Windows admin centerwindows admin center

Нужно ли бэкапить Active Directory?

Не раз слышал от знакомых администраторов мысль, что если у тебя несколько (5, 10 и т.д.) территориально разнесенных контроллеров домена Active Directory, то бэкапать AD вообще не нужно, т.к. при нескольких DC вы уже обеспечили высокую отказоустойчивость домена. Ведь в такой схеме вероятность одновременного выхода из строя всех DC стремится к 0, а если один контроллер домена упал, то быстрее развернуть новый DC на площадке, а старый удалить с помощью ntdsutil.


Однако в своей практике я встречался с различными сценариями, когда все контроллеры домена оказались повреждёнными: в одном случае все контроллеры домена (а их было более 20 штук в разных городах) оказались зашифрованными из-за перехвата пароля домена шифровальщиком через утилиту mimikatz (для предотвращения таких схем см. статьи “Защита Windows от mimikatz” и “Защита привилегированных групп администраторов”), в другом случае домен положила репликация поврежденного файла NTDS.DIT.

В общем, бэкапить AD можно и нужно. Как минимум вы должны регулярно создавать резервные копии ключевых контроллеров доменов, владельцев ролей FSMO (Flexible single-master operations). Вы можете получить список контролеров домена с ролями FSMO командой:

Настройка клиентов DirectAccessConfigure DirectAccess clients

Чтобы настроить клиентский компьютер для использования DirectAccess, он должен принадлежать выбранной группе безопасности.For a client computer to be provisioned to use DirectAccess, it must belong to the selected security group. После настройки DirectAccess подготавливается клиентские компьютеры в группе безопасности для получения объектов групповая политика DirectAccess (GPO) для удаленного управления.After DirectAccess is configured, client computers in the security group are provisioned to receive the DirectAccess Group Policy Objects (GPOs) for remote management.

Настройка клиентов DirectAccessTo configure DirectAccess clients

  1. В средней области консоли управления удаленным доступом в разделе Этап 1. Удаленные клиенты щелкните Настроить.In the middle pane of the Remote Access Management console, in the Step 1 Remote Clients area, click Configure.

  2. В мастере установки клиента DirectAccess на странице сценарий развертывания щелкните развернуть DirectAccess только для удаленного управления, а затем нажмите кнопку Далее.In the DirectAccess Client Setup Wizard, on the Deployment Scenario page, click Deploy DirectAccess for remote management only, and then click Next.

  3. На странице Выбор групп щелкните Добавить.On the Select Groups page, click Add.

  4. В диалоговом окне Выбор групп выберите группы безопасности, содержащие клиентские компьютеры DirectAccess, а затем нажмите кнопку Далее.In the Select Groups dialog box, select the security groups that contain the DirectAccess client computers, and then click Next.

  5. На странице Помощник по подключению к сети:On the Network Connectivity Assistant page:

    • В таблице добавьте ресурсы, которые будут использоваться для определения подключения к внутренней сети.In the table, add the resources that will be used to determine connectivity to the internal network. Если другие ресурсы не настроены, веб-проба по умолчанию создается автоматически.A default web probe is created automatically if no other resources are configured. При настройке расположения веб-проб для определения подключения к корпоративной сети убедитесь, что настроена хотя бы одна проверка на основе HTTP.When configuring the web probe locations for determining connectivity to the enterprise network, ensure that you have at least one HTTP based probe configured. Настройка только проверки связи не является достаточной и может привести к неправильному определению состояния подключения.Configuring only a ping probe is not sufficient, and it could lead to an inaccurate determination of connectivity status. Это вызвано тем, что проверка связи исключена из IPsec.This is because ping is exempted from IPsec. В результате проверка связи не гарантирует правильность установки туннелей IPsec.As a result, ping does not ensure that the IPsec tunnels are properly established.

    • Введите понятное имя для подключения DirectAccess.Provide a friendly name for the DirectAccess connection.

    • При необходимости установите флажок Разрешить клиентам DirectAccess использовать локальное разрешение имен.Select the Allow DirectAccess clients to use local name resolution check box, if required.

