Active Directory - szybki start
Wstęp
Zaczynamy z grubej rury. Przed nami szybki start serii, w której przećwiczymy instalację oraz konfigurację środowiska dla firmy. W pierwszych założeniach przyjmiemy, że będzie to mała firma mająca około 30-50 użytkowników, jednak w miarę postępów serii będziemy rozszerzać wymagania. Wykorzystywać będziemy narzędzia udostępnione na TechNet.
Ok! zaczynamy!
Na początek wstęp dla tych, którzy nie są zaznajomieni z tematem Active Directory.
Usługa Active Directory jest narzędziem pozwalającym na zarządzanie praktycznie wszystkimi aspektami obsługi systemów IT w organizacji. Jest to w uproszczeniu baza danych, w której są obiekty oraz powiązania pomiędzy obiektami. Obiekty oraz powiązania mają swoje właściwości. Poniżej drobna wizualizacja dla łatwiejszego zrozumienia.
Tak jak widać powyżej mamy 3 obiekty (2x użytkownik 1x grupa) oraz 2 powiązania (strzałki). Każdy rodzaj obiektu ma swój zestaw atrybutów (rodzaj obiektu to inaczej klasa obiektu). Użytkownik ma atrybuty takie jak: imię, nazwisko, login, hasło, e-mail itp. W miarę poznawania Active Directory poznamy więcej atrybutów i będziemy z nich korzystać w miarę naszych potrzeb. Poznamy również różne typy obiektów.
Jaka z tego korzyść i co nam po tym?
Dla przykładu przyjmijmy, że mamy udostępniony udział sieciowy. Niech to będzie powiedzmy "Dokumenty" na naszym nowym serwerze. Zakładamy, że mamy listę użytkowników, którzy mają mieć dostęp do tego udziału. Możemy w ustawieniach udostępniania folderu dodać użytkowników i dodać im uprawnienia. Możemy podejść do problemu inaczej i dodać uprawnienia do udziału na grupę użytkowników, którzy mają mieć dostęp do tego udziału, następnie dodać użytkowników do grupy. Dla ułatwienia pracy użytkownikom możemy zamapować ten udział jako dysk. Można takie mapowanie ustawić również w Active Directory (w późniejszym etapie), ale znowu musielibyśmy ustawiać takie mapowanie dla każdego z użytkowników - zamiast tak robić ustawiamy mapowanie dysków dla grupy.
Teraz wyobraźmy sobie sytuację, że mamy dodać uprawnienia kolejnemu użytkownikowi oraz zamapować mu dysk z tym działem. Wystarczy, że dodamy go do grupy, na którą zrobiliśmy ustawienia.
W późniejszych przykładach pokażemy jak to się robi, aby łatwiej było zrozumieć.
Pobieramy system operacyjny Windows Server 2012 R2 z TechNet (wymagana prosta rejestracja):
http://www.microsoft.com/pl-pl/server-cloud/products/windows-server-2012-r2/try.aspx
Po pobraniu systemu instalujemy go z wypalonej płyty albo w maszynie wirtualnej. Mamy 180 dni na testy od czasu instalacji systemu!
Jaka z tego korzyść i co nam po tym?
Dla przykładu przyjmijmy, że mamy udostępniony udział sieciowy. Niech to będzie powiedzmy "Dokumenty" na naszym nowym serwerze. Zakładamy, że mamy listę użytkowników, którzy mają mieć dostęp do tego udziału. Możemy w ustawieniach udostępniania folderu dodać użytkowników i dodać im uprawnienia. Możemy podejść do problemu inaczej i dodać uprawnienia do udziału na grupę użytkowników, którzy mają mieć dostęp do tego udziału, następnie dodać użytkowników do grupy. Dla ułatwienia pracy użytkownikom możemy zamapować ten udział jako dysk. Można takie mapowanie ustawić również w Active Directory (w późniejszym etapie), ale znowu musielibyśmy ustawiać takie mapowanie dla każdego z użytkowników - zamiast tak robić ustawiamy mapowanie dysków dla grupy.
Teraz wyobraźmy sobie sytuację, że mamy dodać uprawnienia kolejnemu użytkownikowi oraz zamapować mu dysk z tym działem. Wystarczy, że dodamy go do grupy, na którą zrobiliśmy ustawienia.
W późniejszych przykładach pokażemy jak to się robi, aby łatwiej było zrozumieć.
Ok! Przejdźmy do pracy!
Pobieramy system operacyjny Windows Server 2012 R2 z TechNet (wymagana prosta rejestracja):
http://www.microsoft.com/pl-pl/server-cloud/products/windows-server-2012-r2/try.aspx
Po pobraniu systemu instalujemy go z wypalonej płyty albo w maszynie wirtualnej. Mamy 180 dni na testy od czasu instalacji systemu!
Instalacja
W zasadzie instalacja Windows Server 2012 R2 nie różni się niczym od instalacji systemów klienckich Windows 7 lub nowszych, więc pominę szczegółowy opis. Zwrócę jedynie uwagę na kilka kroków podczas instalacji.
Mamy możliwość instalacji systemu serwerowego z możliwością wyboru, czy środowisko graficzne ma być zainstalowane czy też nie. Powinno się instalować systemy serwerowe bez środowiska graficznego i zarządzać nimi za pomocą narzędzi zdalnych. Jednak w praktyce nikogo nie znam, kto by tak robił, więc i my instalujemy środowisko graficzne.
Polecam również ustawić hasło użytkownika Administrator na P@ssw0rd
takie "skomplikowane" hasło uprości nam instalację AD.
Po instalacji i pierwszym logowaniu powinien przywitać nas Server Manager. O tej aplikacji można napisać książki i nie wyczerpać tematu, ponieważ bazuje on na skryptach PowerShell dodawanych do systemu wraz z instalacją kolejnych usług, których pewnie z czasem będzie coraz więcej. W tym oknie pewnie będziemy wykonywać większość operacji związanych z instalacjami oraz konfiguracją.
Na tym etapie możemy jasno powiedzieć, że instalacja za nami.
Jedziemy z instalacją Active Directory Directory Services
Do instalacji tej usługi wykorzystamy Server Manager. Całość zamyka się w roli. Poniżej kolejne kroki:
1. klikamy "Add roles and features"
1. klikamy "Add roles and features"
2. na pierwszej stronie kreatora klikamy "next"
3. na kolejnej wybieramy role-based or "feature-based installation" i "next" ;)
4. wybieramy serwer (mamy tylko jeden) i "next"
5. zaznaczamy "Active Directory Domain Services"
6. dostaniemy monit z prośbą o potwierdzenie, czy doinstalować dodatkowe składniki, które są wymagane przez rolę, zatwierdzamy... i klikamy "next"
7. następnie możemy doinstalować dodatkowe wybrane przez nas składniki (nie zaznaczamy nic tylko klepiemy "next") ...
8. klepiemy "next" aż będzie na końcu "install", który też naciskamy...
W tym momencie instaluje nam się usługa. Pozwolę sobie wprowadzić nieco teorii...
3. na kolejnej wybieramy role-based or "feature-based installation" i "next" ;)
4. wybieramy serwer (mamy tylko jeden) i "next"
5. zaznaczamy "Active Directory Domain Services"
6. dostaniemy monit z prośbą o potwierdzenie, czy doinstalować dodatkowe składniki, które są wymagane przez rolę, zatwierdzamy... i klikamy "next"
7. następnie możemy doinstalować dodatkowe wybrane przez nas składniki (nie zaznaczamy nic tylko klepiemy "next") ...
8. klepiemy "next" aż będzie na końcu "install", który też naciskamy...
W tym momencie instaluje nam się usługa. Pozwolę sobie wprowadzić nieco teorii...
Podstawy Active Directory
Po instalacji usługi musimy wstępnie skonfigurować usługę, aby zrozumieć wszystkie elementy kolejnego kreatora. Przedstawię tutaj trochę podstawowych informacji:
1. usługa AD opiera się w całości o DNS (Domain Name Services) - dzięki DNS inne maszyny wiedzą gdzie jest usługa
2. serwer, na którym zainstalujemy usługę będzie się nazywał kontrolerem domeny
3. nasze usługi muszą działać pod jakąś nazwą domenową (w ten sposób możemy rozróżnić usługi AD nazywane często katalogowymi)
na razie tyle...
przechodzimy do...
Konfiguracja Active Directory - pierwsza domena
Po instalacji usługi w pierwszej kolejności powinniśmy ustawić dobrą nazwę naszego serwera, gdyż potem zmiana nazwy będzie bardzo uciążliwa, więc zróbmy to teraz.
Odpalamy okno zmiany nazwy (sysdm.cpl), klikamy change i ustawiamy (najlepiej tak, jak na screenie poniżej).
Po zmianie nazwy oczywiście restartujemy serwer. Po restarcie logujemy się ponownie i...
Server Manager wita nas komunikatem, że możemy ten serwer wypromować do roli kontrolera domeny (możemy, bo wcześniej rolę zainstalowaliśmy:) ).
No to jedziemy z koksem...
Pierwsze pytanie: czy instalujemy nowy kontroler w istniejącej domenie, czy w nowej domenie w istniejącym lesie, czy może nowy las chcemy zainstalować?? Co teraz?
Już tłumaczę. Las jest workiem na domeny i musi istnieć zawsze. Domena jest zawsze w lesie być może obok innych domen, dodatkowo dopowiem, że może istnieć wiele lasów. Więc co robimy? Do tej pory nie mamy nic, dlatego musimy utworzyć las... Klikamy "Add a new forest" i podajemy "root domain name".
Proponuję wpisać: organizacja.pl - o takiej nazwie będzie nasza nowa domena. Jako, że poprosiliśmy o utworzenie lasu, to pusty las nam się utworzy o takiej samej nazwie a następnie domena o również takiej nazwie. Po instalacji przejrzymy o co tu chodzi.
Po wpisaniu nazwy klikamy "next"... Server Manager trochę poszuka, poprzeciąga i stwierdzi, że takiej lokalnej domeny nie ma, więc pozwoli nam taką utworzyć...
Mamy kolejny zestaw pytań...
Do wyboru mamy poziom funkcjonalności lasu oraz poziom funkcjonalności domeny. Od razu wytłumaczę o co tu chodzi, bo potem ciężko to zmienić na poziom niżej. Czym wyższy poziom funkcjonalności, tym więcej bajerów (czasem bardzo potrzebnych) mamy do dyspozycji. Natomiast, jeżeli wybierzemy poziom funkcjonalności na np. 2008 R2, to nie będziemy mogli wykorzystać Windows Server 2003 jako kontroler domeny. Czyli nie działa to wstecz. Ale zaraz... przecież instalujemy AD na Windows Server 2012 R2, to po co takie pytanie?
Być może zechcemy dodać drugi kontroler domeny obok tego, który teraz instalujemy a posiadane licencje zmuszą nas do wykorzystania starszego systemu niż 2012 R2. Jeżeli przewidujemy taką sytuację, to poziom funkcjonalności wybieramy odpowiednio starszy dla domeny i dla lasu.
Jeżeli tylko dla testów instalujesz razem ze mną AD, to proponuję zostawić domyślnie.
Kolejne pytanie - zaznaczoną mamy instalację DNS-u - ?? WTF ?? Po co??
Nie chcemy DNS-u, ponieważ mamy przecież dostęp do internetu i nie jest nam potrzebny... odznaczamy... ale zaraz?domena? to gdzie będzie? Zaznaczamy DNS do instalacji, bo musimy mieć swój serwer DNS, żeby przetrzymywać w nim szereg bardzo potrzebnych rzeczy. Ok, narazie jeszcze nie wiemy co konkretnie, ale zaznaczamy a potem będziemy zaglądać co tam jest.
Global Catalog (GC) - zaznaczony nie możemy odznaczyć - jest to usługa AD, w której przechowywane są index-y (listy użytkowników, przynależności do grup uniwersalnych itd...), jest wymagany przynajmniej jeden w każdej domenie. Znacznie przyśpiesza wyszukiwanie obiektów w AD. Aktualnie Microsoft zaleca instalację DNS oraz GC na każdym kontrolerze domeny. Tak też robimy.
Dalej jest RODC - kontroler domeny tylko do odczytu. Stosowany dość powszechnie w środowiskach, gdzie mamy lokalizacje zdalne. Omówimy w odpowiednim czasie.
Do podania mamy hasło odzyskiwania usług katalogowych - jest to bardzo ważne hasło, dzięki któremu możemy uratować domenę w przypadku, gdy ktoś lub coś w niej za bardzo zamiesza. Wprowadzamy poważne hasło i dbamy o to, aby nam nie zginęło. Ja ustawiam P@ssw0rd :)
Next... Netbios zostawiamy domyślnie Next...
Ścieżki...
Zostawiamy domyślnie, ale... o co tu chodzi? Chodzi o to, gdzie ma być przetrzymywana baza danych AD? Gdzie mają być przetrzymywane logi (zmiany)? A gdzie ma się znajdować SYSVOL (System Volume)?- ustrojstwo przechowujące bardzo krytyczne i istotne elementy naszej usługi AD. Zajrzymy tam po instalacji...
Next...
W następnym oknie mamy podsumowanie...
Next...
Server Manager sprawdza i informuje, że są jakieś ostrzeżenia dotyczące instalacji i delegacji DNS. Niczym się nie przejmując klikamy "install", po instalacji reboot i logujemy się do maszyny ponownie.
Od razu widać, że nie jesteśmy zalogowani jako Administrator, tylko jako ORGANIZACJA\Administrator
O co tu chodzi? Chodzi o to, że wszystkie konta użytkowników są przechowywane w AD - co oznacza, że możemy się logować na tego konkretnego Administratora z tym konkretnym hasłem na każdym komputerze, który jest w naszej usłudze. Fajnie nie? Wystarczy, że w jednym miejscu zmienimy hasło i mamy z głowy problem z tym hasłem na wszystkich komputerach. Mam nadzieję, że widać już powoli udogodnienia... Ok, narazie może jeszcze nie. Oprócz komplikacji z instalacją niczego fajnego nie widać, ale być może zaraz będzie... Co teraz?
Czynności poinstalacyjne
Po pierwsze fajnie by było, gdybyśmy mogli się logować na ten serwer przez pulpit zdalny, więc zróbmy tak: cmd.exe -> sysdm.cpl
Zaznaczamy sobie jak wyżej i zatwierdzamy. Teraz przez połączenie pulpitu zdalnego powinniśmy się połączyć do tego serwera z innego komputera. Gdyby tak nie było, to musimy sobie włączyć w firewall reguły dopuszczające ruch połączeń zdalnych tak, jak poniżej.
Włączamy reguły Remote Desktop i napewno zadziała.
Co dalej? Rozejrzyjmy się trochę...
Menu Tools w Server Manager... Eh to nie na dzisiaj. Jeżeli masz jeszcze trochę siły, to zapraszam do konsolki Active Directory Users and Computers. Proponuję sobie porozwijać trochę strukturę i pooglądać co tu mamy w naszej bazie AD w prezencie od Microsoftu na dzień dobry.
Mamy zainstalowany kontroler domeny w nowym lesie kontrolujący domenę organizacja.pl. Mamy również dostęp zdalny do tego serwera, więc mamy już bardzo dużo. Zapraszam do następnego odcinka.
Moim zdaniem bardzo fajnie opisany problem. Pozdrawiam serdecznie.
OdpowiedzUsuń