Глава 10. Установка и настройка AD DS

Продолжая своё задание, мы теперь должны демонтировать свой контроллер домена в офисе Wingtip Toys в Чикаго. Для этой операции давайте воспользуемся PowerShell, чтобы продемонстрировать насколько быстро может быть демонтирован контроллер домена. Отметим, что ту же самую процедуру можно выполнить в Диспетчере сервера при помощи мастера Удаления ролей и свойств. Для демонтажа данного контроллера домена с использованием PowerShell воспользуйтесь приводимыми ниже шагами:

Данный процесс предоставления и демонтажа контроллера домена является тем, что вы должны свободно осуществлять. имеется множество случаев, когда может потребоваться выполнение данной задачи. Другой возможный сценарий включает в себя обновление контроллера домена для достижения более современного уровня функционирования текущего домена, которое мы обсудим в следующем разделе.

Когда контроллер домена развёрнут, часто он остаётся неприкасаемым, в стороне от осуществления сопровождения и исправлений. Конечно, имеются случаи, когда становится важным обновлять или восстанавливать такие серверы. Один из подобных сценариев заключается в в обновлении функционального уровня для вашего домена. Новые функции и расширения вводятся для AD DS с каждым приращением версии Windows Server. Некоторые из таких свойств применяются ко всему домену, например, корзина повторного использования AD. Тем не менее, прежде чем вы сможете разрешить свойства всего домена, вы вначале должны поднять уровень функциональности своего домена. Эта задача включает в себя обновление каждого из контроллеров домена в вашем домене до самой последней версии Windows Server с последующим повышением всего уровня функциональности домена до соответствующего значения.

Представим себе, что вы являетесь системным администратором для Всемирных Импортёров. Данная организация имеет отдельный домен, который состоит из 18 контроллеров домена. Общая функциональность домена в настоящее время установлена на Windows Server 2008 R2, причём среди существующих контроллеров домена имеются различные версии операционных систем. Половина серверов находятся там на протяжении многих лет и работают с Windows Server 2008 R2. Остальная половина работает от одного года до двух и исполняется под управлением Windows Server 2012 R2. Ваша команда получает задачу обновления имеющейся операционной системы по всем 18 контроллерам домена до Windows Server 2016 с последующим повышением общего уровня функционирования домена до соответствующего значения. Когда вы сталкиваетесь с подобным сценарием, имеются три подлежащих рассмотрению сценария:

После изучения всех представленных выше вариантов, самый практичный подход для Всемирных импортёров состоит в объединении обновлений рядом с восстановлением существующих контроллеров домена. Зная что часть имеющихся контроллеров домена имеют возраст от трёх до четырёх лет, можно с уверенностью предположить, что имеющееся в данных контроллерах оборудование вскоре достигнет окончания своего срока службы и подлежит замене. В то время, как серверы с возрастом от одного до двух лет могут быть демонтированы, обновлены и предоставлены обратно в имеющийся домен.

Если вы устанавливаете Windows Server 2016 впервые, отметим, что тип для установки по умолчанию определён в значение Сервера ядра. Сервер ядра является минималистской установкой операционной системы Windows Server. Такой тип установки предоставляет доступ только к определённым ролям сервера ядра с возможностью установки дополнительных ролей по мере необходимости. Данный тип установки уменьшает накладные расходы системы и занчительно улучшает позиции безопасности данного сервера. Поскольку он был внедрён в Windows Server 2008, в Сервер ядра были внесены определённые улучшения, позволившие администраторам уверенно управлять такими серверами. Например, вы можете добавлять десятки Серверов ядра и управлять ими из центрального сервера управления при помощи Диспетчера сервера и PowerShell.

Как уже упоминалось ранее в данной главе, контроллеры домена часто разворачиваются и затем управляются из центрального местоположения, или через инструментальный набор, который не требует непосредственного доступа к данному серверу. Установка сервера ядра является идеальной для таких условий работы, так как собирает все преимущества, предоставляемые таким Сервером ядра.

