Установка контроллера домена Windows Server 2012 с помощью Powershell

По умолчанию Windows Server 2012 устанавливается в режиме Server Core (без графического интерфейса и графических инструментов управления). В такой конфигурации ОС достигается минимальное потребление системных ресурсов (памяти, процессорного времени) под нужды самой ОС, а за счет меньшего количества кода, сокращается количество уязвимостей и поверхность атаки потенциальным злоумышленникам. Управлять таким сервером возможно через командную строку или удаленно, с помощью различных консолей.

В качестве идеального кандидата для размещения на сервере Windows 2012 в режиме Core можно выделить роль контроллера домена Active Directory. Контроллер домена редко управляется администратором AD локально, и практически не требует выполнения каких-либо операций, требующих обязательного доступа к серверу. Все что нужно от администратора — установить службы Active Directory и повысить сервер до роли контроллера домена AD. Конечно, контроллер домена Windows 2012 можно поднять и в графическом режиме (пример описан в статье, Обновление Active Directory до Windows 2012), а затем переключится обратно в Windows 2012 Core, но зачем такие сложности, если контроллер домена можно достаточно просто развернуть только с помощью командной строки.

В статье мы покажем как развернуть контроллер домена на Windows Server 2012 с помощью команд Powershell, предоставляющего мощные возможности автоматизации разворачивания контроллеров домена на Windows Server 2012.

Как вы, вероятно, помните Microsoft решило отказаться от привычной многи администраторам команды DCPROMO, позволяющий повысить (да и понизить тоже) рядовой сервер до уровня контроллера домена, заменив функционал командлетами Powershell.

Нас интересуют следующие команды PoSh:

• Add-WindowsFeature AD-Domain-Services – установка роли ADDS (Active Directory Domain Service)
• Install-ADDSForrest – установка нового леса (первый контроллер домена в лесу)
• Install-ADDSDomain – установка контролера домена в существующем лесу

Ниже мы разберем два сценария: установка первого контроллера в новом лесу AD и добавление дополнительного контроллера домена в существующий домен.

В обоих случаях в первую очередь на сервере требуется установить роль ADDS (Active Directory Domain Service). Powershell команда, выполняющая данную операцию выглядит так:

Установка дополнительного контроллера в существующем домене AD

Предположим, что домен AD уже развернут, и от нас требуется установить в нем дополнительный контроллер домена на Windows Server 2012.

Сначала следует импортировать модуль развёртывания ADDS

Команда PoSh Install-ADDSDomainController разворачивает новый контроллер домена со следующими параметрами:

• Путь к базе: C:\Windows\NTDS
• Каталог с логами: C:\Windows\NTDS
• Каталог SYSVOL: C:\Windows\SYSVOL
• RODC контроллер: Нет
• Глобальный каталог (Global Catalog): Да
• Сервер DNS: Да

Однако проблема в том, что в подавляющем большинстве случаев такие параметры установки нового контроллера домена системного администратора не устроят.

Модифицированная команда установки дополнительного контроллера домена может выглядеть так (предполагаем, что описывать указанные параметра смысла не имеет, т.к. их названия говорят сами за себя).

После окончания установки нового контролера домена потребуется перезагрузить сервер, выполнив команду:

Установка первого контроллера в новом домене с помощью Powershell

В том случае, если домен еще не развернут, для его установки нам понадобится команда PoSh Install-ADDSForest, которая создает первый контроллер в новом лесу Active Directory.

Предположим, нам необходимо создать новый домен с именем corp.winitpro.ru, уровень домена и леса — Windows 2012.

В процессе выполнения команды необходимо будет указать пароль режима восстановления Active Directory (Safe Mode Recovery password).

После окончания установки сервер необходимо перезагрузить.

Еще несколько полезных команд PowerShell для администратора контроллера домена AD

Переименовать имя первого сайта AD (по умолчанию это Default-First-Site-Name):

Добавить подсеть в сайт AD:

Получить список всех подсетей:

Удалить лес и домен (предполагается, что в домене остался один последний AC):

Установка и настройка контроллера домена на Windows Server 2012R2 с помощью PowerShell

По долгу своей службы иногда приходится устанавливать и настраивать сервера на базе Windows Server 2012 R2 в небольших организациях, где как правило не более 50 рабочих ПК, а основная роль сервера на базе Windows Server 2012 R2 — это AD, FS, DHCP, DNS. Именно поэтому в большинстве случаев я провожу типовую первоначальную настройку сервера с помощью PowerShell, а не GUI, т.к. с PowerShell — это в разы быстрее.

