Принудительная репликация между двумя контроллерами домена в active directory

Командлеты модуля AD для PowerShell

В модуле Active Directory для Windows PowerShell имеется большое командлетов для взаимодействия с AD. В каждой новой версии RSAT их количество увеличивается (в Windows Server 2016 доступно 147 командлетов для AD).

Перед использованием командлетов модуля, его нужно импортировать в сессию PowerShell (в Windows Server 2012 R2/ Windows 8.1 модуль импортируется автоматически):

Если у вас на компьютере не установлен модуль, вы можете импортировать его с контроллера домена (нужны права администратора домена) или с другого компьютера:

Вы можете вывести полный список доступных командлетов с помощью команды:

Общее количество команд в модуле:

Большинство командлетов модуля RSAT-AD-PowerShell начинаются с префикса Get-, Set-или New-.

• Командлеты класса Get- используются для получения различной информации из AD (Get-ADUser — свойства пользователей, Get-ADComputer – параметры компьютеров, Get-ADGroupMember — состав групп и т.д.). Для их выполнения не нужно быть администратором домена, любой пользователь домена может выполнять скрипты PowerShell для получения значений большинства атрибутов объектов AD (кроме защищенных, как в примере с LAPS).
• Командлеты класса Set- служат для изменения параметров объектов в AD, например, вы можете изменить свойства пользователя (Set-ADUser), компьютера (Set-ADComputer), добавить пользователя в группу и т.д. Для выполнения этих операций у вашей учетной записи должны быть права на объекты, которые вы хотите изменить (см. статью Делегирование прав администратора в AD).
• Команды, начинающиеся с New- позволяют создать объекты AD (создать пользователя — New-ADUser, группу — New-ADGroup).
• Командлеты Remove- служат для удаления объектов AD.

Получить справку о любом командлете можно так:

Примеры использования командлетов Active Directory можно вывести так:

В PowerShell ISE при наборе параметров командлетов модуля удобно использовать всплывающие подсказки.

7 ответов

На любом компьютере, настроенном DNS для DNS-сервера AD, выполните следующие действия:

Пуск -> Run -> nslookup

Замените DOMAIN_NAME на фактическое имя домена, например. example.com . Подробнее здесь .

Для компьютера, который является членом домена, переменная среды LOGONSERVER содержит имя DC, прошедшего проверку подлинности текущего пользователя. Очевидно, что это не все DC в среде с несколькими DC, но если все, что вам нужно, это быстрый способ найти имя контроллера домена, а затем из командной оболочки:

Вернет все переменные среды, начинающиеся с «L», включая имя DC.

Неизменная, супер простая и быстрая опция заключается в том, чтобы запустить ее из командной строки:

Просто замените имя домена на свой домен

Вы также можете запустить несколько других опций, чтобы узнать больше:

/dcname:domainname получает имя PDC для домена /dsgetdc:domainname содержит флажки для другой информации

Попробуйте nltest /? в вашем приглашении, чтобы получить больше опций!

Это вернет ваш ближайший контроллер домена в Powershell:

В командной строке запустите gpresult . Вы получите:

• Общая информация о рабочей станции и домене
• Для компьютера и пользователя :
  • Отличительное имя в AD и какая DC политика была применена из
  • Объекты прикладной групповой политики
  • Список групп безопасности, входящих в состав

Ниже представлен пример выполнения Gpresult . Вы также можете указать gpresult , чтобы получить более подробную информацию.

DNS и DHCP — лучший способ проверить, поскольку в сети могут быть компьютеры Unix /Linux, управляемые контроллером домена AD или действующие в качестве контроллера домена.

Плюс, учитывая, что активный каталог является не чем иным, как версией Microsoft Kerberos, LDAP, dhcp и dns. Было бы лучше понять и отладить вещи на более низких уровнях, чем слой 7+. Это связано с тем, что операционная система будет предировать эти же запросы, а подчеркивание RFC для каждого протокола фактически работает на уровне OSI, а не в «вставке любимого инструмента здесь».

Можно пойти дальше и запросить dhcp для параметров 6, 15 и 44, чтобы получить , сервер доменных имен и Wins /NetBIOS-сервер имен .

