Настройка windows server 2012 для сети

Базовая настройка windows server 2012 r2

Настройка windows server 2012 r2 осуществляется сразу после того как была произведена установка windows server 2012 r2. Под настройкой понимается, настройка сети, смена имени и отключение не нужных для сервера вещей, благодаря этим действиям, системный администратор сможет повысить удобство и стабильность работы данной операционной системы и улучшить ее производительность, если вы производите установку массово, то это все конечно же можно автоматизировать.

Настройка сети windows server 2012 r2

настройка windows server 2012 r2-01

Первым делом любому серверу необходима, настройка сети. В настройку сети входит выбор и установка статического ip адреса. Для этого щелкаем правым кликом по значку сети и выбираем Центр управления сетями и общим доступом

настройка windows server 2012 r2-02

Далее выбираем ваше сетевое подключение

настройка сети windows server 2012

Нажимаем кнопку свойства

настройка сети windows server 2012

настройка сети windows server всегда требует одного правила отключаем все то, что не используется. Так как у меня не используется протокол ipv6, то я снимаю с него галку, так как компьютеры в первую очередь пытаются по умолчанию общаться через него.

Теперь выбираем ipv4 и нажимаем свойства.

как сделать статический ip адрес из динамического

Так как наш ip адрес получен от DHCP сервера, то мы динамический ip адрес заменим на статический. Заранее вы для своей локальной сети должны были выбрать пул ip адресов, которые будут у вас. И для серверов, забронировать определенное количество ipшников. У меня это диапазон 10.10.2.0/24. И так как у меня данный сервер вскоре будет контроллером домена, то я ему назначу ip адрес 10.10.2.1 с маской 255.255.255.0 в качестве DNS сервера пропишу пока его же 10.10.2.1. Вот так производится настройка статического ip адреса.

настройка статического ip адреса

Жмем везде дальше ок и закрываем все окна. С сетью мы закончили работы.

Задаем имя сервера

Имя сервера, один из важных параметров в вашей инфраструктуре, существует много вариантов наименования серверов и с точки удобства и с точки зрения безопасности сети, так как явно понятное имя позволяет хакеру ускорить процесс совершения задуманного и понимания, что и где в сети. Лично я придерживаюсь, что контроллеры домена можно назвать и dc, а вот сервера просто обезличенно назвать server01 и так далее.

Щелкаем правым кликом по пуску и выбираем Система

задать имя сервера

Переходим в дополнительные параметры системы

задать имя сервера

Переходим на вкладку имя сервера, на ней можно изменить имя сервера на любое какое вам нужно, до 16 символов.

изменить имя сервера

Я задаю имя компьютера, такое: у меня домен будет inmoskow.org и от имени домена возьму первые две буквы im и добавлю dc01, в итоге получаю imdc01, у вас может быть свой принцип.

изменить имя сервера

После чего вас уведомят, все настройки будут применены только после перезагрузки.

настройка windows server 2012 r2

Вас попросят перезагрузиться, сделаем это позже

перезагрузка Windows Server 2012 r2

Быстродействие Windows Server 2012 r2

Для того, чтобы ускорить ваш сервер, нужно чтобы на нем работало только то что реально нужно, заходим на вкладку Дополнительно-Параметры

задать имя компьютера

вкладка визуальные эффекты, и ставим переключатель на Обеспечить наилучшее быстродействие, это позволит ускорить сервер.

Включаем удаленный рабочий стол

Для того чтобы вы со своего рабочего места могли заходить по RDP, необходимо включить на вкладке Удаленный доступ птичку Разрешить удаленные подключения к этому компьютеру. В итоге будет создано правило в брандмауэре открывающее порт 3389.

Вот теперь перезагружаемся и заходим на ваш сервер по RDP. Проверим как применились настройки на нашем сервере. Для этого вводим две команды

Команда hostname покажет текущее имя сервера, а ipconfig отобразит настройки сети, в нашем случае это ip адрес и маску. Видим, что все отлично применилось.

проверка настроек сервера

Вот так вот просто делается настройка windows server 2012 r2, можно двигаться дальше и устанавливать контроллер домена на платформе 2012R2.

