Упрощенное администрирование active directory domain services в windows server 2012. часть 3

Репликация Active Directory средствами Windows PowerShell

В Windows Server 2012 добавлены дополнительные командлеты для репликации Active Directory в модуль Active Directory для Windows PowerShell. Они позволяют настраивать новые и существующие сайты, подсети, подключения, связи сайтов и мосты. Они также возвращают метаданные репликации Active Directory, состояние репликации, а также актуальные данные об очередях и векторе синхронизации версий. Командлеты репликации в сочетании с другими командлетами модуля Active Directory позволяют администрировать весь лес, используя только Windows PowerShell. Все это дает новые возможности администраторам, желающим предоставлять ресурсы и управлять системой Windows Server 2012 без использования графического интерфейса, что сокращает уязвимость операционной системы к атакам и требования к обслуживанию. Это приобретает особое значение, если серверы необходимо развернуть в сетях с высоким уровнем защиты, таких как сети SIPR и корпоративные сети периметра.

Подробнее о топологии сайтов и репликации доменных служб Active Directory см. в разделе Технический справочник по Windows Server.

Особенности обновления и конвертации Windows Server

Чтобы обновить Windows Server 2012 до Server 2016, вам необходимо учесть следующие требования:

Все редакции Windows Serer 2016 бывают только 64 битные (обновление с 32-разрядной Windows Server 2008 до 64-разрядной версии невозможно).

Windows Server 2012 можно обновить до Server 2016, более ранние версии Windows Server такой сценарий не поддерживают.

Не поддерживается обновление с одной редакции на другую ( т.е. нельзя обновить Windows Server 2012 Standart до версии Windows Server 2016 Datacenter).

• Обновление с одного языка на другой не поддерживается.
• Обновление, с переключением из режима Server Core в режим полноценного GUI (и наоборот) также не поддерживается.
• Обновление ранее установленной Windows Server на пробную версию Windows Server не поддерживается. Ознакомительные версии должны быть установлены в режиме чистой установки.
• При апгерейде отключите антивирусную защиту, поскольку она замедляет процесс, так как антивирус сканирует каждый файл, копируемый на диск.
• Если сервер использует NIC Teaming, отключите его. Вы можете включить NIC Teaming после завершения обновления ОС сервера.
• Прежде чем обновлять сервер создайте его резервную копию. При возникновении ошибок или проблем у вас будет возможность откатить систему к исходному состоянию.
• Проверьте, нет ли у в журналах сервера проблем и ошибок, если они есть – их необходимо устранить. В противном случае это может привести к ошибкам, которые способны спровоцировать сбой процесса обновления.

Параметры удаления и предупреждения AD DS

Чтобы получить справку об использовании страницы «Просмотреть параметры», см. главу «Просмотр параметров»

Если на контроллере домена размещены дополнительные роли, такие как роль DNS-сервера или сервера глобального каталога, появляется следующая страница с предупреждением:

Чтобы подтвердить, что дополнительные роли более не будут доступны, сперва нужно нажать кнопку Продолжить удаление, а затем Далее.

При принудительном удалении контроллера домена все изменения объектов Active Directory, которые не были реплицированы на другие контроллеры в домене, будут утеряны. Помимо этого, если на контроллере домена размещены роли хозяина операций, глобального каталога или роль DNS-сервера, критические операции в домене и лесе могут быть изменены следующим образом. Перед удалением контроллера домена, на котором размещена роль хозяина операций, необходимо попытаться переместить роль на другой контроллер домена. Если передать эту роль невозможно, сначала удалите AD DS с этого компьютера, а затем воспользуйтесь служебной программой Ntdsutil.exe для захвата роли. Используйте программу Ntdsutil на контроллере домена, для которого планируется захватить роль; по возможности используйте последний партнер репликации на том же сайте, что и данный контроллер домена. Дополнительные сведения о переносе и захвате ролей хозяина операций см. в статье 255504 базы знаний Майкрософт. Если мастер не может определить, размещена ли на контроллере домена роль хозяина операций, необходимо запустить команду run netdom.exe, чтобы проверить, выполняет ли данный контроллер домена роли хозяина операций.

• Глобальный каталог: пользователи могут испытывать проблемы со входом в домены леса. Перед удалением сервера глобального каталога необходимо убедиться, что в этом лесу и на сайте достаточно серверов глобального каталога для обслуживания входа пользователей в систему. При необходимости следует назначить другой сервер глобального каталога и обновить информацию клиентов и приложений.

