Windows Server Core:Cài đặt Bộ điều khiển miền Active Directory

Windows Server Core là một nền tảng tốt để lưu trữ vai trò bộ điều khiển miền Active Directory do ít yêu cầu tài nguyên hơn, tăng tính ổn định và bảo mật (do ít mã và cập nhật hơn). Trong bài viết này, chúng tôi sẽ hướng dẫn cách cài đặt bộ điều khiển miền trên Windows Server Core 2019 trong khu rừng Active Directory mới hoặc hiện có bằng PowerShell.

Nội dung:

• Cách cài đặt bộ điều khiển miền Active Directory bằng PowerShell?
• Kiểm tra tình trạng của bộ điều khiển miền trên lõi máy chủ
• Cài đặt Bộ điều khiển miền AD bằng Trung tâm Quản trị Windows (WAC)

Cách cài đặt bộ điều khiển miền Active Directory bằng PowerShell?

Cài đặt Windows Server Core trên máy chủ mới (vật lý hoặc ảo), định cấu hình cài đặt máy chủ cơ bản:đặt tên máy chủ, cài đặt mạng (địa chỉ IP tĩnh, mặt nạ mạng con, cổng, DNS), ngày / giờ, múi giờ, v.v.

Rename-Computer -NewName hb-dc03
Get-NetAdapter
$ip = "192.168.13.11"
$gw="192.168.13.1"
$dns = "192.168.13.10"
New-NetIPAddress -InterfaceAlias Ethernet -IPAddress $ip -AddressFamily IPv4 -PrefixLength 24 –DefaultGateway $gw
Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses $dns

Bước tiếp theo là cài đặt role Active Directory Domain Services (ADDS). Để thực hiện, hãy chạy lệnh sau trong bảng điều khiển PowerShell:

Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose

Get-WindowsFeature -Name *AD*

Sau khi cài đặt vai trò ADDS, bạn có thể sử dụng ADDSDeployment lệnh ghép ngắn mô-đun để triển khai miền mới, rừng hoặc bộ điều khiển miền bổ sung:

Get-Command -Module ADDSDeployment

Có ba trường hợp có thể xảy ra:

• Cài đặt Khu rừng Active Directory mới :Install-ADDSForest -DomainName woshub.com -ForestMode Win2016 -DomainMode Win2016 -DomainNetbiosName WOSHUB -InstallDns:$true
• Install-ADDSDomain cmdlet cho phép tạo miền mới trong khu rừng Active Directory hiện có
• Install-ADDSDomainController - cho phép thêm bộ điều khiển miền mới (bổ sung) vào miền Active Directory hiện có

Trong hầu hết các trường hợp, bạn sẽ sử dụng tình huống thứ 3 - thêm bộ điều khiển miền bổ sung vào miền Active Directory hiện có.

Trong trường hợp đơn giản, khi bạn muốn thêm DC bổ sung mới vào trang web Tên-Tên-Mặc định, hãy chạy lệnh này:

Install-ADDSDomainController -DomainName woshub.com -InstallDns -Credential (get-credential WOSHUB\Administrator) -DatabasePath "D:\ADDS\DB" -LogPath "D:\ADDS\Log" -SysvolPath "D:\ADDS\SYSVOL"

Ngoài ra, bạn có thể chỉ định trang Active Directory mà bạn muốn đặt bộ điều khiển miền mới của mình. Chúng tôi cũng sẽ chỉ định rằng DC sẽ là Danh mục chung và đặt mật khẩu DSRM (Chế độ khôi phục dịch vụ thư mục) bằng lệnh ConvertTo-SecureString:

Install-ADDSDomainController -DomainName woshub.com -InstallDns:$true -NoGlobalCatalog:$false -SiteName 'Hamburg' -NoRebootOnCompletion:$true -Force:$true -SafeModeAdministratorPassword (ConvertTo-SecureString 'R0DCP@ssw0rd' -AsPlainText -Force) -Credential (get-credential WOSHUB\Administrator) –verbose

Kiểm tra đầu ra lệnh cẩn thận, nếu nó ổn, sau đó khởi động lại máy chủ của bạn:

Restart-Computer

Kiểm tra tình trạng bộ điều khiển miền trên lõi máy chủ

Sau khi cài đặt bộ điều khiển miền, hãy thực hiện một số kiểm tra cơ bản để đảm bảo rằng bộ điều khiển miền mới đã được thêm thành công vào miền và tham gia vào quá trình nhân rộng.