Ниже в статье я опишу как с помощью PowerShell без GUI:
1. Настроить часовой пояс и параметры сети для нового сервера.
2. Включить RDP, установить имя сервера.
3. Развернуть контроллер домена Active Directory.
4. Настроить службы DNS и DHCP.

Исходные данные:
ОС: Windows Server 2012 R2
Подсеть нашей организации: 192.168.100.0/24
IP-адрес первого контроллера домена: 192.168.100.2
IP-адрес шлюза в Интернет: 192.168.100.1
Имя первого контроллера домена: DC1
Имя домена: corp.myorg.ru
Netbios имя домена: DC
FQDN первого контроллера домена: DC1.corp.myorg.ru
DHCP-сервер, диапазон выдаваемых адресов: 192.168.100.10 — 192.168.100.254
Пароль Администратор: [email protected]

Итак приступим:

1. Устанавливаем Windows Server 2012R2 с графическим интерфейсом.

2. Настраиваем часовой пояс на Ekaterinburg Standard Time:

2. После установки первым делом меняем IP-адрес на сетевой карте, можно через GUI, а можно из командной строки cmd так:

2.1 Смотрим имя интерфейса:

2.2 Меняем IP-адрес:

здесь указаны:
name=Ethernet — имя сетевого интерфейса на сервере, его мы узнали в пункте 2.1
192.168.100.2 — IP-адрес нашего сервера
255.255.255.0 — маска подсети нашего сервера
192.168.100.1 — шлюз по-умолчанию в сети, у меня 192.168.100.1 это linux сервер с прозрачным прокси squid, у вас это может быть отдельный роутер

ВНИМАНИЕ! В процессе установки IP-адреса DNS сервера у нас будет выдано предупреждение:
Заданный DNS-сервер работает некорректно или не существует.
Это вполне логично, ведь мы задали в качестве DNS адрес 127.0.0.1, а самого DNS-сервера там еще нет, но он появиться после развертывания Active Directory.

2.3 Если Вы не планируете использовать в своей сети IPv6, то я настоятельно рекомендую его отключить.
В отличие от других протоколов, IPv6 нельзя отключить просто убрав галку в свойствах сетевого интерфейса.
Если поступить таким образом, то можно получить определенные проблемы с приложениями, которые используют loopback и интерфейсное туннелирование. Правильным способом отключения протокола IPv6 является его деактивация через системный реестр или с помощью MicrosoftEasyFix.

Мы скачаем MicrosoftEasyFix с сайта Microsoft.
Качаем файл «Отключение IPv6» (MicrosoftEasyFix20160.mini.diagcab) и запускаем на сервере.

Для любителей сделать все вручную через реестр, для отключения IPv6 в раздел реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters
создаем параметр DWORD (32-бита) с именем DisabledComponents и значением FF в шестнадцатеричной
системе (255 в десятичной) и перезагружаем сервер shutdown /r /t 00
или
Запускаем PowerShell от имени Администратора и вводим:

2.3 Включаем RDP, т.к. по умолчанию он выключен на сервере.
Запускаем PowerShell от имени Администратора и вводим:

3. Задаем имя нашего будущего контроллера домена.
Запускаем PowerShell от имени Администратора и вводим:

4. Развертываем Active Directory.
Традиционно для автоматической установки контроллера домена средствами командной строки использовалась команда Dcpromo, но в WindowsServer 2012 она признана устаревшей и рекомендуется использовать PowerShell, что мы и сделаем.

Как бы это выглядело через dcpromo:

Но нас интересует PowerShell, поэтому открываем консоль PowerShell от имени Администратор и выполняем пункты 4.1 и 4.2

4.1 Для установки роли доменных служб введем команду:

Параметр –IncludeAllSubFeature задает установку всех зависимых служб и компонентов вместе с родительской ролью, службой роли или компонентом, заданным параметром -Name
Параметр –IncludeManagementTools задает установку средств администрирования и управления.

На заметку: Средства Администрирования можно установить и отдельно командой:

4.2 Для создания нового домена в новом лесу введите команду:

После установки сервер будет автоматически перезагружен.

