NW06 Installatie van Active Directory 1 Het belang van DNS In het pre-windows2000 tijdperk had de NETBIOS alle controle over het netwerk. Wou je een netwerkverbinding maken naar een toestel (client of server) ging dit altijd via de netbiosnaam. Microsoft heeft TCP/IP pas later ingebouwd in zijn OS en om een TCP/IP netwerk op te bouwen had je WINS nodig om Netbios namen te ondersteunen in het netwerk. DNS was iets wat Microsoft vergeten was ! Sinds de komst van Win2K is dit helemaal anders geworden. De basis voor de naamgeving van de toestellen is nu DNS geworden. We hebben geen WINS meer nodig als al onze toestellen minimaal op Win2K draaien. Meer nog, we kunnen geen AD installeren zonder DNS. Wat is de bedoeling van DNS ? Het beantwoordt vragen zoals welk IP-adres gekoppeld is aan www.ivobrugge.be. Hoe werkt het ? - elke organisatie draait en onderhoudt haar eigen DNS-server en die beschrijven de machines in haar eigen deel van het intranet. - Een centrale groep, het InterNic, houdt domeinnamen en daarmee samenhangende DNS-servers bij. - DNS-serversoftware is slim genoeg om een query uit te voeren op andere DNS-servers om zo een naam herleid te krijgen. - DNS-serversoftware is slim genoeg om namen te onthouden die het recentelijk heeft opgezocht. 2 DNS in de praktijk. We moeten een onderscheid maken tussen ons interne netwerk en het internet. Voor het internet hebben we 2 DNS servers nodig om de nodige fouttolerantie te garanderen (dit wordt trouwens geëist door InterNic). Maar deze opzetting valt buiten het bestek van dit hoofdstuk. Voor ons intern netwerk hebben we minimaal één DNS server nodig. Maar het is toch beter om 2 servers te plaatsen (primary and secondary zones). Het is in de praktijk een goed idee om de gekozen DNS-naam voor het interne netwerk verschillend te kiezen van de internetnaam. Bv stel dat uw bedrijf als naam XXL heeft en dat u als officiële (internet) DNS naam xxl.be gebruikt. Dan doet u er beter aan voor uw intranet bijvoorbeeld de (interne) DNS naam xxl.intra te gebruiken. U mag voor beiden hetzelfde gebruiken, maar dit kan voor nogal wat verwarring zorgen. 2.1 Typen van dns-record A-records Dit is het meest voorkomende record. Het verbindt de naam vrt.be aan het ip adres 195.0.110.48. SOA-records
NW06 AD installeren
92
Jan De Deurwaerder
Een van de belangrijkste records. SOA staat voor Start Of Authority. Hiermee wordt een onderscheid gemaakt tussen een primary zone en een secondary zone. Er wordt een email adres gemaakt voor de administrator, caching wordt ingesteld. En het communiceert met de buitenwereld bij wijzigingen aan de DNS. Cname-records Vaak zal een toestel verschillende taken hebben bv een ftp- en een http-server, deze willen we dan onderscheiden met verschillende namen bv ftp.ivo.be en www.ivo.be, maar ze verwijzen bieden naar hetzelfde IP-adres. Hiervoor maken we dan een alias of een Cname-record. MX-records Als ik een mail verstuur naar
[email protected] weet ik helemaal niet wat de naam is van de mailserver. Ik verstuur het gewoon naar het domein ivo.be. Het MX record bepaalt dan waar de mailserver zich bevindt. BELANGRIJK In de volgende paragraaf gaan we tonen hoe u manueel een DNS server installeert. Eigenlijk is dit niet nodig (sterker : bij Windows 2003 is dit zelfs af te raden als u de intentie heeft om AD te installeren.) Als we straks Active Directory gaan installeren dan wordt automatisch de DNS server voor u geïnstalleerd. Wenst u echter een DSN-server op te zetten zonder AD te installeren, dan zult u dit uiteraard manueel moeten doen zoals hieronder beschreven. Bij Windows 2000 werd echter sterk aanbevolen om de DNS server eerst manueel te installeren voor AD werd geïnstalleerd, omdat er zich, bij het automatisch installeren van de DNS server, nogal wat fouten voordeden. Deze fouten zijn er bij Win2003 uitgehaald. Dus, nogmaals, als u van plan bent AD te installeren, installeer dan de DNS server NIET zelf. Wij zullen na installatie van de DNS server deze weer deïnstalleren. 2.2 DNS installeren Vooraleer we de DSN server installeren moeten we nog een wijziging doorvoeren aan de netwerkeigenschappen. • • •
Klik op Start -> Control Panel -> System Selecteer het tabblad “Computer Name” Klik op de knop “Change”
NW06 AD installeren
93
Jan De Deurwaerder
•
In het scherm dat nu verschijnt klikt u op “More”
•
In het scherm dat nu verschijnt voer je de naam in van het domein dat je straks zal aanmaken (deze stappen zijn nodig om de installatie van de DSN Server correct te laten verlopen). Wij gaan onze domeinen een gelijkvormige naam geven : domivohtl01.intra, domivohtl02.intra, domivohtl03.intra, … Voer uw eigen domeinnaam in en klik op OK.
