Active Directory, Serwer DNS, DHCP

przez | 1 kwietnia 2014

Active Directory – Jest to usługa katalogowa dla systemów z rodziny Windows. Istnieje możliwość przyłączenia stacji pracujących pod kontrolą Linux.

Wszystkie informacje w Active Directory są grupowane hierarchicznie.

Funkcje Active Directory to m.in.:

– zarządzanie użytkownikami i zasobami sieciowymi

– uwierzytelnianie i autoryzacja

– monitorowanie replikacji i zaufania

– oferowanie dostępu za pomocą protokołu LDAP

– konfiguracja aplikacji oraz składników sieci korzystających z katalogów oraz zarządzanie nimi.

Zaczynamy od przygotowania serwera

1) Konfigurujemy statyczne adresy na karcie sieciowej:

Klikamy START – Control Panel

Przechodzimy następnie do Network and Internet – Network and Sharing Center. Klikamy zakładkę Change adapter settings.

WDS_1

Instalacja oraz konfiguracja usług :

Uruchamiamy menedżer serwera:

WDS2

Klikamy na zakładkę ManageAdd Roles and Features . Powinno otworzyć się następujące okno :

WDS3

Przed instalacją sprawdzamy czy konto Administratora jest dobrze zabezpieczone, czy są ustawione statyczne adresy IP, czy są zainstalowane aktualizacje zabezpieczające nasz serwer.

Klikamy Next.

WDS4

Klikamy Next.

WDS5

Wybieramy serwer na którym chcemy zainstalować usługi. Możemy zainstalować role na fizycznej maszynie. Możemy również wybrać instalację roli na dysku wirtualnym. Klikamy Next.

WDS10

Zaznaczamy usługę do instalacji : W przypadku instalacji usług Active Directory wybieramy Active Directory Domain Services a następnie klikamy Next.

WDS11

Z listy dodatkowych funkcji :

Pozostawiamy domyślnie tylko Group Policy Management. Narzędzie do zarządzania GPO.

Warto jednak znać takie dodatki jak :

– NET Framework 3.5

– Bitlocker Network Unlock – Odszyfrowanie dysku systemowego

– IP Address Management Server – Zarządzanie adresami IP w sieci

– iSCSI Target – Klient do tworzenia dysków iSCSI

– Windows Biometric Framework – umożliwienie uwierzytelniania za pomocą odcisków palców w domenie

Klikamy Next.

WDS12

Dostajemy między innymi informację że usługi AD wymagają serwera DNS. Taki serwer zainstalujemy później.

Klikamy Next.

WDS13

Klikamy na Install.

WDS14

WDS15

Po zakończeniu instalacji klikamy Close.

WDS16

Dostaniemy informację że wymagana jest konfiguracja AD. Klikamy na link Promote this server to a domain controller. Powinno wyskoczyć okno :

WDS17

Możemy stworzyć dodatkowy kontroler lub stworzyć nową domenę w istniejącym lesie. Możemy również dodać nowy las. Wybieramy trzecią opcję 🙂 – Add a new forest.

Podajemy nazwę głównej domeny.

WDS18

Klikamy Next.

WDS19

W tym oknie wybieramy poziom funkcjonalności lasu. Jeżeli posiadamy w naszej sieci jakiś kontroler, który pracuje na starszej wersji systemu Windows Server, to musimy ustawić poziom lasu na takim samym poziomie.

Wybranie poziomu innego niż Windows Server 2012 spowoduje utratę nowych funkcji jakie wdrożono w ten system.

My wybieramy że będzie to na poziomie Windows Server 2012. Przy okazji możemy zainstalować serwer DNS, zaznaczając opcję Domain Name System (DNS) server.

Active Directory bez serwera DNS nie będzie działać !

Należy również ustalić hasło jakie będzie używane do przywracania usług domenowych. Klikamy następnie na Next.

WDS20

Klikamy Next.

WDS21

Nazwę NetBIOS możemy zostawić domyślną. Klikamy Next.

WDS22

Podajemy ścieżkę na dysku na której będzie się znajdować baza danych, logi oraz folder SYSVOL. Zalecam rozmieszczenie na różnych woluminach.

Klikamy Next.

WDS23

Klikamy Next.

WDS24

Klikamy Install. Po instalacji, serwer zrestartuje się.

Po ponownym uruchomieniu komputera zobaczymy że Administrator będzie mógł się zalogować na konto domenowe. Uruchamiamy następnie menedżer serwera.

Razem z usługa Active Directory został zainstalowany serwer DNS:

WDS25

Jak widzimy na powyższym Print Screen została zainstalowana usługa AD oraz serwer DNS. Możemy sprawdzić teraz zdarzenia na serwerze :

ad_1

Od czasu do czasu należy monitorować zdarzenia 🙂

Serwer DNS zainstalował się razem z Active Directory. Przejdźmy jeszcze do narzędzia DNS :

WDS_2

Instalując Active Directory i DNS utworzyliśmy automatycznie strefę ale co należy zrobić jeśli tej strefy nie mamy ?. Będąc w narzędziu DNS Manager, wykonujemy :

dns_1

Uruchamia się kreator :

dns_2

Klikamy Next.

dns_3

Tworzymy strefę podstawową (Primary zone).

Jakie są różnice pomiędzy strefami :

Primary zone – Jest to strefa podstawowa, serwer DNS jest podstawowym źródłem informacji i przechowuje główną kopię danych strefy. Kopia może być przechowywana w pliku lokalnym lub w usługach AD DS.

Strefa może być przechowywana w usługach AD DS, kiedy serwer DNS jest również kontrolerem domeny w usługach domenowych AD.

W przypadku podstawowego serwera głównego, rekordy mogą być modyfikowane, można dodawać rekordy oraz usuwać.

Przykład strefy podstawowej :

dnss_1

Secondary zone – Jest to strefa pomocnicza, jest kopią serwera podstawowego. Strefa na tym serwerze jest uzyskiwana z innego zdalnego serwera DNS. Aby móc uzyskiwać informacje, ten serwer musi mieć dostęp do zdalnego serwera DNS, który będzie przekazywać zaktualizowane informacje o strefie.

Nie jest przechowywana w usługach AD DS.

Zapasowe serwery główne aktualizują dane tylko przez transfer strefy z innych serwerów DNS.

Stub zone – Jest to strefa skrótowa, taki serwer DNS jest wyłącznie źródłem informacji dotyczących autorytatywnych serwerów DNS.

Po wybraniu typu strefy (w tym przykładzie tworzymy strefę podstawową), klikamy Next.

dns_4

Wybieramy opcję jak będą się replikowały rekordy DNS.

dns_5

Wybieramy rodzaj strefy (czy tworzymy strefę wyszukiwania do przodu czy do tyłu). Klikamy Next.

dns_6

Podajemy nazwę strefy. Klikamy Next.

dns_7

Wybieramy typ aktualizacji. Klikamy Next a następnie Finish.

Konfigurowanie aktualizacji rekordów DNS :

dns_8

dns_9

Dodawanie ręcznie rekordów do strefy:

dnss_4

Klikamy prawym przyciskiem myszy i wybieramy jaki rekord chcemy dodać.

Przykład tworzenia rekordu A dla subdomeny ftp

Wybieramy z menu New Host (A or AAAA)

dnss_5

Przykład dodawania rekordu MX dla serwera pocztowego :

Wybieramy z menu New Mail Exchanger (MX)

dnss_6

Tworząc rekord MX należy pamiętać aby stworzyć jeszcze rekord A dla subdomeny poczta.eproit.local.

dnss_7

Konfigurowanie rekordu SOA :

dns_12

Konfigurowanie transferu strefy :

dnss_2

Rozwiązanie problemu :

należy zezwolić na transfer stref na serwerze głównym (podstawowym):

dnss_3

Dodawanie innych serwerów DNS :

dns_13

Jeżeli mamy serwer zapasowy to należy dopisać taki serwer. Klikamy Add.

Active Directory :

Przechodzimy jeszcze do tworzenia użytkowników, grup, uprawnień w Active Directory. Uruchamiamy narzędzie :

ad_2

Tworzymy jednostkę organizacyjną np. PracownicyFirmy :

ad_3

Fajnie byłoby gdyby jednostka składała się z grup np. Administracja, Księgowość, Informatycy.

ad_4

Tworzenie grupy:

ad_5

Możemy również wybrać zakres poszczególnej grupy – Group scope :

Domain local :

Członkami grupy mogą być :

– Konta z każdej domeny

– Grupy uniwersalne oraz globalne z każdej domeny

Global :

Członkami grupy mogą być :

– Grupy globalne z tej samej domeny, co nadrzędna grupa globalna

– Konta z tej samej domeny, co nadrzędna grupa globalna

Universal :

Członkami grupy mogą być :

– konta z każdej domeny w lesie, w którym znajduje się ta grupa uniwersalna

– grupy globalne z każdej domeny w lesie, w którym znajduje się ta grupa uniwersalna

– grupy uniwersalne z każdej domeny w lesie, w którym znajduje się ta grupa uniwersalna

Więcej informacji dot. zakresu grup znajdziesz na stronie :

http://technet.microsoft.com/pl-pl/library/cc755692(v=ws.10).aspx

W Group Type możemy wybrać typ grupy :

Security – Za pomocą grup zabezpieczeń można wykonać operacje tj . :

– Przypisywanie grupom zabezpieczeń uprawnień do zasobów

Grupy Security używane są do przypisywania uprawnień zasobom udostępnionym.

Distribution – Grupy używane do tworzenia list dystrybucyjnych poczty e-mail.

Utworzone grupy oraz dwóch użytkowników:

ad_6

Grupy są tworzone w celu łatwego nadawania uprawnień do danych zasobów.

Nadawanie uprawnień dla grupy:

ad_7

Wybieramy daną grupę . We właściwościach przechodzimy do zakładki Member Of. Klikamy następnie na Add.

ad_8

Uwaga ! W przykładzie przedstawiłem podpięcie grupy do innej grupy. Staje się jej członkiem. Występuje dziedziczenie uprawnień.

ad_9

Dodawanie użytkowników do grupy :

ad_10

ad_11

Zaraz zaraz :). Już dodaliśmy ale jeszcze nie wiemy jak tworzyć użytkowników.

ad_12

 

ad_13

 

ad_14

Klikamy Next a następnie na Finish.

Zabezpieczanie usługi Active Directory :

Co należy zrobić po wdrożeniu Active Directory :

– Należy ustawić odpowiednią politykę haseł. Użytkownik domeny musi stosować silne hasła.

Jako hasło nie wolno stosować imienia, nazwiska, nazwy użytkownika czy też nazwy firmy. Nie można również stosować wyrazów słownikowych.

– Należy ustalić minimalny i maksymalny okres ważności hasła

Ustawienie można wykonać w GPO :

Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta\Zasady haseł\

gpo1

– Ustal maksymalną ilość błędnych prób logowania

– Należy przypisać prawa użytkownika nowym grupom zabezpieczeń

– Można zastosować karty inteligentne

– Włącz zasady inspekcji

Należy wybrać kategorię zdarzeń. Dla kontrolera domeny inspekcja jest domyślnie włączona.

Dostępne inspekcje:

– inspekcja zdarzeń logowania
– inspekcja dostępu do obiektów
– inspekcja użycia uprawnień
– inspekcja zdarzeń logowania na kontach
– inspekcja zarządzania kontami
– inspekcja dostępu do usługi katalogowej
– inspekcja śledzenia procesów
– inspekcja zdarzeń systemowych
– inspekcja zmian zasad

– Można zmodyfikować nazwy, prawa i uprawnienia kont wbudowanych aby zapewnić lepsze bezpieczeństwo

Active Directory Administrative Center :

Active Directory Administrative Center – jest to narzędzie, które ułatwia pracę z Active Directory.

Umożliwia m.in. wykonywanie czynności tj. :

– tworzenie użytkowników i grup

– nadawanie uprawnień

– umożliwia szybką zmianę hasła użytkownikowi

– możliwość wyszukiwania obiektów

adac1

Aby zmienić hasło użytkownikowi wystarczy użyć „RESET PASSWORD” . Aby wyszukać np. danego użytkownika w domenie wystarczy użyć „GLOBAL SEARCH„.

W tym oknie widzimy użytkowników oraz grupy danej jednostki organizacyjnej :

adac2Możemy zmodyfikować danego użytkownika lub grupę klikając na dany obiekt.

Tak wygląda okno tworzenia nowego użytkownika wykorzystując Active Directory Administrative Center :

adac3

A tak wygląda okno tworzenia nowej grupy :

adac4

Praca w Active Directory staje się przyjemnością 🙂

Instalacja serwera DHCP

Otwieramy menedżer serwera. Postępujemy tak samo jak przy instalacji AD. Wybieramy rolę :

WDS26 Klikamy Next. W kolejnym oknie select features wybieramy również Next.

WDS27

Klikamy Next.

WDS28

Klikamy Install.

WDS29

Instalacja przebiegła pozytywnie. Klikamy Close.

WDS30

Przyszła kolej na skonfigurowanie serwera DHCP. Klikamy na Complete DHCP configuration. Powinno otworzyć się okno :

WDS31

Klikamy Next.

WDS32

Klikamy Commit.

WDS33

Autoryzacja wykonana. Należy zrestartować serwer DHCP.

Teraz możemy uruchomić menedżer DHCP aby skonfigurować zakres przydzielania adresacji.

WDS34

 

WDS35

Klikamy prawym przyciskiem myszy na IPv4, w menu wybieramy New Scope. Uruchamiamy kreator.

WDS36

Klikamy Next.

WDS37

Wpisujemy nazwę zakresu. Klikamy Next.

WDS38

Wpisujemy zakres adresów jakie będą przydzielane klientom przez serwer DHCP.

WDS39

Można adresy również wykluczyć z przydzielania. Ja wykluczyłem sobie adresy z końcówką od : .185 do .187

WDS40

Ustalamy czas dzierżawy adresu. Po ustalonym czasie adres zostanie zwolniony i inny klient będzie mógł uzyskać taki adres.

WDS41

 

WDS42

Wpisujemy adres IP bramy domyślnej.

WDS43

Wpisujemy adresy DNS jakie będą przydzielane przez DHCP. Określamy również domenę.

WDS44

Ja nie wpisywałem adresów serwera WINS, ponieważ takiego serwera nie konfigurowałem.

WDS45

Wybieramy opcję Yes. Chcemy aktywować przecież zakres adresów DHCP. Na końcu klikamy na Finish.

 

markos
Specjalizuję się w systemach komputerowych Windows oraz Linux. Oprócz wykonywanej pracy w zawodzie, informatyka jest moją pasją.
0 0 vote
Article Rating
Subscribe
Powiadom o
guest
1 Komentarz
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
gienek
gienek
6 lat temu

5-teczka to drugi przydatny wpis , wyczerpująco i przystępnie