В модуле ADDSDeployment есть еще несколько полезных командлетов, перечислю их:
Add-ADDSReadOnlyDomainControllerAccount — Установка контроллера только для чтения
Install-ADDSDomain — Установить первый контроллер домена в дочернем или дереве домена
Install-ADDSDomainController — Установить дополнительный контроллер домена
Install-ADDSForest — Установить первый контроллер в новом лесу
Test-ADDSDomainControllerInstallation Verify — необходимые условия для установки дополнительного контроллера домена (проверка)
Test-ADDSDomainControllerUninstallation — удаление сервиса AD c сервера (проверка)
Test-ADDSDomainInstallation — Проверка необходимых условий для установки первого контроллера домена в дочернем или дереве домена.
Test-ADDSForestInstallation Установка первого контроллера в новом лесу (проверка)
Test-ADDSReadOnlyDomainControllerAccountCreation — Проверка необходимых условий для установки контроллера только для чтения
Uninstall-ADDSDomainController — Удаление контроллера домена с сервера

5. Приступить к дальнейшей настройке сервера, и первое, что нам нужно сделать — это создать обратную зону (reverse lookup zone) для нашей подсети 192.168.100.0/24 и добавить в неё PTR запись dc1.corp.myorg.ru с IP-адресом 192.168.100.2

Тут возможно 2 подхода: создать обратную зону из оболочки cmd с помощью dnscmd или на PowerShell.

5.1 Вариант с cmd

Запускаем командную строку cmd от имени Администратора и вводим:

5.2 Вариант с PowerShell

Запускаем PowerShell от имени Администратора и вводим:

Теперь если мы сделаем: nslookup 192.168.100.2 то у нас произойдет нормальное обратное преобразование.

6. Теперь нам необходимо установить и настроить DHCP-сервер:

Запускаем PowerShell от имени Администратора и вводим:

Добавим на сервер группы Пользователи DHCP и Администраторы DHCP:

Авторизируем наш новый DHCP сервера в домене Active Directory:

Зарегистрируем сервер DHCP для обновления зон в DNS:

Теперь выведем список авторизованных DHCP серверов в Active Directory:

Добавляем область и диапазон выдаваемых адресов для неё:

Устанавливаем параметры DHCP-сервера:

Посмотрим результат конфигурации:

Установим параметры для области 192.168.100.0:

На заметку: Если после конфигурации DHCP выходит сообщение, что конфигурация не настроена, то выполняем:

Теперь можно перезагрузить сервер:

На этом настройка сервера завершена, после перезагрузки у нас будет работоспособный домен Active Directory со службами DNS и DHCP.

На этом все, до скорых встреч. Если у Вас возникли вопросы или Вы хотите чтобы я помог Вам, то Вы всегда можете связаться со мной разными доступными способами.

Начало работы с Windows Server 2012 R2

Windows Server 2012 R2 — решение для организации единой инфраструктуры в компании любого размера. WS также применяют для аутентификации и идентификации пользователей. Рассмотрим начало работы с Windows Server 2012 R2: установку, настройку и добавление новых пользователей для удаленного доступа.

Установка Windows Server 2012 R2 на VDS

На хороших хостингах установить Windows Server можно в автоматическом режиме при создании нового VDS. Посмотрим, как это работает, на примере Timeweb.

Открываем панель управления VDS.

Переходим в раздел «Список VDS».

Нажимаем на кнопку «Создать сервер».

Указываем любое имя и комментарий (опционально).

Выбираем в списке операционных систем Windows Server 2012 R2.

Настраиваем конфигурацию сервера: количество ядер процессора, объем оперативной памяти (минимум 512 МБ) и размер хранилища (минимум 32 ГБ).

Включаем защиту от DDoS, если она требуется.

Нажимаем на кнопку «Создать сервер».

Лицензия уже входит в итоговую стоимость сервера. При создании VDS система будет установлена и активирована. Хостер отправит на почту данные для авторизации на сервере, чтобы вы могли его настроить.

Если на хостинге нет автоматической установки Windows Server, то придется инсталлировать систему вручную. Для этого нужно купить лицензию и скачать ISO-образ WS 2012 R2.

Для установки системы из ISO-образа обычно используется панель VMmanager. Порядок ручной инсталляции такой:

Открываем раздел «Виртуальные машины» в меню слева.

Останавливаем VDS, на который будем устанавливать WS 2012 R2.

Кликаем на кнопку «Диски» на верхней панели.

Выбираем пункт «ISO» на верхней панели.

В строке «Имя образа» выбираем дистрибутив Windows Server, указываем шину «IDE» и порядок загрузки «В начало».

Возвращаемся в раздел «Диски виртуальной машины» и ставим шину IDE для виртуального диска.

Жмем на кнопку «Интерфейсы» на верхней панели.

Выбираем интерфейс и нажимаем на кнопку «Изменить».

Далее – интерфейс «rtl8139». Это нужно для автоматической установки сетевого адаптера.

Возвращаемся в раздел «Виртуальные машины» и запускаем VDS, которую мы остановили на втором шаге.

Переходим в консоль VNC — на верхней панели есть соответствующая кнопка.

