Utisci korisnika

"Želim da kazem da iako sam tek na pola, da sam oduševljena ovim načinom na koji stvari funkcionisu!" Stanislava Kraguljac, Beograd

"Ovo je pravi vid doškolovavanja za sve one koji nemaju uslova za redovno školovanje ili su prezauzeti. Nije teško za one koji hoce . Uz vas je i moj sin od 9 godina nesto naučio.…


Kompletna lista utisaka

Testiranje online

Arhitektura računara

Za one koji žele da znaju više.

Windows OS

Ovo bi svakako trebalo da probate.

Odnosi s javnošću

Koliko znate PR?

Pogledajte još neke od testova

Newsletter

Ukoliko želite da Vas redovno obaveštavamo o novostima sa Link eLearning sajta prijavite se na našu newsletter listu.

Ime:

Prezime:

Email:


Anketa

Arhiva anketa

BAZA ZNANJA


Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Implementacija aktivnog direktorijuma direktorijumskog servisa

Autor: Test Instruktor

Naziv jedinice: Instalacija aktivnog direktorijuma


Materijali vezani uz ovu lekciju:

- Test instalacija aktivnog direktorijuma
- Instalacija aktivnog direktorijuma (PDF dokument)



Iako je sve što će biti potrebno da znate da biste mogli da upravljate domenom aktivnog direktorijuma ostalo isto kao i u implementaciji ranijih verzija direktorijumskog servisa, kao što su Windows 2000 i Windows Server 2003, nekoliko novih karakteristika nudi administratoru veću kontrolu i sigurnost nad kompletnim domenskim okruženjem.

Proces instalacije Active Directory Domain servisa (AD DS) na serveru koji radi na Windows Server 2008 je StaightForward procedura. Odrađuje se korišćenjem dobro dizajniranog Active Directory Domain Services Installation Wizard-a koji predstavlja korisnički Interface za instalaciju servisa. Kada je AD DS instaliran na kompjuteru koji radi na Windows Server 2008, kompjuter postaje domenski kontrolor (DC). Ovaj proces se takođe naziva i promocija (Promotion) u kom se server promoviše u domenskog kontrolera. Ako je server kog smo promovisali u domenskog kontrolera prvi domenski kontroler u novom domenu i šumi, kreira se iskonska (početna) baza podataka koja se sprema da primi objekte direktorijumskog servisa. Ako je ovaj server dodatni domenski kontroler u već postojećem domenu, replikacioni proces se koristi da bismo preneli sve objekte koji se nalaze u domenu, na novi domenski kontroler.

Ova lekcija vam predočava informacije koje su vam potrebne da biste mogli uspešno da navigirate kroz Active Directory Domain Services Installation Wizard.

Šta je potrebno da bi AD DS mogao da se instalira

Svaki server na kom radi Windows Server 2008 i koji ispunjava određene zahteve koji će biti opisani u ovom odeljku može da Host-uje AD DS i može da postane domenski kontroler. Činjenica je da svaki novi domenski kontroler počinje kao Stand-alone server sve dok se ne završi proces instalacije AD DS. Ovaj proces će ispuniti dva važna cilja. Prvi cilj je kreiranje i popunjavanje baze podataka, a drugi cilj je startovanje AD DS tako da server može da odgovori na pokušaje pristupa u domen (Domain Logon Attempts) na LDAP zahteve.

Nakon što je AD DS instaliran, baza podataka direktorijuma pod imenom Ntds.dit je smeštena na Hard disk domenskog kontrolera. U toku instalacije Windows servera 2008, potrebni paketi se kopiraju na kompjuter da bi mogla da se pokrene instalacija AD DS. Tada u  toku instalacije AD DS, Ntds.dit baza podataka je kreirana i iskopirana na lokaciju koja je identifikovana u toku instalacionog procesa ili u defoltni folder %systemroot%NTDS pod uslovom da u toku instalacije nismo promenili lokaciju. Instalacioni proces će takođe instalirati sve potrebne alatke i DLL-ove koji su potrebni direktorijumskom servisu da bi mogao efikasno da radi.

