V predvolenom nastavení je systém Windows Server 2012 nainštalovaný v systéme Windows Jadro servera (bez grafického rozhrania a grafických nástrojov na správu). V tejto konfigurácii operačného systému sa dosiahne minimálna spotreba systémových prostriedkov (pamäť, čas procesora) pre potreby samotného operačného systému a v dôsledku menšieho množstva kódu sa zníži počet zraniteľností a útočná plocha potenciálnych útočníkov. Takýto server je možné spravovať pomocou príkazového riadku alebo vzdialene pomocou rôznych konzol.
Úloha ideálneho kandidáta na hosťovanie na serveri Windows 2012 v základnom režime Radič domény Active Directoryy. Radič domény je lokálne spravovaný administrátorom AD a prakticky nevyžaduje žiadne operácie, ktoré vyžadujú povinný prístup k serveru. Od administrátora potrebujete iba nainštalovať službu Active Directory a inovovať server na úlohu radiča domény AD. Radič domény Windows 2012 je možné samozrejme zvýšiť aj v grafickom režime (príklad je opísaný v článku Upgradovanie služby Active Directory na systém Windows 2012) a potom prejde späť na jadro systému Windows 2012, ale prečo sa také ťažkosti môžu vyskytnúť, ak je radič domény nasadený jednoducho pomocou príkazový riadok.
V článku ukážeme, ako na to nasadiť radič domény do systému Windows Server 2012 pomocou príkazov Powershell, Poskytuje výkonné automatizačné funkcie na nasadenie radičov domén v systéme Windows Server 2012.
Ako si pravdepodobne pamätáte, spoločnosť Microsoft sa rozhodla opustiť príkaz DCPROMO, ktorý je známy mnohým správcom, ktorý umožňuje zvýšiť (a tiež znížiť) členský server na úroveň radiča domény, pričom nahradil funkčnosť cmdlets Powershell..
Zaujímajú nás nasledujúce príkazy PoSh:
- Služby AD-DomainFeature Add-WindowsFeature - inštalácia roly ADDS (Active Directory Domain Service)
- Install-ADDSForrest - inštalácia novej doménovej štruktúry (prvý radič domény v doménovej štruktúre)
- Install-ADDSDomain - Nainštalujte radič domény do existujúcej doménovej štruktúry
Ďalej budeme analyzovať dva scenáre: inštaláciu prvého radiča do novej doménovej štruktúry AD a pridanie ďalšieho radiča domény do existujúcej domény.
V oboch prípadoch musí byť najskôr nainštalovaná rola servera ADDS (služba Active Directory Domain Service). Príkaz Powershell, ktorý vykonáva túto operáciu, vyzerá takto:
Služby AD-DomainFeature Add-WindowsFeature
Inštalácia ďalšieho radiča do existujúcej domény AD
Predpokladajme, že doména AD je už nasadená, a v systéme Windows Server 2012 musíme do nej nainštalovať ďalší radič domény.
Najprv musíte naimportovať modul nasadenia ADDS
Import-modul ADDSDeployment
Príkaz PoSh Install-ADDSDomainController používa nový radič domény s nasledujúcimi parametrami:
- Základná cesta: C: \ Windows \ NTDS
- Adresár s denníkmi: C: \ Windows \ NTDS
- Adresár SYSVOL: C: \ Windows \ SYSVOL
- Ovládač RODC: č
- Globálny katalóg: Áno
- Server DNS: Áno
Problém je však v tom, že vo väčšine prípadov sa takéto inštalačné parametre nového radiča domény správcu systému nehodia.
Zmenený inštalačný príkaz pre ďalší radič domény môže vyzerať takto (predpokladáme, že nemá zmysel opísať zadané parametre, pretože ich mená hovoria samy za seba).
Install-ADDSDomainController -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainName 'corp.winitpro.ru' -InstallDns: $ true -LogPath 'C: \ Windows \ NTDS' -NoGlobalCatalog: $ false -SiteName ' Default-First-Site-Name '-SysvolPath' E: \ SYSVOL '-NoRebootOnCompletion: $ true -force: $ true
Po dokončení inštalácie nového radiča domény budete musieť reštartovať server spustením príkazu:
Vypnutie / r
Inštalácia prvého radiča do novej domény pomocou Powershell
Ak doména ešte nebola nasadená, na jej inštaláciu potrebujeme príkaz PoSh Install-ADDSForest, ktorý vytvorí prvý radič v novej štruktúre služby Active Directory..
Predpokladajme, že potrebujeme vytvoriť novú doménu s názvom corp.winitpro.ru. Úroveň domén a doménových štruktúr je Windows 2012.
Install-ADDSForest -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainMode 'Win2012' -DomainName 'corp.winitpro.ru' -DomainNetbiosName 'CORP' -ForestMode 'Win2012' -InstallDns: $ true 'Logath C: \ Windows \ NTDS '-NoRebootOnDokončenie: $ true -SysvolPath' E: \ SYSVOL '-Force: $ true
Počas vykonávania príkazu budete musieť zadať heslo pre režim obnovy služby Active Directory (heslo na obnovenie v núdzovom režime)..
Po dokončení inštalácie musí byť server reštartovaný.
Niekoľko užitočných príkazov PowerShell pre správcu radiča domény AD
Premenujte názov prvého webu služby AD (predvolená hodnota je Default-First-First-Site-Name):
Get-ADReplicationSite | Premenovať-ADObject -NewName “MainOffice”
Pridajte podsieť na web AD:
New-ADReplicationSubnet - Názov „10.10.10.0/24“ - Main Main Office
Získajte zoznam všetkých podsietí:
Získajte ADReplicationSubnet -Filter *
Povoliť Kôš AD (Kôš - Ďalšie informácie o Kôš Active Directory v systéme Windows Server 2012):
Enable-ADOptionalFeature “Recycle Bin Feature” - Forest Forest - Ciele 'corp.winitpro.ru'-Confirm: $ false
Odstránenie doménovej štruktúry a domény (predpokladá sa, že v doméne zostane jeden posledný AC):
Odinštalovať-ADDSDomainController-LastDoaminControllerInDomain -RemoveApplicationPartitions
