Предварительные действия

Перед началом переноса БД рекомендую перезагрузить все задействованные серверы, чтобы на них не было никаких отложенных установок обновлений операционной системы и приложений.

Необходимо проверить, что на новом SQL сервере выданы права администратора для учетной записи сервера SCCM.

Также не лишним будет проверить текущие настройки на самой БД SCCM. Для этого выполните запрос, подставив вместо CM_PIT имя своей базы:

select name, collation_name, is_trustworthy_on, is_broker_enabled, is_honor_broker_priority_on from sys.databases where name = ‘CM_PIT'

Вывод показывает, что SQL Broker включен, значения trustworthy и honor_broker_priority включены.

Еще одним подготовительным шагом будет остановка службы SCCM. Для этого необходимо выполнить команду, и дождаться остановки всех служб сайта:

C:\Program Files\Microsoft Configuration Manager\bin\X64\00000409\preinst.exe /stopsite

Резервное копирование базы данных SCCM

Открываем Microsoft SQL Server Management Studio, находим в списке базу данных SCCM, и в разделе Tasks, выбираем создание резервной копии Back Up.

На следующем экране укажите путь, где будет сохранена база данных.

Восстановление базы данных SCCM на новом SQL сервере

Перед восстановлением БД нужно проверить, что на новом сервере SQL значение Server Collation соответствует SQL_Latin1_General_CP1_CI_AS. Для этого в консоли Microsoft SQL Server Management Studio откроем свойства сервера SQL:

Далее на SQL Server выбираем раздел Database и выбираем Restore Database.

На следующем шаге необходимо выбрать ваш файл с бэкапом БД.

На вкладке Files можно указать новое расположение файлов базы данных и лог-файлов.

Теперь можно запускать процесс восстановления базы данных.

Следующим шагом будет предоставление прав для учетной записи нового сервера на перенесенную базу данных. Слева у меня новый сервер, справа — старый. Нужно предоставить аналогичные права.

На вкладке User mapping для БД SCCM нужны следующие права: db_datareader, db_datawriter, db_owner, public.

Для БД master: db_datareader, db_datawriter, db_owner, public. 

Далее опять проверяем настройки базы данных, и вывод SQL запроса будет отличаться — скорее всего у вас будут нули во всех значениях.

select name, collation_name, is_trustworthy_on, is_broker_enabled, is_honor_broker_priority_on from sys.databases where name = ‘CM_PIT'

Поправим это следующим запросом:

USE master
ALTER DATABASE CM_PIT SET ENABLE_BROKER
ALTER DATABASE CM_PIT SET TRUSTWORTHY ON
ALTER DATABASE CM_PIT SET HONOR_BROKER_PRIORITY ON

После выполнения запроса можно еще раз убедится, что теперь во всех полях значения изменили на единички как нам и нужно.

Перенастройка SCCM на использование новой базы данных

После переноса БД настроим сам сервер SCCM. Для этого запустите C:\Program Files\Microsoft Configuration Manager\bin\X64\setup.exe и выберите Perform site maintenance or reset this site.

На следующем шаге выберите Modify SQL Server configuration.

На следующем экране указываем SQL Server name в формате FQDN и Instance name. Я использую Instance name, которое задавалось по умолчанию, поэтому поле оставляю пустым. Нажимаем Next и ждем завершения всех операций по смене сервера.

Нажимаем Next и ждем завершения всех операций по смене сервера.

Перезагрузите сервер SCCM, а затем в настройках Administration — Site Configuration — Servers and Site System Roles посмотрите, что появился ваш новый SQL сервер. На этом перенос базы данных SCCM/MECM закончен.

Требования для установки

С полным перечнем требований можно ознакомиться в официальной документации, ниже я приведу список ПО, которое я буду использовать для установки.

• Операционная система: Ubuntu 22.04 LTS
• База данных: MariaDB 10.6
• Веб-сервер: Apache 2.4 with mod_php or php-fpm
• PHP: версия 8.2

Итак, операционная система установлена, приступаю к установке БД.

Установка NextCloud

Для начала обновим текущие и установим необходимые пакеты для инсталляции: веб-сервер Apache, базу данных MariaDB и различные модули для PHP:

sudo apt update && sudo apt upgrade

sudo apt install apache2 mariadb-server libapache2-mod-php php-gd php-mysql php-curl php-mbstring php-intl php-gmp php-bcmath php-xml php-imagick php-zip

Имейте в виду, что при этом будут установлены пакеты для базовой системы Nextcloud. Если вы планируете использовать дополнительные приложения и плагины, то для них могут потребоваться дополнительные пакеты.

Чтобы двигаться дальше, нужно проверить, что наша сервер БД запущен и работает. Для это выполните команду:

sudo systemctl status mariadb

Выполним первоначальную настройку сервера MariaDB:

sudo mysql_secure_installation

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current
password for the root user. If you've just installed MariaDB, and
haven't set the root password yet, you should just press enter here.

Enter current password for root (enter for none):
OK, successfully used password, moving on...

Setting the root password or using the unix_socket ensures that nobody
can log into the MariaDB root user without the proper authorisation.

You already have your root account protected, so you can safely answer 'n'.

Switch to unix_socket authentication [Y/n] n
 ... skipping.

You already have your root account protected, so you can safely answer 'n'.

Change the root password? [Y/n] n
 ... skipping.

By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] n
 ... skipping.

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] n
 ... skipping.

By default, MariaDB comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] y
 - Dropping test database...
 ... Success!
 - Removing privileges on test database...
 ... Success!

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] y
 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!

Далее нужно создать пользователя базы данных и саму базу данных, используя интерфейс командной строки MySQL. Таблицы базы данных будут созданы Nextcloud при первом входе в систему. В нижеприведенных командах вам нужно указать любые свои имя пользователя и пароль вместо nextclouduser и Qwerty123.

sudo mysql
CREATE USER 'nextclouduser'@'localhost' IDENTIFIED BY 'Qwerty123';
CREATE DATABASE IF NOT EXISTS nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
GRANT ALL PRIVILEGES ON nextcloud.* TO 'nextclouduser'@'localhost';
FLUSH PRIVILEGES;
exit

Теперь все готово к установке Nextcloud. Скачиваем самую последнюю версию и распаковываем ее:

wget https://download.nextcloud.com/server/releases/latest.tar.bz2

tar -xjvf latest.tar.bz2

Затем переместим распакованное приложение директорию /data.

sudo cp -r nextcloud /data

Чтобы Apache мог корректно обрабатывать все вложенные файлы, необходимо сменить владельца каталога /data/nextcloud.

sudo chown -R www-data:www-data /data/nextcloud

Настройка веб-сервера Apache

Далее нам необходимо настроить Apache. Для начала создадим файл /etc/apache2/sites-available/nextcloud.conf с настройками виртуального хоста.

<VirtualHost *:80>
  DocumentRoot /data/nextcloud/
  ServerName  cloud.proitclub.ru

  <Directory /data/nextcloud/>
    Require all granted
    AllowOverride All
    Options FollowSymLinks MultiViews

    <IfModule mod_dav.c>
      Dav off
    </IfModule>
  </Directory>
</VirtualHost>

В качестве доменного имени я указал cloud.proitclub.ru и каталог с сервером /data/nextcloud. Измените эти значения на ваши имена сервера и каталога. Для сохранения изменений и запуска сайта выполните следующие команды:

sudo a2ensite nextcloud.conf
sudo systemctl reload apache2

Дополнительно нужно активировать несколько модулей Apache, которые необходимы Nextcloud для корректной работы:

sudo a2enmod rewrite
sudo a2enmod headers
sudo a2enmod env
sudo a2enmod dir
sudo a2enmod mime
sudo systemctl restart apache2

Для продолжения установки необходимо подключиться к серверу через веб-интерфейс по адресу, который вы указали в настройках выше. В моем случае это http://cloud.proitclub.ru. На данный момент у нас еще не установлен SSL сертификат, поэтому мы используем протокол HTTP для доступа к нашему хранилищу. В дальнейшем мы установим SSL сертификат от Let’s Encrypt.

При входе на сервер через браузер отобразится стартовое окно, в котором  нужно указать параметры подключения к базе данных и расположение дистрибутива сервера NextCloud. Создадим учетную запись администратора, а также укажите название БД, пользователя и пароль, которые мы заводили на этапе настройки MariaDB. При необходимости также можете поменять каталог, где будут размещаться пользовательские данные.

После завершения установки у вас появится окно со списком рекомендованных приложений к установке. Я пока пропущу этот этап.

И, наконец, на следующем шаге мы попадаем на главную страницу сервера NextCloud.

Установка SSL сертификата Let’s Encrypt

Для полноценной работы сервера Nextcloud по протоколу HTTPS и шифрования трафика выпустим и установим бесплатный TLS-сертификат от Let’s Encrypt. Для начала установим утилиту certbot, которая автоматически выпускает и обновляет TLS-сертификаты.

apt-get install python3-certbot-apache -y

Запросим сертификат с помощью команды (не забудьте в параметре указать свое доменное имя):

certbot --apache -d cloud.proitclub.ru

Далее Certbot попросит ввести адрес электронной почты и согласиться с условиями использования. На этот адрес будут приходить письма с информацией об окончании срока сертификата. Сертификаты Let’s Encrypt действуют 90 дней.

После установки сертификата перезапустим службу:

service apache2 reload

Настройка интеграции Nextcloud с Active Directory

Профили пользователей Nextcloud могу храниться как во внутренней базе данных, так и во внешней. Например, можно настроить сервер для получения списка пользователей из Active Directory.

Для настройки нам потребуется модуль PHP LDAP, установить его можно следующей командой:

sudo apt install php-ldap

Также нам потребуется учетная запись в Active Directory, которая будет использоваться для подключения к каталогу, я сделал nextcloud_user.

Далее нам нужно включить приложение для интеграции с Active Directory. Для этого в графическом интерфейсе переходим в Приложения

Затем переходим в Параметры сервера — LDAP/AD интеграция. Указываем имя сервера и нажимаем Определить порт. Если возникли проблемы с определением порта, то можно указать его вручную. Далее указываем имя и пароль пользователя, которого я создан ранее, и нажимаем Сохранить учетные данные. Для поиска пользователей и групп можно указать базу поиска вручную, либо нажать Определить базу поиска DN. Затем нажать Проверить базу поиска DN, и убедится, что Конфигурация в порядке.

Нажимаем Продолжить и попадаем на экран Пользователи. Здесь можно добавить класс объектов user как показано на скриншоте ниже. Также здесь можно указать группу в AD, члены которой смогут иметь доступ к серверу с NextCloud.  И жмем кнопку Продолжить.

На следующем экране мы можем задать поле, которое отвечает за логин. По умолчанию выбрано имя пользователя в Active Directory, но вы можете выбрать и другие атрибуты. Нажимаем Продолжить.

На следующем экране можно указать фильтр для групп или оставить все по умолчанию.

По умолчанию внутреннее имя пользователя будет создано на основе атрибута UUID. Для того, чтобы имена пользователей отображались в привычном для нас виде нужно выбрать справа сверху пункт Эксперт, и ввести sAMAccountNameв поле Атрибут для внутреннего имени.

На этом настройка сервера с NextCloud завершена, и можно пользоваться файловым хранилищем.

Мы установили и настроили облако Nextcloud на собственном сервере. Установили все необходимые зависимости, подготовили MariaDB и Apache к установке, защитили сервер бесплатным SSL-сертификат от Let’s Encrypt для шифрования трафика.

Напомню, что моя тестовая среда состоит из следующих серверов:

1. SRV-DC01: котроллер домена;
2. SRV-SQL: сервер с БД для MECM/SCCM на базе MS SQL Server;
3. SRV-SCCM: сервер, на который мы и будем устанавливать Stand-Alone Primary site.

На всех серверах установлена операционная система MS Windows Server 2022 Standard, на контроллере домена и сервере БД операционная система в редакции Core.

1. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Обзор продукта.
2. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 1. Подготовка инфраструктуры.
3. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 2. Установка необходимых компонентов.
4. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 3. Установка Stand-Alone Primary site сервера.

Проверка установленных компонентов

Перед запуском установки MECM/SCCM есть возможность проверить с помощью специальной утилиты все ли роли и компоненты установлены. Хотя сам установщик MECM также может проверить отсутствующие компоненты, я все же предпочитаю сначала использовать утилиту проверки. Так как если окажется, что вы пропустили установку какого-либо компонента, то вам придется заново запускать инсталлятор MECM и проходить все его шаги повторно.

Для того, чтобы запустить инструмент проверки откройте командную строку от имени администратора, перейдите по пути «.\SMSSETUP\BIN\X64»  и выполните следующую команду: Prereqchk.exe /AdminUI

Если вы ничего не пропустили и все настроили корректно, то утилита покажет вам, что все в порядке и можно продолжать установку.

Если у вас появились ошибки или предупреждения, то необходимо устранить их прежде чем начинать установку MECM.

Установка Microsoft Configuration Manager (MECM/SCCM)

Если на предыдущем шаге у вас не возникло ошибок, то все готово к запуску установки. Запустите Splash.hta  выберите Install.

Выбираем установку Configuration Manager Primary Site и нажмите Next.

Введите ключ продукта и нажмите Next.

На следующем экране прочитайте и примите лицензионные соглашения и нажмите Next. Далее на экране предварительной загрузке компонентов укажите папку, нажмите Next и дождитесь окончания загрузки.

На экране выбора языков, на которых будут отображаться консоль администрирования и отчеты, поставьте галочки напротив нужных вам языков. Вы всегда сможете изменить набор языков, запустив повторно установку продукта и выбрав опцию Perform Site Maintenance.

На следующем экране укажите языки для отображения сообщений для пользователей и клиентский приложений, например, Software Center (Центра приложений).  Вы всегда сможете изменить набор языков, запустив повторно установку продукта и выбрав опцию Perform Site Maintenance.

На экране Site and Installation Settings введите Site Code (Код сайта) — это комбинация из трех букв или цифр на ваш выбор. Код сайта будет использован в имени базы данных на SQL сервере. Также необходимо указать Site name (Имя сайта) и путь к папке, в которую будет произведена установка.

На следующем экране выберите Install the primary site as a stand-alone site.

На экране с предупреждением нажмите Yes.

На экране Database Information укажите имя вашего SQL сервера, Instance name оставьте пустым, имя базы данных сформируется автоматически, но вы можете его изменить на свое усмотрение. Порт службы брокера SQL сервера оставьте по умолчанию. Если вы его изменили при установке SQL сервера, то не забудьте открыть этот порт в файрволле.

На следующем экране укажите расположение log файлов и файлов транзакций.

На экране SMS Provider Settings оставьте предложенное имя сервера, на котором производится установка.

