Secara default, Windows Server 2012 diinstal di Inti server (tanpa antarmuka grafis dan alat manajemen grafis). Dalam konfigurasi OS ini, konsumsi minimum sumber daya sistem (memori, waktu prosesor) dicapai untuk kebutuhan OS itu sendiri, dan karena jumlah kode yang lebih kecil, jumlah kerentanan dan permukaan serangan dari penyerang potensial berkurang. Dimungkinkan untuk mengelola server seperti itu melalui baris perintah atau dari jarak jauh menggunakan berbagai konsol.
Peran kandidat ideal untuk hosting di server Windows 2012 dalam mode Core Pengontrol Domain Direktori Aktify. Pengontrol domain jarang dikelola secara lokal oleh administrator AD, dan secara praktis tidak memerlukan operasi apa pun yang memerlukan akses wajib ke server. Yang Anda perlukan dari administrator adalah menginstal Active Directory dan memutakhirkan server ke peran pengontrol domain AD. Tentu saja, pengontrol domain Windows 2012 dapat dinaikkan dalam mode grafis (contoh dijelaskan dalam artikel, Memutakhirkan Direktori Aktif ke Windows 2012), dan kemudian beralih kembali ke Windows 2012 Core, tetapi mengapa kesulitan seperti itu jika pengontrol domain dapat digunakan hanya dengan baris perintah.
Dalam artikel ini kami akan menunjukkan caranya menggunakan pengontrol domain ke Windows Server 2012 menggunakan perintah Powershell, Memberikan kemampuan otomatisasi yang kuat untuk menggunakan pengontrol domain di Windows Server 2012.
Seperti yang mungkin Anda ingat, Microsoft memutuskan untuk meninggalkan perintah DCPROMO, yang umum bagi banyak administrator, yang memungkinkan untuk meningkatkan (dan menurunkan juga) server anggota ke tingkat pengontrol domain, mengganti fungsi dengan cmdlet Powershell.
Kami tertarik pada perintah PoSh berikut:
- Tambahkan-WindowsFeature AD-Domain-Services - pemasangan peran ADDS (Active Directory Domain Service)
- Instal-ADDSForrest - memasang hutan baru (pengontrol domain pertama di hutan)
- Instal-ADDSDomain - Instal pengontrol domain di hutan yang ada
Di bawah ini kami akan menganalisis dua skenario: memasang pengontrol pertama di hutan AD baru dan menambahkan pengontrol domain tambahan ke domain yang ada.
Dalam kedua kasus, peran server harus diinstal terlebih dahulu ADDS (Layanan Domain Direktori Aktif). Perintah Powershell yang melakukan operasi ini terlihat seperti ini:
Tambahkan-WindowsFeature AD-Domain-Services
Menginstal pengontrol tambahan di domain AD yang ada
Asumsikan bahwa domain AD sudah digunakan, dan kami diharuskan menginstal pengontrol domain tambahan di atasnya pada Windows Server 2012.
Anda harus terlebih dahulu mengimpor modul penerapan ADDS
Impor-Modul ADDSDeployment
Perintah PoSh Install-ADDSDomainController menyebarkan pengendali domain baru dengan parameter berikut:
- Jalur dasar: C: \ Windows \ NTDS
- Direktori dengan log: C: \ Windows \ NTDS
- Direktori SYSVOL: C: \ Windows \ SYSVOL
- Pengontrol RODC: Tidak
- Katalog Global: Ya
- Server DNS: Ya
Namun, masalahnya adalah bahwa dalam sebagian besar kasus, parameter pemasangan seperti pengontrol domain administrator sistem baru tidak akan sesuai.
Perintah instalasi yang dimodifikasi untuk pengontrol domain tambahan mungkin terlihat seperti ini (kami menganggap bahwa tidak masuk akal untuk menggambarkan parameter yang ditentukan, karena nama mereka berbicara sendiri).
Install-ADDSDomainController -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainName 'corp.winitpro.ru' -InstallDns: $ true -LogPath 'C: \ Windows \ NTDS' -NoGlobalCatalog: $ false -SiteName ' Default-First-Site-Name '-SysvolPath' E: \ SYSVOL '-NoRebootOnCompletion: $ true -Force: $ true
Setelah instalasi pengontrol domain baru selesai, Anda harus me-restart server dengan menjalankan perintah:
Shutdown / r
Menginstal pengontrol pertama di domain baru menggunakan Powershell
Jika domain belum digunakan, untuk menginstalnya kita perlu perintah PoSh Install-ADDSForest, yang membuat pengontrol pertama di forest Active Directory baru.
Misalkan kita perlu membuat domain baru bernama corp.winitpro.ru, domain dan tingkat hutan adalah Windows 2012.
Install-ADDSForest -CreateDnsDelegation: $ false -DatabasePath 'C: \ Windows \ NTDS' -DomainMode 'Win2012' -DomainName 'corp.winitpro.ru' -DomainNetbiosName 'CORP' -ForestMode 'Win2012' -InstallDog: $ true -LogPath ' C: \ Windows \ NTDS '-NoRebootOnCompletion: $ true -SysvolPath' E: \ SYSVOL '-Force: $ true
Selama pelaksanaan perintah, Anda harus menentukan kata sandi untuk mode pemulihan Direktori Aktif (kata sandi Pemulihan Mode Aman).
Setelah instalasi selesai, server harus di-boot ulang.
Beberapa perintah PowerShell yang lebih berguna untuk administrator pengontrol domain AD
Ganti nama nama situs AD pertama (standarnya adalah Default-First-Site-Name):
Dapatkan-ADReplicationSite | Ganti nama-ADObject -NewName "MainOffice"
Tambahkan subnet ke situs AD:
New-ADReplicationSubnet -Name "10.10.10.0/24" -Situs MainOffice
Dapatkan daftar semua subnet:
Dapatkan-ADReplicationSubnet -Filter *
Aktifkan Keranjang Sampah AD (Keranjang Sampah - Pelajari lebih lanjut tentang Keranjang Sampah Direktori Aktif di Windows Server 2012):
Aktifkan-ADOptionalFeature "Fitur Recycle Bin" -Scope Forest -Target 'corp.winitpro.ru'-confirm: $ false
Hapus hutan dan domain (diasumsikan bahwa satu AC terakhir tersisa di domain):
Copot-ADDSDomainController-LastDoaminControllerInDomain -HapusApplicationPartitions