В VNC-консоли запустится установка Windows Server 2012 R2. Если вы ставили любую другую версию ОС от Майкрософт, то без проблем здесь разберетесь.

Нажимаем на кнопку «Установить».

Вводим лицензионный ключ для активации системы.

Выбираем установку с графическим интерфейсом — так будет проще разобраться с настройками.

Принимаем лицензионное соглашение.

Запускаем выборочную установку.

Выбираем диск и при необходимости делим его на части.

Ждем, пока скопируются файлы.

Придумываем пароль администратора.

Ожидаем завершения установки.

Ручная установка занимает заметно больше времени и требует опыта в администрировании. Автоматическая же инсталляция намного быстрее и проще.

Защита от DDoS + CDN в подарок при заказе VDS Timeweb

Обезопасьте свой проект и ускорьте его работу: при заказе любого тарифа вы получаете защиту от DDoS + CDN на 3 месяца бесплатно. Сообщите в поддержку промокод community3.

Настройка Windows Server 2012 R2

Сразу после установки рекомендуется установить обновления.

Открываем «Панель управления».

Переходим в раздел «Система и безопасность».

Открываем «Центр обновления».

Запускаем поиск и установку апдейтов.

Система установлена, обновления есть — теперь приступаем к настройке базовых параметров.

Первый шаг — изменение имени, чтобы было удобно настраивать подключения.

Открываем раздел «Панель управления» — «Система и безопасность» — «Система».

Нажимаем на ссылку «Изменить параметры».

В появившемся окне на вкладке «Имя компьютера» нажимаем на кнопку «Изменить».

В строке «Имя компьютера» указываем имя сервера, которое будет удобно использовать для настройки подключений. Например, WServer.

Перезагружаем машину для применения параметров.

Следующий шаг — проверка IP-адреса, по которому будет доступен сервер.

Открываем поисковую строку и вводим запрос «ncpa.cpl» и нажимаем на Enter.

Находим основной сетевой адаптер, кликаем по нему правой кнопкой и открываем «Свойства».

Выделяем «Протокол интернета версии 4» и нажимаем на кнопку «Свойства».

Прописываем IP-адрес, маску сети, шлюз по умолчанию, адреса DNS-серверов.

Теперь нужно добавить роли и компоненты.

Запускаем «Диспетчер серверов».

В «Панели мониторинга» нажимаем «Добавить роли и компоненты».

Выбираем тип установки «Установка ролей или компонентов».

На вкладке «Выбор сервера» выделяем свой VDS.

Выбираем из списка стандартные роли, которые подходят для решения большинства задач. Если вам нужны другие роли, отметьте их тоже.

Доменные службы Active Directory

Службы политики сети и доступа

Службы активации корпоративных лицензий

Службы удаленных рабочих столов

Файловые службы и хранилища

На вкладке «Компоненты» оставляем стандартные отметки. Единственное возможное изменение — включение службы беспроводной локальной сети.

На вкладке «Службы ролей» отмечаем роли, необходимые для работы с удаленными рабочими столами.

Лицензирование удаленных рабочих столов

Узел виртуализации удаленных рабочих столов

Узел сеансов удаленных рабочих столов

Шлюз удаленных рабочих столов

В службах ролей удаленного доступа можно также отметить работу с VPN и прокси, если есть такая необходимость.

Доходим до вкладки «Подтверждение». Отмечаем опцию «Автоматический перезапуск конечного сервера, если требуется». Нажимаем на кнопку «Установить» и ждем завершения инсталляции.

После установки нужно все настроить. Начнем с DNS.

Настройка DNS

Открываем «Диспетчер серверов».

Жмемна флажок на верхней панели.

Кликаем на опцию «Повысить роль этого сервера до контроллера домена».

В конфигурации развертывания выбираем режим «Добавить новый лес» и придумываем корневой домен. Название может быть любым — например, domain.com.

На вкладке «Параметры контроллера» указываем новый пароль и нажимаем «Далее». Затем доходим до вкладки «Проверка предварительных требований». Если параметры установлены верно, то в окне будет сообщение о том, что все проверки готовности к установке выставлены успешно. Нажимаем на кнопку «Установить».

После завершения инсталляции перезагружаем сервер и авторизируемся под именем администратора.

После перезагрузки продолжаем настройку DNS.

Открываем «Диспетчер серверов».

Переходим в меню «Средства» на верхней панели и выбираем пункт «DNS».

В диспетчере DNS разворачиваем ветку DNS — Server — «Зоны обратного просмотра». Кликаем правой кнопкой мыши и выбираем пункт «Создать новую зону».

Выбираем тип зоны «Основная» и отмечаем пункт «Сохранять зону в Active Directory».

