите Next, чтобы продолжить.

В подразделе «Параметры DNS» (DNS Options) вы увидите предупреждающее сообщение, но в данный момент оно не должно вас беспокоить. Просто нажмите “Next”, чтобы продолжить.

В разделе «Дополнительные параметры» (Additional Options) оставьте имя NetBIOS по умолчанию и нажмите Next, чтобы продолжить.

В разделе «Пути» (Paths) выберите, где на вашем сервере будут располагаться папки NTDS, SYSVOL и LOG. В моем случае я оставлю значения по умолчанию, вы можете выбрать другой диск в зависимости от ваших предпочтений и настроек.

В разделе «Просмотреть параметры» (Review Options) вы увидите сводку выбранных вами параметров. Убедившись, что вы не допустили ошибок, нажмите Next.

В разделе «Проверка предварительных требований» “Prerequisites Check” будут проверены предварительные условия. Здесь, если возникнет хотя бы одна ошибка, вы не сможете продолжить, и вам нужно будет ее исправить. В противном случае, если отображаются только предупреждающие сообщения (которые являются наиболее распространенными), но проверка прошла успешно, как показано на рисунке, нажмите кнопку Install, чтобы продолжить.

На этом этапе вам нужно будет подождать несколько минут, пока завершится процесс установки. Сразу после этого сервер автоматически перезагрузится.

После перезагрузки ваш первый контроллер домена будет готов и вы можете пользоваться всеми функциональностями, таким как например ADUC и ADAC.

Установка Windows Server Core 2022

Рассмотрим установку сервера без графического интерфейса и его начальную настройку.

Нажмите на кнопку «Next».

Нажмите «Install now».

Если вы хотите установить Windows Server 2022 в режиме Server Core (без GUI), то вам нужно выбрать “Windows Server 2022 Standard” или “Windows Server 2022 Datacenter”.

В данном разделе рассматривается установка Windows Server 2022 Standard. Выбираем «Windows Server 2022 Standard» и нажимаем «Next».

Принимаем условия лицензии:

Имеются два варианта установки:

  • Upgrade: обновление существующей ОС. Доступен только если у вас уже установлена предыдущая версия сервера. Многими не рекомендуется такой вариант, так как он зачастую приносит проблемы со стабильность.
  • Custom: свежая установка ОС. Эту опцию мы и выберем, поскольку делаем установку на чистый диск.

Теперь нужно выбрать диск для установки

Если у вас несколько дисков или несколько разделов на одном диске, то вам нужно проявить осторожность и внимательно сделать выбор, чтобы случайно не стереть диск или раздел, которые вы не планировали очищать.

В моём случае всего один пустой диск, поэтому я просто нажимаю кнопку «Next».

Дожидаемся завершения процесса установки.

Как и для настольной версии, необходимо установить пароль администратора:

Дважды введите и запомните пароль администратора сервера. Для переключения между строчками используйте клавишу Tab:

Когда введёте пароль и подтверждение, нажмите Enter.

Система сообщает, что пароль был успешно изменён.

Включение начнётся с запуска утилиты SConfig.

Через SConfig можно выполнить настройку сети и других свойств системы, но мы не будем на этом останавливаться, поскольку все эти настройки мы выполним более удобным способом. Мы изменим только имя компьютера, с автоматически сгенерированного на более информативное.

Для изменения имени компьютера, в приглашение (Enter number to select an option:) введите номер 2.

Введите новое имя компьютера:

Нам сообщается, что новое имя будет применено после перезагрузки компьютера. Чтобы перезагрузить компьютер прямо сейчас, введите «Y» и нажмите Enter.

Для разблокировки нажмите Ctrl+Alt+Delete:

Введите пароль администратора:

При включении сервера вновь запустится SConfig, если вы хотите отключить автозагрузку SConfig при входе в систему, в меню выберите опцию 15) Exit to command line (PowerShell) чтобы выйти в командную строку (PowerShell) и в командной строке выполните команду:

Set-SConfig -AutoLaunch $false

В следующей части будет рассказано о способах настройки серверов. Мы не останавливаемся более подробно на настройке Windows Server без графического интерфейса в командной строке, поскольку настройку можно выполнить в удобном веб-интерфейсе.

Если у вас нет возможности подключиться к серверу с другого компьютера, то настройку можно выполнить с помощью PowerShell — это также будет рассмотрено в следующей части.

Adprep и domainprep

при выполнении обновления на месте существующего контроллера домена до Windows Server 2016 операционной системы необходимо выполнить adprep/forestprep и adprep/domainprep вручную. Adprep/forestprep необходимо запустить в лесу только один раз. Средство adprep/domainprep необходимо запускать один раз в каждом домене, в котором имеются контроллеры домена, на которых выполняется обновление до Windows Server 2016.

если вы повышаете уровень сервера Windows Server 2016, вам не нужно запускать их вручную. Они встроены в PowerShell и диспетчер сервера возможности.

Дополнительные сведения о запуске Adprep см. в разделе Выполнение Adprep .