Материал сайта pyatilistnik.org

Настройка маршрутизатора на базе Windows Server 2012 R2

В этой статье посмотрим, как с помощью встроенных средств на базе сервера с Windows Server 2012 R2 организовать простой межсетевой маршрутизатор. И хотя на практике маршрутизаторы на базе компьютеров используются довольно редко (аппаратные маршрутизаторы, как правило, имеют более высокую производительность, надежность и несколько дешевле выделенного компьютера), в тестовых или виртуальных средах, когда нужно срочно настроить маршрутизацию между несколькими подсетями, маршрутизатор на базе Windows Server вполне себе приемлемое решение.

Итак, в роли маршрутизатора будет выступать сервер с ОС Windows Server 2012 R2. Сервер имеет 2 сетевых интерфейса: физических или виртуальных, если сервер запущен на гипервизоре. Каждому интерфейсу сервера назначен выделенный IP адрес из различных подсетей. Для удобства, мы переименовали названия сетевых интерфейсов в Панели управления сетями и общим доступом:

Сетевая карта 1 (сетевая карта подключена во внутреннюю LAN сеть):

Имя: LAN

IP: 10.0.1.1

Сетевая карта 2 (сетевая карта во внешней сети ):

Имя: Internet

IP: 192.168.1.20

Наша задача – организовать маршрутизацию пакетов из локальной подсети 10.0.1.0 во внешнюю подсеть 192.168.1.0 (как правило, такая сеть имеет выход в интернет) через NAT. Такую схему можно реализовать в случае необходимости организации доступа клиентов из внутренней сети в интернет.

Маршрутизация в Windows Server 2012 R2 реализуется на базе роли Remote Access (RRAS). Данная служба появилась еще в Windows Server 2003 и до текущей в версии Windows Server ее интерфейс и процесс настройки практически не изменился.

В первую очередь нужно установить роль Remote Access. Для этого откроем консоль Server Manager, выбираем Manage -> Add Roles and Features, находим и отмечаем роль Remote Access, в ее составе выбираем службу Routing, и, соглашаясь со всеми предложенными по умолчанию компонентами, запускаем ее установку (Install).

После окончания установки открываем консоль Routing and Remote Access (rrasmgmt.msc), щелкаем по имени сервера (с красной стрелкой) и выбираем Configure and Enable Routing and Remote Access.

В открывшемся окне выбираем пункт Network Address Translation (NAT).

На следующей шаге (NAT Internet Connection) нужно выбрать сетевой интерфейс, подключённый ко внешней сети / Интернету (в нашем примере это интерфейс Internet с ip 192.168.1.20). Этот интерфейс будет «публичным интерфейсом» нашего NAT роутера.

Далее будет предложено указать должен ли NAT роутер обеспечить клиентов внутренней сети сервисами DHCP и DNS. Как правило, этот функционал во внутренней сети уже имеется, поэтому в нем мы не нуждаемся.

На этом базовая настройка маршрутизации на Windows Server 2012 R2 завершена. Сервер уже должен выполнять маршрутизацию пакетов между двумя подключенными сетями и выполнять трансляцию сетевых адресов (NAT).

Чтобы в этом убедиться, в консоли RRAS откройте свойства сервера. На вкладке General показано, что IPv4 маршрутизация включена (т.е. пакеты IPv4 будут пересылаться с одной сетевой карты на другую).

Проверить работу маршрутизации можно, указав на клиентском компьютере во внутренней сети (к которой подключен интерфейс сервера LAN) в качестве шлюза IP-адрес сервера (10.0.1.1), и выполнить ping или трассировку маршрута к ресурсу, расположенному во внешней сети или интернете. Эти попытки должны быть успешными.

В нашем случае на сервере осуществялется статическая маршрутизация. Если нужно добавить новый маршрут, щелкните ПКМ по Static Routes, выберите пункт меню New static route и создайте новое статическое правило маршрутизации.

ITСooky

IT-рецепты съедобные и не очень!

Развертываем офисную сеть на Windows Server 2012 R2

Неожиданно! Но толи кризис кончился (на самом деле нет), толи работодатели совсем страх потеряли (на самом деле да), толи продукты Microsoft подешевели (на самом деле чуть-чуть), но все проблемодатели хотят, чтобы у них стоял Windows Server!

