Введение
В средних и крупных компаниях для управления инфраструктурой корпоративной сети принято использовать доменные службы с одним или несколькими контроллерами домена Active Directory, которые формируют сайты и леса. Доменные службы, о которых пойдет речь в этой статье, позволяют проверять подлинность пользователей и клиентских компьютеров, централизованно управлять инфраструктурными единицами предприятия при помощи групповых политик, предоставлять доступ к общим ресурсам и многое другое. Структура идентификации и доступа корпоративных сетей Active Directory включает в себя пять технологий:
- Доменные службы Active Directory (Active Directory Domain Services — AD DS);
- Службы сертификации Active Directory (Active Directory Certificate Services — AD CS);
- Службы управления правами Active Directory (Active Directory Rights Management Services — AD RDS);
- Службы федерации Active Directory (Active Directory Federation Services — AD FS);
- Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services — AD LDS).
Основной технологией Active Directory считаются доменные службы (AD DS). Именно при помощи данной службы вы можете развернуть контроллер домена, без которой в основных службах просто нет необходимости. Серверную роль доменных служб Active Directory можно устанавливать как при помощи графического интерфейса, так и средствами командной строки в полной редакции Windows Server 2008/2008 R2, а также в редакциях ядра сервера Windows Server 2008/2008 R2 средствами командной строки. В этой статье речь пойдет именно об установке роли AD DS при помощи командной строки (как в полной версии, так и в режиме ядра доменные службы Active Directory средствами командной строки устанавливаются одинаково). Но перед командами установки данной роли рекомендую ознакомиться с некоторыми терминами, которые используются в данной технологии:
Контроллер домена. Контроллером домена называется сервер, выполняющий роль доменных служб, или служб каталогов, как называлось ранее, на нем также располагается хранилище данных каталогов и протокол распределения ключей Kerberos (Kerberos Key Distribution Center — KDC). Этот протокол обеспечивает проверку подлинности объектов идентификации в домене Active Directory.
Домен. Домен – это административная единица, внутри которой расположены компьютеры, группы безопасности и пользователи одной сети, управляемые контроллером домена, использующие единые определенные возможности. Контроллер домена реплицирует раздел хранилища данных, который содержит данные идентификации пользователей, групп и компьютеров домена. Причем, учетные записи пользователей и компьютеров расположены не локально на клиентских компьютерах, а на контроллере домена, то есть используется сетевой вход в системы на всех рабочих местах. Помимо этого, домен является областью действия административных политик разного характера.
Лес. Совокупность доменов, использующих единую схему каталога, называется лесом доменов. По сути, лес представляет собой самую внешнюю границу службы каталогов, где первый установленный домен называется корневым. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Лес может состоять из одного или нескольких доменов. Внутри леса домены связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена.
Дерево. Внутри леса домена, пространство доменных имен содержит деревья леса. Домены интерпретируются как деревья в том случае, если один домен является дочерним для другого. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов.
Сайт. Сайтом называется такой объект Active Directory, как контейнер, предоставляющий часть предприятия с хорошей сетевой коммуникацией. Сайты обычно используются предприятиями, у которых филиалы разбросаны по всей стране или по разным странам и даже континентам. Сайт создает периметр репликации и использования служб Active Directory. Основные задачи сайтов – управление трафиком репликации и локализации служб. Репликацией называется перенос изменений с одного контроллера домена на другой, а локализация служб позволяет пользователям проходить проверку подлинности на любом контроллере домена во всем сайте.
Практика подключения Windows 10 к домену
Ввод через новый интерфейс
Данный метод можно разделить на два, объясню почему. Текущая политика компании Microsoft, заключается в том, что она хочет привести внешний вид операционной системы Windows 10 к общему виду на всех устройствах, чтобы все действия, где бы их пользователь не совершал, выполнялись одинаково. С одной стороны это хорошо и наверное правильно, но с другой стороны, это влечет к постоянному и глобальному изменению интерфейса с каждым новым релизом и выпиливание классических оснасток, в виде панели управления.