Zahtevi za Hard diskom: Veličina prostora na Hard disku koja se zahteva za Host-ovanje aktivnog direktorijuma zavisi od broja objekata koji se nalaze u domenu i od domenskog okruženja, ali i od toga da li je domenski kontroler konfigurisan kao globalni katalog server (GC). Windows Server 2008 ima sledeće zahteve koji se odnose na prostor na disku:

  • Minimum: 10 GB
  • Preporučeni: 40 GB ili više

 

Da bi se odradila instalacija AD DS na čistom serveru Windows Server 2008, mora da se ispune sledeći minimalni zahtevi:

  • 15 MB prostora se zahteva na sistemskoj particiji
  • 250 MB prostora za AD DS bazu podataka Ntds.dit
  • 50 MB slobodnog prostora za Extensible Storage Engine (ESENT) Transaction Log File-ove 

 

Za domenske kontrolere koji rade na Windows Server 2003 i koji su nadograđeni na Windows Server 2008, postoje dodatni zahtevi za prostor na disku. Moramo da isplaniramo potreban prostor na disku za sledeće resurse:

  • Application Data (%AppData%)
  • Program Files (%ProgramFiles%)
  • User Data (%systemDrive%-Document and Settings)
  • Windows Directory (%WinDir%)

 

Instalacija AD DS u scenariju nadogradnje zahteva slobodan prostor na Hard disku koji je jednak ili je veći od prostora na disku koji se koristi za četri resursa u listi (i njihove podfoldere). U defoltnoj instalaciji aktivnog direktorijuma i NTDS baza podataka i Log     File-ovi su smešteni u %WinDir%NTDS folderu, tako da se moraju uključiti u konačan rezlutat prostora na disku prilikom procesa nadogradnje sa Windows Server 2003 na Windows Server 2008. U toku procesa nadogradnje, ovi resursi, uključujući i NTDS bazu podataka i Log File-ove, će biti kopirani u karantin lokaciju i nakon toga ponovo kopirani nakon završetka procesa nadogradnje. Sav prostor na disku koji je rezervisan za kopiranje AD File-ova će biti vraćen File System-u kao dostupan prostor.

Kao dodatak zahtevima za prostor na disku koji su pomenuti, barem jedan logički Drive mora da bude formatiran NTFS File sistemom da bi mogla da se podrži instlacija SYSVOL foldera. U scenarijumu nadogradnje, za razliku od Ntds.dit baze podataka i Log File-ova, SYSVOL folder je pomeren (Moved), nije kopiran, tako da nam nije potreban dodatni prostor na disku koji je potreban tom resursu.

Network Connectivity: Nakon instalacije Windows Server 2008 i pre instalacije AD DS, potrebno je proveriti da li je server konfigurisan na pravi način za mrežnu konektivnost. Da bismo ovo doradili, potrebno je da pokušamo da se konektujemo na neki drugi kompjuter na mreži ili upisivanjem UNC staze ili preko IP adrese (ping 192.168.1.1).

Pre instalacije AD DS, potrebno je da konfigurišemo TCP-IP postavke u Local Area Connection Properties-u. Da bismo pristupili dijalog boksu, desni klik na Local Area Connection objekat u Network Connection folderu, selektujemo Manage Network Connections u Network Sharing Center u Control Panelu i selektujemo Properties. Na Local Area Connection Properties stranici, selektujemo Internet Protocol Version 4 (TCP-Ipv4) ili Protocol Version 6 (TCP-Ipv6) i nakon toga kliknemo na Properties. Na Internet Protocol Properties stranici, potrebno je da odradimo sledeće:

  • Konfigurišemo statičku adresu kompjutera.
  • Na General kartici ako domenski kontroler koji želimo da instaliramo neće da radi kao DNS server, potrebno je da konfiogurišemo adresu DNS servera sa IP adresom DNS servera koji je autoritativan za domen.
  • Za Ipv4, na Advanced kartici TCP-IP Settings stranice, na General kartici Internet Protocol Version 4 (TCP-Ipv4) Properties stranice, kliknemo na WINS karticu i konfigurišemo server sa IP adresom Windows Internet Naming Servis-a (WINS) servera koji će koristiti domenski kontroler. Za Ipv6 ne postoje WINS postavke.

 

DNS: AD DS zahteva svoj Resource Locator servis. Klijentski kompjuteri se oslanjaju na DNS servis jer pomoću njega lociraju domenske kontrolere tako da mogu bez problema da prođu proces autentifikacije kao korisnici koji se Log-uju na mrežu. DNS Servis mora da podržava Service Locator (SRV) Resource Records (zapise) i preporučuje se da DNS servis podržava dinamičko ažuriranje (Dynamic Updates). Ako DNS nije instaliran i konfigurisan na mreži, AD DS instalacioni čarobnjak će instalirati i konfigurisati DNS u isto vreme kao i AD DS.

