Windows Server 2019 — установка контроллера домена

Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.

AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.

Подготовительные работы

Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:

После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:

Хочется отметить обязательные пункты, которые нужно выполнить.

Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.

Укажите имя сервера.

Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.

Установка роли Active Directory Domain Services

Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.

Дополнительно будет установлена роль DNS.

Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.

Запускается мастер добавления ролей.

Раздел Before You Begin нас не интересует. Next.

В разделе Installation Type выбираем Role-based or feature-based installation. Next.

В разделе Server Selection выделяем текущий сервер. Next.

В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.

Для роли контроллера домена нам предлагают установить дополнительные опции:

• [Tools] Group Policy Management
• Active Directory module for Windows PowerShell
• [Tools] Active Directory Administrative Center
• [Tools] AD DS Snap-Ins and Command-Line Tools

Всё это не помешает. Add Features.

Теперь роль Active Directory Domain Services отмечена галкой. Next.

В разделе Features нам не нужно отмечать дополнительные опции. Next.

У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.

Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.

Начинается установка компонентов, ждём.

Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.

Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.

Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:

• Add a domain controller to an existing domain
• Add a new domain to an existing forest
• Add a new forest

Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.

Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.

Попадаем в раздел Doman Controller Options.

В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.

У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.

В Domain functional level также выбираю Windows Server 2012.

Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.

Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.

Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found. «. Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.

В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.

В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:

• Database folder: C:\Windows\NTDS
• Log files folder: C:\Windows\NTDS
• SYSVOL folder: C:\Windows\SYSVOL

В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.

Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.

Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.

Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.

Для начала установки роли контроллера домена нажимаем Install.

Начинается процесс установки.

Сервер будет перезагружен, о чём нас и предупреждают. Close.

Дожидаемся загрузки сервера.

Первоначальная настройка контроллера домена

Наша учётная запись Administrator теперь стала доменной — ILAB\Administrator. Выполняем вход.

Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.

На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.

Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.

Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.

Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.

Правой кнопкой на корень каталога, New > Organizational Unit.

Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.

Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.

Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.

Microsoft Windows Server 2019: особенности системы и лицензирование

Очередная версия серверной ОС, представленная Microsoft, увидела свет и начала использоваться. Что интересного демонстрирует вариант Windows Server 2019, и почему имеет смысл остановить на нем свой выбор?

Предлагаемые редакции

Разработчики предлагают пользователям такие варианты:

• Datacenter. Решение, содержащее максимальный пакет опций. Может использоваться для функционирования центров, занятых обработкой данных и сред, где необходимо использование высокой виртуализации;
• Standart. Предназначается для работы в физических средах, а также тех, что имеют незначительную виртуализацию, поскольку в данном случае могут функционировать лишь две виртуальные машины и единственный Hyper-V;
• Essentials. Вариант для применения в небольшой компании.

При этом вариант для Standart и Datacenter демонстрирует постепенный уход от приобретения лицензии «для процессора» к «ядерному» варианту. По представлениям разработчика, это значительно оптимизирует оформление для тех, кто задействован в средах, где применяется ряд облаков.

О функциях

Обновленная операционная система работает при использовании LTSC. Релиз в отношении Long-Term Servicing Channel предлагается раз в пару лет, в течение пяти лет следует рассчитывать на основную поддержку и еще пять действует дополнительная.

Начиная с версии 2016 года, разработчиком используется не один канал, а два – упомянутый выше LTSC и Semi-Annual Channel (SAC). В данном случае выпуски создаются чаще – пару раз за год. Поддержка продлится 6 мес., дополнительная – полтора года. Данный канал является оптимальным для фирм, выстраивающих бизнес на основе быстрого введения инновационных технологий, то есть объективно оценивая современные возможности. Используя LTSC, система может рассчитывать на новые обновления – как в сфере безопасности, так и те, что не связаны с ней, но не приобретет дополнительных функций. SAC предназначается именно для оперативного внедрения новинок.

Говоря проще, можно определить каналы следующим образом:

• LTSC – «классический» вариант, рассчитанный на длительную работу;
• SAC – канал для предпочитающих актуальные технологии.

Особенности системы

Windows Admin Center демонстрирует пользователям новый интерфейс и оригинальные возможности администрирования сервера. Сегодня он не может стать полноценной заменой уже присутствующим вариантам (ММС и Server Manager), а просто дополняет их.

В версии Defender присутствует функция Advanced Threat Protection, уже протестированная в Windows 10, подавляющая атаки в отношении памяти устройства и ядра – настораживающие систему действия моментально завершаются.

Кроме того, в Defender присутствует такая полезная функция как обеспечение безопасности от эксплойтов Exploit Guard, представляющая ряд средств, способных блокировать действия, рождающие подозрения, и откровенные вторжения.

Системная аналитика – интересный функционал, реализующий поддержку, основывающуюся на варианте машинного обучения. Это набор сведений, собранных при оценке счетчиков событий, а также производительности. Благодаря этому появляется возможность спрогнозировать ближайшие события.

Shielded Virtual Machines и поддержка Linux

Новая серверная версия осуществляет поддержку ряда ОС Linux. Это интересно тем, кто задействует среду с комбинированными системами.

HGS и использование автономного режима

Hyper-V предоставляет возможность добавления сервера HGS, использующегося в ситуации, когда основной вдруг оказался вне доступа. То есть запуск экранированных ВМ осуществляется и на устройствах с прекращением контакта со службой, обеспечивающей безопасность узла.