• DNS-сервер: все данные DNS, хранящиеся в интегрированных зонах Active Directory, будут утеряны. После удаления AD DS этот DNS-сервер не сможет выполнять разрешение имен для зон DNS, которые были интегрированы в Active Directory. Следовательно, рекомендуется обновить DNS-конфигурацию всех компьютеров, которые в настоящий момент обращаются к IP-адресу этого DNS-сервера для разрешения имен с IP-адресом нового DNS-сервера.

• Хозяин инфраструктуры: клиенты в домене могут испытывать трудности с определением местоположения объектов в других доменах. Перед продолжением перенесите роль хозяина инфраструктуры на контроллер домена, не являющийся сервером глобального каталога.

• Хозяин RID: возможны проблемы при создании новых учетных записей пользователей, компьютеров и групп безопасности. Перед продолжением перенесите роль хозяина RID на другой контроллер домена в том же домене.

• Эмулятор основного контроллера домена (PDC): операции эмулятора PDC, например обновление групповых политик и смена пароля для учетных записей, отличных от учетных записей AD DS, будут осуществляться неправильно. Перед продолжением перенесите роль хозяина эмулятора PDC на другой контроллер домена в том же домене.

• Хозяин схемы больше не сможет изменять схему этого леса. Перед продолжением перенесите роль хозяина схемы на контроллер домена в корневом домене леса.

• Хозяин именования доменов: добавлять или удалять домены в этом лесу будет уже невозможно. Перед продолжением перенесите роль хозяина именования доменов на контроллер домена в корневом домене леса.

• Все разделы каталога приложений на этом контроллере домена Active Directory будут удалены. Если контроллер домена содержит последний репликат одного или нескольких разделов каталога приложений, по завершении операции удаления эти разделы перестанут существовать.

Обратите внимание, что домен прекратит существование после удаления доменных служб Active Directory с последнего контроллера домена в домене. Если контроллер домена является DNS-сервером, которому делегированы права на размещение зоны DNS, на следующей странице можно будет удалить DNS-сервер из делегирования зоны DNS

Если контроллер домена является DNS-сервером, которому делегированы права на размещение зоны DNS, на следующей странице можно будет удалить DNS-сервер из делегирования зоны DNS.

Дополнительные сведения об удалении доменных служб Active Directory см. в разделах Удаление доменных служб Active Directory (уровень 100) и Понижение уровня контроллеров домена и доменов (уровень 200).

Устаревание NTFRS

Обзор

FRS не рекомендуется использовать в Windows Server 2012 R2. Прекращение поддержки FRS достигается путем применения минимального уровня работы домена (DFL) Windows Server 2008. Это принудительное применение присутствует только в том случае, если новый домен создается с помощью диспетчер сервера или Windows PowerShell.

Параметр -DomainMode используется с командлетами Install-ADDSForest или Install-ADDSDomain для указания функционального уровня домена. Поддерживаемые значения для этого параметра могут быть допустимым целым числом или соответствующим строковым значением перечисления. Например, чтобы задать уровень режима домена Windows Server 2008 R2, можно указать значение 4 или Win2008R2. При выполнении этих командлетов из Server 2012 R2 допустимые значения включают значения для Windows Server 2008 (3, Win2008) Windows Server 2008 R2 (4, Win2008R2) Windows Server 2012 (5, Win2012) и Windows Server 2012 R2 (6, Win2012R2). Режим работы домена не может быть ниже режима работы леса, но может быть выше него. Так как FRS не рекомендуется использовать в этом выпуске, Windows Server 2003 (2, Win2003) не является распознаваемым параметром с этими командлетами при выполнении из Windows Server 2012 R2.

Additional Options

The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. For example, if you provided the fully qualified domain name of corp.contoso.com, the default NetBIOS domain name is CORP.

If the name is 15 characters or less and does not conflict with another NetBIOS name, it is unaltered. If it does conflict with another NetBIOS name, a number is appended to the name. If the name is more than 15 characters, the wizard provides a unique, truncated suggestion. In either case, the wizard first validates the name is not already in use via a WINS lookup and NetBIOS broadcast.

For more information on valid domain names, see KB article Naming conventions in Active Directory for computers, domains, sites, and OUs.

Конфигурация развертывания

Диспетчер серверов начинает установку всех контроллеров домена со страницы Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана. Например, при создании нового леса страница «Параметры подготовки » не отображается, но если установить первый контроллер домена под управлением Windows Server 2012 в существующем лесу или домене.

На этой странице выполняются проверочные тесты, а затем часть проверок предварительных требований. Например, если попытаться установить первый контроллер домена Windows Server 2012 в лесу с функциональным уровнем Windows 2000, на этой странице появится ошибка.

