WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
Instalacja i zarządzanie kontrolerem domeny w Windows Server 2003
Wstęp
Active Directory (AD) to usługa katalogowa oparta na systemie Windows. Usługa Active Directory
przechowuje informacje dotyczące obiektów w sieci i udostępnia te informacje użytkownikom i
administratorom sieci. Usługa Active Directory (AD) pozwala użytkownikom sieciowym uzyskać dostęp do
udostępnionych zasobów w dowolnym miejscu w sieci podczas jednego procesu logowania. Usługa udostępnia
administratorom sieci intuicyjny widok hierarchiczny sieci i pojedynczy punkt administracji dla wszystkich
obiektów sieciowych.
Instalowanie pierwszego kontrolera domeny na komputerze
Zalety domen sprawiają, że usługa Active Directory jest instalowana w większości sieci opartych na Windows
2000 i 2003. Instalację domeny można przeprowadzić na wiele sposobów. Najprostsze dwa to dodanie roli
kontrolera domeny w dla pierwszego serwera w Narzędziu administracyjnym: „Zarządzaj tym serwerem”, albo
uruchomienie polecenie dcpromo z linii komend. To polecenie służy także do dodawania na kolejnych
serwerach w domenie roli kontrolera domeny oraz do usuwania roli kontrolera domeny z serwera. Gdy
uruchamiamy kontrolera domeny narzędziem graficznym należy pamiętać, że jak wybierzemy konfiguracje
podstawową do zostanie zainstalowana automatycznie dodatkowo rola serwera DNS i serwera DHCP. Gdy
jednak wybierzemy konfigurację niestandardową i wskażemy tylko rolę kontrolera domeny do zainstalowania
na serwerze to później podczas instalacji system zaproponuje albo automatyczne zainstalowanie roli serwera
DNS albo wpisanie w konfiguracje TCP/IP serwera adresy istniejących juz w domenie serwerów DNS. Wybór
instalacji niestandardowej jest zalecany dla administratorów posiadających juz pewna wiedzę z systemów
Windows Server firmy Microsoft.
W ogóle usługa katalogowa Active Directory jest nierozerwalnie powiązana z usługą DNS, ponieważ na
podstawie rozpoznawania nazw poszczególne kontrolery domeny komunikują się ze sobą, proszą o autoryzację,
czy replikują miedzy sobą bazy danych a użytkownikach, grupach i politykach grup.
Baza danych Active Directory wprowadzona od systemu Windows Server 2000 korzysta podczas np. replikacji
między kontrolerami domeny w lesie z usługi DNS (Domain Naming Service) dlatego następne okno podczas
konfiguracji roli kontrolera domeny może dotyczyć stanu tej usługi DNS w naszym serwerze. Okno to pojawi
się zawsze w przypadku gdy na naszym serwerze nie ma zainstalowanej i skonfigurowanej roli serwera DNS.
Możemy wskazać aby nasz kontroler domeny korzystał z zewnętrznego serwera DNS lub dodać do instalacji
rolę serwera DNS na tym komputerze na którym właśnie dodajemy rolę kontrolera domeny. Wybierz
zainstalowanie i skonfigurowanie DNSa na tym komputerze a system w sposób automatyczny podczas instalacji
roli kontrolera domeny dodatkowo zainstaluje, skonfiguruje i zintegruje z nią rolę serwera DNS.
Proces instalacji roli kontrolera domeny:
W oknie Narzędzia administracyjnego „Zarządzaj tym serwerem” pod pozycją Zarządzanie rolami serwera
wybieramy opcję Dodaj lub usuń rolę.
Po wybraniu tej opcji pojawi nam się okno informacyjne w którym należy kliknąć na opcję Dalej.
1/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
W następnym oknie wybieramy rolę Kontroler domeny(Active Directory) żeby go dodać i klikamy na Dalej.
Wyświetla nam się potwierdzenie że wybraliśmy dodawanie AD i uruchamia się kreator instalacji AD.
2/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
Po uruchomieniu kreatora najpierw należy odpowiedzieć na pytanie o typ kontrolera domeny. W każdej
domenie powinny być co najmniej dwa serwery przechowujące bazę AD, dla pierwszego z nich zaznaczamy
opcję Kontroler domeny dla nowej domeny, natomiast dla drugiego opcję Dodatkowy kontroler domeny dla
istniejącej domeny. Instalując serwer zapasowy, powinniśmy najpierw sprawdzić, czy mamy wystarczające
uprawnienia do zakładania dodatkowych kontrolerów i pamiętać że użycie tej opcji spowoduje usunięcie
wszystkich kont lokalnych na tym serwerze. Operacje związane z konfiguracją usługi Active Directory zawsze
wymagają uprawnień administratora domeny.
Następne okno służy do określania typu tworzonej domeny. Serwery Windows 2003 Server mogą budować
środowiska domenowe na olbrzymią skalę. Potrafią łączyć zasoby przedsiębiorstw o zasięgu globalnym, które
mają filie rozproszone na wielu kontynentach. Podstawową jednostką administracji jest domena, natomiast dla
wspomnianych firm można tworzyć drzewa lub lasy domen. Drzewo Active Directory to grupa domen
powiązanych relacją zaufania oraz współdzielących tę samą przestrzeń nazw. Graficznie przypomina to
odwrócone drzewo, które ma domenę nadrzędną (tzw. korzeń) i wychodzące z niej domeny podrzędne. Las liczy
wiele drzew. Elementem wyróżniającym lasy jest brak wspólnej przestrzeni nazw, dlatego służą do grupowania
zasobów korporacji, w których skład wchodzi wiele firm. Podczas instalacji pierwszego kontrolera domeny
należy wybrać opcję Domena w nowym lesie.
3/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
Kolejne pytania kreatora wiążą się z usługą DNS. Ponieważ Active Directory korzysta z tej usługi do
rozwiązywania nazw oraz lokalizacji kontrolerów domeny, należy zainstalować lokalny serwer DNS. Jeśli nie
wiemy, jak go skonfigurować do współpracy z Active Directory, warto wybrać opcję Nie, zainstaluj i
skonfiguruj DNS na tym komputerze. Kreator automatycznie przeprowadzi wówczas integrację systemu z DNS.
W oknie Nazwa nowej domeny wprowadzamy nazwę zakładanej struktury, zgodną ze standardem DNS. Nie
musimy się posługiwać zarejestrowaną nazwą internetową - może być dowolna np. WSKIZ.EDUKACJA.PL W
następnym oknie podajemy nazwę netbiosową domeny. Jest to konieczne ze względu na wykorzystywanie
mechanizmów NetBIOS do realizacji niektórych połączeń sieciowych. Nazwa powinna mieć maksymalnie 15
znaków i wiązać się z wprowadzoną nazwą DNS. Jeśli domena została nazwana WSKIZ.EDUKACJA.PL, to
dobrą nazwą NetBIOS będzie WSKIZ.
Kolejne okna monitują o określenie lokalizacji plików i katalogów przechowujących Active Directory.
Najczęściej nie ma istotnej potrzeby zmiany tych ustawień.
4/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
W następnym oknie wybieramy poziom zgodności uprawnień. Jeśli do domeny będą się podłączać klienci
starszych systemów operacyjnych, powinniśmy wybrać opcję zgodności ze starszymi systemami. Niesie to ze
sobą ryzyko odczytywania pewnych informacji o domenie przez użytkowników anonimowych. Należy jednak
pamiętać, że po ustawieniu restrykcyjnych uprawnień w niektórych przypadkach starsi klienci będą mieli
problemy z podłączeniem się do domeny.
5/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
Na koniec należy podać hasło do trybu przywracania Active Directory. Jest ono wykorzystywane do
uruchomienia systemu podczas awarii usługi katalogowej lub podczas procesu odinstalowania roli kontrolera
domeny czyli usługi AD z serwera
Parametr ten kończy instalację domeny, pojawiają się jeszcze tylko okna informacyjne:
6/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
oraz okno kończące instalację i w tym momencie należy zrestartować system.
Po powtórnym uruchomieniu serwer jest w pełni funkcjonalnym kontrolerem domeny. Dodatkowo w
narzędziach administracyjnych pojawiają się skróty do przystawek związanych z Active Directory gdy już ich
tam wcześniej nie było poprzez zainstalowanie ADMINPACKA (patrz materiały do lab 8)
Zarządzanie kontrolerem domeny Active Directory
Przy zarządzaniu Active Directory mamy możliwość wyboru trzech opcji. Pierwsza z nich to Zarządzaj
użytkownikami i komputerami w usłudze Active Directory. Z tej opcji można otworzyć konsolę do
administrowania i publikowania informacji w katalogu. Druga to Zarządzaj domenami i zaufaniami, która
otwiera konsolę do administrowania zaufaniami domen, poziomami funkcjonalności domen i lasów oraz
sufiksami głównych nazw użytkowników. Ostatni to Zarządzaj lokacjami i usługami otwierający konsolę do
konfigurowania usługi katalogowej, np. administrowanie replikacją danych katalogu.
Wybierając Zarządzaj użytkownikami i komputerami w usłudze Active Directory pojawia nam się okno w
którym są wyświetlane następujące składniki:
Builtin,
7/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
Computers - w którym znajdują się komputery dodane do domeny,
Domain Controllers - w którym znajdują się kontrolery domeny,
ForeignSecurityPrincipals,
Users - w którym są zamieszczeni użytkownicy.
Klikając prawym przyciskiem myszy na naszej domenie pojawi nam się menu kontekstowe. Znajdują się w nim
następujące opcje:
Deleguj kontrolę - opcja ta deleguje kontrolę obiektów usługi Active Directory. Można nadawać
użytkownikom uprawnienia do zarządzania użytkownikami, grupami, komputerami, jednostkami
organizacyjnymi i innymi obiektami przechowywanymi w usłudze Active Directory,
Znajdź - opcja ta umożliwia znalezienie min.: użytkowników, kontaktów, grupy, drukarki, komputery,
foldery udostępnione,
Podłącz do domeny - za pomocą tej opcji można podłączyć się do domeny,
Podłącz do kontrolera domeny - za pomocą tej opcji można podłączyć się do kontrolera domeny,
Podnieś poziom funkcjonalności domeny - opcja ta podwyższa poziom domeny z bieżącego poziomu
(trzeba pamiętać, że po podniesieniu poziomu funkcjonalności domeny nie można tego cofnąć),
Wzorce operacji - wzorzec operacji ma trzy funkcje: zarządza przydzielaniem pul identyfikatorów RID
do innych kontrolerów domeny, emuluje funkcję podstawowego kontrolera domeny dla klientów
systemów starszych niż Windows 2000, wzorzec infrastruktury zapewnia spójność obiektów dla
operacji międzydomenowych (tylko jeden serwer w domenie pełni te trzy role),
Nowy - opcja ta umożliwia dodanie:
o Komputer,
o Kontakt,
8/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
o Grupa,
o InetOrgPerson,
o Alias kolejki usługi MSMQ,
o Jednostka organizacyjna,
o Drukarka,
o Użytkownik
o
Folder udostępniony,
Wszystkie zadania - opcja ta zawiera wszystkie dostępne zadania (które są opisane powyżej):
o
Deleguj kontrolę,
o Znajdź,
o Podłącz do domeny,
o Podłącz do kontrolera domeny,
o Podnieś poziom funkcjonalności domeny,
o Wzorce operacji,
o Wynikowy zestaw zasad(planowanie),
Widok - opcja ta umożliwia dostosowanie wyglądu okna do potrzeb użytkownika,
Nowe okno z tego miejsca - opcja ta umożliwia otworzenie nowego okna z bieżącego miejsca w jakim
się znajdujemy,
Odśwież - opcja odświeżania okna,
Eksportuj listę - eksportowanie listy,
Właściwości - otwiera się okno właściwości, które zawiera zakładki:
o Ogólne,
o Zarządzany przez,
o Zasady grupy,
9/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
Backup i Restore Active Directory na serwerze z kontrolerem domeny
Aby wykonać najprostszą kopię zapasową należy wykonać następujące kroki
1.
Załóż w systemie plików serwera folder archiwum jako przygotowanie do wykonywania w to miejsce backupów
systemu.
2.
Uruchom z Akcesoria -> Narzędzi systemowych aplikację Kopia zapasowa i kliknij Dalej
3. W otwartym oknie wybierz tworzenie kopii zapasowej i kliknij dalej a w następnym oknie wybierz opcję
indywidualnego wyboru zawartości tworzonej kopii zapasowej, ponieważ chcemy zarchiwizować głównie bazę
danych Active Directory. W razie awarii Active Directory w systemie będziemy mogli tym narzędziem
odtworzyć (restore) AD z wcześniej przygotowanej kopii.
4. Jako zawartość kopii zapasowej zaznacz tylko System State – zauważ że wybór ten zawiera bazę AD.
Kliknij Dalej i w następnym oknie wskaż ścieżkę umieszczenia kopii do miejsca wcześniej przygotowanego.
Najlepiej kopię nazywać tak aby łatwo było zidentyfikować kiedy została ona zrobiona i czego dotyczy
5.
W następnym oknie wybierz typ normalny typ kopii (zobacz jakie mogą być inne typy i czy się charakteryzują) i
klikaj w następnych oknach kreatora kopii zapasowej Dalej samemu decydując czy planowana kopia zapasowa
ma przykryć poprzednią czy ma być do niej dołączona. Na końcu kliknij Zakończ aby zaczęło się wykonywanie
kopii.
Backup, Defrag i Restore bazy danych Active Directory w trybie autorytatywnym na serwerze
WS1
Pełny backup bazy Active Directory wykonujemy podczas gdy serwer nie pracuje w trybie
produkcyjnym. Taki backup wykonany w trybie autorytatywnym jest bardzo przydatny do przywrócenia
poprawnego działania AD podczas wystąpienia awarii funkcji-roli kontrolera domeny. Aby wykonać
kopię AD w trybie autorytatywnym należy wykonać następujące kroki:
1. Podczas startu systemu naciskaj F8 aż do pojawienia się menu opcji zaawansowanych systemu Windows i
wybierz: „Tryb przywracania usług katalogowych”.
2.
W trybie linii komend uruchom program zarządzający ntdsutil a potem wpisz files
•
Do katalogu kopia_NTDS skompaktuj istniejącą bazę danych za pomocą polecenie compact to
UWAGA: Nie zamykaj po wykonaniu tego okna!!!
•
Następnie
KONIECZNIE i UWAŻNIE
wykonaj podane dwa polecenia na końcu komunikatów
kompaktowania (copy i del)
•
Ponownie uruchom komputer i sprawdź działanie Active Directory.
10/11
WSKIZ
opracował Paweł Mielke
sieciowe systemy operacyjne
___________________________________________________________________________________
Odinstalowanie roli kontrolera domeny
W oknie usuwania usługi Active Directory należy wskazać czy jest to ostatni kontroler domeny czy nie. Jest to
bardzo ważne ponieważ zawsze w drzewie domen jest jeden tzw. Operation Master czyli najważniejszy
kontroler spełniający specyficzne zadania takie jak:
a. Schema master
b. Domain naming master
c. PDC Emulator
d. RID Master
e. Infrastructure master
f.
przechowywanie tzw. Global Catalogu odpowiedzialnego między innymi za autentykacje podczas
logowania, zarządzanie grupami uniwersalnymi.
Nasz pierwszy kontroler domeny, który został zainstalowany automatycznie jest tzw. Operation Master czyli
spełnia te wszystkie powyższe zadania. Natomiast administrator może niektóre z tych zadań przenieść na inne
kontrolery domen aby np. rozłożyć obciążenie. Przy usuwaniu kontrolera domeny należy zwrócić uwagę czy
któreś z tych zadań nie jest przypisane właśnie do tego kontrolera (chyba że jest to ostatni kontroler domeny).
Gdy tak to należy najpierw to zadanie przenieść (najczęściej uruchomić) na innym kontrolerze a dopiero potem
usuwać rolę kontrolera domeny z naszego serwera.
W naszym przypadku nie jest to ostatni kontroler domeny i nie spełnia tych specjalnych funkcji więc możemy
kontynuować jego usuwanie. Usuń więc tą rolę postępując zgodnie z wskazówkami w kolejnych oknach
kreatora.
11/11