Затем, используя dns для проверки _kerberos._tcp, _kpasswd._tcp, _LDAP._TCP.dc._msdcs и _ldap._tcp SRV записей:

Это разбивается на три области: две поддерживаемые протоколом записи DNS-SD:

• _kerberos._tcp и _kpasswd._tcp (также в UNIX /Linux /OSX + некоторые сети Windows имеют _kadmin._tcp ) для кеберосов
• _ldap._tcp для ldap (openldap, opendc, каталог sun /oracle, ms ad) _LDAP._TCP.dc._msdcs — это только расширение Microsoft для ldap для сопоставления контроллера домена.

Установка контроллера домена с помощью Windows Admin Center

Для установки контроллера домена на Windows Server Core также можно использовать веб интерфейс Windows Admin Center (WAC).

1. Добавьте свой хост с Windows Server Core в интерфейс Windows Admin Center;
2. Для установки роли ADDS перейдите в раздел Roles and Features, в списке доступных ролей выберите Active Directory Domain Services и выберите Install;
3. Подтвердите установку роли и средств администрирования;
4. Для повышения сервера до контроллера домена нужно открыть веб консоль PowerShell и воспользоваться рассмотренными выше командлетами для настройки DC;
5. После окончания установки DC нужно перезагрузить Server Core и переподключить его в WAC под доменной учетной записью;
6. Для управления Active Directory из веб интерфейса можно установить специальное расширение WAC (доступно пока в Preview режиме). В результате у вас в Windows Admin Center появится новый раздел, в котором можно просматривать и управлять деревом AD.

Установка роли AD DS

Открываем Диспетчер серверов

Нажимаем Управление — Добавить роли и компоненты:

Если откроется окно с приветствием, просто нажимаем Далее. В следующем окне оставляем Установка ролей и компонентов и нажимаем Далее:

Выбираем сервер, на который будет установлена роль контроллера домена (по умолчанию выбран локальный сервер) и нажимаем Далее:

Среди всех ролей выбираем следующие:

• DNS-сервер.
• Доменные службы Active Directory.
• DHCP-сервер (чаще всего используется, но не обязательно).

* на самом деле, для работы роли контроллера домена не обязательна установка первых двух. Они могут быть настроены на других серверах.

В следующем окне Выбор компонентов просто нажимаем Далее.

Досчелкиваем Далее до конца и нажимаем Установить:

Те же действия можно выполнить командой Powershell:

Install-WindowsFeature -Name DNS, DHCP, AD-Domain-Services -IncludeManagementTools

Query DC with Get-ADDomainController

So far so easy. But in a bigger environment with worldwide distributed Domain Controllers, querying a DC at the end of the world doesn’t make sense that much.

I want to find the best and closest DC. For this task there is a special cmdLet:

Get-ADDomainController The cmdlet GetADDomainController comes with the parameters -Discover and -NextClosestSite. These use the Active Directory Sites & Services Configuration to find the next closest Domain Controller for my location (my IP subnet).

ForEach ($Domain in $Forest.Domains)
{
Write-Host «Current domain name: » $Domain
$DCobj = Get-ADDomaincontroller -DomainName $Domain -Discover -NextClosestSite
}

1 2 3 4 5

ForEach($Domain in$Forest.Domains) { Write-Host»Current domain name: «$Domain $DCobj=Get-ADDomaincontroller-DomainName$Domain-Discover-NextClosestSite }

Read out the DC name

Unfortunately you can’t use the object $DCobj directly to set a DC for other cmdLets. But with a with a little trick you can read out the name of the DC from the attribute HostName of $DCobj. Write it to the variable $DChost as a string value.

ForEach ($Domain in $Forest.Domains)
{
Write-Host «Current domain name: » $Domain
$DCobj = Get-ADDomaincontroller -DomainName $Domain -Discover -NextClosestSite
$DChost = $DCobj.HostName
}

1 2 3 4 5 6

ForEach($Domain in$Forest.Domains) { Write-Host»Current domain name: «$Domain $DCobj=Get-ADDomaincontroller-DomainName$Domain-Discover-NextClosestSite string$DChost=$DCobj.HostName }

Use the -Server parameter with the DC name

After you found out the Hostname of the next closest Domain Controller, you can use it for most AD cmdLets with -Server parameter to select a specific DC.

