Instalacja usługi Active Directory

1. O usłudze Active Directory (AD)
Na początek garść informacji teoretycznych. Active Directory (ADDS, Active Directory Domain Service) to po prostu usługa katalogowa systemu Windows Server. W niej system przechowuje informacje o wszystkich obiektach sieciowych. W praktyce jest to shierarchizowana baza danych. Wyróżniamy następujące obiekty w usługach katalogowych:
• Obiekt to zbiór atrybutów reprezentujący np. użytkownika, drukarkę lub host.
• Schemat (scheme) to zbiór obiektów.
• Domena, czyli grupa hostów połączonych w sieć, składająca się z serwera będącego kontrolerem domeny (domain controller) i stacji roboczych. Kontroler domeny przechowuje informacje o użytkownikach domeny. Dzięki temu informacje te są przechowywane w jednym miejscu.
• Domena wchodzi w skład drzewa (tree), czyli grupy wielu domen mających ten sam schemat i ciągłą przestrzeń nazw. Przyłączenie domeny do drzewa jest określone w momencie instalacji jej pierwszego kontrolera.
• Las (forest) to struktura złożona z wielu drzew, także o wspólnym schemacie, ale nie mająca ciągłej przestrzeni nazw. Las może składać się z minimum 1 drzewa. Przyłączenie do lasu jest określona w momencie instalacji jej pierwszego kontrolera domeny.
AD jest również swoistego rodzaju przestrzenią nazw (namespace). Rodzaje przestrzeni:
• Ciągła – mamy z nią do czynienia wtedy, gdy w całej strukturze istnieje jeden korzeń (root) i jedna nazwa obiektu podrzędnego (child), która powstaje poprzez dodanie prefiksu do nazwy obiektu nadrzędnego (parent).
• Nieciągła – występuje wtedy gdy nie ma jednego korzenia.
Przestrzeń nazw AD jest hierarchiczna. Obiekty kontenery mogą przechowywać inne obiekty. Nazwa obiektu opisuje jego położenie w hierarchii. Taką nazwę określa jako pełną nazwę DN (Distinguished Name). Podstawowe składniki DN to:
• DC (Domain Component) – składnik nazwy domenowej.
• CN (Common Name) – nazwa.
• OU (Organization Unit) – jednostka organizacyjna. Jednostka organizacyjna jest kontenerem, w którym mogą być przechowywane inne obiekty.
• O (Organization) – organizacja.
Przykłady DN w trybie tekstowym:
CN=Jeff Tannen,OU=Sprzedaz,DC=Fabrikam,DC=COM
CN=Suzi Pitt,CN=admin,DC=corp,DC=Fabrikam,DC=COM
CN=Configuration,DC=zstia,DC=local
Względna nazwa obiektu DN (Relative DN) to część pełnej nazwy DN, zawierająca tylko atrybuty obiektu np. w powyższych nazwach DN atrybutem obiektu są Jeff Tannen, Suzi Pitt etc. i są to nazwy RDN tego obiektu. Domena AD jest zorganizowana hierarchicznie a jej podstawowym elementem jest OU, pełniąca funkcję kontenera, zawierającego inne obiekty. Jednostki organizacyjne mogą być uporządkowane np. zgodnie z rozmieszczeniem geograficznym oddziałów firmy.

W systemach Windows Server użytkowników można podzielić na 2 rodzaje:

• Użytkownicy lokalni i grupy lokalne – konta są tworzone na lokalnym komputerze i tam też przechowywane. Miejscem przechowywania jest baza SAM (Security Accounts Manager) zapisana na lokalnym komputerze.
• Użytkownicy domenowi i grupy domenowe – logując się na konto użytkownika, logujemy się tak naprawdę do domeny. Konta takie są przechowywane w usługach katalogowych (Active Directory) na kontrolerach domeny.
Przykładowa sieć firmowa z poniższego schematu zbudowana jest z 3 domen, jednej głównej o nazwie firma.local i 2 poddomen: IT.firma.local i biuro.firma.local. W domenie głównej znajduje się drukarka z której mają korzystać użytkownicy wszystkich domen. Należy więc utworzyć grupy, zgodnie z powyższymi wymaganiami. W każdej z domen trzeba zgrupować użytkowników mających prawo do druku i przypisać ich do grupy globalnej. Grupy globalne z poddomen należy przypisać do grupy lokalnej z domeny głównej a następnie przypisać odpowiednie uprawnienia do drukarki grupie lokalnej w domenie.





