02_instalacija i konfiguracija aktivnog direktorijuma ws2k8
DESCRIPTION
tr675654645ytry6456tTRANSCRIPT
Instalacija i konfiguracija Aktivnog direktorijuma, II deo Scenario: Primarni DC: Windows 2000 Server SP4, sa ulogom DHCP servera i DNS servera Sekundarni DC: Windows Server 2008 Standard, sa ulogom DNS servera i dodatnog DHCP servera Klijent: Windows XP Professional SP3 Pristup internetu: Windows Server 2003 R2, sa instaliranim ISA Server 2006 Enterprise
Instalacija Aktivnog Direktorijuma na Windows Server 2008 Nakon instalacije Windows Server 2008 sistema pojavide se prozor Initial Configuration Tasks.
Pre nego što serveru dodamo ulogu domenskog kontrolora, prodi demo kratko kroz prvih šest koraka u ovom prozoru. Set time zone: Ovo je jasno samo po sebi, potrebno je podesiti datum, vreme i vremensku zonu u kojoj se nalazite. Ovo je veoma bitno za pravilno funkcionisanje domena. Configure networking: Ovde demo podesiti statičku IP adresu, masku podmreže, podrazumevani mrežni prolaz i DNS server. Klikom na link otvoride se prozor Network Connections. Desni klik na adapter > Properties. U prozoru Local Area Connection properties odaberite Internet Protocol version 4, pa dugme Properties. Ovde podesite IP adresu na 192.168.1.101, masku podmreže na 255.255.255.0, podrazumevani mrežni prolaz na 192.168.1.200. Kao Preferred DNS server unesite 192.168.1.101, a kao Alternate DNS server unesite 192.168.1.1. Pod karticom WINS unesite 192.168.1.1. Potvrdite sve i vratite se na Initial Configuration Tasks prozor. Provide computer name and domain: Ovde je potrebno promeniti ime servera u DC2. Kada promenite ime, restartujte kompjuter. Ovde nemojte pridruživati server u domen, to demo odraditi dodavanjem uloge domenskog kontrolora. Neka kompjuter ostane član radne grupe. Enable automatic updating and feedback: Toplo preporučujem da se automatsko ažuriranje uključi, jer se time sistem redovno ažurira najnovijim zakrpama, što je izrazito bitno kada je u pitanju bezbednost i funkcionalnost server operativnih sistema.
Download and install updates: U ovom koraku treba instalirati sve kritične i preporučene zakrpe. To nedemo modi da uradimo odmah, jer još uvek nemamo spreman i konfigurisan mrežni prolaz. Ukoliko to želite da uradite odmah, konektujte računar direktno na modem/ruter i ažurirajte sistem. Add roles: Ovaj korak de nam omoguditi da instaliramo datoteke potrebne za promovisanje servera u domenski kontrolor. Kliko na Add Roles otvara nam se čarobnjak za dodavanje uloga.
- Before you begin: Ovaj korak upozorava nas da proverimo jačinu administratorske lozinke, mrežna podešavanja i da li nam je sistem ažuriran. Kliknite na Next.
- Select server roles: U ovom koraku potrebno je označiti uloge koje želimo da server ima. Ovde označite Active Directory Domain Services (AD DS). Primetidete da u ovom koraku ne možete uz AD DS instalirati druge uloge.
- Active Directory Domain Services i Confirm Installation Selections: Ova dva koraka nas ukratko obaveštavaju o tome koje de uloge podrazumevano biti instalirane uz AD DS i da nakon ovih koraka moramo pokrenuti čarobnjak dcpromo.exe.
Nakon što se potrebni fajlovi instaliraju, idite na Start > Run, i ukucajte dcpromo.exe. Pokrenude se čarobnjak Active Directory Domain Services Installation Wizard.
Stranica Welcome to the AD DS Installation Wizard: Ovo je početna stranica čarobnjaka. Ovde imamo opciju „Use advanced mode installation“. Čekirajte ovu opciju da bismo odmah prošli kroz napredne opcije instaliranja domenskog kontrolora. Kliknite na Next> . Stranica Operating System Compatibility: Na ovoj stranici možemo pročitati upozorenje o tome kako domenski kontrolor baziran na Windows Serveru 2008 može uticati na starije verzije Windowsa. Upoznajte se sa upozorenjem i kliknite na Next>. Stranica Choose a Deployment Configuration: Na ovoj stranici čarobnjaka možemo da biramo da li želimo da kreiramo domenski kontrolor u postojedoj šumi domena ili da kreiramo novi domen u novoj šumi domena. O ovome je bilo reči u prvom delu. S obzirom da želimo da dodamo ovaj domenski kontrolor u postojedu šumu i postojedi domen, odabrademo prvu opciju. Njenim odabirom dobijamo dve mogudnosti:
- Add a domain controller to an existing domain: Ovom opcijom učinidemo domenski kontrolor dodatnim domenskim kontrolorom u postojedem domenu, što i želimo da uradimo.
- Create a new domain in an existing forest: Ako bismo označili ovu mogudnost, ovaj domenski kontrolor bio bi primarni domenski kontrolor u istoj šumi kao i Windows 2000 domenski kontrolor iz prvog dela, ali u sopstvenom, novom domenu ili pod-domenu.
Označidemo opciju Add a domain controller to an existing domain i pritisnuti Next>.
Stranica Network Credentials: Na ovoj stranici čarobnjaka unedemo naziv domena u koji želimo da instaliramo novi domenski kontrolor, a to je testdomen.local. Da bismo mogli da dodamo novi domenski kontrolor (ili bilo koji drugi računar) u domen, potrebno je da imamo nalog i šifru domenskog administratora. Klikom na dugme „Set...“ dobidemo dijalog u koji je potrebno uneti naziv i šifru domenskog administratora.
Stranica Select a Domain: Ovde je potrebno označiti domen u koji želimo da dodamo novi domenski kontrolor. S obzirom da imamo samo jedan domen, označite ga i kliknite na Next>.
Nakon ovog koraka trebali biste da dobijete sledede upozorenje:
Kliknite na Yes da biste nastavili. Ova poruka se odnosi na Read Only Domain Controller (Domenski kontrolor samo za čitanje, RODC). Ovaj tip domenskog kontrolora predstavljen je u Windows Server 2008 operativnom sistemu. RODC je jako dobra zamena za normalan domenski kontrolor u okruženjima gde imate udaljene kancelarije za koje mislite da nisu dovoljno obezbeđene i gde nema domenskog administratora. Na primer, imate jednu udaljenu kancelariju odvojenu od sedišta firme, koja je sa sedištem povezana npr. sporim bežičnim ili WAN linkom. Bezbednost u udaljenoj kancelariji (fizička bezbednost) nije dovoljna da bi se tu postavio standardan domenski kontrolor. Uz sve to, nemate ni stručno lice da ga održava. Primenom RODC u ovakvom slučaju rešavaju se mnogi problemi. Prvo, ukoliko neka osoba ima fizički pristup RODC, ona ne može da menja podatke aktivnog direktorijuma (korisnike, šifre itd), što znači poboljšana bezbednost. Drugo, logovanje korisnika u domen ne zahteva komunikaciju sa primarnim domenskim kontrolorom u sedištu firme, što smanjuje zagušenje samog linka. Samim tim mrežni resursi se efikasnije raspoređuju.
Stranica Select a Site: Označava Sajt na kojem sa nalazi domenski kontrolor. Sajt predstavlja deo fizičke strukture mreže, tj. topologiju. Možemo imati više sajtova unutar jedne mreže, npr. po jedan u Beogradu, Novom Sadu i Nišu. Definisanjem sajtova možete optimizovati replikaciju unutar aktivnog direktorijuma, ubrzati autentifikaciju i pobiljšati rad sa servisima unutar aktivnog direktorijuma. Ovde imate samo jednu mogudnost, a to je Default-First-Site-Name. Pritisnite Next>.
Stranica Additional Domain Controller Options: Ovde demo označiti da želimo da domenski kontrolor bude i DNS server, kao i Globalni katalog. Globalni katalog znači da de ovaj domenski kontrolor da sadrži podatke o svakom domenu unutar šume. Označite obe opcije i pritisnite Next>.
Nakon ovog koraka može vam se desiti da dobijete upozorenje da niste dodelili statičke IP adrese za sve mrežne adaptere:
Ukoliko ste pratili uputstva i dodelili statičku IPv4 adresu, ovo se najverovatnije odnosi na IPv6 adresu. S obzirom da nedemo koristiti IPv6, podršku za ovaj tip adresa možete za sada isključiti u dijalogu Local Area Connection properties:
Ako dobijete sledede upozorenje, slobodno ga ignorišite i kliknite na Yes. Ovo demo rešiti nakon instalacije.
Na stranici Location for Database, Log files and SYSVOL ostavite sve podrazumevano. Na stranici Directory Services Restore Mode Administrator Password unesite jaku šifru i nastavite dalje. O ovoj šifri govorili smo u prethodnom delu tutorijala. Na stranici Summary možemo pogledati rezime onoga što smo uradili. Kada se pojavi prozor u kojem možete pratiti proces instalacije domenskog kontrolora, označite kudicu „Reboot on completion“ da bi se računar automatski restartovao nakon instalacije. Ovim je završena instalacija uloge domenskog kontrolora na serveru. Nakon restarta ulogujte se sa nalogom domenskog administratora.
Konfiguracija DNS servisa nakon instalacije uloge domenskog kontrolora DNS servis je opisan u prvom delu tutorijala, pa demo ovde odmah predi na podešavanje DNS servisa. Otvorite DNS konzolu iz menija Administrative tools. Primetidete da se konzola razlikuje od konzole na Windows 2000 Serveru (što je i normalno), jer je u pitanju verzija 3.0 MMC konzole. Ipak, osnovne stvari su potpuno iste, tako da snalaženje u konzoli nede biti problem.
Kao i u prošlom tutorijalu, vidimo server i njegove zone. Kada raširite čvor Forward Lookup Zone ili Reverse Lookup Zone, primetidete da je DC2 ved „povukao“ postojede zapise sa DC1. Imadete A i SRV zapis za DC1, kao i A i SRV zapis za DC2. Sada je vreme da podesimo DNS na DC2 kao što je i na DC1. Iako je DC2 povukao DNS zapise sa DC1, još uvek je potrebno da podesimo ovaj server kao što smo podesili i DC1. Najlakši način da sve tačno podesimo je da dodamo i DC1 DNS u konzolu. To demo uraditi na slededi način:
Desni klik na DNS > Connect to DNS Server...
Pojavide se dijalog „Connect to DNS Server“. Označite radio-dugme „The following computer“ i u polje upišite dc1. Kliknite na OK. Sada u istoj MMC konzoli imamo oba servera. Otvorite svojstva oba servera posebno i upoređivanjem podesite svojstva servera DC2:
Podesite DC2 na slededi način: -Na kartici Interfaces označidemo All IP addresses i ostaviti IP adresu DC2 (192.168.1.101) -Na kartici Forwardes izbrisademo IP adresu servera DC1 ako je ima i ostaviti listu praznu. Prosleđivače demo konfigurisati nakon što budemo konfigurisali ISA Server 2006. Idite na dugme „Edit“ na kartici Forwarders i obrišite DC1 iz liste (192.168.1.1). -Na ostalim karticama ostavidemo podrazumevana podešavanja. Uporedite podešavanja DC1 i DC2 i kroz Help opciju upoznajte se sa mogudnostima i podešavanjima u ostalim karticama. Sada je potrebno podesiti zonu direktnog pretraživanja. Raširite čvor Forward Lookup Zones > desni klik na zonu testdomen.local > Properties.
-Na kartici General vidimo da je zona trenutno aktivna, da je Active Directory-integrisana i da dozvoljava samo sigurna ažuriranja. Ovde, za razliku od DC1, možemo odrediti na koje servere želimo da repliciramo zone. Ako kliknete na dugme „Change“ iza teksta „Replication:...“ videdete da postoje tri opcije: Replikacije na sve DNS servere u šumi domena, Replikacija na sve DNS servere u domenu ili Replikacija na sve domenske kontrolore u domenu. Ostavidemo tredu opciju označenu. -Na kartici Name Servers primetidete da su se naša dva domenska kontrolora „našla“ na mreži i prepoznala da su oba DNS serveri, tako da bez ručnog unošenja u listi DNS servera imate oba servera: i DC1 i DC2. Isti slučaj bi trebao da bude na DC1. -Na kartici Zone Transfers ipak je potrebno označiti da želimo da odobrimo transfere zona samo na servere koji su izlistani u listi „Name Servers“. Uradite ovo, a sve ostale kartice ostavite na podrazumevanim podešavanjima. Sve ovo ponovite i za zonu obrnutog pretraživanja 1.168.192.in-addr.arpa. U slededem koraku kreirademo zonu obrnutog pretraživanja za testdomen.local. Desni klik na ’Reverse lookup zones’ > Add. Otvara se čarobnjak New Zone Wizard. Inicijalno podešavanje DNS servisa je završeno i na serveru DC2. Svi novi zapisi koji budu napravljeni, replicirade se sa servera na server i liste zapisa de biti iste, bez obzira na kojem serveru su zapisi kreirani. Kasnije demo se pozabaviti zastarelim DNS zapisima i detaljno demo prodi kroz sve opcije DNS servera. Pokazademo i nekoliko načina za konfigurisanje samostalnih DNS servera. Nakon što budemo instalirali Windows Server 2003 i ISA Firewall na njemu, konfigurisademo i DNS prosleđivače na naša dva DNS servera.
Konfiguracija DHCP servisa na DC2 DHCP servis ima ulogu da dodeljuje IP adrese klijentskim računarima u mreži. DHCP iznajmljuje IP adrese iz određenog opsega koji smo prethodno konfigurisali. Pored IP adrese i maske podmreže, pomodu DHCP servisa možemo potpuno konfigurisati i ostale mrežne parametre klijenta, kao što su DNS server, podrazumevani mrežni prolaz (Default Gateway), WINS servis, ime domena itd. DHCP server na DC2 služide nam kao dodatni DHCP server, koji bi preuzeo iznajmljivanje IP adresa klijentima u slučaju da DC1 zakaže iz nekog razloga. U suštini, konfigurišemo DC2 da bude zamena za za sve servise, jer u slučaju havarije na DC1 ne smemo dozvoliti da domen ostane bez domenskog kontrolora. Da bismo koristili DHCP servis na DC2, prvo ga moramo instalirati. To demo uraditi preko alatke Server Manager, koju možete nadi u Start Meniju ili u Administrative Tools meniju.
Server Manager je osnovna alatka za administriranje servera. Upoznajte se sa njenim okruženjem. Da bismo dodali DHCP servis potrebno je dodati DHCP ulogu na server. U levom delu Server Managera desni klik na Roles > Add Roles. Otvara nam se Add roles Wizard. Kliknite na Next>. U prozoru Select Server Roles označite DHCP server i pritisnite Next >. U prozoru DHCP Server se upoznajte sa osnovnom ulogom DHCP servera i kliknite na Next >. U prozoru Select Network Connection Bindings određujemo IP adresu adaptera koji de „slušati“ zahteve od klijenata za iznajmljivanjem IP adresa . S obzirom da imamo samo jedan adapter sa adresom 192.168.1.101, ostavite označeno i pređite na slededi korak.
U prozoru Specify IPv4 DNS Server Settings treba da navedemo naziv roditeljskog domena, prioritetnog DNS servera i alternativnog DNS servera. Ove postavke de DHCP server prosleđivati IPv4 klijentima zajedno sa imenom domena. S obzirom da smo za prioritetni DNS server odredili DC1, a za alternativni DC2, tako demo i uneti u predviđena polja. Za roditeljski domen unedemo testdomen.local. Nakon ovoga kliknite na dugme Next>.
Prozor Specify IPv4 Wins Server Settings: Ukoliko u domenu imamo aplikacije koje zahtevaju WINS servis za razrešavanje imena, treba da unesemo adresu WINS servera da bi je DHCP server preneo klijentima. WINS se danas skoro uopšte ne koristi, osim u nekim starijim mrežama, ali u svrhu vežbe možemo uneti IP adresu DC1 kao WINS server, iako ga još uvek nismo konfigurisali. Dakle, označite „WINS iz required for applications on this network“ i u polju „Preferred WINS server IP address“ unesite 192.168.1.1 . U prozoru Add or Edit DHCP scopes potrebno je uneti opseg IP adresa za iznajmljivanje. S obzirom da smo na DC1 odredili da je opseg za iznajmljivanje IP adresa 192.168.1.2 - 192.168.1.99, ovom DHCP serveru dademo opseg adresa od 192.168.1.102 do 192.168.1.199. To demo uraditi klikom na dugme „Add...“.
U dijalogu Add Scope podesidemo opseg na slededi način:
Scope Name: Sekundarni opseg (Ime opsega)
Starting IP Address: 192.168.1.102 (Početna IP adresa za iznajmljivanje)
Ending IP Address: 192.168.1.199 (Završna IP adresa za iznajmljivanje)
Subnet mask: 255.255.255.0 (Maska podmreže)
Default Gateway: 192.168.1.200 (Podrazumevani mrežni prolaz)
Subnet type: Wired (lease duration will be 6 days) (Trajanje iznajmljene adrese) Označite opciju „Activate this scope“ i kliknite OK. Sada u listi imate ovaj opseg. Kliknite na Next>. U prozoru Configure DHCPv6 Stateless Mode ostavite označenu prvu mogudnost i pređite dalje. Prozor Specify IPv6 Wins Server Settings: Iako nedemo koristiti IPv6 u ovoj mreži, čarobnjak od nas zahteva da unesemo IPv6 adresu DNS servera. U polje Parent domain unesite „testdomen.local“ , a kao adresu Preferred DNS servera unesite „::1“ (bez navodnika) i kliknite na „Next“. U prozoru Authorize DHCP Server traži se nalog koji ima pravo da autorizuje DHCP server. Ostavidemo označenu opciju „Use current credentials“, što je nalog domenskog administratora. Kliknite na Next. U prozoru Confirm Installation Selections imamo rezime svega što smo podesili do sada. Pažljivo pređite sve da vidite da se kojim slučajem nije potkrala neka greška. Ako je sve u redu, možete započeti instalaciju DHCP uloge. Ovim je završena instalacija Sekundarnog opsega na DC2 i DHCP server je spreman za rad. U Administrative tools meniju možete nadi DHCP konzolu, proučiti je i uporediti podešavanja sa onima koja smo podesili u prvom delu tutorijala.
Ovim smo završili instalaciju AD DS, DNS i DHCP servisa i pridružili novi domenski kontrolor u domen. Na ovaj način obezbedili smo neometano funkcionisanje osnovnih domenskih servisa u slučaju da jedan od domenskih kontrolora iz nekog razloga zakaže. U slededem tutorijalu demo konfigurisati replikaciju unutar AD, naučiti kako se u domen dodaju računari i korisnici. Videdemo kako se na najlakši način može upravljati korisnicima i njihovim nalozima, računarima i njihovim nalozima, kako deliti korisnike i kompjutere u Organizacione jedinice i još dosta stvari. Ukoliko imate bilo kakvih nejasnoda ili primedbi pišite komentar na blogu ilija78.wordpress.com, na stranici Windows Server. Imajte u vidu da je ovo rađeno „iz glave“, pa nemojte zameriti na eventualnim nejasnodama. Ovaj tutorijal je namenjen za malo iskusnije korisnike Windows operativnog sistema, pa i za one koji dobro poznaju rad u klijentskim operativnim sistemima ali nisu imali dodira sa serverima. Puno pozdrava do trede lekcije, Ilija Budisavljevid [email protected]