Windows Server Core эта хорошая платформа для размещения роли контроллера домена Active Directory из за уменьшенных требования к ресурсам, повышенной стабильности и безопасности (за счет меньшего количества кода и обновлений). В этой статье мы покажем, как установить контроллер домена в новом или существующем лесу Active Directory на Windows Server Core 2016 из консоли с помощью команд PowerShell.
Установка контроллера домена Active Directory с помощью PowerShell
Установите Windows Server Core на новый хост (физический или виртуальный), выполните базовую настройку нового сервера: задайте имя сервера, сетевые настройки (статический IP адрес, маску сети, шлюз, DNS), дату/время, часовой пояс и т.д.
Rename-Computer -NewName spb-dc03
Get-NetAdapter
$ip = "192.168.113.11"
$gw="192.168.113.1"
$dns = "192.168.13.11"
New-NetIPAddress -InterfaceAlias Ethernet -IPAddress $ip -AddressFamily IPv4 -PrefixLength 24 –DefaultGateway $gw
Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses $dns
Следующий шаг – установка роли Active Directory Domain Services (ADDS). Для этого нужно в консоли PowerShell выполнить команду:
Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose
Проверим, что роль AD-Domain-Services установлена:
Get-WindowsFeature -Name *AD*
[/alert]
После установки роли ADDS можно использовать командлеты из модуля ADDSDeployment для развертывания нового домена, леса или контроллера домена:
Get-Command -Module ADDSDeployment
Есть три возможных дальнейших сценария:
- Установка нового леса Active Directory (пример команды:
Install-ADDSForest -DomainName winitpro.ru -ForestMode Win2012R2 -DomainMode Win2012R2 -DomainNetbiosName WINITPRO -InstallDns:$true
- Командлет
Install-ADDSDomain
позволяет создать новый домен в существующем лесу Active Directory; -
Install-ADDSDomainController
– позволяет добавить новый контроллер домена в существующий домен Active DirectoryЕсли вам нужно создать RODC контроллера домена, используйте командлетAdd-ADDSReadOnlyDomainControllerAccount
.
В большинстве случае вы будете использовать 3 сценарий — добавление дополнительного контроллера домена в существующий домен Active Directory
Dcdiag /v
и проверьте репликацию AD (
repadmin /showrepl
и
repadmin /replsum
). Убедитесь, что у вас есть актуальная резервная копия контроллеров домена.В самом простом варианте, когда вам нужно добавить новый дополнительный DC в Default-First-Site-Name сайт, выполните команду
Install-ADDSDomainController -DomainName "test.com" -InstallDns -Credential (get-credential TEST\Administrator) -DatabasePath "D:\ADDS\DB" -LogPath "D:\ADDS\Log" -SysvolPath "D:\ADDS\SYSVOL"
%SYSTEMROOT%\NTDS
и
%SYSTEMROOT%\SYSVOL
.Можно сразу указать нужный сайт Active Directory, в который нужно поместить новый контроллер домена. Также укажем, что данный DC будет Global Catalog и зададим пароль режима восстановления DSRM (Directory Services Restore Mode) через ConvertTo-SecureString:
Install-ADDSDomainController -DomainName test.com -InstallDns:$true -NoGlobalCatalog:$false -SiteName 'SPB' -NoRebootOnCompletion:$true -Force:$true -SafeModeAdministratorPassword (ConvertTo-SecureString 'P@ssw0rd' -AsPlainText -Force) -Credential (get-credential TEST\Administrator) –verbose
Внимательно исследуйте результаты команды, если все прошло хорошо — перезагрузить сервер:
Restart-Computer
Диагностика состояния нового контроллера домена на Server Core
После окончания установки контроллера домена выполним несколько базовых проверок, чтобы убедится, что новый контроллер домена успешно добавлен в домен, и участвует в репликации.
Вы можете управлять контроллером домена на Windows Server Core с помощью стандартных графических Active Directory (
dsa.msc, gpmc.msc, dnsmgmt.msc, dssite.msc, adsiedit.msc, domain.msc
) оснасток с другого сервера или компьютера Windows 10 с установленным RSAT (
Rsat.ActiveDirectory.DS-LDS.Tool
).
На любом компьютере откройте консоль ADUC и проверьте, что в OU Domain Controllers появился новый DC.
После перезагрузки сервера Windows Server Core вам нужно авторизоваться на сервере под учетной записью с правами администратора домена.
С помощью комнадлета Get-ADDomainController проверьте, что контроллер домена определяется в правильном сайте:
Get-ADDomainController -Discover
Проверьте, что службы Active Directory запущены:
Get-Service adws,kdc,netlogon,dns
Кроме скрытых админских шар должны быть опубликованы сетевые каталоги SYSVOL и Netlogon:
get-smbshare
Проверьте, что в Event Viewer есть события от служб ADDS:
Get-Eventlog "Directory Service" | Select-Object entrytype, source, eventid, message
Get-Eventlog "Active Directory Web Services" | Select-Object entrytype, source, eventid, message
Затем выполните тест командой dcdiag (все этапы должны быть Passed), и проверьте репликацию между DC командой:
repadmin /replsummary
или
Get-ADReplicationFailure -Target DC03
Netdom /query FSMO
Установка контроллера домена с помощью Windows Admin Center
Для установки контроллера домена на Windows Server Core также можно использовать веб интерфейс Windows Admin Center (WAC).
- Добавьте свой хост с Windows Server Core в интерфейс Windows Admin Center;
- Для установки роли ADDS перейдите в раздел Roles and Features, в списке доступных ролей выберите Active Directory Domain Services и выберите Install;
- Подтвердите установку роли и средств администрирования;
- Для повышения сервера до контроллера домена нужно открыть веб консоль PowerShell и воспользоваться рассмотренными выше командлетами для настройки DC;
- После окончания установки DC нужно перезагрузить Server Core и переподключить его в WAC под доменной учетной записью;
- Для управления Active Directory из веб интерфейса можно установить специальное расширение WAC (доступно пока в Preview режиме). В результате у вас в Windows Admin Center появится новый раздел, в котором можно просматривать и управлять деревом AD.