>[!Danger]- 1. Установка и базовая настройка **Win server**
>1. Установи Windows Server 2019 **Desktop Experience**, задай сильный пароль локального Administrator и включи RDP (лучше ограничить по IP на фаерволе).
>2. Поставь статический IP (на DC DNS будет “сам на себя”, на Exchange DNS будет указывать на DC).
>3. Синхронизация времени: обязательно корректное время/часовой пояс, иначе будут проблемы с Kerberos/SSL.
>Задайте статический IP, шлюз, DNS.
>>[!todo]- 1 
> > Если сервер = DC/DNS: DNS указывайте на себя (127.0.0.1 и/или свой IP).
> > 
> > Если сервер = только Exchange: DNS указывайте на DC.
> > 
> > Проверьте время/часовой пояс (важно для Kerberos/сертификатов).
> > 
> > Timezone, NTP, синхронизация.
> > 
> > Включите RDP (если нужно) и проверьте Windows Firewall (пока можно оставить дефолтный, но убедитесь, что 443/25 потом не блокируются).
> > 
> > Обновления.
> > 
> > Установите все обновления Windows.
> > 
> > Перезагрузки до тех пор, пока обновлений не останется.
> > 
> > Переименование сервера (если ещё не делали):
> > ```
> > Rename-Computer -NewName "WINS5" -Restart
> > ```
> > **Изменить WINS5 НА ТРЕБУЕТСЯ ИМЯ**
> 
>>[!todo]- 2 Проверка, что **443 порт** вообще живёт на сервере (потом пригодится при диагностике OWA/ECP):
>>```
>>Test-NetConnection 127.0.0.1 -Port 443
>netstat -ano | findstr ":443"
>>```

>[!Failure] 2) AD DS + DNS (и ваш split‑DNS)
>>[!info] Критично, чтобы внутренние ПК ходили на внутренний IP, а снаружи — на публичный.
>>Именно из‑за этого у вас “то открывается /owa, то не открывается”: внутри сети обращение к публичному IP не проходило (hairpin NAT), поэтому вы лечили split‑DNS.
>>
>
>>[!Danger]- **2.1** Если Domen Controller не поднят. Настройка DC
>>На будущем DC:
>>```
>>Install-WindowsFeature AD-Domain-Services,DNS -IncludeManagementTools
>>```
>>Дальше поднимайте лес (пример):
>>```
>>Install-ADDSForest -DomainName "s5teams.local" -DomainNetbiosName "S5TEAMS"
>>```
>
>>[!Tip] **2.2** Публичный домен внутри сети (split‑DNS) 
>>>[!info] Смысл:
>>> внутри сети `mail.stitch505.ru` должен резолвиться в **ip типа** **192.168.....**, чтобы OWA/ECP открывались из LAN стабильно.
>>> 
>>На каждом внутреннем DNS, который обслуживает клиентов (это важно! у вас были разные DNS на разных подсетях), создайте зону `**YOUR_DOMEN**` и запись:
>>```
>>Add-DnsServerPrimaryZone -Name "YOUR_DOMEN" -ReplicationScope "Domain" -DynamicUpdate "None"
Add-DnsServerResourceRecordA -ZoneName "YOUR_DOMEN" -Name "mail" -IPv4Address  "192.168.60.212"
Add-DnsServerResourceRecordCName -ZoneName "YOUR_DOMEN" -Name "autodiscover" -HostNameAlias "mail.YOUR_DOMEN"
>>```
>>>[!Bug] ЗАМЕНИТЬ ДАННЫЕ IP и указать свой домен вместо YOUR_DOMEN
>>```
>>[!tip] На клиентском ПК после изменений:
>>```
>>ipconfig /flushdns
nslookup mail.YOUR_DOMEN
>>```
>