Głównym mechanizmem, dzięki któremu AD identyfikuje obiekty jest DNS. Domeny DNS są hierarchiczne. Na przykład www.firma.pl, www to nazwa komputera, firma to nazwa firmy w domenie pl. Nazwy muszą być unikalne, ale można tworzyć subdomeny, np. IT.firma.pl.
2. Przygotowanie pod instalację AD
Pierwszą rzeczą jest upewnienie się, że w OVB mamy ustawione właściwe interfejsy sieciowe. Serwer powinien mieć dwie karty sieciowe: jedną Sieć NAT, drugą w sieci wewnętrznej. Z kolei system Windows 10 (system klienta, który zainstalujemy później), będzie miał jedną kartę sieciową, wchodzącą w skład sieci wewnętrznej serwera.
3. Zmiana nazwy interfejsów sieciowych
Z okna Control panel wybieramy Network and Sharing center (Centrum sieci i udostępniania), następnie Change adapter settings (Zmień ustawienia karty sieciowej), po czym przypisujemy dwóm interfejsom sieciowym maszyny z Windows Server nazwy ethWAN (dla karty Ethernet) i ethLAN (dla karty Ethernet 2) klikając PPM na odpowiednich ikonach a następnie Rename.





4. Instalacja AD
Z menedżera serwera wybieramy Add roles and features.



W uruchomionym kreatorze klikamy Next.



Wybieramy pierwszą opcję, klikając Next.



Wybieramy docelowy serwer pod instalowane role i funkcje. Posiadamy jeden, który automatycznie zostaje zaznaczony. Klikamy Next.



Z dostępnych opcji wybieramy Active Directory Domain Services.



Dołączamy dodatkowe funkcje i klikamy Add features.



Pożądana opcja zostanie zaznaczona. Klikamy Next.



W tym oknie można dodać dodatkowe funkcje, ale my klikamy Next.



Na pytanie czy chcemy ponownie uruchomić system po zainstalowaniu usług katalogowych AD odpowiadamy twierdząco, naciskamy Yes, po czym Install.



Czekamy na zakończenie instalacji.



Gdy pokaże się przycisk Close, można spokojnie zamknąć kreatora, a instalacja będzie kontynuowana w tle. Gdy instalacja się zakończy klikamy Promote this server to a domain controller, aby promować nasz serwer do roli kontrolera domeny. Taką samą opcję uzyskamy po kliknięciu Close a następnie kliknięcie ikony wykrzyknika na żółtym tle.
UWAGA: Jeśli coś pójdzie nie tak i chcielibyśmy odinstalować i ponownie zainstalować daną usługę należy kliknąć w menedżerze serwera opcję Manage a następnie Remove Roles and Features, odznaczyć niechcianą opcję i dalej postępować zgodnie ze wskazówkami.



Wybieramy opcję dodania nowego lasu Add a new forest. Niech las nazywa się pracowniaX, gdzie X to twój numer w dzienniku oraz kropki i domeny local (local wskazuje na domenę lokalną, niedostępną w Internecie). Ten zrzut ekranu należy włączyć do sprawozdania



W następnym oknie mamy możliwość wybrać poziom funkcjonalności lasu, zgodnie z jakąś wersją WS. Zostawiamy domyślną opcję, dodajemy serwer DNS i ustawiamy hasło (proponuję ustawić takie jak do systemu), po czym klikamy Next.



Domena nie jest zarejestrowana w Internecie a więc pojawi się błąd. Nie delegujemy nazw, ponieważ nie utworzyliśmy jeszcze serwera DNS.



W następnym oknie weryfikujemy nazwę NetBIOS domeny. Powinna pojawić się (automatycznie) nazwa domenowa, którą ustawialiśmy przed chwilą. Klikamy Next. Ten zrzut ekranu należy włączyć do sprawozdania



Ścieżki do baz danych AD zostawiamy domyślne.



Następuje sprawdzanie wymagań. Jeśli wszystko się powiedzie, otrzymamy stosowny komunikat po czym klikamy Install.



Po procesie instalacji pojawi się okno z informacją o konieczności wylogowania. Klikamy więc Close.



Następnie logujemy się. Widać, że ustawiona została nowa domena. Ten zrzut ekranu należy włączyć do sprawozdania



Ustawiliśmy serwer jako kontroler domeny, więc połączenie internetowe może się zerwać, ponieważ dotychczasowa karta sieciowa, którą łączyliśmy się z Internetem, jest teraz kartą domenową, która będzie tworzyła domenę (w drzewie w lesie) z pozostałymi komputerami tej domeny. Automatycznie został przypisany (obu kartom) adres DNS: 127.0.0.1 w opcjach ustawień TCP/IPv4 tych kart. Ten zrzut ekranu należy włączyć do sprawozdania



Jak widać nowe role zostały dodane.



Jeżeli wybierzemy menu Tools, możemy teraz wybrać zainstalowaną przystawkę Active Directory Users and Computers.





Przystawka Active Directory Users and Computers może być również dodana do konsoli mmc (Microsoft Management Console). Aby dodać przystawkę do konsoli mmc, należy uruchomić tę konsolę wpisując w okienku Uruchom polecenie mmc. Przystawka Active Directory Users and Computers służy do zarządzania użytkownikami i komputerami domeny w przeciwieństwie do lokalnej przystawki Użytkownicy i grupy lokalne (dostępnej w Windows 10 Pro).