Так что я дочитал книжку Проектирование сетевой инфраструктуры Windows Server 2008 (так то я её с 2011 читаю, но сейчас за две недели прочитал от начала до конца) и решил развернуть сеть, дополнительно усложнив задачу взяв Windows Server 2012 R2, и кстати книг по нему нету! Книга очень помогает не смотря ни на что, ни на какие опечатки и недопечатки!

Цена Вопроса
Попробовать ничего не стоит, зарегистрировав себе Windows ID можно скачать ISO ознакомительную версию Windows Server 2012 R2 работающею 180 дней, и ISO ознакомительную версию Windows 8.1 Корпоративная(Хотя для работы офиса достаточно версии Профессиональная) работающей 90 дней!

Если попадется другая версия её можно растянуть (совершенно официально) на 30 дней, что достаточно для ознакомления, продлевая до 3х раз, по окончании, период активации командой:
slmgr -rearm

Что это будет стоить для офиса
Цену железа я не учитываю, оно что для бсди что для винды должно быть специальным серверным(не дешевым). Единственное что для винды, нужен второй физический диск — она не делает копию системного раздела на тот же физический диск.

Для начала купим сам Windows Server 2012 R2
— ПО Windows Server 2012 R2 RUS OLP NL 2Proc (Бытует мнение, что RUS версия глючить… больше! Да и обшаться легче с английским меню, больше статей! И это фактические два сервера — лицензия позволяет запускать два сервера)
29 754
— лицензия на подключение 50-ти компьютеров и принтеров, любых устройств (считаю по самому невыгодному варианту покупка по одной штуке, а не пачкой)
49 999

Голый Сервер не выглядит таким уж дорогим,и предоставляет интересные возможности по управлению пользователями. Но вот дальше начинается — вы не подумавши решили установить еще и почтовый сервер, наверное у кого то возникла шизофреническая мысль что так безопаснее и стабильнее! Вот сами подумайте почтовый сервер провайдера где целый отдел еже секунду отбивает атаки злопыхателей и конкурентов, который всех собак в районе на этом съел, он разве не стабильнее, не безопаснее? Еще надо учитывать черные spam списки, в них легко попасть с локальным сервером!
— ПО Microsoft Exchange Server Standard 2013 (1 штука)
23 498
— лицензия на подключение 50-ти компьютеров (и это только к дешевой версии Standart)
122400

Уже некрасивая цифра получается. Потом вдруг вы решаете установить Microsoft SQL Server вот это даже объяснить не могу за чем!
— Microsoft SQL Server Standard Edition
29 118
— лицензия на подключение 50-ти компьютеров
378600

И так далее каждый чих оплачивается отдельно, плюс лицензия на каждого кто этот чих услышит! Но голый Windows Server Standart, все таки привлекателен для управления парком Windows компьютеров!

Установка
Буду устанавливать на VirtualBOX имея средненький процессор Intel i5-3470, и всего то 16 гигабайт памяти, уже можно не задумываться сколько виртуальных машин запущенно. В свойствах VM даем 2ядра, 2гига и 2 сетевых карты(режим Сетевой мост), подключаем скаченный ISO образ.

При установке я зачемто выбрал метод ввода Русский, лучше Английский оставить не трогать, далее выбираем Windows Server 2012 Standart Evaluation (Server with GUI) и пошла обычная установка как Windows 8.

Пароль должен выполнять требования сложности поэтому у меня он будет
123йцуЙЦУ

После загрузки меняем имя компьютера и настраиваем сетевые интерфейсы. До настроек легко добраться с клавиатуры
[win key] + [i]
и выбрать Control Panel
Тут все как обычно. Имя компьютера по желанию. А сетевые интерфейсы — отключаем ipv6 настраиваем ipv4:
Локальный смотрит на пользователей:
Выбираем сеть из диапазонов ассигнованных для локальных сетей 10.0.0.0 — 10.255.255.255, 172.16.0.0 — 172.31.255.255, 192.168.0.0 — 192.168.255.255 (это книга заговорила) с таким прицелом чтобы через 100 лет, когда вдруг надо будет маршрутизироваться в другую локальную сеть, чтобы они не совпали.

