Разное

Windows server 2020 r2 add server: Попробуйте Host Integration Server 2020 в Microsoft Evaluation Center

Содержание

Миграция Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2 / Блог компании Microsoft / Хабр

Как вы уже должны знать, поддержка Windows Server 2003 и Windows Server 2003 R2 заканчивается 14 июля 2015 года. Зная это, ИТ профессионалы либо уже провели миграцию, либо этот процесс должен находиться в самом разгаре. В этой статье будут описаны шаги, необходимые для миграции Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2.

Для демонстрации будут использованы следующие установки:



Имя сервера Операционная система Роли сервера
canitpro-casrv.canitpro.local Windows Server 2003 R2

Enterprise x86
AD CS (Enterprise

Certificate Authority )
CANITPRO-DC2K12.canitpro.local Windows Server 2012 R2 x64
Шаг 1. Резервная копия конфигурации и базы данных центра сертификации Windows Server 2003

Заходим в Windows Server 2003 под учетной записью из группы локальных администраторов.
Выбираем Start – Administrative Tools – Certificate Authority

Щелкаем правой кнопкой мыши по узлу сервера. Выбираем All Tasks, затем Back up CA

Откроется “Certification Authority Backup Wizard” и нажимаем “Next” для продолжения.

В следующем окне выбираете те пункты, которые подсвечены, чтобы указать нужные настройки и нажмите Browse для того, чтобы указать место сохранения резервной копии. Нажмите “Next” для продолжения.

Далее вам будет предложено ввести пароль для того, чтобы защитить закрытый ключ и файл сертификата центра сертификации. После того, как введете пароль, нажмите “Next”.

В следующем окне будет запрошено подтверждение. Если все в порядке – нажмите Finish для завершения процесса.

Шаг 2. Резервирование параметров реестра центра сертификации

Нажмите Start, затем Run. Напечатайте regedit и нажмите ОК.

Затем откройте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
Щелкните правой кнопкой мыши по ключу Configuration и выберите Export

В следующем окне укажите путь, по которому вы хотите сохранить резервный файл и укажите его имя. Затем нажмите “Save”, чтобы закончить резервирование.

Теперь у нас есть резервные файлы центра сертификации и мы можем переместить эти файлы на новый сервер Windows Server 2012 R2.

Шаг 3. Удаление службы центра сертификации с Windows Server 2003

Теперь, когда готовы резервные файлы и прежде, чем настроить службы сертификации на новом Windows Server 2012 R2, мы можем удалить службы центра сертификации с Windows Server 2003. Для этого нужно проделать следующие шаги.
Щёлкаем Start > Control Panel > Add or Remove Programs

Затем выбираем “Add/Remove Windows Components”

В следующем окне уберите галочку с пункта Certificate Services и нажмите Next для продолжения

После завершения процесса, вы увидите подтверждение и можете нажать Finish

На этом этапе мы закончили работу со службами центра сертификации на Windows Server 2003 и следующим шагом будем настраивать и конфигурировать центра сертификации на Windows Server 2012 R2.

Шаг 4. Установка служб сертификации на Windows Server 2012 R2

Зайдите на Windows Server 2012 R2 под учетной записью или администратора домена, или локального администратора.
Перейдите в Server Manager > Add roles and features.

Запустится “Add roles and features”, нажмите “Next” для продолжения.
В следующем окне выберите “Role-based or Feature-based installation”, нажмите “Next” для продолжения.
Из списка доступных серверов выберите ваш, и нажмите Next для продолжения.
В следующем окне выберите роль “Active Directory Certificate Services”, установите все сопутсвующие компоненты и нажмите Next.

В следующих двух окнах нажимайте Next. После этого вы увидите варианты выбора служб для установки. Мы выбираем Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.

Для установки Certification Authority Web Enrollment необходимо установить IIS. Поэтому в следующих двух окнах посмотрите краткое описание роли, выберите нужные компоненты и нажмите Next.
Далее вы увидите окно подтверждения. Если все в порядке, нажмите Install для того, чтобы начать процесс установки.

После того, как установка завершена, вы можете закрывать мастер установки и переходить к следующему шагу.

Шаг 5. Настройка AD CS

В этом шаге мы рассмотрим как настроить и восстановить те файлы резервирования, которые мы создали.
Зайдите на сервере с правами Enterprise Administrator
Перейдите в Server Manager > AD CS

C правой стороны на панели вы увидите всплывающее окно, как на скриншоте и нажмите More

Откроется окно, в котором вам нужно нажать “Configure Active Directory Certification Service…”

Откроется окно мастера настройки роли, в котором появится возможность изменить учетную запись. Т.к. мы уже вошли в систему с учетной записью Enterprise Administrator, то мы оставим то, что указано по умолчанию и нажмем Next

В следующем окне спросят, каким службы мы хотим настроить. Выберите Certificate Authority и Certification Authority Web Enrollment и нажимаем “Next” для продолжения.

Это будет Enterprise CA, поэтому в следующем окне выберите в качестве типа установки Enterprise CA и нажмите Next для продолжения.

В следующем окне выберите “Root CA” в качестве типа CA и нажмите Next для продолжения.

Следующая настройка очень важна. Если бы это была новая установка, то мы могли бы просто создать новый закрытый ключ. Но так как это процесс миграции, у нас уже есть зарезервированный закрытый ключ. Поэтому здесь выберите вариант, который отмечен на скриншоте и нажмите Next для продолжения.

В следующем окне нажмите кнопку Import.

Здесь у нас появляется возможность выбрать тот ключ, который мы зарезервировали с Windows Server 2003. Указываем путь к этому ключу и вводим пароль, который мы использовали. Затем нажимаем OK.

Далее, если импорт прошел успешно, то мы увидим наш сертификат. Выбираем его и нажимаем Next для продолжения.

В следующем окне мы можем определить путь к базе данных сертификата. Я оставил то, что указано по умолчанию и нажимаю “Next” для продолжения.

В следующем окне будет предоставлена вся информация для настройки. Если все нормально, то нажимаем “Configuration” для запуска процесса.

После того, как процесс завершен, закрываем мастера конфигурации.

Шаг 6. Восстановление зарезервированного CA

Теперь мы переходим к наиболее важной части всего процесса миграции, в которой мы восстановим зарезервированный в Windows Server 2003 CA.
Открываем Server Manager > Tools > Certification Authority

Щелкаете правой кнопкой мыши по имени сервера и выбираете All Tasks > Restore CA

Далее появится предупреждение о том, что служба сертификатов должна быть установлена для продолжения. Нажмите ОК.

Запустится Certification Authority Restore Wizard, нажмите “Next” для продолжения.
В следующем окне укажите путь к папке, в которой находится резервная копия. Затем выберите теже настройки, что и я на скриншоте. Нажмите Next для продолжения.

В следующем окне вы можете ввести пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования. После ввода, нажмите “Next” для продолжения.

В следующем окне нажмите Finish для завершения процесса импорта.
После успешного завершения процесса, система спросит, можно ли запустить центр сертификации. Запустите службу.

Шаг 7. Восстановление информации в реестре

Во время создания резервной копии CA мы также создали резервную копию ключа реестра. Теперь нужно ее восстановить. Для этого откройте папку, которая содержит зарезервированный ключ реестра. Щелкните по нему дважды левой кнопкой мыши.
Появится предупреждающее окно. Нажмите Yes для восстановления ключа реестра.

По окончании вы получите подтверждение об успешном восстановлении.

Шаг 8. Перевыпуск шаблона сертификата

Мы завершили процесс миграции, и сейчас нужно перевыпустить сертификаты. У меня были настройки шаблона в окружении Windows Server 2003, который назывался PC Certificate, с помощью которого выпускались сертификаты для компьютеров, включенных в домен. Теперь посмотрим, как я перевыпущу шаблон.
Открывает консоль Certification Authority
Щелкаем правой кнопкой мышки по Certificate Templates Folder > New > Certificate Template to Reissue.

Из списка шаблонов сертификатов выберите подходящий шаблон сертификата и нажмите ОК.

Шаг 9. Тестируем CA

Теперь, когда шаблон сертификата установлен на компьютер, его нужно установить на автоматический режим. Для проверки я установил компьютер с операционной системой Windows 8.1, назвал его demo1 и добавил в домен canitpro.local. После его первой загрузки, на сервере я открываю консоль центра сертификации и разворачиваю раздел “Issued Certificate”. Там я могу увидеть новый сертификат, который выпущен для компьютера.

На этом процесс миграции успешно завершен.

Глава 2. Установка и управление Windows Server 2019 — Windows Server 2019 Полное руководство

Теперь, когда мы рассмотрели некоторые особенности внутри имеющегося графического интерфейса Windows Server
2019, я понимаю, что многие из вас могут задаться вопросом, Это всё прекрасно, то, что я прочитал,
но как я в действительности могу начать упражняться со всем этим?
Чтение о технологии никогда не бывает
настолько достаточно хорошим для вас, если оно не применимо на практике, поэтому нам понадобятся колёса, чтобы отправиться
по дороге в этой главе. Одна из основных целей всей данной книги состоит в том, чтобы вселить в вас уверенность,
что мы можем применять этот продукт. Сыпать фактами
о новых возможностях и эффективности хорошо и выглядит щёгольски, но в конечном счёте ничего не стоит, если вы
не способны применять это на практике. Поэтому давайте заставим этот кусок простого серверного железа выполнить
для нас некоторую работу.

Технические требования

При планировании сборки некого нового сервера многие из требующихся для принятия решения отражают допуски типа
лицензирования. Какие роли вы намерены устанавливать на данном сервере? Может ли это обрабатывать
Server 2019 Standard или нам потребуется для этих парней редакция Datacenter? Намерены ли мы воспользоваться преимуществами
с точки зрения безопасности от Сервера ядра или же нам на самом деле требуется полная Практика рабочего стола?

В наши дни серверов Hyper-V с возможностью раскрутки по первой прихоти виртуальных машин мы зачастую продолжаем оставлять без
рассмотрения аппаратное обеспечение некого сервера, но, несомненно, всё ещё будут иметься варианты, когда физическое оборудование
будет работать под операционной системой Windows Server 2019. В таких случаях требуется быть осведомлённым о требованиях
данной новой платформы, поэтому давайте потратим минутку для перечисления этих особенностей. данная информация доступна в
расширенном виде на вебсайте Microsoft Docs, если вам требуется перепроверить дважды некие особенности, но здесь мы просуммируем
минимальные требования к системе:

  • ЦПУ: 1.4 ГГц с 64- битами, который поддерживает ряд
    вещей: NX, DEP, CMPXCHG16b, LAHF/SAHF, PrefetchW и SLAT.

  • ОЗУ: минимум в 512 МБ памяти с ECC, или рекомендуемый
    минимум в 2 ГБ для сервера с запущенной Практикой Рабочего стола. Я могу сообщить вам, что имеется возможность установить и
    исполнять Практику с рабочим столом с намого меньшим объёмом чем 2 ГБ (например внутри некой лаборатории для проверок), но
    вы же понимаете, что производительность юудет далека от той, на которую мы бы могли рассчитывать.

  • Диск: Server 2019 требует адаптера хранилища
    PCI Express
    (PCIe). Для устройств загрузки не подходят ATA/PATA/IDE.
    Минимальным требуемым пространством хранения является 32 ГБ, однако Практика с рабочим столом потребляет на 4 ГБ больше
    пространства чем Сервер ядра, а потому принимайте это во внимание.

Это в некотором роде минимальные технические характеристики когда вы просто желаете раскрутить Server 2019 и
поэкспериментировать с ним. Для промышленного применения многократно увеличьте эти цифры. Здеь не существует волшебного
ответа, требуемые вам технические характеристики зависят от необходимой вам рабочей нагрузки, которую вы ожидаете видеть
на своём сервере. Существуют и дополнительные компоненты, на которые полезно было бы обратить внимание при создании
новой системы, которые требуются для определённых ролей и свойств. Такие моменты как UEFI и микросхема TPM быстро превращаются
в мейнстрим и применяются всё большим числом служб при каждом обновлении операционной системы. В частности, если вы
заинтересованы в безопасности и защите через BitLocker или в работе с надёжными сертификатами или же новыми Защищёнными
(Shielded) виртуальными машинами, вам следует убедиться что ваши системы содержат микросхемы TPM 2.0
{Прим. пер.: обратите внимание на имеющиеся законодательные ограничения на применение
TPM на территории РФ.
}

Установка Windows Server 2019

Весь процесс установки операционных систем Microsoft в общем впечатляющим образом улучшился на протяжении последних
15 лет. Я полагаю, что большинство из вас, будучи специалистами в ИТ, также на практике являетесь
«живущим по соседству компьютерным парнем», которого постоянно просят друзья и члены семьи исправить
или восстановить их компьютеры. Если вы похожи на меня, это означает, что вы постоянно восстанавливаете
операционный системы, подобные Windows XP. Глядя на эти яркие синие экраны, мы отыскиваем клавиатуру, в которой
клавиша F8 на самом деле является обязательной во всём этом
процессе. Потратить два часа просто на установку базовой операционной системы и поднять её до самого верхнего
уровня пакетов обновления является самым обычным делом. В сравнении с этим временным отрезком, установка
современной операционной системы, подобной Windows Server 2019 почти невероятно быстра и проста.

Скорее всего, основная масса читателей уже выполнила этот процесс много раз, и если это так, вы вольны
пропустить пару страниц. Но для тех, кто является новичком
в мире Microsoft или вообще только вступает в ИТ, я бы хотел потратить пару быстрых страниц чтобы убедиться,
что у вас имеется основное понимание для начала. Не получив бейджик «Установил 101 ОС» на свой
ремень инструментария, вы никуда не продвинитесь в спешке.


Создание такого ISO

Самое первое, что вам необходимо сделать, это получить некий установочный носитель. наиболее простой
способ реализации нового сервера состоит в загрузке некоторого файла .ISO
от Microsoft, прожечь такой .ISO на некий диск DVD и вставить
этот DVD для применения при установке. Так как ссылки и URL являются постоянно изменяющимся объектом,
наиболее проверенным способом получения вашего файла .ISO
для применения его в установке будет открыть некий движок поиска, например,
Bing,
и набрать Download Windows Server 2019.
Когда вы получите загруженной официальную страницу Microsoft для выгрузки, кликните на ссылку для загрузки вашего файла
.ISO и сохраните его на жёсткий диск своего компьютера.
{Прим. пер.: на момент перевода действующими являются следующие ссылки:
получение продукта на 180- дневное тестирование и
участие в партнёрской программе.
}

Наиболее хитроумная часть получения некоего .ISO файла
для применения на рабочем DVD в необходимости загрузки некоторого вида инструмента стороннего производителя
для прожига диска, чтобы сделать его загружаемым. Если вы работаете со старыми клиентскими операционными
системами на своём компьютере, это всё ещё может быть для вас неким выбором. Я постоянно наблюдаю как многие,
кто является новичком в этом деле берут такой файл .ISO, перетаскивают
его на своё дисковое устройство и начинают прожигать такой диск. Это создаёт некий DVD, с расположенным на нём
файлом .ISO, однако этот .ISO
всё ещё упакован и не может ни коим образом выступать в роли загружаемого, поэтому такой диск будет бесполезным
для вашего нового куска серверного железа. К счастью, самые новые версии клиентских операционных систем Windows
имеют встроенные функции для работы с файлами .ISO, которые делают
правильный процесс прожига очень простым.

Раз у вас имеется загруженный на ваш компьютер файл .ISO для
установки Windows Server 2019, вставьте чистый DVD в своё дисковое устройство и отыщите свой новый файл.
Просто кликните правой кнопкой по этому файлу .ISO и затем выберите
свою опцию меню Burn disc image. Это запустит
простой мастер, который правильно выделит и прожжёт новый файл .ISO
на вставленный вами DVD, делая его загружаемым установочным носителем для вашего нового сервера:

Может так случиться, что если вы попробуете выгрузить Windows Server 2019 и воспользоваться Windows этой утилитой
Disc Image Burner (Прожига образа диска) с неким DVD, который вы вынимаете из своей стопки стандартных чистых дисков DVD и
вы получите следующее сообщение об ошибке: The disc image file is too large
and will not fit on the recordable disc
(Данный файл образа диска слишком велик и не умещается на данном
записываемом диске).

Это не должно вызывать удивления, поскольку файлы установщика нашей операционной системы с годами становится всё большими
и большими. В наши дни мы достигли критической точки, когда стандартный установщик ISO Server 2019 превышает стандартный
размер DVD в 4.7 ГБ. Для того чтобы записать такой ISO на DVD, вам придётся посетить соответствующий магазин и приобрести
несколько двуслойных дисков, способных обслуживать больший объём данных.


Создание загружаемого устройства USB

DVD могут быть громоздкими и вызывающими раздражение, а теперь ещё и могут оказываться маленькими для наших целей.
Поэтому при установке более новых и более крупных операционных систем становится обычной подготовка USB- накопителя для
его применения при установке операционной системы вместо того чтобы полагаться на DVD.

Чтобы выполнить это, всё что вам потребуется, это компьютер Windows, накопитель USB с по крайней мере 8 ГБ и доступ в
Интернет. Вам потребуется выгрузить тот же самый ISO, который мы обсуждали ранее, который содержит все установочные
файлы Windows Server 2019. Затем вам требуется выгрузить и установить некий вид инструмента создания USB.
Существуют доступными различные свободно распространяемые средства (достаточно популярным является
rufus), но один из
них присутствует прямо от Microsoft и он называется Windows 7 USB/DVD Download
Tool
. Почему такое безумное название, которое прямо в себе содержит слова
Windows 7? Не спрашивайте меня. Но, тем не менее, он работает и является
быстрым, простым и бесплатным способом подготовки вашего USB носителя для свежих рабочеспособных установок. Я должен
указать, что этот инструмент не имеет ничего общего с Windows 7. Он получает любой ISO файл и превращает его в некий
загружаемый ISO носитель. Несомненно, это может быть и файл ISO Windows 10 или Server 2019 и он отработает с ними
прекрасно. {Прим. пер.: маленькая поправка: если вам требуется загрузочный USB- носитель из
ISO файла с Linux, например, Ubuntu или даже macOS либо VMware, лучше воспользоваться иным средством, например,
UNetbootin
.}

После того как вы установили своё средство подготовки загрузочного USB и следуйте его инструкциям.

Совет

Данный процесс уничтожит все данные на вашем USB носителе и отформатирует его. Убедитесь что на нём нет ничего
важного для вас!

Вам требуется удостовериться что это именно тот ISO, который вы бы хотели перенести при помощи своего инструментария, затем
выберите свой носитель из ниспадающего перечня. После этого просто нажмите кнопку
Begin copying и данный инструмент превратит ваш USB носитель
в средство с возможностью загрузки и установки всей ОС Windows Server 2019, как это отображено на следующем снимке экрана:

{Прим. пер.: В наши дни практически все производители серверных материнских плат предоставляют
в рамках IPMI доступа к ним и средства установки операционной системы с той машины, с которой вы производите такой IPMI
доступ. Если ранее это были средства Java, сейчас всё стало гораздо проще с появлением HTML5. Интерфейс может сильно
отличаться для разных производителей, но его суть в целом сводится к такой последовательности:
вы получаете IP адрес IPMI своей новой машины, через веб- браузер заходите на этот IP адрес с установленными по умолчанию
для данного производителя (только если вы уже не изменили их при получении IP адреса) логином и паролем и проходите
в раздел, который связан с установкой операционной системы. Далее вы прописываете в этом разделе путь доступа к обсуждавшемуся
ранее ISO образу на своей локальной машине и выполняете установку так же как вы бы делали её локально на самом сервере.
Это гораздо проще и практичнее, когда вы освоитесь с интерфейсом своего производителя материнской платы! Подробнее:
Установка ОС через iBMC
}


Выполнение установщика

Теперь пройдите далее и вставьте ваш только что созданный DVD или USB в оборудование своего нового сервера
{Прим. пер.: либо воспользовавшись IPMI.}. Загрузитесь с этого диска и вы наконец
увидите мастер установки для Windows Server 2019. Теперь
на самом деле имеется не так много вариантов для вашего выбора среди этих мастеров, поэтому мы не будем
тратить время на это. По большей части вы просто щёлкаете по кнопке
Next для прохода сквозь появляющиеся окна,
однако существует ряд особенных мест, в которых необходимо принять решение в данном пути.

После выбора языка установки следующий экран достаточно прост. Имеется всего единственная кнопка,
которая говорит Install now. Да, именно это вы
собираетесь нажать, но я бы хотел упомянуть о тексте в левом нижнем углу вашего экрана. Если вы когда- нибудь
окажетесь в ситуации, что ваш сервер не может выполнить загрузку и вы пытаетесь выполнить некие функции
диагностирования и восстановления для разрешения данной проблемы, вы можете кликнуть по
Repair your computer чтобы запустить данную
консоль восстановления. Однако для целей нашей свежей (fresh) установки пройдите вперёд, нажав
Install now:

Теперь у вас будет запрошен ввод ключа продукта для активации Windows. Если у вас уже имеется доступный ключ,
пройдите вперёд и введите его сейчас. В противном случае, если вы пробуете просто выполнить эту установку для тестирования
Windows Server 2019 и хотите работать какое- то время в пробном режиме, вы можете кликнуть по ссылке, которая сообщает
I don’t have a product key (у меня нет ключа продукта) чтобы
пропустить данный экран.

Следующий экран является интересным и самым первым местом, в котором нам на самом деле необходимо начать
проявлять внимание. Вы видите четыре различных варианта установки для Windows Server 2019. Здесь присутствуют выглядящие как
обычные установки как для Server 2019 Standard так и для Server 2019 Datacenter,
но затем вторыми вариантами для каждой идут содержащие слова Desktop Experience
(С практикой Рабочего стола). Обычно в мире установок Microsoft нажатие на
Next по всем предлагаемым опциям предоставляет
для вас наиболее обычный и общеупотребимый путь установки для чего бы то ни было устанавливаемого вами.
Но это не так с данным мастером. Если вы просто проскользнёте данный экран кликнув
Next,
вы обнаружите себя в конце концов с установленным Server Core
(Сервером ядра). Мы обсудим позже в данной книге Сервер ядра,
но для текущего момента я просто скажу, что если вы ожидаете получить сервер, как он выглядит и воспринимается
в соответствии с обсуждаемым нами в Главе 1, Приступая к Windows
Server 2019, то эта опция по умолчанию не является той, которую вы должны выбрать в данном месте. А именно, вариант
Desktop Experience (С практикой рабочего стола),
который ваш мастер выводит вторым, предоставляет самый полный графический интерфейс, который вы скорее всего
ожидаете увидеть, раз вы приступили к данной нашей установке.
Итак, для целей нашей установки в данном месте, где мы желаем взаимодействовать со своим сервером применяя
все цвета и мышь, пройдите далее и примите решение желаете ли вы установить редакцию Standard или DataCentere, но
остановите свой выбор на варианте который содержит
Desktop Experience (С практикой рабочего стола),
прежде чем вы нажмёте на кнопку Next. Это отображается на
следующем снимке экрана:

Совет

В некоторый предыдущих версиях Windows Server у нас была возможность мигрировать вперёд и назад с
полной опции Практики с рабочим столом на Сервер ядра и опять наоборот, даже после установки всей
операционной системы. Это не работает в Windows Server 2019! Возможность перемещения между этими двумя
режимами исчезла, поэтому данный выбор ещё более важен при планировании надлежащего сервера в самом
начале. {Прим. пер.: не теряющим надежду возврата данного механизма, автор
предлагает варианты обнаружения его появления в разделе Переключение
между Сервером ядра и Снабжённого рабочим столом? в своей второй Книге рецептов.
}

Следующий экран предлагает вам подробности лицензионного соглашения, с которыми вы должны согласиться,
после чего мы переходим к следующему экрану, в котором верхние опции, скорее всего, не являются теми,
которые вы собираетесь выбирать. Я понимаю почему функция Upgrade
перечислена первой для машин Windows 10 потребительского уровня, но никто не выполняет обновлений Windows Server у себя
на площадке. В исключительном мире, в котором всё и
всегда безошибочно следует обновлениям, этот мир является великолепным путём для следования ему. Вы можете иметь
множество серверов, причём все выполняют свои задания, и при всяком выходе новой редакции операционной системы
вы просто выполняете установку и обновляете её. Вуаля, магия! К сожалению, это не совсем так работает, и я
практически не видел в своей жизни администраторов серверов, желающих рискнуть в выполнении обновления на месте
для существующего в эксплуатации сервера. Наиболее распространённым является то, что мы всегда строим совершенно
новый сервер рядом с работающими в настоящее время серверами. Когда такой новый сервер настроен и готов принимать
на себя ответственность, тогда, и только тогда выполняется реальная работа по миграции на такой новый сервер со
старого. При спланированном, тщательно вылепленном процессе миграции, только когда все задания миграции выполняются,
только тогда этот старый сервер гасится и убирается в сторону. Если бы у нас была возможность простого обновления
существующих серверов на самые новые операционные системы, это бы сберегло ужасно много времени и планирования.
Но это осуществимо только когда вы знаете, что такое обновление в действительности работает без икоты,
и в большинстве случаев мы не готовы к такому риску. {Прим. пер.: более того,
собственно процесс обновления состоит из двух этапов: создания нового каталога с системными файлами и опять- же,
последующей миграции из старой системы всего и вся в эту новую систему на том же самом компьютере, подробнее. Так стоит ли оно того?
} Если процесс обновления пойдёт боком и завершится разрушенным сервером тогда вы встанете перед проблемой
затратного процесса восстановления в критически важно промышленном сервере. Возможно, вы очень хотите поработать
ночью или в выходные. Хотели бы вы вместо затрат времени на тщательное планирование формирования переброса
потратить его на восстановление критически важного сервера, придушившего ваш бизнес в силу того, что он не может
работать? Я ставлю свои деньги на первое.

Замечание

Microsoft анонсировал, что установщик Windows Server 2019 обрабатывает обновления с Windows Server 2016
намного лучше чем все прочие Windows Server выполняли обновление прямо на месте на всём пути своей истории.
Обновление с любой более ранней версии операционной системы по- прежнему рекомендуется проводить без изменений,
подготавливая новый сервер и перенося рабочую нагрузку, но, очевидно, теперь они предлагают народу начинать проверку
обновления с 2016 на 2019 прямо на месте? Я полагаю, что это зависит от вас…

Итак, обсудив всё это, вернёмся к делу наших рук. В мире Windows Server мы почти никогда не применяем
вариант Upgrade.
Поэтому пойдём дальше и выберем вариант Custom: Install Windows
only (advanced)
(Индивидуально: Просто установить Windows — расширенно), именно здесь вы
получите наши опции для установки данной свежей копии Windows Server 2019 в новом местоположении на вашем
жёстком диске. Это показано на нашем следующем снимке экрана:

Теперь вы определяете где вы желаете установить нашу новую копию Windows Server 2016. Во многих случаях
вы просто нажимаете здесь на Next,
так как ваш сервер имеет единственный жёсткий диск или, может быть, единственный RAID массив дисков, и в любом
случае вы видите единственный пул свободного пространства в котором вы можете установить свою операционную
систему. Если у вас имеется множество установленных в вашем сервере жёстких дисков и они не связаны воедино пока
никоим образом, тогда у вас может быть множество вариантов выбора здесь на предмет того, куда устанавливать
Windows Server. В нашем случае имеется всего один диск подключённый в нашем случае, причём он никогда не
использовался ранее, поэтому я могу просто нажать
Next
для продолжения. Отметим здесь, что если ваши диски имеют установленные на них старые данные, у вас опционально
имеются здесь средства управления при помощи которых вы можете форматировать этот диск, или удалять отдельные
разделы. Если у вас используются некие специализированные диски, которые имеют специфические драйверы, также
присутствует кнопка Load driver, которой вы можете
воспользоваться чтобы внедрить такие специальные драйверы в свой мастер установки чтоб просматривать и такие
виды дисков. {Прим. пер.: здесь полезно понимать разницу в таблицах разделов — MBR и
GPT, с которыми умеет работать Windows Server 2016 и связанные с ними вопросы начальной загрузки UEFI/ BIOS,
поэтому советуем ознакомиться с разделом Настройка таблицы разделов GUID (GPT) дисков в уже упоминавшемся нашем переводе вышедшего в
январе 2017 Курса подготовки к экзамену 70-740.
}

Также важно отметить, что в данном экране ничего не надо делать при большей части новых установок. Как
вы можете увидеть, в нижней части имеется кнопка New,
которой можно воспользоваться для создания разделов жёсткого диска вручную, причём большое число администраторов
полагают, что им необходимо делать это для установки их новой операционной системы.

Это не так в данном случае.
Нет необходимости создавать разделы, пока вы не желаете настраивать их вручную по некоторым имеющимся причинам.
Если ваш жёсткий диск всего лишь кусок чистого не выделенного пространства, всё что вам нужно сделать, так это нажать
Next
и установка Windows Server 2019 настроит разделы для вас:

Это всё! Вы видите, что установщик начал споро копировать файлы, устанавливать свойства и подготавливать
всё что нужно на этом жёстком диске. Эта часть установки выполняется несколько минут, и в следующий раз вам
придётся взаимодействовать с этим сервером, когда он уже будет находиться в графическом интерфейсе, из которого
вы можете определить пароль администратора. Когда вы выберете некий пароль, вы обнаружите себя за рабочим
столом Windows. Теперь мы готовы начать применение своего нового Windows Server 2019.

Установка ролей и свойств

Сама по себе установка вашей операционной системы переносит ваши ноги за дверь, так сказать, используя сервер
в качестве сервера. Однако, вы на самом деле не можете делать ничего полезного со своим сервером в данный момент.
В случае клиентской настольной системы, обычно базовая операционная система это всё что вам необходимо чтобы
начать работать и потреблять данные. Задание сервера состоит в первую очередь в обслуживании этих данных, а
вы пока не обозначили своему серверу его целей в жизни., так что в действительности ничего полезного не
происходит в этой базовой операционной системе. Именно здесь нам необходимо применять
roles
и features.
Windows Server 2019 содержит множество различных вариантов ролей.
Роль это всего лишь то, что подразумевает её название и установка определённой роли на сервер определяет
роль этого сервера в сетевой среде. Другими словами, роль даёт серверу некую цель в жизни. Некое свойство, с
другой стороны, по большей части подмножество функций, которые вы можете установить на некий сервер. Свойства
(feature) могут входить в состав определённой роли, или же составлять нечто особое. Они являются фрагментами
доступных в Windows Server 2019 технологий, которые не устанавливаются и не включаются по умолчанию, так как
эти свойства не будут применяться во всех случаях. На протяжении данной книги всё будет вращаться вокруг
функциональностей, предоставляемых ролями и свойствами. Они являются хлебом и маслом Windows Server, а без их
установки ваши серверы представляют собой хорошее пресс- папье и не более того. Так как мы не намерены тратить
в каждой главе время на обсуждение процесса установки каждой конкретной роли или свойства, которые будут
применяться внутри данной главы, давайте прямо сейчас затратим некоторое время на обсуждение основных путей
которые администраторы могут выбирать для получения таких ролей и свойств установленными на своих собственных
серверах.


Установка роли при помощи мастера

Несомненно, наиболее распространённым местом из которого устанавливаются роли и свойства, это прямо внутри
графических мастеров, доступных сразу после установки вашей операционной системы. По умолчанию, инструментарий,
называемый Диспетчером сервера (Server Manager)
автоматически запускается после каждой регистрации в Windows Server 2016. Мы более подробно рассмотрим сам
Диспетчер сервера вскоре в данной главе, однако для наших целей на настоящий момент мы просто применим его как
некую платформу запуска для получения своих мастеров, которые будут руководить нами на протяжении установки
нашей первой роли в данном новом сервере, которую мы размещаем общими усилиями.

Так как мы только что зарегистрировались в этом новом сервере, у вас должна иметься запущенной Приборная
панель (Dashboard) Диспетчера сервера. Прямо в средней части этой Приборной панели вы видите доступными
некоторые ссылки для нажатия на них, а именно перечень быстрого запуска элементов действий, пронумерованными
от одного до пяти. Если ещё не делали этого, поместите на своё место некие настройки локального сервера, которые
могут понадобиться данной машине, применив самую первую ссылку с названием
Configure this local server
(Настройте данный локальный сервер).

Элементами, которые вы скорее всего хотите поместить на свои места,
являются такие, как постоянное имя хоста для данного сервера, IP адреса и, если вы подключаете данный сервер
к существующему домену, вы обычно выполняете этот процесс до реализации всех новых ролей в данном сервере.
Однако в нашем случае мы по большей части интересуемся установкой самой по себе роли, поэтому мы предполагаем,
что вы уже настроили эти мелкие частности и фрагменты чтобы иметь возможность идентификации и маршрутизации
вашего сервера в вашей же сетевой среде.

Пройдём далее и щёлкнем по шагу 2, Add roles and features
(добавление ролей и свойств). В качестве другого способа, вы можете запустить тот же самый мастер кликнув по меню
Управления (Manage) в верхней полосе внутри
Диспетчера сервера и затем уже выбрать Add roles and features
из ниспадающего списка. Выбор любой из ссылок приведёт вас в мастер для установки самой роли:

Для начала вы получаете экран, суммирующий установленные роли. Пройдите далее и кликните
Next для пропуска данного экрана.
Теперь мы приходим к своей первой представляющей интерес опции. Если мы желаем продолжить, вначале мы запросим
Role-based or feature-based installation
(Установку на основе ролей или свойств), что является именно тем, о чём мы и говорили, что будем это делать.
Однако вторая имеющаяся здесь опция, Remote Desktop Services installation
(Установка служб удалённых рабочих мест), заслуживает внимания. Большинство из нас рассматривает компоненты Windows
Server Remote Desktop Services (RDS)
(Службы удалённого доступа) просто как другую роль, которую мы можем выбрать при установке своего сервера,
аналогично установке любой другой роли. Хотя отчасти это и верно, важно отметить, что RDS настолько отличается
функционально от всех остальных видов ролей, что каждый входной путь в установку любого из компонентов RDS
выполняет свой собственный мастер, выбирая в данном месте вторичную опцию. Поэтому даже если вы застаёте себя за
поиском опций для установки RDS, и вы проскользнули через этот экран потому что воспользовались в нём, как и я
нажатием на Next,
помните, что вам необходимо вернуться сюда, чтобы сообщить мастеру что вы желаете иметь дело с некоторыми
компонентами RDS и что оставшаяся часть экранов будет установлена надлежащим образом.

На данный момент я работаю над построением некоторой новой тестовой лаборатории полных коробок
Windows Server 2019, и мне всё ещё требуется Контроллер домена для управления Active Directory в моей среде.
прежде чем устанавливать на некий сервер Active Directory, критически важно чтобы у меня были выполнены
некоторые предварительные требования, поэтому я уже выполнил эти элементы на своём новом сервере. А именно,
элементы, которые мне необходимо иметь готовыми вначале, прежде чем приступать к установке роли AD DS,
это наличие назначенного статического IP адреса и проверка того, что имеющиеся настройки DNS сервера
в свойствах моей NIC указывают куда- то, даже если это и собственный IP адрес данного сервера. Мне также
необходимо убедиться, что само имя хоста моего сервера установлено в значение своего окончательного имени,
так как только я включу его в Контроллер домена, изменение имени этого хоста будет недопустимо.

Я уже осуществил все эти элементы на своём сервере, поэтому я продолжу с мастером установки своей роли здесь и
оставлю данную опцию включённой на
Role-based or feature-based installation
(Установке на основании роли или свойств) и кликну
Next, как это показано ниже на снимке экрана:

Наш экран Server Selection (Выбор сервера)
является достаточно мощным. Если вы уже проходили данный процесс ранее, вы скорее всего проскользнёте через
этот экран также, просто кликнув по кнопке Next
чтобы процесс пошёл. Однако очень существенно, что данный экран задаёт вам вопрос куда вы желаете устанавливать
данную новую роль или свойство. По умолчанию, каждый сервер обычно будет иметь только самого себя перечисленным
в данном экране и, таким образом, кликнув по Next
для продолжения, скорее всего, именно то что вы желаете сделать. Однако здесь имеется пара классных опций.
Прежде всего, если ваш Диспетчер сервера осведомлён о прочих серверах в вашей сетевой среде, и был настроен на
наблюдение за ними, у вас будет иметься здесь возможность установки роли или свойств удалённо на один из этих
серверов. Вскоре мы покопаемся слегка глубже в этих возможностях. Другим свойством данной страницы, которую, как я
наблюдаю, применяют многие люди, является возможность определить, что вы желаете установить некую роль или
свойство в какой- то виртуальный жёсткий диск. Многие из нас в наши дни работают с большим числом виртуальных
серверов, и вам даже не нужно чтобы ваш сервер был исполняющимся для установки в него некоторой роли или свойства!
Если у вас имеется доступ к его файлу .VHDX, файлу его жёсткого диска,
из того места, в котором вы выполняете Диспетчер сервера, вы можете выбрать эту опцию, что позволит вам впрыснуть
такую новую роль или свойство непосредственно в данный жёсткий диск. Но, как и в 99% случаев, в которых вы
проходите через данный экран, мы зарегистрированы непосредственно в том самом сервере, в котором мы собираемся
установить данную роль и поэтому мы просто щёлкаем по
Next.

Это отображено на следующем снимке экрана:

Теперь у нас имеется перечень ролей, для которых у нас имеется возможность их установки. Нажатие на каждую из
этих ролей предоставляет вам краткое описание имеющихся у данной роли целей, если у вас имеются некоторые вопросы,
причём мы также дополнительно обсудим некоторые центральные фрагменты инфраструктуры в своей
следующей главе чтобы снабдить вас большим пониманием того,
что осуществляют эти роли. Всё что нам необходимо сделать здесь чтобы установить некую роль на вашем новом
сервере, это проверить соответствующий блок и кликнуть по Next.
Так как мы собираемся при менять его в качестве Контроллера домена, я выбираю роль
Active Directory Domain Services
(Служб домена AD), а также сделаю данный сервер многоцелевым и также выполняющим роли
DNS Server и
DHCP Server.
Для данных ролей нет необходимости повторно проходить сквозь данный мастер три отдельных раза чтобы установить все
эти роли, я могу просто пометить все их в данном месте и позволить мастеру выполнить все установки совместно.
Ой, когда я кликаю по своему первому управляющему блоку, я получаю всплывающее сообщение, что данная роль
Active Directory Domain Services требует некоторые
дополнительные свойства дла своей надлежащей работы. Это нормальное поведение, и вы отметите, что многие
устанавливаемые вами роли будут требовать установки некоторых дополнительных компонентов или свойств. Всё что
вам нужно сделать, это нажать на имеющуюся здесь кнопку
Add Features
и это автоматически добавит такие дополнительные фрагменты для вас в процессе данной установки. Некий образец этого
отображён на следующем снимке экрана:

Теперь, когда мы пометили все три свои роли, самое время кликнуть по
Next.
И это должно быть понятно для всех наших читателей, что мне не требовалось устанавливать все эти роли в одно
и то же время, они все не зависят друг от друга. Достаточно распространено видеть эти роли все вместе
установленными на одном и том же сервере, но я могу расщепить их на их собственные серверы при наличии у меня
такого желания. В средах большего размера вы можете иметь AD DS и DNS установленными совместно, но вы можете
выбрать установку роли DHCP на свои собственные серверы, и это просто чудесно.

Я настраиваю данный сервер для
поддержки среды небольшой лаборатории, поэтому для меня существенно поместить эти ключевые роли служб
инфраструктуры вместе в одной и той же коробке:

Установка KMS сервера на базе Windows Server 2012 R2

Собственный KMS сервер позволяет значительно упростить процесс активации продуктов Microsoft в корпоративной сети, и в отличии от обычной процедуры активации, не требует предоставления каждому компьютеру доступа в интернет к серверам активации Майкрософт. Инфраструктура  KMS достаточно простая, надежная и легко расширяется (один KMS сервер может обслуживать тысячи клиентов).

В этой статье мы опишем процесс установки в локальной корпоративной сети KMS сервера на базе Windows Server 2012 R2 и его активацию.

Установка и настройка роли Volume Activation Services

Для работы службы KMS нужно установить и настроить отдельную роль сервера — Volume Activation Services. Сделать это можно с помощью консоли Server Manage или PowerShell:

Install-WindowsFeature -Name VolumeActivation  -IncludeAllSubFeature

При установке через графический интерфейс консоли Server Manager, запустите мастер установки ролей (Add Roles and Features Wizard), и на этапе выбора ролей сервера (Server Roles) выберите пункт Volume Activation Services.
Установка роли KMS (Volume Activation Services)

После окончания установки запустите консоль Volume Activation Tools. Запустится мастер установки службы активации. Укажите, что будет устанавливаться сервер Key Management Service (KMS).

Примечание. Если все ОС Windows, которые будут активироваться на KMS сервере, состоят в одном домене Active Directory и используемые в сети версии ОС не ниже Windows 8 / Windows Server 2012 — можно воспользоваться специальным расширением технологии KMS – Active Directory Based Activation, активацией через AD.

Тип активации KMS или ADBA

Примечание. Учетная запись, из-под которой выполняется настройка KMS сервера, должна обладать правами Enterprise Admin.

Далее на сайте Microsoft (https://www.microsoft.com/Licensing/servicecenter/home.aspx) в личном разделе необходимо получить свой корпоративный KMS ключ (KMS host key, это ключ активации KMS сервера). Найти его можно в разделе Downloads and Keys -> Windows Server -> Windows Server 2012 R2. Получаем gvlk ключ с сайта Microsoft

Найдите ключ с типом KMS (не MAK) и скопируйте его в буфер обмена.

Вставьте скопированный KMS ключ в соответствующее поле мастера установки KMS сервера (Install your KMS host key). Установка ключа KMS на сервере активаций

Если система примет ключ, сразу же будет предложено его активировать. На основании введенного ключа система определит продукт, к которому он относится, и предложит два варианта активации (по телефону или Интернету). Во втором  случае придется предоставить серверу временный доступ в Интернет (только на период активации).Активация сервера KMS по телефону или через Интернет

После активации ключа, нужно настроить параметры службы управления ключами: интервал активации и реактивации (по умолчанию клиенты продляют активацию каждые 7 дней), порт (по умолчанию служба KMS использует TCP порт 1688), исключения для Windows Firewall. Чтобы автоматически создать запись в DNS, необходимую для автоматического поиска сервера KMS в домене (SRV запись _vlmcs._tcp), включите опцию DNS Records – Publish.

Если KMS сервер должен обслуживать клиентов из разных доменов, можно опубликовать DNS записи в других DNS зонах. Укажите данные зоны в списке Publish to Custom DNS zones.

Расширенные опции настройки KMS сервера

Примечание. Если у вас включен Windows Firewall, убедитесь, что активно правило, разрешающее входящие подключения на порт 1688. Если правила нет, включите правило брандмауэра из PoSh:

Get-NetFirewallRule -DisplayName *key*
Enable-NetFirewallRule -Name SPPSVC-In-TCP

kms сервер включить правило SPPSVC-In-TCP в файерволе Windows

На это процесс настройки сервера окончен. Проверьте, что в DNS создалась специальная запись, указывающая на ваш kms сервер (подробности в статье Как найти в домене KMS сервер):

nslookup -type=srv _vlmcs._tcp.corp.winitpro.ru

Далее получим информацию о текущем состоянии KMS сервера:

slmgr.vbs /dlv

Получаем статус kms сервера: инормация о лицензии, и количестве клиентов

Нас интересуют следующие поля:

  • Partial Product Key – отображены последние 5 символов KMS ключа
  • License status – статус активации лицензии (должно быть Licensed)
  • Total requests received  — количество запросов на активацию от клиентов(пока 0)

Внимание. Напомним, что у KMS сервера есть т.н. порог активации. Это означает, что активированный KMS сервер начинает активировать клиентов, только тогда, когда количество обратившихся к нему за последние 30 дней клиентов превысит предопределенные пороги (activation count):

  • Порог активации для клиентских ОС Vista / Windows 7 / Win 8 / Win 10  – 25 клиентов
  • Для серверных ОС: Windows Server 2008/ 2008 R2 / 2012 / 2012 R2 / 2016– 5 клиентов

Теперь KMS сервер может активировать клиентов. Что нужно выполнить на стороне клиента для успешной активации на KMS сервере:

  1. Задайте на клиенте публичный KMS (GVLK) ключ от соответствующей редакции Windows (ссылка ниже): slmgr /ipk xxxxx- xxxxx - xxxxx - xxxxx – xxxxx
  2. Если KMS сервер не опубликован в DNS, укажите его адрес вручную: slmgr /skms kmssrvwinitpro.ru:1688
  3. Активируйте ОС командой: slmgr /ato

Совет. Подробнее о том, как активировать клиентов на KMS сервере описано тут).

Активированный KMS сервер ключом для WS 2012 R2 (VOLUME_KMS_WS12_R2 channel) поддерживает активацию всех ОС Windows вплоть до Windows 8.1 / Windows Server 2012 R2 (для поддержки активации Windows 10 и WS 2016 нужно установить специальное обновление и активировать KMS сервер новым ключом).

В том случае, если попытаться установить новый KMS ключ для Windows 10 на KMS сервер под управлением Windows Server 2012 R2 с помощью VAMT без установки указанного обновления, появиться ошибка:

Unable to verify product key. The specified product key is invalid, or is unsupported by this version of VAMT. An update to support additional products may be available online.

KMS ошибка Unable to verify product key

Несколько советов.

  • Общедоступные KMS ключи для Windows 7/ Server 2008/ 2008 R2 можно найти здесь, для Windows 8.1 / Server 2012 R2 здесь, для Windows 10 / Windows Server 2016 здесь и здесь соответственно
  • Для удобного управлениями ключами продуктами MS, активации клиентов и построения отчетов можно воспользоваться утилитой Microsoft Volume Activation Management Tool  — VAMT 3.0
  • С помощью этого же KMS сервера можно активировать не только ОС Windows, но и продукты MS Office ( подробности в статье Активация MS Office 2013 VL, KMS активация Office 2016)
  • Для активации виртуальных машин, запущенных на сервере Hyper-V можно воспользоваться специальным типом активации:  AVMA (Automatic Virtual Machine Activation)

Установка и настройка ADRMS на Windows Server 2012 R2

В этой статье мы покажем как развернуть и задействовать для защиты контента службу Active Directory Right Management Services (ADRMS) на базе  Windows Server 2012 R2 в организация масштаба small и middle-size.

В первую очередь кратко напомним о том, что такое служба AD RMS и зачем она нужна. Служба  Active Directory Right Management Services – одна из стандартных ролей Windows Server, позволяющая организовать защиту пользовательских данных от несанкционированного использования. Защита информации реализуется за счет шифрования и подписывания документов, причем владелец документа или файла может сам определить, каким пользователям можно открывать, редактировать, распечатывать, пересылать и выполнять другие операции с защищенной информацией. Нужно понимать, что защита документов с помощью ADRMS возможно только в приложениях, разработанных с учетом этой службы (AD RMS-enabled applications). Благодаря AD RMS можно обеспечить защиту конфиденциальных данных как внутри, так и за пределами корпоративной сети.

Несколько важных требования, которые нужно учесть при планировании и развертывании решения AD RMS:

  • Желательно использовать выделенный сервер AD RMS. Не рекомендуется совмещать роль AD RMS с ролью контроллера домена, сервера Exchange, SharePoint Server или центра сертификации (CA)
  • У пользователей AD должен быть заполнен атрибут email
  • На компьютерах пользователей RMS сервер должен быть добавлен в зону доверенных сайтов IE (Trusted Sites). Проще всего это сделать с помощью групповой политики.

Прежде чем приступить непосредственно к развертыванию ADRMS, нужно выполнить ряд подготовительных шагов. В первую очередь необходимо создать в Active Directory отдельную сервисную запись для ADRMS с бессрочным паролем, например с именем svc-adrms (для службы ADRMS можно создать и особую управляемую учетную запись AD — типа gMSA).

Служебная учетная запись svc-adrms

В DNS-зоне создадим отдельную ресурсную запись, указывающую на AD RMS сервер. Допустим его имя будет – adrms.

cname запись adrms в dns

Приступим к установке роли ADRMS на сервере с Windows Server 2012 R2. Откройте консоль Serve Manager и установите роль Active Directory Rights Management Service (здесь все просто – просто соглашайтесь с настройками и зависимостями по-умолчанию).

Установка роли Active Directory Rights Management Service в windows server 2012 r2

После того, как установка роли ADRMS и сопутствующих ей ролей и функций закончится, чтобы перейти в режим настройки роли ADRMS, щелкните по ссылке Perform additional configuration.

выполнить дополнительную настройку adrms

В мастере настройки выберем, что мы создаем новый корневой кластер AD RMS (Create a new AD RMS root cluster).

новый корневой кластер AD RMS

В качестве базы данных RMS будем использовать внутреннюю базу данных Windows (Use Windows Internal Database on this server).

Совет. Подробнее про WID. В продуктивной среде рекомендуется для размещения БД RMS рекомендуется использовать отдельный инстанс Microsoft SQL Server. Связано это с тем, что внутренняя база Windows не поддерживает удаленные подключения, а это означает, что такая архитектура AD RMS не будет масштабируемой.

База данных ad rms

Затем укажем созданную ранее сервисную учетную запись (svc-adrms), используемый криптографический алгоритм, метод хранения ключа кластера RMS и его пароль.

служебная учетная запись adrmsкриптографический алгоритм adrmsхранилище ключей rmsПароль кластера ad rms

Осталось задать веб-адрес кластера AD RMS, к которому будут обращаться RMS-клиенты (рекомендуется использовать защищенное SSL соединение).

SSL адрес кластера rms

Не закрывайте мастер настройки AD RMS!

Следующий этап – установка SSL-сертификата на сайт IIS. Сертификат может быть самоподписаным (в дальнейшем его нужно будет добавить в доверенные на всех клиентах), или выданным корпоративным/внешним центром сертификации (CA). Сформируем сертификат с помощью уже имеющегося корпоративного CA.  Для этого откройте консоль IIS Manager (inetmgr) и перейдите в раздел Server Certificates. В правом столбце щелкните по ссылке Create Domain Certificate (создать сертификат домена).

Создать новый сертификат IIS

Сгенерируйте новый сертификат с помощью мастера и привяжите его к серверу IIS.

ssl сертификат в IIS

Вернитесь в окно настройки роли AD RMS и выберите сертификат, который планируется использовать для шифрования трафика AD RMS.

Укажем сертификат adrms

Отметьте, что точку SCP нужно зарегистрировать в AD немедленно (Register the SCP now).

Примечание. Для регистрации точки SCP в Active Directory нужно обладать правами  Enterprise Admins.

Зарегистрирвать точку rms scp

Совет. Чтобы удостовериться, что точка обнаружения AD RMS — SCP (Service Connection Point) зарегистрировалась в Active Directory, нужно открыть консоль dssite.msc. Затем перейдти в раздел Services -> RightManagementServices, в правой панели открыть свойства SCP.  Убедитесь что значение атрибута distinguishedName имеет такой вид: CN=SCP,CN=RightsManagementServices,CN=Services,CN=Configuration,DC=company,DC=co

На  этом процесс установки роли AD RMS закончен. Завершите текущий сеанс (logoff), и перезалогиньтесь на сервер.

Запустите консоль ADRMS.

консоль Active Directory Right Management Services

Для примера создадим новый шаблон политики RMS. Предположим мы хотим создать шаблон RMS, позволяющий владельцу документа разрешить всем просмотр защищенных этим шаблоном писем без прав редактирования/пересылки. Для этого перейдем в раздел Rights Policy Templates и щелкнем по кнопке Create Distributed Rights Policy Template.

Нажав кнопку Add, добавим языки, поддерживаемые этим шаблоном и имя политики для каждого из языков.

Создадим политику RMS

Далее укажем, что все (Anyone) могут просматривать (View) содержимое защищенного  автором документа. Политика доступа к защищеным данным RMS

Далее укажем, что срок окончания действия политики защиты не ограничен (Never expires). Срок действия политики rms не истекает

На следующем шаге укажем, что защищенное содержимое можно просматривать в браузере с помощью расширений IE (Enable users to view protected content using a browser add-on). включить rms в браузерных расширениях

Протестируем созданный шаблон RMS в Outlook Web App, для чего создадим новое пустое письмо, в свойствах которого нужно щелкнуть по кнопке Set Permissions. В выпадающем меню выберите имя шаблона (Email-View-Onl-For-Anyone). Новое письмо в outlook web access

почтовый клиент - ограниченный доступ к письму при помощи RMS

Примечание. Если список шаблонов RMS открывается с ошибкой, или созданные шаблоны отсутствуют, проверьте что адрес сайта AD RMS относится к зоне Local Intranet /Trusted zone , а текущий пользователь может авторизоваться на IIS сервера RMS.

Отправим письмо, защищенное RMS, другому пользователю. rms защищенное от изменений и пересылки письмо

Теперь посмотрим как выглядит защищенное письмо в ящике получателя.

Получатель не может переслать защищенное adrms письмо

Как мы видим, кнопки Ответить и Переслать недоступны, а в информационной панели указан используемый шаблон защиты документа и его владелец.

Итак, в этой статье мы описали, как быстро развернуть и задействовать службу AD RMS в рамках небольшой организации. Отметим, что к планированию развертыванию RMS в компаниях среднего и крупного размера нужно подойти более тщательно, т.к. непродуманная структура этой системы может в будущем вызвать ряд неразрешимых проблем.

Установка KMS сервера на базе Windows Server 2012 R2

Собственный KMS сервер позволяет значительно упростить процесс активации продуктов Microsoft в корпоративной сети, и в отличии от обычной процедуры активации, не требует предоставления каждому компьютеру доступа к интернет-серверу активации Майкрософт. Инфраструктура KMS достаточно простая, надежная и легко расширяется (один KMS сервер может обслуживать тысячи клиентов).

В этой статье мы опишем процесс установки сервера в локальной корпоративной сети KMS на базе Windows Server 2012 R2 и его активацию.

Установка и настройка роли Volume Activation Services

Для работы службы KMS нужно установить и настроить отдельную роль сервера — Volume Activation Services . Сделать это можно с помощью консоли Server Manage или PowerShell:

 Install-WindowsFeature -Name VolumeActivation -IncludeAllSubFeature 

При установке через графический интерфейс консоли Server Manager, запустите мастер установки ролей (мастер добавления ролей и компонентов), и на этапе выбора ролей сервера (Роли сервера) выберите пункт Услуги корпоративной активации .
Установка роли KMS (Volume Activation Services)

После окончания установки запустите консоль Volume Activation Tools. Запустится мастер установки службы активации. Укажите, что будет устанавливаться сервер службы управления ключами (KMS).

Примечание . Если все ОС Windows будут активироваться на сервере KMS, состоят в одном домене Active Directory и используются в сети версии ОС не ниже Windows 8 / Windows Server 2012 — можно воспользоваться специальным расширением технологии KMS — активация на основе Active Directory, активация через AD.

Тип активации KMS или ADBA

Примечание . Учетная запись, из-под которой выполняется настройка KMS сервера, должна обладать правами Enterprise Admin.

Далее на сайте Microsoft ( https://www.microsoft.com/Licensing/servicecenter/home.aspx ) в личном разделе необходимо получить свой корпоративный KMS ключ (ключ KMS хоста, это ключ активации KMS сервера). Найти его можно в разделе Загрузки и ключи -> Windows Server -> Windows Server 2012 R2 .Получаем gvlk ключ с сайта Microsoft

Найдите ключ с типом KMS (не MAK) и скопируйте его в буфер обмена.

Вставьте скопированный ключ KMS в соответствующее поле мастера установки KMS сервера (установите ключ узла KMS). Установка ключа KMS на сервере активаций

Если система примет ключ, сразу же будет предложено его активировать. На основании введенного ключа определит продукт, которому он соответствует, и предложит два варианта активации (по телефону или Интернету). Во втором случае предоставить серверу временный доступ в Интернет (только на период активации).Активация сервера KMS по телефону или через Интернет

После активации ключа, нужно настроить параметры управления ключами: интервал активации и реактивации (по умолчанию клиенты продляют активацию каждые 7 дней), (по умолчанию служба KMS использует TCP порт 1688), исключение для брандмауэра Windows. Чтобы автоматически создать запись в DNS, специально для автоматического поиска сервера KMS в домене (SRV запись _vlmcs._cp), включите опцию DNS Records — Publish .

Если KMS сервер должен обслуживать клиентов из разных доменов, можно опубликовать DNS записи в других доменов DNS.Укажите данные зоны в списке Опубликовать в настраиваемых зонах DNS.

Расширенные опции настройки KMS сервера

Примечание . Если у вас включен брандмауэр Windows, убедитесь, что активно правило, разрешающее входящие подключения на порт 1688. Если правила нет, включите правило брандмауэра из PoSh:

Get-NetFirewallRule -DisplayName * key *
Enable-NetFirewallRule -Name SPPSVC-In- TCP

kms сервер включить правило SPPSVC-In-TCP в файерволе Windows

На этом процесс настройки сервера окончен. Проверьте, что в DNS создала специальная запись, указывающая на ваш kms-сервер (подробности в статье Как найти в домене KMS-сервер):

 nslookup -type = srv _vlmcs._tcp.corp.winitpro.ru 

Далее получим информацию о текущем состоянии KMS сервера:

 slmgr.vbs / dlv 

Получаем статус kms сервера: инормация о лицензии, и количестве клиентов

Нас интересуют следующие поля:

  • Partial Product Key — отображаются последние 5 символов KMS ключа
  • Статус лицензии — статус активации лицензии (должно быть Лицензировано)
  • Всего полученных запросов — количество запросов на активацию от клиентов (пока 0)

Внимание . Напомним, что у KMS сервера есть т.н. порог активации. Это означает, что активированный KMS сервер начинает активировать клиентов только тогда, когда количество клиентов, обратившихся за последние 30 дней, превысит предопределенные пороги (количество активаций):

  • Порог активации для клиентских ОС Vista / Windows 7 / Win 8 / Win 10 — 25 клиентов
  • Для серверных ОС: Windows Server 2008/2008 R2 / 2012/2012 R2 / 2016– 5 клиентов

Теперь KMS-сервер может активировать клиентов. Что нужно выполнить на стороне клиента для успешной активации на KMS сервере:

  1. Задайте клиенте публичный KMS (GVLK) ключ от создания редакции Windows (ссылка ниже): slmgr / ipk xxxxx- xxxxx - xxxxx - xxxxx - xxxxx
  2. Если KMS-сервер не опубликован в DNS, укажите его адрес вручную: slmgr / skms kmssrvwinitpro.ru: 1688
  3. Активируйте ОС командой: slmgr / ato

Совет . Подробнее о том, как активировать клиентов на KMS сервере описано тут).

Активированный KMS сервер ключом для WS 2012 R2 (канал VOLUME_KMS_WS12_R2) поддерживает активацию всех ОС Windows вплоть до Windows 8.1 / Windows Server 2012 R2 (для поддержки активации Windows 10 и WS 2016 нужно установить специальное обновление и активировать KMS сервер новым ключом).

В том случае, если попытаться установить новый KMS ключ для Windows 10 на KMS сервер под управлением Windows Server 2012 R2 с помощью VAMT без установки обновлений, появиться ошибка:

Невозможно проверить ключ продукта.Указанный ключ продукта недействителен или не поддерживается этой версией VAMT. Обновление для поддержки дополнительных продуктов может быть доступно в Интернете.

KMS ошибка Unable to verify product key

Несколько советов .

  • Общедоступные ключи KMS для Windows 7 / Server 2008/2008 R2 можно найти здесь, для Windows 8.1 / Server 2012 R2 здесь, для Windows 10 / Windows Server 2016 здесь и здесь соответственно
  • Для удобного управлениями ключами продуктами MS, активация клиентов и построения отчетов можно воспользоваться утилитой Microsoft Volume Activation Management Tool — VAMT 3.0
  • С помощью этого же KMS сервера можно активировать не только ОС Windows, но и продукты MS Office (подробности в статье Активация MS Office 2013 VL, активация KMS Office 2016)
  • Для активации виртуальных машин, запущенных на сервере Hyper-V можно Воспользуйтесь специальным типом активации: AVMA (Автоматическая активация виртуальной машины)

.

Миграция службы сертификации Active Directory с Windows Server 2003 на Windows Server 2012 R2 / Блог компании Microsoft / Хабр

Как вы уже должны знать, поддержка Windows Server 2003 и Windows Server 2003 R2 заканчивается 14 июля 2015 года. Зная это, ИТ профессионалы либо уже провели миграцию, либо этот процесс должен находиться в самом разгаре. В этой статье будут шаги, необходимые для перемещения службы сертификации Active Directory с Windows Server 2003 на Windows Server 2012 R2.

Для демонстрации будут использованы следующие установки:

Имя сервера Операционная система Роли сервера
canitpro-casrv.canitpro.local Windows Server 2003 R2
Корпоративный x86
AD CS (предприятие
Центр сертификации)
CANITPRO-DC2K12.canitpro.local Windows Server 2012 R2 x64
Шаг 1.Резервная копия конфигурации и базы данных центра сертификации Windows Server 2003

Заходим в Windows Server 2003 под записью из группы локальных администраторов.
Выбираем Пуск — Администрирование — Центр сертификации

Щелкаем правой кнопкой мыши по узлу сервера. Выбираем Все задачи , затем Резервное копирование CA

Откроется «Мастер резервного копирования центра сертификации» и нажимаем «Далее» для продолжения.

В следующем окне выберите те области, которые необходимо указать для нужных настроек и нажмите « Просмотрите » для того, чтобы указать место сохранения резервной копии. Нажмите «Далее» для продолжения.

Далее вам будет предложено ввести пароль для того, чтобы защитить закрытый ключ и файл сертификата центра сертификации. После того, как введете пароль, нажмите «Далее» .

В следующем окне будет запрошено подтверждение.Если все в порядке — нажмите « Завершить » для завершения процесса.

Шаг 2. Резервирование реестра центра сертификации

Нажмите Start , затем Run . Напечатайте regedit и нажмите ОК .

Затем откройте HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc
Щелкните правой кнопкой мыши по ключу « Configuration » и выберите « Export »

В следующем окне укажите резервный файл.Затем нажмите «Сохранить» , чтобы закончить резервирование.

Теперь у нас есть резервные файлы центра сертификации и мы можем переместить эти файлы на новый сервер Windows Server 2012 R2.

Шаг 3. Удаление службы центра сертификации с Windows Server 2003

Теперь, когда готовы резервные файлы и прежде, чем настроить службу сертификации на новом Windows Server 2012 R2, мы службы центра сертификации с Windows Server 2003. Для этого нужно проделать следующие шаги.
Щёлкаем Пуск> Панель управления> Установка и удаление программ

Затем выбираем «Установка и удаление компонентов Windows»

В следующем окне уберите галочку с пункта « Сертификат Услуги » и нажмите « Далее » для продолжения

После завершения процесса, вы увидите изображение и нажмите « Поверхность »

На этом этапе мы закончили работу со службами центра сертификации на Windows Server 2003 и следующим шагом будем настраивать и конфигурировать центр сертификации на Windows Server 2012 R2.

Шаг 4. Установка служб сертификации на Windows Server 2012 R2

Зайдите на Windows Server 2012 R2 под учетной записью или администратора домена, локального администратора.
Перейдите в Диспетчер сервера> Добавить роли и функции .

Запустится «Добавить роли и функции» , нажмите «Далее» для продолжения.
В следующем окне выберите «Установка на основе ролей или функций» , нажмите «Далее» для продолжения.
Из списка доступных серверов выберите ваш и нажмите « След. » для продолжения.
В следующем окне выберите «Службы сертификации Active Directory», установите все сопутсвующие компоненты и нажмите « Next » .

В следующих двух окнах нажимайте Далее . После этого вы вариантов выбора служб для установки. Мы выбираем Центр сертификации и Центр сертификации Веб-регистрация и нажимаем «Далее» для продолжения.

Для установки Certification Authority Web Enrollment необходимо установить IIS . Поэтому в следующих двух окнах посмотрите краткое описание роли, выберите нужные компоненты и нажмите « Далее » .
Далее вы увидите окно подтверждения. Если все в порядке, нажмите « Установить » для того, чтобы начать процесс установки.