Подключаем к домену Windows 10 до 1511
Для десятки с релизом Threshold 1 и 2 (1507 и 1511) процедура добавления компьютера в Active Directory имеет такой алгоритм. Вы нажимаете сочетание клавиш Win и I одновременно (Это одна из многих горячих комбинаций в Windows), в результате у вас откроется меню «Параметры». В параметрах вы находите пункт
Далее вы находите раздел «О системе», тут вы увидите сводную информацию, видно, что в моем примере у меня Windows 10 1511, и обратите внимание, что есть две удобные кнопки:
- Присоединение к домену предприятия
- Присоединиться к Azure AD
для подключения к домену вам необходимо указать его полное имя, в моем случае это root.pyatilistnik.org и нажимаем далее.
Следующим шагом у вас будет форма авторизации, где вам предстоит представится от чьего имени вы будите производить подключение к домену Active Directory вашей Windows 10, обычно, это учетная запись администратора домена или пользователя, кому делегированы права.
напоминаю, что обычный рядовой пользователь может вводить до 10 компьютеров в домен
Следующим шагов, вас спросят чтобы вы указали сведения, о учетной записи, которая будет использовать данный компьютер, я этот этап пропускаю.
и последним этапом нужно выполнить перезагрузку рабочей станции, после этого ввод в домен Windows 10, можно считать успешным.
Подключаем к домену Windows 10 выше 1607
В параметрах Windows найдите и перейдите в пункт «Учетные записи»
Находите пункт «Доступ к учетной записи места работы иди учебного заведения» и нажимаем кнопку «Подключиться»
Про образовательные учреждения можно почитать на MS https://docs.microsoft.com/ru-ru/education/windows/change-to-pro-education
Про присоединение к Azure AD можно почитать вот это https://docs.microsoft.com/ru-ru/previous-versions//mt629472(v=vs.85)
У вас откроется окно «Настройка рабочей или учебной записи». В самом низу нас будет интересовать два пункта:
- Присоединить это устройство к Azure Active Directory
- Присоединить это устройство к локальному домену Active Directory, наш вариант
У вас откроется окно с вводом FQDN имени вашего домена Active Directory.
Далее вас попросят указать учетные данные для присоединения рабочей станции к AD.
Пропускаем шаг с добавлением учетной записи.
Когда все готово, то делаем обязательную перезагрузку, и ваша Windows 10, теперь является членом Active Directory.
После перезагрузки мы видим префикс домена.
Работа над ошибками
DNS не удаётся разрешить IP-адрес
dcdiag выдаёт ошибку DNS:
Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ......................... DC2 - не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.
РЕШЕНИЕ:
Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.
Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
Ошибка репликации 8453
repadmin /showrepl выдаёт ошибку:
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.
РЕШЕНИЕ:
Запустить репликацию вручную и командной строки с административными правами
repadmin /syncall
На контроллере нет сетевых ресурсов NetLogon и SysVol
Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.
Доступность сетевых ресурсов можно проверить командой:
net share
Исправность ресурсов SysVol и NetLogon можно проверить командой:
dcdiag /test:netlogons
Удалённое переименование доменных компьютеров по списку из CSV
Для возможности удалённого централизованного переименования выборочного множества компьютеров под управлением Windows 10 в домене Active Directory сначала потребуется подготовить список компьютеров, подлежащих переименованию, в формате CSV в файл, например, с именем . Файл будет содержать в каждой отдельной строке старое и новое имя компьютера через разделитель — запятую. Первая строка файла должна остаться пустой.
Пример заполненного файла :
Рядом с файлом разместим сам скрипт следующего содержания:
- Rename-Computers-CSV.ps1
-
$File = $PSScriptRoot + "\Rename-Computers-List.csv" # If(!System.IO.File::Exists($File)) { Write-Host -ForegroundColor Red "`nCSV file doesn't exist!`nCheck path : "$File Break } # $DomainCred = Get-Credential -Message "Enter domain admin account (DOMAIN\login)" $LocalCred = Get-Credential -Message "Enter computer admin account (DOMAIN\login)" $computerList = Import-Csv -Path $File -Delimiter "," -Header OldName,NewName ForEach ($Computer in $computerList) { Write-Host "`nProcessing:"$Computer.OldName If (Test-Connection -Computername $Computer.OldName -BufferSize 16 -Count 1 -Quiet) { Write-Host "Ping OK. Renaming..." Rename-Computer -ComputerName $Computer.OldName ` -NewName $Computer.NewName ` -LocalCredential $LocalCred ` -DomainCredential $DomainCred ` -Force } Else { Write-Host -ForegroundColor Red "Host unavailable" } }
Процедура переименования компьютеров в домене Active Directory подразумевает наличие административных прав, как на уровне компьютера, который переименовывается, так и на уровне объекта компьютера в каталоге AD. На практике встречаются организации, где эти разные уровни прав разделены между отдельными административными учётными записями. Данный скрипт учитывает такое разделение и отдельно запрашивает учётную запись уровня администратора объектов в домене …
… а затем учётную запись администратора рабочих станций для возможности удалённого подключения к ним …
После запроса учётных данных выполняется проверка наличия файла , затем по полученному из этого файла списка компьютеров (перед попыткой переименования) проверяется доступность каждого отдельного компьютера в сети.