•
Er zal nu gevraagd worden om uw computer te herstarten. Doe dit dan ook ! Wanneer u functionaliteit wenst toe te voegen aan uw server, dan kunt u gebruik maken van een Wizard die aanwezig is in Windows 2003. • • •
Klik op Start -> Administrative Tools -> Configure Your Server Wizard. Klik in de eerste 2 schermen op Next. Vervolgens wordt onderzocht welke services reeds op uw server draaien : dit kan even duren.
•
Selecteer in de lijst die nu verschijnt het onderdeel DSN Server en klik op Next
Zorg er voor dat de CD van Windows 2003 in het CDRom station steekt want er zullen bestanden van de CD moeten overgezet worden naar uw harde schijf. •
In het volgende scherm klikt u opnieuw op Next en de installatie van de DNS server wordt gestart.
NW06 AD installeren
94
Jan De Deurwaerder
•
Na enige tijd verschijnt de installatie wizard van de DNS server zelf. Klik op Next.
•
Tijdens de installatie dient al een stuk configuratie te gebeuren. In het eerste scherm selecteert u de optie “Create a forward lookup zone”. Hiermee geeft u aan dat deze server verantwoordelijk zal zijn voor het omzetten van DNS namen in het lokale netwerk en alle “vreemde” namen zal doorspelen aan een DNS server van een ISP (of een andere DNS server in het netwerk). Klik op Next. In het volgende scherm selecteert u de optie “This server maintains the zone”. Hiermee geeft u opnieuw aan dat het uw server is die verantwoordelijk zal zijn voor het lokale netwerk.
•
NW06 AD installeren
95
Jan De Deurwaerder
•
Vervolgens geeft u opnieuw de naam op van de zone (in ons geval ons toekomstig domein) waar de DNS server verantwoordelijk voor zal zijn. Klik op Next.
•
Er wordt nu gevraagd of u een “zone file” wenst aan te maken voor deze zone. In dit bestand worden de gegevens bijgehouden van alle DNS-omzettingen die door uw server zullen uitgevoerd worden, zodat ze later opnieuw kunnen gebruikt worden. Laat de naam staan en klik op Next.
•
In het volgende scherm geeft u aan dat u geen “dynamic updates” toelaat op uw server. Dit betekent dat alleen de DNS-server zelf gegevens in zijn database kan schrijven. Hierdoor kunnen andere computers zichzelf niet registreren op uw DNSserver (zie verder ivm ipconfig /registerdns). Klik op Next.
NW06 AD installeren
96
Jan De Deurwaerder
•
In het volgende scherm kunt u het IP-adres opgeven van de DNS server die de verzoeken moet verwerken van hostnamen die lokaal niet gekend zijn. Dit zal doorgaans de DNS server van uw ISP zijn. In school werken we met Telenet. Een tweetal IP-adres van de DNS servers van Telenet zijn 195.130.130.133 en 195.130.131.5. Klik op Next.
•
De configuratie wizard heeft nu alle informatie verzameld die nodig is om uw DNS server op te zetten. Klik op Finish en de server wordt geïnstalleerd.
De DNS server is nu geïnstalleerd. Als u klikt op Start -> Administrative Tools , dan merkt u dat het onderdeel “DNS” is toegevoegd aan uw menu. Wat uw DNS Server nu kan doen is een database aanleggen (en ter beschikking stellen) van lokale computernamen en hun bijhorend IP-adres. Dit is de zogenaamde Forward Lookup Zone Database. Maar u kan nog meer functionaliteit aanbieden door een Reverse Lookup Zone Database aan te maken : hierbij wordt een database aangemaakt met alle IPnummers van het lokale netwerk en hun bijhorende computernamen. • •
Start de DNS Server MMC op. Klik met de rechtermuisknop op het item “Reverse Lookup Zones”, en kies in het snelmenu voor “New Zone”
NW06 AD installeren
97
Jan De Deurwaerder
• •
Er start opnieuw een Wizard op. In het eerste scherm klikt u gewoon op Next. In het eerste scherm geeft u aan dat u een primaire zone wenst aan te maken. Klik op Next.
