ZAJĘCIA 11 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
Usługa Active Directory i domeny Windows 2008
Active Directory - ogólnie
Active Directory i DNS
Struktura logiczna - domeny
Struktura logiczna - jednostki organizacyjne
Struktura logiczna - relacje zaufania
Struktura logiczna - drzewa i lasy
Struktura logiczna - schemat
Active Directory - struktura fizyczna
Active Directory - Konwencje nazewnicze obiektów
Liczba ćwiczeń: 7
MATERIAŁY POMOCNICZE
Usługa Active Directory i domeny Windows 2008
Usługa Active Directory jest usługą katalogową systemu Windows 2008. Najważniejszym elementem logicznym w hierarchicznej strukturze jej obiektów jest domena.
Active Directory - ogólnie
Active Directory jest usługą katalogową (ang. directory service) w sieci opartej o system Windows 2008. Usługa katalogowa jest to usługa sieciowa, która przechowuje informacje o zasobach sieciowych i zapewnia ich dostępność użytkownikom i aplikacjom. Istotą usługi katalogowej jest zapewnienie spójnego podejścia do nazywania, opisu, odnajdywania, dostępu, zarządzania i ochrony informacji o tych zasobach. Działanie Active Directory sprawia, że fizyczna topologia sieci i używane protokoły są przezroczyste dla użytkownika sieci, który może uzyskać dostęp do odpowiedniego zasobu nie wiedząc gdzie ten zasób jest i jak jest on fizycznie podłączony.
Active Directory przechowuje wszystkie obiekty, które składają się na sieć opartą o system Windows 2003 takie jak obiekty użytkowników, grup i komputerów. Active Directory zapewnia mechanizmy, które pozwalają użytkownikom i aplikacjom odnajdować i uzyskiwać dostęp do odpowiednich obiektów w sieci oraz zapewnia administratorom narzędzia, które są niezbędne do zarządzania siecią opartą o Windows 2003.
Active Directory oferuje dużą elastyczność w podejściu do administrowania zasobami sieciowymi. Z jednej strony oferuje możliwość centralizowania administrowania, pozwalając na zarządzanie zasobami z dowolnych miejsc (lub z pojedynczego miejsca) w sieci korporacyjnej (ang. enterprise) przez niewielką grupę użytkowników.
Z drugiej strony Active Directory pozwala na decentralizację administrowania poprzez wydzielenie w korporacji logicznych struktur takich jak domena, a w niej jednostki organizacyjne i upoważnienie godnych zaufania użytkowników do wykonywania części zadań administrowania siecią.
Active Directory i DNS
Active Directory (AD) wykorzystuje DNS (Domain Name System) do trzech celów:
rozwiązywania nazw (ang. name resolution): DNS zapewnia mechanizm tłumaczenia nazw hostów na odpowiadające im adresy IP
zdefiniowania przestrzeni nazw (ang. namespace) AD wykorzystuje konwencje nazewnicze DNS do nazywania domen. Nazwy domen Windows 2008 są nazwami DNS-owymi. Dla przykładu, wsisiz.edu.pl jest poprawną nazwą domeny DNS i może wobec tego być także nazwą domeny Windows 2003
zlokalizowania fizycznych komponentów AD: Aby zalogować się do sieci i wydawać zapytania skierowane do AD, komputer należący do domeny Windows 2003 musi najpierw zlokalizować kontroler domeny lub serwer globalnego katalogu, aby mogła być uwierzytelniona procedura logowania lub zrealizowane zapytanie. Baza DNS-owa przechowuje informacje o tym, które komputery spełniają takie funkcje, dlatego stosowne żądanie może zostać skierowane bezpośrednio do odpowiedniego komputera
Struktura logiczna - domeny
Na strukturę logiczną Active Directory (AD) składają się następujące komponenty:
domeny
jednostki organizacyjne
drzewa
lasy
schemat
Domena jest podstawową jednostką struktury logicznej AD. Domena jest zbiorem komputerów, zdefiniowanym przez administratora, które korzystają ze wspólnej bazy katalogowej.
W sieci Windows 2003, domena wyznacza granice bezpieczeństwa (ang. security boundary). Wyraża się to w tym, że administrator domeny ma odpowiednie prawa i uprawnienia do administrowania tylko w ramach tej domeny (chyba, że w jawny sposób zostanie mu nadane uprawnienie administrowania inną domeną). Każda domena ma swoje własne zasady bezpieczeństwa (ang. security policy) i relacje bezpieczeństwa z innymi domenami.
Domeny są także jednostkami replikacji. Wszystkie kontrolery domeny w ramach domeny, biorą udział w procesie replikacji i zawierają komplet informacji katalogowych dla swojej domeny.
Po zainstalowaniu AD i utworzeniu domeny, domena pracuje na poziomie funkcjonalnym (ang. functional level) Windows 2000 mixed dopuszczającym kontrolery domeny pracujące na serwerach Windows Server 2003, Windows 2000 lub Windows NT 4.0.
W przypadku, gdy wszystkie kontrolery domeny pracują na serwerach Windows Server 2003 lub Windows 2000 można wykonać (w sposób nieodwracalny) podniesienie poziomu funkcjonalnego domeny do poziomu Windows 2000 native.
Natomiast jeśli wszystkie kontrolery domeny pracują na serwerach Windows Server 2003 można wykonać (w sposób nieodwracalny) podniesienie poziomu funkcjonalnego domeny do poziomu Windows Server 2003.