Управление привилегированным доступом

Управление привилегированным доступом (PAM) помогает устранить проблемы безопасности в средах Active Directory, которые вызываются методами кражи учетных данных, такими как Pass-The-Hash, Спиар фишинг и аналогичные типы атак. он предоставляет новое решение для административного доступа, настроенное с помощью Microsoft Identity Manager (MIM). PAM предоставляет следующие сведения:

  • Новый лес Active Directory бастиона, который подготавливается MIM. Лес бастиона имеет особое отношение доверия PAM с существующим лесом. Она предоставляет новую Active Directory среду, которая может быть свободна от вредоносных действий, и изоляция из существующего леса для использования привилегированных учетных записей.

  • новые процессы в MIM для запроса прав администратора, а также новые рабочие процессы на основе утверждения запросов.

  • новые участники безопасности теневой копии (группы), подготовленные в лесу бастиона, MIM в ответ на запросы прав администратора. Субъекты безопасности с тенью имеют атрибут, который ссылается на идентификатор безопасности группы администраторов в существующем лесу. Это позволяет теневой группе получать доступ к ресурсам в существующем лесу, не изменяя списки управления доступом (ACL).

  • Функция ссылок с истекшим сроком действия, которая обеспечивает членство, связанное с временем, в теневой группе. Пользователь может быть добавлен в группу только в течение достаточного времени, необходимого для выполнения административной задачи. Членство, привязанное к времени, выражается значением срока жизни, которое распространяется на время существования билета Kerberos.

    Примечание

    Ссылки с истекающим сроком действия доступны для всех связанных атрибутов. Но единственным примером является связь атрибутов Member/memberOf между группой и пользователем, когда полное решение, например PAM, предварительно настроено для использования срока действия ссылок.

  • Расширения центра распространения ключей встроены в Active Directory контроллеры домена, чтобы ограничить время жизни билета Kerberos минимальным значением срока жизни (TTL) в случаях, когда в административных группах есть несколько членов с ограниченным временем существования. Например, если вы добавляете к группе A с ограниченным временем жизни, то при входе в систему время существования билета TGT (Ticket-Grant ticket) будет равно времени, оставшегося в группе A. Если вы также являетесь членом другой группы B, которая имеет меньшее значение TTL, чем группа A, то время жизни TGT равно времени, оставшееся в группе б.

  • Новые возможности мониторинга, позволяющие легко определить, кто запросил доступ, какой доступ был предоставлен и какие действия были выполнены.

Требования к управлению привилегированным доступом

  • Диспетчер удостоверений (Майкрософт)

  • Active Directory функциональный уровень леса Windows Server 2012 R2 или более поздней версии.

Установка контроллера домена на Windows 2016 core

Установку будем проводить на операционной сисетме Windows 2016 core. Установку контроллера будем производить с созданием нового леса Active Directory и установкой DNS-севрера на самом контроллере домена. В качестве домена будем использоть имя test.un.

После установки операционной системы, логинемся и получаем доступ к командной строке windows.

Первым делом произведем предварительные настройки системы (сеть, имя компьютера, дата и время). Для этого воспользуемся утилитой sconfig

Производим настройку сети, для этого переходим в подраздел 8) Network Settings

Выбираем настройку какого интерфейса мы будем производить

Попадаем в меню настройки сети

Выбираем настройку ip-адреса и указываем что хотим выбрать статический ip-адрес

Далее вводим ip-адрес, маску подсети, шлюз по-умолчанию

Указываем DNS-сервер, мы укажем 127.0.0.1, так как DNS-сервер будет располагаться на контроллере домена

Для возврата в основное меню используем пункт меню 4) Return to Main Menu

Далее проведем настройку Даты и времени, для этого переходим в меню 9) Date and Time

И теперь произведем настройку имени компьютера, переходим в меню 2) Computer Name

После установки нового имени компьютера, производим перезагрузку компьютера

теперь все готово к установке контроллера домена в новом лесу Active Directory

Запускаем powershell

Устанавливаем Службу Active Directory

Вводим командлет Powerhell

	Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Теперь создаем лес и контроллер домена

Install-ADDSForest -ForestMode Win2012R2 -DomainMode Win2012R2 -DomainName test.un \ 
 -DomainNetbiosName TEST -InstallDns:$true -CreateDnsDelegation:$false -Force:$true
  • -ForestMode — Указываем функциональный уровень леса Active Directory;
  • -DomainMode — Указываем функциональный уровень домена ACtive Directory;
  • DomainName — Указываем имя домена;
  • DomainNetbiosName — Указываем NetBios-имя для домена;
  • -InstallDns — $true/$false устанавливать DNS-сервер на контроллер или нет;
  • -CreateDnsDelegation — $true/$false делигировать ли полномочия по управлению зоной стороннему DNS-серверу;
  • -Force — $true/$false автомотически принимать все предепреждения и напоминания

Указываем пароль администратора для режима восстановления

Будет произведена проверка возможности установки леса и домена, если все ок, то начнется установка

После успешного окончания установки, компьютер будет перезагружен

Все установка контроллера домена в новом лесу прошла успешно.

Далее для управления доменом можно использовать командлеты powershell или производить управление с удаленного коапьютера посредством RSAT.

Подготовка

Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.

Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings. Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.

192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.

192.168.0.254 — IP адрес шлюза.

Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector