Windows Server Core เป็นแพลตฟอร์มที่ดีในการโฮสต์บทบาทตัวควบคุมโดเมน Active Directory เนื่องจากความต้องการทรัพยากรน้อยลง ความเสถียรและความปลอดภัยที่เพิ่มขึ้น (เนื่องจากโค้ดและการอัปเดตน้อยลง) ในบทความนี้ เราจะแสดงวิธีการติดตั้งตัวควบคุมโดเมนบน Windows Server Core 2019 ในฟอเรสต์ Active Directory ใหม่หรือที่มีอยู่โดยใช้ PowerShell
สารบัญ:
- วิธีการติดตั้ง Active Directory Domain Controller โดยใช้ PowerShell
- การตรวจสอบความสมบูรณ์ของตัวควบคุมโดเมนบนเซิร์ฟเวอร์คอร์
- การติดตั้ง AD Domain Controller โดยใช้ Windows Admin Center (WAC)
จะติดตั้ง Active Directory Domain Controller โดยใช้ PowerShell ได้อย่างไร
ติดตั้ง Windows Server Core บนโฮสต์ใหม่ (ทางกายภาพหรือเสมือน) กำหนดการตั้งค่าโฮสต์พื้นฐาน:ตั้งชื่อโฮสต์ การตั้งค่าเครือข่าย (ที่อยู่ IP แบบคงที่ ซับเน็ตมาสก์ เกตเวย์ DNS) วันที่/เวลา เขตเวลา ฯลฯ
Rename-Computer -NewName hb-dc03
Get-NetAdapter
$ip = "192.168.13.11"
$gw="192.168.13.1"
$dns = "192.168.13.10"
New-NetIPAddress -InterfaceAlias Ethernet -IPAddress $ip -AddressFamily IPv4 -PrefixLength 24 –DefaultGateway $gw
Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses $dns
ขั้นตอนต่อไปคือการติดตั้งบทบาท Active Directory Domain Services (ADDS) โดยเรียกใช้คำสั่งต่อไปนี้ในคอนโซล PowerShell:
Install-WindowsFeature AD-Domain-Services –IncludeManagementTools -Verbose
Get-WindowsFeature -Name *AD*
หลังจากติดตั้งบทบาท ADDS คุณสามารถใช้ ADDSDeployment โมดูล cmdlets เพื่อปรับใช้โดเมนใหม่ ฟอเรสต์ หรือตัวควบคุมโดเมนเพิ่มเติม:
Get-Command -Module ADDSDeployment
มีสามสถานการณ์ที่เป็นไปได้:
- การติดตั้ง Active Directory ฟอเรสต์ใหม่ :
Install-ADDSForest -DomainName woshub.com -ForestMode Win2016 -DomainMode Win2016 -DomainNetbiosName WOSHUB -InstallDns:$true - The
Install-ADDSDomaincmdlet อนุญาตให้สร้าง โดเมนใหม่ในฟอเรสต์ Active Directory ที่มีอยู่ Install-ADDSDomainController– อนุญาตให้ เพิ่มตัวควบคุมโดเมน (เพิ่มเติม) ใหม่ให้กับโดเมน Active Directory ที่มีอยู่
Add-ADDSReadOnlyDomainControllerAccount cmdlet. ในกรณีส่วนใหญ่ คุณจะใช้สถานการณ์ที่ 3 — เพิ่มตัวควบคุมโดเมนเพิ่มเติมให้กับโดเมน Active Directory ที่มีอยู่
ก่อนที่จะโปรโมตตัวควบคุมโดเมนใหม่ ตรวจสอบให้แน่ใจว่าโดเมน Active Directory ของคุณทำงานอย่างถูกต้อง ตรวจสอบข้อผิดพลาดในแต่ละ DC อย่างระมัดระวังที่ส่งคืนโดยDcdiag /v และตรวจสอบการจำลอง AD (repadmin /showrepl และ repadmin /replsum ). ตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลตัวควบคุมโดเมน AD ที่อัปเดตแล้ว ในสถานการณ์ง่ายๆ เมื่อคุณต้องการเพิ่ม DC พิเศษใหม่ให้กับไซต์ Default-First-Site-Name ให้เรียกใช้คำสั่งนี้:
Install-ADDSDomainController -DomainName woshub.com -InstallDns -Credential (get-credential WOSHUB\Administrator) -DatabasePath "D:\ADDS\DB" -LogPath "D:\ADDS\Log" -SysvolPath "D:\ADDS\SYSVOL"
%SYSTEMROOT%\NTDS และ %SYSTEMROOT%\SYSVOL . นอกจากนี้ คุณยังสามารถระบุไซต์ Active Directory ที่คุณต้องการวางตัวควบคุมโดเมนใหม่ของคุณ นอกจากนี้เรายังจะระบุว่า DC จะเป็น Global Catalog และตั้งรหัสผ่าน DSRM (Directory Services Restore Mode) โดยใช้คำสั่ง ConvertTo-SecureString:
Install-ADDSDomainController -DomainName woshub.com -InstallDns:$true -NoGlobalCatalog:$false -SiteName 'Hamburg' -NoRebootOnCompletion:$true -Force:$true -SafeModeAdministratorPassword (ConvertTo-SecureString 'R0DCP@ssw0rd' -AsPlainText -Force) -Credential (get-credential WOSHUB\Administrator) –verbose
ตรวจสอบเอาต์พุตของคำสั่งอย่างระมัดระวัง หากทำได้ ให้รีสตาร์ทโฮสต์ของคุณ:
Restart-Computer
การตรวจสอบความสมบูรณ์ของตัวควบคุมโดเมนบนเซิร์ฟเวอร์คอร์
หลังจากติดตั้ง Domain Controller แล้ว ให้ตรวจสอบเบื้องต้นเพื่อให้แน่ใจว่ามีการเพิ่ม Domain Controller ใหม่ลงในโดเมนเรียบร้อยแล้วและมีส่วนร่วมในการจำลองแบบ
คุณสามารถจัดการตัวควบคุมโดเมนบน Windows Server Core จากเซิร์ฟเวอร์อื่นโดยใช้กราฟิก Active Directory snap-ins มาตรฐาน (dsa.msc , gpmc.msc , dnsmgmt.msc , dssite.msc , adsiedit.msc , domain.msc ) หรือจากคอมพิวเตอร์ที่ใช้ Windows 10 ที่ติดตั้ง RSAT (Rsat.ActiveDirectory.DS-LDS.Tool )
เปิด ADUC (dsa.msc ) คอนโซลบนคอมพิวเตอร์เครื่องใดก็ได้ และตรวจสอบให้แน่ใจว่า DC ใหม่ปรากฏใน Domain Controllers อ.
หลังจากรีสตาร์ท Windows Server Core คุณต้องเข้าสู่ระบบโฮสต์โดยใช้บัญชีผู้ดูแลระบบโดเมน
ใช้ Get-ADDomainController cmdlet ตรวจสอบให้แน่ใจว่าตัวควบคุมโดเมนอยู่บนไซต์ AD ที่ถูกต้อง:
Get-ADDomainController -Discover
ตรวจสอบว่าบริการ Active Directory กำลังทำงานอยู่:
Get-Service adws,kdc,netlogon,dns
นอกเหนือจากการแชร์ของผู้ดูแลระบบที่ซ่อนอยู่ภายในแล้ว จะต้องแชร์โฟลเดอร์ SYSVOL และ NETLOGON:
Get-SMBShare
ตรวจสอบให้แน่ใจว่ามีเหตุการณ์ ADDS ใน Event Viewer:
Get-Eventlog "Directory Service" | Select-Object entrytype, source, eventid, message
Get-Eventlog "Active Directory Web Services" | Select-Object entrytype, source, eventid, message
จากนั้นทำการทดสอบโดยใช้ dcdiag คำสั่ง (ต้องผ่านทุกขั้นตอน) และตรวจสอบการจำลองระหว่าง DC โดยใช้คำสั่งต่อไปนี้:
repadmin /replsummary
หรือ
Get-ADReplicationFailure -Target DC03
ตรวจสอบว่าบทบาท FSMO อยู่ที่ใดในโดเมนและฟอเรสต์ของคุณ หากจำเป็น ให้โอนบทบาท FSMO ไปยัง DC ใหม่ของคุณ:
Netdom /query FSMO
การติดตั้ง AD Domain Controller โดยใช้ Windows Admin Center (WAC)
ในการติดตั้งตัวควบคุมโดเมนใน Windows Server Core คุณยังสามารถใช้ Windows Admin Center (WAC) เว็บอินเตอร์เฟส
- เพิ่มโฮสต์ Windows Server Core ของคุณไปยังอินเทอร์เฟซ Windows Admin Center
- ในการติดตั้งบทบาท ADDS ให้เปิด บทบาทและคุณลักษณะ ส่วน เลือก Active Directory Domain Services ในรายการบทบาทที่มี และคลิกติดตั้ง;
- ยืนยันการติดตั้งบทบาทและเครื่องมือการดูแลระบบ
- หากต้องการเลื่อนระดับ Windows Server Core ไปยังตัวควบคุมโดเมน ให้เปิดเว็บคอนโซลของ PowerShell และใช้ cmdlet ที่แสดงด้านบนเพื่อกำหนดค่า DC
- เมื่อการติดตั้ง DC สิ้นสุดลง ให้รีสตาร์ท Server Core และเชื่อมต่อกับ WAC อีกครั้งโดยใช้บัญชีโดเมน
- ในการจัดการ Active Directory จากเว็บอินเตอร์เฟส ให้ติดตั้งส่วนขยาย WAC พิเศษ (ตอนนี้ยังใช้งานได้ในโหมดแสดงตัวอย่าง) ดังนั้นส่วนใหม่จะปรากฏใน Windows Admin Center ซึ่งคุณสามารถดูและจัดการแผนผัง AD ของคุณได้
