Windows Server 2019 — установка контроллера домена
Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.
AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.
Как включить службы Active Directory в Windows 10?
Остается активировать необходимую функцию RSAT.
- Правой кнопкой на Start и выберите Control Panel
- Выберите Programs and Features
- На левой панели нажмите Turn Windows features on or off
- Разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
- Выберите AD DS Tools и нажмите OK.
Однако вы можете установить функцию AD из командной строки только с помощью этих трех команд:
Active directory не видит компьютер
Решил обновить биос на серваке.
Загрузился с дискеты, сделал резервную копию, обновил. Загрузил биос по дефолту, настроил. После загрузки система стала долго грузиться, сама сеть видит, войти никуда не может. Настройки контроллера домена недоступны (говорит нет прав).
Нифига не получилось.
Восстановил резевную копию БИОСА, а также резервную копию системного раздела (сделал 2 дня назад). Результат тот же самый.
С рабочих станций в сеть войти нельзя, только локально.
Вопрос — что за хрень?
Каким образом обновление БИОСа смогло повлиять на контроллер домена?
Мать SuperMicro 370DL3
При попытке изменить какие-нибудь настройки домена выдается ссобщение «The specified domen eihter does not exist ore could not be contacted»
Сеть втроенная, БИОС по умолчанию ставил
Мать со скази, системный винт висит на скази
Такое ощущение, что не все службы запускаются .
Вопрос: какие службы должны запускаться автоматом?
Возможно проблема с сетевой картой или таймингами памяти.
Да вообще много служб должно запускатся, лучше спроси какие конкретно тебя интересуют
Иногда при загрузке выдается сообщение «Windows 2000 could not be starter as configured. A previose worked configuratiosns was used instead»
При попытке обращения из сети с рабочей станции выдается сообщение «Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть»
Кстати, можно ли скопировать настройки AD, домена. А затем поставить домен заново и развернуть настройки
После запуска сервиса NET logon я могу зайти в настройки домена.
Этот сервис автоматически должен грузиться или нет?
А также следующие сервисы:
— Call RPC locator
— TMA distribution
— Utiliti manager
Нашел текст по восстановлению, dsdiag это программа входящая в комплект Support Tools и запускатся из командной строки.
Прежде всего, для выполнения любого вида восстановления, вы должны перезагрузить сервер в режиме Directory Service Restore Mode (режим восстановления службы каталога), который выбирается из меню дополнительных загрузочных опций (это меню вызывается нажатием клавиши F8). Существует два вида восстановления, которые упоминаются как Authoritative (принудительное – по терминологии Microsoft) и Non-Authoritative (непринудительное) восстановление.
Непринудительное восстановление просто восстанавливает Active Directory в состояние, в котором она находилась в момент выполнения резервного копирования, и позволяет репликации с других серверов перезаписывать изменения, которые произошли в сети за это время. Например, пусть мы произвели резервное копирование AD на контроллере домена вчера, а чуть позже этот контроллер сломался. За прошедшее время вы удалили несколько пользователей, используя другие контроллеры домена. Когда вы выполнили непринудительное восстановление – вся база данных была восстановлена (включая тех пользователей, которых вы уже удалили). Однако, в ходе репликации, эти пользователи снова будут удалены из вновь восстановленной базы данных, так как сведения об их удалении хранятся на других контроллерах домена. При помощи программы Backup вы можете выполнить только непринудительное восстановление.
Несмелый вопрос – а что же делать, если вы случайно удалили учетную запись пользователя и теперь хотите восстановить ее. Для этой цели служит принудительное восстановление. Напомню, что в случае непринудительного восстановления, другие контроллеры домена, которые приняли информацию об изменении, будут вновь удалять восстановленную учетную запись. В случае принудительного восстановления объект восстанавливается и его новая копия маркируется информацией, которую другие контроллеры домена вынуждены будут принять во внимание. Для осуществления принудительного восстановления объекту дается номер версии, который увеличен от исходного на 100,000 единиц для каждого дня, прошедшего с момента резервного копирования. Поэтому версия восстановленной копии объекта оказывается больше, чем версии объекта с пометкой «удален» на других контроллерах и объект сохраняется в ходе репликации.