На следующем шаге выберите Configure the communication method on each site system role. Если у вас нет сейчас валидных сертификатов и настроенной PKI инфраструктуры, то вы сможете использовать Enhanced HTTP для коммуникации между серверами и клиентами. В дальнейшем вы сможете переключиться на использование протокол HTTPS для связи.

На следующем экране нужно указать, на какие сервера нужно устанавливать роли Management Point (Точки управления) и Distribution Point (Точки распределения). Я установлю их на этом же сервере, поэтому оставляю поля с FQDN именем моего сервера. Выбор протокола соединения нам недоступен, так как мы отказались от использования HTTPS на предыдущем шаге.

На следующем шаге Service Connection Point я рекомендую оставить настройки по умолчанию, чтобы вы могли получать обновления.

На следующем экране вам будет предложено проверить все введенные настройки, просмотрите их и нажмите Next. Далее будет запущен этап проверки установленных компонентов. В идеальной ситуации у вас все должно быть без ошибок. Если в этом окне вы все таки увидите ошибки, то их необходимо устранить перед продолжением установки. Если у вас остались только предупреждения, то их можно игнорировать. У меня присутствует непонятное предупреждение о версии Windows Server, хотя версия ОС не 2012, а 2022. Также есть предупреждения по SQL серверу: памяти у моей виртуальной машины с сервером всего 8Gb, это минимум, поэтому я и получаю такое сообщение. По Security mode —  на SQL сервере задано Windows authentication mode, но установщик упорно его не видит. Несмотря на это, продолжаем установку.

Дождитесь сообщения Core setup has completed и закройте установщик.

На этом базовая установка Stand-Alone Primary site сервера Microsoft Configuration Manager (MECM/SCCM) завершена.

Напомню, что моя тестовая среда состоит из следующих серверов:

1. SRV-DC01: котроллер домена;
2. SRV-SQL: сервер с БД для MECM/SCCM на базе MS SQL Server;
3. SRV-SCCM: сервер, на который мы и будем устанавливать Stand-Alone Primary site.

На всех серверах установлена операционная система MS Windows Server 2022 Standard, на контроллере домена и сервере БД операционная система в редакции Core.

1. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Обзор продукта.
2. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 1. Подготовка инфраструктуры.
3. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 2. Установка необходимых компонентов.
4. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 3. Установка Stand-Alone Primary site сервера.

Перед началом установки сервера сайта необходимо выполнить установку дополнительных ролей и функций на сервере, а также обновить все нужные компоненты.

Расширение схемы Active Directory

Одним из пунктов будет расширение схемы Active Directory, если вы впервые устанавливаете Configuration Manager в вашем домене. Залогиньтесь на сервер под учетной записью с правами администратора схемы (Schema Admins), откройте Powershell с повышенными правами администратора,  и запустите из установочного каталога или диска файл следующей командой:

.\SMSSETUP\BIN\X64\extadsch.exe

Если команда для расширения схемы выполнилась без каких либо ошибок, то вы получите соответствующее сообщение об этом.

Чтобы просмотреть подробнее результаты расширения схемы откройте файл Extadsch.log, который расположен в корне системного диска.

<10-17-2023 00:20:00> Modifying Active Directory Schema - with SMS extensions.
<10-17-2023 00:20:00> DS Root:CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Site-Code already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Assignment-Site-Code already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Site-Boundaries already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Roaming-Boundaries already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Default-MP already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Device-Management-Point already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-MP-Name already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-MP-Address already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Health-State already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Source-Forest already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Ranged-IP-Low already exists.
<10-17-2023 00:20:00> Attribute cn=MS-SMS-Ranged-IP-High already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Version already exists.
<10-17-2023 00:20:00> Attribute cn=mS-SMS-Capabilities already exists.
<10-17-2023 00:20:00> Class cn=MS-SMS-Management-Point already exists.
<10-17-2023 00:20:00> Located LDAP://cn=MS-SMS-Management-Point,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class LDAP://cn=MS-SMS-Management-Point,CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Class cn=MS-SMS-Server-Locator-Point already exists.
<10-17-2023 00:20:01> Located LDAP://cn=MS-SMS-Server-Locator-Point,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Class cn=MS-SMS-Site already exists.
<10-17-2023 00:20:01> Located LDAP://cn=MS-SMS-Site,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class LDAP://cn=MS-SMS-Site,CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Class cn=MS-SMS-Roaming-Boundary-Range already exists.
<10-17-2023 00:20:01> Located LDAP://cn=MS-SMS-Roaming-Boundary-Range,CN=Schema,CN=Configuration,DC=proitclub,DC=ru
<10-17-2023 00:20:01> Successfully updated class LDAP://cn=MS-SMS-Roaming-Boundary-Range,CN=Schema,CN=Configuration,DC=proitclub,DC=ru.
<10-17-2023 00:20:01> Successfully extended the Active Directory schema.

<10-17-2023 00:20:01> Please refer to the ConfigMgr documentation for instructions on the manual 
<10-17-2023 00:20:01> configuration of access rights in active directory which may still 
<10-17-2023 00:20:01> need to be performed.  (Although the AD schema has now be extended, 
<10-17-2023 00:20:01> AD must be configured to allow each ConfigMgr Site security rights to 
<10-17-2023 00:20:01> publish in each of their domains.)

В некоторых случаях вы можете получить ошибку выполнения команды расширения схемы AD. Например, ошибка «Error code = 8224», которая указывает на проблему с репликацией между вашими контроллерами домена. Проверьте, что между всеми контроллерами репликация проходит без ошибок, а затем повторно запустите команду для расширения схемы AD.

Modifying Active Directory Schema - with SMS extensions.
DS Root:CN=Schema,CN=Configuration,DC=proitclub,DC=ru
Failed to create attribute cn=MS-SMS-Site-Code.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Assignment-Site-Code.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Site-Boundaries.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Roaming-Boundaries.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Default-MP.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Device-Management-Point.  Error code = 8224.
Failed to create attribute cn=MS-SMS-MP-Name.  Error code = 8224.
Failed to create attribute cn=MS-SMS-MP-Address.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Health-State.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Source-Forest.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Ranged-IP-Low.  Error code = 8224.
Failed to create attribute cn=MS-SMS-Ranged-IP-High.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Version.  Error code = 8224.
Failed to create attribute cn=mS-SMS-Capabilities.  Error code = 8224.
Failed to create class cn=MS-SMS-Management-Point.  Error code = 8224.
Failed to create class cn=MS-SMS-Server-Locator-Point.  Error code = 8224.
Failed to create class cn=MS-SMS-Site.  Error code = 8224.
Failed to create class cn=MS-SMS-Roaming-Boundary-Range.  Error code = 8224.
Failed to extend the Active Directory schema, please find details in "C:\ExtADSch.log".

Создание контейнера System Management для MECM/SCCM

При расширении схемы Configuration Manager не создает автоматически контейнер System Management в доменных службах Active Directory . Контейнер публикует информацию о сайте в доменных службах Active Directory, и его необходимо создать один раз для каждого домена, в котором у вас есть сервер с Primary site.

Давайте создадим такой контейнер вручную. Для этого откройте редактор ADSI Edit, нажмите в меню пункт «Action» (Действия) и выберите «Connect to» (Подключиться). Выберите «Default naming context» (Контент наименования по умолчанию) как показано ниже.

Учтите, чтобы выполнить создание контейнера, ваша учетная запись должна иметь права Schema Admins (Администратор схемы).

Раскройте дерево элементов, как показано ниже,  нажмите правой кнопкой мыши на контейнере System и выберите создание нового объекта.

Выберите Container.

Введите имя контейнера System Management.

После создания контейнера необходимо настроить права доступа для учетной записи сервера сайта — SRV-SCCM. Для этого откроем свойства контейнера System Management, созданного на предыдущем шаге, на вкладке Security добавим аккаунт сервера и предоставим ему полные права.

Также необходимо отредактировать дополнительные права доступа. Нажмите на кнопку «Advanced» (Дополнительно), выберите учетную запись сервера сайта и нажмите «Edit» (Редактировать).

Выберите «This object and all descendant objects» (Этот объект и все вложенные объекты), сохраните все изменения и закройте консоль «ADSI Edit».

Создание необходимых учетных записей

В процессе установки нам понадобятся дополнительно несколько учетных записей, давайте их создадим заранее. Вы можете использовать свои названия или уже созданные учетные записи.

• SCCM-ServiceSQL — учетная запись для служб SQL Server;
• SCCM-PushInstall — учетная запись для удаленной установки агента и программного обеспечения;
• SCCM-ReportService — учетная запись для роли службы отчетов;
• SCCM-JoinDomain — учетная запись для ввода компьютеров в домен.

Обязательно добавьте учетную запись сервера сайта (Site Server) в группу локальных администраторов не тех серверах, на которых вы будете устанавливать какие-либо роли (Site Server, Distribution point, Management Point и т.д.).

Настройка правил в Windows Firewall

На сервере с SQL необходимо настроить правила в Windows Firewall для входящих подключений на порт 1433 и  для SQL Server Service Broker — порт 4022. Это можно сделать либо через графический режим, либо через командную строку. Так как у меня SQL сервер без графического режима, то я воспользуюсь командной строкой.

netsh advfirewall firewall add rule name = "SQL Server Port" dir = in protocol = tcp action = allow localport = 1433

netsh advfirewall firewall add rule name = "SQL Server Broker" dir = in protocol = tcp action = allow localport = 4022

Установка ролей и функций Windows Server

1.  Для Site Server (Сервера сайта) нам будут нужны следующие компоненты:

• Начнем с того, что по-прежнему необходимо включить  .NET Framework 3.5. Также установим последнюю доступную на данный момент версию Microsoft .NET Framework 4.8;
• Remote Differential Compression (Удаленное разностное сжатие);
• SQL ODBC driver. Начиная с версии 2309, Configuration Manager требует установки драйвера ODBC для SQL-сервера. Он требуется при создании нового сайта или обновлении существующего, так что убедитесь, что этот компонент обновлен.

2.  Для Distribution Point (Точка распространения):

• .NET Framework 3.5;
• Remote Differential Compression (Удаленное разностное сжатие);
• IIS Server:  ISAPI Extensions, Windows Authentication, IIS 6 Metabase Compatibility, IIS 6 WMI Compatibility.

3. Для Management Point (Точка управления):

• .NET Framework 3.5;
• BITS Server Extensions и все автоматически выбранные опции;
• Background Intelligent Transfer Services (BITS) и все автоматически выбранные опции;
• IIS Server:  ISAPI Extensions, Windows Authentication, IIS 6 Metabase Compatibility, IIS 6 WMI Compatibility.

4. Для Reporting services point (Точка отчетов):

• SQL Server Reporting Services. Установите SRS на сервер, на котором вы планируете развернуть точку отчетов. Это может быть сервер с сайтом MEMC как в моем случае. Скачать можно с Microsoft Download Center.

5. Для Software update point (Точка обновления программного обеспечения):

• .NET Framework 3.5 и установленная последняя версия .NET Framework;
• IIS Server: настройки по умолчанию;
• Windows Server Update Services (WSUS). Установка роли WSUS. При установке этой роли я выбрал SQL Server Connectivity, потому что я буду использовать имеющийся SQL сервер для базы данных WSUS вместо Windows Internal Database (WID).

Не буду подробно останавливаться на том, как поставить все компоненты через графический интерфейс. Покажу лишь как будет выглядеть настройка WSUS для работы с внешним SQL сервером.

Установку ролей и функций также можно выполнить с помощью команд Powershell. Для этого запустите на сервере консоль Powershell с правами администратора и выполните следующие команды:

Install-WindowsFeature Web-Windows-Auth

Install-WindowsFeature Web-ISAPI-Ext

Install-WindowsFeature Web-Metabase

Install-WindowsFeature Web-WMI

Install-WindowsFeature BITS

Install-WindowsFeature RDC

Install-WindowsFeature NET-Framework-Features -source "D:\sources\sxs"

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

Start-Process -PSPath "C:\Program Files\Update Services\Tools\wsusutil.exe" -ArgumentList "postinstall CONTENT_DIR=E:\WSUS_Content" SQL_INSTANCE_NAME="SQLSERVER\SQLINSTANCE"

После установки всех нужных компонентов я рекомендую перезагрузить сервер и еще раз выполнить поиск обновлений.

Установка ADK for Windows

Качаем последнюю версию: на момент установки это ADK for Windows 11. Также нужно установить среду Windows PE для ADK for Windows, которую можно найти по той же ссылке.

Учтите, что 32-х разрядная версия Windows PE больше не доступна. Последняя версия, которая содержала 32-х разрядную версию, это Windows PE add-on for Windows 10, version 2004.

Запускаем установку ADK for Windows, выбираем установку на этот компьютер и путь по умолчанию.

Не разрешаем компании Microsoft собирать информацию.

На следующем шаге читаем и принимаем лицензионное соглашение. После него нужно выбрать компоненты для установки. Выбираем Deployments Tools и User state Migration tool.

Затем аналогично устанавливаем Windows PE for ADK for Windows. В начале установки выбираем установки на это компьютер, не разрешаем компании Microsoft собирать информацию, принимаем лицензионное соглашение и завершаем установку.

Установка SQL Reporting Services

SQL Reporting Services нужны для установки роли служб отчетов в MECM. Если вы не планируете использовать эту роль, то можете пропустить этот шаг. Впоследствии, вы всегда сможете установить эти службы.

Скачать установщик вы можете с сайта Microsoft. Запускаем его и выбираем Install Reporting Services. 

Далее указываем ключ продукта, принимаем лицензионное соглашение и указываем папку для установки. После установки будет предложено сконфигурировать сервер отчетов. Настроить можно и позже, когда вам понадобится роль отчетов, поэтому просто закрываем установщик.

1. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Обзор продукта.
2. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 1. Подготовка инфраструктуры.
3. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 2. Установка необходимых компонентов.
4. Установка и настройка Microsoft Configuration Manager (MECM/SCCM). Часть 3. Установка Stand-Alone Primary site сервера.

Обзор инфраструктуры

В предыдущей обзорной статье о Configuration Manager я говорил, что он использует MS SQL в качестве сервера базы дынных для  хранения информация о клиентах, обновлениях программного обеспечения, инвентаризации аппаратного и программного обеспечения, настройках конфигурации сайта и еще много другой сопутствующей информации. Следовательно, одним из компонентов в нашей инфраструктуре должен быть сервер с установленным экземпляром БД MS SQL. Это может быть как отдельный сервер, так и установка базы данных непосредственно на сервер с SCCM/MECM.

У этих двух вариантов есть как свои плюсы, так и минусы. Например, если у вас уже есть SQL сервер с достаточными характеристиками для работы БД Configuration Manager, то его использование позволит вам не тратиться на оплату дополнительной лицензии. Плюсом идет возможность отдельно настраивать параметры сервера с БД для повышения быстродействия его работы.  В тоже время расположение роли сервера сайта SCCM/MECM и MS SQL на одном сервере даст максимальную скорость обмена между сервером и БД, а также возможность быстро сделать backup и восстановление в каких-либо критических ситуациях. Особенно это удобно, если у вас используются виртуальные машины. Таким образом, вы можете выбрать наиболее подходящий для вас вариант работы.

Не буду подробно останавливаться на аппаратных требованиях к компонентам системы, с ними вы можете самостоятельно ознакомиться на сайте Microsoft. Требования к оборудованию для сервера первичного сайта во многом зависят от включенных функций и того, как используется каждый из компонентов. Из собственного опыта могу сказать, что указанные требования сильно превосходят реально используемые ресурсы при работе Configuration Manager. А если вы используете виртуальные серверы, то сможете впоследствии без проблем добавить необходимы ресурсы. Ориентируйтесь на количество устройств, которые вы будете обслуживать. На, примерно, 1000 — 2000 устройств вполне хватит конфигурации 8 vCPU и 16Gb памяти с учетом установленного MS SQL сервера.

В нашей случае мы установим один Stand-Alone Primary site, на котором будут развернуты следующие роли:

• Managment Point: точка управления;
• Distribution point: точка распространения;
• Software update point: точка обновления программного обеспечения;
• Reporting services point: точка создания отчетов.

В целом, вся инфраструктура будет выглядеть следующим образом.

1. Domain Controller — котроллер домена.
2. MS SQL server.
3. MECM/SCCM Primary Site Server.

На сервере сайта я буду использовать операционную систему Windows Server 2022 Standard со всеми последними установленными обновлениями безопасности.

Основные шаги по установке Microsoft Configuration Manager (MECM/SCCM)

Таким образом можно определить основные шаги установки Configuration Manager:

• подготовка сервера для Configuration Manager;
• установка необходимых предварительных компонентов;
• установка и настройка Microsoft SQL Server. Я буду использовать Microsoft SQL Server в режиме Core, установку которого я уже описывал в одной из статей;
• установка сервера в режиме Stand-Alone Primary site;
• настройка сервера для работы;
• установка и настройка дополнительных ролей.

После того, как ваша инфраструктура будет спланирована, а оборудование подготовлено, можно приступать к установке сервера сайта MECM/SCCM.

Возможности Microsoft Configuration Manager (MECM/SCCM)

Configuration Manager  — это комплексное локальное (on-premise) решение для управления компьютерами, использующими операционные системы Microsoft Windows. С его помощью ИТ-специалисты активно управляют жизненным циклом всех устройств под управлением Windows. Это включает в себя развертывание и обслуживание операционных систем и программного обеспечения, реагирование на угрозы безопасности, распространение настроек и анализ данных инвентаризации.

Можно выделить некоторые преимущества использования продукта в крупных организациях:

• Централизованное управление системами на базе Windows;
• Соблюдение безопасности;
• Единые настройки на всех рабочих станциях;
• Снижение затрат на ИТ сопровождение.

Configuration Manager обладает обширными возможностями по управлению конфигурацией клиентских ПК и серверов. Ниже приведу небольшой перечень его основных возможностей:

• Управление параметрами конфигурации операционных систем;
• Удаленное управление;
• Развертывание приложений на ПК и серверы;
• Установка и обновление драйверов;
• Развертывание образов операционных систем по сети;
• Развертывание обновлений для операционных систем;
• Инвентаризация установленных приложений и оборудования на рабочих станциях и серверах;
• Управление параметрами Endpoint Protection;
• Развитая система отчетов с возможностью самостоятельного составления новых отчетов;
• Интеграция с облачными сервисами Azure.

С конечными пользователями Configuration Manager взаимодействует через Software Center. Это приложение, которое устанавливается при установке клиента Configuration Manager на устройстве с Windows. Software Center позволяет пользователям выполнять следующие действия:

• Поиск и установка приложений;
• Обновление операционной системы и программного обеспечения;
• Просмотр журнала запросов программного обеспечения;
• Просмотр соответствия устройств политикам организации.

Архитектура Microsoft Configuration Manager (MECM/SCCM)

Как и многие другие продукты, Configuration Manager использует клиент-серверную архитектуру в своей работе. В такой архитектуре задействованы три компонента:

Также стоит учесть, что не все функции и сценарии использования поддерживаются при таком типе установки. Посмотреть полный список поддерживаемых функций можно на сайте Microsoft.

Как вы знаете, SQL сервер поставляется в нескольких редакциях — Enterprise, Developer, Standard, Web и Express. Я буду использовать в своей установке редакцию Standard, а операционной системой на сервере будет WIndows Server 2022 Core, установку которой я описывал в одной из своих статей.

Установка MS SQL Server 2022

Перед установкой нужно определиться, под какие задачи вы будете использовать этот сервер, и, соответственно, от этого будет зависеть какие компоненты нужно установить. Я планирую в дальнейшем использовать его для работы с сервером SCCM/MECM, поэтому установлю Database Engine Services (основной движок SQL Server) и Connectivity components (компоненты подключений). В дальнейшем вы всегда сможете добавить нужные вам компоненты.

Вставьте установочный диск или скопируйте на сервер дистрибутив SQL Server 2022. Запустите командную строку или Powershell с правами Администратора сервера, на котором производиться установка. Перейдите в каталог с установочным файлом Setup.exe и выполните следующую команду:

Setup.exe /qs /ACTION=Install /FEATURES=SQLEngine,Conn /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="NT Service\MSSQLSERVER" /SQLSVCSTARTUPTYPE="Automatic" /SQLSYSADMINACCOUNTS="proitclub\administrator" /AGTSVCACCOUNT="NT Service\SQLSERVERAGENT" /AGTSVCSTARTUPTYPE="Automatic" /TCPENABLED=1 /IACCEPTSQLSERVERLICENSETERMS /UPDATEENABLED=False

Не стоит пугаться ее вида, все параметры легко читаемы, и я сейчас остановлюсь на каждом из них поподробнее.

• /qs: Quiet Simple — запускает установку в «тихом режиме»;
• /ACTION: задает действие, в нашем случае это установка;
• /FEATURES: позволяет указать какие компоненты будут установлены. Как я уже упоминал, я устанавливаю основной движок сервера и компоненты подключений;
• /INSTANCENAME: указывает имя экземпляра базы данных. Я использовал значение по умолчанию, которое предлагается при обычной установке сервера;
• /SQLSVCACCOUNT: указывает учетную запись, от имени которой будут запускаться службы SQL Server. Можно указать доменного пользователя, системную учетную запись или gMSA/MSA аккаунт. Если вы используете standalone сервер без кластеризации, то можно указывать «виртуальные учетные записи». Подробнее о них можно узнать на этой странице. Я использую как раз одну из таких записей со значение по умолчанию, которое предлагается при обычной установке сервера. В этом случае нет необходимости указывать какой-либо пароль;
• /SQLSVCSTARTUPTYPE: режим запуска служб SQL Server. Я установил автоматический режим запуска;
• /SQLSYSADMINACCOUNTS: указывает учетную запись, которая будет обладать администраторскими правами на этом экземпляре базы данных. Я указал доменную учетную запись;
• /AGTSVCACCOUNT: указывает учетную запись, от имени которой будет запускаться агент SQL Server. По аналогии с параметром для запуска самой службы SQL Server я указал виртуальную учетную запись;
• /AGTSVCSTARTUPTYPE: режим запуска агента SQL Server. Я установил автоматический режим запуска;
• /TCPENABLED=1: значение параметра равное «1» включает использование протокола TCP для служб SQL Server. Это нужно для того, чтобы клиентские приложения могли удаленно подключаться к экземпляру SQL Server;
• /IACCEPTSQLSERVERLICENSETERMS: задает автоматическое принятие лицензионного соглашения;
• /UPDATEENABLED=False: отключает автоматическую проверку обновление во время установки SQL Server.

Как видите, ничего сложного нет в указанных параметрах. По сути они повторяют те же самые параметры, которые могут быть заданы при установке через графическую оболочку. Я сейчас не буду подробнее вдаваться в другие параметры установки, наподобие настроек памяти, лог файлов и баз данных, их размеров и так далее. Это больше относится к тюнингу SQL сервера и выходит за рамки данной статьи. Тем более, что для разного программного обеспечения, которое будет использовать базы данных, требуются свои особенные настройки сервера.

Следующим шагом после завершения установки SQL сервера будет настройка правила в Firewall для включения удаленного доступа к серверу. Нам нужно открыть два порта: TCP 1433 для службы SQL Server и UDP 1434 для службы браузера SQL Server. Для этого выполним команды:

New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow

New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

Так как по умолчанию служба браузера SQL Server выключена и у нее не настроен автозапуск, то нужно ее включить и настроить автозапуск при старте операционной системы. Выполним следующие команды:

Set-service sqlbrowser -StartupType Auto

Start-service sqlbrowser

После создания правил можно попробовать подключиться к серверу с другого компьютера, используя SQL Server Management Studio. Укажем имя нашего сервера srv-sql.proitclub.ru.

Подключение установлено, и можно посмотреть свойства нашего экземпляра SQL сервера. Видно, что агент SQL сервера запустился автоматически, как мы и указывали при установке.

На этом установка SQL Server 2022 на Windows Server Core закончена, и можно приступать к работе с этим сервером.

Что такое устаревшие DNS записи

Устаревшие записи DNS — это записи на сервере DNS, которые по-прежнему указывают на старый IP-адрес устройства. Это может вызвать проблемы при обращении к устройству по имени. Например, при попытке зайти на общую сетевую папку. Такие записи могут появляются на сервере DNS из-за некорректного отключения компьютера от сети и перерегистрации его с новым IP адресом. Особенно актуальна проблема с устаревшими записями в случае присутствия большого количества ноутбуков или мобильных клиентов в вашей сети.

Как работает очистка DNS

Чтобы автоматически удалять старые записи в DNS, нужно корректно настроить DNS Aging (Устаревание) и Scavenging (Очистку). Давайте разберемся как это работает.

DNS Aging (Устаревание) позволяет идентифицировать устаревшие записи DNS. При этом используется два интервала, и запись DNS считается устаревшей по истечении обоих интервалов.

• Non-Refresh Interval (интервал без обновления): это период времени, в течение которого запись устройства не может быть обновлена. Отказ от обновления в течение этого периода времени снижает трафик репликации, поскольку нет необходимости повторно реплицировать одну и ту же информацию.
• Refresh Interval (интервал обновления): это период времени, в течение которого запись устройства может быть обновлена.

Для лучшего понимания рассмотрим эти интервалы на двух примерах.

1. Интервал без обновления и интервал обновления составляют по семь дней (это значения по умолчанию). В этом случае запись устройства считается устаревшей по прошествии четырнадцати дней.
2. Интервал без обновления 4 дня, интервал обновления 7 дней. В этом случае запись устройства можно обновить через 4 дня, в течение последующих 7 дней. После этого начнется новый период без обновления, который составит 4 дня. Если в течение 11 дней запись не обновится, то она будет считаться устаревшей.

Даже если интервалы Non-Refresh Interval и Refresh Interval истекли, запись устройства может быть обновлена ​​до тех пор, пока она не будет удалена из зоны DNS. После этого начнется новый интервал Non-Refresh, и запись больше не будет считаться устаревшей. Клиент Windows пытается обновлять метку времени каждые 24 часа.

Для определения факта устаревания записи устройства DNS Aging использует отметку времени (timestamp).  Статические записи, которые имеют отметку времени, равную нулю, никогда не устаревают. Для динамических записей отметка времени представляет собой дату и время последнего обновления записи устройства на DNS сервере.

DNS Scavenging (Очистка) позволяет удалять устаревшие записи устройств в зонах DNS. Функция очистки включается для всего DNS сервера, но также должна быть настроена для каждой зоны DNS. Интервал очистки не зависит от интервалов без обновления (Non-Refresh Interval)  и интервалов обновления (Refresh Interval).

Чтобы узнать, какие установлены настройки DNS Aging и Scavenging и когда будет запущен следующий цикл очистки, мы можем использовать командлет PowerShell:

Get-DnsServerScavenging

В результатах вывода команды видно, что интервал установлен на 7 дней, а очистка устаревших записей еще ни разу не проводилась.

Включение автоматической очистки устаревших DNS записей

Для включения функции автоматического очистки устаревших записей на DNS сервере нужно запустить оснастку DNS Manager (Диспетчер DNS), нажать правой кнопкой мыши на DNS сервере и выбрать пункт Properties.

На вкладке Advanced необходимо активировать автоматическую очистку устаревших записей и указать период очистки.

Для корректной работы очистки необходимо активировать настройки устаревания DNS записей устройств для каждой зоны на сервере. Для этого выбираем необходимую зону в области прямого просмотра, нажимаем на ней правой кнопкой мыши и выбираем Properties. На вкладке General нажимаем кнопку Aging.

И задаем для этой зоны значения интервалов Non-Refresh Interval и Refresh Interval.

Интервал без обновления + интервал обновления должен быть меньше или равен времени аренды DHCP. Причем интервал без обновления равен или меньше интервала обновления.

Чтобы включить устаревание и очистку DNS по умолчанию для всех зон DNS на DNS-сервере, выполните следующие действия. Щелкните правой кнопкой мыши на имени сервера, а затем выберите Set Aging/Scavenging for All Zones  (Установить устаревание/очистку для всех зон).

По аналогии с DNS зонам задаем Non-Refresh Interval и Refresh Interval. Включите Apply these settings to the existing Active Directory-integrated zones (Применить эти параметры к существующим зонам, интегрированным с Active Directory) для применения устаревания и очистки DNS у существующих зон, интегрированных с Active Directory.

Если у вас DNS зона интегрирована с Active Directory, то одного DNS сервера с включенной очисткой DNS записей достаточно, чтобы правильно её проводить. Обычно не рекомендуется настраивать очистку DNS на нескольких серверах, поскольку это усложняет устранение неполадок, связанных с очисткой. Например, удаление допустимых записей DNS.

Поддержание чистоты записей DNS помогает предотвратить ошибки разрешения имен в вашей сети. Но прежде чем включить очистку устаревших записей DNS, убедитесь, что вы тщательно проверили все свои настройки DNS.

Для чего нужен Windows LAPS

LAPS предоставляет собой решение проблемы использования локальной учетной записи администратора с одинаковым или долго неменяющимся паролем на каждом компьютере в домене путем установки случайным образом сгенерированного и регулярно меняющегося пароля. LAPS безопасно хранит пароли локальной учетной записи администратора для каждого компьютера в конфиденциальном атрибуте в AD. Также он упрощает управление паролями — администраторы домена могут предоставлять доступ на чтение и сброс пароля локального администратора пользователям или группам, например, сотрудникам службы поддержки.

Что нового в версии Windows LAPS от апреля 2023 года

В апреле 2023 года вышли обновления для операционных систем, которые добавляют встроенную поддержку новой версии LAPS в Windows. Теперь LAPS готов к работе «из коробки», больше не нужно скачивать и устанавливать MSI пакет. По запросам клиентов Microsoft сделала LAPS доступными как для облачных, так и для локальных сред.

Поддержка встроенного LAPS была добавлена в следующие операционные системы:

• Windows 11 Pro, EDU, and Enterprise.
• Windows 10 Pro, EDU, and Enterprise.
• Windows Server 2022 and Windows Server Core 2022.
• Windows Server 2019.

Для локальных сред теперь доступны следующие возможности:

• Шифрование паролей: это в значительной мере повышает безопасность;
• История паролей: дает вам возможность снова войти в систему со старым паролем, если вы выполнили восстановление системы на момента времени, предшествующий последней смене пароля LAPS;
• Резервные копии паролей режима восстановления службы каталогов (DSRM): помогает обеспечить безопасность контроллеров домена, управляя паролями восстановления;
• Режим эмуляции: позволяет продолжать использовать старые параметры и инструменты политики LAPS;
• Автоматическая ротация: автоматическое изменение пароля локального администратора после его использования для локального входа на компьютер;
• новый модуль PowerShell: включает в себя улучшенные возможности управления. Например, теперь вы можете менять пароль по требованию с помощью нового командлета Reset-LapsPassword.

Те, кто сейчас пользуются старым Microsoft LAPS,  могут начать работу с новым инструментом, используя режим эмуляции, а затем поэтапно полностью перейти на использование нового Windows LAPS. Рекомендую не затягивать с переходом, и уже сейчас планировать миграцию на новый инструмент, так как он предлагает множество новых функций безопасности и улучшенные возможности администрирования.

Важное замечание: одним из требований для работы нового Windows LAPS является функциональный уровень домена версии Windows Server 2016 и выше.

Установка Windows LAPS

Для управления LAPS используются PowerShell командлеты из одноименного модуля. Посмотреть доступные команды можно следующим образом:

Get-Command -Module LAPS

После того как вы обновите все контроллеры домена, нужно выполнить обновление схемы AD, которое добавит новые атрибуты. Для этого выполните команду:

Update-LapsADSchema

Эта команда выполняется только один раз для каждого леса Active Directory. 

У меня в лаборатории на системе Windows Server 2022 выполнение этой команды выдавало следующую ошибку:

Update-LapsADSchema : An operation error occurred.
At line:1 char:1
+ Update-LapsADSchema -Verbose
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Update-LapsADSchema], DirectoryOperationException
+ FullyQualifiedErrorId : System.DirectoryServices.Protocols.DirectoryOperationException,Microsoft.Windows.LAPS.Up
dateLapsADSchema

Я еще раз проверил, что все контроллеры домена обновлены, перезагрузил их. Проверил, что запустил PowerShell с повышенными правами, и у учетной записи есть права администратора схемы. Все было в порядке.

Выполняя команду с ключом -Verbose, я получал следующее сообщение:

WARNING: Add request for ‘CN=ms-LAPS-Password,CN=Schema,CN=Configuration,DC=proitclub,DC=ru’ threw exception:
WARNING: System.DirectoryServices.Protocols.DirectoryOperationException: An operation error occurred.
at System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation,
ResultAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut)
at System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout)
at Microsoft.Windows.LAPS.UpdateLapsADSchema.AddSchemaAttribute(String schemaAttributeDN, LAPSSchemaAttribute
lapsSchemaAttribute)

Как временное решение решил попробовать дать все возможные права на объект Schema для учетной записи непосредственно через «Редактор ADSI» (ADSI Editor). Запускаем редактор и в свойствах соединения выбираем объект Schema.

Заходим в свойства Schema, вкладка Security и добавляем пользователю (в моем случае admin) все возможные права этот объект. Ждем несколько минут для синхронизации между контроллерами домена и пробуем запустить команду обновления схемы еще раз.

После внесения изменений команда выполнилась без ошибок, и схема была обновлена. Посмотреть новые атрибуты можно через консоль Active Directory Users and Computers. Выберите компьютер в AD, перейдите на вкладку Attribute Editor и убедитесь, что у объекта теперь доступны новые атрибуты. 

Как вы можете видеть, атрибуты пока не заданы. Для того, чтобы компьютер мог управлять своим паролем ему необходимо предоставить разрешение на изменение вышеуказанных атрибутов. Это можно сделать путем установки наследуемых разрешений для организационной единицы (OU), в которой находится устройство. Следующая команда предоставит компьютерам в OU «LAPSComputers» права на обновление своих атрибутов:

Set-LapsADComputerSelfPermission -Identity "OU=LAPSComputers,DC=proitclub,DC=ru"

Члены группы Domain Admins по умолчанию имеют полные права на действия с паролями локальных администраторов на компьютерах. Чтобы посмотреть всех пользователей и группы, у которых есть права на чтение или изменения атрибутов компьютера, нужно воспользоваться следующей командой: Find-LapsADExtendedRights. Давайте, например, посмотрим, кто имеет права в OU «LAPSComputers».

Find-LapsADExtendedRights -Identity "OU=LAPSComputers,DC=proitclub,DC=ru"

Часто бывает, что необходимо предоставить права на просмотр и сброс пароля компьютера для сотрудников, которые не входят в группу администраторов домена. Например, это могут быть сотрудники технической поддержки. Давайте, для примера, предоставим группе HelpDesk такие права с помощью следующих команд. Первая из них дает права на чтение, а вторая — на сброс пароля.

Set-LapsADReadPasswordPermission -Identity "OU=LAPSComputers,DC=proitclub,DC=ru" -AllowedPrincipals "proitclub\HelpDesk"

Set-LapsADResetPasswordPermission -Identity "OU=LAPSComputers,DC=proitclub,DC=ru" -AllowedPrincipals "proitclub\HelpDesk"

И теперь посмотрим с помощью знакомой нам команды список пользователей и групп с правами в OU «LAPSComputers».

Видно, что теперь у группы HelpDesk есть права на просмотр и сброс пароля.

Настройка Windows LAPS

Как я уже упоминал в начале статьи, теперь больше не нужно скачивать и устанавливать MSI пакет вручную или через GPO. Все необходимые компоненты LAPS доступны в Windows после установки апрельских обновлений. Не забудьте также установить обновления на все контроллеры домена.

Первым шагом в настройке Windows LAPS является настройка политики через GPO. Для этого Windows LAPS включает новый объект групповой политики, который можно найти в редакторе групповых политик по пути Computer Configuration > Administrative Templates > System > LAPS (Конфигурация компьютера > Административные шаблоны > Система > LAPS).

Шаблон для этого нового объекта групповой политики располагается на контроллерах домена в каталоге %windir%\PolicyDefinitions\LAPS.admx.

Файлы шаблонов объектов групповой политики Windows LAPS НЕ КОПИРУЮТСЯ автоматически в центральное хранилище объектов групповой политики при обновлении контроллера домена. Не забудьте вручную скопировать файл LAPS.admx в центральное хранилище объекта групповой политики, если вы его используете.

Нам доступны следующие политики Windows LAPS:

• Enable password backup for DSRM accounts: разрешает делать бэкап DSRM пароля администратора на контроллере домена;
• Configure size of encrypted password history: указывает количество зашифрованных паролей, которое будет храниться в Active Directory;
• Enable password encryption: включает шифрование паролей;
• Configure authorized password decryptors: можно указать группу либо пользователей, у которых будет доступ ко всем зашифрованным паролям. По умолчанию такой доступ имеют администраторы домена;
• Name of administrator account to manage: можно указать имя локального администратора на компьютерах, отличное от встроенного аккаунта, к которому будет применяться политика LAPS. Имейте в виду, что LAPS не создает и не активирует учетные записи! Поэтому убедитесь, что существует активная учетная запись локального администратора;
• Configure password backup directory: позволяет указать место хранения бэкапа пароля — локально в AD или в Azure AD;
• Do not allow password expiration time longer than required by policy: позволяет продлить срок действия пароля больше, чем указано в настройках;
• Password Settings: позволяет указать сложность пароля, его длину и срок действия.
• Post-authentication actions: позволяет задать период и действие после входа локального администратора на компьютер. Например, можно задать смену пароля локального администратора через 2 часа после того, как произойдет его вход на компьютер.

После настройки  Windows LAPS, компьютер начинает управлять паролем локальной учетной записи администратора. По истечении срока действия пароля устройство создает новый случайный пароль, соответствующий требованиям текущей политики к его длине и сложности. Пароль также проверяется на соответствие политике сложности паролей локального администратора. Когда новый пароль проверен, компьютер сохраняет пароль в указанном каталоге: либо в Active Directory, либо в Azure Active Directory. 

Как посмотреть пароль локального администратора через Windows LAPS

Когда пароль локальной учетной записи хранится в Active Directory, пользователь с соответствующими правами может получить к нему доступ на чтение или сброс. Доступ можно получить через консоль Active Directory Users and Computers или с помощью PowerShell.

В свойствах компьютера на вкладке LAPS можно найти следующие данные:

• Current LAPS password expiration: дату и время истечения пароля;
• Set new LAPS password expiration: можно задать новую дату и время истечения пароля;
• LASP local admin account name: аккаунт локального администратора;
• LASP local admin account password: пароль от локального администратора.

С помощью PowerShell пароль локального администратора можно получить с помощью следующей команды:

Get-LapsADPassword "CLI-WIN10" -AsPlainText

Windows Local Administrator Password Solution на данный момент является простым и надежным инструментом для управления и хранения зашифрованных паролей, который позволяет повысить безопасность рабочей среды перед различными угрозами. Немаловажно, что инструмент является встроенным решением, и для его работы не требуется установка дополнительного программного обеспечения.

Предварительные настройки

Пробежимся быстро по основным настройкам и приступим к установке.

• Используемая подсеть: 192.168.50.0/24
• Основной шлюз: 192.168.50.1
• IP-адрес контроллера домена: 192.168.50.10
• Имя контроллера домена: srv-dc01
• Полное имя домена: proitclub.ru

По результату вывода команды ipconfig /all видно, что сервер настроен в соответствии с вышеуказанными настройками.

Установка служб Active Directory Domain Services (AD DS)

Следующим шагом будет установка служб AD DS. Для этого в консоли PowerShell выполним команду:

Install-WindowsFeature -Name "AD-Domain-Services" –IncludeManagementTools -Verbose

Ждем окончания ее выполнения, и проверяем установленные службы командой:

Get-WindowsFeature -Name "AD-Domain-Services"

Так как у нас нет никакой структуры Active Directory, то нам потребуется сначала создать лес, а потом первый домен в нашем лесу. Для этого используем командлет Install-ADDSForest из модуля ADDSDeployment. Команда для создания нового леса и первого домена будет иметь следующий вид:

Install-ADDSForest -DomainName "proitclub.ru" -ForestMode "Default" -DomainMode "Default" -DomainNetbiosName "proitclub" -InstallDns:$true

У этого командлета много аргументов, рассмотрим некоторые из них на нашем примере.

• DomainName: задает имя нашего домена, а также имя нового леса.
• ForestMode: задает функциональный уровень нашего леса. По умолчанию (Default) выбирается максимальный уровень, которым в настоящее время является Windows Server 2016. Задается значениями 7 или WinThreshold.
• DomainMode: задает функциональный уровень нашего домена. Здесь также по умолчанию (Default) выбирается максимальный уровень. И точно также как и для ForestMode значения 7 или WinThreshold.
• DomainNetbiosName: задает NetBIOS-имя домена.
• InstallDns: задает параметр для установки DNS-сервера — $true или $false. Так как у меня еще нет ни одного DNS-сервера, то я передаю параметр $true для его установки.

Перед выполнением команды, для просмотра информации о выполнимых действиях, используйте необязательный аргумент Whatif. Это позволит просмотреть явные и неявные значения аргументов без реального выполнения этого командлета.  Давайте посмотрим на результат выполнения команды с этим аргументом.

Первое, что мы видим — это запрос на ввод пароля: Safemodeadministratorpassword. Этот пароль вам потребуется для загрузки в режиме Directory Services Restore Mode (DSRM), который служит для восстановления каталога Active Directory.

Теперь подробнее разберем вывод этой команды.

• Create a new Active Directory forest with the name ‘proitclub.ru’: создается новый лес с именем «proitclub.ru».
• Configure this server as the first Active Directory domain controller in a new forest: роль текущего сервера повышается до контроллера домена в новом лесу.
• The new domain name is «proitclub.ru». This is also the name of the new forest:  новому домену присваивается имя «proitclub.ru».
• The NetBIOS name of the domain: proitclub: NetBIOS-имя домена «proitclub».
• Forest Functional Level: Default: функциональней уровень леса устанавливается максимально возможный — в нашем случае Windows Server 2016.
• Domain Functional Level: Automatically calculated: функциональный уровень домена выбирается автоматически — в нашем случае Windows Server 2016.
• Global catalog: Yes — сервер является сервером глобального каталога.
• DNS Server: Yes — сервер является DNS-сервером.
• Create DNS Delegation: No — не делать делегирование DNS для этого сервера.  
• Database folder: C:\Windows\NTDS, Log file folder: C:\Windows\NTDS, SYSVOL folder: C:\Windows\SYSVOL — пути для хранения базы Active Directory, ее лог-файлов и папки SYSVOL.
• The DNS Server service will be configured on this computer: на этом компьютере будет настроен DNS-сервер.
• This computer will be configured to use this DNS server as its preferred DNS server: сервер будет настроен на использование своего адреса в качестве предпочтительного DNS-сервера.
• The password of the new domain Administrator will be the same as the password of the local Administrator of this computer: пароль учетной записи Администратора домена будет такой же как у локального Администратора.

В целом меня все устраивает, и можно уже выполнять команду без аргумента Whatif. После окончания установки сервер будет автоматически перезагружен.

После перезагрузки сервера попробуем зайти под учетной записью администратора домена. При входе автоматически загрузиться уже знакомый нам скрипт sconfig.

На этом установка служб Active Directory и контроллера домена закончена. Для рабочей среды рекомендую держать как минимум два контроллера домена с DNS-сервером для обеспечения отказоустойчивости в случае падения одного из них. И, конечно, не забывать своевременно делать бэкапы. Они вам очень помогут, например, в случае заражения серверов каким-нибудь шифровальщиком.