То что пусто то пусто, так задумывалось!
Второй адаптер тут данные провайдера IP,Шлюз,DNS если прямое подключение, или данные локальной сети в которую он смотрит.

Устанавливаем Контроллер Домена AD DS
В привычном месте Add roles не видно, но если присмотреться вон они, да и вызывается тем же значком «чемодан с тубусом»

Приступаем к установке везде Next в Add Roles and Featers ставим галочку на Active Directy Domain Services, на последней Install.
Установка завершилась, но ничего не происходит, но появилось какое-то сообщение. Жмем на нем Promte this server to a domaine controller

Тут выбираем Add new forest и пишем доменное имя например itcooky.www
На следующей странице оставляем как есть, просят назначит пароль для DSRM восстановления что-то новенькое!

DNS не трогаем Netbios не трогаем, что-то стал задумываться сервер, ничего не меняем NEXT в конце жмем Install, по путно устанавливается еще и DNS сервер.

Настраиваем DNS
В Server Manager на вкладке Local server что-то вообще не-то, то что нужно прячется справа вверху Tools > DNS

Все нужные зоны создались при установке. Жмем на ITCOOKYSERVER > Properties в Interfaces убираем внешний, не зачем его слушать.

Смотрим вкладку Forwarders здесь прописался DNS со внешнего интерфейса как положено.

Пока мы в DNS можно подпортить зоны добившись блокировки запретных URL. Добавляем на нашем DNS сервер Forward lookup zone > Add new zone все по умолчанию до Zone name тут пишем домен второго уровня блокируемого сайт (имя.ком). Добавляем в эту новую зону новую A запись New Host вот так

Так же обнуляем кэш DNS сервера Clear Cache и за одно делаем Update Server Data File не знаю какая связь но если перезагружать Winodws 8 он грузится с неработающим DNS (если выкл вкл ПК такого не происходит) и это один из шагов которые помогают его заставить работать, но сначала после перезагрузки надо выкл вкл сетевую карту елси это не поможет тогда уже с DNS.

Короче блокировка работает но это такой хилый и не надежный способ по сравнению с прозрачным прокси сервером на SQUID+SAM

Добавляем DHCP сервер
Через место описанное выше, Server Manager, добавляем роль DHCP сервера. Везде жмем Next. Опять появляться сообщение надо сделать Complete DHCP Configuration. Тут тоже ничего менять ненужно. В Tools выбираем DHCP. На IPv4 жмем правой мышью и выбираем добавить область New scope

Добавляем область по желанию с учетом что первые 20 адресов зарезервированы для сервера принтеров и тд.

На предложение настроить другие опции DHCP резко отказать. Настроим их сейчас выбрать в нашей области IP > Scope Options и добавим 003 Роутер и 006 DNS один и тот же IP нашего сервера — не забываем жать Add.

Далее нажимаем на нашу область правой мышью и выбираем Activate

Много еще чего надо добавить но уже хочется попробовать — что уже работает то!

Устанавливаем Windows 8.1 Корпортивный
Не установится без Windows ID и это Корпоротивная то версия. Аааа эээ неимоверно трудно вызывать меню в виртуальной машине — КРАЕВ НЕТУ. Я не понял как точно, но если поводить по правому краю, или постоять там курсором, или нажать оно иногда появляется!

К Биллу Метро! Жмем!
[winkey]+[R]
cmd
ipconfig
IP не тот, правильно я загрузил Winodws до того как активировал область на DHCP сервере, он поискал DHCP нашел дальний и взял у него
ipconfig /release
ipconfig /renew
Вот взял у того кого нужно

Попытаемся пингануть локальную сеть за Windows Server 2012 сервером
ping 192.168.1.2
Нет ответа, правильно, Windows Server 2012 еще не настроен как маршрутизатор, по той же причине(ну почти) нет интернета, а вот DNS работает имена разрешаются в IP адреса.

Теперь вводим компьютер в домен делаем:
[winkey]+[R]
PC info > Change Settings (там где имя компьютера) > Change (там где rename имя компьютора или домен) > галочку на Domain > пишем itcooky.www > OK > вводим Administrotor и его пароль > иииии

Перезагружаемся и входим! Windows опять предлагает под ID, но жмем на стрелку и заходим как доменный пользователь в качестве имени пишем ITCOOKY\Administrator

Администратору Домена эта пользовательская винда не дает открыть Explorer впрочем ничего из приложений не дает открыть, очень инетересно знать почему, потом узнаю!

