ITСooky

IT-рецепты съедобные и не очень!

[не]Развертываем офисную сеть на Windows Server 2019

дата 28.08.2019

Смотрю я тут курсы всякие и по Windows Server тоже. И подумал, а почему бы не поставить на виртуалке и не погонять. Раньше это просто было и совсем легально, был какой-то образовательный сайт у майкрасофт там можно было спокойно скачать пару месяцев попользоваться. Сейчас такого нет, но если у вас есть фирма то можно скачать и попробовать тоже пару месяцев… так-то нет у меня фирмы, но мой паспорт пользуются популярностью, сотрудники Beeline в другом городе на него даже симку выдали, так что может у меня и фирма есть, поэтому майкросфот я качаю как фирмачь чтобы попробовать!

Вот тут качаю Windows Server 2019 в нем 180 дней на попробовать, и не важно что напишешь в полях твое имя и название твоей фирмы
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2019

А тут качаю Wibdows 10 Enterprise, именно Интерпрайз только у него есть 90 дней на попробовать
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-10-enterprise
Одно из сомнительных преимуществ Интерпрайз над Про… обновления сначала поступают на Про, а если криков ужаса не поднимается то идет потом на Интерпрайз! И их там можно отключить, совсем, по честному, чтобы никогда, но для этого нужно особую версию покупать!

По мотивам Развертываем офисную сеть на Windows Server 2012 R2

ОСТОРОЖНО: Эта статья примечательно тем что, то что у меня работало на Windows Server 2012 с Windows 8.1 не заработало на Windows 2019 с Windows 10

Ставим Windows Server 2019
Ставлю себе VirtualBox и там делаю пустую виртуалку с настройками «прочие Windows 64», остальные настройки такие, в сети два адаптера один внешний в реальную сеть, другой в вирутальную

Вставляем в виртуальный оптический привод ISO и понеслась, выбираем сервер с Десктопом

И дальше как обычно… а ну только с паролем смешно получилось! Я сначала установил версию без Десктопа и там надо было вводить пароль. Смени пароль пжаста, выбираю ОК нажимаю энтер, ввожу пароль нажимаю энтер, энтер, ЭНТЕР неее надо нажать стрелочка вниз!!! Оно хоть и без Десктопа, и как бы консоль, но ввод пароля работает как на Десктопе, чтобы ввести пароль второй раз нужно нажать стрелочку… по-моему очень смешно! Консольный юмор! Пароль кстати должен быть сложным поэтому традиционно будет QWErty123

Установилось и ААААААААААААААА! «Спокойно, Маша, это» Сервер, хоть и выглядит как десятка!


Ставим контролер домена

Устанавливает совершенно банально выбираем роль Active Directory Domain Services в Add roles and features в Server Manager Dashboard

вот тут иногда местами будет красненько, это потому что это окошко раньше сервисов иногда(всегда) стартует!

Все стандартно ставится Next > Next, после чтобы уже начать настраивать DC надо вот сюда в оповещательные сообщения нажать

Здесь вводим имя домена и выбираем новый лес

Тут узнаем что Windows server 2019 нифига не 2019 а все еще 2016

Перезагрузился и запустил, ну и забуду пока про него! Пропишу айпишники на двух интерфейсах, казалосьбы можно это сделать там где видны подключения, но нет надо искать тоже самое место но в старом дизайне только там можно

Первый будет внешний 192.168.1.99 смотрит в реальную сеть, второй будет внутренний 10.20.30.1 смотрит в виртуальную!

Навастриваем DNS
А он установился вместе с AD DC. Идем в него с окна Server Manager > tools > DNS нажимаю на имя свервера и в Properties и делаю чтобы слушал DNS только на внутреннем интерфейсе.

Там же зайду в Forwarders тут нажму Edit и увижу кто реально из DNS работает

Удаляю неработающие и добавляю dns google 8.8.8.8 и 8.8.4.4. Пока всё, с зонами потом будем хулиганить!