В следующем примере мы собираемся пройтись по шагам установки AD DS в установку Сервера ядра Windows Server 2016. Давайте создадим новый лес для Wingtip Toys. Прежде чем устанавливать AD DS на какой бы то ни было сервер, важно чтобы мы вначале настроили его сетевой интерфейс. Имеется много возможностей для выполнения данной задачи в Сервере ядра. Инструментарий настройки сервера (Server Configuration) является одним из подобных вариантов, который предлагает вам базовый текстовый интерфейс для настройки основных компонентов. Вы можете осуществить доступ к Инструментарию настройки сервера набрав в командной строке sconfig. Другим вариантом является PowerShell. Давайте рассмотрим cmdlet-ы PowerShell, применяемые для настройки имеющегося сетевого адаптера на вашем сервере.

Когда ваш сетевой адатер настроен, мы теперь можем установить на такой серве необходимую нам роль AD DS. Чобы осуществить это, воспользуемся теми же самыми cmdlet PowerShell, которые мы уже обсуждали ранее в этой главе.

После перезагрузки ваш сервер теперь является активным контроллером домена в вашем домене WingtipToys.local. На данный момент у вас имеется вариант установки инструментов управления вашим AD DS на удалённом сервере, либо загрузка RSAT (Remote Server Administration Tools) для Windows 10 и управление AD сос своей рабочей станции. Поскольку вы изучаете Сервер ядра, ознакомьтесь с утилитой sconfig. Эти варианты являются важной начальной вехой в управленни установками вашего Сервера ядра.

Всякий домен Active Directory опирается на плечи некоторой базы данных. Такая база данных изменяется в размере на очнове объёма хранимых в Active Directory данных, что обычно диктуется общим размером вашей организации и числом управляемых вами объектов. По мере роста вашей базы данных в масштабе, всё большее значение принимают переменные, такие как репликация и полоса пропускания. Эти переменные ещё более важны, когда мы имеем дело с соединениями WAN, которые имеют ограниченную полосу пропускания между удалёнными офисами.

В данном разделе мы собираемся взглянуть на представление другого контроллера домена, однако в этот раз давайте применим функциональность Установки с носителя (IFM, Install From Media). IFM является опцией, которая предоставляется в процессе предложения нового контроллера домена, которое позволяет вам выбрать последний экспорт вашей базы данных из имеющегося у вас домена. Поступая таким образом вы избавляетесь от необходимости новому контроллеру домена реплицировать полную копию всей базы данных при своём первом выходе в рабочее состояние. Вместо этого IFM всего лишь реплицирует самые последние изменения с момента создания последнего экспорта. Такой метод может существенно уменьшить обмен репликации и время развёртывания нового контроллера домена. В некоторых случаях это может оказаться обязательной операцией, зависящей от ряда факторов, таких как размер вашей базы данных AD, значение доступной полосы пропускания к вашему удалённому местоположению, либо если вы имеете короткий временной отрезок для развёртывания нового контроллера домена.

Имеются четыре типа установочных носителей, которые могут быть созданы. Эти типы включают:

	Совет для экзамена
	Для данного экзамена вы должны быть знакомы с каждым из типов носителя установки и создаваемых ими выводов данных.

Будучи системным администратором Всемирных импортёров, вы отвечаете за развёртывание новых контроллеров домена при возникновении такой потребности. Вы работаете в главной штаб-квартире корпорации, расположенной в Сан Франциско, Калифорния. Ваш управляющий только что проинформировал вас, что новый офис готовится к настройке в Дублине, Ирландия, чуть позже в этом году. Это первый офис вашей компании в Дублине в ожидании дальнейшего роста. Изначально вы ограничены в 10 МБ соединении WAN между новым офисом и главной штаб-квартирой корпорации. В приводимом далее примере мы пройдём процесс экспорта имеющейся базы данных AD, её копирования на новый сервер и использования опции IFM для для представления этого сервера контроллеру домена.