После того, как установка завершена, вы закрывать мастер установки и переходить к следующему шагу.

Шаг 5. Настройка AD CS

В этом шаге мы рассмотрим как настроить и восстановить файлы резервирования, которые мы создали.
Зайдите на сервере с правами Enterprise Administrator
Перейдите в Диспетчер сервера> AD CS

C правой стороны на панели вы увидите всплывающее окно, как на скриншоте и нажмите « Еще »

Откроется окно, в котором вам нужно нажать « Настроить службу сертификации Active Directory…»

Откроется окно мастера роли, в котором появится возможность изменить учетную запись.Т.к. мы уже вошли в систему с записью Администратор предприятия , то мы оставим то, что указано по умолчанию и нажмем « Далее »

В следующем окне спросят, какой службы мы хотим настроить. Выберите Центр сертификации и Веб-регистрация центра сертификации и нажимаем «Далее» для продолжения.

Это будет Enterprise CA , поэтому в качестве следующего источника в качестве типа установки Enterprise CA и нажмите « Next » для продолжения.

В следующем окне выберите «корневой CA» в качестве типа типа CA и нажмите « Next » для продолжения.

Следующая настройка очень важна. Если бы это была новая установка, то мы могли бы просто создать новый закрытый ключ. Но так как это процесс перемещения, у нас уже есть зарезервированный закрытый ключ. Поэтому здесь выбран вариант, который отмечен на скриншоте и нажмите « Далее » для продолжения.

В следующем окне нажмите кнопку « Импорт » .

Здесь у нас появляется возможность выбрать тот ключ, который мы зарезервировали с Windows Server 2003. Указываем путь к этому ключу и вводим пароль, мы использовали. Затем нажимаем OK .

Далее, если импорт прошел успешно, то мы увидим наш сертификат. Выбираем его и нажимаем « Далее » для продолжения.

В следующем окне мы можем определить путь к базе данных сертификата. Я сделал то, что указано по умолчанию и нажимаю «Далее» для продолжения.

В следующем окне будет предоставлена ​​вся информация для настройки. Если все нормально, то нажимаем «Configuration» для запуска процесса.

После того, как процесс завершен, закрываем мастера конфигурации.

Шаг 6. Восстановление зарезервированного CA

Теперь мы переходим к наиболее частым частям процесса перемещения, который мы восстанавливаем зарезервированный в Windows Server 2003 CA.
Открываем Server Manager> Tools> Certification Authority

Щелкаете правой кнопкой мыши по имени сервера и выбираете Все Задачи > Восстановить CA

Далее появится предупреждение о том, что служба сертификатов должна быть установлена ​​для продолжения. Нажмите ОК .

Запустится Мастер восстановления центра сертификации , нажмите «Далее» для продолжения.
В следующем окне находится резервная копия, в которой находится резервная копия. Затем выберите теже настройки, что и я на скриншоте. Нажмите « Далее » для продолжения.

В следующем окне вы можете ввести пароль, который мы использовали для того, чтобы защитить закрытый ключ в процессе резервирования. После ввода нажмите «Далее» для продолжения.

В следующем окне нажмите « Finish » для завершения импорта.
После успешного завершения процесса, система спросит, можно ли запустить центр сертификации. Запустите службу.

Шаг 7. Восстановление информации в реестре

Во время создания резервной копии CA мы также создали копию ключа реестра. Теперь нужно ее восстановить. Для этой папки, которая содержит зарезервированный ключ реестра. Щелкните по нему левой кнопкой мыши.
Появится предупреждающее окно. Нажмите « Да » для восстановления ключа реестра.

По окончании вы получите подтверждение об успешном восстановлении.

Шаг 8. Перевыпуск шаблона сертификата

Мы завершили процесс передачи, и сейчас нужно перевыпустить сертификаты. У меня были настройки шаблона в окружении Windows Server 2003, который назывался PC Certificate , с помощью которого выпускались сертификаты для компьютеров, включенных в домен. Теперь посмотрим, как я перевыпущу шаблон.
Открывает консоль Центр сертификации
Щелкаем правой кнопкой мышки по Папка шаблонов сертификатов> Создать> Шаблон сертификата для перевыпуска .

Из списка шаблонов сертификатов выберите подходящий шаблон сертификата и нажмите ОК .

Шаг 9. Тестируем CA

Теперь, когда шаблон сертификата установлен на компьютер, его нужно установить на автоматический режим. Для проверки я установил компьютер с операционной системой Windows 8.1 , назвал его demo 1 и добавил в домен canitpro.local . После его первой загрузки на сервере я открываю консоль центра сертификации и разворачиваю раздел «Выпущенный сертификат». Там я могу увидеть новый сертификат, который выпущен для компьютера.

На этом процесс перемещения успешно завершен.

.

Установка TFTP сервера на Windows Server 2012 R2

Линейка продуктов Windows Server с незапамятных времен поддерживает возможность организации TFTP сервера. Хотя выделенная роль и служба TFTP сервера отсутствует (не стоит искать ее в разделе FTP-сервера), этот функционал, как и в Windows Server 2003, является частью Windows Deployments Services (WDS). TFTP сервис функционирует внутри процесса svchost.exe службы WDS.

Протокол TFTP ( Trivial File Transfer Protocol) упрощенный протокол передачи файлов, обеспечивающий простую возможность скачки и закачки файлов.Как правило, TFTP используется для загрузки PXE (сетевая загрузка, бездисковые рабочие станции и пр.), Загрузка / выгрузка конфигурации сетевого оборудования и ряда других специфичных задач. В проколе отсутствуют средства защиты, аутентификации и управления. Основное его преимущество — простота реализации клиентской части и высокая производительность при передаче файлов большого объема. Протокол работает по порту 69 UDP.

Примечание . TFTP Microsoft имеет довольно урезанный функционал, минимально необходимый для работы сервер загрузки по PXE.В частности клиенты могут только читать данные с такого TFTP-сервера, а операции записи не доступны.

Чтобы установить службу TFTP на Windows Server 2012 R2, откройте консоль Server Manager и с помощью мастера . Добавьте роли и функции Wiazrd выберите роль Службы развертывания Windows (Службы развертывания Windows).

Установка роли Windows Deployment Services На следующем шаге мастера в компоненте роли WDS выбираем только Transport Server ( Транспортный сервер), снимок галочку с Deployment Server.

Служба Transport Server (Транспортный сервер) После завершения установки роли необходимо создать каталог, который будет корневым каталогом для TFTP сервера, к примеру C: \ tftp .

Затем с помощью редактора реестра в ветке HKLM \ SYSTEM \ CurrentControlSet \ services \ WDSServer \ Providers \ WDSTFTP создадим новый строковый (String) параметр с именем RootFolder , и существим, установленим путь к корневому каталогу TFTP, созданному ранее.

tftp RootFolder Обратите внимание на значение параметра ReadFilter .По умолчанию он разрешает загрузку файлов только из каталогов \ boot и \ tmp. Если требуется возможность загрузки файлов из корня и других каталогов, нужно изменить значение параметра ReadFilter на \ * .

Запустим службу WDS с помощью команды

WDSUTIL / Start-TransportServer

Совет . Для автоматического запуска службы нужно изменить тип загрузки службы развертывания Windows на Auto с помощью оснастки services.msc или из команды строки PowerShell с помощью командлета Set-Service:

set-service WDSServer -StartupType Automatic

В брандмауэре Windows должно появиться правило, разрешающее входящий трафик на порт UDP 69 (отвечает служба с произвольного номера порта выше 1023).Некоторые антивирусу могут блокировать порт 69 (в этом был замечен McAffee Enterprise)

На этом настройка TFTP сервера завершена.

Чтобы протестировать работу TFTP сервера, нам понадобится клиент TFTP. Установить его можно с помощью Server Manager, выбрав компонент TFTP Client .

Установка TFTP клиента Попытаемся локально обратиться к развернутому серверу TFTP и попробовать скачать файл test.zip

Скачать файл можно при помощи команды

tftp –i localhost GET tmp \ test.zip C: \ temp \ test.zip

Результатом выполнения такой команды будет сохранённый файл c: \ temp \ test.zip, скачанный с локального сервера.

Это все в теории, а на практике после выполнения последней команды у меня появилась ошибка:

Ошибка запроса на подключение

tftp Connect request failed При запуске или перезапуске службы Windows Deployment Services Server в журнале Приложение появляется событие от службы WDSTFTP с EventID 259 и текст:

Корневая папка для TFTP-сервера развертывания Windows не настроена.Информация об ошибке: 0x2

Чтобы заставить TFTP сервер работать, мне пришлось установить компонент роли WDS -> Развертывание Служба и сразу же удалить его. После его установки в ветке WDSTFTP нужно изменить значение ключа RootFolder с C: \ RemoteInstall на c: \ tftp. Пытаемся еще раз скачать файл:

PS C: \ temp> tftp -i localhost get boot \ test.zip

Получилось!

Передача файла по протоколу tftp Итак, мы рассмотрели как быстро без использования сторонних средств развернуть TFTP-сервер на Windows Server 2012.Функционал такого будет довольно урезанным, поэтому для более сложных инсталляций, предпочтительнее использовать альтернативную работу TFTP сервера, к примеру, tftpd32.

.

Добавить комментарий

Ваш адрес email не будет опубликован.