Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Terminal Server на Windows 2016 (часть 3).

РОЛЬ УДАЛЕННЫХ РАБОЧИХ СТОЛОВ настроена, необходимо разрешить ПОДКЛЮЧЕНИЕ К ТЕРМИНАЛЬНЫМ СЕССИЯМ ПОЛЬЗОВАТЕЛЕЙ БЕЗ ИХ РАЗРЕШЕНИЯ НА ЭТО.

Задача: Настроить удаленное подключение на терминальном сервере к RDP сеансу пользователя.

Это можно сделать и руками, например, у каждого пользователя, имеющего доступ на терминальный сервер, можем снять вот эту галку: Запрашивать разрешение пользователя.

Если таких пользователей много, то это утомительно и долго…

Поэтому снова обращаемся в GPO.

Создаем отдельную политику TerminalUsers.

Связываем ее с необходимой OU, добавляем тех, кому это необходимо.

Далее правим:

Конфигурация пользователя-Административные шаблоны-Компоненты Windows-Службы удаленных рабочих столов-Узел сеансов удаленных рабочих столов-Подключения

 

gpupdate /force

Далее пробуем на сервере подключиться к RDP сессии пользователя:

Диспетчер серверов-Службы удаленных рабочих столов-Коллекции-1C-RDP

 

Если у удаленного пользователя стол заблокирован, то сможем видеть просто черный экран, если разблокирован, то его рабочий стол. После обновления GPO, cогласие пользователя на подключение к его сессии больше не требуется.

Всем хорошей работы!!!

 

19.09.2019 Posted by | ms windows 2016 | Комментарии к записи Terminal Server на Windows 2016 (часть 3). отключены

Active Directory траблешутинг. Зачищаем данные от нашего старого «битого» dc1 (часть 5).

На праздниках было время, решил закончить траблешутинг и наконец уже начать работать с рабочей тестовой инфраструктурой.

В предыдущей части понизили контроллер домена до обычного сервера, теперь зачищаем базу AD.

Никогда ранее не сталкивался с тем, чтобы DC упал до такой степени, когда восстанавливать его приходится вот таким образом, ранее всегда удавалось обойтись «малой кровью», ни на каких курсах или экзаменах с таким вариантом тоже не сталкивался. Ну все когда-то бывает в первый раз 🙂

https://www.gotoadm.ru/removal-of-the-failed-domain-controller-from-active-directory/

В этом нам поможет NTDSutil:

  • необходимо выполнить вход на работающий контролер домена под учетной записью администратора
  • запустить командную строку (cmd) и запустить утилиту ntdsutil
  • в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
  • далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
  • теперь нужно подключиться к нашему исправному контролеру домена командой connect to server dc2, где dc2 — наш исправный DC
  • набираем quit и нажимаем ввод — появляется приглашение на очистку данных
  • введите select operation target
  • далее — list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
  • select domain 0 (или ваше число)
  • list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
  • select site 0 (или ваше число)
  • следующая команда — list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
  • select server 1 или 0 (т.е. ваше число).
  • quit — появится приглашение на очистку метаданных
  • remove selected server и нажмите Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»).
  • введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil

Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit.

Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем. В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера DC1.test.loc (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения  щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста DC1 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите  намерение удалить запись. Теперь запись DNS, соответствующая серверу DC1, удалена. Закройте консоль DNS.

Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:

  • Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=DC1 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта dc1 в контексте именования домена на Active Directory больше нет.

  • Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта  CN=DC1, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта DC1. Закройте консоль ADSIEdit.

Процедура по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании) выполнена. В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.

*Только после проделанных операций стоит продолжать настройку нового, в моем случае, Primary DC (хотя сейчас роль PDC у меня теперь выполняет DC2)! (обратите на это внимание, так как без этих манипуляций, новый контроллер с таким же именем, вместо старого, поднять не удастся, на определенном этапе при развертке, он просто покажет ошибку и благополучно уйдет в гидростопор). 

Продолжение следует…

Всем хорошей работы!!!

14.05.2019 Posted by | ms windows 2016 | 1 комментарий

Active Directory траблешутинг. Понижаем DC1 до обычного сервера (часть 4).

В предыдущем повествовании, перенесли ЦС. Понижаем наш «битый» dc (напомню, «битый» это у нас dc1), до обычного сервера.

Ранее мы уже смигрировали ЦС и удалили его на данном контроллере, поэтому такой надписи уже не появится. Ну а если ранее этого не сделали, придется сделать, иначе контроллер не понизить без проблем.

Но у нас в этом плане все в порядке, поэтому можем понизить контроллер:

И снова, теперь уже другая, ошибка при попытке понизить контроллер:

В идеальных условиях такой ошибки не возникнет, но так, как у нас данный контроллер «битый», соответственно выпадает вот такое окно (эта же ошибка была одной из при диагностике репликации и работоспособности контроллера).

Для того чтобы возможность понизить все же появилась, останавливаем вот эту службу принудительно.

Если есть тяга более детально погрузиться в процесс, вот здесь можно почитать для чего она необходима (благодарю коллег за интересный пост о аутентификации Kerberos):

https://dimanb.wordpress.com/2012/10/20/kerberos-02/

И снова пробуем понизить.

На этот раз все без проблем. Контроллер понижен, но это не значит, что не осталось его следов в базе AD, но это тема последующих повествований.

Продолжение следует…

Всем хорошей работы!!!

23.04.2019 Posted by | ms windows 2016 | Комментарии к записи Active Directory траблешутинг. Понижаем DC1 до обычного сервера (часть 4). отключены