У похоже это только в плитках, в раб.столе IE запускатся…

Настройка маршрутизации
Наша сеть 10.38.109.0 воткнута в сеть 192.168.1.0 Windows Server 2012 не заморачивается у него два интерфейса сетевых в той и этой сети поэтому у него все есть. Чтобы было у пользователей надо настроит маршрутизацию между этими сетями и не только на Windows Server 2012. Добавляем роль Remote access под этим именем прячется та часть что раньше была(в 2008) в Службы политики сети и доступа (Network Policy And Access Services). Везде жмем Next в Role servers ставим галочку на Routing и в конце Insall. Далее опять появляется сообщения жмем на Getting started и так далее.

Игнорируем её идем в Tools и выбираем Remote Access Manegement. Тут нажимаем Open RRAS Managеment (с права). Тут жмем ITCOOKYSERVER и выбираем Configure y Enable… На странице выбираем последнее Custom configuration на следующей Lan Routing.

Появляются новые вкладки в IPv4 > Static Routes прописываем как на картинке куда надо ходить за диапазоном 192.168.1.0

На маршрутизаторе 192.168.1.1 прописываем куда надо ходить за диапазоном 10.38.109.0, а как прописывать зависит от вашего маршрутизатора. Пошел пинг снаружи на 10.38.109.1

А 10.38.109.20 Windows 8 не пингуется у него отключено Общие Файлы и принтеры, что так же отрубает ICMP пакеты. Включил это в Network and Sharing Center — запинговался.

Компьюторы из двух сетей пингуют друг друга, но у сети 10.38.109.0 нет интернета, они гуляют под своими IP а шлюз 192.168.1.1 не дает интернет IPшникам не из своей подсети. Нужен NAT.

Настройка NAT
По старой 2008-ой привычке хочу установить Службы политики сети и доступа (Network Policy And Access Services) а он не нужен. C NAT у меня непонятки во первых он делает ненужным настройке Маршрутизации на Сервере, но все еще нужно настроить её на внешнем шлюзе. NAT дает всем компьютерам сети 10.38.109.0 пользоваться сервисами сети 192.168.1.0, но абсолютно зарубает все сети 192.168.1.0 если это не прописать в исключениях через проброс портов… а хотелось бы чтобы и роутинг был и NAT ну да ладно.

Идем в Tools > Routing and Remote Access и жмем на ITCOOKYSERVER и отключаем Disable Routing and Remote… это позволит с нова настроить маршрутизацию, выбираем Configure y Enable… На странице выбираем второе NAT далее Ethernet 2(смотрящий на ружу). Появились записи про NAT. У клиентов все заработало!

Далее если я из сети хочу зайти на 10.38.109.20 по RDP (да во-первых на нем надо разрешить удаленный доступ в свойствах) то я должен создать в записи Nat для Ethernet 2 в свойствах в Services and Ports проброс портов вот так:

Соответственно стучаться я должен по адресу внешнего интерфейся по соответствующему порту 192.168.1.177:35666!

Ну и Билл с ним! Считаю что все настроено для работы! Теперь идем к интересностям к шифрованию пакетов!

Настройка IPSec
Бытует мнение что если компьютеры сидят на одном свиче то можно перехватить их трафик узнать куда они заходят в интернет и даже собрать файлы передаваемые. Чтобы этого избежать Microsoft предлагает включить IPsec шифрование паката, но сразу оговаривается «опытному хакеру не состави труда» все равно перехватить, но это фраза уних перед каждой настройкой безопасности. Я к сожалению совсем не опытный и не хакер мне никак не удавалось без IPsec перехватить URL, или файл все программы sniffer-ы или ловят неинтересный разговор хостов с сервером, или не ловят вообще ничего — особенно платные вообще ничего!

Однако включим IPsec с помощью правил безопасного подключения. Идем в GPO нажимаем на наш домен выбираем Create GPO… даем какое нибудь понятное название типа IPSec Police и редактируем оную. в Конфигурации компьютора\Политики\Конфигурация Windows\Параметры Безопасноти\Брендмауре в режиме повышеннной безопасности… это место называется WFAS.

