воскресенье, 8 июня 2014 г.

Контроллер домена, DNS и DHCP на Windows Server 2012 R2 в Server Core

На сервере должно быть установлено только минимально необходимое ПО, и с появлением в Windows Server 2008 варианта установки Server Core, это стало действительно так. В самом деле, на сервер Active Directory нет никакой необходимости устанавливать полный комплект ПО, который никогда использоваться не будет, например "Проводник" и "Internet Explorer". К тому же, поскольку этого ПО на сервере не будет, ненужно будет устанавливать на него обновления и лишний раз перезагружать сервер. Поэтому я задался идеей сделать максимально простую, безопасную и минималистичную инфраструктуру, рулить которой можно оснастками RSAT (Remote Server Administration Tools) с машины администратора.

И так, приступим и установим Windows Server 2012 R2 в режиме Server Core.


Предварительная подготовка

После установки и ввода пароля адсинистратора сервер приветствует нас окошком cmd. Настроить сервер нам поможет утилита "sconfig". Просто наберитие в окне cmd "sconfig":
C:\Windows\System32\> sconfig
В первую очередь зададим имя хоста.
Выберем пункт 2.
Затем настроим на сервере статический IP-адрес, выбрав пункт 8, и ID сетевого интерфейса.
Теперь сервер необходимо перезагрузить, выбрав пункт 13.

Я использую следующие параметры:
ServerAD - имя сервера AD;
doomgate.local - имя домена;
DG - сокращённое имя домена;
10.120.36.0 - адрес сети;
10.120.36.1 - адрес шлюза;
10.120.36.10 - адрес контроллера домена и DNS;
255.255.255.0 - маска подсети.

Установка службы Active Directory и DNS в Server Core

После запуска сервера создадим файл ответов для утилиты dcpromo.
Запустим "блокнот".
C:\Windows\System32\> notepad
И напишем там переменные и их значения:
[DCInstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=doomgate.local
DomainNetbiosName=DG
InstallDNS=Yes
ConfirmGC=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=(пароль)
RebootOnCompletion=Yes
ReplicaOrNewDomain - означает, что мы создаём новый домен;
NewDomain - создаём домен в новом лесу;
NewDomainDNSName - указываем DNS-имя домена;
DomainNetbiosName - указываем краткое имя домена;
InstallDNS - будем устанавливать службу DNS на этом контроллере домена;
ConfirmGC - этот сервер будет являться сервером глобального каталога;
CreateDNSDelegation - не делегировать этот DNS сервер;
DatabasePath - путь к БД;
LogPath - путь к логам;
SYSVOLPath - папка SYSVOL;
SafeModeAdminPassword - пароль для восстановления AD;
RebootOnCompletion - перезагрузить сервер после окончания установки.
Параметров на самом деле может быть и больше, опционально можно установить уровень функционирования домена и леса, я лишь привёл минимально необходимые параметры для установки нового домена в новом лесу.

Теперь сохраняем эти ответы в файл скажем "C:\dcinstall.txt", запускаем dcpromo и даём ему в качестве параметра наш файл ответов.
C:\Windows\System32\> dcpromo /unattend:"C:\dcinstall.txt"
Теперь остаётся дождаться окончания инсталляции службы AD, сервер перезагрузится автоматически.

Удалённое управление в Server Core

Важная особенность, поскольку мы собираемся управлять нашим сервером через оснастки RSAT, необходимо после инсталляции Active Directory, включить на сервере удалённое управление.

Запускаем снова "sconfig", и выбираем пункт 4, Enable remote management, можно так же включить ответ на ping, если хотите, чтобы сервер отвечал на пинги.

Пункт 7, включает удалённый рабочий стол (rdp), можно так же его включить.

Установка и конфигурирование DHCP в Server Core

Вообще говоря размещать службу DHCP на контроллере домена считается не безопасно, но в тестовой среде или при отсутствии мощностей вполне возможно.

И так, для начала необходимо установить саму роль DHCP сервера, для этого воспользуемся оснасткой "DISM".
C:\Windows\System32\> Dism /online /enable-feature /featurename:DHCPServer
После установки роли, добавим DHCP сервер в автозапуск:
C:\Windows\System32\> sc config dhcpserver start=auto
И запустим службу:
C:\Windows\System32\> net start dhcpserver
Теперь авторизуем наш DHCP сервер в домене:
C:\Windows\System32\> netsh dhcp add server ServerAD 10.120.36.10
Создадим область, в которой мы будем раздавать адреса:
C:\Windows\System32\> netsh dhcp server \\ServerAD add scope 10.120.36.0 255.255.255.0 MyNetwork
Теперь создадим в этой области диапазон адресов для раздачи. Будем выдавать адреса с  10.120.36.1 по 10.120.36.254:
C:\Windows\System32\> netsh dhcp server \\ServerAD scope 10.120.36.0 add iprange 10.120.36.1 10.120.36.254
Исключим из этого диапазона все адреса с 10.120.36.1 по 10.120.36.50, в этот диапазон можно посадить сервера с фиксированными IP, сетевые принтеры или клиентов, которым будем выдавать адреса на основе их mac-адресов:
C:\Windows\System32\> netsh dhcp server \\ServerAD scope 10.120.36.0 add excluderange 10.120.36.1 10.120.36.50
Добавим в область шлюз по-умолчанию:
C:\Windows\System32\> netsh dhcp server \\ServerAD scope 10.120.36.0 set optionvalue 003 IPADDRESS 10.120.36.1
Добавим DNS-сервер:
C:\Windows\System32\> netsh dhcp server \\ServerAD scope 10.120.36.0 set optionvalue 006 IPADDRESS 10.120.36.10
Укажем DNS-имя домена:
C:\Windows\System32\> netsh dhcp server \\ServerAD scope 10.120.36.0 set optionvalue 015 string doomgate.local
И наконец сделаем область активной:
C:\Windows\System32\> netsh dhcp server \\ServerAD scope 10.120.36.0 set state 1
Теперь можно выставлять на клиентских машинах DHCP в настройках сетевых интерфейсов, они должны получать IP, адрес шлюза и имя домена по DHCP и можно начинать включать компьютеры в домен.

Оснастки Remote Server Administration Tools

Скачать оснастки RSAT можно с сайта Microsoft:

Средства удаленного администрирования сервера для Windows Vista
Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)
Средства удаленного администрирования сервера для Windows 8
Средства удаленного администрирования сервера для Windows 8.1

Установив их нужно активировать необходимы компоненты, для этого идём в "Программы и компоненты" и "Включение и отключение компонентов Windows", и ставим следующие компоненты:

После перезагрузки в папке "Администрирование" у нас появились нужные нам оснастки:

Теперь лезть на сервер каждый раз нет никакой необходимости, разве, что только для установки обновлений. Всё прекрасно рулится с машины администратора.

Комментариев нет:

Отправить комментарий