•
In het volgende scherm voert u het netwerk-id in van uw lokaal netwerk. In ons geval is dat 192.168.0 (de Wizard heeft vastgesteld dat we met Subnet mask 255.255.255.0 werken en toont dus maar 3 Bytes om het netwerk-id in te vullen). Net als bij de Forward Lookup Zone die gemaakt werd tijdens de installatie van de DNS server dient ook hier een bestand (een database) aangemaakt te worden. Laat de voorgestelde naam staan en klik op Next. Opnieuw laten we geen dynamische updates toe. Klik op Next. Klik in het laatste scherm van de Wizard op Finish.
•
• •
Onze DNS Server is nu geconfigureerd. Maar hij werkt nog niet. Er bestaat een tool met de naam NSLOOKUP die u vanop de prompt kunt lanceren. Met nslookup kunt u de DNS server bevragen. Maar als u nu nslookup start vanop de prompt, krijgt u een foutmelding :
De opdracht NSLOOKUP zonder parameters vraag de naam op van uw eigen server. Er wordt gemeld dat de servernaam voor uw IP-adres (hier dus 192.168.0.11) niet kan gevonden worden in de DNS database.
NW06 AD installeren
98
Jan De Deurwaerder
Statische updates van de DNS-server Hoe komt dit ? Omdat we tijdens installatie hebben meegegeven dat er geen dynamische updates mogen gebeuren. Dit betekent concreet dat we elke host manueel dienen toe te voegen aan onze DNS-database (en dus ook onze eigen server). •
Klik met de rechtermuisknop op de Reverse Lookup Zone van uw DNS server (dus 192.168.0.x subnet) en selecteer “New Pointer (PTR) …”
•
Vul zowel het IP nummer van uw server als de naam van uw server in (hier dus 192.168.0.11 en ivohtl01). Klik op OK.
•
•
U merkt dat er in het rechterpaneel, onder Reverse Lookup Zone, een nieuwe lijn is bijgekomen :
•
Deze vertelt eigenlijk net het omgekeerde van het PTR-record dat reeds aanwezig was in de Forward Lookup Zone :
•
Voor elke host in uw lokaal netwerk zult u nu de gegevens moeten invoeren in zowel de Forward Lookup Zone als de Reverse Lookup Zone. U kan echter een host in 1 keer toevoegen aan de beide zones.
•
Klik met de rechtermuisknop op uw forward lookup zone (hier dus domivohtl01.intra) en kies voor “New Host (A)…”.
• •
Voer de naam in van een host (hier dus “kubussrv”). Voer het IP-nummer in van deze host (hier dus 192.168.0.253). Plaats een vinkje bij “Create associated pointer (PTR) record” zodat er meteen ook een record toegevoegd wordt aan de Reverse Lookup Zone. Klik op Add Host.
• •
NW06 AD installeren
99
Jan De Deurwaerder
Dynamische updates van de DNS-server Uiteraard is deze manier van werken niet echt geschikt voor grotere netwerken. Daarbij komt nog dat, indien u werkt met DHCP en host steeds veranderende IPnummers kunnen hebben, die gewoon niet bruikbaar is. Daarom gaan wij toch gebruik maken van Dynamische Updates. Verwijder eerst de twee records in de Reverse Lookup Zone en het laatste record in de Forward Lookup Zone (laat het A-record dat naar uw eigen server verwijst bij voorkeur staan). • • •
•
klik met de rechtermuisknop op uw eigen Forward Lookup Zone en kies in het snelmenu “Properties”. Op het tabblad General zet u de waarde bij “Dynamic updates” op “Nonsecure and secure”. Klik op OK.
Doe nu hetzelfde met uw Reverse Lookup Zone.
Elke host die nu in zijn netwerkconfiguratie het IP nummer van uw server ingevoerd heeft bij zijn DNS server zal nu automatisch opgenomen worden in uw DNS database. Om nu uw eigen server opnieuw in uw DNS te registreren volstaat het om vanop de prompt de volgende instructie op te geven : Ipconfig /registerdns 2.3 DNS deïnstalleren Zoals hierboven reeds gesteld doet u er goed aan, als u AD installeert, Windows 2003 zelf zijn DNS-server te laten installeren. We geen dus eerst onze DNS server weer verwijderen. U kan dit het beste doen vanuit Control Pannel -> Add/Remove Programs -> Add/Remove Windows Components. Selecteer eerst de lijn “Networking services” en klik vervolgens op Details.
