Windows Server Core является хорошей платформой для размещения роли контроллера домена Active Directory благодаря меньшим требованиям к ресурсам, повышенной стабильности и безопасности (из-за меньшего количества кода и обновлений). В этой статье мы покажем, как установить контроллер домена на Windows Server Core 2019 в новом или существующем лесу Active Directory с помощью PowerShell.
Как установить контроллер домена Active Directory с помощью PowerShell?
Установите Windows Server Core на новый хост (физический или виртуальный) и настройте основные параметры хоста: задайте имя хоста, сетевые параметры (статический IP-адрес, маска подсети, шлюз, DNS), дату/время, часовой пояс и т. д.
Rename-Computer -NewName hb-dc03
Get-NetAdapter
$ip = "192.168.13.11"
$gw="192.168.13.1"
$dns = "192.168.13.10"
New-NetIPAddress -InterfaceAlias Ethernet -IPAddress $ip -AddressFamily IPv4 -PrefixLength 24 –DefaultGateway $gw
Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses $dns
Следующим шагом будет установка роли Active Directory Domain Services (ADDS). Для этого выполните следующую команду в консоли PowerShell:
Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose
Get-WindowsFeature -Name *AD*
После установки роли ADDS вы можете использовать ADDSDeployment модуль команд для развертывания нового домена, леса или дополнительного контроллера домена:
Get-Command -Module ADDSDeployment
Существует три возможных сценария:
- Установка новых Лес Active Directory:
Install-ADDSForest -DomainName woshub.com -ForestMode Win2016 -DomainMode Win2016 -DomainNetbiosName WOSHUB -InstallDns:$true - The
Install-ADDSDomainКоманда позволяет создать новый домен в существующем лесу Active Directory Install-ADDSDomainController— позволяет добавить новый (дополнительный) контроллер домена в существующий домен Active Directory
Add-ADDSReadOnlyDomainControllerAccount команду.В большинстве случаев вы будете использовать третий сценарий — добавление контроллера домена в существующий домен Active Directory.
Dcdiag /v и проверьте репликацию AD (repadmin /showrepl и repadmin /replsum). Убедитесь, что у вас есть актуальная резервная копия контроллера домена AD.В простом сценарии, когда нужно добавить новый дополнительный DC на сайт Default-First-Site-Name, выполните следующую команду:
Install-ADDSDomainController -DomainName woshub.com -InstallDns -Credential (get-credential WOSHUB\Administrator) -DatabasePath "D:\ADDS\DB" -LogPath "D:\ADDS\Log" -SysvolPath "D:\ADDS\SYSVOL"
%SYSTEMROOT%\NTDS и %SYSTEMROOT%\SYSVOL.Также можно указать сайт Active Directory, на котором будет размещен новый контроллер домена. Мы также укажем, что DC будет глобальным каталогом, и установим пароль DSRM (Directory Services Restore Mode) с помощью команды ConvertTo-SecureString:
Install-ADDSDomainController -DomainName woshub.com -InstallDns:$true -NoGlobalCatalog:$false -SiteName 'Hamburg' -NoRebootOnCompletion:$true -Force:$true -SafeModeAdministratorPassword (ConvertTo-SecureString 'R0DCP@ssw0rd' -AsPlainText -Force) -Credential (get-credential WOSHUB\Administrator) –verbose
Внимательно проверьте вывод команды, если все в порядке, то перезагрузите хост:
Restart-Computer
Проверка работоспособности контроллера домена на сервере Server Core
После установки контроллера домена выполните несколько основных проверок, чтобы убедиться, что новый контроллер домена был успешно добавлен в домен и участвует в репликации.
Вы можете управлять контроллером домена на Windows Server Core с другого сервера с помощью стандартных графических оснасток Active Directory (dsa.msc, gpmc.msc, dnsmgmt.msc, dssite.msc, adsiedit.msc, domain.msc) или с компьютера под управлением Windows 10 с установленным RSAT (Rsat.ActiveDirectory.DS-LDS.Tool).
Откройте ADUC (dsa.msc) консоль на любом компьютере и убедитесь, что новый DC появился в списке Контроллеры домена OU.
После перезапуска Windows Server Core необходимо войти на хост под учетной записью администратора домена.
Используя команду Get-ADDomainController, убедитесь, что контроллер домена расположен на правильном сайте AD:
Get-ADDomainController -Discover
Проверьте, запущены ли службы Active Directory:
Get-Service adws,kdc,netlogon,dns
В дополнение к встроенным скрытым общим ресурсам администратора необходимо открыть общий доступ к папкам SYSVOL и NETLOGON:
Get-SMBShare
Убедитесь, что в средстве просмотра событий присутствуют события ADDS:
Get-Eventlog "Directory Service" | Select-Object entrytype, source, eventid, message
Get-Eventlog "Active Directory Web Services" | Select-Object entrytype, source, eventid, message
Затем выполните тест, используя dcdiag (все этапы должны быть пройдены), и проверьте репликацию между DC с помощью следующих команд:
repadmin /replsummary
или
Get-ADReplicationFailure -Target DC03
Проверьте, где расположены роли FSMO в вашем домене и лесу. Если необходимо, перенесите роли FSMO на новый DC:
Netdom /query FSMO
Установка контроллера домена AD с помощью Windows Admin Center (WAC)
Для установки контроллера домена в Windows Server Core можно также использовать программу Центр администрирования Windows (WAC) веб-интерфейс.
- Добавьте хост Windows Server Core в интерфейс Windows Admin Center;
- Чтобы установить роль ADDS, откройте файл Роли и функции раздел, выберите Доменные службы Active Directory в списке доступных ролей и нажмите Установить;
- Подтвердите установку роли и инструментов администрирования;
- Чтобы продвинуть Windows Server Core до контроллера домена, откройте веб-консоль PowerShell и используйте приведенные выше команды для настройки DC;
- После завершения установки DC перезапустите Server Core и снова подключите его к WAC, используя учетную запись домена;
- Чтобы управлять Active Directory из веб-интерфейса, установите специальное расширение WAC (оно пока доступно в режиме Preview). Таким образом, в центре администрирования Windows появится новый раздел, в котором вы сможете просматривать и управлять деревом AD.