ForEach ($Domain in $Forest.Domains)
{
Write-Host «Current domain name: » $Domain
$DCobj = Get-ADDomaincontroller -DomainName $Domain -Discover -NextClosestSite
$DChost = $DCobj.HostName
$result = Get-ADObject -LDAPFilter «(attribute=value)» -Server $DChost
}

1 2 3 4 5 6 7

ForEach($Domain in$Forest.Domains) { Write-Host»Current domain name: «$Domain $DCobj=Get-ADDomaincontroller-DomainName$Domain-Discover-NextClosestSite string$DChost=$DCobj.HostName $result=Get-ADObject-LDAPFilter»(attribute=value)»-Server$DChost }

This way the cmdLet Get-ADObject uses the next closest Domain Controller zu query the AD Domain. The DC has been selected with the cmdLet Get-ADDomaincontroller in consideration of the Active Directory Sites & Services Configuration.

This article has been during projects of FirstAttribute AG AD Software | AD Migration

Want to improve your AD structure and management? Contact us – We are happy to support you.

Article created: 18.05.2016

Как узнать, кто создал пользователя в Active Directory?

Если у вас есть несколько администраторов в вашем домене Active Directory или если вы делегировали права на создание и изменение учетных записей пользователей другим людям (например, отдел кадров) в AD, вам может потребоваться информация о том, что именно создало конкретную учетную запись пользователя в Active Список. Эту информацию можно получить из журналов безопасности контроллера домена Active Directory.

При создании нового пользователя в домене событие с кодом EvenId 4720 из источника User Account Manager появляется в журнале безопасности контроллера домена (только контроллер домена, на котором была создана учетная запись) (аудит политики (ACCO) должен быть включен на контроллере домена в политике контроллера домена по умолчанию).

В описании этого события есть строка Создана учетная запись пользователя. Поле Тема содержит учетную запись, под которой была создана новая учетная запись пользователя AD (выделена на следующем снимке экрана). Новое имя пользователя указывается в поле «Новая учетная запись.

Сценарий для вывода всех событий создания учетных записей из журнала контроллера домена за последние 24 часа может выглядеть следующим образом:

В результате мы получили объект $ Report, содержащий информацию о том, кто создал пользователя, когда и на каком DC.

Вы можете экспортировать содержимое отчета в файл CSV:

Однако в большинстве случаев вам необходимо проверять журналы событий на всех контроллерах домена. Вы можете получить список всех контроллеров домена с помощью командлета Get-ADDomainController. Осталось проверить событие 4720 на каждом из них и создать итоговый отчет:

информация о найденных событиях может быть записана не в локальный текстовый файл на каждом контроллере домена, а в базу данных. Например, вы можете записывать данные в MySQL через MySQL .NET Connector для PowerShell или в Microsoft SQL Server. Пример описан в статье об управлении удалением файлов и папок из сетевого каталога в Windows.

этот метод можно использовать для получения информации о дате создания пользователя в Azure AD через PowerShell.

Источник изображения: winitpro.ru

Форматирование в Windows PowerShell

В Windows PowerShell существует набор командлетов, которые предназначены для форматирования вывода результата работы командлета. Они позволяют пользователю отобразить результат в том виде, в котором ему удобно просматривать данный результат.

• Format-List – вывод результата команды в формате списка свойств, где на каждой новой строке отдельное свойство;
• Format-Table — вывод результата команды в виде таблицы;
• Format-Wide — вывод результата команды в виде широкой таблицы, в которой отображается только одно свойство каждого объекта;
• Format-Custom – в данном случае форматирование вывода происходит с использованием пользовательского представления.

Почему двухфакторная аутентификация в домене по токену с PIN-кодом безопаснее обычной парольной схемы?

PIN-код привязан к определенному устройству, в нашем случае к токену. Знание PIN-кода само по себе ничего не дает.

Например, PIN-код от токена можно диктовать по телефону другим лицам и это ничего не даст злоумышленнику, если вы достаточно бережно относитесь к токену и не оставляете его без присмотра.

С паролем же ситуация совершенно иная, если злоумышленник подобрал, угадал, подсмотрел или еще каким-то образом завладел паролем от учетной записи в домене, то он сможет беспрепятственно зайти, как в сам домен, так и в другие сервисы компании, в которых используется эта же учетная запись.

Токен является уникальным некопируемым физическим объектом. Им обладает легитимный пользователь. Двухфакторную аутентификацию по токену можно обойти только тогда, когда администратор намеренно или по недосмотру оставил для этого «лазейки» в системе.