В вашей командной строке появятся определённые сообщения состояния; они снабдят вас отчётом об исполнении по мере осуществления экспорта. Когда экспорт окончательно успешно завершится, вы получите сообщение о состоянии аналогичное показанному на Рисунке 10-3. На данном этапе вы можете скопировать всё содержимое своего каталога IFM на извлекаемый носитель информации, либо на диск нового сервера, прежде чем вы переправите его в своё дальнейшее местоположение.

 

Рисунок 10-3

Для управления Active Directory, включая возможность создания установочного носителя для новых контроллеров домена применяется инструмент ntdsutil.

В данном примере мы копируем всё содержимое своеё папки IFM в корень своего системного устройства на нашем новом сервере. По её появлению данный сервер включается и готов для своего представления. Последующие шаги демонстрируют прохождение через представление контроллера домена с применением экспорта IFM:

Наданномэтапе этой главы мы прошли множество сценариев установки для предложения нового контроллера домена. IFM добавил некоторую дополнительную гибкость в ваше развёртывание, позволяя вам надёжно развёртывать контроллеры домена удалённо с ограничением предельной нагрузки для WAN вашей организации. Тот же самый метод может применяться для подготовки больших развёртываний. Например, некоторая организация, которая специализируется в розничной торговле может иметь сотни магазинов по всему миру, причём каждый со своим собственным контроллером домена. Применяя в такой ситуации IFM может оказаться очень преимущественным в снижении накладных расходов.

На протяжении всей данной главы мы развернули несколько контроллеров домена при различных обстоятельствах. Одной общей компонентой для всех этих контроллеров домена был DNS. Для надлежащей работы AD DS DNS должен быть верно установлен и настроен. Всякая среда имеет свои отличия, когда дело доходит до DNS, причём это играет основную родь в общей жизнеспособности вашего леса AD DS.

AD DS полагается на записи SRV - также называемые записями служб (service records). Каждая запись выполняет свою особую цель, такую как снабжение клиентов их ближайшим сервером LDAP, или разрешение серверам взаимодействовать друг с другом. Будучи администратором AD DS, вам необходимо быть знакомым с такими записями SRV и тем, как обнаруживать проблемы регистрации. Когда проблема в действительности возникает, имеется ряд ресурсов, которые вы можете применять для поиска решения. Теперь давайте рассмотрим их.

Жизнеспособность DNS по всем вашим контроллерам домена является важной составляющей при управлении вашей средой AD DS. Для данного экзамена убедитесь что вы знакомы с каждым из упомянутых выше инструментов. Уделите время исследованию Диспетчера DNS и изучите все записи SRV в своём домене.

В AD DS глобальный каталог спроектирован для улучшения производительности в среде со множеством контроллеров домена, или площадок с ограниченной пропускной способностью. Такой глобальный каталог содержит частичное представление всех объектов в вашем лесу AD DS. Контроллерам домена может быть назначено выступать в роли серверов глобального каталога, что позволяет им отвечать на запросы глобального каталога. Если некое приложение соединяется с Active Directory и это приложение осуществляет поиск расположенного неподалёку сервера глобального каталога, такой поиск выполнится быстрее, так как он имеет доступной всю необходимую информацию.

Давайте начнём с определения того, был ли некий контроллер домена настроен в качестве некоторого сервера глобального каталога. Имеются места, где мы можем осуществить поиск такой информации. Первым местоположением является Пользователи и Компьютеры Active Directory. Если вы переместитесь в этот контейнер Контроллеров домена, в нём имеется колонка с названием DC Type. Те Контроллеры домена, которые были назначены в качестве серверов глобального каталога имеют значение GC (Global Catalog) для DC Type. На Рисунке 10-6 вы можете обнаружить, что два из трёх имеющихся у нас Контроллеров домена настроены в качестве серверов Глобального каталога.