(Istnieje także poziom funkcjonalny domeny o nazwie Windows Server 2003 interim, dotyczący szczególnego przypadku aktualizacji domen z systemu Windows NT4 do Windows Server 2003)
Na domenowym poziomie funkcjonalnym Windows 2000 native oraz Windows Server 2003, domena i AD pozwalają na korzystanie z nowych aspektów użytkowych takich jak grupy uniwersalne typu security, czy zagnieżdżanie grup.
Najpełniejsze własności oferuje poziom Windows Server 2008, na którym dopuszczalne są jeszcze dalsze możliwości m.in. zmiana nazwy kontrolera domeny.
Więcej informacji o tym zagadnieniu można przeczytać w Help and Support po wyszukaniu tematu Domain and forest functionality.
Każda domena może mieć podniesiony poziom funkcjonalny, niezależnie od innych domen.
Struktura logiczna - jednostki organizacyjne
W ramach domeny można wydzielić tzw. jednostki organizacyjne (ang. Organizational Units, OU), które są obiektami typu kontener (pojemnik), służącymi do organizowania obiektów w ramach domeny. Jednostka organizacyjna może zawierać obiekty takie jak konta użytkowników, grupy czy komputery oraz może zawierać inne jednostki organizacyjne.
Jednostki organizacyjne mogą tworzyć hierarchiczną, drzewiastą strukturę.
Jednostki OU mogą być przenoszone w ramach domeny i zagnieżdżane w sobie.
Każda domena może zdefiniować własną hierarchię jednostek organizacyjnych.
AD przewiduje mechanizm delegowania administrowania (delegowania kontroli) jednostką OU tzn. nadania określonych uprawnień do OU i obiektów w niej zawartych wybranym użytkownikom lub grupom. Dla danej jednostki OU można delegować pełne możliwości administrowania (Full Control dla wszystkich obiektów w OU) lub ograniczone możliwości (np. zmianę haseł dla obiektów typu konto użytkownika).
Active Directory może przechowywać miliony obiektów i dlatego nawet w przypadku dużych korporacji korzystających wcześniej z wielo-domenowego modelu pracy Windows NT, jest możliwość przejścia na model jedno-domenowy, z wewnętrzną, rozbudowaną, hierarchiczną strukturą jednostek organizacyjnych OU.
Microsoft wręcz sugeruje korzystanie z modelu jedno-domenowego pracy sieci Windows 2003, tam gdzie jest to możliwe, ze wzgl. na uproszczenie mechanizmów zarządzania.
Struktura logiczna - relacje zaufania
Mechanizmem łączenia domen w sensie aspektów bezpieczeństwa jest relacja zaufania (ang. trust relationship) . Jeśli domenaA ufa domenaB (co jest oznaczane: domenaA domenaB) to znaczy, że konta zdefiniowane w domenaB będą akceptowane podczas logowania się na komputerach należących do domenaA. domenaA jest nazywana domeną ufającą (ang. trusting), natomiast domenaB domeną zaufaną (ang. trusted).
Active Directory obsługuje dwa rodzaje relacji zaufania:
jednostronne, nieprzechodnie
dwustronne, przechodnie
Jednostronność oznacza, że jeśli domenaA domenaB to nie wynika z tego automatycznie, że domenaB domenaA
Nieprzechodniość oznacza, że jeśli domenaA domenaB i domenaB domenaC to nie zachodzi automatycznie domenaA domenaC
Dwustronność oznacza, że jeśli domenaA domenaB to zachodzi automatycznie domenaB domenaA
Przechodniość oznacza, że jeśli domenaA domenaB i domenaB domenaC to zachodzi automatycznie domenaA domenaC
Jeśli jest zdefiniowana dwustronna, przechodnia relacja zaufania miedzy domenami, można wtedy zdefiniować uprawnienia dostępu do zasobów znajdujących się w jednej domenie, dla użytkowników i grup należących do drugiej domeny i na odwrót.
Struktura logiczna - drzewa i lasy
W niektórych sytuacjach (zwłaszcza dla instalacji sieciowych dużych firm, rozmieszczonych w wielu odległych miejscach) zachodzi potrzeba korzystania z więcej niż jednej domeny. Może to wynikać np. z poniższych powodów:
zróżnicowanych wymagań dotyczące haseł w różnych częściach sieci
bardzo dużej liczby obiektów
różnych nazw domen Internetowych (DNS)
potrzeby decentralizacji administrowania
Drzewo (ang. tree) jest hierarchicznie zorganizowanym zestawem domen Windows 2003, mających wspólną przestrzeń nazw DNS. Dodanie domeny do drzewa domenowego powoduje, że staje się ona domeną podrzędną (ang. child domain) względem domeny do której jest dołączana, nazywanej domeną nadrzędną dla niej (ang. parent domain).
Dla przykładu, dodanie nowych domen podrzędnych dom1.wsisiz.edu.pl i dom2.wsisiz.edu.pl do istniejącej domeny Windows 2003 o nazwie wsisiz.edu.pl, spowoduje powstanie drzewa domenowego, którego węzłem głównym (ang. root) jest domena wsisiz.edu.pl.
Wszystkie trzy domeny tworzą ciągłą przestrzeń nazw DNS (ang. contiguous namespace) z domena główną o nazwie wsisiz.edu.pl
Domeny w drzewie domen są wzajemnie połączone dwustronną, przechodnią relacją zaufania.
Las (ang. forest) jest grupą drzew domen, które nie współdzielą ciągłej przestrzeni nazw DNS. Każde drzewo domen w lesie ma własną, unikatową przestrzeń nazw.
Dla przykładu, dwa drzewa domen, o węzłach głównych wsisiz.warszawa.edu.pl oraz wsisiz.lublin.edu.pl mogą być połączone w jeden las.
Mechanizmem łączącym jest tu dwustronna, przechodnia relacja zaufania ustanowiona pomiędzy węzłami głównymi wszystkich drzew wchodzących w skład lasu.
Drzewa w lesie współdzielą wspólną konfigurację, schemat i katalog globalny.
Z definicji, pierwsza nowo tworzona domena Windows 2003, staje się domeną główną lasu (ang. forest root domain) i jest używana do oznaczenia całego lasu.
Również lasy domen (podobnie jak poszczególne domeny) charakteryzuję się poziomem funkcjonalnym. Dla lasów domen uwzględniono trzy takie poziomy: Windows 2000 (dopuszczalne kontrolery domen to serwery Windows NT 4.0, Windows 2000 oraz Windows Server 2003), Windows Server 2003 interim (kontrolery: Windows NT 4.0 oraz Windows Server 2003) i Windows Server 2003 (tylko kontrolery Windows Server 2003).
Domyślnym poziomem funkcjonalnym lasu jest Windows 2000. Można wykonać (nieodwracalną) operację podniesienia poziomu funkcjonalnego lasu. Poziom Windows Server 2003 oferuje najszersze możliwości w tym zwiększenie wydajność pracy AD poprzez usprawnienia mechanizmu replikacji oraz nowe cechy m.in. możliwość zmiany nazwy domeny lub definiowania relacji zaufania miedzy lasami.
Struktura logiczna - schemat
Schemat (ang. schema) usługi katalogowej AD zawiera definicje wszystkich obiektów przechowywanych w AD takich jak użytkownicy, komputery czy drukarki. W Schemacie znajdują się dwa rodzaje definicji: klasy (inaczej klasy obiektów) oraz atrybuty. Klasy są kolekcjami atrybutów opisującymi możliwe do utworzenia obiekty. Atrybuty są definiowane oddzielnie od klas. Każdy atrybut jest definiowany tylko raz i może być wykorzystany w definicji wielu różnych klas.
W Windows 2003 jest jeden Schemat dla całego lasu, dlatego wszystkie obiekty tworzone w AD stosują się do tych samych reguł. Schemat jest przechowywany w bazie katalogowej.
Active Directory - struktura fizyczna
W Active Directory (AD) struktura fizyczna jest oddzielona od struktury logicznej opisanej wcześniej.
Struktura fizyczna AD określa gdzie i kiedy wykonywana jest replikacja informacji oraz obsługa procesów logowania.
Elementami struktury fizycznej są:
lokacje
kontrolery domen
Lokacja (ang. site) składa się z jednej lub więcej podsieci IP połączonych szybkimi łączami.
Celem tworzenia lokacji jest optymalizacja ruchu związanego z replikacją informacji pomiędzy kontrolerami domen oraz umożliwienie użytkownikom podłączanie się do kontrolerów domen z wykorzystaniem szybkich i niezawodnych połączeń.
Lokacje stanowią odzwierciedlenie fizycznej struktury (topologii) sieci komputerowej, podczas gdy domeny stanowią odwzorowanie logicznej struktury firmy, która wykorzystuje tę sieć.
Kontroler domeny (ang. domain controller) to komputer pracujący z systemem Windows Server 2003 w jednej z trzech odmian: Standard Edition, Enterprise Edition lub Datacenter Edition, który przechowuje replikę bazy katalogowej. Kontroler domeny zarządza również zmianami w informacjach katalogowych i replikuje te zmiany do innych kontrolerów w tej samej domenie. Kontrolery domeny przechowują dane katalogowe, zarządzają procesem logowania się użytkowników, uwierzytelnianiem oraz przeszukiwaniem danych katalogowych.
AD wykorzystuje model replikacji określany jako multi-master, co oznacza, że wszystkie kontrolery domeny w określonej domenie mogą wprowadzać zmiany informacji w AD i replikować te zmiany do wszystkich pozostałych kontrolerów w domenie.
Wybranym kontrolerom domeny przydzielane są dodatkowe funkcje, które nie podlegają replikacji w trybie multi-master. Najważniejszą z nich jest Global Catalog Server.
Katalog globalny (ang. global catalog) jest składnicą informacji zawierającą podzbiór atrybutów dla wszystkich obiektów w AD, to znaczy tych które są najczęściej używane w zapytaniach kierowanych do AD (np. nazwa logowania dla konta użytkownika). Katalog globalny zawiera informacje niezbędne do zlokalizowania dowolnego obiektu.
Serwerem globalnego katalogu jest kontroler domeny, który przechowuje kopię katalogu globalnego i obsługuje zapytania kierowane do katalogu globalnego. Domyślnie, pierwszy tworzony kontroler domeny w AD staje się serwerem globalnego katalogu.
Katalog globalny spełnia dwie podstawowe funkcje:
umożliwia użytkownikom zalogowanie się do sieci, dzięki dostarczaniu informacji o przynależności do tzw. grup uniwersalnych poszczególnym kontrolerom domeny, na których proces logowania został zainicjowany
umożliwia użytkownikom odnajdowanie informacji w całym lesie, niezależnie od położenia tych danych
Active Directory - Konwencje nazewnicze obiektów
Aby zlokalizować zasoby sieciowe, użytkownicy i aplikacje muszą znać nazwę lub jakieś atrybuty zasobu.
Distinguished Name (DN)
Każdy obiekt w AD ma unikatową nazwę wyróżniającą (ang. distinguished name). Identyfikuje ona domenę, w której obiekt jest zlokalizowany, wraz z kompletna ścieżką dzięki której można się do niego dostać.
Przykład:
CN=Jan Student, OU=OurUsers, DC=wsisiz, DC=edu, DC=pl
Identyfikuje obiekt użytkownika Jan Student, umieszczony w jednostce organizacyjnej OurUsers, znajdującej się na poziomie głównym w domenie Windows 2003 o nazwie wsisiz.edu.pl
Skróty stosowane w nazwach wyróżniających: CN oznacza common name, OU oznacza organizational unit, natomiast DC oznacza domain component.
Canonical name
Nazwa potoczna (ang. canonical name) jest to nazwa DN zapisana w kolejności odwrotnej (nie dotyczy to nazwy domeny DNS)
Przykład:
wsisiz.edu.pl/OurUsers/Jan Student
(Nazwa potoczna jest wyświetlana m.in. w zakładce Object właściwości obiektów)
Relative Distinguished Name (RDN)
Względna nazwa wyróżniająca (ang. relative distinguished name) jednoznacznie identyfikuje obiekt wewnątrz kontenera nadrzędnego.
Przykład:
RDN dla obiektu Jan Student ma postać CN=Jan Student
RDN dla obiektu OurUsers ma postać OU=OurUsers
User Principal Name (UPN)
Główna nazwa użytkownika (ang. user principal name) dotyczy tylko obiektów kont użytkowników. Składa się z nazwy logowania użytkownika (ang. logon name), symbolu @ oraz sufiksu głównej nazwy użytkownika, którym domyślnie jest nazwa DNS-owa domeny, w której znajduje się obiekt użytkownika.
Nazwa UPN może być użyta do zalogowania się do domeny albo w poleceniach takich jak runas czy net use
Przykład:
Jeśli nazwa logowania użytkownika Jan Student w domenie wsisiz.edu.pl ma postać JStudent, to UPN tego obiektu
ma postać JStudent@wsisiz.edu.pl
(Mimo możliwego podobieństwo UPN do adresu e-mail użytkownika, nie są one tym samym)
Globally Unique Identifier (GUID)
Globalnie unikatowe ID (ang. globally unique identifier) obiektu jest 128-bitową liczbą w notacji szesnastkowej, przypisywaną przez Windows 2003 obiektowi podczas jego utworzenia. Jest to unikatowa wartość jednoznacznie identyfikująca każdy obiekt. GUID obiektu nigdy nie ulega zmianie, nawet jeśli obiekt zostanie przeniesiony lub będzie miał zmienioną nazwę. Aplikacje mogą zapamiętać GUID obiektu i uzyskać wtedy dostęp do niego nawet gdy jego nazwa wyróżniająca (DN) ulegnie zmianie. GUID jest też używany wewnętrznie przez Active Directory.
******************************************************************************************
ZAJĘCIA 11 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
Zalogować się jako Administrator w Windows Server 2008.
Utworzyć folder c:\roboczy i wpisać do niego pliki wskazane przez prowadzącego.
Dla potrzeb bieżących zajęć utworzyć dwuosobowe zespoły. W kolejnych ćwiczeniach komputer partnera w zespole będzie oznaczany jako szYYY, natomiast własny komputer jako szXXX.
Każdy zespół otrzymuje numer, oznaczany w dalszej części ćwiczeń jako N, niezbędny do prawidłowego zdefiniowania adresów IP komputerów i nazw domen.
Ćwiczenie 2 (Instalacja Active Directory na serwerze, utworzenie domeny)
Celem pozostałych ćwiczeń jest:
utworzenie domeny Windows 2008 (instalacja Active Directory)
dołączenie do tej domeny jednego komputera (serwera członkowskiego)
wypróbowanie niektórych cech pracy użytkowników w domenie
wypróbowanie niektórych możliwości użycia jednostek organizacyjnych w domenie
i na koniec:
usunięcie komputera z domeny
usunięcie domeny
Jeden z komputerów w zespole będzie pełnił rolę kontrolera domeny i nosił nazwę dcXXX.
Drugi komputer w zespole będzie pełnił rolę komputera należącego do domeny i nosił nazwę memYYY.
Poszczególne ćwiczenia powinny być wykonywane w uzgodnieniu i wspólnie.
Części ćwiczeń przeznaczone do wykonania tylko na komputerze pełniącym rolę kontrolera domeny będą oznaczane jako (DC), natomiast przeznaczone do wykonania tylko na komputerze należącym do domeny będą oznaczane jako (Member).
W ramach dwuosobowego zespołu (o numerze N przydzielonym przez prowadzącego zajęcia) wyznaczyć, który komputer będzie pełnił rolę kontrolera domeny dcXXX, a który serwera członkowskiego memYYY.
Pierwszym etapem ćwiczeń jest zainstalowanie Active Directory i utworzenie domeny labN.wsisiz.edu.pl na serwerze.
(DC) Konfiguracja sieciowa przyszłego kontrolera domeny
Uruchomić system Windows Server 2008 i zalogować się jako Administrator.
Uruchomić secpol.msc->Account policies->Password Policy->Password must meet complexity requirements ->Properties->Disabled.
Zmienić hasło Administratora na domena ([Ctrl+Alt+Del], Change Password...)
Zdefiniować następujące parametry TCP/IP (Control Panel - Network and Internet - Network and Sharing Center - Local Area Connection - Properties - Internet Protocol Version 4(TCP/IP) - przycisk Properties)
IP address: 172.16.N.201 (gdzie N jest numerem zespołu)
Subnet mask: 255.255.0.0
Pozostałe rubryki nie mają być wypełnione.
Zdefiniować następujące parametry identyfikacji sieciowej (Computer -> okno System->Change Settings -> Computer Name - przycisk Change):
Computer name: dcXXX (gdzie XXX to cyfry występujące w oryginalnej nazwie szXXX, np. dc615 dla sz615)
przycisk More, rubryka Primary DNS suffix of this computer ma być pusta.
Zrestartować system. Zalogować się jako Administrator.
(DC) Instalacja Active Directory łącznie z serwerem DNS, utworzenie domeny
Uruchomić kreator Active Directory Domain Services Installation Wizard wprowadzając w rubryce Start - Run nazwę polecenia dcpromo.exe. Przed jego uruchomieniem będą instalować się przez chwilę niezbędne pliki binarne.
Na ekranie Welcome to the Active Directory Domain Services Installation Wizard nacisnąć przycisk Next.
Na ekranie Operating System Compatibility informującym o niedostosowaniu starszych systemów Windows (Windows 95 oraz Windows NT4 SP3) do współpracy z domeną Windows 2008 nacisnąć Next.
Na ekranie Choose a Deployment Configuration wybrać wariant Domain controller for a new domain. I kliknąć Next.
Na ekranie Create New Domain wybrać Domain in a new forest.
Na ekranie Name the Forest Root Domain wpisać nazwę lab1.wit.edu.pl i wcisnąć Next.
Na ekranie Set Forest Functional Level pozostaw domyślne ustawienia i kliknij Next.
Sprawdź, czy na ekranie Additinal Domain Controller Options, w rubryce Select additional option for this domain controller jest zaznaczone okno DNS server i wciśnij Next.
Na ekranie ostrzegawczym, stwierdzającym o braku automatycznego połaczenia z domeną wit.edu.pl eciśnij Yes
Na ekranie Location For Database, Log Files And SYSVOL, zaakceptuj domyślne ustawienia i kliknij Next
Na ekranie Directory Services Restore Mode Administrator Password wpisać (dwukrotnie) hasło restore
(To hasło jest wymagane, w sytuacji gdy zajdzie potrzeba odtworzenia zawartości Active Directory). Kliknij Next.
Pojawi się ekran Summary zawierający podsumowanie podjętych decyzji (m.in. informujący o chęci zainstalowania pierwszego kontrolera domeny w nowym lesie drzew domen oraz planowanym zainstalowaniu usługi DNS na tym komputerze. Nazwa nowej domeny jest tutaj jednocześnie nazwą nowego lasu drzew domen).
Nacisnąć przycisk Next akceptujący proponowaną instalację i konfigurację Active Directory.
Przebieg instalacji i konfiguracji będzie sygnalizowany odpowiednimi komunikatami - trwa to dłuższą chwilę.
Na zakończenie pojawi się ekran Completing the Active Directory Domain Services Installation Wizard. Nacisnąć przycisk Finish a potem przycisk Restart Now. System uruchomi się po czasie dłuższym niż zwykle.
(DC) Sprawdzenie instalacji i dostosowanie konfiguracji.
W oknie logowania pojawił się użytkownik LABN/Administrator Zalogować się jako ten użytkownik..
W oknie Initial Configuration Tasks pojawiły się nowe pozycje informujące o domenie i nowych rolach komputera. Nacisnąć przycisk Close.
W oknie Network, potem Network and Sharing Center powinna pojawić się domena LABN zawierająca komputer dcXXX.
W Administrative Tools uruchomić Active Directory Users and Computers. Powinna być w nim nazwa zdefiniowanej domeny labN.wsisiz.edu.pl. Rozwinąć ten węzeł. W kontenerze Domain Controllers powinna być wymieniona nazwa kontrolera domeny dcXXX.
Sprawdzenie poprawności pracy DNS-a można wykonać dzięki Administrative Tools - DNS. Wskazać w drzewie konsoli nazwę serwera dcXXX, wyświetlić menu kontekstowe, potem Properties i przejść do zakładki Monitoring.
Zaznaczyć pozycję A simple query against this DNS server i nacisnąć przycisk Test Now. Pomyślny przebieg testu jest sygnalizowany wartością PASS.
Odznaczyć w/w pozycję.
(DC)
Otworzyć okno Command Prompt.
Wykonać polecenie ipconfig /all i sprawdzić parametry TCP/IP serwera dcXXX.
Wykonać polecenia:
nslookup dcXXX powinien być wyświetlony adres IP serwera
nslookup 172.16.N.201 zwykle zostanie zasygnalizowany błąd (Non-existent domain)
Przyczyną sygnalizacji błędu w drugim przypadku, jest brak zdefiniowanej tzw. strefy odwrotnej DNS (ang. reverse lookup zone) służącej do tłumaczenia adresów IP na nazwy komputerów.
Aby to skorygować należy zdefiniować strefę odwrotną i umieścić w niej adres IP serwera dcXXX. W tym celu uruchomić Administrative Tools - DNS, rozwinąć węzeł dcXXX, zaznaczyć pozycję Reverse Lookup Zones i z jej menu kontekstowego wybrać New Zone.... Zostanie uruchomiony kreator tworzenia nowej strefy, nacisnąć przycisk Next. Na ekranie Zone Type zaznaczyć wariant Primary Zone oraz zostawić zaznaczoną opcję Store the zone in Active Directory (available only if DNS server is a domain controller), po czym na ekranie Active Directory Zone Replication Scope zostawić zaznaczoną pozycję To all domain controllers in this domain labN.wsisiz.edu.pl.
Na ekranie Reverse Lookup Zone Name zaznaczyćIPv4 Reverse lookup zone i wcisnąć Next.
Na drugim ekranie Reverse Lookup Zone Name zaznaczyć Network ID i w wpisać numer sieci związany z komputerami zespołu czyli 172.16.N (gdzie N jest numerem zespołu). Na ekranie Dynamic Update zostawić opcję Allow only secure dynamic updates (recommended for Active Directory). Na ekranie Completing the New Zone Wizard nacisnąć przycisk Finish. Rozwinąć węzeł Reverse Lookup Zones. Powinien pojawić się w nim węzeł N.16.172.in-addr.arpa Wskazać ten węzeł. Z menu kontekstowego tej strefy odwrotnej wybrać pozycję New Pointer (PTR)..., w rubryce Host IP number wypełnionej częściowo przez adres sieci 172.16.N dopisać 201, a w rubryce Host name pełną nazwę kwalifikowana serwera dcXXX, tj. dcXXX.labN.wit.edu.pl. (łącznie z kropką końcową w nazwie) i nacisnąć OK.
Zmodyfikować następujące parametry TCP/IP (Local Area Connection Properties - Internet Protocol (TCP/IP) - przycisk Properties) umieszczając w rubryce
Preferred DNS server: adres 172.16.N.201 (gdzie N jest numerem zespołu) tego serwera
i zatwierdzić tą zmianę.
Ponownie wykonać polecenie nslookup:
nslookup dcXXX powinien być wyświetlony adres IP serwera
nslookup 172.16.N.201 powinna być wyświetlona nazwa serwera
Ćwiczenie 3 (Definiowanie domenowego konta użytkownika)
Konta użytkowników w domenie są zwykle definiowane w taki sposób, że konto wykorzystuje profil wędrujący (ang. roaming profile), katalog osobisty (ang. home folder) udostępniany z serwera sieciowego oraz (w razie potrzeby) udostępniany w sieci skrypt logowania (ang. logon script). Konta udostępniamy pod daną nazwą albo poleceniem net share, abo z menu kontekstowego plików Properties->Sharing->Advanced Sharing. Po wpisaniu odpowiednich danych stosujemy przycisk Permissions i dalej postępujemy klasycznie wybierając użytkowników i przydzielając im uprawnienia. Udostępnianie nie będzie na razie w pełni zrealizowane, gdyż nie jest chwilowo zrealizowana prawidłowo rola file server.(Rola ta pojawi się wszakże jako zainstalowana, po „udostępnieniu' przez nas plików - nie ma jednak pełnej funkcjonalności).
(DC) Udostępnienie katalogów przechowujących profile i katalogi osobiste
Pracując jako Administrator na kontrolerze domeny dcXXX, sprawdzić czy jest i w razie potrzeby dodać do uprawnień dostępu dla foldera C:\Users pozycję Full Control dla grupy Authenticated Users. Następnie udostępnić folder C:\Users jako Profiles, definiując uprawnienia dostępu do zasobów współdzielonych jako Full Control dla grupy Authenticated Users i usuwając pozostałe.
Utworzyć katalog C:\Home i udostępnić go pod nazwą Home. Zdefiniować uprawnienia dostępu do zasobów współdzielonych jako Full Control dla grupy Users i usuwając pozostałe.
(DC) Udostępnienie skryptu logowania
W katalogu udostępnionym jako netlogon (sprawdzenie jego lokalizacji: net share netlogon) utworzyć przy pomocy edytora Notepad skrypt logon.cmd zawierajacy (przykładową) treść powodującą podłączenie się do zasobu sieciowego tzn. polecenie:
net use I: \\dcXXX\zajecia
Udostępnić katalog c:\roboczy jako zajecia z domyślnymi uprawnieniami do zasobów współdzielonych.
(DC) Utworzenie konta użytkownika
Zdefiniować w domenie konto użytkownika userdomN (gdzie N jest numerem zespołu) następująco:
uruchomić Administrative Tools - Active Directory Users and Computers, rozwinąć węzeł domeny labN.wsisiz.edu.pl, następnie kontener Users i z menu kontekstowego wybrać New, potem User.
Jako First Name i Last name wpisać swoje imię i nazwisko, jako User logon name wpisać userdomN (gdzie N jest numerem zespołu), nacisnąć przycisk Next, odznaczyć pole User must change password at next logon, zdefiniować hasło user-domN dla tego konta, nacisnąć Next i Finish.
Dwukrotnie kliknąć na nazwie utworzonego konta userdomN (reprezentowanego tutaj i dalej, przez wprowadzone wcześniej imię i nazwisko), wybrać zakładkę Profile i wpisać w polu Profile Path ścieżkę \\dcXXX\Profiles\%username% , w polu Logon script wpisać nazwę logon.cmd (dla skryptów logowania nie podaje się pełnych ścieżek) oraz zdefiniować katalog osobisty zaznaczając w rubryce Home folder pole Connect, wybierając dysk logiczny H: i w rubryce To wpisując ścieżkę \\dcXXX\Home\%username%, nacisnąć OK.
W ten sposób zarówno profil użytkownika userdomN jak i jego katalog osobisty będą dostępne poprzez sieć, oraz użytkownik będzie korzystał zawsze z tego samego profilu i katalogu osobistego nawet gdy zaloguje się na innym komputerze w domenie. Taki profil nosi nazwę profilu wędrującego.
Ponadto, użytkownik korzysta ze skryptu logowania zdefiniowanego w domenie.
(DC) Próba logowania zwykłego użytkownika na kontrolerze domeny
Pracując na serwerze dcXXX podjąć próbę zalogowania się jako użytkownik userdomN. (Stosując przycisk Switch User). Ta próba nie powinna się udać. System Windows Server 2003 generuje komunikat informujący, że sposób logowania na tym komputerze jest niewłaściwe - jest to domyślne zachowanie wobec zwykłych użytkowników logujących się na kontrolerach domeny Windows 2008. W razie potrzeby można to zmienić, przydzielając prawo (ang. user right) Log on locally odpowiedniej grupie użytkowników.
Ćwiczenie 4 (Dołączenie komputera do domeny)
Drugim etapem ćwiczeń jest dołączenie serwera członkowskiego memYYY do domeny labN.wsisiz.edu.pl.
(Member) Konfiguracja sieciowa przyszłego serwera członkowskiego w domenie
Uruchomić system Windows Server 2008 i zalogować się jako Administrator. Wyłączyć wymaganie złożonosci hasła i zmienić hasło ma member.
Zdefiniować następujące parametry TCP/IP (podobnie jak w ćwiczeniu 2)
IP address: 172.16.N.101 (gdzie N jest numerem zespołu)
Subnet mask: 255.255.0.0
Preferred DNS server: 172.16.N.201 (czyli adres serwera dcXXX)
Pozostałe rubryki nie mają być wypełnione.
Zdefiniować następujące parametry identyfikacji sieciowej (System Properties - Computer Name - przycisk Change):
Computer name: memYYY (gdzie YYY to cyfry występujące w oryginalnej nazwie szYYY, np. mem614 dla sz614)
Zrestartować system Zalogować się jako Administrator.
(Member) Dołączenie komputera do domeny
Usunąć komputer z grupy roboczej i przyłączyć do domeny, wybierając System Properties - Computer Name - przycisk Change, w rubryce Member of zaznaczając Domain i wpisując nazwę domeny labN.wit.edu.pl (gdzie N jest numerem zespołu) oraz naciskając OK.
W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie dodawania komputerów do tej domeny. Jako nazwę konta podać userdomN, jako hasło user-domN (gdzie N jest numerem zespołu) czyli parametry konta zwykłego użytkownika w domenie - oczywiście można byłoby też podać konto Administrator, z hasłem domena.
Po wyświetleniu komunikatu potwierdzającego udane dołączenie do domeny (Welcome to labN.wsisiz.edu.pl domain), zrestartować system (jego start trwa dłużej niż zwykle).
(Member) Sprawdzenie efektów dołączenia do domeny
W oknie logowania pojawia się pole MEMYYY\Administrator. Jest to administrator lokalnego serwera. Administratora domeny logujemy jako LAB1\Administrator.
Zalogować się jako userdomN (czyli posługując się kontem zdefiniowanym w domenie), podając hasło
user-domN. Otworzyć okno wiersza poleceń i zauważyć, że katalogiem bieżącym (tutaj jest nim katalog osobisty) jest katalog H:\, czyli zasób sieciowy. Następnie sprawdzić, że profil tego użytkownika jest profilem wędrującym (roaming), zaglądając do Control Panel - System - Advanced - User Profiles - Settings, gdzie w spisie powinna być pozycja LABN\userdomN (nie skonfigurowaliśmy roli serwera plików, więc profil może być nadal niedostępny - pojawi się okno ostrzegawcze)
Skutkiem wykonania się skryptu logowania powinno być podłączenie zasobu \\dcXXX\roboczynn jako dysku I:, co można sprawdzić poleceniem net use
Dane charakteryzujące konto userdomN można wyświetlić poleceniem:
net user userdomN /domain
Ponownie zalogować się jako userdomN, tym razem jednak wykorzystując nazwę UPN (user principal name), tzn. wpisując w rubryce User name: nazwę userdomN@labN.wit.edu.pl oraz odpowiednie hasło.
(Member)
Zalogować się jako administrator domeny, czyli użytkownik Administrator, z hasłem domena przy wybranej w rubryce Log on to: nazwie domeny LABN
Sprawdzić poprawność informacji DNS dla serwera członkowskiego wykonując w oknie Command Prompt polecenia:
nslookup memYYY
nslookup 172.16.N.101
Obydwa polecenia powinny wykonać się poprawnie.
((DC)
Skąd w DNS pojawiła się informacja o serwerze członkowskim? Uruchomić Administrative Tools - DNS, w razie potrzeby zaznaczając rubrykę The following computer i wpisując w niej dcXXX oraz naciskając OK. Sprawdzić, że dla tego serwera zarówno w strefie Forward Lookup Zone (o nazwie labN.wsisiz.edu.pl) jak i Reverse Lookup Zone (o nazwie 1.16.172.in-addr.arp) pojawiły się wpisy (tzw. rekordy zasobów) dotyczące komputera memYYY. Wykorzystana tu została własność tzw. dynamicznej aktualizacji serwera DNS.
Uruchomić Administrative Tools - Active Directory Users and Computers. Powinna być w nim nazwa zdefiniowanej domeny labN.wsisiz.edu.pl. Rozwinąć ten węzeł. W kontenerze Computers powinna być wymieniona nazwa: memYYY
Ćwiczenie 5 (Usunięcie komputera z domeny)
(Member)
Zalogować się jako Administrator domeny.
Usunąć komputer z domeny i przyłączyć do grupy roboczej, wybierając System Properties - Computer Name - przycisk Change, w rubryce Member of zaznaczając Workgroup i wpisując nazwę grupy roboczej WORKGROUP, naciskając OK.
Po wyświetleniu komunikatu potwierdzającego udane przyłączenie do grupy roboczej, zmienić hasło na dawne hasło, wprowadzić warunek złożoności dla haseł i zrestartować system.
Ćwiczenie6 (Usunięcie ostatniego kontrolera domeny, likwidacja domeny,
usunięcie serwera DNS)
W domenie Windows 2003 może pracować kilka kontrolerów domeny. Dopóki nie zostanie usunięty ostatni z nich domena spełnia swoje funkcje.
(DC)
Pracując jako administrator domeny, uruchomić Active Directory Domain Services Installation Wizard wprowadzając w rubryce Start - Run nazwę polecenia dcpromo.exe
Na ekranie Welcome to the Active Directory Domain Services Installation Wizard zostanie wyświetlona informacja, że ten komputer jest już kontrolerem domeny Active Directory i kreator zostanie użyty do usunięcia Active Directory z niego. Usunięcie Active Directory spowoduje, że komputer będzie pracował jako zwykły serwer samodzielny lub członkowski w domenie.
Nacisnąć Next.
Pojawi się ostrzeżenie, że ten kontroler domeny spełnia rolę serwera Global Catalog, służącego do obsługi procesu logowania się użytkowników. Potwierdzić ten komunikat przyciskiem OK.
Na ekranie Delete the Domain zaznaczyć rubrykę Delete the Domain because this server is the last domain controller in the domain.
Pojawi się ostrzeżenie, że nie będzie już można rozszyfrowywać nazw komputerów w domenie. Wcisną ć OK
Na ekranie Application Directory Partitions pojawi się informacja, że ten kontroler domeny przechowuje ostatnią replikę aplikacyjnych partycji katalogowych. Zaakceptować ich usunięcie przyciskiem Next.
Na ekranie Confirm Deletion zaznaczyc rubrykę Delete all application directory partitions on this domain controller i nacisnąć Next.
Na ekranie Administrator Password wprowadzić dwukrotnie nowe hasło Administratora w postaci Bartek2011 - będzie ono obowiązywać po usunięciu roli kontrolera domeny z tego systemu.
Pojawi się podsumowanie Summary podjętych decyzji, zawierające stwierdzenie, że usunięcie Active Directory z tego komputera spowoduje, iż domena przestanie istnieć. Serwer stanie się zwykłym serwerem samodzielnym (należącym do grupy roboczej WS2003LAB).
Nacisnąć przycisk Next akceptujący skutki tych decyzji.
Przebieg usuwania będzie sygnalizowany odpowiednimi komunikatami - trwa to dłuższą chwilę.
Na zakończenie pojawi się ekran Completing the Active Directory Installation Wizard z informacją o usunięciu Active Directory. Nacisnąć przycisk Finish a potem przycisk Restart Now.
Zalogować się jako Administrator
Przywrócić wymaganie o złozonosci haseł.
W oknie Configure Your Server Wizard wyświetlany jest komunikat informujący, że ten komputer przestał pełnić rolę kontrolera domeny (Domain Controller Role Removed). Nacisnąć przycisk Finish.
Używając Administrative Tools - Manage Your Server - Add or remove a role - zaznaczyć DNS Server i nacisnąć Next - zaznaczyc rubrykę Remove the DNS server role i nacisnąć Next
W oknie Configure Your Server Wizard będzie wyświetlony komunikat informujący, że ten komputer przestał pełnić rolę serwera DNS (DNS server Role Removed). Nacisnąć przycisk Finish.
Ćwiczenie 7 (Porządki)
(Member) Zalogować się jako Administrator do systemu Windows Server 2003 Instalacja standardowa
Usunąć z dysku lokalnego folder C:\roboczy1 wraz z całą zawartością.
Posługując się Control Panel - Add or Remove Programs, usunąć dodatkowe narzędzia Windows Server 2003 Administration Tools Pack
Posługując się Control Panel - System - Advanced - User Profiles - Settings, usunąć wszystkie profile Account Unknown.
Przywrócić standardowe parametry TCP/IP (Local Area Connection Properties - Internet Protocol (TCP/IP) - przycisk Properties) zaznaczając: Obtain an IP address automatically oraz Obtain DNS server address automatically
Przywrócić następujące parametry identyfikacji sieciowej (System Properties - Computer Name - przycisk Change):
Computer name: szYYY
More - Primary DNS suffix of this computer (jeśli jest zwartość, usunąć ją zostawiając to pole puste)
Zrestartować system.
(DC) Będąc zalogowany jako Administrator do systemu Windows Server 2003 Kontroler domeny:
Zmienić hasło użytkownika Administrator na używane w Szkole.
Zlikwidować udostępnianie foldera C:\roboczy jako zajecia
Usunąć z dysku lokalnego folder C:\roboczy wraz z całą zawartością.
Zlikwidować udostępnianie foldera C:\Users jako Profiles
Zlikwidować udostępnianie foldera C:\Home jako Home.
Usunąć katalog C:\Home.
Posługując się Control Panel - System - Advanced - User Profiles - Settings, usunąć wszystkie profile Account Unknown.
Zmienić parametry TCP/IP (Local Area Connection Properties - Internet Protocol (TCP/IP) - przycisk Properties) zaznaczając: Obtain an IP address automatically oraz Obtain DNS server address automatically
Zmienić następujące parametry identyfikacji sieciowej (System Properties - Computer Name - przycisk Change):
Computer name:szXXX
More - Primary DNS suffix of this computer (usunąć zwartość i pozostawić to pole puste)
Zrestartować system.
7