Передача FSMO ролей из командной строки с помощью утилиты ntdsutil

Внимание: Использовать утилиту ntdsutil необходимо с осторожностью, четко понимая, что вы делаете, иначе можно просто сломать ваш домен Active Directory!

1. На контроллере домена откройте командную строку и введите команду: 
2. Наберите команду: 
3. Затем: 
4. Затем нужно подключиться к DC, на который вы хотите передать роль. Для этого наберите: 
5. Введите и нажмите Enter.
6. Для передачи FSMO роли используется команда:  , где <role> это роль которую вы хотите передать. Например:  ,  и т.д.
7. Подтвердите перенос FSMO роли;
8. После переноса ролей нажмите и Enter, чтобы завершить работу с ntdsutil.exe;
9. Перезагрузите контроллер домена.

Работа со службами и процессами

PowerShell, конечно же, умеет управлять службами и процессами в Windows, для этого существуют такие командлеты как:

• Get-Process – выводит информацию о запущенных процессах на компьютере;
• Start-Process – запускает один или несколько процессов на компьютере;
• Stop-Process — останавливает один или несколько запущенных процессов;
• Get-Service – выводит информацию о службах;
• Restart-Service – перезапускает службу;
• Start-Service – запускает службу;
• Stop-Service — останавливает службу;
• Suspend-Service – приостанавливает работу службы;
• Set-Service – с помощью данного командлета можно изменить свойства службы, например, описание, отображаемое имя и режим запуска. Также его можно использовать для запуска, остановки или приостановки службы.

Какой локальный кеширующий DNQS мы будем использовать?

Локальный кеширующий DNS-сервер, который мы включим и настроим в этом руководстве, это systemd-resolved. Данный инструмент является частью Systemd набора инструментов управления системой. Если ваша система использует , и почти все основные дистрибутивы Linux используются, то у вас уже будет установлен , но он не будет работать. Большинство дистрибутивов не используют systemd-resolved, даже если он присутствует.

работает, запустив небольшой локальный кеширующий DNS-сервер, который мы настроим для запуска при загрузке. Затем мы перенастроим остальную часть системы, чтобы направлять их DNS-запросы в DNS-систему с локальным кэшированием.

Восстановление контроллера домена в режиме «non-authoritative»

Собираясь восстанавливать контроллер домена, необходимо сначала определить, будет ли достаточен режим «non-authoritative» или потребуется воспользоваться режимом «authoritative». Разница между этими двумя режимами заключается в том, что при режиме восстановлении «non-authoritative» контроллер домена понимает, что он был в течение некоторого времени отключен. Поэтому он позволяет другим контроллерам домена обновить его базу данных, внеся в нее последние изменения, произошедшие во время его отсутствия. При «authoritative» восстановлении контроллер считает, что только на нем имеется истинно верная база данных, поэтому именно он получает полномочия на обновление баз данных других контроллеров домена на основе своих данных.

В большинстве сценариев восстановления вам потребуется режим «non-authoritative», поскольку в среде имеется несколько контроллеров домена. Кроме того, «authoritative» восстановление контроллера домена может привести к новым проблемам. Именно на этом основана логика Veeam Backup & Replication: по умолчанию выполняется «non-authoritative» восстановление DC, поскольку считается, что инфраструктура выстроена с избыточностью и включает в себя несколько контроллеров домена. Чтобы выполнить «authoritative» восстановление с помощью Veeam, необходимо осуществить некоторые дополнительные действия, которые описаны ниже.

ПРИМЕЧАНИЕ. Еще один распространенный вариант действий при отказе контроллера домена — распределить его роли между другими контроллерами и очистить метаданные, если восстановление маловероятно. В этом случае вы поручаете другим DC выполнять функции отказавшего, и вам не нужно его восстанавливать.