 

Рисунок 10-6

Консоль управления Пользователями и Компьютерами AD отображает DC тип для Контроллеров домена в вашем домене

Другое местоположение для просмотра состояния состояния сервера глобального каталога находится внутри консоли управления Сайтами и Службами Active Directory. Для обнаружения этих опций вам необходимо раскрыть площадки (сайты), следуя той площадке, на которой назначен ваш контроллер домена. Находясь на данной площадке раскройте Серверы. Выбрав нужный вам контроллер домена кликните правой кнопкой по NTDS Settings и выберите Properties. В закладке General окна Свойств Настроек NTDS имеется флаговая кнопка для назначения роли глобального каталога, как это отображено на Рисунке 10-7. Если вам необходимо переключить эту роль во включённое или выключенное состояние, выполните здесь соответствующее действие, что приведёт к обновлению всей топологии AD DS.

 

Рисунок 10-7

Переключение роли Глобального каталога в окне Свойств Настроек NTDS

По мере предоставления вами новых контроллеров домена, вы заметите, что роль Глобального каталога помечается по умолчанию. В большинстве сценариев наличие Глобального каталога на всех Контроллерах домена в вашей среде является положительным добавлением. В редких случаях, зависящих от имеющейся топологии AD DS, вы можете обнаружить некий вариант, при котором удаление роли Глобального каталога на определённом Контроллере домена может улучшить всю среду. Прочие варианты рассмотрения включают в себя RODC (Контроллеры домена, доступные только для чтения), которые могут быть назначены в качестве некоего сервера Глобального каталога. Однако, не все приложения со включённой поддержкой каталога осуществляют связь с сервером Глобального каталога, размещающимся в RODC.

	Нужно больше информации? Дополнительные подробности по Глобальным каталогам
	Для получения дополнительной информации по Глобальным каталогам, зависимостям и взаимодействиям посетите https://technet.microsoft.com/library/cc728188(v=ws.10).aspx.

AD DS составлен из пяти ролей FSMO (Flexible Single Master Operation, Гибких отдельных главных операций). Эти роли назначаются всем контроллерам домена в вашей среде. Каждая роль может быть назначена некоторому отдельному контроллеру домена, однако нет ограничений тому какие роли где назначать. Например, если у вас имеются пять различных контроллеров домена, вы технически можете назначать каждую роль единичному контроллеру домена. Ничего страшного также в том, что RODC не может размещать никакую из ролей FSMO. Давайте рассмотрим функции каждой из этих ролей:

	Совет для экзамена
	Вы должны быть знакомы со всеми ролями FSMO, их индивидуальными свойствами и тем, как передавать эти роли различным контроллерам домена.

Теперь, когда у вас имеется основное понимание ролей FSMO, давайте рассмотрим где эти роли установлены в вашем домене.

После того, как вы определили какие контроллеры домена имеют назначенными какие роли FSMO, нам необходимо понять разницу между передачей роли и захватом роли.

Передача ролей FSMO

Передача и захват роли FSMO выполняется с применением утилиты ntdsutil. Рисунок 10-8 отображает, что WTT-DC-01 содержит все имеющиеся роли для вашего домена. Давайте перенесём роль мастера инфраструктуры на WTT-DC-03.

1. Зарегистрируйтесь в некотором контроллере домена своего домена.

2. Откройте поднимающуюся командную строку.

3. Наберите ntdsutil и нажмите Enter.

4. Наберите roles и нажмите Enter.

5. Введите connections и нажмите Enter.

6. Наберите connect to server WTT-DC-03. Просмотрите вывод и убедитесь что данное соединение было успешным.

7. Введите q и нажмите Enter.

8. Наберите transfer infrastructure master и нажмите Enter. Когда получите запрос на подтверждение, кликните Yes. Просмотрите вывод и убедитесь что передача прошла успешно.

9. Введите q для выхода из сопровождения FSMO и ещё раз q для выхода из ntdsutil.