Добавляем новое правило. Все по умолчанию кроме имени. На всех включенных компьюторах (начиная с сервера) обновляем GPO командой:
gpupdate

На Windows 8 смотрим:

Видим правило IPsec всё IPsec включен и обеспечивает какую-то безопасность!
Только я еще надеялся что этот способ закрывает доступ бездоменным компьюторам, ан нет, если знаешь свой пароль зайдешь и из под бездаменного… на кой тогда вообще…

Не Настройка NAP
В Windwos Server есть еще один инструмент дискриминации подключения Networ Policy And Access Services (NAP). Он может принимать или не принимать подключения если на компьюторе пользователя, выключен файрвол, нет антивируса, нет последних апдейтов… то есть сценарий командировочного — отвечу как в том анектоде — Жена, что тебе привезти из отпуска? — Привози что хочешь сейчас все лечат… зачем этот NAP, кому он нужен, кто его ставит…

Настройка WSUS
Вот это полезная штука, Сервер сам скачивает все обновления для ПК и раздает их локально, но почему то WSUS надо отдельно скачивать с сайта Микрософт и вообще он работает по http — реклама сайта, реклама веб сервера?! Идем по ссылке www.microsoft.com/wsus вознкиает резонный вопрос гдe IE, нажимаем [winkey] вот он!

Тут же с горестью узнаешь что Microsoft Internet Explorer не доверяет Microsoft сайту, и не является инструментом для скачивания файлов — по умолчанию. Как с этим дебилизмом бороться не скажу, вы должны сами через это пройти, чтобы всю жизнь помнить кто есть Microsoft на сам деле!

Тааак… Вы поняли кто такой Microsoft, а теперь новость в Windows Server 2012 WSUS включен в роли сервера и с сайта не поставится! Добавляем роль Windows Server Update Services все по умолчанию надо только написать путь к папке где будут хранится апдейти — проводником папку выбрать НЕ ЛЬЗЯ! Разумно будет выбрать папку в другом разделе или на другом диске. Запускаем Tools > Windows Server Update Services ругается что нет папки которую написали в установке — за чем ты просишь написать пальцами, не даешь выбрать, если не создаешь её. Доразобравшись с папкой требуется доустановка, все по умолчанию тут пытаемся подключится к серверу обновления (долго). Далее выбираем нужные языки и продукты для обновлений — все Windows и Office уже выбраны. Синхронизация установлена «ручная» её надо будет запустить и сделать автоматической в настройках.

Во вкладке Options > Computers надо выбрать Use Group Policy or registry setting on computers что бы GPO разруливала.

Wsus заработал надо настроить пользователям его. Открываем Group Police Managment. Про GPO надо будет еще прочитать, удалю пока Defautl оставлю та что была под IPsec в неё и буду вносить изменения, она действует на всех Авторизованных пользователей(есть такая скрытая группа). В Computer Configuration > Polices > Administratev Tamplates > Windows Component > Windows Update редактриуем Specify Intranet Microsoft Update Service Location Properties включаем их Enable и указываем наш сервер:

Так же настраиваем Configure Automatic Updates

И включаем No auto-restart with logged on users for scheduled automatic updates installations выбираем Enable.

Перезагружаем пользовательский компьютер или обновляем у него администратором GPO
gpupdate /force
Вроде бы зафурычило, но почему то на сервере в WSUS не вижу во вкладке Computers хотябы одного статуса все нули. Пробовал:
wuauclt /detectnow
Не меняется ни чего, хотя на ПК пользователя вижу в log C:\Windows\WindowsUpdate.log ходит на сервер, но видимо обновлений нет, новых.

Настраиваем принтер
Для начала надо скачать драйвер для вашего принтера. Windows Server 2012 из-за своих настроек не даст все равно ничего скачать, сколько в них не капайся — то поиск на сайте не рабоатет то меню не показывается и так далее. Расшариваю на нем папку чтобы положить туда скачав с Windows 8. Принтер установлен теперь его расшариваем выбираем Printers Properties

Ставим галочки и пишем имя, в Additional Drivers ставим галочку на x86 он есть надо тока путь к нему указать. Во вкладки Securuty можно назначит группы которые могут печатать.