Давайте вернемся к файлам резервных копий, которые были описаны в предыдущей статье. Восстановить контроллер домена из резервной копии Veeam Backup & Replication очень легко. Для этого нужно:

• Выбрать мастер восстановления в пользовательском интерфейсе
• Найти нужный контроллер домена
• Выбрать в меню восстановления вариант восстановления ВМ целиком (Restore Entire VM)
• Затем указать точку восстановления
• Выбрать исходное или новое место восстановления
• Завершить процедуру

Самое замечательное здесь, что благодаря обработке данных с учетом состояния приложений при создании резервной копии, вам больше ничего не потребуется делать. Veeam распознает контроллер домена в указанной ВМ и аккуратно восстановит его, используя особый алгоритм:

• Восстановление файлов и жестких дисков ВМ
• Загрузка ОС в специальном режиме восстановления доменных сервисов (DSRM mode)
• Применение настроек
• Перезапуск в обычном режиме

Контроллер домена будет знать о восстановлении из резервной копии и предпримет соответствующие действия: существующая база данных будет объявлена недействительной, и партнеры репликации смогут обновить ее, внеся наиболее свежую информацию.

Рис. 1. Veeam Backup & Replication: Восстановление ВМ целиком

Здесь можно прочитать о восстановлении «на голое железо» резервной копии с помощью Veeam Endpoint Backup. Вам потребуется заранее подготовленный аварийный загрузочный диск Veeam и доступ к самой резервной копии (на USB-носителе или сетевом диске). Помните, что в данном случае особая логика Veeam Backup & Replication использоваться не будет. После восстановления с помощью Veeam Endpoint Backup ваш контроллер домена загрузится в режиме восстановления. Вам нужно будет решить, хотите ли вы менять ключи реестра или сразу перезапустите ВМ в обычном режиме. Возможно, эта статья базы знаний будет полезна.

Рис. 2. Veeam Endpoint Backup: восстановление «на голое железо»

Инструменты командной строки

Для управления Samba AD DC в состав пакета Samba входит инструмент командной строки samba-tool.

Основные команды иструмента:

Команда	Описание
dbcheck	Проверка локальной базы данных AD на наличие ошибок
delegation	Управление делегированием
dns	Управление параметрами доменной службы DNS
domain	Управление параметрами домена
drs	Управление службой репликации каталогов (Directory Replication Services, DRS)
dsacl	Управление списками контроля доступа DS
fsmo	Управление ролями (Flexible Single Master Operations, FSMO)
gpo	Управление групповыми политиками
group	Управление группами
ldapcmp	Сравнение двух баз данных ldap
ntacl	Управление списками контроля доступа ACL
processes	Вывод списвка процессов (для упрощения отладки без использования setproctitle).
rodc	Управление контроллером домена (Read-Only Domain Controller, RODC)
sites	Управление сайтами
spn	Управление службой принципалов (Service Principal Name, SPN)
testparm	Проверка конфигурационного файла на корректность синтаксиса
time	Получение показаний текущего времени сервера
user	Управление пользователями
visualize	Графическое представление состояния сети Samba

Подробная информация об инструменте доступна в справочнике man:

man samba-tool
samba-tool -h 

Командлеты модуля AD для PowerShell

В модуле Active Directory для Windows PowerShell имеется большое командлетов для взаимодействия с AD. В каждой новой версии RSAT их количество увеличивается (в Windows Server 2016 доступно 147 командлетов для AD).

Перед использованием командлетов модуля, его нужно импортировать в сессию PowerShell (в Windows Server 2012 R2/ Windows 8.1 модуль импортируется автоматически):

$rs = New-PSSession -ComputerName DC_or_Comp_with_ADPoshImport-Module -PSsession $rs -Name ActiveDirectory

Вы можете вывести полный список доступных командлетов с помощью команды:

Get-Command –module activedirectory

Общее количество команд в модуле:

Get-Command –module activedirectory |measure-object

Большинство командлетов модуля RSAT-AD-PowerShell начинаются с префикса Get-, Set-или New-.

• Командлеты класса Get- используются для получения различной информации из AD (Get-ADUser — свойства пользователей, Get-ADComputer – параметры компьютеров, Get-ADGroupMember — состав групп и т.д.). Для их выполнения не нужно быть администратором домена, любой пользователь домена может выполнять скрипты PowerShell для получения значений большинства атрибутов объектов AD (кроме защищенных, как в примере с LAPS).
• Командлеты класса Set- служат для изменения параметров объектов в AD, например, вы можете изменить свойства пользователя (Set-ADUser), компьютера (Set-ADComputer), добавить пользователя в группу и т.д. Для выполнения этих операций у вашей учетной записи должны быть права на объекты, которые вы хотите изменить (см. статью Делегирование прав администратора в AD).
• Команды, начинающиеся с New- позволяют создать объекты AD (создать пользователя — New-ADUser, группу — New-ADGroup).
• Командлеты Remove- служат для удаления объектов AD.