После того, как роль будет передана, снова выполните утилиту netdom и убедитесь что ваша роли мастера инфраструктуры теперь назначена WTT-DC-03, как это отображено на Рисунке 10-9:

 

Рисунок 10-9

Утилита netdom может помочь с определением того куда назначены роли FSMO в вашем домене

 

Захват ролей FSMO

Давайте представим себе, что WTT-DC-03 испытал катастрофическое падение, что не даёт нам возможности простой передачи назначения ролей FSMO. В данном примере наш контроллер домена больше не присутствует в имеющейся у нас сетевой среде, поэтому давайте применим опцию перехвата для восстановления данной роли и её назначения WTT-DC-01.

1. Зарегистрируйтесь в некотором контроллере домена своего домена.

2. Откройте поднимающуюся командную строку.

3. Наберите ntdsutil и нажмите Enter.

4. Наберите roles и нажмите Enter.

5. Введите connections и нажмите Enter.

6. Наберите connect to server WTT-DC-01. Просмотрите вывод и убедитесь что данное соединение было успешным.

7. Введите q и нажмите Enter.

8. Наберите seize infrastructure master и нажмите Enter. Когда получите запрос на подтверждение, кликните Yes. Просмотрите вывод и убедитесь что передача прошла успешно.

9. Введите q для выхода из сопровождения FSMO и ещё раз q для выхода из ntdsutil.

После захвата данной роли выполните утилиту netdom и убедитесь что ваша роли мастера инфраструктуры теперь назначена WTT-DC-01.

	Совет для экзамена
	При подготовке к экзамену убедитесь что понимаете разницу между операциями передачи и захвата.

Установка и настройка контроллера домена только для чтения

Безопасность является критически важной при её рассмотрении для любой организации. Действительный периметр, окружающий вашу интеллектуальную собственность требует постоянного внимания и корректировки. AD DS содержит учётные записи пользователей, адреса электронной почты, пароли и, что наиболее важно, доступ к ресурсам и службам, которые предназначены быть чрезвычайно безопасными. Когда вы просматриваете вопросы безопасности AD DS, один из моментов, подлежащих его рассмотрению состоит в физическом размещении ваших контроллеров домена и ожидаемых требованиях для этих серверов. Вот несколько вопросов, которые вы должны рассмотреть при обзоре вопросов безопасности для своих контроллеров домена:

1. Имеется ли там физическая безопасность?

2. Подключён ли контроллер домена к внешней сети или DMZ?

3. Осуществляют ли пользователи без прав администратора запросы на доступ к данному контроллеру домена для поддержки внутренних приложениё?

RODC впервые появился в Windows Server 2008. Он был разработан для решения всех перечисленных выше вопросов. Перечисляемые в Таблице 10-1 свойства были введены с целью предоставления дополнительной безопасности для AD DS и вашей организации.

Таблица 10-1. Сводка свойств безопасности RODC

Свойство	Описание
Unidirectional replication (Репликация в одном направлении)	В отличии от контроллеров домена с возможностью записи, RODC разработан для репликации изменений вовнутрь, но не наружу. Все остальные контроллеры домена в в вашем лесу не могут реплицировать изменения из некоторого RODC. Это улучшает безопасность предотвращая возможность злонамеренного обновления реплицируемого обратно в ваш лес.
Специализированная учётная запись krbtgt	Учётная запись krbtgt не допускает работающему под ней RODC доступ к ресурсам на какой- либо удалённой площадке.
PRP (Password Replication Policy) Политика репликации пароля	PRP предотвращает кеширование паролей локально в RODC. Если некий RODC скомпрометирован, никакие пароли учётных записей не могут быть получены.
RODC FAS (Filtered attribute set) Набор фильтрующих атрибутов RODC	Такой FAS делает возможным для вашего администратора назначать какие приложения могут реплицировать данные в RODC. Это осуществляется путём добавления соответствующих атрибутов для такого приложения в RODC FAS и пометка его как конфиденциального.