Идем в GPO User Configuration > Preference > Control Panel… > жмем правой мышь на Printer и New > Заполняем

Так же надо разрешить юзерам толи ставит драйверы толи подключатся к серверу идем в User Configuration > Policies > Administrative Templates > Control Panel > Printers и доводим Point and Print Restrictions до вида

Теперь обновляем GPO на сервере и на ПК
gpupdate

И оп появляется принтер, по умолчанию и работающий(был момент когда появлялся не работающий)!

Тут я так и не понял для вот такого подключения принтера нужна лицензия на устройство (CAL) или нет — потому что специальной роли Print Services для сервера я не ставил, и расшарить принтер я могу и на не сервере, и в GPO прописать — видимо тут кал не нужен!

Настраиваем EFS
Это шифрование файлов, помогает защитить их от чтения при загрузки с другой ОС. Но прежде чем её включать настроем агент DRA учетку которая сможет читать чужые зашифрованные файлы (сразу скажу что это способ работает для файлов пользователей оказавшихся на сервере, прочитать зашифрованные файлы на пользовательском компьюторе под учеткой с DRA — НЕ ЛЬЗЯ! Ну или помогите, как?).

Устанавливаем роль сервера Active Directory Certificate Services все по умолчанию. Опять появляется это сообщенеи до настроить после настройки тут тоже по умолчанию галочку на Certifacate Athurity

Теперь под учеткой Админа на Сервере делаем DRA для Админа (или для любой другой учетки лишь бы админа домена). Идем в GPO в наше по умолчанию политику котрая стала IPsec Police > Computer Configuration > Polices > Windows Settings > Security Settings и открываем Public Key Polices а там включаем Certificate Services Client — Auto Enrollemnt

Там же нажимаем правой мышью на папке Encrypting File System и выбираем Create Data Recovery Agent

Microsoft очень боится DRA агента и советует чтобы пароль вводили два человека по полам и никто не знал полного пароля — чтобы никто не смог прочитать файлы пользоватля… как будто самый младший админ не может сбросить пароль пользователя и войти под ним и прочитать все секреты ХА!

Там же в GPO настраиваем пользователям шифрование в Computer Configure > Polices > Windows Settings > Security Settings >Public Key Polices > Encrypting File System нажимаем Properties настраиваем, по сравнению с 2008 исчезло шифрование файла подкачки, и можно шифровать только папку Документы?!

К тому же надо настроить еще пару параметров в GPO тут Computer Configure > Polices > Administartiv Templates > Network > Offline Files> Encrypt The Offline Files Cache чтобы шифровать автономные файлы Enable.
И Computer Configure > Polices > Administartiv Templates > Windows Components > Search > allow Indexing Of Encrypted Files отключаем индексирование зашифрованных файлов, а вообщем в Windows Server 2012 нет уже это настройки!

Обновляем GPO, и добавляем тестового пользователя!
Заходим под новым доменным пользователем. Все файлы которые создаются в папке Documents имеют зеленый цвет названия. В других папках нет, но файлы можно зашифровать через их Propertis > Advenced

Выходим на ПК пользователя под доменным Администратором — Ничего не читается, и не дает скопировать на сервер.

Теперь загрузимся с Ubuntu и попытаемся открыт то что в зашифрованной папке

Не открывается и это уже хорошо! Только внимание шифруется не папка а каждый файл в нутри, прежде чем его кому то послать в свойствах надо убрать галку шифровать, как мне кажется.

Так все таки, как прочитать зашифрованные файлы если пользователь забыл пароль?
Надо на учетке пользователя сделать Reset password подождать пять минут, и зайти как пользователь прочитать файлы или скопировать их на Сервер — это способ работает если ПК живой и подключен к серверу.

Еще можно вынут жетский диск из локального ПК и подключить к Серверу, на виртуальке это проделал все читается. ПОЧЕМУ НЕЛЬЗЯ DRAЧИТЬ ПОД АДМИНОМ НА ПОЛЬЗОВАТЕЛЬСКОМ ПК.

Вродебы все нужное работает…

…продолжение следует читаю Администрирование Windows Servera 2008 с учетом версии R2