Получить справку о любом командлете можно так:

Примеры использования командлетов Active Directory можно вывести так:

В PowerShell ISE при наборе параметров командлетов модуля удобно использовать всплывающие подсказки.

Работаем с WMI-объектами

Доступ в скриптах PowerShell к инструментарию управления Windows (WMI,
Windows Management Instrumentation) дает почти безграничные возможности: можно
получать, устанавливать, контролировать практически любые системные параметры.
Для работы с WMI в PowerShell используется командлет Get-WmiObject. Чтобы
узнать все допустимые параметры, запускаем его со знаком вопроса. Команда «» выведет список всех доступных WMI-объектов (приготовься, он будет
большим). Аналогично, добавив «-List» при вызове определенного класса, увидим
все возможные методы и свойства. Например, просмотрим список всех классов,
связанных с сетевыми настройками:

И запросим настройки сетевых адаптеров:

В результате получим таблицу с полной конфигурацией. Чтобы сохранить ее в
файл, достаточно использовать стандартную функцию перенаправления, то есть
просто добавить в конец команды «> network.txt». Кроме того, есть возможность
сразу отформатировать вывод (Get-Help Export). При вызове директиву «-Class»
можно опустить. Также надо помнить о клавише <Tab>; если ее нажать при вводе
параметров, станет доступен список возможных вариантов. Иначе показываются все
файлы текущего каталога.

В скриптах часто нужен только один параметр из вызова, поэтому сократим
вывод, выбрав при помощи Select-Object один пункт, например IP-адрес:

По умолчанию идет опрос локальной системы, но командлет Get-WmiObject
принимает параметр «-ComputerName», который используется, чтобы создать запрос к
WMI другой системы, находящейся в локальной сети. Точка после параметра
(-ComputerName .) указывает на текущую машину. Например, произведем опрос
свободного места на дисках в двух системах, и результат сохраним в файл формата
CSV:

После ввода последней директивы нажимаем <Enter> дважды. Данные будут
выведены в байтах, что не очень наглядно, но их легко перевести, например, в
гигабайты:

Теперь запросим список расшаренных сетевых папок:

Сегодня проблемой в организациях является несанкционированное использование
USB-устройств. И здесь нам может помочь PowerShell:

Используя Where/Where-Object, StatusCode, IF и другие операторы, можно
отобрать только те параметры, которые удовлетворяют определенным условиям.
Проверяем, жив ли компьютер в сети, если да – получаем список процессов; иначе
выводим сообщение:

Частный днс в телефоне: что это такое

Представленный персональный DNS-сервер представляет собой новую настройку в разделе мобильной сети. Это значительно облегчает процесс настройки пользовательского или приватного DNS для зашифровки запросов между пользователем и сайтом. В основе этого лежит протокол TLS, который отвечает за зеленые значки блокирования, которые можно увидеть при посещении сайта «HTTPS».

Чтобы проделать это самостоятельно, необходимо выполнить следующие действия:

1. Открыть вкладку «Настройки», далее «Сеть и интернет», далее «Дополнительные» и выбрать «Частные DNS».
2. Задать параметры частного имени узла поставщика.
3. Вбить адрес сервера.
4. Во втором пункте «Automatic» можно установить галочку и Android самостоятельно будет устанавливать по мере необходимости DNS-сервера.

Можно указать адрес 1dot1dot1dot1.cloudflare-dns.com. Это бесплатный доступ, который представлен крупной компанией «Cloudflare». Есть и другие, которые могут быть чуть лучше или чуть хуже. Но компания «Аdguard.com» очень хорошо блокирует различные рекламные окна, это касается и сайта, и софтов. Оба представленных адреса полностью безопасны.

Представленная настройка помогает обойти различные блокировки на многих сайтах.

При пользовании классической схемой DNS, провайдер может посетить ваши пакеты, просматривать любые домены, которые вы успели просмотреть, а так же подменить ваши ответы на любые другие. Этим же могут заниматься и мошенники, при помощи подмены резолверы на взломанных роутерах пользователей. Это делается для отправки пользователя на поддельный сервер.