Например, Wingtip Toys недавно расширилась на рынке розничной торговли 12ю новыми магазинами настраиваемыми на открытие в последующие шесть месяцев. Этим магазинам требуются локальные контроллеры домена для поддержки множества компьютеров точек продаж в каждом из местоположений. Физическая безопасность этих магазинов ограничена и в некоторых случаях требует, чтобы ваши серверы совместно использовали некоторое централизованное стоечное простраство с соседними магазинами. Основываясь на этих требованиях, вам придётся предложить для каждого из таких магазинов RODC. Давайте пройдём процесс активации RODC:

1. Откройте Диспетчер сервера.

2. В инструментальной панели Диспетчера сервера кликните Add Roles And Features.

3. На странице своего мастера Добавления ролей и свойств Before You Begin кликните Next.

4. На странице Installation Type убедитесь в том, что выбрана установка на основе Роли или Свойств и кликните Next.

5. На странице Server Selection проверьте, что выбран Select A Server From The Server Pool (Выбор сервера из пула серверов) и ваш сервер выделен в этом перечне. Кликните Next.

6. В странице Server Roles пометьте флаговую кнопку Служб домена Active Directory. Когда получите соответствующий запрос на добавление дополнительной функциональности, просмотрите весь список и выберите Include Management Tools (если они доступны). Кликните Add, а затем Next.

7. На странице Features кликните Next.

8. На странице AD DS кликните Next.

9. В странице Confirmation просмотрите весь список ролей и свойств, подлежащих установке. В качестве справки можете воспоьзоваться Рисунком 10-1. Кликните Install для начала установки AD DS.

10. По окончанию всего процесса установки AD DS в Диспетчере сервера будут отображены новые предупредительные уведомления. Кликните по иконке уведомления и кликните Promote This Server To A Domain Controller (Активировать этот сервер в Контроллер домена).

11. На странице Deployment Configuration своего мастера Настроек Служб домена Active Directory выберите Add A Domain Controller To An Existing Domain (Добавление Контроллера домена в существующий домен). Кликните по полю опции Domain. Когда получите запрос, введите полномочия для учётной записи в домене wingtiptoys.local, которая является участниом Группы администратора домена. Выберите домен wingtiptoys.local и кликните Next.

12. На странице Domain Controller Options просмотрите значения параметров, установленные по умолчанию. Убедитесь в пометке соответствующего блока для доступного только на чтения домена RODC, как это отображено на Рисунке 10-10. Для пароля Режима восстановления Служб каталога DSRM наберите в двух полях P@ssw0rd и кликните Next.

     

    Рисунок 10-10

    
    Мастер Настройки Служб домена Active Directory включает в себя опцию активации RODC на странице Опций Контроллера домена
    
    

13. На странице RODC Options просмотрите все установленные по умолчанию учётные записи и группы, которые реплицируют пароли в данный RODC и те, которым это запрещено, как это показано на Рисунке 10-11. Кликните Next.

     

    Рисунок 10-11

    
    Мастер Настройки Служб домена Active Directory содержит разрешение репликации пароля на странице Опций RODC
    
    

14. В странице DNS Options кликните Next.

15. На странице Additional Options пометьте дополнительные опции по умолчанию для репликации и кликните Next.

16. В странице Paths просмотрите все пути для базы данных данного AD DS, файлов журнала и папки sysvol. Кликните Next.

17. На странице Review Options просмотрите весь перечень праметров настройки. Кликните View Script. Это откроет текстовый файл с командами PowerShell, применяемыми для настройки данного RODC. Закройте этот текстовый файл и кликните Next.

18. В странице Prerequisites Check просмотрите все отображённые предупреждения в полученной результирующей панели и кликните Install. По окончанию всей установки ваш сервер автоматически выполнит перезагрузку для завершения процесса установки.

