Подключение филиала в VPN
Задача:
После включения в VPN предприятия очередного филиала сделать его полноценным: аутентификация в домене, автоустановка обновлений 1С и прочая полноценная работа в локальной сети.
Этапы:
— Настройка маршрутизатора
— Установка физического сервера, т.е. железа для серверов
— На гипервизоре устанавливаем два сервера Windows Server 2012:
— DC: vCPU = 2, ОЗУ = 2 Гб, HDD = 32…40 Гб
— FS: vCPU = 2, ОЗУ = 8 Гб, HDD = 300 Гб (40 + остальное)
— Добавляем сайт в домен
— Поднимаем DC
— Добавляем узел DFS
Настройка маршрутизатора
Выбираем для нового сайта филиала подсеть 10.245.14.0/24.
Адреса пусть Киска выдает пока из небольшого диапазона x.x.x.64…x.x.x.127.
DNS: x.x.x.2 и основной ДНС головного офиса.
Потом на контроллере поднимем DHCP: x.x.x.128…x.x.x.191 (чтобы не пересекались).
Начало и конец диапазона оставим для статики.
Шлюз (внутренний Киски): x.x.x.1
DC: x.x.x.2
Файловый сервер: x.x.x.3
ESXi: x.x.x.10
Принтер: x.x.x.201
МФУ: x.x.x.202
Добавляем сайт в домен
На действующем DC открываем консоль “Сайты и службы”, создаем новый сайт “ESSR”
В этой же консоли создаем новаую подсеть “10.245.14.0/24”, одновременно связывая её с новым сайтом
Поднимаем DC
Сразу задаем статический адрес и переименовываем сервер таким образом, чтобы эти параметры (Имя и IP) уже НЕ менять после установки DC.
Важный момент, которым часто пренебрегают — установка обновлений на ОС. После установки ОС и перед эксплуатацией сервера нужно установить обновления.
Нынче DCPROMO не в моде. Установка контроллера домена выполняется в 2 этапа:
— Установка на сервер роли AD и
— Повышение роли сервера до контроллера
1 этап. Диспетчер серверов — Локальный сервер — Управление — Добавить роли и компоненты
Далее, Далее, Далее
На странице Выбора ролей сервера отмечаем “Доменные службы Active Directory”
и кнопкой “Добавить компоненты” соглашаемся с установкой необходимых сопутствующих компонентов. Далее. На экране выбора компонентов жмем Далее. Далее. Установить. Закрыть.
2 этап. После завершения первого этапа появляется уведомление (желтый треугольник с восклицательным знаком).
Нажимаем на него.
В верхнем уведомлении щелкаем ссылку “Повысить роль этого сервера до уровня контроллера…”
В мастере настройки доменных служб оставляем переключатель в режиме добавления контроллера в существующий домен, проверяем имя домена, учетную запись, от имени которой запускается процесс и нажимаем Далее.
Если на этом шаге еще не создана подсеть для этого сайта, то будет выдано сообщение от ошибке.
“ОШИБКА: Мастер не может получить доступ к списку доменов леса.”
Так что, если пропустили создание сайта и подсети, то создаем сайт, подсеть и все заработает.
На следующей странице мастера вводим 2 раза пароль для режима восстановления. Далее. Далее, Далее, Далее.
Здесь можно сохранить в текстовый файл сценарий для PowerShell, с помощью которого можно было бы сделать то же самое без мастера. (Скажем, нужно много контроллеров развернуть. Подредактировал немного сценарий, и запустил по-быстрому.) Жмем Далее.
Мастер выполняет проверку, выдает замечания и предупреждения. В этом окне нас предупреждают, что с настройками по умолчанию к контроллеру домена под управлением Windows Server 2012 невозможно подключиться с ПК под управлением старых небезопасных ОС.
Нажимаем кнопку “Установить”. Закрыть.
Теперь у нас в диспетчере серверов появился красный флажок. Щелкаем по нему и видим ссылку “Повысить роль этого сервера до уровня контроллера”
Даже, если не щелкать по ней сервер все равно перезагрузится.
После перезагрузки нового DC нужно проверить параметры репликации между контроллерами. Сделать это можно на любом контроллере (или с рабочего места администратора), где установлены инструменты администрирования AD. Запускаем “Сайты и службы”. Если репликация с новым DC не создана автоматически, то можно сделать вручную. Через сутки еще раз проверить, если появились строчки “<automatically generated>”, то свои лучше убрать. В некоторых случаях репликацию настраивают вручную, это может зависеть от конкретной ситуации.
DC готов, но надо будет еще DHCP на нем поднять. Это пока не срочно.
Добавляем узел DFS
В качестве сервера пространства имен будем использовать контроллер домена. Для этого на сервере нужна роль DFS-Namespace. Но на контроллере она устанавливается автоматически при добавлении роли DC, поэтому ничего дополнительно устанавливать не нужно.
Файлы будем хранить НЕ на DC, а на другом сервере в этом же сайте, ибо использовать контроллер для общих файловых ресурсов — моветон.
На файловом сервере ESSR-FS запускаем PowerShell с повышенными привилегиями и выполняем команду:
Install-WindowsFeature FS-DFS-Replication
В консоли управления DFS (на любом сервере, где есть эта консоль) добавляем Сервер пространства имен:
правый клик по корню — Add Namespace Server.
В единственное поле появившегося окна вписываем имя подключаемого контролера: DC41
В результате с настройками по умолчанию на этом сервере создается каталог C:\DFSRoots\<имя_корня>. Данный путь можно было изменить в окне добавления сервера пространства имен кнопкой “Edit Settings”
Смотрим в консоли DFS, как на других серверах выглядят пути к каталогам общего ресурса, который нужно реплицировать («D:\Inst\1cDistr»). Делаем аналогичный каталог (не обязательно аналогичный, но так удобнее) на файловом сервере нового сайта и выставляем его в общий доступ. В консоли DFS добавляем папку назначения для общего каталога “\x\DB\1cDistr”: правый клик по нему — “Add Folder Target…” В этом окне указываем путь к только что созданной папке, задаем способ репликации.
Схема репликации может быть любой, в зависимости от задач. Увидеть и изменить схему репликации можно в нижней части дерева в консоли DFS — узел Replication. Там для каждой реплицируемой папки свой отдельный раздел. На вкладке Connections можно вручную запустить репликацию, не дожидаясь её выполнения по расписанию. Щелкаем по нужной строчке правой кнопкой и выбираем пункт Replicate Now. В зависимости от скорости соединения файлы могут появиться на новом сервере через разное время. Проверяем минут через 5. Если файлы появились, то на этом все.