Даже программа «Google» в справке Android не рекомендует отключать персональный DNS-сервер. Это говорит о многом.

Итак, можно сделать пару однозначных выводов:

DNS-сервер является необыкновенно полезной возможностью для безопасности собственного персонального компьютера от различных вредоносных страниц. Работа новичкам кажется довольно сложной, но на самом деле все еще проще, а процесс установки сервера занимает очень мало времени и происходит быстро.

Деятельность выстраивается следующим образом: браузер открывается, далее переход на сайт, обращение к ДНС-серверу и узнаем адрес, который искали. Server сам определит сайт, посылает ему необходимый запрос и отправляет полученный ответ образно клиенту.

Common Errors & Solutions:

Error: WinRM service started.  Set-WSManQuickConfig : <f:WSManFault…. WinRM firewall exception will not work since one of the network connection types on this machine is set to Public…… Change the network connection type to either Domain or Private and try again.

Solution: 

PowerShell

Enable-PSRemoting -SkipNetworkProfileCheck -Force

1	Enable-PSRemoting-SkipNetworkProfileCheck-Force

Explanation:

The above error message indicates that we have set the network to Public in order to enable PowerShell Remoting. Several ways exist to change the connection type. For some reason that only Microsoft knows, you canâ€t do this in the Network and Sharing Center.

Error: Enter-PSSession : Connecting to remote server 10.0.2.33 failed with the following error message : The WinRM client cannot process the request….

Solution:

MS DOS

winrm set winrm/config/client @{TrustedHosts=»10.0.2.33″}

1	winrmsetwinrmconfigclient@{TrustedHosts=»10.0.2.33″}

Explanation:

In an Active Directory environment, you can just use the computer name to connect to a remote machine. If you remotely connect to a standalone machine, you usually have to use the IP address instead. If you try to connect to the remote computer with the Enter-PSSession cmdlet using the IP address of the remote machine, PowerShell will throw the above error.

Error: Cannot connect to host…

Solution:

Check with your network/ firewall team if  the port 5985, 5986, and 9389 are open.

Explanation: 

Most of the times the ports are overlooked and are the root cause as to why the connection is not working

Повышение сервера до контроллера домена

После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:

* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.

В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:

В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:

В окне Параметры DNS нажимаем Далее.

В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:

В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.

Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.

Импорт и использование модуля PowerShell для Active Directory

В Windows 7 и Windows Server 2008 R2, на которых установлен PowerShell 2.0, чтобы начать пользоваться модулем AD необходимо импортировать его в сессию PowerShell командой:

Кроме того, вы можете экспортировать модуль с удаленной машины, где он уже установлен и импортировать его в свою сессию PowerShell:

В Windows Server 2012 R2/ 2016 и Windows 8.1 / Windows 10 модуль (если он установлен) импортируется в сессию автоматически.

Если компьютер включен в домен, по умолчанию создается диск по имени AD:..Вы можете перейти на этот диск командой CD и использовать привычные команды работы с файловой системой для навигации по этому диску. Пути представлены в формате X500.

Вывести список доступных командлетов модуля для работы с Active Directory можно так:

В различных версия Windows доступно разное количество командлетов:

• Windows Server 2008 R2 — 76 командлетов.
• Windows Server 2012 — 135 командлетов
• Windows Server 2012 R2 / 2016 — 147 командлетов.

Итак, теперь вы можете использовать командлеты PowerShell для администрирования AD. На нашем сайты вы можете познакомиться с использованием следующих командлетов из модуля AD для PowerShell: Get-ADGroupMember , Add-ADGroupMember , Move-ADDirectoryServerOperationMasterRole, .

Заключение

В этой статье была рассмотрена установка и первоначальная настройка контроллера Active Directory. Мы рассмотрели вариант установки на сервере с графическим интерфейсом, а также вариант установки через комендлеты PowerShell.

Так же мы рассмотрели процедуру добавление контроллера домена в уже существующий домен. Причем на примере сервера с графическим интерфейсов и через командлеты PowerShell.

Мы немного поговорили о терминологии Active Directory.

Последним шагом мы выполнили минимальные первоначальные настройки Active Directory: настроили сопоставление сайтов Active Directory и IP-подсетей, а также настроили зону обратного просмотра.

Надеюсь, статья окажется вам полезна.