Установка контролера домену Windows Server 2012 за допомогою Powershell

За замовчуванням Windows Server 2012 встановлюється в режимі Server Core (Без графічного інтерфейсу і графічних інструментів управління). У такій конфігурації ОС досягається мінімальне споживання системних ресурсів (пам'яті, процесорного часу) під потреби самої ОС, а за рахунок меншої кількості коду, скорочується кількість вразливостей і поверхню атаки потенційним зловмисникам. Керувати таким сервером можливо через командний рядок або віддалено, за допомогою різних консолей.

В якості ідеального кандидата для розміщення на сервері Windows 2012 у режимі Core можна виділити роль контролера домену Active Directory. Контролер домену рідко управляється адміністратором AD локально, і практично не вимагає виконання будь-яких операцій, що вимагають обов'язкового доступу до сервера. Все що потрібно від адміністратора - встановити служби Active Directory і підвищити сервер до ролі контролера домену AD. Звичайно, контролер домену Windows 2012 можливо підняти і в графічному режимі (приклад описаний в статті, Оновлення Active Directory до Windows 2012), а потім переключиться назад в Windows 2012 Core, але навіщо такі складнощі, якщо контролер домена можна досить просто розгорнути тільки за допомогою командного рядка.

У статті ми покажемо як розгорнути контролер домену на Windows Server 2012 за допомогою команд Powershell, надає потужні можливості автоматизації розгортання контролерів домену на Windows Server 2012.

Як ви, мабуть, пам'ятаєте Microsoft вирішило відмовитися від звичної многи адміністраторам команди DCPROMO, що дозволяє підвищити (та й знизити теж) рядовий сервер до рівня контролера домену, замінивши функціонал Командлети Powershell.

Нас цікавлять такі команди PoSh:

  • Add-WindowsFeature AD-Domain-Services - установка ролі ADDS (Active Directory Domain Service)
  • Install-ADDSForrest - установка нового лісу (перший контролер домену в лісі)
  • Install-ADDSDomain - установка контролера домену в існуючому лісі

Нижче ми розберемо два сценарії: установка першого контролера в новому лісі AD і додавання додаткового контролера домену в існуючий домен.

В обох випадках в першу чергу на сервері потрібно встановити роль ADDS (Active Directory Domain Service). Powershell команда, яка виконує дану операцію виглядає так:

Add-WindowsFeature AD-Domain-Services

Установка додаткового контролера в існуючому домені AD

Припустимо, що домен AD вже розгорнуто, і від нас вимагається встановити в ньому додатковий контролер домену на Windows Server 2012.

Спочатку слід імпортувати модуль розгортання ADDS

Import-Module ADDSDeployment

Команда PoSh Install-ADDSDomainController розгортає новий контролер домену з наступними параметрами:

  • Шлях до бази: C: \ Windows \ NTDS
  • Каталог з логами: C: \ Windows \ NTDS
  • Каталог SYSVOL: C: \ Windows \ SYSVOL
  • RODC контролер: Немає
  • Глобальний каталог (Global Catalog): Так
  • Сервер DNS: Так

Однак проблема в тому, що в переважній більшості випадків такі параметри установки нового контролера домену системного адміністратора не влаштують.

Модифікована команда установки додаткового контролера домену може виглядати так (припускаємо, що описувати зазначені параметра сенсу не має, тому що їх назви говорять самі за себе).

Install-ADDSDomainController -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainName 'corp.winitpro.ru' -InstallDns: $ true -LogPath 'C: \ Windows \ NTDS' -NoGlobalCatalog: $ false -SiteName ' Default-First-Site-Name '-SysvolPath' E: \ SYSVOL '-NoRebootOnCompletion: $ true -Force: $ true

Після закінчення установки нового контролера домену потрібно перезавантажити сервер, виконавши команду:

Shutdown / r

Інсталяція першого контролера в новому домені за допомогою Powershell

У тому випадку, якщо домен ще не розгорнуто, для його установки нам знадобиться команда PoSh Install-ADDSForest, яка створює перший контролер в новому лісі Active Directory.

Припустимо, нам необхідно створити новий домен з ім'ям corp.winitpro.ru, рівень домену та ліси - Windows 2012.

Install-ADDSForest -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainMode 'Win2012' -DomainName 'corp.winitpro.ru' -DomainNetbiosName 'CORP' -ForestMode 'Win2012' -InstallDns: $ true -LogPath ' C: \ Windows \ NTDS '-NoRebootOnCompletion: $ true -SysvolPath' E: \ SYSVOL '-Force: $ true

В процесі виконання команди необхідно буде вказати пароль режиму відновлення Active Directory (Safe Mode Recovery password).

Після закінчення установки сервер необхідно перезавантажити.

Ще кілька корисних команд PowerShell для адміністратора контролера домену AD

Перейменувати ім'я першого сайту AD (за замовчуванням це Default-First-Site-Name):

Get-ADReplicationSite | Rename-ADObject -NewName "MainOffice"

Додати підмережа в сайт AD:

New-ADReplicationSubnet -Name "10.10.10.0/24" -Site MainOffice

Отримати список всіх підмереж:

Get-ADReplicationSubnet -Filter *

Включити кошик AD (Recycle Bin - Детальніше про кошику Active Directory в Windows Server 2012):

Enable-ADOptionalFeature "Recycle Bin Feature" -Scope Forest -Target 'corp.winitpro.ru'-confirm: $ false

Видалити ліс і домен (передбачається, що в домені залишився один останній AC):

Uninstall-ADDSDomainController-LastDoaminControllerInDomain -RemoveApplicationPartitions