Ранее разговор был о том, как нельзя проектировать службы каталогов. Сейчас же, мы поговорим о практической составляющей и применим ранее полученное знание на практике. В этой статье будут рассмотрены вопросы подготовки свежего сервера под новый лес Active Directory. Задачи не сложные, но критически важные! Именно сейчас закладывается фундамент будущей инфраструктуры.
Инсталляция операционной системы
В качестве платформы виртуализации будет использоваться инфраструктура VMWare, VSphere 6.7 с гипервизором той же версии.
Сама же виртуальная машина должна обладать следующими минимальными техническими характеристиками – 1 Core, 2 RAM, 30 GB SSD.
При проектировании инфраструктуры возникает вопрос именования как виртуальных машин, так и самих хостов. В этом вопросе моя позиция состоит в жестком соблюдении конвенции именования. Например, виртуальная машина будет иметь следующее имя: kv-dc01.corp.norvato.pp.ua, где
- Обязательный географический признак, например, kv – Kyiv;
- Сокращение dc будет означать domain controller;
- 01, порядковый номер сервера. Если планируется несколько серверов с развертываемым сервисом, номер обязателен;
- corp.norvato.pp.ua – внутренняя DNS зона организации.
Описанный способ удобен ввиду явной однозначности интерпретирования. Можно с уверенностью понять, что за сервис и где его расположение.
В качестве операционной системы будет использоваться Windows Server 2019 Standard Core. В конфигурации виртуальной машины обязательное наличие UEFI и включенным Secure Boot. Сервер устанавливается стандартно и после завершения процесса необходимо задать пароль встроенной учетной записи Administrator:
После описанных шагов, сервер готов для предварительной конфигурации перед установкой первого контроллера домена.
Пост конфигурация
Средства интеграции VMWare Tools
Как ранее я писал, моя лаба будет построена на технологии виртуализации VMWare. Это означает, что самым первым обязательным шагом будет инсталляция средств интеграции VMWare Tools. Установка происходит вызовом этого действия консоли VMRC или веб клиента.
Как только ISO файл будет примонтирован к виртуальной машине, необходимо выполнить D:\setup64.exe, тем самым запустив установку средств интеграции. В конце выполнения мастер попросит о перезагрузке:
Утилита sconfig
После перезагрузки, для дальнейшей конфигурации сервера, будет использована утилита sconfig. Она появилась с Windows Server 2008 R2 Core в качестве штатной утилиты для быстрой начальной настройки. Вызвать ее можно выполнив sconfig в окне cmd:
С помощью нее выпонняем следующую настройку:
- Имени сервера (опция 2), в моем случае kv-dc01;
- Устанавливаем все необходимые обновления (опция 6);
- Задаем сетевые настройки (опция 2). Устанавливаем статический IP адрес;
- Указываем корректный часовой пояс (опция 9);
- Активируем сервер (опция 11).
Отключение IPv6
В дефолтном состоянии сетевого интерфейса автоматически сконфигурирован link-local IPv6 адрес. Интерфейс будет ждать любого анонса от IPv6 роутера, который даст динамический адрес. Если в вашей сетевой инфраструктуре не используется протокол IPv6, рекомендую отключить его поддержку. Делается это так:
1 | Get-NetAdapterBinding -InterfaceAlias Ethernet | Select-Object Name,DisplayName,ComponentID |
1 | Disable-NetAdapterBinding -InterfaceAlias Ethernet -ComponentID ms_tcpip6 |
Установка нового контроллера домена Active Directory
Для установки мне потребуется PowerShell контекст. Для этого стоит лишь выполнить команду PowerShell в CMD.
Длалее, выполняем установку бинарников служб каталогов Active Directory следующим командлетом:
1 | Install-WindowsFeature AD-Domain-Services -IncludeManagementTools |
Воспользуемся коммандлетом Install-ADDSForest для создания нового леса и домена. Поего его выполнения:
1 | Install-ADDSForest -DomainName "corp.norvato.pp.ua" -InstallDNS |
потребуется ввести пароль DSRM администратора нового контроллера домена:
После успешной установки:
потребуется перезагрузка.
Проверка роботоспособности инсталяции
Указанные службы должны быть запущены:
1 | Get-Service adws,kdc,netlogon,dns |
Проверка работоспособности сервисов Active Directory
Сетевые шары должны присуствовать:
1 | Get-SmbShare |
Должны быть события в журналах Directory Service и Active Directory Web Services:
1 | Get-Eventlog "Directory Service" | select entrytype, source, eventid, message |
1 | Get-Eventlog "Active Directory Web Services" | select entrytype, source, eventid, message |
На этом установка первого контроллера домена завершена. В итоге, мы получили сервер под управлением Windows Server Core c доменными службами Active Directory на борту. Вариант именно с Core редакцией так же несет бонус по затрачиваемым ресурсам. Для работы системы требуется меньшее количество RAM, CPU и HDD/SSD.
С другой стороны, если все же требуются GUI инструменты для администрирования, существует множество способов как их обеспечить. В следующей статье я обязательно вернуть к этому вопросу.
Слишком много грамматических и орфографических ошибок
Андрей, спасибо! Статья писалась ночью и требовала более тщательной вычитки.
Александр, ошибка в описании. MS не рекомендует запрещать IPV6, даже если он не нужен для работы Ваших программ.https://docs.microsoft.com/en-us/archive/blogs/netro/arguments-against-disabling-ipv6