AD implementering 4

Varför en domänkontrollant till? Svaret är redundans.

Redundans i domänen diginto.se syftar till att implementera minst två domänkontrollanter för att säkerställa att tjänsterna förblir tillgängliga även om en domänkontrollant blir otillgänglig. Om dc1 är otillgänglig av någon anledning, kan dc2 fortsätta att tillhandahålla AD-tjänster och vice versa. Detta säkerställer att AD förblir tillgängligt och stabilt, även om en av domänkontrollanterna upplever problem.

Medlem i domänen

För att lägga till dc2 som medlem i domänen börjar vi med att konfigurera den som en vanlig enhet (end device). Efter denna konfiguration kommer vi att befordra denna server till en domänkontrollant.

Till skillnad från dc1 saknar dc2 ett grafiskt gränssnitt, vilket innebär att det enda sättet att slutföra uppdraget är att använda kommandotolken, DOS, Sconfig eller PowerShell. DOS tillhandahåller ett mycket användbart och effektivt kommando, netshell, medan Sconfig erbjuder olika tjänster för inställningar. PowerShell erbjuder en mängd cmdlets för att utföra olika uppgifter, alternativt Sconfig för vissa konfigurationer som datornamn och IP-adressering.

Via PowerShell

Vi utgår från att dc2 har skapats som virtuellmaskin och installerat operativsystemet Windows Server 2019 Standard Edition (64-bit). Observera att konfigurationerna skulle kunna förenklas, men låt oss tillämpa vår kunskaperna om PowerShell.

  1. Logga in på server dc2 som local administrator och ändra lösenordet (ad@Pa55ed22).
  2. Starta PowerShell: c:\>powershell
  3. För att hämta datornamnet:
    • PS C:\>$computerName = $env:COMPUTERNAME
    • PS C:\>Write-Host ”Datornamn som ska ändras till dc2: $computerName
    • Utdata: Datornamn som ska ändras till dc2: WIN-TVL0ARV1KQQ
  4. För att hämta de befintliga ”interface”
    • PS C:\>$netInterfaces = Get-NetAdapter | Format-Table -autosize
    • PS C:\>$netInterfaces
  5. För att konfigurera IP-inställningarna:
    • Skapa lämpliga variabler:
      • PS C:\>$IPAddress = ”10.255.16.6”
      • PS C:\>$SubnetMask = ”255.255.240.0”
      • PS C:\>$DefaultGateway = ”10.255.16.1”
      • PS C:\>$DNSAddress = ”10.255.16.5”
      • PS C:\>$interfaceAlias = ”Ethernet”
    • Nu IP-adresseras interfacet ”Ethernet” och konfigurationen lagras i en variabel:
      • PS C:\>$networkInterface = New-NetIPAddress -IPAddress $IPAddress -PrefixLength 20 -DefaultGateway $DefaultGateway
    • Vi lägger till DNS-adresser:
      • PS C:\>$networkInterface | Set-DnsClientServerAddress -ServerAddress $DNSAddress
    • Vi verifierar:
      • PS C:\>ipconfig /all | more
  6. För att ändra datornamnet och starta om dc2:
    • PS C:\>Rename-Computer -NewName ”dc2” -Force -Restart
  7. Logg in på dc2 som Administratör och skapa en ny brandväggregel som tillåter ICMPv4 echo request.
    • PS C:\> New-NetFirewallRule `
      -Name ’ICMPv4’ `
      -DisplayName ’ICMPv4’ `
      -Description ’Allow ICMPv4’ `
      -Profile Any `
      -Direction Inbound `
      -Action Allow `
      -Protocol ICMPv4 `
      -Program Any `
      -LocalAddress Any `
      -RemoteAddress Any
    • Verifiera:
    • PS C:\> Get-NetFirewallRule | Where-Object Name -Like ’ICMPv4’
    • Om den inte har fungerat finns det alternativet att aktivera av brandväggen:
    • PS C:\>Set-NetFireWallProfile -Profile Domain,Public,Private -Enable False
  8. Nu på dc1 navigera fram till Windows Firewall with Advanced Security
    • I Inbound Rules aktivera File and printer Sharing (Echo Request – ICMPv4-In) för alla nätverksprofiler
    • ping till dc2. Förutsatt att dc1 och dc2 kan IP-kommunicera med varandra ta dig till nästa steg.
  9. Nu går vi vidare till dc2 efter att ha konfigurerat brandväggen på dc1. På dc2 pinger du dc1. Om ping-svaret är framgångsrikt fortsätter du sedan med att lägga till dc2 i domänen diginto.se:
    • PS C:\>Add-Computer -DomainName diginto.se -Credential diginto\Administrator
    • Ange lösenordet ad@Pa55ed22
    • Efter att du har angett lösenordet, starta om datorn med: Restart-Computer
    • Efter omstarten kan du logga in på domänen som diginto\Administrator.

Obs: När du loggar in på en Windows-dator i en domän, visas ofta användarinformation för det senast använda lokala kontot. För att logga in på domänen måste du välja ”Other” (Andra) för att ange domänuppgifterna.

dc2 blir domänkontrollant

Nu när dc2 är medlem i domänen diginto.se finns det två alternativa inloggningar, en som lokal administratör och en som domänadministratör. Först ska du logga in som domänadministratör (diginto\Administrator)och verifiera domänuppgifter. Efter du har loggat in på dc2 som domänadministratör verifiera användare och IP-inställningarna.

  • c:\Users\Administrator.DIGINTO>whoami
  • c:\Users\Administrator.DIGINTO>ipconfig /all | more

Förutsatt att allting är korrekt konfigurerad ska du logga ut och därefter logga in igen denna gången som lokal administratör.

Windows Feature (funktioner)

Nu verifierar vi om AD Domain Services är tillgängliga genom att exekvera:

  • PS C:\>Get-WindowsFeature | ? {$_.Name -like ”AD*”}

Det framgår att tjänsterna är tillgängliga och att de inte har installerats. För att installera AD Domain Services och Hanteringsverktyg exekvera:

  • PS C:\>Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Promota dc2 till domänkontrollant

Under installationen av en domänkontrollant blir du ombedd att ange lösenordet för domänadministratören och lösenord för Directory Services Restore Mode (DSRM).

Först behöver vi installationsmjukvara för PowerShell:

  • PS C:\>Import-Module ADDSDeployment

Nu promotas dc2 till domänkontrollant. Detta kräver lösenordet för domänadministratören (ad@Pa55ed22):

  • Install-ADDSDomainController -DomainName ”diginto.se” -InstallDns:$true -Credential (Get-Credential ”diginto\Administrator”)
  • Ange lösenordet
  • Ange också det andra lösenordet (SafeModeAdministratorPassword: re@Pa55store)
  • Svara Yes till frågan om dc2 ska promotas till domänkontrollant

Sammanfattning

Sammanfattningsvis är dessa steg nödvändiga för att promota dc2 och få redundans med två domänkontrollanter i domänen diginto.se. Med två domänkontrollanter kan vi börja strukturera alla resurser i domänen.

Vi börjar med att skapa organisationsenheter på dc2 med PowerShell-cmdleten New-ADOrganizationalUnit och flera andra cmdlet för att skapa, ändra egenskaper, flytta och ta bort organisationsenheter. Vi förväntar oss att dc2 kommer att replikera ändringarna till dc1.