Принудительное восстановление осуществляется при помощи загрузки системы в режиме восстановления службы каталога и затем восстановления состояния системы инструментом Backup. После этого без перезагрузки, должен использоваться инструмент ntdsutil.exe. Запустив ntdsutil, вы должны выполнить следующие команды:
1. В командной строке пишем authoritative restore
2. Затем: restore subtree distinguished_name_of_object
3. Пишем quit и снова quit
4. Перезагружаем контроллер в обычном режиме.
Кроме резервного копирования и восстановления базы данных AD, вы также должны знать, как перемещать и выполнять дефрагментацию базы данных. В обоих случаях вы должны использовать режим восстановления службы каталога и утилиту ntdsutil.exe.
Как создать учетную запись компьютера в AD
Давайте создадим учетную запись компьютера, используя несколько методов. Эта учетная запись может быть использована для присоединения к ней устройства.
Создание учетной записи компьютера с помощью ADUC
Запустите ADUC (dsa.msc).
Перейдите к OU, в которой вы хотите хранить такие объекты, щелкните правой кнопкой мыши на этой OU -> New-> Computer:
Или вы можете сделать это, нажав на Action -> New -> Computer.
В окне New Object – Computer введите имя компьютера и имя pre Windows 2000 в соответствии с вашей политикой именования. Выберите, какая группа может ввести эту машину в домен и нажмите OK.
Поздравляю учетная запись компьютера создана!
Создание учетной записи компьютера с помощью ADAC
Запустите ADAC(dsac.exe), щелкните правой кнопкой мыши на имени домена, выберите New->Computer. Появится окно Create Computer, где вам нужно ввести имя компьютера, имя NetBIOS, в соответствии с вашей политикой именования. Укажите OU, где вы хотите хранить компьютер, нажав на Change. Вы также можете указать, какая группа может ввести этот компьютер в домен и защитить его от удаления. В конце нажмите OK.
Создание учетной записи компьютера с помощью Cmd.exe
Для этой задачи нам необходимо использовать dsadd.exe. Используйте следующую команду для создания объекта компьютера в Active Directory:
dsadd.exe computer «CN=WKS033,CN=Computers,DC=office,DC=local»
Создание учетной записи компьютера с помощью PowerShell
Используйте следующие строки кода PowerShell для создания учетной записи компьютера с именем «WKS033» в домене office.local.
Import-Module ActiveDirectory
New-ADComputer -Name «WKS033″ -sAMAccountName » WKS033″ -Path «CN=Computers,DC=office,DC=local»
Установка RSAT в Windows 10
Установите скачанный файл, дважды щелкнув по нему Или установите msu файл RSAT из командной строки в «тихом» режиме:
wusa.exe c:InstallWindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart
После окончания установки RSAT нужно перезагрузить компьютер.
Осталось активировать необходимый функционал RSAT. Для этого:
- Щелкните ПКМ по кнопке Start и выберите ControlPanel (Панель управления)
- Выберите Programs and Features (Программы и компоненты)
- В левой панели нажмите кнопку Turn Windows features on or off
- В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
- Отметьте раздел ADDSTools и нажмите OK.
Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:
dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns
После установки оснасток управления, в разделе Administrative Tools панели управления появится ссылка на консоль Active Directory Users and Computers.
Теперь можно запустить оснастку ADUC и подключится к любому контроллеру домена. Если данный компьютер состоит в домене Active Directory, консоль подключится к контролеру домена, на основании текущего Logon сервера.
Администрирование учетной записи компьютеров в Active Directory.
Переименование компьютера в AD.
Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:
Netdom renamecomputer /Newname:
Пример: Netdom renamecomputer COMP01 /Newname: COMP02
Удаление учетных записей компьютера.
1 Удалить учетную запись компьютера с помощью оснастки «Active Directory – пользователи и компьютеры«. Запускаете оснастку «Active Directory – пользователи и компьютеры» находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете «Удалить«, подтверждаете удаление
2 Удалить компьютер можно с помощью команды DSRM:
DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.
Устранение ошибки «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом».
Иногда при попыдке войти в компьютер пользователь получает сообщение «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом«. Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:
1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать «Переустановить учетную запись» (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.
2 С помощью команды Netdom:
Netdom reset /domain /User0 /Password0 без кавычек <>
Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password *****
Перезагрузка компьютера не нужна.
3 С помощью команды Nltest:
Пример:Nltest /server:Comp01 /sc_reset:pk-help.comad1
Перезагрузка компьютера не нужна.