По каждому компьютеру скрипт выдаст сообщение о результате проверки доступности, и, в случае доступности, сообщит о результате переименования.
Если компьютер окажется недоступен (или имя компьютера не сможет быть разрешено в DNS в IP-адрес), мы получим ошибку о недоступности хоста:
Обратите внимание на то, что скрипт не инициирует перезагрузки удалённых компьютеров после переименования, хотя командлет Rename-Computer такую возможность имеет при добавлении параметра .
Перед более массовым переименованием рекомендуется протестировать работу скрипта на небольшой группе компьютеров.
Проверено на следующих конфигурациях:
Версия PS на сервере | Версия ОС на клиентах |
---|---|
PowerShell 5.1.18362.752 | Windows 10 Pro 10.0.18363 |
Автор первичной редакции:Алексей Максимов
Время публикации: 11.09.2020 16:43
Now to rename the (previously) 2016 domain controller!
Once your server is no longer a domain controller, you can rename it like any other Windows server.
If you are performing these steps to fix a DC that you renamed without demoting first, you can skip renaming it again. Just go straight to the next section. Though I would encourage renaming it something completely different if you can do so easily, just to make sure there are no metadata issues.
- Open Server Manager and select the Local Server tab
- Click the Computer Name
- Click Change to rename the computer…
- Enter the new computer name. Do not modify the domain… Click OK and OK..
- Reboot as prompted.
- Make sure replication completes and your other domain controllers know that the computer name has changed before proceeding.
Переименование домена Windows 2008
2012-04-15 · Posted in Active Directory, Windows Server 2008
Недавно я уже публиковал статью, посвященную переимнованию контроллера домена Windows Server 2008. Сегодня я собираюсь опубликовать связанную, но совершенно другую задачу – переимнование домена. Переименование домена это процедура, которую выполняют очень редко в реальном окружении, если вообще когда либо выполняют. Однако например в тестовом окружении это бывает полезно, да и просто для широты кругозора это не помешает знать.
У Microsoft имеется много информации в документации, посвященной переименованию домена и я рекомендую использовать её(ссылка будет в конце статьи), особенно если дело касается домена в промышленной среде. Однако шаги ниже впринципе вполне полностью описывают процедуру переименования и достаточны для тестовых целей. Для начала опишем первоначальные требования к переименованию домена в среде с одним доменом в лесу:
- У вас должны быть права Enterprise Administrator.
- Домен должен функционировать в нормальном режиме, не должно быть ни каких ошибок.
- Функциональный уровень леса должен быть Windows Server 2003 или 2008, и все контроллеры домена должны быть под управлением как минимум Server 2003.
- Должна существовать DNS зона для нового домена.
- На рядовой сервер необходимо скопировать утилиты Rendom и Gpfixup для выполнения операции переименование. Данная операция не может быть выполнена с контроллера домена.
- Дополнительные требования выдвигаются к DFS, перемещаемым профилям, центру сертификации и серверу Exchange. По этим вопросам посмотрите ссылку на документацию на TechNet, которая будет в конце статьи.
Переименование домена выполняется утилитой Rendom, которая устанавливается вместе с Active Directory при запуске dcpromo. Далее выполняем следующие шаги.
- Выполните команду“rendom /list” для генерации файла Domainlist.xml, содержащего текущую конфигурацию леса.
- Отредактируйте полученный файл, заменив значения полей и на новое имя домена.
- Выполните команду“rendom /showforest” для отображения потенциальный изменений. Этот шаг не делает никаких реальных изменений.
- Выполните команду “rendom /upload” для загрузки инструкции переименования на контроллер домена с ролью domain naming operations master. Данная инструкция будет реплицирована на все другие контроллеры в лесу. После репликации на все контроллеры инструкция будет готова к применению. Вы можете ускорить репликацию запустив команду “repadmin /syncall”.