При создании нового леса отображаются следующие параметры.

• При создании нового леса требуется указать имя корневого домена леса. Корневое доменное имя леса не может быть однонаклейным (например, оно должно быть «contoso.com» вместо contoso). Оно должно использовать разрешенные контексты именования домена DNS. Можно указать международное доменное имя (IDN). Дополнительные сведения о контекстах именования домена DNS см. в статье базы знаний .

• Имена лесов Active Directory не должны совпадать с внешними именами DNS. Например, если ИСПОЛЬЗУЕТся http://contoso.comURL-адрес DNS в Интернете, необходимо выбрать другое имя для внутреннего леса, чтобы избежать будущих проблем совместимости. Данное имя должно быть уникальным и достаточно редким для веб-трафика, например corp.contoso.com.

• Вы должны входить в группу администраторов сервера, на котором нужно создать новый лес.

Дополнительные сведения о создании леса см. в разделе Установка нового леса Active Directory для Windows Server 2012 (уровень 200).

При создании нового домена отображаются следующие параметры.

Примечание

При создании нового домена дерева вместо имени родительского домена необходимо указать имя корневого домена леса, причем остальные страницы и параметры мастера остаются без изменений.

• Чтобы перейти к родительскому домену или дереву Active Directory, необходимо нажать кнопку Выбрать или ввести имя допустимого родительского домена или дерева. Затем следует ввести имя нового домена в поле Новое имя домена.

• Домен дерева: необходимо допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям DNS-имени домена.

• Дочерний домен: необходимо допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям DNS-имени домена.

• Мастер настройки доменных служб Active Directory запрашивает учетные данные домена, если текущие учетные данные не для этого домена. Для предоставления учетных данных необходимо нажать кнопку Изменить.

Дополнительные сведения о создании домена см. в разделе Установка нового дочернего объекта Active Directory или домена дерева для Windows Server 2012 (уровень 200).

При добавлении нового контроллера домена к существующему домену отображаются следующие параметры.

• Чтобы перейти к домену, необходимо нажать кнопку Выбрать или указать допустимое имя домена.

• При необходимости диспетчер серверов запрашивает действующие учетные данные. Для установления дополнительного контроллера домена требуется членство в группе администраторов домена.

  Кроме того, для установки первого контроллера домена под управлением Windows Server 2012 в лесу требуются учетные данные, включающие членство в группах администраторов предприятия и администраторов схем. Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы.

Дополнительные сведения о добавлении контроллера домена в существующий домен см. в разделе Установка реплики в контроллере домена Windows Server 2012 в существующем домене (уровень 200).

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет

Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно

Примечание: некоторые рассуждения, а также множество ссылок на полезный материал, вы можете найти в моей статье Пара слов про именование доменов Active Directory. Рекомендую ознакомиться с ней, а также со списком использованных источников.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Примечание: отключение синхронизации с хостом виртуализации — самый простой и быстрый вариант. Тем не менее, это не best practic. Согласно рекомендациям Microsoft, нужно отключать синхронизацию с хостом лишь частично . Для понимания принципа работы читайте официальную документацию , которая в последние годы радикально подскочила вверх по уровню изложения материала.

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS :

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Обязательный профиль пользователя

Сначала создайте профиль пользователя по умолчанию с нужными настройками, запустите Sysprep с параметром CopyProfile в файле ответов значение True , скопируйте настроенный профиль пользователя по умолчанию в сетевую папку, а затем переименуйте профиль, чтобы сделать его обязательным.

Создание профиля пользователя по умолчанию

1. Войдите на компьютер, на котором работает Windows 10 в качестве члена локальной группы администраторов. Не используйте учетную запись домена.

   Примечание.

   Используйте лабораторию или дополнительный компьютер, на котором выполняется чистая установка Windows 10, чтобы создать профиль пользователя по умолчанию. Не используйте компьютер, необходимый для бизнеса (то есть рабочий компьютер). Этот процесс удаляет все учетные записи домена с компьютера, включая папки профилей пользователей.

2. Настройте параметры компьютера, которые необходимо включить в профиль пользователя. Например, можно настроить параметры фона рабочего стола, удалить приложения по умолчанию, установить бизнес-приложения и т. д.

   Примечание.

   В отличие от предыдущих версий Windows, нельзя применить макет начального экрана и панели задач с помощью обязательного профиля. Альтернативные методы настройки меню «Пуск» и панели задач см. в разделе .