Выбираем режим «Для всех DNS-серверов, работающих на контроллерах домена в этом домене».

Отмечаем зону обратного просмотра IPv4.

В строке «Идентификатор сети» выбираем диапазон IP-адресов или имя зоны.

На следующем шаге разрешаем безопасные динамические обновления.

Жмем «Готово» для применения конфигурации.

Настройка DHCP

Следующий шаг — настройка DHCP. Это нужно для того, чтобы сервер мог раздавать диапазон IP.

Открываем «Диспетчер серверов».

Нажимаем на флажок и выбираем пункт «Завершение настройки DHCP».

В разделе «Авторизация» отмечаем пункт «Использовать учетные данные следующего пользователя» и нажимаем на кнопку «Фиксировать».

В разделе «Сводка» нажимаем «Закрыть».

Открываем меню «Средства» на верхней панели и выбираем пункт «DHCP».

Разворачиваем ветку DHCP — «Имя домена» — IPv4. Кликаем по IPv4 правой кнопкой и выбираем пункт «Создать область».

Задаем любое название области.

Прописываем диапазон IP-адресов, которые будет раздавать сервер. Он задается по желанию пользователя.

В следующем окне исключаем определенный диапазон адресов. Этот шаг можно пропустить.

Задаем срок действия IP-адреса для устройства. По истечении указанного периода адрес изменится.

Отмечаем пункт «Да, настроить эти параметры сейчас».

Добавляем IP-адрес маршрутизатора или пропускаем этот шаг.

Указываем имя домена в качестве родительского домена.

Подтверждаем, что хотим активировать область сейчас.

Нажимаем «Готово» для сохранения конфигурации.

Настройка сервера для подключения по RDP

Чтобы к VDS можно было подключаться по RDP, должны быть установлены следующие роли и компоненты:

Службы удаленных рабочих столов.

Лицензирование удаленных рабочих столов

Узел сеансов удаленных рабочих столов

Шлюз удаленных рабочих столов

Все эти роли и компоненты мы установили в предыдущем разделе. Теперь нужно настроить групповую политику.

Открываем «Поиск» на панели инструментов.

Находим и открываем редактор групповых политик — gpedit.msc.

Переходим на ветку «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов удаленных рабочих столов» — «Лицензирование».

Разворачиваем пункт «Использовать указанные серверы лицензирования удаленных рабочих столов».

В строке «Использовать серверы лицензий» указываем имя или адрес своего сервера.

Возвращаемся обратно в раздел «Лицензирование» и открываем пункт «Задать режим лицензирования».

Выбираем режим лицензирования — на пользователя или на устройство в зависимости от того, какой тип лицензии имеется.

После настройки групповых политик переходим к самому лицензированию.

Открываем «Панель управления».

Переходим в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования».

Кликаем по серверу правой кнопкой и нажимаем «Активировать».

Выбираем метод подключения «Авто».

Вводим имя, фамилию, организацию, страну расположения сервера. Можно указать любые данные, они не проверяются.

Запускаем мастер установки лицензий.

Выбираем программу лицензирования, по которой была приобретена лицензия.

Вводим ключ активации, который получили после покупки лицензии.

Указываем количество пользователей/устройств, если оно не определилось автоматически.

Нажимаем «Готово», чтобы завершить работу мастера установки лицензий.

Затем нужно вернуться в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования» и посмотреть, активирован ли сервер. Если да, значит, настройка успешно завершена.

На иконке сервера может быть желтый значок предупреждения. Чтобы устранить проблемы, нажимаем на ссылку «Рецензия». В меню будут пункты, которые необходимо отметить.

Добавление пользователей для подключения через RDP

После успешного лицензирования добавляем первого пользователя для подключения через RDP.

Открываем «Диспетчер серверов».

Раскрываем меню «Средства», выбираем пункт «Пользователи и компьютеры Active Directory».

Разворачиваем раздел «Пользователи и компьютеры».

Кликаем правой кнопкой по своему домену и выбираем пункт «Создать» — «Подразделение».

Задаем имя подразделения — например, «Пользователи».

Кликаем правой кнопкой по созданному подразделению и выбираем пункт «Создать» — «Пользователь».

В карточке пользователя задаем параметры: имя, фамилию, имя на латинице для авторизации.

Указываем пароль и настраиваем его параметры — например, можно запретить смену пароля пользователем и сделать срок действия неограниченным.

Нажимаем «Готово» для сохранения конфигурации.

Аналогичным образом добавляются другие пользователи, которые могут удаленно подключаться к серверу с Windows Server 2012.

Базовая настройка Windows Server 2012 R2 завершена.