После завершения всех перечисленных выше шагов вы должны получить новый контроллер домена с типом DC Read-only. Давайте подключимся к этому контроллеру домена и просмотрим какие опции являются доступными.

1. Зарегистрируемся в одном из ваших контроллеров домена.

2. Откроем Active Directory Users And Computers.

3. В его левой панели консоли Управления Пользователями и Компьютерами Active Directory кликнем правой кнопкой по WingtipToys.local и выберем Change Domain Controller.

4. В диалоговом окне Изменения Сервера каталога выберем RODC в имеющемся перечне и кликнем OK. Перед подключением к данному RODC вам будет предоставлено предупредительное сообщение состояния, которое описывает не разрешённые операции, как это показано на Рисунке 10-12. Кликните OK.

5.  

   Рисунок 10-12

   
   Мастер Настройки Служб домена Active Directory содержит разрешение репликации пароля на странице Опций RODC
   
   

   Кликните правой кнопкой по контейнеру Users. Отметим, что все опции по созданию новых элементов являются недоступными.

6. Кликните по контейнеру Users. Кликните правой кнопкой по учётной записи Administrator. Заметьте, что все опции для обновления участия в группах, запрещении учётных записей и сбросе пароля являются отключёнными.

Теперь, когда вы развернули некий RODC и изучили некоторые его основные функции, рассмотрим случай, при котором это может быть существенно в вашей среде. RODC очень эффективен для предотвращения изменений в имеющемся у вас лесу AD DS. Однако, будьте предусмотрительы в своих реализациях. У меня были потребители, которые настаивали на замещении всех Контроллерах домена с возможностью записи на RODC во всех своих удалённых офисах. Это быстро приводило к огромным перегрузкам в управлении. Изменения могли осуществляться только в Контроллерах домена с разрешённой записью в центральном офисе. Это приводило к репликациям при необходимости проведения множественных изменений. Офисы находились на расстояниях тысяч миль и работали в различных временных зонах. Такие контроллеры домена все были расположены в безопасных стоечных местоположениях, поэтому топология RODC не является существенной для данной среды.

Настройка клонирования контроллера домена

Вплоть до Windows Server 2012 не поддерживалась практика применения какой- либо формы дублирования при развёртывании нового контроллера домена. Она включала в себя такие операции как клонирование имеющегося VHD некоторого существующего контроллера домена. Это может существенно влиять на вашу инфраструктуру AD DS. С того времени состояние дел изменилось с появлением Windows Server 2012 и последующих выпусков Windows Server. При допустимых обстоятельствах администраторы могут клонировать некий активный контроллер виртуального домера, позволяя им в случае необходимости осуществлять согласующиеся развёртывания в быстрой последовательности.

Прежде чем вы сможете клонировать некий виртуальный контроллер домена, вы должны удовлетворить следующие требования:

• Целевой контроллер домена должен работать под управлением Windows Server 2012 или более поздних версий.

• Выполняющий операцию клонирования администратор должен буть участником группы Администраторов домена.

• Контроллер домена, содержащий роль эмулятора PDC должен быть в рабочем состоянии в процессе всего клонирования и

• Гипервизор для данного контроллера домена должен поддерживать ВМ-Генерируемый идентификатор (VM-Generation ID).

Имея в виду эти предварительные требования, давайте пройдём весь процесс клонирования некоторого имеющегося виртуального контроллера домена. В данном примере давайте воспользуемся в качестве гипервизора Hyper-V.

1. Зарегистрируйтесь в контроллере домена источнике в своём домене. Это именно тот контроллер домена, который мы собираемся клонировать. В данном примере именем нашего контроллера домена является WTTDC-02.

2. Убедитесь что роль эмулятора PDC в настоящее время назначена данному контроллеру домена. Чтобы осуществить это выполните приводимую ниже команду в поднимающемся приглашении командной строки:

   
   netdom /query FSMO
    	   

3. Откройте поднимающееся окно PowerShell.

4. Добавьте данный контроллер домена источник в соответствующую группу безопасности AD: группу безопасности Cloneable Domain Controllers. Для осуществления этого выполните такую команду:

   
   Add-ADGroupMember -Identity "Cloneable Domain Controllers" -Members "WTT-DC-02$"
    	   

5. Убедитесь что рассматриваемый вами в качестве источника Контроллер домена не имеет никаких установленных на нём приложений или служб, которые не совместимы с клонированием. Для этого выполните приводимую ниже команду:

   
   Get-ADDCCloningExcludedApplicationList
    	   

6. Если появились какие- либо элементы из данного списка приложений, они должны быть удалены из этого Контроллера домена, либо добавлены в CustomDCCloneAllowList.xml прежде чем вы приступите к клонированию. Для создания CustomDCCloneAllowList.xml исполните следующую команду:

   
   Get-ADDCCloningExcludedApplicationList -GenerateXML
    	   

7. Создайте новый файл настроек для Контроллера домена источника. Для этого воспользуйтесь приводимой ниже командой и просмотрите весь её вывод на предмет предупреждений или ошибок:

   
   New-ADDCCloneConfigFile -CloneComputerName "WTT-DC-03" -SiteName DefaultFirst-Site-Name -IPv4Address 10.0.0.15 -IPv4DefaultGateway 10.0.0.254 -IPv4SubnetMask 255.255.255.0 -IPv4DNSResolver 10.0.0.1,10.0.0.15 –Static
    	   

8. Остановите Контроллер домена источник.

На данный момент мы подготовили Контроллер домена источник для клонирования предоставив ему доступ в каталог, проверив все исполняющиеся службы и создав некий файл настроек. Далее давайте выполним клонирование этой ВМ вначале экспортировав некую копию данного Контроллера домена источника, а затем повторно импорторовав её. Так как мы применяем Hyper-V, давайте пользоваться для этих шагов PowerShell.

1. Откройте поднимающееся окно PowerShell в своём хосте Hyper-V.

2. Исполните следующую команду для экспорта копии вашего источника Контроллера домена.

   
   Import-VM -Path "<XMLFile>" -Copy -GenerateNewId -VhdDestinationPath D:\WTTDC-03
    	   

3. Для импорта полученной новой виртуальной машины высполните следующую команду.

   
   Export-VM –Name WTT-DC-02 –path D:\VMExports
    	   

Когда импорт завершён, включите полученную новую виртуальную машину. Убедитесь что оставили Контроллер домена источник отключённым в течении этого времени. Когда вы запустите свою новую виртуальную машину, она изначально исполняется в режиме работы своего Контроллера домена источника, пока данный процесс клонирования не выполнится полностью, начиная с этого момента вы можете восстановить свой источник Контроллера домена в активное состояние.

Когда новый Контроллер домена включится впервые, такое переключение процесса клонирования выполнится автоматически. Данный процесс применяет файл настроек клонирования, который мы создали ранее в данном разделе. Последовательность загрузки отображает простое процентное соотношение для индикации того насколько далеко продвинулся этот процесс клонирования, как это показывает Рисунок 10-13.

 

Рисунок 10-13

Процесс клонирования вашего Контроллера домена запускается автоматически

Когда весь процесс клонирования завершится, зарегистрируйтесь в своём новом Контроллере домена. Откройте Active Directory Sites and Services в своём новом Контроллере домена. Переместитесь на площадку Default-First-Site-Name и просмотрите каталог Servers. Убедитесь, что представлены все три Контроллера домена. На данном этапе вы можете включить свой Контроллер домена источник которые до этого мы оставили отключённым.

При подготовке к экзамену ознакомьтесь с cmdlet PowerShell, применяемыми для создания списка пользовательских приложений XML и XML конфигурацией клонирования. Будьте готовы к ответу на вопросы, относящиеся к предварительной подготовке, например таким, как знание версий Windows Server, поддерживающих клонирование Контроллера домена.