NW06 AD installeren
100
Jan De Deurwaerder
Verwijder het vinkje bij “Domain Name System (DNS)” en klik vervolgens op OK en tenslotte op Next. De DNS wordt nu van uw systeem verwijderd.
Open tenslotte de verkenner van Windows en selecteer de map c:\windows\system32\dns. Verwijder alle informatie uit deze map
3 Installatie van AD Het installeren van AD op uw server betekent meteen dat uw server een domeincontroller wordt. Zonder AD is uw server een gewone Member Server. Vooraleer u AD installeert moet u derhalve een goed inzicht hebben in de bestaande situatie : is deze server de eerste controller in een nieuw domein of niet, bestaat er reeds een tree-structuur, … Wij gaan er in onze cursus van uit dat het gaat om een volledig nieuwe installatie en dat er nog geen enkele domeincontroller draait. U kan • • •
AD op een Windows 2003 server installeren op voorwaarde dat er 200MB vrije schijfruimte beschikbaar is dat de partitie waarop u AD installeert geformateerd is als NTFS dat er TCP/IP en DNS geconfigureerd is (indien DNS niet geconfigureerd is, dan zal dat automatisch tijdens de installatie van AD gebeuren) • dat u over Administrator-rechten beschikt.
Het grote voordeel van Windows 2003 is dat we het toestel kunnen installeren zonder ons zorgen te maken over zijn rol in het netwerk. We kunnen die altijd achteraf aanpassen wat in NT4 niet mogelijk was. Om AD te installeren is het voldoende om op Start → Run te klikken en dan DCPROMO in te tikken (dezelfde instructie is nodig om uw domeincontroller later te ‘degraderen’ tot member server).
NW06 AD installeren
101
Jan De Deurwaerder
We beelden in de cursus nu gewoon de verschillende schermen af die u tijdens de installatie van AD zult tegenkomen. Uiteraard zult u hier en daar een aanpassing moeten doen aan de ingevoerde waarden zoals bv de domeinnaam. De Wizard wordt gestart. Klik in het eerste scherm op Next.
In het volgende scherm wordt u verteld dat werkstations met Windows 95 of WinNT4 SP3 geen deel zullen kunnen uitmaken van het domein. Klik op Next.
U gaat een nieuw domein aanmaken, dus selecteert u de eerste optie. Stel dat uw domeincontroller in een bestaand domein zou moeten opgenomen worden, dan dient u de tweede optie te nemen. Klik op Next.
NW06 AD installeren
102
Jan De Deurwaerder
Uw domeincontroller wordt niet alleen de eerste in het domein, maar meteen ook in de tree en in het forest. Selecteer dus de eerste optie en klik op Next.
BELANGRIJK ! Nu dient u de naam op te geven van het nieuwe domein. Zoals hierboven reeds gesteld doet u er goed aan geen domeinnaam te gebruiken die op het internet gekend is. Traditioneel wordt het achtervoegsel “intra” gebruikt om lokale netwerken aan te duiden. Klik op Next.
Vervolgens wordt een NetBIOS naam voorgesteld voor uw domein. Laat deze staan en klik op Next. (NetBIOS wordt later nog besproken in de cursus).
NW06 AD installeren
103
Jan De Deurwaerder
Vervolgens wordt u gevraagd waar de AD database dient bewaard te worden. Laat dit bij voorkeur staan en klik op Next.
Vervolgens wordt gevraagd waar de SYSVOL map moet bewaard worden. Ook op deze map komen we verder in de cursus nog terug. Laat de locatie zoals die voorgesteld wordt en klik op Next.
Nu komen we op het punt dat Windows 2003 zelf zijn DNS server opnieuw zal installeren. Laat de tweede optie geselecteerd staan (“Install and configure …”) en klik op Next.
NW06 AD installeren
104
Jan De Deurwaerder
In het volgende scherm dient u aan te geven of er in uw domein nog besturingssystemen gebruikt worden dien ouder zijn dan Win2K (WinNT, Win9X of WinME). Is dat zo, dan dient u de eerste optie te kiezen, maar u moet er dan wel rekening mee houden dat u minder veilig bezig bent. Wij gaan er van uit dat alle toestellen in ons domein Win2K, WinXP of Win2003 draaien en selecteren de 2° optie. Klik op Next. In het volgende scherm dient u een paswoord op te geven. Dit paswoord zal gevraagd worden wanneer u de domeincontroller wenst te depromoveren (er weer een gewone member server van wenst te maken) of wanneer je de “Restore Mode” wenst te gebruiken. Deze hoeft niet dezelfde te zijn als die van de administrator, maar wij doen dit toch. Klik op Next. De Wizard heeft nu alle nodige informatie gekregen. Klik op Next om de installatie van AD te starten.
NW06 AD installeren
105
Jan De Deurwaerder
AD wordt nu geïnstalleerd. Dit kan een tijdje duren. Onderbreek dit werk nu zeker niet.
Van zodra de installatie beëindigd is, verschijnt het volgende scherm. Het is de bedoeling dat uw server nu heropgestart wordt en dat zal dan ook gebeuren van zodra u op Finish heeft geklikt.
Er wordt u gevraagd uw server nu te herstarten. Doe dat dan ook. Het opstarten zal van nu af aan een heel stuk langer duren dan tot nu toe het geval was geweest. Dit komt omdat bij het opstarten van een domeincontroller AD services dienen gestart te worden (en dit vreet processortijd en geheugen).
NW06 AD installeren
106
Jan De Deurwaerder
4 AD : een eerste kennismaking Na de heropstart kunnen we vlug eens nagaan of AD correct werd geïnstalleerd. Allereerst kan je via de verkenner nagaan of de map \windows\sysvol werd aangemaakt. Dat zou zo moeten zijn.
Vervolgens dien je op de DNS server nog een Reverse Lookup zone aan te maken. U doet dit op dezelfde manier als in vorige paragraaf beschreven. Alleen zult u merken dat er nu een aantal mogelijkheden bijgekomen zijn. In het eerste scherm kiest u voor Primary Zone, en u zorgt dat er een vinkje geplaatst wordt bij “Store the zone in Acitve Directory”.
Vervolgens geeft u de manier aan hoe de Zone-informatie dient gerepliceerd te worden als er zich meerdere domeincontrollers in uw domein bevinden.
NW06 AD installeren
107
Jan De Deurwaerder
Vervolgens voert u het netwerk id in van uw netwerk (hier dus 192.168.0)
Kies nu voor “secure dynamic updates” (een optie die voorheen niet beschikbaar was).
Klik op Finish om de Wizard af te sluiten. Geef tenslotte vanop de prompt nog de instructie : ipconfig /registerdns zodat alle informatie van uw server op de DNS-server gekend zou zijn. Om dit hoofdstuk af te sluiten wensen wij u nog te wijzen op een mogelijkheid aan uw domein aliassen op te geven. Als een gebruiker in de toekomst vanop een werkstation wenst aan te loggen op uw domein, dan zal hij/zij 3 dingen moeten opgeven : 1. de gebruikersnaam 2. het paswoord 3. het domein waarop dient ingelogd te worden De gebruiker kan echter vermijden om het derde in te voeren als hij zijn gebruikersnaam wijzigt naar een “e-mail-achtig” formaat. Bijvoorbeeld : Stel dat u een gebruiker heeft met de naam POL. Dan kan de gebruiker inloggen met de naam POL en er uiteraard zorg voor dragend dat het correcte domein is opgegeven. Hij kan echter ook inloggen met als gebruikersnaam
[email protected]. Dan hoeft hij geen domein meer op te geven (het zal zelfs niet meer mogelijk zijn). Omdat sommige gebruikers zelfs niet weten op welk domein ze inloggen kan het handig zijn hen te laten inloggen met hun e-mail adres. Als dat e-mail adres niet overeenkomt met de domeinnaam, dan kunt u dat adres opgeven als alias van uw domein.
NW06 AD installeren
108
Jan De Deurwaerder
Klik op Start → Programs → Administrative Tools → Active Directory Domains and Trusts. Klik in het scherm dat nu verschijnt in het linkerdeel met de rechtermuistoets op de woorden “Active Directory Domains and Trusts” en kies in het snelmenu dat verschijnt voor Properties. Voer in het bovenste vakje het e-mail achtervoegsel in dat u wenst te gebruiken (bijvoorbeeld ivohtl01.be) en klik op Add. Klik vervolgens op OK en sluit de MMC af. Vanaf nu kan gebruiker POL ook inloggen op het systeem met
[email protected].
NW06 AD installeren
109
Jan De Deurwaerder