3. Создайте файл ответов (Unattend.xml), который задает для параметра CopyProfileзначение True. Параметр CopyProfile заставляет Sysprep скопировать папку профиля текущего вошедшего пользователя в профиль пользователя по умолчанию. Для создания файла Unattend.xml можно использовать диспетчер системных образов Windows, который входит в пакет средств оценки и развертывания Windows (ADK).

4. Удалите с компьютера любое приложение, которое вам не нужно или не нужно. Примеры удаления Windows 10 приложения см. в разделе Remove-AppxProvisionedPackage. Список приложений, которые можно удалить, см. в статье Общие сведения о различных приложениях, включенных в Windows 10.

   Примечание.

   Настоятельно рекомендуется удалить ненужные или ненужные приложения, так как это ускорит вход пользователей.

5. В командной строке введите следующую команду и нажмите клавишу ВВОД.

   (Sysprep.exe находится по адресу: C:\Windows\System32\sysprep. По умолчанию Sysprep ищет unattend.xml в этой же папке.)

   Совет

   Если появляется сообщение об ошибке «Sysprep не удалось проверить установку Windows», откройте %WINDIR%\System32\Sysprep\Panther\setupact.log и найдите следующую запись:

   Используйте командлет Remove-AppxProvisionedPackage и Remove-AppxPackage -AllUsers в Windows PowerShell, чтобы удалить приложение, указанное в журнале.

6. Процесс sysprep перезагружает компьютер и запускается на экране первого запуска. Завершите настройку, а затем войдите на компьютер с помощью учетной записи с правами локального администратора.

7. Щелкните правой кнопкой мыши Пуск, перейдите к панель управления (просмотр по большим или маленьким значкам)>>Расширенные системные параметры и выберите пункт Параметры в разделе Профили пользователей.

8. В разделе Профили пользователей щелкните Профиль по умолчанию, а затем нажмите кнопку Копировать.

9. В разделе Копировать в в разделе Разрешено использовать нажмите кнопку Изменить.

10. В поле Выбор пользователя или группы в поле Введите имя объекта для выбора введите , нажмите кнопку Проверить имена, а затем нажмите кнопку ОК.

11. В поле Копировать в поле Копировать профиль введите путь и имя папки, в которой требуется сохранить обязательный профиль. Имя папки должно использовать правильное для версии операционной системы. Например, имя папки должно заканчиваться на «.v6», чтобы определить его как папку профиля пользователя для Windows 10 версии 1607.

    • Если устройство присоединено к домену и вы вошли с учетной записью, которая имеет разрешения на запись в общую папку в сети, можно ввести путь к общей папке.

    • Если устройство не присоединено к домену, вы можете сохранить профиль локально, а затем скопировать его в общую папку.

12. Нажмите кнопку ОК , чтобы скопировать профиль пользователя по умолчанию.

Как сделать профиль пользователя обязательным

1. В проводник откройте папку, в которой хранится копия профиля.

   Примечание.

   Если папка не отображается, щелкните Просмотр>параметров>Изменить папку и параметры поиска. На вкладке Вид выберите Показать скрытые файлы и папки, снимите флажок Скрыть защищенные системные файлы, нажмите кнопку Да , чтобы подтвердить отображение файлов операционной системы, а затем нажмите кнопку ОК , чтобы сохранить изменения.

   

   

   

   

   

   

   

   

   

   

2. Переименуйте в .

Регистрация DNS-имени с помощью регистратора Интернета

Мы рекомендуем зарегистрировать DNS-имена для самых верхних внутренних и внешних пространств имен DNS в регистраторе Интернета. Включает корневой домен леса любых лесов Active Directory, если такие имена не являются поддоменами DNS-имен, зарегистрированных по имени организации (например, корневой домен леса «corp.example.com» является поддоменом внутреннего пространства имен example.com.) При регистрации DNS-имен в регистраторе Интернета это позволяет DNS-серверам Интернета разрешать домен сейчас или в определенный момент времени существования леса Active Directory. Кроме того, эта регистрация помогает предотвратить возможные конфликты имен другими организациями.

Настройка DNS сервера

После выполнения этих шагов роль DNS Server (DNS-сервер) будет установлена на ком­пьютере с Windows Server 2008 R2, но не сконфигурирована. Далее описаны шаги, необхо­димые для ее настройки.