- Выполните команду “rendom /prepare” для проверки готовности всех контроллеров домена в лесу к процедуре переименования. Все контроллеры должны сообщить о готовности и не должно быть никаких ошибок.
- Выполните команду “rendom /do” для проверки готовности всех контроллеров, затем будет запущена процедура переименования для каждого контроллера. На период выполнения будет прерывания работы домена. После окончания процедуры контроллеры будут перезагружены. Если в период выполнения процедуры произойдет ошибка будет выполнен откат изменений. Поэтому любой контроллер домена, который завершил процедуру переименования с ошибкой должен быть понижен до рядового сервера.
- Выполните команду “gpfixup” для обновления всех ссылок на групповые политики.
- Дважды перегрузите все клиентские компьютеры и рядовые сервера для получения нового доменного имени. Так как при процедуре переименования GUID домена остается старый, членство в домене не затрагивается. DNS суффикс на клиентских машинах будет обновлен автоматически если установлена опция “Change primary DNS suffix when domain membership changes”.
- Выполните команду “rendom /clean” для удаления ссылок на устаревшее имя домена из Active Directory.
- Выполните команду “rendom /end” для прекращения заморозки конфигурации леса и разрешения дальнейших изменений.
Если у вас проявились какие либо проблемы с определением клиентскими машинами нового имени домена то вы можете удалить их с помощью команды “netdom remove /Domain: /Force”, затем перегрузить и присоединить к новому домену. После того как переименование завершено, нам остается сделать только одно последнее действие. DNS суффикс контроллера домена не был изменен в ходе процедуры и нам необходимо сделать это вручную.
Для дальнейшего изучения публикую обещанную ссылку на документацию TechNet
Как отследить, какой процесс блокирует учётную запись домена
Итак, мы выяснили, с какого компьютера или сервера была заблокирована учётная запись. Теперь было бы здорово узнать, какая программа или процесс являются источником блокировки учётной записи.
Часто пользователи начинают жаловаться на блокировку своих учётных записей домена после изменения паролей. Это говорит о том, что старый (неправильный) пароль сохраняется в определённой программе, скрипте или службе, которая периодически пытается аутентифицироваться на контроллере домена с неверным паролем. Рассмотрим наиболее распространённые места, в которых пользователь мог сохранить старый пароль:
- Подключённые сетевые диски (через net use);
- Работы Windows Task Scheduler (Планировщика заданий Windows);
- Службы Windows, настроенные для запуска из учётной записи домена;
- Сохранённые учётные данные в Credential Manager (Диспетчере учётных данных) (в Панели управления);
- Браузеры;
- Мобильные устройства (например, те, которые используются для доступа к корпоративному почтовому ящику);
- Программы с автоматическим входом или настроенная функция автоматического входа в Windows;
- Отключённые/незанятые сеансы RDP на других компьютерах или серверах RDS (поэтому рекомендуется установить ограничения для сеансов RDP);
Подсказка: существует ряд сторонних инструментов (в основном коммерческих), которые позволяют администратору проверять удалённый компьютер и определять источник блокировки учётной записи. В качестве достаточно популярного решения отметим Lockout Examiner от Netwrix.
Чтобы выполнить подробный аудит блокировки учётной записи на найденном компьютере, необходимо включить ряд локальных политик аудита Windows. Для этого откройте локальный редактор групповой политики (gpedit.msc) на компьютере (на котором вы хотите отслеживать источник блокировки) и включите следующие политики в разделе Computer Configurations → Windows Settings → Security Settings → Local Policies → Audit Policy:
- Audit process tracking: Success , Failure
- Audit logon events: Success , Failure
В русскоязычной версии это соответственно: Конфигурации компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита:
- Аудит отслеживания событий: Успех, Отказ
- Аудит событий входа в систему: Успех, Отказ
Дождитесь следующей блокировки учётной записи и найдите события с идентификатором события 4625 в журнале безопасности. В нашем случае это событие выглядит так:
An account failed to log on. Failure Reason: Account locked out.
На русском это:
Учетной записи не удалось выполнить вход в систему. Причина ошибки: Учетная запись блокирована.
Как видно из описания события, источником блокировки учётной записи является процесс mssdmn.exe (компонент Sharepoint). В этом случае пользователю необходимо обновить пароль на веб-портале Sharepoint.