Administrativne dozvole: Da bismo mogli da instaliramo i uklonimo AD DS, moramo da posedujemo korisnički nalog kom su dodeljene administrativne dozvole. Tip dozvola za naloge (Account Permissions) po redu za instalaciju AD DS domena zavisi od scenarija instalacije: instalacija nove Windows Server 2008 šume, instalacija novog Windows Server 2008 domena u već postojećoj šumi ili instalacija novog Windows Server 2008 domenskog kontrolera u već postojećem domenu. Active Directory Domain Services instalacioni čarobnjak proverava dozvole koje poseduje korisnički nalog pre početka instalacije direktorijumskog servisa. Ako niste ulogovani na kompjuter sa nalogom koji poseduje administrativne dozvole, čarobnjak će vam tražiti da upišete potrebne podatke.

Ako izaberete da kreirate novi Forest Root Domain, morate biti prijavljeni kao lokalni administrator. Ako izaberete da kreirate ili novi Tree.root domen ili novo dete domen, morate da ponudite identitet naloga koji je član Enterprise Admins grupe. Da biste instalirali dodatni domenski kontroler u već postojećem domenu, morate da budete član Domen Admins globalne grupe.

Kompatibilnost operativnog sistema

Domenski kontroleri koji rade na Windows Server 2008 su sigurniji od onih na kojima rade raniji Windows Server operativni sistemi i Active Directory Domain Services Installation Wizard nudi informacije o tome kako ova sigurnost utiče na prijavljivanje klijenata. Defoltna sigurnosna polisa za domenske kontrolere koji rade na Windows Server 2008 zahteva dva nivoa Domain Controller Communication sigurnosti: Server Message Block (SMB) potpisivanje i šifrovanje i potpisivanje sigurnog kanala mrežnog saobraćaja (Secure Channel Network Traffic).

Ove sigurnosne karakteristike domenskih kontrolera mogu da predstavljaju problem za Down-level klijentske kompjutere prilikom prijavljivanja na mrežu kao i u radu sa nekim Third-Party aplikacijama.

Windows Server 2008 kontroleri domena su konfigurisani polisom koja zabranjuje Windows & Third-party klijente koji koriste slabe kriptografske metode da uspostave sigurne kanale sa takvim domenskim kontrolerima.

Da bismo popravili problem, potrebno je da ažuriramo nekompatibilne klijente da koriste metode koji su kompatibilne sa defoltnom sigurnošću u Windows Server 2008. Ovo će možda zahtevati ažuriranje softvera od proizvođača.

Ako nekompatibilni klijenti ne mogu da se ažuriraju bez određenih problema i havarija servisa, potrebno je odraditi sledeće korake:

  1. Ulogujemo se u konzolu Windows Server 2008 domenskog kontrolera.
  2. Startujemo Group Policy Management konzolu.
  3. Editujemo Defoltnu Domain Controllers polisu.
  4. Lociramo sledeću stazu u Group Policy Editoru: Computer Configuration, Policies, Administrative Templates, System, Net Logon.
  5. Podesimo Allow Cryptography Algorithms Compatible with Windows NT 4.0 to Enabled.

AD DS instalacione opcije

Možemo da startujemo instalaciju AD DS koristeći jedan od mnogobrojnih grafičkih Interface-a ili možemo da startujemo instalaciju direktno sa komandne linije ili Run komande. Grafički Interface će instalirati i konfigurisati direktorijumski servis i kreiraće i startovaće Directory Data Store. Pošto AD DS zahteva implementaciju DNS servisa na mreži koji je autoritativan za planirani domen, instalacioni proces će instalirati i konfigurisati DNS serverski servis ako autoritativni DNS server servis još uvek ne postoji.

Postoji nekoliko metoda kojim možemo da startujemo instalciju AD:

  • Iniciranjem Configuration Tasks Wizard-a i Add Roles Wizard-a
  • Active Directory Domain Services Installation Wizard (Dcpromo.exe)
  • Unattended instalacija

 

Startovanje Active Directory Domain Services Installation Wizard (Dcpromo.exe)

Kliknemo na Start, pa zatim otvorimo Run dijalog boks. U Run dijalog boksu upišemo „dcpromo“ i kliknemo na Enter. Otvara nam se Active Directory Domain Services Installation Wizard (Dcpromo.exe) koji nas dalje vodi kroz instalaciju AD DS.


Smatrate da je ova lekcija korisna?  Preporučite je. Broj preporuka:1


Molimo Vas unesite svoje podatke i dobićete pristup besplatnim lekcijama.

Ime: 
Prezime: 
Email: