Принудительная репликация между двумя контроллерами домена в Active Directory

Принудительная репликация между двумя контроллерами домена в Active Directory

Представьте, что в вашем доме всего одна дверь. Нет окон, нет двери патио, только одна дверь. Что произойдет, если вы не сможете открыть эту дверь? Дом и все в нем бесполезно для вас.

Контроллер домена, в некотором смысле, похож на дверь. Один с вышибалой на это. Это ворота, чтобы попасть внутрь к вещам, которые вы хотите. Active Directory (AD) — это вышибала у двери. Он проверяет ваши учетные данные, определяет, разрешено ли вам проходить через дверь, и к каким ресурсам вы можете получить доступ один раз внутри.

Если вы используете какую-либо сеть и имеете только один контроллер домена, вы живете в доме с одной дверью. Если что-то случится с этим контроллером домена, вся ваша система серверов развалится. Всегда иметь более одного контроллера домена (DC).

Но как убедиться, что оба контроллера домена имеют одинаковую информацию? Допустим, вы внесли изменения, связанные с безопасностью, на одном DC. Вы хотите, чтобы изменения немедленно реплицировались на другие контроллеры домена. Зачем ждать 15 минут или больше, чтобы это произошло по расписанию? Вам нужно форсировать репликацию контроллеров домена в Active Directory,

Есть 3 способа приблизиться к этому; через графический интерфейс пользователя (GUI), через интерфейс командной строки (CLI) или через PowerShell.

Windows Server 2019 — установка контроллера домена

Установим роль контроллера домена на Windows Server 2019. На контроллере домена работает служба Active Directory (AD DS). С Active Directory связано множество задач системного администрирования.

AD DS в Windows Server 2019 предоставляет службу каталогов для централизованного хранения и управления пользователями, группами, компьютерами, а также для безопасного доступ к сетевым ресурсам с проверкой подлинности и авторизацией.

Подготовительные работы

Нам понадобится компьютер с операционной системой Windows Server 2019. У меня контроллер домена будет находиться на виртуальной машине:

После установки операционной системы нужно выполнить первоначальную настройку Windows Server 2019:

Хочется отметить обязательные пункты, которые нужно выполнить.

Выполните настройку сети. Укажите статический IP адрес. DNS сервер указывать не обязательно, при установке контроллера домена вместе с ним установится служба DNS. В настройках сети DNS сменится автоматически. Отключите IPv6, сделать это можно и после установки контроллера домена.

Укажите имя сервера.

Было бы неплохо установить последние обновления, драйвера. Указать региональные настройки, время. На этом подготовка завершена.

Установка роли Active Directory Domain Services

Работаем под учётной записью локального администратора Administrator (или Администратор), данный пользователь станет администратором домена.

Дополнительно будет установлена роль DNS.

Следующий шаг — установка роли AD DS. Открываем Sever Manager. Manage > Add Roles and Features.

Запускается мастер добавления ролей.

Раздел Before You Begin нас не интересует. Next.

В разделе Installation Type выбираем Role-based or feature-based installation. Next.

В разделе Server Selection выделяем текущий сервер. Next.

В разделе Server Roles находим роль Active Directory Domain Services, отмечаем галкой.

Для роли контроллера домена нам предлагают установить дополнительные опции:

• [Tools] Group Policy Management
• Active Directory module for Windows PowerShell
• [Tools] Active Directory Administrative Center
• [Tools] AD DS Snap-Ins and Command-Line Tools

Всё это не помешает. Add Features.

Теперь роль Active Directory Domain Services отмечена галкой. Next.

В разделе Features нам не нужно отмечать дополнительные опции. Next.

У нас появился раздел AD DS. Здесь есть пара ссылок про Azure Active Directory, они нам не нужны. Next.

Раздел Confirmation. Подтверждаем установку компонентов кнопкой Install.

Начинается установка компонентов, ждём.

Configuration required. Installation succeeded on servername. Установка компонентов завершена, переходим к основной части, повышаем роль текущего сервера до контроллера домена. В разделе Results есть ссылка Promote this server to domain controller.

Она же доступна в предупреждении основного окна Server Manager. Нажимаем на эту ссылку, чтобы повысить роль сервера до контроллера домена.

Запускается мастер конфигурации AD DS — Active Directory Domain Service Configuration Wizard. В разделе Deployment Configuration нужно выбрать один из трёх вариантов:

• Add a domain controller to an existing domain
• Add a new domain to an existing forest
• Add a new forest

Первый вариант нам не подходит, у нас нет текущего домена, мы создаём новый. По той же причине второй вариант тоже не подходит. Выбираем Add a new forest. Будем создавать новый лес.

Укажем в Root domain name корневое имя домена. Я пишу ilab.local, это будет мой домен. Next.

Попадаем в раздел Doman Controller Options.

В Forest functional level и Domain functional level нужно указать минимальную версию серверной операционной системы, которая будет поддерживаться доменом.

У меня в домене планируются сервера с Windows Server 2019, Windows Server 2016 и Windows Server 2012, более ранних версий ОС не будет. Выбираю уровень совместимости Windows Server 2012.

В Domain functional level также выбираю Windows Server 2012.

Оставляю галку Domain Name System (DNS) server, она установит роль DNS сервера.

Укажем пароль для Directory Services Restore Mode (DSRM), желательно, чтобы пароль не совпадал с паролем локального администратора. Он может пригодиться для восстановления службы каталогов в случае сбоя.

Не обращаем внимание на предупреждение «A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found. «. Нам не нужно делать делегирование, у нас DNS сервер будет на контроллере домена. Next.

В разделе Additional Options нужно указать NetBIOS name для нашего домена, я указываю «ILAB». Next.

В разделе Paths можно изменить пути к базе данных AD DS, файлам журналов и папке SYSVOL. Без нужды менять их не рекомендуется. По умолчанию:

• Database folder: C:WindowsNTDS
• Log files folder: C:WindowsNTDS
• SYSVOL folder: C:WindowsSYSVOL

В разделе Review Options проверяем параметры установки. Обратите внимание на кнопку View script. Если её нажать, то сгенерируется tmp файл с PowerShell скриптом для установки контроллера домена.

Сейчас нам этот скрипт не нужен, но он может быть полезен системным администраторам для автоматизации установки роли контроллера домена с помощью PowerShell.

Попадаем в раздел Prerequisites Check, начинаются проверки предварительных требований.

Проверки прошли успешно, есть два незначительных предупреждения про DNS, которое мы игнорируем и про безопасность, тож игнорируем. Пытался пройти по предложенной ссылке, она оказалась нерабочей.

Для начала установки роли контроллера домена нажимаем Install.

Начинается процесс установки.

Сервер будет перезагружен, о чём нас и предупреждают. Close.

Дожидаемся загрузки сервера.

Первоначальная настройка контроллера домена

Наша учётная запись Administrator теперь стала доменной — ILABAdministrator. Выполняем вход.

Видим, что на сервере автоматически поднялась служба DNS, добавилась и настроилась доменная зона ilab.local, созданы A-записи для контроллера домена, прописан NS сервер.

На значке сети отображается предупреждение, по сетевому адаптеру видно, что он не подключен к домену. Дело в том, что после установки роли контроллера домена DNS сервер в настройках адаптера сменился на 127.0.0.1, а данный адрес не обслуживается DNS сервисом.

Сменим 127.0.0.1 на статический IP адрес контроллера домена, у меня 192.168.1.14. OK.

Теперь сетевой адаптер правильно отображает домен, предупреждение в трее на значке сети скоро пропадёт.

Запускаем оснастку Active Directory Users and Computers. Наш контроллер домена отображается в разделе Domain Controllers. В папкe Computers будут попадать компьютеры и сервера, введённые в домен. В папке Users — учётные записи.

Правой кнопкой на корень каталога, New > Organizational Unit.

Создаём корневую папку для нашей компании. При создании можно установить галку, которая защищает от случайного удаления.

Внутри создаём структуру нашей компании. Можно создавать учётные записи и группы доступа. Создайте учётную запись для себя и добавьте её в группу Domain Admins.

Рекомендуется убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной и частной сетей — отключен.

Рекомендации по применению политик

Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.

Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.

Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.

В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.

Как управлять входящей и исходящей репликацией

Вы можете отключить входящую и/или исходящую репликацию с возможностью повторного включения позже. Для этого выполните следующие команды в командной строке, запущенной под администратором (cmd.exe):

repadmin.exe /options DC01 +DISABLE_INBOUND_REPL

Отключает входящую репликацию на контроллере домена DC01

repadmin.exe /options DC01 +DISABLE_OUTBOUND_REPL

Отключает исходящую репликацию на контроллере домена DC01

repadmin.exe /options DC01 -DISABLE_INBOUND_REPL

Включает входящую репликацию на контроллере домена DC01

repadmin.exe /options DC01 -DISABLE_OUTBOUND_REPL

Включает исходящую репликацию на контроллере домена DC01.

Например, опция отключения исходящей репликации — это хороший способ выполнить обновление схемы без необходимости перестраивать весь лес Active Directory.

Sysinternals Bginfo — обзор и настройка для работы в домене.

Надеюсь, что многие из вас успели неплохо отдохнуть за эти праздничные первомайские дни, и сегодня я хочу вам рассказать о компании Sysinternals и её полезных продуктах.

Те из вас, кто уже знаком с программами от этой компании могут читать эту статью через строчку! -) Для всех остальных – прошу проследовать под кат, и нажать кнопку Подробнее.

О компании Sysinternals

Для начала проведу небольшой экскурс в историю компании: Sysinternals это часть веб-сайта Microsoft Technet, который предлагает технические средства и утилиты для управления, диагностики, устранения неполадок и мониторинга всей среды Microsoft Windows.

Основателями компании являются Марк Руссинович и Брайс Когсуэлл. Компания основана в 1996 году, базируется в США, в городе Остин, штат Техас.В июле 2006 г. Компанию Sysinternals приобрела корпорация Microsoft­­­.

Сервисные программы от Sysinternals помогают специалистам по информационным технология и разработчикам управлять, находить и устранять неисправности а так же выполнять диагностику приложений и операционных систем семейства Microsoft Windows.

Сегодня речь пойдет об очень полезной, и даже необходимой для админов утилите компании Sysinternals – BGinfo.

Суть её работы проста – она подменяет фон рабочего стола на изображение с технической информацией о компьютере.

BGinfo может показывать целый ряд информационных параметров, например таких как:

• имя хоста (компьютера);
• логин пользователя (имя);
• ip адрес хоста;
• модель и название процессора;
• объем установленной оперативной памяти;
• объем установленных жестких дисков;
• версию операционной системы и многое, многое другое.

Ссылка на утилиту BGinfo v.4.25

Поддерживаемые BGinfo операционные системы:

• Клиентские: Windows Vista и выше (на Windows XP тоже работает);
• Серверные: Windows Server 2008 и выше (наWindows Server 2003 тоже работает).

Описание и настройки программы Sysinternals BGinfo

При запуске программы начнется обратный отсчет на кнопке Time Remaining и если по кнопке не щелкнуть программа автоматически закроется, сохранив текущие настройки.

Окно параметров настройки и конфигурирования BGinfo.

В поле Fields указаны параметры, которые могут быть показаны. Если выбрать параметр и нажать кнопку Add, то он добавиться в поле в левой части. Это поле является шаблоном отображения настроек на рабочем столе. Здесь можно указать настройки для шрифта текста: тип шрифта, наклон, толщина, подчеркивание, выравнивание а так же цвет.

Между скобками <> указаны переменные, и их редактирование запрещено. Все остальные опции можно менять по вашему усмотрению.

Кнопка Background откроет настройки фона рабочего стола.

В этой настройке доступны следующие параметры:
Copy user’s wallpaper settings — сохранит текущий фон рабочего стола и добавит с добавлением на него информации о компьютере.
Use this settings — применит настройки указанные в параметрах Wallpaper Bitmap (путь к рисунку для рабочего стола),

Wallpaper Position – позиция рисунка на рабочем столе,

Backgroun color – цвет фона рабочего стола
Маркер Make wallpeper visible behind text включает видимость рисунка за текстом. Если отключить его, то текст будет показан на фоне указанного цвета в Background color.

Нажимаем кнопку Apply и получаем фон рабочего стола с информацией о компьютере.

Тут есть нюанс, заключается он в том, что если пользователь сменит картинку фона рабочего стола, то информация перестанет отображаться до следующей перезагрузки системы.

Для того чтобы информация о системе всегда показывалась на рабочем столе и всегда была актуальной нужно добавить bginfo в автозапуск Windows. Для этого создадим файл bginfo.reg, который будет содержать ключ реестра:

Где, bginfo.bgi – файл содержащий шаблон настроек о той информации, которая будет выводится на пользовательском рабочем столе. Создать этот файл можно из меню программы: выбираем File, затем Save as.

Добавляем ключ реестра bginfo.reg

Файлы bginfo.exe и bginfo.bgi нужно поместить в директорию с ОС Windows.

В созданной конфигурации так же можно указать свой фон рабочего стола для того, чтобы текст информации о системе был читаемым. Нажимаем в меню справа кнопку background, переключаем в меню радиокнопку на позицию use this settings и указываем путь к нужному изображению.

Настройка Sysinternals BGinfo в доменной сети

Самое интересное и практически оправданное применение утилиты BGinfo – её установка и распространение в доменной сети. Тем более, что это можно осуществить потратив очень небольшое количество времени. Сейчас я расскажу как это сделать.

Первое: создаем файлик вида bginfo.bat со следующим содержимым:

Второе: выкладываем файл в сетевой каталог нашего Domain Controller по пути:

Третье: Добавляем сценарий в груповые политики домена, для этого открываем оснастку оснастку управления доменными групповыми политиками: Наш_Лес — Наши_Домены — Имя_домена — Default Group Policy (или другой файл Group Policy, например,вы можете создать новый, и в случае если что-то пойдет не так – будет проще вернуть настройки к первоначальным), и выбираем в контекстном меню пункт Изменить.

В открывшемся редакторе управления групповыми политиками нам нужна ветка: Конфигурация компьютера->Конфигурация Windows->Сценарии (запуск/завершение)->Автозагрузка

Нажимаем кнопку Добавить и указываем путь до файла bginfo.bat, который и будет запускать нашу утилиту BGinfo от Sysinternals.

Затем можно ускорить процесс синхронизации групповой политики в домене, и инициировать её обновление командой gpupdate /force из командной строки в режиме Администратора.

Теперь, после перезагрузки клиентских и серверных доменных компьютеров на рабочем столе будут отображаться выбранные и заданные вами информационные параметры конкретного компьютера.

Заключение

В заключении лишь скажу, что использую эту утилиту очень давно, и в работе она много раз выручала меня и моих коллег, особенно это актуально при обращении обычных сотрудников-клиентов в техническую поддержку компании. Утилита бесплатная, компактная, но при этом очень полезная. Настоящее золото!

На сегодня это всё, что я хотел вам рассказать. С вами был бессменный ведущий блога о компьютерах и it-технологиях – Станислав.

Подписывайтесь на обновления блога, поделитесь записью в соцсетях и следите за новыми обзорами и статьями! Всем добра!

Запрещаем доступ к командной строке и PowerShell

Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно, проведя настройку групповой политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки.

Рис. 4. Запрещаем использование командной строки в Windows Server

Отдельной групповой политики, запрещающей запуск PowerShell, нет, но есть групповая политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск powershell.exe and powershell_ise.exe (рис. 5).

Рис. 5. Запрет запуска PowerShell

Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите Запретить доступ к средствам редактирования реестра.

Следующие политики GPO не были применены, так как они отфильтрованы

При устранении неполадок с групповыми политиками стоит обратить внимание на раздел: Следующие политики GPO не были применены, так как они отфильтрованы

Он содержит список объектов групповой политики, которые по какой-либо причине не применяются к этому объекту. Вот несколько причин, по которым политики не применяются:

• Filtering: Not Applied (Empty), в русифицированной версии «Фильтрация: Не применяется (пусто)» – политика пуста (применять нечего);
• Filtering: Denied (Unknown Reason), в русифицированной версии «Фильтрация: отклонено (неизвестная причина)» – пользователь/компьютер, скорее всего, не имеет разрешения на чтение/применение этой политики (разрешения можно настроить на вкладке «Безопасность» в Консоли управления групповой политикой
  Вы также можете понять, следует ли применять политику к конкретному объекту AD, используя вкладку действующих разрешений (Advanced → Effective Access) в GPMC (консоли управления групповыми политиками).
• Filtering: Denied (Security), в русифицированной версии «Фильтрация: Запрещено (Безопасность)» – явный отказ указывается в разделе Apply Group Policy («Применить групповую политику»), или объект AD отсутствует в списке групп в разделе «Фильтрация безопасности» объекта групповой политики.

Итак, в данной статье мы рассмотрели особенности диагностики применения групповых политик с помощью инструмента GPResult и рассмотрели основные сценарии его использования.