Domyślnie system Windows Server 2012 jest zainstalowany Rdzeń serwera (bez interfejsu graficznego i graficznych narzędzi do zarządzania). W tej konfiguracji systemu operacyjnego minimalne zużycie zasobów systemowych (pamięci, czasu procesora) jest osiągane na potrzeby samego systemu operacyjnego, a ze względu na mniejszą ilość kodu zmniejsza się liczba luk w zabezpieczeniach i powierzchnia ataku potencjalnych napastników. Takim serwerem można zarządzać za pomocą wiersza poleceń lub zdalnie, używając różnych konsol.
Rola idealnego kandydata do hostingu na serwerze Windows 2012 w trybie Core Kontroler domeny Active Directoryy. Kontrolerem domeny rzadko zarządza lokalnie administrator AD i praktycznie nie wymaga żadnych operacji wymagających obowiązkowego dostępu do serwera. Wszystko, czego potrzebujesz od administratora, to zainstalowanie usługi Active Directory i uaktualnienie serwera do roli kontrolera domeny AD. Oczywiście kontroler domeny systemu Windows 2012 można również uruchomić w trybie graficznym (przykład opisano w artykule Uaktualnianie usługi Active Directory do systemu Windows 2012), a następnie przełącza się z powrotem na system Windows 2012 Core, ale po co takie trudności, jeśli kontroler domeny można wdrożyć po prostu za pomocą wiersz poleceń.
W artykule pokażemy, jak to zrobić wdróż kontroler domeny w systemie Windows Server 2012 za pomocą poleceń programu Powershell, Zapewnia potężne możliwości automatyzacji do wdrażania kontrolerów domeny w systemie Windows Server 2012.
Jak zapewne pamiętasz, Microsoft zdecydował się porzucić komendę DCPROMO, którą zna wielu administratorów, co pozwala im podnieść (i obniżyć) serwer członkowski do poziomu kontrolera domeny, zastępując funkcjonalność poleceniami cmdlet Powershell.
Interesują nas następujące polecenia PoSh:
- Add-WindowsFeature AD-Domain-Services - instalacja roli ADDS (Active Directory Domain Service)
- Zainstaluj-ADDSForrest - instalowanie nowego lasu (pierwszy kontroler domeny w lesie)
- Install-ADDSDomain - Zainstaluj kontroler domeny w istniejącym lesie
Poniżej przeanalizujemy dwa scenariusze: zainstalowanie pierwszego kontrolera w nowym lesie AD i dodanie dodatkowego kontrolera domeny do istniejącej domeny.
W obu przypadkach rola serwera musi być najpierw zainstalowana ADDS (usługa domenowa w usłudze Active Directory). Polecenie Powershell, które wykonuje tę operację, wygląda następująco:
Add-WindowsFeature AD-Domain-Services
Instalowanie dodatkowego kontrolera w istniejącej domenie AD
Załóżmy, że domena AD jest już wdrożona i musimy zainstalować na niej dodatkowy kontroler domeny w systemie Windows Server 2012.
Najpierw musisz zaimportować moduł wdrażania ADDS
Moduł importu ADDSDeployment
Polecenie PoSh Install-ADDSDomainController wdraża nowy kontroler domeny z następującymi parametrami:
- Ścieżka podstawowa: C: \ Windows \ NTDS
- Katalog z dziennikami: C: \ Windows \ NTDS
- Katalog SYSVOL: C: \ Windows \ SYSVOL
- Kontroler RODC: Nie
- Katalog globalny: Tak
- Serwer DNS: Tak
Problemem jest jednak to, że w zdecydowanej większości przypadków takie parametry instalacji kontrolera domeny nowego administratora systemu nie będą odpowiednie.
Zmodyfikowane polecenie instalacji dodatkowego kontrolera domeny może wyglądać tak (zakładamy, że opisywanie określonych parametrów nie ma sensu, ponieważ ich nazwy mówią same za siebie).
Install-ADDSDomainController -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainName 'corp.winitpro.ru' -InstallDns: $ true -LogPath 'C: \ Windows \ NTDS' -NoGlobalCatalog: $ false -SiteName ' Default-First-Site-Name '-SysvolPath' E: \ SYSVOL '-NoRebootOnCompletion: $ true -Force: $ true
Po zakończeniu instalacji nowego kontrolera domeny musisz ponownie uruchomić serwer, uruchamiając polecenie:
Shutdown / r
Instalowanie pierwszego kontrolera w nowej domenie za pomocą programu Powershell
Jeśli domena nie została jeszcze wdrożona, do jej zainstalowania potrzebujemy polecenia PoSh Install-ADDSForest, który tworzy pierwszy kontroler w nowym lesie Active Directory.
Załóżmy, że musimy utworzyć nową domenę o nazwie corp.winitpro.ru, poziom domeny i lasu to Windows 2012.
Install-ADDSForest -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainMode 'Win2012' -DomainName 'corp.winitpro.ru' -DomainNetbiosName 'CORP' -ForestMode 'Win2012' -InstallDnsP $ true -L C: \ Windows \ NTDS '-NoRebootOnCompletion: $ true -SysvolPath' E: \ SYSVOL '-Force: $ true
Podczas wykonywania polecenia konieczne będzie podanie hasła do trybu odzyskiwania usługi Active Directory (hasło odzyskiwania w trybie awaryjnym).
Po zakończeniu instalacji serwer musi zostać ponownie uruchomiony.
Kilka innych przydatnych poleceń PowerShell dla administratora kontrolera domeny AD
Zmień nazwę pierwszej witryny AD (domyślnie jest to Default-First-Site-Name):
Get-ADReplicationSite | Zmień nazwę-ADObject -NewName „MainOffice”
Dodaj podsieć do witryny AD:
Nowa-ADReplicationSubnet -Name „10.10.10.0/24” -Strona MainOffice
Uzyskaj listę wszystkich podsieci:
Get-ADReplicationSubnet -Filter *
Włącz Kosz AD (Kosz - Dowiedz się więcej o Koszu Active Directory w systemie Windows Server 2012):
Enable-ADOptionalFeature „Recycle Bin Feature” -Scope Forest -Target 'corp.winitpro.ru'-confirm: $ false
Usuń las i domenę (zakłada się, że w domenie pozostało ostatnie AC):
Uninstall-ADDSDomainController-LastDoaminControllerInDomain -RemoveApplicationPartitions