По подразбиране Windows Server 2012 е инсталиран в Сървърно ядро (без графичен интерфейс и инструменти за графично управление). При тази конфигурация на ОС се постига минималната консумация на системни ресурси (памет, процесорно време) за нуждите на самата ОС и поради по-малкото количество код се намалява броят на уязвимостите и атакуващата повърхност на потенциалните атакуващи. Възможно е да се управлява такъв сървър чрез командния ред или дистанционно с помощта на различни конзоли.
Ролята на идеалния кандидат за хостинг на сървър на Windows 2012 в основен режим Контролер на домейни в Active Directoryу. Контролерът на домейн рядко се управлява локално от администратора на AD и практически не изисква никакви операции, които изискват задължителен достъп до сървъра. Всичко, от което се нуждаете от администратор, е да инсталирате Active Directory и да надстроите сървъра до ролята на AD контролер на домейна. Разбира се, контролерът на домейни на Windows 2012 може да бъде повдигнат в графичен режим (пример е описан в статията, Надстройване на Active Directory до Windows 2012) и след това се превключва обратно към Windows 2012 Core, но защо такива трудности, ако контролерът на домейн може да бъде разгърнат просто само команден ред.
В статията ще покажем как внедрете контролер на домейн в Windows Server 2012 с помощта на команди Powershell, Предоставя мощни възможности за автоматизация за разполагане на контролери на домейни в Windows Server 2012.
Както вероятно си спомняте, Microsoft реши да се откаже от командата DCPROMO, която е позната на много администратори, която позволява да се увеличи (и също така да се понижи) сървър-член до нивото на контролер на домейн, заменяйки функционалността с командлети на Powershell.
Интересуваме се от следните PoSh команди:
- Add-WindowsFeature AD-Domain-Services - инсталиране на ролята на ADDS (Active Directory Domain Service)
- Инсталирайте-ADDSForrest - инсталиране на нова гора (първи контролер на домейн в гората)
- Инсталирайте-ADDSDomain - Инсталирайте контролер на домейн в съществуваща гора
По-долу ще анализираме два сценария: инсталиране на първия контролер в нова AD гора и добавяне на допълнителен контролер на домейн към съществуващ домейн.
И в двата случая ролята на сървъра първо трябва да бъде инсталирана ADDS (Active Directory Domain Service). Командата Powershell, която изпълнява тази операция, изглежда така:
Add-WindowsFeature AD-Domain-Services
Инсталиране на допълнителен контролер в съществуващ AD домейн
Да приемем, че домейнът AD вече е разгърнат и от нас се изисква да инсталираме допълнителен контролер на домейн на Windows Server 2012.
Първо трябва да импортирате модула за внедряване на ADDS
Импорт-модул ADDSРазработка
Командата PoSh Install-ADDSDomainController използва нов контролер на домейни със следните параметри:
- Основна пътека: C: \ Windows \ NTDS
- Директория с регистрационни файлове: C: \ Windows \ NTDS
- SYSVOL директория: C: \ Windows \ SYSVOL
- RODC контролер: Не
- Глобален каталог: Да
- DNS сървър: Да
Проблемът обаче е, че в огромното мнозинство от случаите такива инсталационни параметри на контролера на домейна на новия системен администратор няма да отговарят.
Една модифицирана инсталационна команда за допълнителен контролер на домейн може да изглежда така (приемаме, че няма смисъл да описвате посочените параметри, тъй като техните имена говорят сами за себе си).
Install-ADDSDomainController -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainName 'corp.winitpro.ru' -InstallDns: $ true -LogPath 'C: \ Windows \ NTDS' -NoGlobalCatalog: $ false -SiteName По подразбиране-Име на първо място -SysvolPath 'E: \ SYSVOL' -NoRebootOnCompletion: $ true -Force: $ true
След като инсталацията на новия контролер на домейни приключи, ще трябва да рестартирате сървъра, като изпълните командата:
Изключване / r
Инсталиране на първия контролер в нов домейн с помощта на Powershell
Ако домейнът все още не е разгърнат, за да го инсталираме, ни трябва командата PoSh Install-ADDSForest, която създава първия контролер в новата гора на Active Directory.
Да предположим, че трябва да създадем нов домейн с име corp.winitpro.ru, нивото на домейна и гората е Windows 2012.
Install-ADDSForest -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainMode 'Win2012' -DomainName 'corp.winitpro.ru' -DomainNetbiosName 'CORP' -ForestMode 'Win2012' -InstallDo: $ true -ath C: \ Windows \ NTDS '-NoRebootOnCompletion: $ true -SysvolPath' E: \ SYSVOL '-Force: $ true
По време на изпълнението на командата ще трябва да посочите паролата за режим на възстановяване на Active Directory (парола за възстановяване на безопасен режим).
След като инсталацията приключи, сървърът трябва да се рестартира.
Още няколко полезни PowerShell команди за администратора на AD домейн контролер
Преименувайте името на първия AD сайт (по подразбиране е Default-First-Site-Name):
Get-ADReplicationSite | Преименуване-ADObject -NewName „MainOffice“
Добавете подмрежа към AD сайта:
New-ADReplicationSubnet -Name „10.10.10.0/24“ -Site MainOffice
Вземете списък с всички подмрежи:
Get-ADReplicationSubnet -Filter *
Активирайте AD кошчето (Кошче - Научете повече за Active Directory Кошче в Windows Server 2012):
Активиране-ADOtionalFeature „Recycle Bin Feature“ -Scope Forest -Carget 'corp.winitpro.ru'-потвърди: $ false
Изтриване на гората и домейна (предполага се, че в домейна е оставен последен AC):
Деинсталиране-ADDSDomainController-LastDoaminControllerInDomain -RemoveApplicationPartitions