После завершения анализа и выявления и устранения причины блокировки не забудьте отключить локальные политики аудита.
Если вам по-прежнему не удаётся найти источник блокировки учётной записи на определённом компьютере, просто попробуйте переименовать имя учётной записи пользователя в Active Directory. Обычно это наиболее эффективный метод защиты от внезапных блокировок конкретного пользователя, если вы не смогли установить источник блокировки.
Вы также можете вывести список событий с кодом 4625 в PowerShell:
Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; }
Следующую команду вы можете использовать для вывода событий блокировки для конкретного пользователя (впишите его вместо MiAl):
Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl" }
Следующая команда выведет подробную информацию о каждом событии блокировки для указанного пользователя (в том числе процесс, вызвавший блокировку):
Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl" } | Format-List
Эта команда аналогична предыдущей, но покажет события только за последние 2 дня:
$Date = (Get-Date).AddDays(-2); Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl"; StartTime=$Date; } | Format-List
.local или ICANN
Во многих учебных руководствах можно встретить названия доменов вида company.local . Действительно, нет никакого криминала в том, чтобы использовать такие имена в учебных и тестовых целях. Хуже, когда по той же схеме называют реальные домены:
- Имя противоречит идеологии глобального DNS: не даёт гарантии отсутствия коллизий с другими такими же доменами (когда придет пора устанавливать доверительные отношения)
- Отсутствует возможность использовать данное имя для доступа из глобальной сети (когда придет пора публикации)
- На домен, владение которым невозможно подтвердить, нельзя получить публичный SSL-сертификат. Данное ограничение особенно актуально с развитием облачных сервисов, когад размываются границы между on-premise и cloud сервисами. Просто пример: для работы Single Sign On со службами Officе 365 требуется AD Federation Services c публичным сертификатом
Поэтому я рекомендую при именовании домена всегда использовать официально зарегистрированное глобальное имя в иерархии ICANN (Internet Corporation for Assigned Names and Numbers), которое гарантированно избавит от описанных выше недостатков.
Как переименовать администратора домена и изменить формат выводимого имени пользователя
Переименование администратора домена
1. Нажимаем «Пуск» — «Диспетчер серверов».
2. В следующем окне выбираем «Средства», далее «Пользователи и компьютеры Active Directory».
3. Выбираем пользователя «Администратор», правой клавишей мыши — «Переименовать».
4. Переименовываем администратора домена, далее читаем предупреждение о том, что объект Администратор представляет текущего пользователя, который сейчас находится в системе. Для того, чтобы избежать различных конфликтов доступа, после переименования данного объекта необходимо выйти из системы и войти в нее заново с новым именем. Нажимаем «Да».
5. В новом окне задаем «Имя входа пользователя», далее «ОК».
6. После переименования администратора домена изменим описание этого пользователя. Для этого нажимаем правой клавишей мыши на переименованного администратора домена, далее «Свойства».
7. На вкладке «Общие» в «Описание» удаляем старое описание, добавляем новое, например «Служебный пользователь». Далее «ОК».
8. Далее выходим из системы или перезагружаем сервер. Производим вход под новым именем администратора домена.
9. В «Active Directory — пользователи и компьютеры» проверяем переименованного администратора.
Изменение формата выводимого имени пользователя
При добавлении нового пользователя в домене «Полное имя» добавляется и выводится в формате «Имя-Отчество-Фамилия». Это неудобно, но возможно изменить.
1. Нажимаем «Пуск» — «Средства администрирования Windows«.
2. В новом окне выбираем «Редактирование ADSI».
3. В следующем окне — «Действие» — «Подключение к…»
4. Изменяем «Выберите известный контекст именования:» на «Конфигурация». Далее «ОК».
5. Открываем конфигурацию сервера — «CN=DisplaySpecifiers» — «CN=419». В правом окне выбираем «CN=user-Display».
6. В новом окне выбираем «createDialog».
7. Задаем значение: «%<sn> %<givenName>». Далее «ОК».
8. После несложных манипуляций при добавлении нового пользователя формат выводимого имени будет удобным — «Фамилия-Имя-Отчество».
Посмотреть видео, как переименовать администратора домена, изменить формат выводимого имени, можно здесь:
https://youtube.com/watch?v=2Wn5lg-pxvs
- Windows server 2019 — установка и настройка WSUS, создание и настройка GPO
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — установка и настройка Active Directory, DNS, DHCP
- Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
- Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей