Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa Materijali vezani uz ovu lekciju: - Test instalacija aktivnog direktorijuma - Instalacija aktivnog direktorijuma (PDF dokument) Iako je sve što će biti potrebno da znate da biste mogli da upravljate domenom aktivnog direktorijuma ostalo isto kao i u implementaciji ranijih verzija direktorijumskog servisa, kao što su Windows 2000 i Windows Server 2003, nekoliko novih karakteristika nudi administratoru veću kontrolu i sigurnost nad kompletnim domenskim okruženjem. Proces instalacije Active Directory Domain servisa (AD DS) na serveru koji radi na Windows Server 2008 je StaightForward procedura. Odrađuje se korišćenjem dobro dizajniranog Active Directory Domain Services Installation Wizard-a koji predstavlja korisnički Interface za instalaciju servisa. Kada je AD DS instaliran na kompjuteru koji radi na Windows Server 2008, kompjuter postaje domenski kontrolor (DC). Ovaj proces se takođe naziva i promocija (Promotion) u kom se server promoviše u domenskog kontrolera. Ako je server kog smo promovisali u domenskog kontrolera prvi domenski kontroler u novom domenu i šumi, kreira se iskonska (početna) baza podataka koja se sprema da primi objekte direktorijumskog servisa. Ako je ovaj server dodatni domenski kontroler u već postojećem domenu, replikacioni proces se koristi da bismo preneli sve objekte koji se nalaze u domenu, na novi domenski kontroler. Ova lekcija vam predočava informacije koje su vam potrebne da biste mogli uspešno da navigirate kroz Active Directory Domain Services Installation Wizard. Šta je potrebno da bi AD DS mogao da se instaliraSvaki server na kom radi Windows Server 2008 i koji ispunjava određene zahteve koji će biti opisani u ovom odeljku može da Host-uje AD DS i može da postane domenski kontroler. Činjenica je da svaki novi domenski kontroler počinje kao Stand-alone server sve dok se ne završi proces instalacije AD DS. Ovaj proces će ispuniti dva važna cilja. Prvi cilj je kreiranje i popunjavanje baze podataka, a drugi cilj je startovanje AD DS tako da server može da odgovori na pokušaje pristupa u domen (Domain Logon Attempts) na LDAP zahteve. Nakon što je AD DS instaliran, baza podataka direktorijuma pod imenom Ntds.dit je smeštena na Hard disk domenskog kontrolera. U toku instalacije Windows servera 2008, potrebni paketi se kopiraju na kompjuter da bi mogla da se pokrene instalacija AD DS. Tada u toku instalacije AD DS, Ntds.dit baza podataka je kreirana i iskopirana na lokaciju koja je identifikovana u toku instalacionog procesa ili u defoltni folder %systemroot%NTDS pod uslovom da u toku instalacije nismo promenili lokaciju. Instalacioni proces će takođe instalirati sve potrebne alatke i DLL-ove koji su potrebni direktorijumskom servisu da bi mogao efikasno da radi. Zahtevi za Hard diskom: Veličina prostora na Hard disku koja se zahteva za Host-ovanje aktivnog direktorijuma zavisi od broja objekata koji se nalaze u domenu i od domenskog okruženja, ali i od toga da li je domenski kontroler konfigurisan kao globalni katalog server (GC). Windows Server 2008 ima sledeće zahteve koji se odnose na prostor na disku:
Da bi se odradila instalacija AD DS na čistom serveru Windows Server 2008, mora da se ispune sledeći minimalni zahtevi:
Za domenske kontrolere koji rade na Windows Server 2003 i koji su nadograđeni na Windows Server 2008, postoje dodatni zahtevi za prostor na disku. Moramo da isplaniramo potreban prostor na disku za sledeće resurse:
Instalacija AD DS u scenariju nadogradnje zahteva slobodan prostor na Hard disku koji je jednak ili je veći od prostora na disku koji se koristi za četri resursa u listi (i njihove podfoldere). U defoltnoj instalaciji aktivnog direktorijuma i NTDS baza podataka i Log File-ovi su smešteni u %WinDir%NTDS folderu, tako da se moraju uključiti u konačan rezlutat prostora na disku prilikom procesa nadogradnje sa Windows Server 2003 na Windows Server 2008. U toku procesa nadogradnje, ovi resursi, uključujući i NTDS bazu podataka i Log File-ove, će biti kopirani u karantin lokaciju i nakon toga ponovo kopirani nakon završetka procesa nadogradnje. Sav prostor na disku koji je rezervisan za kopiranje AD File-ova će biti vraćen File System-u kao dostupan prostor. Kao dodatak zahtevima za prostor na disku koji su pomenuti, barem jedan logički Drive mora da bude formatiran NTFS File sistemom da bi mogla da se podrži instlacija SYSVOL foldera. U scenarijumu nadogradnje, za razliku od Ntds.dit baze podataka i Log File-ova, SYSVOL folder je pomeren (Moved), nije kopiran, tako da nam nije potreban dodatni prostor na disku koji je potreban tom resursu. Network Connectivity: Nakon instalacije Windows Server 2008 i pre instalacije AD DS, potrebno je proveriti da li je server konfigurisan na pravi način za mrežnu konektivnost. Da bismo ovo doradili, potrebno je da pokušamo da se konektujemo na neki drugi kompjuter na mreži ili upisivanjem UNC staze ili preko IP adrese (ping 192.168.1.1). Pre instalacije AD DS, potrebno je da konfigurišemo TCP-IP postavke u Local Area Connection Properties-u. Da bismo pristupili dijalog boksu, desni klik na Local Area Connection objekat u Network Connection folderu, selektujemo Manage Network Connections u Network Sharing Center u Control Panelu i selektujemo Properties. Na Local Area Connection Properties stranici, selektujemo Internet Protocol Version 4 (TCP-Ipv4) ili Protocol Version 6 (TCP-Ipv6) i nakon toga kliknemo na Properties. Na Internet Protocol Properties stranici, potrebno je da odradimo sledeće:
DNS: AD DS zahteva svoj Resource Locator servis. Klijentski kompjuteri se oslanjaju na DNS servis jer pomoću njega lociraju domenske kontrolere tako da mogu bez problema da prođu proces autentifikacije kao korisnici koji se Log-uju na mrežu. DNS Servis mora da podržava Service Locator (SRV) Resource Records (zapise) i preporučuje se da DNS servis podržava dinamičko ažuriranje (Dynamic Updates). Ako DNS nije instaliran i konfigurisan na mreži, AD DS instalacioni čarobnjak će instalirati i konfigurisati DNS u isto vreme kao i AD DS. Administrativne dozvole: Da bismo mogli da instaliramo i uklonimo AD DS, moramo da posedujemo korisnički nalog kom su dodeljene administrativne dozvole. Tip dozvola za naloge (Account Permissions) po redu za instalaciju AD DS domena zavisi od scenarija instalacije: instalacija nove Windows Server 2008 šume, instalacija novog Windows Server 2008 domena u već postojećoj šumi ili instalacija novog Windows Server 2008 domenskog kontrolera u već postojećem domenu. Active Directory Domain Services instalacioni čarobnjak proverava dozvole koje poseduje korisnički nalog pre početka instalacije direktorijumskog servisa. Ako niste ulogovani na kompjuter sa nalogom koji poseduje administrativne dozvole, čarobnjak će vam tražiti da upišete potrebne podatke. Ako izaberete da kreirate novi Forest Root Domain, morate biti prijavljeni kao lokalni administrator. Ako izaberete da kreirate ili novi Tree.root domen ili novo dete domen, morate da ponudite identitet naloga koji je član Enterprise Admins grupe. Da biste instalirali dodatni domenski kontroler u već postojećem domenu, morate da budete član Domen Admins globalne grupe. Kompatibilnost operativnog sistemaDomenski kontroleri koji rade na Windows Server 2008 su sigurniji od onih na kojima rade raniji Windows Server operativni sistemi i Active Directory Domain Services Installation Wizard nudi informacije o tome kako ova sigurnost utiče na prijavljivanje klijenata. Defoltna sigurnosna polisa za domenske kontrolere koji rade na Windows Server 2008 zahteva dva nivoa Domain Controller Communication sigurnosti: Server Message Block (SMB) potpisivanje i šifrovanje i potpisivanje sigurnog kanala mrežnog saobraćaja (Secure Channel Network Traffic). Ove sigurnosne karakteristike domenskih kontrolera mogu da predstavljaju problem za Down-level klijentske kompjutere prilikom prijavljivanja na mrežu kao i u radu sa nekim Third-Party aplikacijama. Windows Server 2008 kontroleri domena su konfigurisani polisom koja zabranjuje Windows & Third-party klijente koji koriste slabe kriptografske metode da uspostave sigurne kanale sa takvim domenskim kontrolerima. Da bismo popravili problem, potrebno je da ažuriramo nekompatibilne klijente da koriste metode koji su kompatibilne sa defoltnom sigurnošću u Windows Server 2008. Ovo će možda zahtevati ažuriranje softvera od proizvođača. Ako nekompatibilni klijenti ne mogu da se ažuriraju bez određenih problema i havarija servisa, potrebno je odraditi sledeće korake:
AD DS instalacione opcijeMožemo da startujemo instalaciju AD DS koristeći jedan od mnogobrojnih grafičkih Interface-a ili možemo da startujemo instalaciju direktno sa komandne linije ili Run komande. Grafički Interface će instalirati i konfigurisati direktorijumski servis i kreiraće i startovaće Directory Data Store. Pošto AD DS zahteva implementaciju DNS servisa na mreži koji je autoritativan za planirani domen, instalacioni proces će instalirati i konfigurisati DNS serverski servis ako autoritativni DNS server servis još uvek ne postoji. Postoji nekoliko metoda kojim možemo da startujemo instalciju AD:
Startovanje Active Directory Domain Services Installation Wizard (Dcpromo.exe) Kliknemo na Start, pa zatim otvorimo Run dijalog boks. U Run dijalog boksu upišemo „dcpromo“ i kliknemo na Enter. Otvara nam se Active Directory Domain Services Installation Wizard (Dcpromo.exe) koji nas dalje vodi kroz instalaciju AD DS.
|