1. Откройте консоль Server Manager (Диспетчер сервера).
2. Разверните последовательно узлы Roles (Роли), DNS Server (DNS-сервер) и DNS, по­сле чего щелкните на имени сервера DNS.
3. В меню Action (Действие) выберите пункт Configure a DNS Server (Конфигурация DNS-сервера).
4. На странице приветствия мастера настройки сервера DNS (Configure a DNS Server Wizard) щелкните на кнопке Next (Далее).
5. Выберите переключатель Create Forward and Reverse Lookup Zones (Recommended for Large Networks) (Создать зоны прямого и обратного просмотра (рекомендуется для больших сетей)) и щелкните на кнопке Next.
6. Выберите вариант Yes, Create a Forward Lookup Zone Now (Recommended) (Да, соз­дать зону прямого просмотра сейчас (рекомендуется)) и щелкните на кнопке Next.
7. Укажите, зону какого типа требуется создать, в данном случае выбрав вариант Primary Zone (Первичная зона), и щелкните на кнопке Next. Если сервер является контрол­лером домена с доступом для записи, для выбора будет также доступен флажок Store Zone in Active Directory (Сохранить зону в Active Directory).
8. В случае сохранения зоны в Active Directory выберите область репликации и щелкни­те на кнопке Next.
9. Введите полностью определенное доменное имя зоны (FQDN) в поле Zone Name (Имя зоны) и щелкните на кнопке Next.
10. На этом этапе в случае создания не интегрируемой с AD зоны можно либо создать новый текстовый файл для зоны, либо импортировать уже существующий. В данном случае выберите вариант Create a New File with This File Name (Создать новый файл с таким именем) и оставьте предлагаемые по умолчанию параметры, после чего для продолжения щелкните на кнопке Next.
11. На следующей странице будет предложено разрешить или запретить прием дина­мических обновлений сервером DNS. В рассматриваемом примере разрешите DNS-серверу принимать динамические обновления, выбрав переключатель Allow Both Nonsecure and Secure Updates (Разрешать как безопасные, так небезопасные обнов­ления), и щелкните на кнопке Next.
12. На следующей странице предлагается создать зону обратного просмотра. В данном случае выберите переключатель Yes, Create a Reverse Lookup Zone Now (Да, создать зону обратного просмотра сейчас) и щелкните на кнопке Next.
13. Укажите, что зона обратного просмотра должна представлять собой первичную зону, выбрав перелючатель Primary Zone (Первичная зона), и щелкните на кнопке Next.
14. В случае сохранения этой зоны в Active Directory выберите область репликации и щелкните на кнопке Next.
15. Оставьте выбранным предлагаемый по умолчанию вариант IPv4 Reverse Lookup Zone (Зона обратного просмотра IPv4) и щелкните на кнопке Next.
16. Введите идентификатор сети для зоны обратного просмотра и щелкните на кноп­ке Next. (Как правило, в качестве сетевого идентификатора вводится первый набор октетов из IP-адреса зоны. Например, если в сети используется диапазон IP-адресов класса С 192.168.3.0/24, то в качестве сетевого идентификатора могут быть введено значение 192.168.3.
17. В случае создания не интегрируемой с AD зоны будет снова предложено либо создать новый файл для зоны, либо импортировать уже существующий. В рассматриваемом примере выберите переключатель Create a New File with This File Name (Создать но­вый файл с таким именем) и щелкните на кнопке Next.
18. После этого появится приглашение указать, должны ли быть разрешены динами­ческие обновления. Для целей этого примера выберите переключатель Allow Both Nonsecure and Secure Updates (Разрешать как безопасные, так и небезопасные об­новления) и щелкните на кнопке Next.
19. На следующей странице будет предложено настроить параметры ретрансляторов, о которых более подробно речь пойдет в разделе «Зоны DNS» далее в главе. В рассмат­риваемом примере выберите переключатель No, It Should Not Forward Queries (Нет, не следует переадресовывать запросы) и щелкните на кнопке Next.
20. На последнем экране будут представлены сводные сведения о выбранных для внесе­ния и добавления в базу данных DNS изменениях и зонах. Щелкните на кнопке Finish (Готово), чтобы внести все эти изменения и создать нужные зоны.

Рекомендуем для просмотра:

• Зоны DNS — 22/01/2013 04:20
• Записи ресурсов DNS — 22/01/2013 04:16
• Дополнительное конфигурирование DNS — 21/01/2013 05:53

DNS Options and DNS Delegation Credentials

The DNS Options page enables you to configure DNS delegation and provide alternate DNS administrative credentials.

You cannot configure DNS options or delegation in the Active Directory Domain Services Configuration Wizard when installing a new Active Directory Forest Root Domain where you selected the DNS server on the Domain Controller Options page. The Create DNS delegation option is available when creating a new forest root DNS zone in an existing DNS server infrastructure. This option enables you to provide alternate DNS administrative credentials that have the rights to update DNS zone.

For more information about whether you need to create a DNS delegation, see Understanding Zone Delegation.