Bạn có thể quản lý bộ điều khiển miền trên Windows Server Core từ một máy chủ khác bằng cách sử dụng snap-in Active Directory đồ họa tiêu chuẩn (dsa.msc , gpmc.msc , dnsmgmt.msc , dssite.msc , adsiedit.msc , domain.msc ) hoặc từ máy tính chạy Windows 10 có cài đặt RSAT (Rsat.ActiveDirectory.DS-LDS.Tool ).

Mở ADUC (dsa.msc ) bảng điều khiển trên bất kỳ máy tính nào và đảm bảo rằng DC mới xuất hiện trong Bộ điều khiển miền Đơn vị tổ chức.

Sau khi khởi động lại Windows Server Core, bạn phải đăng nhập vào máy chủ lưu trữ bằng tài khoản quản trị viên miền.

Sử dụng lệnh ghép ngắn Get-ADDomainController, đảm bảo rằng bộ điều khiển miền được đặt trên đúng trang web AD:

Get-ADDomainController -Discover

Kiểm tra xem các dịch vụ Active Directory có đang chạy không:

Get-Service adws,kdc,netlogon,dns

Ngoài các chia sẻ quản trị ẩn tích hợp sẵn, các thư mục SYSVOL và NETLOGON phải được chia sẻ:

Get-SMBShare

Đảm bảo rằng có các sự kiện ADDS trong Trình xem sự kiện:

Get-Eventlog "Directory Service" | Select-Object entrytype, source, eventid, message
Get-Eventlog "Active Directory Web Services" | Select-Object entrytype, source, eventid, message

Sau đó, thực hiện kiểm tra bằng dcdiag (tất cả các giai đoạn phải được Vượt qua) và kiểm tra sự sao chép giữa các DC bằng cách sử dụng các lệnh sau:

repadmin /replsummary

hoặc

Get-ADReplicationFailure -Target DC03

Kiểm tra vị trí của các vai trò FSMO trong miền và rừng của bạn. Nếu cần, hãy chuyển các vai trò FSMO sang DC mới của bạn:

Netdom /query FSMO

Cài đặt Bộ điều khiển miền AD bằng Trung tâm quản trị Windows (WAC)

Để cài đặt bộ điều khiển miền trong Windows Server Core, bạn cũng có thể sử dụng Trung tâm quản trị Windows (WAC) giao diện web.

1. Thêm máy chủ Windows Server Core của bạn vào giao diện Trung tâm quản trị Windows;
2. Để cài đặt vai trò ADDS, hãy mở Vai trò và tính năng , chọn Dịch vụ miền Active Directory trong danh sách các vai trò có sẵn và nhấp vào Cài đặt ;
3. Xác nhận việc cài đặt các công cụ quản trị và vai trò;
4. Để quảng bá Windows Server Core cho bộ điều khiển miền, hãy mở bảng điều khiển web PowerShell và sử dụng các lệnh ghép ngắn hiển thị ở trên để định cấu hình DC;
5. Khi quá trình cài đặt DC kết thúc, hãy khởi động lại Server Core và kết nối lại với WAC bằng tài khoản miền;
6. Để quản lý Active Directory từ giao diện web, hãy cài đặt tiện ích mở rộng WAC đặc biệt (tiện ích này có sẵn ở chế độ Xem trước). Vì vậy, một phần mới sẽ xuất hiện trong Trung tâm quản trị Windows của bạn, nơi bạn có thể xem và quản lý cây quảng cáo của mình.