Дополнительный контроллер домена

Август 2, 2017 | Публикации by Plus

Дополнительный контроллер домена без проблем и дополнительных вложений.

# Предисловие…

В статье zentyal 5.0 мы попытались сделать подробный обзор дистрибутива zentyal со всеми его положительными и отрицательными сторонами. Рассмотрели процессы установки и настройки модулей и компонентов системы. И в немного затронули роль сервера в качестве Active Directory на базе zentyal в качестве основного или дополнительного контроллера домена уровня windows 2008 R2. Об этом и пойдет речь ниже, что-то конечно будет пересекаться с предыдущей статьей. Основной упор сделан именно на администрирование контроллера домена с настройкой и приминением “групповых политик”. В качестве примера будем решать такие задачи как установка различного ПО через групповые политики, настройка сетевых параметров клиентских машин. Стоит отметить так же что необходимо учесть следующие особенности вычислительной инфраструктуры.

Особенности
* пункт 1 Разные версии ОС у клиентов (Windows 7, Windows 8, Windows 10)
* пункт 2 Разная разрядность ОС у клиентов (x86, x64)

Задачи
* пункт 1 Установка ПО через групповые политики без ограничений версионности ОС
* пункт 2 Сбросить настройки сети с ручных на DHCP

# Думаем что делать.
Если говорить конкретно о VNC сервере, а именно о TightVNC, то для установки его доступны сразу варианты как *.exe так и пакеты для GPO *.msi. Даже несколько версий для разной разрядности операционных систем семейства Windows. Пробовал штатные методы через редактор групповой политики. Далее конфигурация компьютера/пользователя, далее политики, конфигурация программ, и наконец, “Установка программ”. К слову скажу еще раз то, что уже итак есть в интернетах. Если использовать установку программ в политики конфигурации компьютера, то она применяться будет на момент загрузки системы, до входа в систему пользователя. Если же в политике конфигурации пользователя, то политика применится после входа пользователя в систему, точнее при входе после авторизации.
Меня смутило что указать в одном “пакете” можно только одну версию программы *.msi. Если сделать два пакета установки для x86 и x64 то несовсем понятно как в этом случае будет накатываться ПОшка… Да и разделения по серверным версиям ОС нет. Правда этот вопрос конечно можно решить путем группировки компьютеров в домене, через подразделения и установки групповой политики именно на подразделение.
В итоге нужно было либо городить огород из групповых политик и собирать по разрядности компы в группы руками. Либо вообще устанавливать в ручную.
Что же делать. Гугление не принесло хороших результатов. Ответ однозначен берем напильник пилим “как нам надо”. Кстати говоря использование батника снимает ограничение на установку только msi пакетов через GPO. Скриптом вы можете запихать туда что угодно.

# Скриптоварение
Большинство задач решается как и в Windows скриптами. К слову я раньше никогда в жизни не писал “батники”, следовательно в синтаксисе не силен. По-этому прошу не судить строго. :)
Если вам необходимо срочно решить проблему, а не читать демагогию относительно этой проблемы, то вот ссылка на рабочие скрипты, работающие на боевом сервере.

* [Рабочие скрипты](https://github.com/sor88/windows_script)

Для тех же кому интересен процесс продолжим. Почти все содержимое взято из готовых батников, которых много в интернете, и просто переработано и собрано во едино.

# Скрипт для установки программы TightVNC с учетом разрядности ОС.

@ECHO OFF
@ECHO ON
set dir=%\\192.168.41.100\it\
@ECHO ON
@If exist “%programfiles%/TightVNC” (
@echo Done!
) else (

@If exist “%programfiles(x86)%” (
@echo Installing: ThinVNC x 64
@”%dir%tightvnc-2.8.5-gpl-setup-64bit.msi” /quiet
) else (

@echo Installing: ThinVNC x 32
@”%dir%tightvnc-2.8.5-gpl-setup-32bit.msi” /quiet
)
reg.exe import “%dir%vnc7-8.reg”
@echo Done!
)

На входе передергиваем ECHO, потом подключаем общедоступную папку, где хранятся файлы дистрибутива и файл ключа реестра (о нем чуть ниже). Далее проверяем систему на наличие каталога C:\Program Files(x86). Если он есть значит система 64 разрядная, соответственно если нет, то 32. Далее, в зависимости от результата, запускаем установку. Ключ /quiet говорит о том, что делать это нужно в тихом (фоновом) режиме. Могут возникнуть проблемы с запуском исполняемого файла с удаленного каталога, тогда перед запуском можно скопировать его во временную папку TEMP, и запускать уже от туда.
Так или иначе программа установлена, но при попытке подключиться к удаленному пк не получится. Нужно сначала настроить VNC сервер, так как он автоматом встал в дефолтными настройками. Вот теперь займемся куском ключа реестра. Для этого на каком-нибудь Windows компьютере устанавливаем TightVNC в ручную и настраиваем его. Задаем необходимые пароли и прочие параметры подключения. Далее необходимо экспортировать ветку реестра с настройками TightVNC.
Найти ее в реестре можно по-этому пути [HKEY_LOCAL_MACHINE\SOFTWARE\TightVNC\Server].
Далее, опять таки можно импортировать её на контроллер домена, или на сервер GPO. И отдельной политикой применять. Через Управление групповой политикой, Конфигурация компьютера/пользователя, настройка, конфигурация windows, Реестр.
Или добавить в батник и испортировать командой. Я выбрал второй путь позже объясню почему. Теперь добавим проверку версий Windows, а именно серверная или нет. В случае со сбросом настроек сети на автоматические, хорошо бы, чтобы сервера не зацепило.

echo on
cls
reg query “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v ProductName | find “ProductName” | findstr /i server && call :noconfig || call :config

:noconfig
echo %ProductName%
pause
exit

:config
@echo AutoConfiguration Lan DHCP Script
ipconfig /flashdns
nbtstat -R
nbtstat -RR
netsh winsock reset
netsh int reset all
netsh int ip reset
netsh interface reset all
ipconfig /renew
netsh interface ip set address name=”Подключение по локальной сети” source=dhcp
netsh interface ip set dns “Подключение по локальной сети” source=dhcp register=PRIMARY
ipconfig /renew
exit

Итак чтоже происходит тут. Сначала выдергиваем из реестра информацию о полном наименовании версии операционной системы Windows. Затем ищем внутри результата слово server. Если находим переходим в ветку :config. Если нет соответственно в :noconfig. Никто не мешает объеденить оба этих скрипта. Множество команд для сбрасывания настроек сети не нужно, у меня просто не все варианты сработали, подберите подходящий. Я же привел в качестве примера все, что должно работать.
Зачем вообще сбрасывать настройки. С точки зрения безопасности, то авторизация на шлюзе по MAC адресам гораздо безопаснее чем по ip адресам. Сейчас сменить ip на соседский может каждый 2-ой. А вот как поменять MAC знает не каждый 5 рядовой сотрудник офиса. Второй положительный момент, хорошо когда проводок включил и все заработало… не нужно бегать настраивать или перенастраивать сеть. По-этому dhcp опять таки упрощает жизнь значительно.
Ни в коем случае не используйте скрипт по сбрасываю настроек сети, если в вашей сети нет DHCP сервера.
Такой подход позволяет решать 90% задач простыми методами. Приведенный пример для установки практически любого пакета программ, или настройки операционной системы, или подключение сетевых дисков, и многое другое.
Все хорошо когда есть AD. А что если его нет? Последнее время все больше и больше админов обращаются для организации доменной сети к Linux дистрибутивам, благо вроде более менее отточили работоспособность.

# Linux в качестве контроллера домена.
Есть замечательный дистрибутив для организации домена на Linux сервере – Zentyal Server. Когда это был мультикомбаин для решения самых разных задач. Из коробки умел если не все, то почти все! Простой web интерфейс предоставлял администраторам удобный инструмент управления сервером и службами. Настраивается там все в пару кликов. Время идет и это, когда-то универсальное решение, превратилось в альтернативу Windows Active Directory. Причем Zentyal может работать в паре с Windows AD. Разработчики Zentyal все больше и больше выпиливают, на их взгляд, ненужные инструменты управления службами и все больше и больше оттачивают работу как сервера как контроллера домена.
Установка его проходит аналогично установки Ubuntu. Сразу после перезапуска вы получаете готовое рабочеее окружение да еще и веб панель в придачу.

www информация из Wiki
Zentyal (ранее — eBox Platform) — это дистрибутив основанный на Ubuntu, с пакетом серверного программного обеспечения с открытым исходным кодом, ориентированный на малые и средние корпоративные сети. Zentyal может выступать в роли сетевого шлюза, единого центра безопасности сети, Office Server, сервера унифицированных коммуникаций или комбинировать любые из перечисленных функций. Кроме того, Zentyal включает фреймворк, упрощающий разработку новых служб для Unix.