Помимо этого, добавляется «Автономный режим», позволяющий запустить SVM при отсутствии подключений к HGS. Это может быть достигнуто при кэшировании варианта VM TPM key protector.

Следует учесть, что виртуальные машины обязаны осуществить запуск (пусть единственный), признанный состоявшимся, а в присутствующую конфигурацию Hyper-V уже не могут быть внесены коррективы.

Encrypted Networks

Зашифрованные сети (Encrypted Networks) – это способ кодирования, который дает возможность шифрования внутреннего трафика работающих вместе машин. При кодировании пакетов в подобных сетях применяется протокол DTLS.

SDN – шлюзы высокой производительности

В более ранней версии SDN присутствовали ограничения, в частности это отражалось на пропускной способности GRE и IPsec – для осуществления соединения при подключении первого она составляла почти 2,5 Гбит, второго – около 300 Мбит.

В решении Windows Server 2019 показатели оптимизированы, поскольку для IPsec пропускная способность существенно выросла – это гарантирует достойную работу при одновременном снижении нагрузки на процессор.

Пара слов о службе миграции хранилищ

В операционной системе присутствует актуальное решение Storage Migration Service (Служба миграции хранилищ), могущее значительно упростить перевод серверов на другую версию ОС. Данная технология обеспечивает сохранение всей информации и параметров с прежнего сервера, а после может передать конфигурации и информацию на другие.

Изменения, присутствующие в Storage Spaces Direct

В обновленной версии Storage Spaces Direct получила много функций, в том числе:

• дедупликацию и возможность сжатия томов ReFS;
• поддержку памяти, являющейся встроенной и независимой от источников питания;
• устойчивость гипоконвергентной инфраструктуры с парой узлов на границе;
• кластеры из пары серверов, применяемые в качестве свидетеля флэш-накопитель USB;
• изменение масштаба до 4 ПБ/кластер;
• оптимизация контроля четности;
• определение выброса задержки диска;
• выделение томов вручную, способствующее отказоустойчивости;
• добавление журнала производительности;
• поддержка Windows Admin Center.

Новое в Storage Replica

В Windows Server 2019 Storage Replica «обросла» рядом дополнений и улучшений. Впервые она была использована еще в версии 2016 г. Сегодня Storage Replica отличают такие возможности как:

• доступность в версии Windows Server 2019 Standart;
• наличие текстовой обработки отказа (Test failover) – функции, позволяющей организовать подключение целевого хранилища, проверяя репликацию и копируя данные для создания резервных моделей;
• наличие Windows Admin Center;
• изменения в Failover Clustering.

Ряд полезных функций в представленной версии получила Failover Clustering (отказоустойчивая кластеризация):

• Cluster sets, функционал, отвечающий за расширение вариантов масштабирования числа серверов;
• кластер не применяет аутентификации NTLM, в настоящей версии используется только Kerberos и установление оригинальности с использованием сертифицирования;
• диском отныне могут выступать USB-варианты;
• за обновление кластера теперь отвечают Storage Spaces Direct, то есть локальные дисковые пространства;
• кластеры, поддерживающие Azure. Они самостоятельно определяют, когда работа осуществляется с использованием Azure Laas (виртуальных машин). При этом они оптимизируют конфигурацию, обеспечивая высокий уровень доступа;
• миграция кластеров меж доменами. Теперь они «научились» перемещаться;
• оптимизация файлового ресурса-свидетеля;
• оптимизация инфраструктуры кластера. К примеру, CSV теперь подключается по умолчанию и увеличивает производительность.

Контейнеры Linux

В Windows Server 2019 контейнеры Windows и Linux запускаются на том же узле контейнера при содействии программы Docker. Это дает разработчикам возможность работать в разнородной среде узлов контейнеров, создавая приложения.

Присутствует ряд улучшений контейнерной технологии:

• улучшен процесс определения подлинности системы, повышен уровень надежности;
• пересмотрена совместимость приложений. Теперь размещать их в контейнерах значительно проще;
• размер файлов для осуществления скачивания базового образа контейнера снижен, при этом уменьшилось нужное пространство на диске, ускорено время запуска;
• повысилась производительность сети при виртуальных рабочих нагрузках.

Подобное улучшение гарантирует максимальную пропускную способность сети, которая требуется для виртуальных машин. Постоянная настройка или избыточное предоставление ресурсов при этом не потребуются. Среди присутствующих функций – объединение имеющихся сегментов в виртуальном коммутаторе, возможность осуществлять динамическое управление очередями виртуальных машин.

LEDBAT

Low Extra Delay Background Transport (LEDBAT) – это вариант управления перегрузками сети при низком уровне задержки. Он был создан для автоматического увеличения пропускной способности, а также потреблении всего ее объема, если сеть по каким-то причинам не используется.

Технология поможет при развертывании значительных критических обновлений – при этом ущерба для служб пользователей не возникнет.

Оптимизация службы времени

Служба времени Windows Server 2019 помогает реализовать такие возможности как:

• осуществление полноценной поддержки UTC-совместимой корректировочной секунды;
• добавление нового протокола («Протокол точного времени»);
• присутствует трассировка в сквозном режиме

Подробнее ознакомиться с Windows Server 2019 можно, изучив официальную документацию, представленную на сайте Microsoft.

Ещё больше обзоров читайте первыми на нашем сайте — TehnObzor

ПОДДЕРЖИ НАС — ПОДПИШИСЬ НА КАНАЛ ИЛИ ОЦЕНИ СТАТЬЮ!