      Примечание

      Если разрешение локального имени включено, пользователи, выполняющие NCA, могут разрешать имена с помощью DNS-серверов, настроенных на клиентском компьютере DirectAccess.When local name resolution is enabled, users who are running the NCA can resolve names by using DNS servers that are configured on the DirectAccess client computer.

  6. Нажмите кнопку Готово.Click Finish.

Отсутствует консоль DNS после переустановки RSAT в Windows 10

Встречалась еще одна проблема: после переустановки RSAT на компьютере отсутствует консоль управления DNS (dnsmgmt.msc). Для исправления проблемы, можно скопировать с рабочего хоста файлы dnsmgmt.msc, dnsmgr.dll, DNSmgr.dll.mui и выполнить регистрацию библиотеки:

Можно вместо пакета WS_1709 RSAT установить WS_1803 или WS2016 RSAT.

Кроме того, на сайте Microsoft есть официальная статья KB (Отсутствует консоль диспетчера DNS для клиента RSAT в Windows 10). В статье указано, что для исправления проблемы на Windows 10 x64 нужно создать два файла:

installx64.bat

@echo offmd exexpand -f:* WindowsTH-RSAT_WS_1709-x64.msu ex\cd exmd excopy ..\unattend_x64.xml ex\expand -f:* WindowsTH-KB2693643-x64.cab ex\cd exdism /online /apply-unattend=»unattend_x64.xml»cd ..\dism /online /Add-Package /PackagePath:»WindowsTH-KB2693643-x64.cab»cd ..\rmdir ex /s /q unattend_x64.xml

<?xml version=»1.0″ encoding=»UTF-8″?><unattend xmlns=»urn:schemas-microsoft-com:setup» description=»Auto unattend» author=»pkgmgr.exe»><servicing><package action=»stage»><assemblyIdentity buildType=»release» language=»neutral» name=»Microsoft-Windows-RemoteServerAdministrationTools-Client-Package-TopLevel» processorArchitecture=»amd64″ publicKeyToken=»31bf3856ad364e35″ version=»10.0.16299.2″/><source location=».» permanence=»temporary»/></package></servicing></unattend> MSUinstallx64.bat

Интервал обновления параметров групповых политик


Чтобы новые настройки, которые вы задали в локальной или доменной групповой политике (GPO) применились на клиентах, необходимо, чтобы служба Group Policy Client перечитала политики и внесла изменения в настройки клиента. Это процесс называется обновление групповых политик. Настройки групповых политик обновляются при загрузке компьютере и входе пользователя, или автоматически в фоновом режиме раз в 90 минут + случайное смещение времени (offset) в интервале от 0 до 30 минут (т.е. политики гарантировано применятся на клиентах в интервале 90 – 120 минут после обновления файлов GPO на контроллере домена).

Контроллеры домена по умолчанию обновляют настройки GPO намного чаще — раз в 5 минут.

Вы можете изменить интервал обновления настрое GPO с помощью параметра Set Group Policy refresh interval for computers, который находится в секции GPO Computer Configuration -> Administrative Templates -> System -> Group Policy.

Включите политику (Enabled) и задайте время (в минутах) в следующих настройках:

  • This setting allow you to customize how often Group Policy is applied to computer (от 0 до 44640 минут) – как часто клиент должен обновлять настройка GPO (если указать тут 0 – политики начнут обновляться каждые 7 секунд – не стоит этого делать);
  • This is a random time added to the refresh interval to prevent all clients from requesting Group Policy at the same time (от 0 до 1440 минут) – максимальное значение случайного интервал времени, которые добавляется в виде смещения к предыдущему параметру (используется для уменьшения количества одновременных обращений к DC за файлами GPO от клиентов).

Имейте в виду, что частое обновление GPO приводит к увеличению трафика к контроллерам домена и повышенной нагрузке на сеть.

Настройка серверов инфраструктурыConfigure the infrastructure servers

Чтобы настроить серверы инфраструктуры в развертывании с удаленным доступом, необходимо настроить следующие параметры.To configure the infrastructure servers in a Remote Access deployment, you must configure the following:

  • Сервер сетевого размещенияNetwork location server

  • Параметры DNS, включая список поиска DNS-суффиксовDNS settings, including the DNS suffix search list

  • Любые серверы управления, которые не обнаруживаются службой удаленного доступа автоматическиAny management servers that are not automatically detected by Remote Access

Настройка серверов инфраструктурыTo configure the infrastructure servers

  1. В средней области консоли управления удаленным доступом в разделе Этап 3. Серверы инфраструктуры щелкните Настроить.In the middle pane of the Remote Access Management console, in the Step 3 Infrastructure Servers area, click Configure.