Исходный код проекта доступен на условиях лицензии GNU General Public License, а также (частично) под различными проприетарными соглашениями. Zentyal является собственностью и спонсируется испанской коммерческой компанией eBox Technologies S.L., которая владеет авторскими правами на кодовую базу.
В интеренет очень много информации установить Zentyl в качестве основного или дополнительного контроллера домена. В качестве основного он устанавливается практически из коробки. Вот эта статья мне понравилась по установки Zentyal в качестве вторичного контроллера домена.

* [HotWo по установке Zentyal в качестве дополнительного контроллера домена](http://www.ewgenik.tomsk.ru/page/zentyal-v-kachestve-dopolnitelnogo-kontrol)

По-этому заостраять внимание на этом не буду. Как установить Zentyal сервер информации в интернетах еще больше. На этом тоже внимание заострять не буду. Дабы не отвлекаться от сути. Лучше приведу пару ссылку на подобные статьи по установке. Нас в рамках статьи интересует именно управление групповыми политиками.
Опять таки в случае zentyal как дополнительного контроллера домена с этим проблем нет, политики автоматически “прилетают”.

* [Создание подразделений домена и управление контроллером домена Zentyal](http://www.tecmint.com/creating-organizational-units-and-enableing-group-policy-in-zentyal/)
* [Видео мануал по установке zentyal в качестве дополнительного контроллера домена](https://www.youtube.com/watch?v=81Yzy7qA2e4)

В этой статье отлично описано пошаговая установка Zentyal как первичного контроллера домена.

* [Установка Zentyal как основного контроллера домена](http://www.tecmint.com/install-zentyal-as-primary-domain-controller-and-integrate-windows-system/)

Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и другими ролями и функциями Windows. Скачать его можно по ссылке ниже

* [Дистрибутив RSAT для Windows 10](https://www.microsoft.com/en-us/download/details.aspx?id=45520)

Далее можно установить из консоли в фоне командой wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart
Для активации функции RSAT нужно в панели управления выбрать “программы и компоненты”. Затем в левой панели нажать “Turn Windows features on or off”. И в дереве компонентов выбрать emote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools -> AD DS Tools и нажать ок.
Или в консоли выполнить последовательно три команды

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

Для Windows 7 RSAT можно скачать по ссылке ниже

* [Дистрибутив RSAT для Windows 7](http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d)

После этого управлять доменом на Zentyal можно из консоли “вендовой” без каких-либо ограничений. Либо через импорт скриптов через веб интерфейс Zentyal.

# Заключение.
В заключение хочется отметить, что для организации офисной, доменной сети совсем не обязательно тратить финансовые средства на лицензии операционных систем ОС windows. Microsoft с недавнего времени перестал быть монополистов в этой области и Zentyal не единственное решение!

* [Samba4 в роли AD + файловый сервер](https://habrahabr.ru/post/216173/)

После успешного подключения контроллеров домена Zentyal 5.0 можно спокойной и смело выключать Windows Server 2008 R2 совсем (тем более если он нелегальный, если же честно купленный, то можно оставить!.), и, безопасности и стабильности ради, рекомендую поднять еще один Zentyal как резервный контроллер домена. Правда стоит отметить что для управления групповыми политиками полноценно, необходимо установить пакет RSAT на windwos машину. О нем говорилось выше. Тем более что он бесплатный и можно хоть пачку установить!
Даже для организации сервера терминалов для приложений типа 1С можно организовать целиком и полностью на линуксе не расходуя средств зря! Специалисты отмечают, что некоторые сервисы работают даже стабильнее чем на Windows. Но это уже совем другая история…
В следующей статьей мы рассмотрим организацию сервера терминалов для 1С без Windows соовсем!
Всем спасибо!

Прокомментировать

Вы должны быть авторизованы для комментирования.