Настраиваю DHCP и Routing
Надо установить две роли DHCP иииии Remote access под этим именем прячется то что нужно, жмем Next и когда дойжет до Role servers(под Remote access) ставим галочку на Routing, он не установится без VPN, а VPN не установится без майкрасофтского вебсервера — нашли все таки как впарить свой никем не используемый вебсервер!!!

Дозакончить установку DHCP надо опять через выплывающие предупреждение, там тоже next

В Tools выбираем DHCP. На IPv4 жмем правой мышью и выбираем добавить область New scope

Тут только задаю диапазон

Далее нажимаем на нашу область правой мышью и выбираем Activate

в разделе Scope Options прописываю в Router и DNS Servers 10.20.30.1 их и будет выдавать

незабываем нажимать Add

Настраиваю Routing
В Tools и выбираем Remote Access тут ничего не настроено, предлагает настроить, на странице выбираем последнее Custom configuration на следующей NAT. Пока всё

Устанавливаю Windows 10
На вируталке все по умолчанию, только в Network будет один адаптер Internal network под темже имянем что и у сервера intnet — это значит что они оба на виртуальном свиче intnet

Десятка получает IP и интернет сайты тоже открываются, но только удивительно медленно… хотя почему удивительно…

Блокируем нежелательные сайты в DNS
Да можно технически, но это неудобно, так что это должен быть ну очень нежелательный сайт, например vk.com! Прежде всего убираем из DHCP из основного интервала для раздачи гуглевские DNS! Потом добавляем на нашем DNS сервер Forward lookup zone > Add new zone все по умолчанию до Zone name тут пишем домен второго уровня блокируемого сайт (имя.ком).

Добавляем в эту новую зону новую A запись New Host вот так, правой мышкой на vk.com и там есть добавить A или AAAAAA. Если этого не сделать будет просто ошибка соединения, а если сделать то хотя бы по http вместо vk будет открываться сайт IIS (не знаете что это? Да никто не знает — это вебсервер майкрасофт)

Но что делать если после отключения vk.com завхоз перестал с нами делиться неучтенкой и бизнес критическими слухами. Выход есть. В DHCP в нашем первом интервале создаем Reservations

Тут прописывам IP который сейчас свободен и MAC адресс завхоза!

Потом кликаем на эту запись и редактируем DNS который выдает, делать это надо нажав правой мышкой на запись слева, если тыкать на запсиь DNS справа ничего не даст отредактировать!

Оставляем только ДНС гуггля!

Проверяем на завхозе

Ну вот, коммуникация с завхозом налажена, это будет способствовать увеличению продуктивности решения бизнес задач ням!… с локальными хостами, только надо будет что-то решать, можно их на его компе в hosts прописать если вдруг понадабятся!

Устанавливаем второй Windows Server 2019
Просто устанавливаем, прописываем статический IP, и вводим в домен! Перезагружаемся и на первом сервере добавляем его в Server Manager через Manage > Add Servers

Это позвалит с первого сервера ставить роли на второй! Вот так его выбираем на установке ролей

Отказоустойчивый DHCP
Ставим на первом сервере, для второго DHCP роль, и на сообщение о конфигурирование DHCP на втором сервере тоже жмем на первом… круто!

На первом сервере идем в настройки DHCP и правой мышкой нажимаем на диапазоне и там Configure Failover

Далее, выбираем второй сервер вот так

Настройки, как на картинке, внизу ввожу кодовое слово(при таких настройках оно как бы не нужно, а при других нужно для управления другими серверами). Диапазон поделится на 50% и каждый сервер будет отдавать свою часть.

ОСТРОЖНО: Я думал что теперь достаточно Scope Options отредактировать на одном сервере и он поменяется на втором — НЕТ не поменяется!

Интересный факт, если отключить Failover то диапазон останется на том сервере на котором отключил Failover, а с другого удалится… я просто ожидал обратного!

Вводим компьютеры в домен и GPO
Сначала GPO, в Server Manager > Tools > Group Policy Management правой мышкой на Group Policy Objects>New придумываем свое имя, у меня ITCAllUsers

Затем жмем на имя своего сервера и выбираем Link an existing GPO указываем тут свое новое GPO. Это важно потому что GPO будет применятся с приоритетом, еще раз нажмем на имя своего сервера и справа увидим какие политики примянется, поднимем свою новую выше

Потом уже на этом имяни правой мышкой Edit

И тут можно чего-нибудь…

Добавляю пользователя
В Server Manager > Tools > Active Directory Users and Computers жмем как на картинке

Добавляю там же группу Office Users
Добавляю в него этого пользователя
А так же добавляю в эту группу компьютер(важно, он появится в компьютерах после ввода оного в домен)… GPO состоит из двух частей, одна применяет к ПК другая к Юзеру, и уменя получилось так что если Юзер в группе на которую действует GPO, а ПК нет, то GPO вообще не срабатывает… сам понимаю что так не должно быть, но вот так оно!
Все ухожу отсюда

В Server Manager > Tools > Group Policy Management оставляю только Office Users а Authenticated Users убираю

На сервере делаю
gpupdate /force

На клиенте тоже можно так сделать, но ниразу не помогло, лучше ребут, или релогин!

Добавляю через GPO сетевой диск
У меня уже есть шара на сервере которая поделена с группой Office Users
Поэтому залезаю в свой GPO под имяни ITCAllUsers и делаю как на картинках, в тех же самых местах

И настройки шары

Даже можно сказать что сразу заработало, после перезагрузки клиента, после пары часов угробленных на расследование почему вообще новое GPO не срабатывало!

Добавляю через GPO сетевое обнаружение
Не работает! Вот есть долгая и мутерная инструкция www.technig.com/enable-network-discovery-via-group-policy/ а все равно не работает! Двигаю дальше, дальше будет понятно в каком месте не сработало, но непонятно как заставить работать!

Добавляю всем через GPO сетевой принтер
Сначала скачиваю на другом компьюетер драйверы, и кладу его на шару на севрере. Устанавливаю сетевой принтер на серевере. Через новое меню неработает

Через старое место работает — принтер сетевой из другой сети, ройтинг работает нормально! Сразу расшарю его, при установки

В свойствах принтера, во вкладке Share > Additional drivers добавляю какие есть, чтобы клиентам было удобнее ставится

Тут же в Security добавляем группу Office Users чтобы эта группа печатала

Идем свое GPO и там в GPO User Configuration > Preference > Control Panel… > жмем правой мышь на Printer и New > Заполняем — тут важно везде писать ХОСТ сервера а не доменное имя, а то совсем работать не будет

Так же надо разрешить юзерам подключатся к серверу идем в User Configuration > Policies > Administrative Templates > Control Panel > Printers и доводим Point and Print Restrictions до вида

Сделал обновление GPO и на сервере и клиенте. И смотрю на клиенте в Event viewer принтер пытается накатиться с GPO но какаято неадекватная ошибка с драйверами, говорит не те… хотя они под windows 10 одни других нет

У меня этот принтер с Winndows Server 2019 и Windows 10 не заработал, работал отлично на Windows Server 2012 и Windows 8.1 — но инструкция правильная!

Не ставлю DFS
На самом деле поставил, даже процесс описал, а потом стало понятная что нафиг оно не нужно. Distributed File System — красивое название, я даже подумал что это типа одна сетевая шара которая живет на нескольких серверах в сети по типу RAID — нет вообще не так. DFS просто реплицируют одну папку на Windows Servere вдругую, и делает это фигово (по отзывам), сетевыми возможностями для шаринга не обладает, в качестве бекапа тоже не пригодна… за чем она, не понятно! Вообще то я взялся за эту фичу, потому что думал она как то связана с хранением всех папок пользователей на сервере, чтобы он садился за любой комп и получал все свое… и она как-то связана, но совсем не очевидно…

Ставлю WSUS
Вот это полезный сервис. Будет выкачивать апдейты и отдавать компам в локальной сети на которых по GPO будет прописано брать их только у этого сервера — плюс в экономии трафика, и надежда побороть всегда не вовремя вылезающие обновления. Ставить буду на второй сервер(который в домене, важно потому что DNS), через Add roles and features в Server Manager Dashboard добавляю роль Windows Server Update Services

Далее поумолчанию. Если есть старые Windows 7 или 8 надо еще поставить Net framework 3.5. На странице где спрашивают куда качать вводим путь существующий папки, вручную, браузить нельзя!

После установки, в уведомлениях надо нажать на новое сообщене о настройки нового сервиса, и он сам что-то еще донастраивает. Долго.

Чтобы все было по модному, надо наш WSUS пользовать через https, для этого сделаем SSL сетификат. Для этого запустим Server Manager > Tools > Internet Information Services (IIS) Manager там выберем Server Certificates и с правого бока Create Self-Signed Certificate — имя свое, тип Web Hosting

Теперь там же в Internet Information Services (IIS) Manager нажимаем слева на Sites > WSUS Administrations и с права на Bindings

Выбираем https и жмем edit, тут снизу выбираем наш новый сертификат, его можно посмотреть тут же View и перепечатать от туда хост нейм

Там же Sites > WSUS Administrations жму на SSL Settings и ставлю галочку чтобы всегда

Все теперь полное SSL

Идем теперь в Server Manager > Tools > Windows Server Updates Service коннектимся к нашему WSUS серверу

При первом запуске начинается настройка — далее поумолчанию и по желанию. После того как удаться подконектится(долго, очень долго) к севрверу Майкрософт можно выбрать язык и для чего качать апдейты и какого типа аптдейты. Выбираю все где есть Windows 10 а это моного пунктов, и только важные апдейты вот эти

В конце соглашаюсь на первую синхронизацию… это еще более долгий процесс!

Тут же основном окне слева, добавляю групуп в Computers > All Computers правой мышкой

Теперь иду на первый сервер и редактирую GPO в Server Manager > Tools > Group Policy Management которая у меня называется ITCAllUsers. В Computer Configuration > Administrative Templates > Windows Components > Windows Update довожу следующие записи до вида

Configure Automatic Updates

Обновления будут ставиться каждый четверг в 10:00

Specify intranet Microsoft update service location

Тут указываем наш WSUS сервер

Do not connect to any Windows UPdate Internet locations
Это просто включаем, говорят это даже отключает магазин Майкрософт

Enable client-side targeting

Тут прописывает в какую группу апдейта будут попадать эта группа, ранее во WSUS делал группу Windows10

Ииии… должно бы было уже работать, но нет — дальше будет полезная информация по диагностики проблемы, но не по её решению!

Сначала ядумал что проблема в SSL сертификете, и действительно захожу на
https://winserver2019-2.itcooky.server:8531
И edge ругается что не доверяет! Но это лечится!

На втором сервере на котором делале сертификат экспортируем его

И закидываем на первом серевре в основое новое GPO в место Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities и после этого доменные виндовс компы перестают ругаться на недоверие к сайту…

и это странно, потому что часть этого GPO в разделе Computer Configuration вообще не срабатывает!!!!!

В прошлом Windows Servere была команда посмотреть что там с WSUS, но майкрософт её выпилила, но теперь понятно что проблема то в GPO так что буду смотреть в него!

На Windows 10 в консоле исполняем
gpresult /h gptest.html
В папке юзера появляется это файл, открываем его и в поле Computers Details пусто, а вполе Users Details все правила которые прописывались ранее.

можно еще проще посмотреть
gpresult /r
Если есть в вводе Computer Settings то они применились, если нет то нет

Оказалось это широко известная проблема, лечится фразой «You need to link the GPO to the OU that contains the workstations» пихал в одно OU, потом в другое OU, не, не помогает!!!

Однако прописал WSUS правила в Local Computer Policy на Windows 10 компе. WSUS — работает! Комп хоть и не появляется в группу Windows 10, как должен был бы, ну хоть просто появился!

До кучи всего WSUS накачал, если одобрить апдейты должен в четверг ставить