  2. На странице Сервер сетевых расположений мастера настройки серверов инфраструктуры щелкните параметр, соответствующий расположению сервера сетевых расположений в вашем развертывании.In the Infrastructure Server Setup Wizard, on the Network Location Server page, click the option that corresponds to the location of the network location server in your deployment.

    • Если сервер сетевого расположения находится на удаленном веб-сервере, введите URL-адрес и нажмите кнопку проверить , прежде чем продолжить.If the network location server is on a remote web server, enter the URL, and then click Validate before you continue.

    • Если сервер сетевых расположений размещен на сервере удаленного доступа, нажмите кнопку Обзор, чтобы найти соответствующий сертификат, а затем нажмите Далее.If the network location server is on the Remote Access server, click Browse to locate the relevant certificate, and then click Next.

  3. На странице DNS в таблице введите дополнительные суффиксы имен, которые будут применяться как исключения таблица политики разрешения имен (NRPT).On the DNS page, in the table, enter additional name suffixes that will be applied as Name Resolution Policy Table (NRPT) exemptions. Выберите параметр локального разрешения имен и нажмите кнопку Далее.Select a local name resolution option, and then click Next.

  4. На странице списка поиска DNS-суффиксов сервер удаленного доступа автоматически обнаруживает суффиксы домена в развертывании.On the DNS Suffix Search List page, the Remote Access server automatically detects domain suffixes in the deployment. Используйте кнопки Добавить и Удалить , чтобы создать список суффиксов домена, которые необходимо использовать.Use the Add and Remove buttons to create the list of domain suffixes that you want to use. Чтобы добавить новый суффикс домена, в поле Новый суффикс введите суффикс и нажмите кнопку Добавить.To add a new domain suffix, in New Suffix, enter the suffix, and then click Add. Щелкните Далее.Click Next.

  5. На странице Управление добавьте серверы управления, которые не обнаруживаются автоматически, а затем нажмите кнопку Далее.On the Management page, add management servers that are not detected automatically, and then click Next. Удаленный доступ автоматически добавляет контроллеры домена и Configuration Manager серверы.Remote Access automatically adds domain controllers and Configuration Manager servers.

  6. Нажмите кнопку Готово.Click Finish.

Как включить удаленный рабочий столHow to enable Remote Desktop

Самый простой способ разрешить доступ к компьютеру с удаленного устройства — использовать параметры удаленного рабочего стола в разделе «Параметры».The simplest way to allow access to your PC from a remote device is using the Remote Desktop options under Settings. Так как эта функциональная возможность была добавлена в Windows 10 Fall Creators Update (1709), также доступно отдельное скачиваемое приложение для более ранних версий Windows, которое обеспечивает аналогичные функции.Since this functionality was added in the Windows 10 Fall Creators update (1709), a separate downloadable app is also available that provides similar functionality for earlier versions of Windows. Можно также использовать старый способ включения удаленного рабочего стола, однако этот метод обеспечивает меньше функциональных возможностей и возможностей проверки.You can also use the legacy way of enabling Remote Desktop, however this method provides less functionality and validation.

Можно настроить компьютер для удаленного доступа с помощью нескольких простых действий.You can configure your PC for remote access with a few easy steps.

  1. На устройстве, с которого вы собираетесь подключиться, откройте меню Пуск и щелкните значок Параметры.On the device you want to connect to, select Start and then click the Settings icon on the left.
  2. Выберите группу Система возле элемента Удаленный рабочий стол.Select the System group followed by the Remote Desktop item.
  3. Включите удаленный рабочий стол с помощью ползунка.Use the slider to enable Remote Desktop.
  4. Также рекомендуется оставить компьютер в режиме бодрствования и доступным для обнаружения, чтобы упростить подключение.It is also recommended to keep the PC awake and discoverable to facilitate connections. Щелкните Показать параметры для включения.Click Show settings to enable.
  5. При необходимости добавьте пользователей, которые могут удаленно подключиться, щелкнув Select users that can remotely access this PC (Выбрать пользователей, которые могут удаленно подключаться к этому компьютеру).As needed, add users who can connect remotely by clicking Select users that can remotely access this PC.
    1. Члены группы «Администраторы» получают доступ автоматически.Members of the Administrators group automatically have access.
  6. Запишите имя этого компьютера, указанное в разделе How to connect to this PC (Как подключаться к этому компьютеру).Make note of the name of this PC under How to connect to this PC. Оно потребуется для настройки клиентов.You’ll need this to configure the clients.

Windows 7 и ранняя версия Windows 10Windows 7 and early version of Windows 10

Чтобы настроить компьютер для удаленного доступа, скачайте и запустите Microsoft Remote Desktop Assistant.To configure your PC for remote access, download and run the Microsoft Remote Desktop Assistant. Этот помощник обновляет параметры системы, чтобы включить удаленный доступ, обеспечивает бодрствование компьютера для подключения и проверяет, разрешает ли брандмауэр подключения к удаленному рабочему столу.This assistant updates your system settings to enable remote access, ensures your computer is awake for connections, and checks that your firewall allows Remote Desktop connections.

Все версии Windows (устаревший метод)All versions of Windows (Legacy method)

Чтобы включить удаленный рабочий стол с помощью устаревших свойств системы, следуйте инструкциям по подключению к другому компьютеру с помощью удаленного рабочего стола.To enable Remote Desktop using the legacy system properties, follow the instructions to Connect to another computer using Remote Desktop Connection.

Резервное копирование Active Directory с помощью PowerShell


Попробуем создать бэкап контроллера домена с помощью PowerShell. Для хранения нескольких уровней копий AD мы будем хранить каждый бэкап в отдельном каталоге с датой создания копии в качестве имени папки.

Запустите данный скрипт. Должна появится консоль wbadmin с информацией о процессе создании резервной (теневой) копии диска:

The backup operation to \\srvbak1\backup\dc1\2019-10-10 is starting.
Creating a shadow copy of the volumes specified for backup...

У меня первая попытка создать бэкап DC завершилась с ошибкой (контролер домена — это виртуальная машина VMWare):

Detailed error: The filename, directory name, or volume label syntax is incorrect.
The backup of the system state failed .

Я открыл журнал ошибок WSB — C:\Windows\Logs\WindowsServerBackup\Backup_Error-10-10-2019_08-30-24.log.

В файле содержится одна ошибка:

Error in backup of C:\windows\\systemroot\ during enumerate: Error  The filename, directory name, or volume label syntax is incorrect.

Забегая вперед, скажу, что проблема оказалась в некорректном пути в одном из драйверов VMWware Tools.

Чтобы исправить эту ошибку, откройте командную строку с правами администратора и выполните:

После формирование списка наберите quit и откройте файл «C:\Windows\System32\writers.txt». Найдите в нем строку, содержащую “windows\\”.

В моем случае найденная строка выглядит так:

File List: Path = c:\windows\\systemroot\system32\drivers, Filespec = vsock.sys

Как вы видите, используется неверный путь к драйверу VSOCK.SYS.

Чтобы исправить путь, откройте редактор реестра и перейдите в раздел HKLM\SYSTEM\CurrentControlSet\Services\vsock.

Измените значение ImagePath сна

Запустите скрипт бэкапа еще раз.

Если бэкап выполнен успешно, в логе появятся сообщения:

The backup operation successfully completed.
The backup of volume (C:) completed successfully.
The backup of the system state successfully completed .

Проверим даты последнего бэкапа на DC:

Теперь тут указано, что последний раз бэкап контроллера домена выполнялся сегодня.


На сервере резевного копирования размер каталога с резервной копией контроллера домена занимает около 9 Гб. По сути на выходе вы получили vhdx файл, который можно использовать для восстановления ОС через WSB, или вы можете вручную смонтировать vhdx файл и скопировать из него нужные файлы или папки.

Если на площадке имеется несколько DC, то не обязательно бэкапить их все. Для экономии места достаточно периодически бэкапить базу данных AD — файл ntds.dit. Для этого используйте следующие команды:

Размер такого бэкапа будет составлять всего 50-500 Мб в зависимости от размера базы AD.

Для автоматического выполнения бэкапа, нужно на DC создать скрипт c:\ps\backup_ad.ps1. Этот скрипт нужно запускать по расписанию через Task Sheduler. Вы можете создать задание планировщика из графического интерфейса или из PowerShell. Главное требование — задание должно запускать от имени SYSTEM с включенной опцией Run with highest privileges. Для ежедневного бэкапа контролера домена AD создайте следующее задание:

Итак, мы настроили резевное копирование состояния AD, а в следующей статье мы поговорим о способах восстановления AD из имеющейся резервной копии контроллера домена.

PowerShell скрипт получения фото пользователя из AD и установки иконки профиля Windows

Далее нам понадобится PowerShell скрипт, который должен получить фото текущего пользователя из Active Directory, сохранить его в jpg файл и установить его в качестве иконки профиля пользователя. Есть два варианта получения фото из AD: с помощью командлета Get-ADUser из модуля ActiveDirectory (этот модуль должен быть установлен на всех компьютерах через RSAT, или достаточно скопировать необходимые файлы модуля RSAT-AD-PowerShell без установки RSAT). Чтобы скрипт был универсальным и корректно работал в том числе на Windows 7, мы не будем использовать модуль RSAT-AD-PowerShell, а обратимся к AD через класс ADSISearcher.

Пример скрипта SetADPicture.ps1 для получения фото пользователя из AD и установки его в качестве аватары аккаунта Windows представлен ниже:

Скрипт получает значение атрибута thumbnailphoto текущего пользователя из Active Directory AD и сохраняет фото в каталог C:\Users\Public\AccountPictures\{SID пользователя}. В каталоге будут содержаться графические файлы с разными разрешениями (от 32×32 до 448×448 пикселя) под разные форматы элементов интерфейса Windows 10: image32.jpg, image40.jpg и т.п.

Привязка фотографий к профилю пользователя осуществляется в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users\{SID пользователя}.

Как установить RSAT в Windows 10

Данный набор компонентов пригодиться в первую очередь тем пользователям, которые должны администрировать сервера или хотят получить практический опыт в этом виде деятельности. Перед тем, как начинать скачивание и установку RSAT нужно удостовериться, что ваш компьютер соответствует определённым требованиям, всего их два основных:

  • Операционная система версии выше Home. В идеале у вас должна быть версия ОС Pro или Server;
  • Устройство работает на базе не ARM-процессоров. Узнать, относится ли ваш процессор к этому типу можно, просмотрев его основные характеристики.

Этап 1: Установка RSAT

Если всё по характеристикам хорошо, то можете приступать непосредственно к процессу установки:

Выполните запуск скаченного ранее дистрибутива. Откроется окошко, где вам нужно будет согласиться с установкой пакета обновлений KB2693643. Дело в том, что RSAT устанавливается в Windows в качестве пакета обновлений.

Установщик выдаст вам лицензионное соглашение, с которым требуется согласиться. Желательно его прочитать хотя бы частично перед этим.

Затем начнётся сам процесс установки. От вас, как от пользователя никаких действий не понадобится на протяжении всего процесса. Как правило, это занимает не очень много времени, хотя зависит от больше от индивидуальных характеристик компьютера.

Этап 2: Активация функционала

По умолчанию Windows самостоятельно активирует нужный функционал. После этого у вас должны появиться в «Панели управления» соответствующие разделы, которые показаны на скриншоте ниже.

Однако иногда во время установки может происходить сбой, из-за которого нужные инструменты не активируются или активируются неправильно. Если вы столкнулись с данной проблемой, то попробуйте проделать следующие действия:

  1. Откройте «Панель инструментов» любым удобным для вас способом. Например, это можно сделать, воспользовавшись поиском по системе или с помощью одноимённого пункта в меню «Пуска».

В «Панели управления» установите напротив «Просмотр» значение «Крупные значки» или «Маленькие значки».


С этим читают